当你看到这句话的时候，你已经被黑客攻击了

星辰云节点

开启IPFS万亿财富新时代！

有人的地方就有江湖，有网络的地方就有黑客

上古时代，网络存储设备，虽然带有“网络”两个字，但都是在局域网里面玩的，安全问题，相对来说还提不上台面。

但去中心化存储流行起来之后，整个互联网都形成了一张大的存储网，存储节点要被更多的遍布在全球的用户所访问，安全问题的重要性就变得更加突出了，毕竟要不断地和外界进行数据交互。

现在大家关心存储，是因为有了IPFS和Filecoin

对成本的极致压缩，极易会导致对网络安全问题的不重视。加上有巨大的经济利益驱使，这个行业面临的安全挑战就会更多。

如果做存储挖矿，或者部署去中心化存储，没有考虑过网络安全，那只能说一下呵呵了。现在黑客最流行的就是攻入别人的电脑，运行自己的挖矿程序（比如门罗币挖矿）。如果你已经在挖了，到时候进去把钱包地址一换，都不用植入新的程序……

今天就通俗讲讲黑客黑存储的一些常见手段，以及可能的应对措施。

密码类

a不修改存储管理程序的登录密码。

类似admin的默认密码，可以轻松进入很多系统。大量的用户甚至主动说不想改密码，说改了记不住如果出事，就找厂商。但出了安全问题，损失的是自己，毕竟改密码是自己的责任。

厂商：这个锅我不背

b数据访问密码的问题。

存储系统，除了要访问具有控制权的管理程序（Web、客户端、SSH控制台等）之外，最核心的还是用户需要通过各种网络存储协议访问里面的数据。

如果是公开的数据，或者已经通过完善的手段加密之后的数据，可能不用对原始数据进行额外的权限控制（但也有例外），但企业内部用的数据，一般都是需要进行密码保护。

和管理程序的密码一样，如果不适用密码、使用默认密码或者弱密码，很容易导致信息的泄露和篡改。

即使里面的内容只是想在受控的局域网内被访问，一样的不安全。

c存储管理程序使用弱密码。

许多用户还是有安全意识的，把设备安装好，马上改密码，保护自己的数据安全。但为了方便记忆，所有的密码不是生日，就是常见单词。

2017年十大最蠢密码：“123456”居首

如何解决密码问题？

权威的建议就是用复杂的随机密码，且定期更换密码。但对于非专业管理员来说，这个是一个痛苦的过程；对于存储矿工来说，就更加麻烦。

绝大多数人喜欢用自己熟悉的字母或者数字来作为密码，且都相对简单，如果让他们换一下密码，说不定第二天就忘记了，更不用说定期更换密码了。找回存储设备的密码，远远不像找回网站密码那么简单。

但无论如何，密码都不要是纯数字（更不能是生日），不要直接用常见单词组合，至少要有12个字符。为什么是12个？随便说的，当然是越长越好，长一点的，我自己记不住而已。：）

另外，存储系统使用专有密码，不要直接照搬其他设备的登录密码。

部分进阶用户通过ssh管理，那不用密码，通过密钥登录，也会更安全。

漏洞类

a系统软件包的漏洞。

操作系统有漏洞，上面装的各种软件包也有漏洞，至于是否值得马上修补，就看能否通过网络被人利用了。理论上，有漏洞就要补，尤其是需要通过网络对外直接提供服务的软件包。

对于存储，至少要对外提供一种或者多种数据访问服务吧，那就要对外开放相关的端口。比如，SMB文件访问的139/445端口，FTP服务的21端口，等等。只要漏洞一经被发现，通过对应端口的攻击就可以形成。

臭名昭著的Wanna Cry病毒

2017年流行的Wanna Cry病毒，就是利用Windows上共享文件服务SMB的永恒之蓝漏洞，通过445端口进行快速传播，影响到全球数以万计的设备。SMB正好是一个网络文件存储服务，也是大量企业级存储系统提供的必备服务之一。

虽然这个漏洞本身只是Windows版本的实现问题，Linux系统提供的SMB服务，也受到了许多人的怀疑，因此，很多企业和政府机关，当时是直接封掉了445端口，禁止SMB服务，又进一步导致许多数据的访问问题，也影响到新进NAS设备的接入问题。

bWeb管理程序的漏洞。

内核、SMB、FTP等漏洞，大家都比较重视，因为一经披露，马上家喻户晓。现在大量的存储设备，其软件都是基于Linux系统进行定制的。很多设备的生产者和维护者，都认为，漏洞是操作系统厂商或者开源社区的问题，和自己无关。姑且不讨论谁负责这个问题，至少，管理存储的Web程序，需要自己全面负责。

但说句实话，这些漏洞再多，也比大多数厂商自己写的Web管理程序的漏洞要少很多。被用得越多的软件，发现漏洞的概率越大；没有多少人使用的软件，只是隐藏的大量漏洞没有被发现而已。

Web的漏洞就太多了，SQL注入漏洞、XSS注入漏洞、其他CSRF漏洞，等等。甚至还可以直接通过Web访问到不应该被通过Web暴露出来的问题

许多存储设备都会用轻量级的SQL数据库来保存配置等信息，所以，SQL注入漏洞不是网站才有的特权。当然，这类漏洞太过古老，也容易解决，现在的Web代码框架对它都有防范，危害就没有以前那么大了。

2018开源代码安全报告:每个代码库平均包含64个漏洞

最让人觉得恐惧的是，有命令执行方面的漏洞（可能通过URL构造，也可能在某个输入框里面构造命令），来一个rm -rf，把文件都删除……想一想，汗毛都竖起来了。

如何解决漏洞问题？

中肯的建议就是，最好知道存储设备用了什么操作系统，用了哪些软件包，开放了什么端口。不要的包，就不要装。对自己没有用的端口，就不要开放。

省事的话，也许装个防火墙啥的是必要的，但也只能防一部分，且成本比较高；也有为了省成本自己去配置iptables的，但经常搞得正常的服务都不通，毕竟这也是需要技巧的。

也许称为“防火围墙”更切当

所以，这个问题很难给出标准的答案，就看自己的投入了。选择一个靠谱的存储厂商是很重要的，能保证发布的版本漏洞尽可能少，有了漏洞马上推送补丁，有了问题不推卸责任。想省成本的话，自己搭建系统，那只能多下点工夫了。

DDOS类

从目前来讲，如果存储设备只是局域网内部使用的,DDOS攻击带来的问题可能不会很多。但攻击的方式是多种多样的，说不定哪天就有一种新的攻击方式，导致存储设备拒绝提供正常的服务。保持良好心态，随时关注业界的发展动向吧。

物理入侵类

入侵的方式多种多样，还有一种典型的方式，就是成功地站在了存储设备的面前（姑且不讨论他是怎么来到面前的），在其他人不知晓的情况下，采取了一些手段，进入系统，或者破坏数据。

a更换启动盘。

插入一个可以启动的U盘，更改启动盘顺序，通过U盘启动。只要启动成功，所有的数据，都会暴露在你的面前。而且，访问数据的记录不会记录在原有的系统中，被其他管理员给看到。

b修改启动参数。

启动的时候，进入Linux单用户模式（可以认为类似Windows的安全模式），修改root密码。

c拔走硬盘。

存储设备一般比较大，整体抱走，目标太明显。拔几块硬盘，还是比较容易的。

如何防范？

正规的做法：完善内部的管理制度，机器放在专门的机房，授权的人才能进入。机房摄像头监控。

采用分布式存储保存数据，避免单台机器被破坏导致的数据丢失。当然，也可以进一步，比如，禁掉单用户模式的登录，但这样有时候也会带来恢复数据的不变。

但实际上，要走到这点还是很难，毕竟这些都关系着成本预算。尤其是存储挖矿，都这么搞，在收益无法预估的情况下，增加成本的操作，都很难被接受。毕竟矿工关心的是收益，是TOKEN。但反过来，不注意这方面，又会对收益导致巨大的影响——系统受到破坏，还有个屁的收益啊。那就多盯盯自己的设备，能提防点就提防点吧。

防黑道路，永无止境

aBMC管理带来的风险。

服务器主板一般都有一个BMC芯片，可以通过IPMI来对系统进行远程管理，只要插上电源，即使没有开机，也能控制服务器，进入BIOS，安装系统，相当于直接在服务器上面接了一个远程的显示器和键盘，而且更加方便。

BMC/IPMI一般是通过Web管理（有些也可以通过ssh管理），有非常简单的默认用户和密码。如果不改这个密码，就带来了极大的安全隐患。比如，上海一家创业公司的IT管理员，把IPMI的Web管理端口映射出去，远程管理服务器，但并没有修改默认密码，结果……密码被改，服务器的CPU 100%运转，跑着一个莫名其妙的挖矿程序。

解决办法就是修改密码，无论是否把IPMI功能暴露给公网。

b更加匪夷所思的攻击。

比如，用声波进行攻击，就能使硬盘无法正常工作... ...

当然，这些问题比较罕见，如果真的遇到了，那算中彩票了。首先是确认原因——这并不是容易的一件事情，也可能是最大的难点。确认之后，再根据具体原因找解决方案吧。

额外的话

如果不愿意操心那么多技术细节，最简单的办法，就是除了购买分布式存储云设备，还要找一个专业的厂商来提供整个的解决方案。

深圳星通网络科技有限公司坐落于深圳5A级商务中心京基100大厦，是一家专业服务于区块链3.0代表性技术方向IPFS的创新型公司，是全球首家星辰云节点存储研发生产商和云节点服务商。当前公司的主营产品为星辰云节点(骨灰级IPFS分布式存储设备)，主要用于获得IPFS代币Filecoin。日月星辰，四海一心，星通科技致力于开启中国加密分布式存储的庞大市场，开启“中国云”。