🔐 ggRock 安全
本文概述了在计划将 ggRock 集成到您的基础设施时应考虑的关键安全因素。
🧱 基础设施暴露
ggRock 可能以两种主要方式暴露您的环境:
- 必需的网络端口 — 这些端口必须打开才能正常运作。
- ggRock 应用程序访问 — 如果有人获得 UI 或 API 后端的访问权限,他们可能会滥用它。
🌐 必需的网络端口
以下是标准 ggRock 安装所需的端口列表:
端口 | 协议 | 用途 |
|---|---|---|
22 | TCP | SSH |
69 | UDP | TFTP |
80 | TCP | HTTP |
443 | TCP | HTTPS |
3260 | TCP | iSCSI |
4011 | UDP | ProxyDHCP |
9090 | TCP | Debian 控制面板 |
9100 | TCP | Prometheus Node Exporter(统计数据收集) |
💡 提示:
有关使用内置防火墙保护您的服务器的指导,请参考 ggRock IPTABLES 防火墙配置。
🔁 端口转发注意事项
当 ggRock 用作客户端 PC 的默认网关时,它将把外部流量转发到您的主 LAN 网关。在这种设置中,您打算暴露到互联网的任何端口也必须在本地防火墙中打开。
🛡️ 推荐的网络防护措施
- 使用具有 IP 白名单的外部 VPN 来控制对托管 ggRock 的网络的远程访问。
- 如果不需要远程访问 ggRock 应用程序,请将访问权限限制为仅 LAN。
⚙️ ggRock 应用程序安全
ggRock 应用程序包括 Linux 和 Python 脚本,以及 C# .NET Core 后端 — 所有这些都紧密集成。
- 所有闭源组件(除
ggrock-linux-configurator外)都为了安全和 DRM 目的而加密和混淆。 - 应用程序访问受到身份系统的保护,该系统具有单个管理员账户来控制所有功能。
- 至今,ggRock 没有已知或预期的远程代码执行方法可以被恶意使用 — 即使拥有管理员访问权限也不行。
🔐 应用程序访问防护措施
- 遵循 ggRock 管理员账户的密码最佳实践。
- 对于服务器管理:
- 尽可能使用非提升权限的用户账户。
- 避免共享或使用 root 凭据,除非绝对必要。
更新于: 24/04/2026
谢谢!