O Plex é o software dominante usado para auto-hospedar uma biblioteca de mídia no Windows, Mac e Linux. Com ele, você pode acessar seus filmes, shows e músicas de qualquer dispositivo, em qualquer lugar. Mas milhares de usuários estão cometendo um erro que deixa seus servidores e redes vulneráveis a hackers.
Então, qual é o problema em executar o Plex? Como você pode corrigi-lo? Como você pode tornar seu servidor Plex mais seguro?
Seu servidor Plex é realmente seguro?
A premissa do Plex é simples. Você mantém uma grande biblioteca de mídia em casa; seja em um PC desktop, um Raspberry Pi ou um NAS, e com o software do servidor Plex, você pode usar aplicativos dedicados ou um navegador para consumir mídia para o conteúdo do seu coração. Se você pagar por extras como o Plex Pass, poderá até assistir e gravar transmissões de TV ao vivo e sincronizar o progresso entre dispositivos.
Para fazer isso, você direciona os dispositivos em sua casa para acessar a porta 32400 na máquina host. Se você quiser consumir mídia enquanto estiver fora de casa - enquanto viaja no trem, relaxando ou trabalhando em um café, ou enquanto na casa de um amigo, por exemplo, você precisa abrir a porta 32400 do seu roteador e encaminhar o tráfego para essa mesma porta do seu computador. Você pode acessar seu servidor de mídia Plex de qualquer lugar com your.public.ip.address: 32400. Até agora, tão simples.
Por padrão, o tráfego de rede para um endereço IP individual não é criptografado. E isso pode ser um grande problema.
Por que é perigoso executar o Plex em uma conexão não criptografada?
Ao usar uma conexão não criptografada, seu tráfego fica vulnerável a um Ataque Man-in-the-Middle (MITM). Isso significa que um invasor pode bisbilhotar o tráfego de sua rede, injetar código indesejado em seu tráfego e até interceptar nomes de usuário e senhas.
A situação é agravada por vulnerabilidades de segurança no Plex. Eles são corrigidos regularmente pela equipe de segurança do Plex e seus detalhes divulgados na Internet em geral. Infelizmente, nem todos os usuários do Plex mantêm seu software Plex atualizado e alguns usuários podem não ter atualizado há anos. As versões de servidor anteriores à 1.18.2, por exemplo, têm vulnerabilidades por meio das quais um invasor pode assumir todo o sistema host.
Criminosos e outras partes interessadas têm acesso a ferramentas de código aberto, como Robert David Graham's MASSCAN, que pode varrer toda a internet em cinco minutos. Isso facilita a identificação de endereços IP onde a porta 32400 está aberta.
Por que você deve acessar o Plex por meio de um nome de domínio com TLS
A maioria dos servidores na Internet é acessada por meio de duas portas padrão: 80 para tráfego HTTP não criptografado e 443 para tráfego criptografado, usando HTTPS (o "S" extra significa "Seguro") e implementando a Segurança da Camada de Transporte (TLS), que é imune a ataques MITM. Se você estiver executando um servidor Plex por trás de qualquer uma dessas portas, uma ferramenta de varredura de porta em massa não a revelará a invasores em potencial, embora, obviamente, HTTPS seja melhor.
Os nomes de domínio são baratos ou até gratuitos se você escolher um provedor como o Freenom. E você pode configurar um proxy reverso para que o tráfego da Web para o servidor Plex passe pela porta 443 e a porta 32400 nunca seja exposta.
Uma maneira de fazer isso é comprar um Raspberry Zero W barato de US $ 10 para atuar como intermediário.
Como usar um Raspberry Pi para proteger seu servidor Plex
A primeira coisa a fazer é visitar o seu registrador DNS avançado página de configurações. Apague todos os registros e crie um novo UMA registro. Defina o host como "@", o valor para seu endereço IP público e o TTL o mais baixo possível.
Agora, faça login no painel de administração do seu roteador. Abra as portas 80 e 443 e encaminhe ambas para o endereço IP local do seu Raspberry P i Zero. Feche a porta 32400.
Depois que você tiver Raspberry Pi OS instalado, usar capsula segura (SSH) para fazer login no seu Raspberry Pi.
ssh pi@sua.pi.local.ipAtualize e atualize quaisquer pacotes instalados:
sudo apt atualizar
sudo apt upgradeInstale o servidor Apache:
sudo apt instalar Apache2
sudo systemctl começar apache2
sudo systemctl permitir apache2Instale o Certbot—uma ferramenta que irá buscar e gerenciar a segurança certificados e chaves da Let's Encrypt, um serviço que configura certificados SSL.
sudo add-apt-repository ppa: certbot/certbot
sudo apt atualizar
sudo apt-pegue instale python3-certbot-apacheAltere o diretório e use o nano editor de texto para criar um novo arquivo de configuração do Apache para encaminhar todas as solicitações do seu novo nome de domínio para a máquina que hospeda o servidor Plex:
sudonanoplex.confVocê será presenteado com um arquivo de texto em branco. Cole o seguinte:
<Host Virtual *:80>
Nome do servidorseu-domínio-nome.tld
ProxyPreserveHost ativado
ProxyPass / http://seu.plex.server.local.ip: 32400/
RewriteEngine ligado
RewriteCond %{HTTP:Melhoria} websocket[NC]
RewriteCond %{HTTP:Conexão} melhoria[NC]
</VirtualHost>Salve e saia do nano com Ctrl+O então Ctrl + X.
Habilite a configuração e reinicie o Apache:
sudoa2ensiteplex.conf
sudo service apache2 restartExecute o certbot para obter certificados e chaves SSL do Let's Encrypt:
sudo certbotDigite seu endereço de e-mail quando solicitado e concorde com os termos e condições, selecione seu nome de domínio em uma lista de um e pressione Enter.
O Certbot buscará e implantará certificados e chaves de segurança do Let's Encrypt novamente. Reinicie o Apache mais uma vez.
Saia do seu Raspberry Pi Zero:
saídaAo seguir estas instruções, você conseguiu fechar a porta 32400 e ocultar a existência do seu servidor Plex dos scanners de porta, garantindo que ainda pode acessá-lo usando seu nome de domínio personalizado. Todo o tráfego para o seu servidor Plex será criptografado e protegido com TLS, o que significa que você pode relaxar e aproveitar o últimos episódios de House of The Dragon sem precisar se preocupar com quem está tentando invadir sua rede.
