Plex je dominantní software používaný k vlastnímu hostování knihovny médií v systémech Windows, Mac a Linux. S ním můžete přistupovat ke svým filmům, pořadům a hudbě z jakéhokoli zařízení a odkudkoli. Tisíce uživatelů však dělají chybu, která způsobuje, že jejich servery a sítě jsou zranitelné vůči hackerům.
Jaký je tedy problém s provozováním Plexu? Jak to můžete opravit? Jak můžete zvýšit zabezpečení serveru Plex?
Je váš server Plex skutečně bezpečný?
Premisa Plexu je jednoduchá. Máte doma velkou knihovnu médií; buď na stolním počítači, Raspberry Pi nebo NAS a se serverovým softwarem Plex můžete používat specializované aplikace nebo prohlížeč k hltání médií podle vašich představ. Pokud si zaplatíte za doplňky, jako je Plex Pass, můžete dokonce sledovat a nahrávat živé televizní vysílání a synchronizovat postup napříč zařízeními.
Chcete-li to provést, nasměrujte zařízení ve vaší domácnosti na přístup k portu 32400 na hostitelském počítači. Pokud chcete konzumovat média na cestách – při cestování vlakem, relaxaci nebo práci v kavárně nebo při například u přítele musíte na routeru otevřít port 32400 a přesměrovat provoz na stejný port na vašem PC. Ke svému mediálnímu serveru Plex můžete přistupovat odkudkoli s vaší.public.ip.address: 32400. Zatím je to tak jednoduché.
Ve výchozím nastavení je síťový provoz na jednotlivé adresy IP nešifrovaný. A to může být zásadní problém.
Proč je nebezpečné spustit Plex přes nešifrované připojení?
Při použití nešifrovaného připojení je váš provoz zranitelný vůči a Útok Man-in-the-Middle (MITM).. To znamená, že útočník může sledovat váš síťový provoz, vložit do vašeho provozu nežádoucí kód a dokonce zachytit uživatelská jména a hesla.
Situaci zhoršují bezpečnostní zranitelnosti v Plexu. Ty jsou pravidelně opravovány bezpečnostním týmem Plex a jejich podrobnosti jsou zveřejňovány na internetu. Bohužel ne všichni uživatelé Plex udržují svůj software Plex aktuální a někteří uživatelé možná neaktualizovali roky. Například verze serveru starší než 1.18.2 mají zranitelnosti, pomocí kterých může útočník převzít kontrolu nad celým hostitelským systémem.
Zločinci a další zainteresované strany mají přístup k open source nástrojům, jako je Robert David Graham MASSCAN, která dokáže prohledat celý internet za pět minut. To usnadňuje identifikaci IP adres, kde je otevřený port 32400.
Proč byste měli přistupovat k Plex prostřednictvím názvu domény s TLS
Většina serverů na internetu je přístupná přes dva standardní porty: 80 pro nešifrovaný provoz HTTP a 443 pro šifrovaný provoz pomocí HTTPS (extra „S“ znamená „Zabezpečený“) a implementace Transport Layer Security (TLS), který je imunní vůči útokům MITM. Pokud za některým z těchto portů provozujete server Plex, nástroj pro hromadné skenování portů to potenciálním útočníkům neodhalí – i když je samozřejmě lepší HTTPS.
Názvy domén jsou levné, nebo dokonce zdarma, pokud si vyberete poskytovatele, jako je Freenom. A můžete nakonfigurovat reverzní proxy tak, aby webový provoz na váš server Plex procházel přes port 443 a port 32400 nebyl nikdy vystaven.
Jedním ze způsobů, jak toho dosáhnout, je koupit si levný 10$ Raspberry Zero W, který bude fungovat jako prostředník.
Jak používat Raspberry Pi k ochraně vašeho serveru Plex
První věc, kterou musíte udělat, je navštívit svého registrátora Pokročilé DNS stránka nastavení. Smažte všechny záznamy a vytvořte nové A záznam. Nastavte hostitele na „@“, hodnotu na vaši veřejnou IP adresu a TTL na co nejnižší.
Nyní se přihlaste do administrátorského panelu routeru. Otevřete porty 80 a 443 a přepošlete oba na místní IP adresu vašeho Raspberry P i Zero. Zavřete port 32400.
Poté, co máte nainstalovaný operační systém Raspberry Pi, použití bezpečná skořápka (SSH), abyste se mohli přihlásit do svého Raspberry Pi.
ssh pi@tvoje.pi.local.ip
Aktualizujte a upgradujte všechny nainstalované balíčky:
sudo apt Aktualizace
upgrade sudo apt
Instalace serveru Apache:
sudo apt Nainstalujte Apache2
sudo systemctl Start apache2
sudo systemctl umožnit apache2
Nainstalujte Certbot – nástroj, který načte a bude spravovat obě zabezpečení certifikáty a klíče od Let's Encrypt, služba, která nastavuje certifikáty SSL.
sudo add-apt-repository ppa: certbot/certbot
sudo apt Aktualizace
sudo apt-dostat nainstalovat python3-certbot-apache
Změňte adresář a použijte nano textový editor pro vytvoření nového konfiguračního souboru Apache pro předání všech požadavků na váš nový název domény do počítače, který je hostitelem serveru Plex:
sudonanoplex.conf
Zobrazí se vám prázdný textový soubor. Vložte následující:
<VirtualHost *:80>
ServerNamenázev-vaší domény.tld
ProxyPreserveHost je zapnutý
ProxyPass / http://vas.plex.server.local.ip: 32400/
RewriteEngine zapnutý
RewriteCond %{HTTP:Vylepšit} websocket[NC]
RewriteCond %{HTTP:Spojení} vylepšit[NC]
</VirtualHost>
Uložte a ukončete nano pomocí Ctrl + O pak Ctrl + X.
Povolte konfiguraci a restartujte Apache:
sudoa2ensiteplex.conf
restart služby sudo apache2
Spusťte certbot, abyste získali certifikáty a klíče SSL z Let's Encrypt:
sudo certbot
Na požádání zadejte svou e-mailovou adresu a odsouhlaste smluvní podmínky, poté vyberte název své domény ze seznamu a klikněte na návrat.
Certbot znovu načte a nasadí bezpečnostní certifikáty a klíče z Let's Encrypt. Restartujte Apache ještě jednou.
Odhlaste se ze svého Raspberry Pi Zero:
výstup
Podle těchto pokynů se vám podařilo zavřít port 32400 a skrýt existenci vašeho serveru Plex před skenery portů – a přitom zajistit, že k němu budete mít stále přístup pomocí vlastního názvu domény. Veškerý provoz na váš server Plex bude šifrován a chráněn pomocí TLS, což znamená, že můžete relaxovat a užívat si nejnovější epizody House of The Dragon, aniž byste se museli starat o to, kdo se snaží proniknout do vaší sítě.