适合企业的NAS网络存储服务器

做好这五道防线,抵御勒索病毒入侵群晖NAS

2023年12月4日 | 常规说明, 教程中心

大家购置群晖NAS的初衷之一就是可以搭建自己的私有云,但是NAS也是连网的,所以也会担心其安全性。众所周知,Linux系统很少会遭受到黑客攻击。但是NAS就好像一台小型计算机一样,也可以进行一些安全性设置。

第一道防线:账  密

来自用户分享:我以前有个邮箱不知怎么就被人黑了来发垃圾邮件,那一阵手机相册里只收藏了一张键盘照,便于在手机上输入邮箱密码时使用,因为这串密码是要看到键盘长啥样才能知道密码是啥…后来,得知身边一个好友会用化学元素周期表来设密码…

小伙伴们在安装DSM操作系统后一定要设置一个管理员权限的账户,并且把密码设置的复杂点,建议管理员权限的账户不宜过多。

如果是一台多用户共用的NAS,除了用户权限的设定,还可以如下图设置用户更改密码的权限,还能设定此账号的使用期限。

如果想增加密码强度或是给账号当前密码设定期限可以如下图设置

第二道防线:封锁IP

晖姑娘有一次收到一款社交软件的短信提醒,有人正在尝试登录我的账号,然后还发来一个更改密码的验证码…当下晖姑娘就不紧张了,用了这个对方想要的验证码把原来的密码改了。

现在很多社交软件包括邮箱都会记录用户常用登录设备及常用IP,以便在出现异常登录时及时提醒用户。而在NAS里也可以把在指定时间内登录失败多次的IP帐户自动加入黑名单。

如下图可以设置尝试登录次数及时间,超过就会自动封锁,该数据包括所有通过 SSH、Telnet、rsync、网络备份、共享文件夹同步、FTP、WebDAV、Synology 移动应用程序、File Station 或 DSM 的登录失败的次数。

当然还能添加IP地址的黑白名单,如果失误将安全IP加入黑名单,也可在此页面进行移除。

第三道防线:防火墙

在NAS里可以启用防火墙、创建防火墙规则以及配置防火墙设置,以防止未经授权的登录和控制服务访问。而且可以允许或拒绝特定 IP 地址对某些网络端口的连接。

DSM 防火墙会根据优先顺序来匹配规则。规则匹配后,将会强制执行该规则,且 DSM 防火墙将不会继续匹配其余的规则。如果没有匹配的规则,则 DSM 防火墙将执行各接口指定的默认操作。

第四道防线:防御DoS攻击

启用这个功能可以防御来自互联网的 DoS 攻击,维持服务器正常流量的顺畅,避免因不明攻击造成服务瘫痪。设置如下图

第五道防线:2步验证登录

2步验证就是在登录时除了输入账户密码,还要额外输入一次性的验证代码,所以就算有人窃取了用户的密码,没有这个一次性验证代码依然无法登录NAS。

注意:2步骤验证需要支持基于时间的一次性密码(TOTP)协议的移动设备和验证应用程序。验证应用程序包括 Google Authenticator(Android/iPhone/BlackBerry)或 Authenticator(Windows Phone)。

这里点击下一步后,会跳出一个二维码,大家需提前在移动设备上下载好上述提及的验证应用程序。扫描二维码后会出现一个数字验证码,这个验证码有时间效期,过期后验证码会自动更新。

设置成功后,退出账号重新登录,在输入账户密码后,会再提示输入验证代码,由于之前已经扫描过二维码,在验证应用程序上已记录下NAS信息,只要打开应用程序输入显示的6位验证码即可。

如果登录设备为用户个人常用设备,也可勾选“记住本设备”,那下次在这台设备上登录就无需输入验证码了。

除了以上系统的安全性设置,小伙伴在共享文件给他人的时候尽量设置有效期。要确保自己的数据安全,就要时刻保持一个警惕的习惯。

如果想要扫描你的NAS整体配置,可以使用“安全顾问”,完成扫描后还能提供安全状态的详细报告哦

文章标签:

相关文章