Ubuntu 上 Jellyfin 的安全设置建议
一 系统与基础加固
- 保持系统与软件更新:定期执行 sudo apt update && sudo apt upgrade -y,及时修补漏洞;Jellyfin 也需同步更新。
- 最小权限运行:为 Jellyfin 创建专用系统用户(如 jellyfin),避免使用 root 直接运行服务。
- 文件与目录权限:仅授予 jellyfin 用户对配置、缓存、日志与媒体目录的必要权限,避免其他用户读写。
- 远程管理安全:禁用 root 登录,使用 SSH 密钥登录,限制可登录用户与来源 IP。
- 部署方式:优先使用 Docker 进行进程与文件系统隔离,降低主机被影响面。
二 网络与访问控制
- 防火墙策略:启用 UFW,仅放行必要流量(如 OpenSSH 与 Web 端口),默认拒绝其他入站。
- 端口与暴露面:避免将 8096 直接暴露公网;如必须远程访问,建议通过反向代理并仅开放 443。
- 云环境安全组:在云服务器控制台仅允许来自可信 IP 的 TCP 80/443 访问。
- 反向代理与边界防护:使用 Nginx/Apache 统一接入,启用 HTTPS/TLS、HTTP/2,并可叠加 WAF/CDN 能力。
- 远程访问前提:确需外网访问时,务必配置 SSL/TLS 证书并限制来源。
三 加密与身份认证
- 启用 HTTPS/TLS:使用 Let’s Encrypt + Certbot 自动签发并续期证书,强制全站 HTTPS。
- 代理传递协议头:在反向代理中设置 X-Forwarded-Proto: https 与 X-Forwarded-Port: 443,确保 Jellyfin 正确识别安全连接。
- 凭据与多用户:设置强密码策略,按用户分配媒体库访问与播放权限;如可用,启用 多因素认证 MFA 提升账户安全。
- 安全头部:在反向代理启用 HTTP Strict Transport Security HSTS、X-Frame-Options、X-Content-Type-Options、Referrer-Policy 等安全响应头。
四 运行与监控
- 服务隔离与资源控制:以 systemd 管理 Jellyfin,必要时限制内存/进程数,避免单个服务影响整机稳定性。
- 硬件加速:在 Docker 或本机正确映射 VAAPI/Quick Sync/NVIDIA 设备,减少 CPU 转码负载并提升稳定性。
- 日志与告警:集中收集 Jellyfin 日志与系统日志(如 journald),对异常登录、频繁失败与高并发访问设置告警。
- 资源监控:使用 htop/nvidia-smi 等工具观察 CPU/GPU/内存/IO,及时发现异常占用。
五 快速检查清单
| 项目 |
建议 |
关键端口/路径 |
| 系统更新 |
保持系统与 Jellyfin 最新 |
— |
| 运行账户 |
专用非 root 用户 |
— |
| 防火墙 |
仅放行 22/80/443 |
22/TCP, 80/TCP, 443/TCP |
| 直接暴露 |
避免直曝 8096 |
8096/TCP(仅内网或停用) |
| 反向代理 |
Nginx/Apache + TLS |
443/TCP |
| 证书 |
Let’s Encrypt 自动续期 |
— |
| 安全头 |
HSTS/X-Frame-Options 等 |
— |
| 多用户 |
最小权限 + 强口令 |
— |
| 可选 MFA |
启用二次验证 |
— |
| 日志监控 |
集中采集与告警 |
/var/log/、journald |
