裝置

硬體平台

家庭用裝置有很多選擇, 可以找一台退役的筆記型電腦, 或者閒置的桌上型電腦, 或者在電商搜開發板, NAS, 軟路由, Mac 等, 這些都可以承載服務.

硬體的選擇上, 不用太拘泥於x86平台, ARM平台已經成熟, 價格便宜, 效能足夠, 能耗低, 且生態豐富, 適合家庭使用, 如果沒有必須運行遠古軟體的需求, ARM平台是不錯的選擇.

蘋果裝置上裝 Windows/Linux, 或者非蘋果裝置安裝黑蘋果系統, 黑群暉系統等, 都需要花一些時間去研究, 適合有一定技術基礎, 愛折騰的使用者. 但老實講, 沒必要.

裝置選擇參考指標

CPU: 考慮功耗/效能比
記憶體: 至少 4GB 起跳
儲存: 考慮冗餘和擴充性
網路: 千兆網卡基本需求
散熱: 24/7 執行需要可靠散熱
噪音: 放置位置決定噪音要求

作業系統

生態最好, 工具軟體最多的是Linux, 命令列對一些使用者來說是更簡單的操作方式, Linux 上很方便實現自動化, 適合有一定操作基礎的使用者. Linux 下可以選擇的系統有很多, 非專業使用者可以考慮 Ubuntu 桌面版. 還可以選擇黑群暉系統, 但遇到問題需要自己尋找解決辦法.

Windows 系統有最廣泛的使用人群, 絕大多數人的需求在 Windows 上的 IIS(Internet Information Services)中就可以滿足, 只需要動動滑鼠就可以實現足夠多的功能.
Windows 的安裝參考massgrave.dev.

蘋果的 ARM CPU 做的很好, Mac Mini 成為一個有性價比的硬體選擇, 但是 macOS 系統需要介面和命令列交替使用, 既不能完全脫離介面, 也不能完全脫離命令列, 適合有一定技術基礎的使用者.

系統選擇建議

新手入門: Windows + Docker Desktop
進階使用者: Ubuntu Server/Debian
穩定性要求高: RHEL/Rocky Linux
特定需求:
- 媒體伺服器: unRAID
- 儲存導向: TrueNAS
- 全功能 NAS: 群暉 DSM

資料安全

硬碟損壞

硬碟損壞一開始只是偶爾讀不出來, 等到完全讀不出來時再去資料救援, 一是可能救援的價格貴, 二是部分硬碟商家沒有能力救援.
因此推薦購買一個硬碟陣列櫃, 組一個磁碟陣列, 假如硬碟的 5 年損壞率為 10%, 雙盤陣列的損壞率就是 1%, 只要它們不是同時損壞, 就可以通過更換陣列中損壞的硬碟來保證資料不遺失.

資料被盜

如果硬碟被盜, 而所有資料全部未加密, 那就會後患無窮, 特別是隱私資料如機密文件, 密碼備份等. 推薦磁碟都開啟加密, 以防止硬碟被盜後帶來更多損失.
開啟加密會帶來一部分系統資源佔用, 計算資源敏感的使用者可以考慮不開啟加密, 但是要注意硬碟的安全.

多處備份

家裡的硬碟不是絕對安全, 進賊進小孩, 地震洪水, 網路勒索入侵等可能遺失資料, 因此推薦多處備份, 找一個靠譜的雲服務, 備份重要資料.

網路安全

不要輕易暴露直連 IP

有的網路設定可以讓一些裝置獲得獨立公網 IPv6, 這些 IPv6 可以被用於埠掃描. 掃到埠後, 一些服務可能存在漏洞, 被攻擊者利用.
因此除非有明確的需求, 建議家庭網的 IPv6 設定為 NAT6, 做一層位址轉換, 防止直連 IP 被掃描. 需要向外暴露服務的話, 可以設定一台 DMZ 主機. 只是自用的話, 考慮 wireguard/tailscale/zerotier/cloudflare 搭建 VPN, 通過 VPN 訪問家裡的服務.

不要隨便安裝軟體

不管是大眾的還是小眾的, 軟體都可能存在漏洞, 關注軟體的更新, 有漏洞及時更新, 不用的軟體及時解除安裝. 不輕易給軟體高權限.

使用防火牆

關閉防火牆一時爽, 直到被攻破的那一天. 有條件的話稍微研究下規則的配置, 不要輕易的一關了事.

使用安全軟體

有一些安全軟體是免費的, 防護能力多少是有一點的, 比不裝要好.

安全性建議總結

網路隔離: VLAN 分區
訪問控制: 反向代理+認證
監控告警: 硬體狀態監測
備份策略: 3-2-1 原則
- 3 份備份
- 2 種媒體
- 1 份異地

裝置

Tags:

Categories: