Plex este software-ul dominant folosit pentru a auto-găzdui o bibliotecă media pe Windows, Mac și Linux. Cu acesta, vă puteți accesa filmele, emisiunile și muzica de pe orice dispozitiv, oriunde. Dar mii de utilizatori fac o greșeală care lasă serverele și rețelele lor vulnerabile în fața hackerilor.
Deci, care este problema cu rularea Plex? Cum poți să o repari? Cum vă puteți face serverul Plex mai sigur?
Serverul dvs. Plex este cu adevărat sigur?
Premisa Plex este simplă. Țineți acasă o mare bibliotecă media; fie pe un PC desktop, un Raspberry Pi sau un NAS, și cu software-ul server Plex, puteți folosi aplicații dedicate sau un browser pentru a înghiți media după conținutul inimii tale. Dacă plătiți pentru suplimente, cum ar fi Plex Pass, puteți chiar să vizionați și să înregistrați transmisiuni TV în direct și să sincronizați progresul pe toate dispozitivele.
Pentru a face acest lucru, direcționați dispozitivele din casă să acceseze portul 32400 de pe mașina gazdă. Dacă doriți să consumați conținut media în timp ce sunteți în călătorie – în timp ce călătoriți cu trenul, vă relaxați sau lucrați într-o cafenea sau în timp ce la casa unui prieten, de exemplu, trebuie să deschideți portul 32400 pe router și să redirecționați traficul către același port de pe dvs. PC. Puteți accesa serverul dvs. media Plex de oriunde cu adresa dvs.public.ip.: 32400. Până acum, atât de simplu.
În mod implicit, traficul de rețea către o adresă IP individuală este necriptat. Și asta poate fi o problemă majoră.
De ce este periculos să rulezi Plex printr-o conexiune necriptată?
Prin utilizarea unei conexiuni necriptate, traficul dvs. este vulnerabil la a Atacul Om-în-Mijloc (MITM).. Acest lucru înseamnă că un atacator poate snoope traficul din rețea, poate injecta cod nedorit în trafic și chiar poate intercepta nume de utilizator și parole.
Situația este exacerbată de vulnerabilitățile de securitate din Plex. Acestea sunt corectate în mod regulat de echipa de securitate Plex și detaliile lor sunt divulgate pe internet în general. Din păcate, nu toți utilizatorii Plex își păstrează software-ul Plex actualizat și este posibil ca unii utilizatori să nu se fi actualizat de ani de zile. Versiunile de server mai vechi decât 1.18.2, de exemplu, au vulnerabilități prin care un atacator poate prelua întregul sistem gazdă.
Infractorii și alte părți interesate au acces la instrumente open source, cum ar fi cel al lui Robert David Graham MASSCAN, care poate scana întregul internet în cinci minute. Acest lucru facilitează identificarea adreselor IP unde este deschis portul 32400.
De ce ar trebui să accesați Plex printr-un nume de domeniu cu TLS
Majoritatea serverelor de pe internet sunt accesate prin două porturi standard: 80 pentru trafic HTTP necriptat și 443 pentru trafic criptat, folosind HTTPS („S” suplimentar înseamnă „Securizat”) și implementarea Securității Stratului de Transport (TLS), care este imun la atacurile MITM. Dacă rulați un server Plex în spatele oricăruia dintre aceste porturi, un instrument de scanare de porturi în masă nu îl va dezvălui potențialilor atacatori - deși, evident, HTTPS este mai bun.
Numele de domenii sunt ieftine sau chiar gratuite dacă alegeți un furnizor precum Freenom. Și puteți configura un proxy invers, astfel încât traficul web către serverul dvs. Plex să treacă prin portul 443, iar portul 32400 să nu fie expus niciodată.
O modalitate de a face acest lucru este să cumpărați un Raspberry Zero W ieftin de 10 USD pentru a acționa ca intermediar.
Cum să utilizați un Raspberry Pi pentru a vă proteja serverul Plex
Primul lucru de făcut este să vizitați registratorul dvs DNS avansat pagina de setări. Ștergeți toate înregistrările și creați una nouă A record. Setați gazda la „@”, valoarea la adresa IP publică și TTL-ul cât mai scăzut posibil.
Acum, conectați-vă la panoul de administrare al routerului. Deschideți porturile 80 și 443 și redirecționați ambele către adresa IP locală a Raspberry P i Zero. Închideți portul 32400.
După ce ai instalat sistemul de operare Raspberry Pi, utilizare cochilie sigură (SSH) pentru a vă conecta la Raspberry Pi.
ssh pi@ta.pi.local.ipActualizați și actualizați orice pachet instalat:
sudo apt Actualizați
sudo apt upgradeInstalați serverul Apache:
sudo apt instalare Apache2
sudo systemctl start apache2
sudo systemctl permite apache2Instalați Certbot - un instrument care va prelua și gestiona ambele securitate certificate și chei de la Let's Encrypt, un serviciu care configurează certificate SSL.
sudo add-apt-repository ppa: certbot/certbot
sudo apt Actualizați
sudo apt-obține instalați python3-certbot-apacheSchimbați directorul și utilizați nano editor de text pentru a crea un nou fișier de configurare Apache pentru a redirecționa toate solicitările pentru noul nume de domeniu către mașina care găzduiește serverul Plex:
sudonanoplex.confVi se va prezenta un fișier text gol. Lipiți în următoarele:
<VirtualHost *:80>
Numele serveruluinumele-domeniul-vou.tld
ProxyPreserveHost activat
ProxyPass / http://your.plex.server.local.ip: 32400/
RewriteEngine activat
RescrieCond %{HTTP:Modernizare} websocket[NC]
RescrieCond %{HTTP:Conexiune} modernizare[NC]
</VirtualHost>Salvați și ieșiți din nano cu Ctrl + O apoi Ctrl + X.
Activați configurația și reporniți Apache:
sudoa2ensiteplex.conf
sudo service apache2 repornițiRulați certbot pentru a obține certificate SSL și chei de la Let's Encrypt:
sudo certbotIntroduceți adresa dvs. de e-mail atunci când vi se solicită și acceptați termenii și condițiile, apoi selectați numele dvs. de domeniu dintr-o listă de unul și apăsați Retur.
Certbot va prelua și va implementa din nou certificate și chei de securitate de la Let's Encrypt. Reporniți Apache încă o dată.
Deconectați-vă de la Raspberry Pi Zero:
IeșireUrmând aceste instrucțiuni, ați reușit să închideți portul 32400 și să ascundeți existența serverului dvs. Plex de scanerele de porturi, asigurându-vă în același timp că îl puteți accesa folosind numele de domeniu personalizat. Tot traficul către serverul dvs. Plex va fi criptat și protejat cu TLS, ceea ce înseamnă că vă puteți relaxa și vă puteți bucura de ultimele episoade din House of The Dragon fără a fi nevoie să vă faceți griji cu privire la cine încearcă să pătrundă în rețeaua dvs.
