无论你入坑NAS的理由是什么,既然抛弃云盘而选择了“私有云”,数据安全是绝对有必要关注的事情,千万别以为买了NAS就可以高枕无忧了?很多NAS玩家都认为数据全部放NAS比云盘安全,其实也不尽然,在NAS使用中还是有很多安全措施做好,以免丢失和泄露数据。
我使用的是威联通NAS TS-462C,处理器为N4505,制程工艺10nm,显卡是Intel UHD Graphics 24 EUs (Jasper Lake),支持硬解4K HDR视频,网络接口是2.5Gbe,搭配QTS5.0系统,作为一款NAS中端机型非常抗打,下面就可以威联通NAS为例,讲一下日常需要做好的防范措施。
1、停用admin账户,新建一个管理员账户
2、使用高强度密码,防止暴力破解,并定期更改
3、更改默认的设备端口号
4、启用登录密码错误自动锁定功能,将可疑IP加入拒绝列表。
5、停用不必要的服务
6、使用 SSL 加密连线
7、启用系统连线记录
8、启用 NAS 通知功能
9、保持系统及套件在最新的版本,启用安全套件并定期扫描
10、将NAS放置在安全稳定的地方
11、关注硬盘的健康检测,重要的资料Raid备份
1、停用admin账户,新建一个管理员账户
大部路由器和NAS的管理员默认账户都是admin,多数攻击都是针对admin管理员用户进行,所以使用admin作为管理员名是非常容易暴露在危险之下,威联通NAS在安装QTS5.0版本的时候,admin账户已经存在,需要强制用户新增加一个管理员账号,同时自动停用admin账户,这样就让攻击者失去了攻击目标。
当然新建的管理员用户名和设备名称不要太相似,也不要有规律可循,比如有的用户设备名叫xiaoming-NAS,用户名叫xiaoming,这就太容易被猜到了。
另外,一定要牢牢记住管理员用户名,以免把自己卡在门外登录不上,我就犯过这样的错误。
2、使用高强度密码,防止暴力破解,并定期更改
有的用户把NAS密码设置的很简单,甚至是abc123456这样的简单密码,如果再使用默认的admin账户,那就妥妥变成肉鸡,很容易被暴力破解,首先要停用admin管理员账户,再设置高强度的密码,大小写+字符+数字位数至少10位以上,并且强制定期更换,固定密码极容易泄露,前几天,我一个不常用的QQ密码就泄露了,发了很多垃圾信息导致被封号。
除了使用高强度密码外,玩家还可以使用两步验证功能,在输入正确密码后,还需要使用应用程序产生一个有时效性的密码,才能成功登入。
3、更改默认的设备端口号
很多玩PT站的用户,都是使用NAS来下载,我也不例外,从PT网站下载了一个热门种子,可以在页面上看到当前正在连接的用户IP。
威联通/群晖的web端口默认都是5000,可怕的是大多数用户使用的都是默认端口,我这样一个陌生人,可以通过下载软件这样的途径轻松获取到上面这些同学的NAS IP,并且部分用户映射了5000端口,可以通过IP地址+ 端口的形式打开web登录界面。毫不客气的说,黑客多数是会用自动程序来扫描网络上的 IP地址,这种默认端口被攻破的概率大大增加,虽然说更改了默认端口也无法保证NAS的绝对安全,但至少让你在公网上加了一道防盗门。
群晖如何修改默认端口?
登录管理页面,进入控制台—常规设置——系统管理—系统端口,更改之后再从路由器上修改你对应的端口映射
4、启用登录密码错误自动锁定功能,将可疑IP加入拒绝列表。
启动该功能,当登录密码错误达一定的次数后,就把 IP地址直接封锁一段时间,这样做可以防止遇到字典暴力破解。虽说黑客多数是会用自动程序来扫描网络上的 IP地址进行尝试性破解,但万一有人对你感兴趣,想瞅瞅你的NAS里都有啥,这就不得不防了。
如果你有防火墙,可以看看日志,会看到IP扫描,攻击,尝试破解密码。若有某些固定IP反复尝试破解,记得把它IP地址加入拒绝列表。
5、停用不必要的服务
众所周知,系统都不是完美的,总会有些漏洞和bug,功能越全面,开启服务越多,潜在的漏洞就越多。NAS系统用户群广泛,提供了多种服务,当中必然包含玩家实际并未使用的服务,用户可以根据自己的需要检查一下有没有不必要的服务,把部分服务停用,可以减少一些潜在的风险。
6、使用 SSL 加密连线
通过启用及使用 SSL 加密连线,能让所有资料都在有加密的情况下传送,防止黑客从cookie中提取到账户和密码,使 NAS 更安全。还可以配合 NAS 厂商整合的免费 SSL 凭证,让浏览器或应用程序不会跳出 SSL 凭证不正确的警告。
7、启用系统连线记录
启用系统连线记录可以更容易发现 NAS 有没有被攻击,也可以配合系统通知功能使用让系统主动通知),通过记录可以清楚得知有什么文件曾经被存取,也能得知使用者在什么时候从什么 IP 登入,遇到可疑IP有可疑操作,直接拉入黑名单
8、启用 NAS 通知功能
威联通NAS的默认通知功能事无巨细,屁大点事也要通知一下,如果你觉得比较烦可以根据事件严重等级类型自定通知,并且现在威联通设备提供了即时通讯通知功能,支持 e-mail 、 短信通知及浏览器推送通知。支持多个通知方法齐发,还可以根据不同的应用及事件严重程度自定通知规则,确保用户能时时刻刻收到重要通知。
9、保持系统及套件在最新的版本,启用安全套件并定期扫描
对于系统和套件中的bug,厂商会通过更新的方式来修复,所以时刻保持NAS系统及套件在最新版本能有效减少漏洞数目,同时被攻击的机会也就大大减少了。系统自带的Malware Remover相当于安全卫士,可以定期检查及自动删除恶意软件。
10、将NAS放置在安全稳定的地方
因为机械硬盘便宜且容量大,一般NAS都会首选机械硬盘作为存储硬盘,但机械硬盘工作时比较怕震动,经常产生震动的话容易导致硬盘故障,所以尽量把NAS放在安全稳定的地方,并且保持通风、干燥,NAS散热好工作会更稳定,如果你所在的地区经常停电,最好配备一个UPS。
11、关注硬盘的健康检测,重要的资料Raid备份。
现在硬盘容量越来越大,价格也越来越便宜,动辄几T甚至十几T,这真的是把双刃剑,毕竟不论机械硬盘还是固态硬盘,总有一定的概率会损坏,辛辛苦苦整理的电影和文件都在里面,如果硬盘坏掉一块,那真的是哭都来不及,
1:NAS下载会经常读读写写,对硬盘寿命影响比较大,尽量固定使用一块硬盘作为下载盘专用,即便坏了也没太大损失。
2:定期检查硬盘健康状态,发现硬盘有问题,及时备份资料。
3:如有重要资料,建议将硬盘进行Raid1备份,两块硬盘同时挂掉很罕见,硬盘有价,而数据无价。
没有绝对安全的服务器,但做好防范措施,可以有效的降低被攻击的几率,好了,这次就分享到这里了,各位还有一些其他安全经验需要补充的话,还请多多指教。
原文链接:https://zhongce.sina.cn/interface/article/view/126199/