本内容来源于@什么值得买APP,观点仅代表作者本人 |作者:Stark-C
哈喽小伙伴们大家好,我是Stark-C,今天继续水NAS~~
通俗来讲我们的NAS其实就是相当于我们日常使用的电脑,除了硬件配置,还有自己的系统。电脑会有中毒的可能,而NAS也是一样!
只不过NAS的中的毒一般都是勒索病毒。放毒的人深知NAS里面可能会有我们重要的资料,所以该病毒会远程锁定我们的NAS,让我们自己也无法访问,并且还会自动弹出一个赎金标签,让我们“打钱”之后才会解开锁,所以才被称之为“勒索病毒”。
据我个人查资料得知,基本上99%的中勒索病毒的NAS用户主要责任还是在于自己平时在使用NAS的时候没有做好应用的安全防护,才导致不法分子有可乘之机。也就是说,别以为购买了NAS就高枕无忧了,我们必须要有防患于未然的安全意识,NAS到手之后对它做进一步的优化与设置,才能达到最大限度的万无一失。
今天演示的NAS为威联通TS-464C,作为今年威联通新上市的性能级高品质四盘位NAS,它采用了旗舰级英特尔赛扬 N5095 四核X86处理器,比上代J4125处理器性能提升30%左右,显卡性能约提升至300%。内置双2.5GbE网口,配合Prot Trunking链路聚合,可实现5Gbps的带宽,并且它还拥有双M.2 NVMe SSD插槽,不管是当作缓存加速还是直接用作存储,都能带来显著得效能提升。同时它还还拥有一个HDMI 2.0 输出端口,支持4K(3840x2160)@60Hz的高分辨率输出,不管是我们折腾HTPC家庭影音,还是玩虚拟机显示直通,它都是非常得给力!
OK!废话说完,正式进入今天的教程!
PS:理论上说今天的思路适用于目前市面上的所有NAS产品,教程本就不是简单的抄作业,学会举一反三是每一位折腾玩家的必备技能~~
保持最新系统
众所周知,我们目前使用的电脑或者手机在更新的时候,最常见的更新列表中一定会有“XX安全更新”的提示,NAS当然也一样,每次的更新都会伴随着安全防护的提升,所以如果NAS提示有系统更新提醒,建议第一时间更新系统就可以了!
首先登陆路由器的管理界面,打开IP地址过滤点击添加新条目按钮现在我们可以把局域网电脑的IP地址全部添加进来,可以分多次添加在安全设置中打开防火墙设置将开启IP地址过滤前面打上对勾,点击保存在防火墙中,我们还可以对MAC地址过。
威联通的用户需要打开「控制台—系统—固件更新—检查更新」,如果提示有更新直接升级就可以了。我目前是最新的QTS 5.0.1固件版本,相比上代4.X系统可以说是大升级,除了全新的UI设计,系统核心也世界升级到了Linux Kernel 5.10,带来了更高的内核安全性以及系统性能,如果说你的威联通NAS在提示有可用升级的时候,不用怀疑,直接升级便可!
PS:升级系统仅适用于成品NAS,自己组装的NAS(比如说黑群晖)建议正常使用的情况下谨慎升级哈~~
停用默认的管理员帐户
目前来说绝大多数的NAS产品默认管理员账户一般都是一样的,所以很容易就被攻击者猜到而主动攻击这个账户。所以NAS初始化设置之后我们首先就是新创建一个属于自己的管理员账户,并禁用产品默认的管理员账户。
打开「控制台—权限—创建—创建用户」
企业回SmartProxy企业级海外住宅IP代理服务商,覆盖全球190+国家和地区,高匿稳定,动态住宅代理/静态住宅代理/账密提取,100%原生住宅IP,城市级定位,支持HTTP/HTTPS/SOCKS5协议,不限带宽,纯净高匿,网络集成更快捷,注册即送流量!Smartproxy代理。
新创建一个用户名和密码,在右边的「用户组」下面勾选“administrators”,然后点击「创建」按钮,这样就新建了一个管理员账户。
然后回到用户列表中,选择默认的管理员账户「admin」,点击「编辑账户资料」选项,弹出来的方框选择「立即停用」,这样默认的管理员账户就被停用了,我们以后需要管理员账户就直接用我们新建的那个即可。
并且对于已经建立好的账户,也可以快速的通过后面「操作」中的“编辑用户组”设置,快速的赋予或者取消管理员权限,这个对于多用户使用NAS说实话还是非常有用的。
PS:关于权限我需要给多用户的NAS使用场景一个建议,那就是一定要合理分配其他用户权限,一定要遵循“权限最小原则”,不要动不动就给其他的使用者管理员权限,因为你并不能保证所有用户都有较强的安全意识!
启用两步验证
两步验证大家应该很熟悉吧!现在常见的Apple ID, Google ID在登录的时候都会要求两步验证来确认使用者到底是不是本人。NAS上的两步验证的目的也是一样,都是确认登入NAS的是不是已经授权了的用户,如果你设置好两步验证并收到异常登录提醒,很有可能就是有非法用户入侵在试探你的NAS密码了!
威联通的两步验证只需要点击管理员图像,选择「选项」就能看到「两步验证」的设置界面了,然后根据向导一步步设置就OK了~
PS:不过这个两步验证却有一个致命缺陷,那就是它在一些服务连接的时候输入账号或者密码的时候是无效的,比方说SMA,FTP,SSH的服务开启的时候。所以,接下来的【强密码】设置就比较有用了!
使用强密码
密码设置就如同我们的WIFI密码设置一样,绝对是越复杂越好,当然你可不能把自己给绕忘记了,哈哈
威联通的密码设置规则还是比较丰富的,我们可以根据自己的使用情况,设置自己能记下来的个性化密码,个人建议在密码设置上包含大小写字母以及数字的组合,可以大大提升密码的破译难度。
如果用户比较多还建议设置密码过期日,定期更改密码,从而进一步提升密码的安全性。
停用不必要的连接服务
NAS中毒其实就是通过外部连接放进来的,NAS作为一台网络存储设置,支持的服务也很多,进而潜在的漏洞也就越多。一般来说,NAS默认会关闭很多底层的一些服务(比如SSH 、SFTP 等)来保护自身的安全,但是我们很多的时候其实都是我们自己打开而忘记关掉,所以才导致不法分子有可乘之机。
比如说NAS上最常用的SSH连接,我们用的最多的场景可能就是Docker了,所以我每次都会在我的Docker教程中提醒大家一定要养成用完就关掉的习惯, 因为SSH可以控制我们NAS的核心底层,开启之后非常的危险!
同时,你也可以在「控制台—系统—系统状态—系统服务」中查看已经启用的服务,不需要的可以直接停用,这样可以大大减少外部侵入的风险!
更改默认登录端口号
想必玩NAS的小伙伴都知道端口号的重要性,我们不管是局域网访问或者外网访问,家用路由器需要防火墙吗,一般都是依靠IP地址+ 端口的形式来进行指定访问,包括我们NAS的web登录界面。
不过NAS的默认端口号都是一样,比如说威联通的默认WEB管理端口分别为“5000”和“5001”(分别对应HTTP和HTTPS连接端口),更改之后可以大大降低被攻击的可能性!
TP-link路由器防火墙的设置方法 开启IP地址过滤功能时,必须要开启防火墙总开关,并明确IP地址过滤的缺省过滤规则(设置过程中若有不明确处,可点击当前页面的“帮助”按钮查看帮助信息):例一:预期目的:不允许内网192.
打开「控制台—系统—常规设置—系统管理」,页面中的“系统端口”以及HTTPS下面的“端口号”都可以修改。对于NAS来说,端口范围1到65535都可以使用,但是不能和局域网中的设备有重复的!
启用自动封锁功能
自动封锁功能简单来说就和我们使用手机的开屏密码是一样的道理,也就是在密码错误达一定的次数后,就不让你输入了。NAS设置自动封锁功能之后,如果对方输入的错误密码次数达到我们的设定值之后,就直接将对方的IP地址锁定,限制它再次输入,从而避免非法者的试探和攻击。
威联通打开「控制台—系统—安全—IP 访问保护」,可以设置间隔时间,登录次数,阻止时长。我的建议是登录次数默认5次就可以,太短了有的时候怕自己误触输入错误的密码把自己的IP也封锁了。阻止时长直接永远,反正后期还可以在「允许/拒绝列表」中对封锁的ID进行其它操作。
启用 HTTPS 进行安全加密连线
HTTPS是目前广泛用于互联网的一种安全的通讯协议,因为 HTTPS 需要对网站及与它通讯的相关网页服务器进行身份认证才可以进行连接,从而达到避免其它人攻击的目的。在使用 HTTPS 进行连线的过程中,有一项非常重要的东西,那就是签署凭证,也就是很多玩家口中的SSL证书。
对于NAS来说,我们通过 HTTPS 的方式进行连接可以大大提高我们远程连接的安全性,最主要的是不会收到中间人的恶意攻击。
威联通其实本来自带一个免费的证书申请,不过遗憾的是国内目前还无法使用。
安装杀毒软件
NAS就和我们的Windows电脑一样,也有自己的杀毒软件。随着NAS厂商对安全的重视,NAS上的杀毒软件也是非常的专业的,所以安装上杀毒软件可以提早预防NAS各种可能出现的问题以及漏洞,对设备和数据都有着非常好的保护!
威联通的杀毒软件在「App Center」中,点击「安全」分类就能看到了。可以发现它目前提供了4款安全应用:
Malware Remover:这是官方默认安全软件,可以检测系统中的恶意病毒程序或者文件,并且可以设置定期扫描;
McFee Antivirus:这个不用说了吧!电脑上就赫赫有名的大厂杀毒软件,没想到NAS上也有吧;
QuFirewall防火墙:顾名思义,NAS上的专属防火墙了,主要是防止暴力破解,保护数据安全的;
Security Counselor:一个安全评估应用,可以对NAS进行各方面的风险评估,设定出适合自己的安全策略,并且给出相应的处理对策与建议。
1、更改路由器密码,如果密码强度大,入侵则困难,所谓强度大,是这样设置强度大:数字+字母+符号。一般9位以上。我通常密码都是13-15位,因为专业需要。2、路由器只要设置Mac地址过滤就可以了,因为Mac地址是每台机器唯一。
启用必要的通知功能
威联通自带一个「通知中心」应用,支持多个通知方式(电子邮件,短信,Qmanager App等),还可以根据不同的应用及事件严重程度自定系统通知规则,具体玩法大家可以自己摸索,个人建议只设置安全内容的通知提醒,因为如果设置多了推送的通知也多,很容易忽视掉一些重要的安全信息。
建立多重备份
其实对于我们真正需要保存的资料或者数据,“鸡蛋不要放在一个篮子里”永远是不可被推翻的定律,也就是说,备份绝对是每一位数据存储者必备的好习惯!退一步讲,就算NAS没有中勒索病毒,但是NAS自己也有损坏的可能,硬盘也有暴毙的可能对吧?但是如果我们有备份,那么就算NAS出现问题,我们也不用担心数据丢失呀!
1、首先登录路由器的管理界面,打开IP地址过滤。2、点击添加新条目按钮。3、可以把局域网电脑的IP地址全部添加进来,可以分多次添加。4、在安全设置中打开防火墙设置。5、将开启IP地址过滤前面打上对勾,点击保存。6、在防火墙。
对于重要数据的备份,行业内一直有一个通用的黄金数据保护法则,那就是3-2-1数据备份原则:
至少制作3份备份
将备份分别存放在2种不同储存媒体
至少1份放在异地保存
威联通自带的备份工具叫做「HBS 3 文件备份同步中心」,需要在App Center中下载安装。
这款神器功能强大,自带的就是3-2-1备份策略,它不光支持备份到USB,还支持备份到你家里的另外一台NAS,甚至还支持备份到自己的各种网盘以及云服务器(常见的百度网盘,谷歌网盘,阿里云,腾讯云,华为云统统支持)。
需要强调的是:目前NAS上最安全的备份方式是冷备份!对于NAS上的核心数据一定要有定时冷备的习惯,也就是通过USB直接备份到不联网的存储设备(比如移动硬盘),并且备份好之后一定记得断开连接!这个真的不是危言耸听!不要低估了别有用心网络黑客的力量!
关于备份这一块也不是一句两句能说清楚,我将会在后期出一篇文章专门来讲,有兴趣的小伙伴记得关注我~
启用快照服务
快照就不用多说了吧?玩虚拟机的小伙伴应该都很熟悉,快照就是我们的“月光宝盒”,也就是说我们可以将某一时间点的系统以及数据通过特定的方式备份下来作为还原点,当我们后期不小心删除了某些重要文件的时候,只要我们点击我们设置好的快照,系统数据马上就能恢复到指定的还原点,从而达到了神奇的“时光倒流”
可以通过访问TP-Link路由器的管理界面来配置其防火墙设置。1、请确保您已连接到路由器并打开了浏览器窗口。2、输入默认网关地址并登录到管理界面。3、找到“安全性”或“高级设置”菜单,并在其中查找与防火墙相关的选项设置。
打开「存储与快照总管」,选择「存储/快照」,然后选中要要建立快照的存储空间,点击创建快照,就能快速的创建当前时间点的快照了。
这里需要说明的是,威联通的快照功能只支持厚卷和精简卷,不支持静态卷,也就是说,如果你需要快照功能吗,在创建存储池的时候一定要选择好自己需要的存储池类型。
打开「快照管理员」,就能对我们创建的快照进行更多个性化的自定义设置了。
如果你怕忘记某一时间创建快照,你也可以在这里建立「快照计划」,让NAS自动在指定时间创建快照
关注硬盘健康检测
硬盘作为NAS上的重要载体,并且还是长时间的持续运行,所以说我们除了购买靠谱的专业NAS硬盘,平时也要注意对硬盘进行必要的健康检测,以达到早发现早处理的目的,要不等到到时候挂掉了哭都来不及。
威联通直接打开「存储与快照总管—磁盘/VJBOD—磁盘运行状况」
在「摘要」中就能看到目前磁盘的运行状况
还可以在「设置」中设置磁盘温度警报和 SMART 测试计划。
开启前端路由器防火墙
因为绝大多数的NAS的前端都连着路由器,所以如果说路由器的防护性能比较好,那无疑又给NAS多了一层安全保护!
比如说我个人使用的华硕路由器就不错。它独家的“AiProtection 智能网络卫士”以及设置中的“防火墙”,都能对局域网内的设备起到很好的保护作用,当然也包括NAS了!
其它的安全建议
不暴露自己的公网:
对于有公网IP的小伙伴,记得平时在使用外网访问的时候不要直接使用公网IP,虽说它是最方便的,但同时它也是最危险的!
养成好的上网习惯:
不知道的邮件别开,不确定的网站别点!小姐姐能让你迷失双眼,同时还能让你翻车,网上这样的例子太多了!
慎用虚拟机:
总结
千里之堤,溃于蚁穴的道理同样适用于NAS的安全问题!我们在NAS的使用中一定不要抱侥幸心理,不能忽视任何一个安全问题上的小细节,NAS的安全防护虽说不是绝对的,但是我们完全可以通过以上的安全设置以及自己良好的使用习惯,将NAS的安全风险降到最低,也可以说是做到了万无一失了吧!
好了,以上就是今天给大家分享的内容,我是爱分享的Stark-C,如果今天的内容对你有帮助请记得收藏,顺便点点关注,我会经常给大家分享各类有意思的软件和免费干货!谢谢大家,咱们下篇再见~
