大家購置群暉NAS的初衷之一就是可以搭建自己的私有云,但是NAS也是連網(wǎng)的,所以也會(huì)擔(dān)心其安全性。
眾所周知,Linux系統(tǒng)很少會(huì)遭受到黑客攻擊。但是NAS就好像一臺(tái)小型計(jì)算機(jī)一樣,也可以進(jìn)行一些安全性設(shè)置。
第一道防線
賬 密
暉姑娘以前有個(gè)郵箱不知怎么就被人黑了來發(fā)垃圾郵件,那一陣暉姑娘手機(jī)相冊(cè)里只收藏了一張鍵盤照,便于在手機(jī)上輸入郵箱密碼時(shí)使用,因?yàn)檫@串密碼是要看到鍵盤長啥樣才能知道密碼是啥…后來,暉姑娘得知身邊一個(gè)好友會(huì)用化學(xué)元素周期表來設(shè)密碼…
小伙伴們?cè)诎惭bDSM操作系統(tǒng)后一定要設(shè)置一個(gè)管理員權(quán)限的賬戶,并且把密碼設(shè)置的復(fù)雜點(diǎn),建議管理員權(quán)限的賬戶不宜過多。
如果是一臺(tái)多用戶共用的NAS,除了用戶權(quán)限的設(shè)定,還可以如下圖設(shè)置用戶更改密碼的權(quán)限,還能設(shè)定此賬號(hào)的使用期限。
如果想增加密碼強(qiáng)度或是給賬號(hào)當(dāng)前密碼設(shè)定期限可以如下圖設(shè)置
第二道防線
封鎖IP
暉姑娘有一次收到一款社交軟件的短信提醒,有人正在嘗試登錄我的賬號(hào),然后還發(fā)來一個(gè)更改密碼的驗(yàn)證碼…當(dāng)下暉姑娘就不緊張了,用了這個(gè)對(duì)方想要的驗(yàn)證碼把原來的密碼改了。
現(xiàn)在很多社交軟件包括郵箱都會(huì)記錄用戶常用登錄設(shè)備及常用IP,以便在出現(xiàn)異常登錄時(shí)及時(shí)提醒用戶。而在NAS里也可以把在指定時(shí)間內(nèi)登錄失敗多次的IP帳戶自動(dòng)加入黑名單。
如下圖可以設(shè)置嘗試登錄次數(shù)及時(shí)間,超過就會(huì)自動(dòng)封鎖,該數(shù)據(jù)包括所有通過 SSH、Telnet、rsync、網(wǎng)絡(luò)備份、共享文件夾同步、FTP、WebDAV、Synology 移動(dòng)應(yīng)用程序、File Station 或 DSM 的登錄失敗的次數(shù)。
當(dāng)然還能添加IP地址的黑白名單,如果失誤將安全I(xiàn)P加入黑名單,也可在此頁面進(jìn)行移除。
第三道防線
防火墻
在NAS里可以啟用防火墻、創(chuàng)建防火墻規(guī)則以及配置防火墻設(shè)置,以防止未經(jīng)授權(quán)的登錄和控制服務(wù)訪問。而且可以允許或拒絕特定 IP 地址對(duì)某些網(wǎng)絡(luò)端口的連接。
DSM 防火墻會(huì)根據(jù)優(yōu)先順序來匹配規(guī)則。規(guī)則匹配后,將會(huì)強(qiáng)制執(zhí)行該規(guī)則,且 DSM 防火墻將不會(huì)繼續(xù)匹配其余的規(guī)則。如果沒有匹配的規(guī)則,則 DSM 防火墻將執(zhí)行各接口指定的默認(rèn)操作。
第四道防線
防御DoS攻擊
啟用這個(gè)功能可以防御來自互聯(lián)網(wǎng)的 DoS 攻擊,維持服務(wù)器正常流量的順暢,避免因不明攻擊造成服務(wù)癱瘓。設(shè)置如下圖
第五道防線
2步驗(yàn)證登錄
2步驗(yàn)證就是在登錄時(shí)除了輸入賬戶密碼,還要額外輸入一次性的驗(yàn)證代碼,所以就算有人竊取了用戶的密碼,沒有這個(gè)一次性驗(yàn)證代碼依然無法登錄NAS。
注意:2步驟驗(yàn)證需要支持基于時(shí)間的一次性密碼(TOTP)協(xié)議的移動(dòng)設(shè)備和驗(yàn)證應(yīng)用程序。驗(yàn)證應(yīng)用程序包括 Google Authenticator(Android/iPhone/BlackBerry)或 Authenticator(Windows Phone)。
這里點(diǎn)擊下一步后,會(huì)跳出一個(gè)二維碼,大家需提前在移動(dòng)設(shè)備上下載好上述提及的驗(yàn)證應(yīng)用程序。掃描二維碼后會(huì)出現(xiàn)一個(gè)數(shù)字驗(yàn)證碼,這個(gè)驗(yàn)證碼有時(shí)間效期,過期后驗(yàn)證碼會(huì)自動(dòng)更新。
設(shè)置成功后,退出賬號(hào)重新登錄,在輸入賬戶密碼后,會(huì)再提示輸入驗(yàn)證代碼,由于之前已經(jīng)掃描過二維碼,在驗(yàn)證應(yīng)用程序上已記錄下NAS信息,只要打開應(yīng)用程序輸入顯示的6位驗(yàn)證碼即可。
如果登錄設(shè)備為用戶個(gè)人常用設(shè)備,也可勾選“記住本設(shè)備”,那下次在這臺(tái)設(shè)備上登錄就無需輸入驗(yàn)證碼了。
除了以上系統(tǒng)的安全性設(shè)置,小伙伴在共享文件給他人的時(shí)候盡量設(shè)置有效期。要確保自己的數(shù)據(jù)安全,就要時(shí)刻保持一個(gè)警惕的習(xí)慣。
如果想要掃描你的NAS整體配置,可以使用“安全顧問”,完成掃描后還能提供安全狀態(tài)的詳細(xì)報(bào)告哦~