Plex היא התוכנה הדומיננטית המשמשת לאירוח עצמי של ספריית מדיה ב-Windows, Mac ולינוקס. בעזרתו תוכלו לגשת לסרטים, לתוכניות ולמוזיקה שלכם מכל מכשיר ובכל מקום. אבל אלפי משתמשים עושים טעות שמשאירה את השרתים והרשתות שלהם חשופים להאקרים.
אז מה הבעיה בהפעלת Plex? איך אתה יכול לתקן את זה? איך אתה יכול להפוך את שרת Plex שלך לאבטח יותר?
האם שרת Plex שלך באמת מאובטח?
הנחת היסוד של Plex היא פשוטה. אתה שומר ספריית מדיה גדולה בבית; במחשב שולחני, Raspberry Pi או NAS, ועם תוכנת שרת Plex, אתה יכול להשתמש ביישומים ייעודיים או בדפדפן כדי לזלול מדיה כאוות נפשך. אם אתה משלם עבור תוספות כגון Plex Pass, אתה יכול אפילו לצפות ולהקליט שידור טלוויזיה חי ולסנכרן התקדמות בין מכשירים.
לשם כך, אתה מכוון את המכשירים בבית שלך לגישה ליציאה 32400 במחשב המארח. אם אתה רוצה לצרוך מדיה תוך כדי נסיעה - בזמן נסיעה ברכבת, מנוחה או עבודה בבית קפה, או בזמן בבית של חבר, למשל, אתה צריך לפתוח יציאה 32400 בנתב שלך ולהעביר תנועה לאותה יציאה ב- PC. אתה יכול לגשת לשרת המדיה שלך Plex מכל מקום עם כתובת.public.ip. שלך: 32400. עד כאן, כל כך פשוט.
כברירת מחדל, תעבורת רשת לכתובת IP בודדת אינה מוצפנת. וזו יכולה להיות בעיה גדולה.
מדוע מסוכן להפעיל את Plex בחיבור לא מוצפן?
על ידי שימוש בחיבור לא מוצפן, התעבורה שלך חשופה ל-a מתקפה של איש-באמצע (MITM).. המשמעות היא שתוקף יכול לחטט בתעבורת הרשת שלך, להחדיר קוד לא רצוי לתעבורה שלך, ואפילו ליירט שמות משתמש וסיסמאות.
המצב מחמיר בגלל פרצות אבטחה ב-Plex. אלה מתוקנים באופן קבוע על ידי צוות האבטחה של Plex והפרטים שלהם נמסרים לאינטרנט בכלל. למרבה הצער, לא כל משתמשי Plex שומרים על תוכנת Plex שלהם מעודכנת, וייתכן שחלק מהמשתמשים לא עדכנו במשך שנים. לגירסאות שרת ישנות יותר מ-1.18.2, למשל, יש פגיעויות שבאמצעותן תוקף יכול להשתלט על כל המערכת המארחת שלך.
לפושעים ולבעלי עניין אחרים יש גישה לכלי קוד פתוח, כמו זה של רוברט דיוויד גרהם MASSCAN, שיכול לסרוק את כל האינטרנט בחמש דקות. זה מקל על זיהוי כתובות IP שבהן יציאה 32400 פתוחה.
מדוע כדאי לגשת ל-Plex דרך שם דומיין עם TLS
לרוב השרתים באינטרנט יש גישה דרך שתי יציאות סטנדרטיות: 80 לתעבורת HTTP לא מוצפנת ו-443 לתעבורה מוצפנת, באמצעות HTTPS (ה-S הנוסף פירושו "מאובטח") והטמעת אבטחת שכבת התחבורה (TLS), אשר חסין מפני התקפות MITM. אם אתה מפעיל שרת Plex מאחורי אחת מהיציאות הללו, כלי סריקת יציאות המוני לא יגלה זאת לתוקפים פוטנציאליים - אם כי, ברור ש-HTTPS עדיף.
שמות מתחם זולים, או אפילו בחינם אם תבחרו בספק כמו Freenom. ואתה יכול להגדיר פרוקסי הפוך כך שתעבורת אינטרנט לשרת Plex שלך תעבור דרך יציאה 443, ויציאה 32400 לעולם לא תיחשף.
אחת הדרכים לעשות זאת היא לקנות Raspberry Zero W זול של 10$ כדי לשמש כמתווך.
כיצד להשתמש ב-Raspberry Pi כדי להגן על שרת Plex שלך
הדבר הראשון שצריך לעשות הוא לבקר אצל הרשם שלך DNS מתקדם דף ההגדרות. מחק את כל הרשומות וצור חדש א תקליט. הגדר את המארח ל-"@", את הערך לכתובת ה-IP הציבורית שלך ואת ה-TTL נמוך ככל האפשר.
כעת, היכנס לפאנל הניהול של הנתב שלך. פתח את היציאות 80 ו-443, והעבר את שתיהן לכתובת ה-IP המקומית של ה-Raspberry P i Zero שלך. סגור יציאה 32400.
אחרי שיש לך מותקן Raspberry Pi OS, להשתמש מעטפת מאובטחת (SSH) כדי להיכנס ל-Raspberry Pi שלך.
שש פי@שֶׁלְךָ.pi.local.ipעדכן ושדרג את כל החבילות המותקנות:
sudo apt עדכון
שדרוג sudo aptהתקן את שרת Apache:
sudo apt להתקין אפאצ'י2
sudo systemctl הַתחָלָה אפאצ'י2
sudo systemctl לְאַפשֵׁר אפאצ'י2התקן Certbot - כלי שיביא וינהל את שני האבטחה אישורים ומפתחות מ-Let's Encrypt, שירות שמגדיר תעודות SSL.
sudo add-apt-repository ppa: certbot/certbot
sudo apt עדכון
sudo apt-לקבל התקן את python3-certbot-apacheשנה ספרייה והשתמש ב- ננו עורך טקסט ליצירת קובץ תצורה חדש של Apache כדי להעביר את כל הבקשות עבור שם הדומיין החדש שלך למחשב המארח את שרת Plex:
סודוננוplex.confיוצג לך קובץ טקסט ריק. הדבק את הדברים הבאים:
<VirtualHost *:80>
שם שרתשם הדומיין שלך.tld
ProxyPreserveHost On
ProxyPass / http://your.plex.server.local.ip: 32400/
RewriteEngine פועל
RewriteCond %{HTTP:שדרוג} שקע אינטרנט[NC]
RewriteCond %{HTTP:חיבור} שדרוג[NC]
</VirtualHost>שמור וצא ננו עם Ctrl + O לאחר מכן Ctrl + X.
הפעל את התצורה והפעל מחדש את Apache:
סודוa2ensiteplex.conf
הפעלה מחדש של שירות sudo apache2הפעל את certbot כדי לתפוס אישורי SSL ומפתחות מ-Let's Encrypt:
sudo certbotהזן את כתובת הדואר האלקטרוני שלך כאשר תתבקש, והסכים לתנאים וההגבלות, ולאחר מכן בחר את שם הדומיין שלך מתוך רשימה של אחד, ולחץ על חזרה.
Certbot יאחזר ויפרוס שוב אישורי אבטחה ומפתחות מ-Let's Encrypt. הפעל מחדש את Apache פעם נוספת.
צא מה-Raspberry Pi Zero שלך:
יְצִיאָהעל ידי ביצוע ההוראות האלה, הצלחת לסגור את יציאה 32400 והסתרת את קיומו של שרת ה-Plex שלך מסורקי יציאות - תוך הבטחת שאתה עדיין יכול לגשת אליו באמצעות שם הדומיין המותאם אישית שלך. כל התעבורה לשרת ה-Plex שלך תהיה מוצפנת ומוגנת באמצעות TLS, כלומר אתה יכול להירגע וליהנות הפרקים האחרונים של בית הדרקון מבלי שתצטרך לדאוג מי מנסה לפרוץ לרשת שלך.