本文最后更新于 2025-10-22,文章内容可能已经过时。

本文部署需要有公网IPv4或者IPv6。如果没有请使用第三方支持SSL的穿透服务。

1. 详细介绍

🤔 cryptgeon 是什么?

cryptgeon(加密鸽) 是一个受 PrivNote项目启发的安全、开源共享密信和文件共享服务器,可以很方便地加密分享文本和文件。

✨ 特点

  • 军工级加密:采用 AES-GCM 算法,加密密钥永驻客户端

  • 内存级存储:数据仅保存在服务器内存中,断电即毁

  • 三重防护体系:ID+Key 双重验证、数据加密传输、阅后自动销毁

其独特的架构设计使得 NAS 管理员也无法窥探内容,真正实现"服务器盲文"。

2. 🐳 安装指南

下面介绍飞牛 NAS 通过 Docker 进行部署, 其它部署方式请参考官方说明文档。

1. 在飞牛主页面找到 Docker 打开后,切换菜单 Compose -> 新增项目

2. 创建项目页面根据实际情况定义 项目名称、选择 路径,选中 创建 docker-compose.yml 后,把下面 yml 文件粘贴到文本框中。检查无误后点击 确定 按钮进行部署。

services:
  redis:
    image: redis:latest
    restart: always
    container_name: cryptgeon-redis

  app:
    image: cupcakearmy/cryptgeon:latest
    container_name: cryptgeon-app
    depends_on:
      - redis
    environment:
      SIZE_LIMIT: 4 MiB  # 单条信息最大容量
    ports:
      - 6767:8000        # 端口映射(左为外网端口)
    restart: always

注:加密鸽不会将数据持久化到磁盘上,因此无需挂载数据卷。

Lucky 配置域名

需要用到 Lucky 进行,如果不清楚 Lucky 如何配置,可参考 一文看懂NAS动态域名+反向代理保姆级教程

1. 点击 Lucky左侧菜单 SSL/TLS证书 -> 添加证书

2. 点击 Lucky 左侧菜单 Web服务 -> 添加Web服务规则

3. 使用

在浏览器地址输入:https://<DDNS域名>:7676 可访问 Cryptgeon 服务。

发送加密文本

基础用法

在文本框中输入你要发送的密信,然后点击create按钮即可生成一个带密钥的加密链接,该链接默认被查看一次,即该内容通过密链被查看一次后将被永久删除。

查看效果:

高级设置

打开高级设置按钮,即可设置本次发送的密信的高级设置。其中,mode按钮用于设置限制类型,即限制最大查看次数还是限制有效期。

发送加密文件

打开左下角的file开关即可进入文件发送模式,(由于加密鸽的所有数据都存储在内存中,所以非常不适合发送大文件。

4. 安全机制深度解析

防护层级

技术实现

安全效果

传输层

TLS 1.3

防止中间人窃听

存储层

内存驻留

断电数据消失

加密层

AES-256-GCM

密钥永不离开工控端

访问控制

单次查看

严格限制阅后次数

即使 NAS 被物理窃取,由于数据仅存在于内存中,攻击者也无法恢复已销毁信息。

5. 进阶配置建议

  1. 容量优化:修改 SIZE_LIMIT 参数可调整最大传输量(建议不超过32MiB)

  2. 访问控制:在反代规则中添加 IP 白名单

  3. 日志防护:关闭容器日志记录功能

  4. 定时重启:设置每日自动重启容器,清除内存残留

结语:数字时代的隐私盾牌

通过 NAS 搭建的 Cryptgeon 服务,完美解决了敏感信息传输的三大痛点:存储风险、传输风险、留存风险。无论是传递临时密码、共享机密文件,还是发送隐私照片,都能实现真正的"阅后即焚"。在数据安全形势日益严峻的今天,这套方案值得每个重视隐私的用户掌握。