Plex är den dominerande programvaran som används för att själv vara värd för ett mediebibliotek på Windows, Mac och Linux. Med den kan du komma åt dina filmer, program och musik från vilken enhet som helst, var som helst. Men tusentals användare gör ett misstag som gör deras servrar och nätverk sårbara för hackare.
Så vad är problemet med att köra Plex? Hur kan du fixa det? Hur kan du göra din Plex-server säkrare?
Är din Plex-server verkligen säker?
Utgångspunkten för Plex är enkel. Du har ett stort mediebibliotek hemma; antingen på en stationär PC, en Raspberry Pi eller en NAS, och med Plex-servermjukvaran kan du använda dedikerade appar eller en webbläsare för att smaka på media till ditt hjärta. Om du betalar för extrafunktioner som Plex Pass kan du till och med titta på och spela in live-TV-sändningar och synkronisera framsteg mellan enheter.
För att göra detta dirigerar du enheterna i ditt hem att komma åt port 32400 på värddatorn. Om du vill konsumera media när du är ute och reser – när du reser på tåget, kopplar av eller arbetar på ett kafé, eller när du hemma hos en vän måste du till exempel öppna port 32400 på din router och vidarebefordra trafik till samma port på din PC. Du kan komma åt din Plex mediaserver var som helst med din.public.ip.adress: 32400. Så långt, så enkelt.
Som standard är nätverkstrafiken till en enskild IP-adress okrypterad. Och det kan vara ett stort problem.
Varför är det farligt att köra Plex över en okrypterad anslutning?
Genom att använda en okrypterad anslutning är din trafik sårbar för en Man-in-the-Middle (MITM) attack. Detta innebär att en angripare kan snoka på din nätverkstrafik, injicera oönskad kod i din trafik och till och med fånga upp användarnamn och lösenord.
Situationen förvärras av säkerhetsbrister i Plex. Dessa lappas regelbundet av Plex säkerhetsteam och deras uppgifter avslöjas till internet i stort. Tyvärr håller inte alla Plex-användare sin Plex-programvara uppdaterad, och vissa användare kanske inte har uppdaterat på flera år. Serverversioner äldre än 1.18.2, till exempel, har sårbarheter genom vilka en angripare kan ta över hela ditt värdsystem.
Brottslingar och andra intresserade har tillgång till verktyg med öppen källkod, som Robert David Grahams MASSKAN, som kan skanna hela internet på fem minuter. Detta gör det enkelt att identifiera IP-adresser där port 32400 är öppen.
Varför du bör komma åt Plex via ett domännamn med TLS
De flesta servrar på internet nås via två standardportar: 80 för okrypterad HTTP-trafik och 443 för krypterad trafik med HTTPS (det extra "S" betyder "Säker") och implementerar Transport Layer Security (TLS), som är immun mot MITM-attacker. Om du kör en Plex-server bakom någon av dessa portar kommer ett massportsskanningsverktyg inte att avslöja det för potentiella angripare – även om HTTPS uppenbarligen är bättre.
Domännamn är billiga, eller till och med gratis om du väljer en leverantör som Freenom. Och du kan konfigurera en omvänd proxy så att webbtrafik till din Plex-server passerar port 443 och port 32400 aldrig exponeras.
Ett sätt att göra detta är att köpa en billig Raspberry Zero W för $10 för att fungera som mellanhand.
Hur man använder en Raspberry Pi för att skydda din Plex-server
Det första du ska göra är att besöka din registrar Avancerad DNS inställningssidan. Radera alla poster och skapa en ny A spela in. Ställ in värden på "@", värdet på din offentliga IP-adress och TTL så lågt som möjligt.
Logga nu in på din routers adminpanel. Öppna portarna 80 och 443 och vidarebefordra båda till den lokala IP-adressen för din Raspberry P i Zero. Stäng port 32400.
Efter att du har installerade Raspberry Pi OS, använda sig av säkert skal (SSH) för att logga in på din Raspberry Pi.
ssh pi@din.pi.local.ipUppdatera och uppgradera alla installerade paket:
sudo apt uppdatering
sudo apt uppgraderingInstallera Apache-servern:
sudo apt Installera Apache2
sudo systemctl Start apache2
sudo systemctl Gör det möjligt apache2Installera Certbot – ett verktyg som hämtar och hanterar både säkerhet certifikat och nycklar från Let's Encrypt, en tjänst som ställer in SSL-certifikat.
sudo add-apt-repository ppa: certbot/certbot
sudo apt uppdatering
sudo apt-skaffa sig installera python3-certbot-apacheByt katalog och använd nano textredigerare för att skapa en ny Apache-konfigurationsfil för att vidarebefordra alla förfrågningar om ditt nya domännamn till maskinen som är värd för Plex-servern:
sudonanoplex.confDu kommer att presenteras med en tom textfil. Klistra in följande:
<VirtualHost *:80>
Server namnditt-domännamn.tld
ProxyPreserveHost På
ProxyPass / http://din.plex.server.local.ip: 32400/
RewriteEngine på
RewriteCond %{HTTP:Uppgradera} websocket[NC]
RewriteCond %{HTTP:Förbindelse} uppgradering[NC]
</VirtualHost>Spara och avsluta nano med Ctrl + O sedan Ctrl + X.
Aktivera konfigurationen och starta om Apache:
sudoa2ensiteplex.conf
sudo-tjänsten apache2 omstartKör certbot för att ta SSL-certifikat och nycklar från Let's Encrypt:
sudo certbotAnge din e-postadress när du begär det och godkänn villkoren, välj sedan ditt domännamn från en lista med ett och tryck på retur.
Certbot kommer att hämta och distribuera säkerhetscertifikat och nycklar från Let's Encrypt igen. Starta om Apache en gång till.
Logga ut från din Raspberry Pi Zero:
utgångGenom att följa dessa instruktioner har du lyckats stänga port 32400 och dolt din Plex-servers existens från portskannrar – samtidigt som du säkerställer att du fortfarande kan komma åt den med ditt anpassade domännamn. All trafik till din Plex-server kommer att krypteras och skyddas med TLS, vilket innebär att du kan koppla av och njuta av senaste avsnitten av House of The Dragon utan att behöva oroa dig för vem som försöker bryta sig in i ditt nätverk.
