五道防线抵御小黑和病毒偷视你的NAS!
大家购置群晖NAS网络存储的初衷之一就是可以搭建自己的私有云,但是NAS也是连网的,所以也会担心其安全性。
众所周知,Linux系统很少会遭受到黑客攻击。但是NAS就好像一台小型计算机一样,也可以进行一些安全性设置。
第一道防线
账 密
小伙伴们在安装DSM操作系统后一定要设置一个管理员权限的账户,并且把密码设置的复杂点,建议管理员权限的账户不宜过多。
如果是一台多用户共用的NAS,除了用户权限的设定,还可以如下图设置用户更改密码的权限,还能设定此账号的使用期限。
如果想增加密码强度或是给账号当前密码设定期限可以如下图设置:
第二道防线
封锁IP
现在很多社交软件包括邮箱都会记录用户常用登录设备及常用IP,以便在出现异常登录时及时提醒用户。而在NAS里也可以把在指定时间内登录失败多次的IP帐户自动加入黑名单。
如下图可以设置尝试登录次数及时间,超过就会自动封锁,该数据包括所有通过 SSH、Telnet、rsync、网络备份、共享文件夹同步、FTP、WebDAV、Synology 移动应用程序、File Station 或 DSM 的登录失败的次数。
当然还能添加IP地址的黑白名单,如果失误将安全IP加入黑名单,也可在此页面进行移除。
第三道防线
防火墙
在NAS里可以启用防火墙、创建防火墙规则以及配置防火墙设置,以防止未经授权的登录和控制服务访问。而且可以允许或拒绝特定 IP 地址对某些网络端口的连接。
DSM 防火墙会根据优先顺序来匹配规则。规则匹配后,将会强制执行该规则,且 DSM 防火墙将不会继续匹配其余的规则。如果没有匹配的规则,则 DSM 防火墙将执行各接口指定的默认操作。
第四道防线
防御DoS攻击
启用这个功能可以防御来自互联网的 DoS 攻击,维持服务器正常流量的顺畅,避免因不明攻击造成服务瘫痪。设置如下图
第五道防线
2步验证登录
2步验证就是在登录时除了输入账户密码,还要额外输入一次性的验证代码,所以就算有人窃取了用户的密码,没有这个一次性验证代码依然无法登录NAS。
注意:2步骤验证需要支持基于时间的一次性密码(TOTP)协议的移动设备和验证应用程序。验证应用程序包括 Google Authenticator(Android/iPhone/BlackBerry)或 Authenticator(Windows Phone)。
这里点击下一步后,会跳出一个二维码,大家需提前在移动设备上下载好上述提及的验证应用程序。扫描二维码后会出现一个数字验证码,这个验证码有时间效期,过期后验证码会自动更新。
设置成功后,退出账号重新登录,在输入账户密码后,会再提示输入验证代码,由于之前已经扫描过二维码,在验证应用程序上已记录下NAS信息,只要打开应用程序输入显示的6位验证码即可。
如果登录设备为用户个人常用设备,也可勾选“记住本设备”,那下次在这台设备上登录就无需输入验证码了。
除了以上系统的安全性设置,小伙伴在共享文件给他人的时候尽量设置有效期。要确保自己的数据安全,就要时刻保持一个警惕的习惯。