很多人冲着RAID功能入手的NAS,以为把数据放到NAS里就能确保安全了,其实要做的安全防护还有很多。
UPS电源
断电或者电压不稳对硬盘伤害非常大,可能会造成数据丢失、数据损坏甚至硬盘损坏的故障。建议给NAS配一个UPS电源,起到稳压和停电报警功效。某些型号的UPS还能和NAS搭配,设定停电超过一定时间通知NAS自动关机。
硬盘
如果你的NAS上有很多重要的资料,推荐使用RAID1模式,即使有一块硬盘坏了也不造成数据丢失。尽量选用NAS存储专用盘,最好是不同品牌、不同型号、不同批次的硬盘,避免硬盘同时损坏。
多备份
RAID1也不能说是绝对保证100%安全的,建议再买一个存储设备定期进行冷备份,或者加密打包上传到网盘。
NAS系统安全
群晖默认web端口为http5000,https5001,为了方便外网访问我们经常设置相同的端口转发到NAS上。有黑客在网络里扫描默认的端口号,万一被扫到的话,密码又比较简单容易被黑。开启外网访问的NAS每天会受到上千次入侵风险,建议修改为其它数字,0-65535任选一个,位数越大越好。
设置路径:控制面板——网络——DSM设置——DSM端口。
使用https要设置SSL证书,有自己的域名的话可以申请免费的1年期证书。
设置路径:控制面板——安全性——证书
选择新建证书——导入证书,选择私钥(.key后缀文件)和证书(.pem后缀文件)
导入证书之后在配置里面将默认证书修改为你自己的证书。
管理账号不要用弱口令,设置复杂的密码。
尽量禁用admin guest账号,新建账号。
开通两步骤验证
手机上下载Google authenticator(Google安全令牌),在新设备登录的时候必须输入验证码才能完成登录保证安全。
设置路径:控制面板——用户账号——高级设置
关闭SSH,或者把SSH的默认端口不对外网开放,更改默认的端口号。
设置路径:控制面板——终端机和SNMP 控制面板-安全性 安全性:不允许DSM被iFrame嵌入 防火墙:启用防火墙 防护:启用DoS防护 账户:启用自动封锁,限定登录次数和时间限制来封锁恶意尝试登录的 IP,单个ip尝试登录次数超过设定值自动封锁ip。
|