Plex je dominantan softver koji se koristi za samostalno hosting medijske biblioteke na Windows, Mac i Linux. Pomoću njega možete pristupiti svojim filmovima, emisijama i glazbi s bilo kojeg uređaja, bilo gdje. Ali tisuće korisnika griješi zbog čega su njihovi poslužitelji i mreže ranjivi na hakere.
Dakle, u čemu je problem s pokretanjem Plexa? Kako to možete popraviti? Kako možete učiniti vaš Plex poslužitelj sigurnijim?
Je li vaš Plex poslužitelj doista siguran?
Premisa Plexa je jednostavna. Kod kuće imate veliku medijsku biblioteku; bilo na stolnom računalu, Raspberry Pi ili NAS-u, a uz poslužiteljski softver Plex možete koristiti namjenske aplikacije ili preglednik za gutanje medija do mile volje. Ako platite dodatke kao što je Plex Pass, možete čak gledati i snimati TV prijenos uživo i sinkronizirati napredak na svim uređajima.
Da biste to učinili, usmjeravate uređaje u svom domu da pristupe portu 32400 na glavnom računalu. Ako želite konzumirati medije dok ste vani—dok putujete vlakom, opuštate se ili radite u kafiću ili dok u kući prijatelja, na primjer, morate otvoriti priključak 32400 na vašem usmjerivaču i proslijediti promet na taj isti priključak na vašem PC. Možete pristupiti svom Plex medijskom poslužitelju s bilo kojeg mjesta s vašom.public.ip.adresom: 32400. Zasad je tako jednostavno.
Prema zadanim postavkama mrežni promet prema pojedinačnoj IP adresi nije kriptiran. A to može biti veliki problem.
Zašto je opasno pokrenuti Plex preko nešifrirane veze?
Korištenjem nekriptirane veze, vaš je promet ranjiv na a Man-in-the-Middle (MITM) napad. To znači da napadač može uhoditi vaš mrežni promet, ubaciti neželjeni kod u vaš promet, pa čak i presresti korisnička imena i lozinke.
Situacija je pogoršana sigurnosnim propustima u Plexu. Sigurnosni tim Plexa redovito ih zakrpa, a njihove pojedinosti objavljuju na internetu. Nažalost, ne ažuriraju svi Plex korisnici svoj Plex softver, a neki korisnici možda nisu ažurirali godinama. Verzije poslužitelja starije od 1.18.2, na primjer, imaju ranjivosti putem kojih napadač može preuzeti cijeli vaš host sustav.
Kriminalci i druge zainteresirane strane imaju pristup alatima otvorenog koda, kao što je Robert David Graham MASSCAN, koji može skenirati cijeli internet u pet minuta. To olakšava identifikaciju IP adresa na kojima je port 32400 otvoren.
Zašto biste trebali pristupiti Plexu putem naziva domene s TLS-om
Većini poslužitelja na internetu pristupa se putem dva standardna priključka: 80 za nekriptirani HTTP promet i 443 za šifrirani promet, koristeći HTTPS (dodatno "S" znači "Sigurno") i implementacija sigurnosti transportnog sloja (TLS), koji je imun na MITM napade. Ako imate Plex poslužitelj iza bilo kojeg od ovih priključaka, alat za masovno skeniranje priključaka neće ga otkriti potencijalnim napadačima—iako je, očito, HTTPS bolji.
Imena domena su jeftina ili čak besplatna ako odaberete pružatelja kao što je Freenom. A možete konfigurirati obrnuti proxy tako da web promet prema vašem Plex poslužitelju prolazi kroz port 443, a port 32400 nikad nije izložen.
Jedan od načina da to učinite je kupiti jeftini Raspberry Zero W od 10 USD koji će djelovati kao posrednik.
Kako koristiti Raspberry Pi za zaštitu vašeg Plex poslužitelja
Prvo što trebate učiniti je posjetiti svog matičara Napredni DNS stranica postavki. Izbrišite sve zapise i stvorite novi A snimiti. Postavite host na "@", vrijednost na vašu javnu IP adresu, a TTL što je moguće niži.
Sada se prijavite na administrativnu ploču vašeg usmjerivača. Otvorite portove 80 i 443 i oba proslijedite na lokalnu IP adresu vašeg Raspberry P i Zero. Zatvori port 32400.
Nakon što imate instaliran Raspberry Pi OS, koristiti sigurna ljuska (SSH) za prijavu na svoj Raspberry Pi.
ssh pi@tvoj.pi.local.ipAžurirajte i nadogradite sve instalirane pakete:
sudo apt Ažuriraj
sudo apt nadogradnjaInstalirajte Apache poslužitelj:
sudo apt instalirati Apache2
sudo systemctl početak apache2
sudo systemctl omogućiti apache2Instalirajte Certbot—alat koji će dohvaćati i upravljati i sigurnošću certifikate i ključeve tvrtke Let's Encrypt, servis koji postavlja SSL certifikate.
sudo add-apt-repository ppa: certbot/certbot
sudo apt Ažuriraj
sudo apt-dobiti instalirajte python3-certbot-apachePromijenite direktorij i koristite nano uređivač teksta za stvaranje nove Apache konfiguracijske datoteke za prosljeđivanje svih zahtjeva za vaš novi naziv domene na stroj koji ugošćuje Plex poslužitelj:
sudonanopleks.konfPrikazat će vam se prazna tekstualna datoteka. Zalijepite sljedeće:
<Virtualni host *:80>
ServerNamenaziv-vaše-domene.tld
ProxyPreserveHost uključen
ProxyPass / http://vaš.plex.server.local.ip: 32400/
RewriteEngine uključen
RewriteCond %{HTTP:Nadogradi} websocket[NC]
RewriteCond %{HTTP:Veza} nadogradnja[NC]
</VirtualHost>Spremite i izađite iz nano s Ctrl + O zatim Ctrl + X.
Omogućite konfiguraciju i ponovno pokrenite Apache:
sudoa2ensitepleks.konf
sudo service apache2 restartPokrenite certbot da preuzmete SSL certifikate i ključeve od Let's Encrypt:
sudo certbotUnesite svoju adresu e-pošte kada se to od vas zatraži i prihvatite odredbe i uvjete, zatim odaberite naziv svoje domene s popisa od jednog i pritisnite povratak.
Certbot će ponovno dohvatiti i implementirati sigurnosne certifikate i ključeve od Let's Encrypt. Ponovno pokrenite Apache još jednom.
Odjavite se sa svog Raspberry Pi Zero:
IzlazSlijedeći ove upute, uspjeli ste zatvoriti priključak 32400 i sakriti postojanje svog Plex poslužitelja od skenera priključaka—a pritom ste osigurali da mu i dalje možete pristupiti koristeći svoj prilagođeni naziv domene. Sav promet prema vašem Plex poslužitelju bit će šifriran i zaštićen TLS-om, što znači da se možete opustiti i uživati najnovije epizode House of The Dragon bez potrebe da brinete o tome tko pokušava provaliti u vašu mrežu.
