本文以白群晖为例,默认可以正常的连接到群晖官方的服务器进行更新等操作。
参考&翻译:/2014/12/synology-security/
面向普通用户[需求普通,保证基本的安全性,不追求极致安全。能力要求普通,会基本的交互操作即可:)]
1. 保持系统更新。也许在古老的年代windows无穷无尽甚至无用的更新让你对自动更新这个机制倒了胃口。但是群晖的系统更新对于提升你家中的群晖nas的安全性有百利而无一害。所以,别忘了设置定时的自动系统更新。顺便,windows、mac的自动更新也可以开着,很多时候,脚本小子们也只能拿已经公开了很久的系统漏洞做一些攻击。
3.关掉Admin这个账号。Admin这个账号是所有Dsm的默认账号,所以如果有黑客做暴力破解的话大概会在这个账号上试试运气。所以一个建议是在控制面板里找到用户选项,然后在Administrator用户组里新建一个其他的用户,用新建的用户名登录,然后停用Admin这个账号。
4.如果对账号安全有更高的要求,则可以开启两步验证。一般的话选择google authenticator ,这样的话登录的时候还要输入在这个软件里给出的六位密码。能基本保证不会因为账号密码泄露而带来数据泄露。当然这是以降低使用的体验为代价的。“我去研究下是否可以在内网、外网区分这个策略再来补充。”
5.修改默认端口:加粗是因为我认为这点很重要,投入也很小,而大多数普通玩家没有做。对于普通用户而言,把一个linux系统加固到中上水平的黑客无论如何也黑不进去是很难的,就像普通人要避开大内高手的暗杀只能自求多福一样。但是少去危险的地方,平时好好锻炼身体,避免小混混们的骚扰则是相对容易 性价比也很高的事情。
在控制面板的网络选项卡,Dsm设置里把5000和5001的http、https端口改成1024到65535之间的随机数字,就是这样的一件事情。这样能防止大部分低级的直接针对DSM的扫描。
6. 防火墙:防火墙策略其实是一件很有学问的事情。所以根据普通用户的需要,只新建几条简单的策略即可,策略太多反而有可能造成冲突。“比如把自己拦在系统外面进不来。。。。”
eg:
Allow all traffic on all ports from my local network,
Allow only HTTPS port (12346 from the example above)
Allow only various application ports (web, owncloud, etc)
7. 自动拦截:Dsm5.1之后推出了自动拦截的特性。如果从某个ip登录的尝试出现过多的错误,就可以自动拦截这个ip之后的所有登录请求。
在控制面板的安全中可以找到这个特性,推荐打开这个特性,设置20分钟内超过5次错误的尝试,就block这个ip。还可以设置这个block的解禁时间,当然其实也可以不解禁。也可以设的长一点 7天什么的~
8.关于quickconnect 和ddns:在外网访问的家中的任何服务首先都要知道ip地址,传统的解决方案是使用ddns。群晖推出了自家的quickconnect服务,易用性一流。对于两者的安全性孰优孰略,稍后更新。
2016年6月21日更新:推荐使用dnspod的ddns服务端,易用,安全。
原文链接:http://www.360doc.com/content/18/0711/16/57295339_769608927.shtml
