Plex — это доминирующее программное обеспечение, используемое для самостоятельного размещения медиатеки в Windows, Mac и Linux. С его помощью вы можете получить доступ к своим фильмам, шоу и музыке с любого устройства и в любом месте. Но тысячи пользователей совершают ошибку, которая делает их серверы и сети уязвимыми для хакеров.
Так в чем проблема с запуском Plex? Как это исправить? Как вы можете сделать свой сервер Plex более безопасным?
Действительно ли ваш сервер Plex безопасен?
Предпосылка Plex проста. Вы держите дома большую медиатеку; либо на настольном ПК, либо на Raspberry Pi, либо на NAS, а также с программным обеспечением сервера Plex вы можете использовать специальные приложения или браузер, чтобы потреблять мультимедиа в свое удовольствие. Если вы платите за дополнительные услуги, такие как Plex Pass, вы даже можете смотреть и записывать прямые телетрансляции и синхронизировать прогресс между устройствами.
Для этого вы указываете домашним устройствам доступ к порту 32400 на хост-компьютере. Если вы хотите потреблять медиафайлы вне дома — во время поездки в поезде, отдыхая или работая в кафе, или во время например, в доме друга вам нужно открыть порт 32400 на вашем маршрутизаторе и перенаправить трафик на тот же порт на вашем ПК. Вы можете получить доступ к своему медиасерверу Plex из любого места с вашим.public.ip.address: 32400. Пока так просто.
По умолчанию сетевой трафик на отдельный IP-адрес не шифруется. И это может стать серьезной проблемой.
Почему опасно запускать Plex через незашифрованное соединение?
При использовании незашифрованного соединения ваш трафик становится уязвимым для Атака «человек посередине» (MITM). Это означает, что злоумышленник может отслеживать ваш сетевой трафик, внедрять в него нежелательный код и даже перехватывать имена пользователей и пароли.
Ситуация усугубляется уязвимостями безопасности в Plex. Они регулярно исправляются командой безопасности Plex, и их подробности разглашаются в Интернете. К сожалению, не все пользователи Plex обновляют свое программное обеспечение Plex, а некоторые пользователи могут не обновляться годами. Версии сервера старше 1.18.2, например, имеют уязвимости, с помощью которых злоумышленник может захватить всю вашу хост-систему.
Преступники и другие заинтересованные стороны имеют доступ к инструментам с открытым исходным кодом, таким как инструмент Роберта Дэвида Грэма. МАССКАН, который может просканировать весь Интернет за пять минут. Это упрощает определение IP-адресов, на которых открыт порт 32400.
Почему вы должны получать доступ к Plex через доменное имя с TLS
Доступ к большинству серверов в Интернете осуществляется через два стандартных порта: 80 для незашифрованного HTTP-трафика и 443 для зашифрованного трафика с использованием HTTPS (дополнительная буква «S» означает «Безопасный»). и внедрение безопасности транспортного уровня (TLS), который невосприимчив к MITM-атакам. Если вы используете сервер Plex за любым из этих портов, инструмент массового сканирования портов не покажет его потенциальным злоумышленникам, хотя, очевидно, HTTPS лучше.
Доменные имена дешевы или даже бесплатны, если вы выберете такого провайдера, как Freenom. И вы можете настроить обратный прокси-сервер, чтобы веб-трафик на ваш сервер Plex проходил через порт 443, а порт 32400 никогда не открывался.
Один из способов сделать это — купить дешевый Raspberry Zero W за 10 долларов в качестве посредника.
Как использовать Raspberry Pi для защиты вашего сервера Plex
Первое, что нужно сделать, это обратиться к своему регистратору. Расширенный DNS страница настроек. Удалить все записи и создать новую А записывать. Установите хост на «@», значение на ваш общедоступный IP-адрес и как можно меньшее значение TTL.
Теперь войдите в панель администратора вашего роутера. Откройте порты 80 и 443 и перенаправьте оба на локальный IP-адрес вашего Raspberry P i Zero. Закройте порт 32400.
После того, как у вас есть установлена ОС Raspberry Pi, использовать безопасная оболочка (SSH), чтобы войти в свой Raspberry Pi.
ssh пи@ваш.pi.local.ipОбновите и обновите все установленные пакеты:
Судо подходит Обновить
судо подходящее обновлениеУстановите сервер Apache:
Судо подходит установить Apache2
sudo systemctl Начало апач2
sudo systemctl включить апач2Установите Certbot — инструмент, который будет получать и управлять сертификаты и ключи от Let’s Encrypt, служба, которая устанавливает SSL-сертификаты.
sudo add-apt-repository ppa: certbot/certbot
Судо подходит Обновить
Судо подходитполучить установить python3-certbot-apacheИзмените каталог и используйте нано текстовый редактор, чтобы создать новый файл конфигурации Apache для пересылки всех запросов на ваше новое доменное имя на компьютер, на котором размещен сервер Plex:
судонаносплетение.confВам будет представлен пустой текстовый файл. Вставьте следующее:
<Виртуальный хост *:80>
Имя сервераваше доменное имя.TLD
ProxyPreserveHost включен
ПроксиПасс/http://ваш.plex.server.local.ip: 32400/
RewriteEngine включен
RewriteCond %{HTTP:Обновление} веб-сокет[НЗ]
RewriteCond %{HTTP:Связь} Обновить[НЗ]
</VirtualHost>Сохраните и выйдите из nano с помощью Ctrl + О тогда Ctrl + Х.
Включите конфигурацию и перезапустите Apache:
судоa2ensiteсплетение.conf
перезагрузка службы sudo apache2Запустите certbot, чтобы получить SSL-сертификаты и ключи от Let's Encrypt:
sudo certbotПри запросе введите свой адрес электронной почты и согласитесь с условиями, затем выберите свое доменное имя из списка и нажмите «Ввод».
Certbot снова получит и развернет сертификаты безопасности и ключи от Let's Encrypt. Перезапустите Apache еще раз.
Выйдите из своего Raspberry Pi Zero:
выходСледуя этим инструкциям, вам удалось закрыть порт 32400 и скрыть существование вашего сервера Plex от сканеров портов, при этом вы по-прежнему можете получить к нему доступ, используя свое собственное доменное имя. Весь трафик на ваш сервер Plex будет зашифрован и защищен с помощью TLS, что означает, что вы можете расслабиться и наслаждаться последние эпизоды Дома Дракона, не беспокоясь о том, кто пытается проникнуть в вашу сеть.
