## 致飞牛(fnOS)产品团队:下一代安全中心详细设计需求
### 核心理念
> **真正的安全不是静态的规则,而是实时的监控与监管。飞牛必须建立"行为可视、风险可感、操作可控"的安全体系,让每个进程的网络活动像玻璃一样透明。**
第一部分:实时进程-端口-流量监控中心
1.1 进程级端口占用透视
功能描述: 实时显示系统中每个进程的网络占用情况,精确到线程级别。
具体字段:
| 字段 |
说明 |
数据来源 |
| 进程名称 |
可执行文件名称(如 plexmediaserver) |
/proc/[pid]/comm |
| 进程路径 |
完整执行路径(区分系统/用户/容器应用) |
/proc/[pid]/exe |
| 进程类型 |
【系统服务/Docker容器/虚拟机/用户应用/未知】 |
cgroup + 进程树分析 |
| 所属应用 |
飞牛应用商店名称(如 "Plex媒体服务器") |
应用元数据匹配 |
| 容器名称 |
如果是Docker,显示容器名和镜像 |
docker inspect |
| 监听端口 |
TCP/UDP + 端口号 + 协议版本 |
ss -tulnp / netstat |
| 绑定地址 |
0.0.0.0(全网)/127.0.0.1(本地)/192.168.x.x(指定网卡) |
socket信息解析 |
| 外网可访问 |
【是/否】根据绑定地址+路由判断 |
自动检测WAN可达性 |
界面呈现:
- 表格视图:按进程分组,展开显示该进程所有端口
- 拓扑视图:进程 → 端口 → 网卡 → 内外网,可视化连线
- 颜色编码:🟢仅内网 🟡外网可访问 🔴外网已暴露且有流量
1.2 实时流量监控(类似iftop但更易读)
功能描述: 每秒刷新,显示每个连接的实际数据传输。
监控维度:
连接ID | 进程 | 本地端口 | 远端IP | 远端端口 | 上行速度 | 下行速度 | 总流量 | 连接时长 | 状态
-------|------|---------|--------|---------|---------|---------|--------|---------|------
#1024 | qBittorrent | 51413 | 185.220.101.42 | 51413 | 2.5MB/s | 8.1MB/s | 15GB | 2h34m | 已建立
#1025 | Plex | 32400 | 203.0.113.45 | 54321 | 0 | 15MB/s | 500MB | 15m | 流媒体传输中
#1026 | sshd | 22 | 198.51.100.12 | 55234 | 0 | 0 | 0 | 0 | 刚建立(可疑)
增强功能:
- IP**查询:点击远端IP显示归属地(国家/城市/运营商)、ASN、威胁**(是否已知恶意IP)
- 流量类型识别:根据端口和协议自动标记(如BitTorrent协议识别、HTTP/HTTPS区分)
- 历史峰值记录:记录每个进程的历史最高并发连接数和带宽占用
1.3 连接行为审计日志
功能描述: 记录每个网络连接的生命周期,支持溯源分析。
日志内容:
[2026-03-17 14:23:15] [连接建立] 进程:qbittorrent-nox PID:1847 本地:192.168.1.10:51413 远端:185.220.101.42:51413 方向:出站 初始动作:允许(匹配规则#5:允许qBittorrent外网)
[2026-03-17 14:45:32] [流量告警] 进程:qbittorrent-nox 该连接过去10分钟下行流量达2.3GB,超过阈值1GB/10min
[2026-03-17 15:12:08] [连接断开] 进程:qbittorrent-nox 远端:185.220.101.42 原因:对端重置 总流量:上行5.2GB/下行18.7GB 时长:48m53s
[2026-03-17 15:15:22] [阻断事件] 进程:sshd 尝试连接:198.51.100.12:22 动作:阻断 原因:匹配规则#1:禁止SSH外网访问 附加:该IP过去1小时尝试连接3次,已自动加入黑名单15分钟
存储策略:
- 最近7天全量日志保留
- 7-30天压缩存储关键字段(进程、IP、流量、动作)
- 30天以上仅保留统计摘要
第二部分:智能应用级白名单防火墙
2.1 应用发现与风险画像
自动扫描流程:
系统启动/定时任务 → 扫描所有监听端口 → 匹配应用数据库 → 生成风险报告
应用数据库包含:
- 飞牛官方应用:Plex、Jellyfin、qBittorrent、Transmission、Alist等
- 常见Docker镜像:portainer、nextcloud、home-assistant等
- 系统服务:sshd、smbd、nfsd、dockerd等
- 未知进程:标记为"未识别应用",提示用户确认
风险评分维度(0-100):
- 基础分:监听0.0.0.0(+20分)、使用root运行(+15分)、有历史CVE(+30分)
- 行为分:外网连接数>100(+10分)、流量突增>500%(+15分)、连接恶意IP(+40分)
- 配置分:使用默认密码/弱密码(+25分)、开启不必要的高危功能(+10分)
首次发现新监听端口时的弹窗:
🔔 安全提醒:检测到新的网络服务
服务名称:Alist v3
进程路径:/mnt/user/appdata/alist/alist
监听端口:TCP 5244 (0.0.0.0) ← 可从外网访问
应用类型:文件管理工具
风险评级:🟡 中危(文件管理类应用外网暴露可能导致数据泄露)
请选择访问策略:
○ 允许外网访问(需配置强密码+HTTPS)
○ 仅允许局域网(推荐)
○ 完全禁止(阻断5244端口)
○ 稍后决定(临时允许,24小时后再次提醒)
☑️ 记住此选择,下次自动应用
2.2 三层防御体系
第一层:默认拒绝(Default Deny)
系统初始化时创建隐式规则:
- 入站:DROP all(拒绝所有未明确允许的入站连接)
- 出站:ACCEPT all(允许出站,但记录日志供分析)
用户界面不显示"默认允许",而是显示"当前有X个服务请求外网访问,已批准Y个,待确认Z个"
第二层:应用授权(Application Allowlist)
用户授权表结构:
应用ID | 应用名称 | 允许端口 | 允许方向 | 允许范围 | 生效时间 | 特殊限制
-------|---------|---------|---------|---------|---------|---------
app_001 | Plex | 32400/TCP | 入站 | 全网 | 永久 | 需HTTPS
app_002 | qBittorrent | 8080/TCP,51413/UDP | 入站+出站 | 全网 | 永久 | 限速50MB/s
app_003 | SSH | 22/TCP | 入站 | 仅192.168.1.0/24 | 永久 | 禁止root登录
app_004 | Alist | 5244/TCP | 入站 | 全网 | 30天 | 到期需重新确认
底层自动生成iptables/nftables规则,确保未授权应用即使监听端口也无法被访问
第三层:动态威胁响应(Dynamic Threat Response)
实时检测 → 自动响应策略:
场景1:检测到SSH暴力破解
- 触发条件:5分钟内同一IP失败登录≥3次
- 响应动作:自动封禁IP 1小时,发送通知,记录日志
场景2:检测到异常外联
- 触发条件:某进程首次连接境外IP且该IP在威胁**库中
- 响应动作:立即阻断该连接,弹窗询问用户是否允许该应用访问外网
场景3:检测到端口扫描
- 触发条件:10分钟内来自同一源的连接尝试覆盖>20个不同端口
- 响应动作:自动封禁IP 24小时,提升防火墙日志级别
场景4:流量突增
- 触发条件:某应用上行流量在5分钟内增长>1000%
- 响应动作:限速至10%带宽,发送告警,等待用户确认
2.3 可视化规则编辑器
摒弃"输入端口号"的传统方式,改为:
**─────────────────────────────────────────**
** 防火墙规则编辑器 - 应用视角 **
**─────────────────────────────────────────**
** **
** 【已授权应用】 **
** ☑️ Plex (32400) [外网] [修改] **
** ☑️ qBittorrent (8080) [外网] [修改] **
** ☑️ SMB (445) [仅内网] [修改] **
** **
** 【待确认应用】 **
** ⚠️ Alist (5244) [选择策略...] **
** ⚠️ 未知进程 (38888) [查看详情...] **
** **
** 【已阻断应用】 **
** 🚫 SSH (22) 外网访问 [恢复] [查看日志]**
** **
** [+ 添加自定义规则] [一键加固] **
** **
**─────────────────────────────────────────**
"一键加固"按钮功能:
- 扫描所有当前监听端口
- 识别出所有外网可访问的应用
- 弹窗列表让用户逐个确认"允许/仅内网/阻断"
- 自动生成兜底规则:未列出的端口全部拒绝
- 生成配置报告,发送邮件/通知
第三部分:入侵感知与主动防御
3.1 实时威胁检测引擎
检测规则库(持续更新):
| 规则ID |
名称 |
检测逻辑 |
响应动作 |
| TH-001 |
SSH暴力破解 |
22端口,同一IP 5分钟≥3次失败 |
封禁IP 1h,通知 |
| TH-002 |
RDP扫描行为 |
3389端口被探测 |
封禁IP 24h,告警 |
| TH-003 |
加密货币挖矿 |
进程连接已知矿池域名/IP |
阻断连接,杀进程,通知 |
| TH-004 |
反向Shell |
进程启动/bin/sh并建立外网连接 |
立即阻断,隔离进程,紧急通知 |
| TH-005 |
内网横向移动 |
同一源IP在短时间内扫描多个内网IP的多个端口 |
封禁源IP,告警 |
| TH-006 |
数据外泄 |
单进程外发流量>10GB/小时或连接境外云存储 |
限速,弹窗确认 |
| TH-007 |
0day利用尝试 |
Web服务收到畸形请求(如Log4j、CVE-2024-XXXX特征) |
阻断IP,记录payload,紧急更新 |
3.2 资产暴露面分析
"我的NAS有多危险?"一键检测:
扫描项目:
□ 公网IP是否可直接访问管理界面(HTTP/HTTPS 80/443)
□ 是否存在默认密码或弱密码(本地字典爆破测试)
□ 高危端口是否暴露(22/3389/3306/5432/6379/9200等)
□ 已知CVE漏洞检测(本地版本比对CVE库)
□ 证书有效性(过期/自签名/不可信)
□ DNS泄露测试(IPv6是否绕过防火墙)
□ UPnP/NAT-PMP滥用(路由器是否自动映射了危险端口)
生成报告:
- 风险评分:0-100
- 危险等级:🟢安全 🟡低风险 🟠中风险 🔴高危 🔴🔴极高危
- 修复建议:逐项列出操作步骤
- 对比数据:您的安全评分超过X%的飞牛用户
第四部分:数据安全与加密改进
4.1 加密备份流程重构
当前问题: 云端解密卡顿,无本地解密选项
优化方案:
加密备份流程:
本地数据 → 客户端加密(AES-256-GCM)→ 上传云端 → 云端仅存储密文
恢复流程(两种模式):
模式A(在线解密):云端下载 → 内存中解密 → 写回本地(适合小文件)
模式B(本地解密):云端下载密文到本地缓存 → 本地离线解密 → 验证完整性 → 恢复(适合大文件/网络不稳定)
关键改进:
- 模式B支持断点续传(下载中断后可从断点继续,无需重传)
- 解密进度实时显示(已处理X GB / 总计Y GB,预计剩余Z分钟)
- 解密失败时保留密文,支持重试,不损坏数据
- 支持"仅下载不解密"选项,方便用户在其他设备手动解密
4.2 密钥管理
密钥层级:
- 主密钥:用户密码派生(PBKDF2/Argon2),不出设备
- 文件密钥:随机生成,每个文件独立,由主密钥加密后存储在文件头
- 分享密钥:临时生成,用于加密分享链接,可设置有效期
安全特性:
- 支持硬件密钥(YubiKey)作为第二因素
- 支持密钥托管(可信联系人机制,防止密码丢失)
- 定期提醒更换密码/密钥轮换
总结:飞牛安全中心的演进路线图
| 阶段 |
时间 |
核心交付 |
| 紧急补丁 |
1个月内 |
端口扫描工具(让用户看见)、一键阻断高危端口 |
| 基础重构 |
3个月内 |
应用级白名单防火墙、实时流量监控、连接日志 |
| 智能防御 |
6个月内 |
威胁检测引擎、自动响应、暴露面分析 |
| 专业级 |
12个月内 |
完整SIEM能力、威胁**集成、合规审计报告 |
最后呼吁:
NAS是用户的数字保险箱,飞牛不应该只做一个"存储工具",而应该成为用户数字资产的"安全管家"。当黑客面对一台飞牛NAS时,应该感到"无从下手、无处遁形";而用户面对自己的NAS时,应该感到"一切尽在掌握"。这才是专业NAS系统应有的安全水准。
