本内容来源于@什么值得买APP,观点仅代表作者本人 |作者:Stark-C
哈喽小伙伴们大家好,我是Stark-C,今天继续水NAS~~
通俗来讲我们的NAS其实就是相当于我们日常使用的电脑,除了硬件配电脑置,还有自己的系统。电脑会有中毒的可能,而NAS也是一样!
只不过NAS的中的毒一般都是勒索病毒。放毒的人深知NAS里面可能会有我们重要的资料,所以该病毒会远程锁定我们的NAS,让我们自己也无法访问,并且还会自动弹出一个赎金标签,让我们“打钱”之后才会解开锁,所以才被称之为“勒索病毒”。
据我个人查资料得知,基本上99%的中勒索病毒的NAS用户主要责任还是在于自己平时在使用NAS的时候没有做好应用的安全防护,才导致不法分子有可乘之机。也就是说,别以为购买了NAS就高枕无忧了,我们必须要有防患于未然的安全意识,NAS到手之后对它做进一步的优化与设置,才能达到最大限度的万无一失。
今天演示的NAS为威联通TS-464C,作为今年威联通新上市的性能级高品质四盘位NAS,它采用了旗舰级英特尔赛扬 N5095 四核X86处理器,比上代J4125处理器性能提升30%左右,显卡性能约提升至300%。内置双2.5GbE网口,配合Prot Trunking链路聚合,可实现5Gbps的带宽,并且它还拥有双M.2 NVMe SSD插槽,不管是当作缓存加速还是直接用作存储,都能带来显著得效能提升。同时它还还拥有一个HDMI 2.0 输出端口,支持4K(3840x2160)@60Hz的高分辨率输出,不管是我们折腾HTPC家庭影音,还是玩虚拟机显示直通,它都是非常得给力!
电脑OK!废话说完,正式进入今天的教程!
PS:理论上说今天的思路适用于目前市面上的所有NAS产品,教程本就不是简单的抄作业,学会举一反三是每一位折腾玩家的必备技能~~
保持最新系统众所周知,我们目前使用的电脑或者手机在更新的时候,最常见的更新列表中一定会有“XX安全更新”的提示,NAS当然也一样,每次的更新都会伴随着安全防护的提升,所以如果NAS提示有系统更新提醒,建议第一时间更新系统就可以了!
威联通的用户需要打开「控制台—系统—固件更新—检查更新」,如果提示有更新直接升级就可以了。我目前是最新的QTS 5.0.1固件版本,相比上代4.X系统可以说是大升级,除了全新的UI设计,系统核心也世界升级到了Linux Kernel 5.10,带来了更高的内核安全性以及系统性能,如果说你的威联通NAS在提示有可用升级的时候,不用怀疑,直接升级便可!
PS:升级系统仅适用于成品NAS,自己组装的NAS(比如说黑群晖)建议正常使用的情况下谨慎升级哈~~
停用默认的管理员帐户目前来说绝大多数的NAS产品默认管理员账户一般都是一样的,所以很容易就被攻击者猜到而主动攻击这个账户。所以NAS初始化设置之后我们首先就是新创建一个属于自己的管理员账户,并禁用产品默认的管理员账户。
打开「控制台—权限—创建—创建用户」
新创建一个用户名和密码,在右边的「用户组」下面勾选“administrators”,然后点击「创建」按钮,这样就新建了一个管理员账户。
然后回到用户列表中,选择默认的管理员账户「admin」,点击「编辑账户资料」选项,弹出来的方框选择「立即停用」,这样默认的管理员账户就被停用了,我们以后需要管理员账户就直接用我们新建的那个即可。
并且对于已经建立好的账户,也可以快速的通过后面「操作」中的“编辑用户组”设置,快速的赋予或者取消管理员权限,这个对于多用户使用NAS说实话还是非常有用的。
PS:关于权限我需要给多用户的NAS使用场景一个建议,那就是一定要合理分配其他用户权限,一定要遵循“权限最小原则”,不要动不动就给其他的使用者管理员权限,因为你并不能保证所有用户都有较强的安全意识!
启用两步验证两步验证大家应该很熟悉吧!现在常见的Apple ID, Google ID在登录的时候都会要求两步验证来确认使用者到底是不是本人。NAS上的两步验证的目的也是一样,都是确认登入NAS的是不是已经授权了的用户,如果你设置好两步验证并收到异常登录提醒,很有可能就是有非法用户入侵在试探你的NAS密码了!
威联通的两步验证只需要点击管理员图像,选择「选项」就能看到「两步验证」的设置界面了,然后根据向导一步步设置就OK了~
PS:不过这个两步验证却有一个致命缺陷,那就是它在一些服务连接的时候输入账号或者密码的时候是无效的,比方说SMA,FTP,SSH的服务开启的时候。所以,接下来的【强密码】设置就比较有用了!
使用强密码密码设置就如同我们的WIFI密码设置一样,绝对是越复杂越好,当然你可不能把自己给绕忘记了,哈哈
威联通的密码设置规则还是比较丰富的,我们可以根据自己的使用情况,设置自己能记下来的个性化密码,个人建议在密码设置上包含大小写字母以及数字的组合,可以大大提升密码的破译难度。
如果用户比较多还建议设置密码过期日,定期更改密码,从而进一步提升密码的安全性。
停用不必要的连接服务NAS中毒其实就是通过外部连接放进来的,NAS作为一台网络存储设置,支持的服务也很多,进而潜在的漏洞也就越多。一般来说,NAS默认会关闭很多底层的一些服务(比如SSH 、SFTP 等)来保护自身的安全,但是我们很多的时候其实都是我们自己打开而忘记关掉,所以才导致不法分子有可乘之机。
比如说NAS上最常用的SSH连接,我们用的最多的场景可能就是Docker了,所以我每次都会在我的Docker教程中提醒大家一定要养成用完就关掉的习惯, 因为SSH可以控制我们NAS的核心底层,开启之后非常的危险!
同时,你也可以在「控制台—系统—系统状态—系统服务」中查看已经启用的服务,不需要的可以直接停用,这样可以大大减少外部侵入的风险!
更改默认登录端口号想必玩NAS的小伙伴都知道端口号的重要性,我们不管是局域网访问或者外网访问,一般都是依靠IP地址+ 端口的形式来进行指定访问,包括我们NAS的web登录界面。
不过NAS的默认端口号都是一样,比如说威联通的默认WEB管理端口分别为“5000”和“5001”(分别对应HTTP和HTTPS连接端口),更改之后可以大大降低被攻击的可能性!
打开「控制台—系统—常规设置—系统管理」,页面中的“系统端口”以及HTTPS下面的“端口号”都可以修改。对于NAS来说,端口范围1到65535都可以使用,但是不能和局域网中的设备有重复的!
启用自动封锁功能自动封锁功能简单来说就和我们使用手机的开屏密码是一样的道理,也就是在密码错误达一定的次数后,就不让你输入了。NAS设置自动封锁功能之后,如果对方输入的错误密码次数达到我们的设定值之后,就直接将对方的IP地址锁定,限制它再次输入,从而避免非法者的试探和攻击。
威联通打开「控制台—系统—安全—IP 访问保护」,可以设置间隔时间,登录次数,阻止时长。我的建议是登录次数默认5次就可以,太短了有的时候怕自己误触输入错误的密码把自己的IP也封锁了。阻止时长直接永远,反正后期还可以在「允许/拒绝列表」中对封锁的ID进行其它操作。
启用 HTTPS 进行安全加密连线HTTPS是目前广泛用于互联网的一种安全的通讯协议,因为 HTTPS 需要对网站及与它通讯的相关网页服务器进行身份认证才可以进行连接,从而达到避免其它人攻击的目的。在使用 HTTPS 进行连线的过程中,有一项非常重要的东西,那就是签署凭证,也就是很多玩家口中的SSL证书。
对于NAS来说,我们通过 HTTPS 的方式进行连接可以大大提高我们远程连接的安全性,最主要的是不会收到中间人的恶意攻击。
威联通其实本来自带一个免费的证书申请,不过遗憾的是国内目前还无法使用。
不过威联通可以通过导入自己域名的SSL证书来实现 HTTPS 安全访问。关于怎么部署和设置本站教程很多,鉴于篇幅原因,我这里就不细说了。如果想要保姆教程的可以评论区提出来,我也会抽空满足大家的愿望。
安装杀毒软件NAS就和我们的Windows电脑一样,也有自己的杀毒软件。随着NAS厂商对安全的重视,NAS上的杀毒软件也是非常的专业的,所以安装上杀毒软件可以提早预防NAS各种可能出现的问题以及漏洞,对设备和数据都有着非常好的保护!
威联通的杀毒软件在「App Center」中,点击「安全」分类就能看到了。可以发现它目前提供了4款安全应用:
Malware Remover:这是官方默认安全软件,可以检测系统中的恶意病毒程序或者文件,并且可以设置定期扫描;McFee Antivirus:这个不用说了吧!电脑上就赫赫有名的大厂杀毒软件,没想到NAS上也有吧;QuFirewall防火墙:顾名思义,NAS上的专属防火墙了,主要是防止暴力破解,保护数据安全的;Security Counselor:一个安全评估应用,可以对NAS进行各方面的风险评估,设定出适合自己的安全策略,并且给出相应的处理对策与建议。启用必要的通知功能威联通是我目前使用的几台NAS中通知功能最完善的。通知功能简单来说就是NAS任何的风吹草动,都可以通过你设置的通知方式来通知你,从而让我们提早知道一些异常而尽早做出处理方案,这样就可以有效的避免风险的发生了。
威联通自带一个「通知中心」应用,支持多个通知方式(电子邮件,短信,Qmanager App等),还可以根据不同的应用及事件严重程度自定系统通知规则,具体玩法大家可以自己摸索,个人建议只设置安全内容的通知提醒,因为如果设置多了推送的通知也多,很容易忽视掉一些重要的安全信息。
建立多重备份其实对于我们真正需要保存的资料或者数据,“鸡蛋不要放在一个篮子里”永远是不可被推翻的定律,也就是说,备份绝对是每一位数据存储者必备的好习惯!退一步讲,就算NAS没有中勒索病毒,但是NAS自己也有损坏的可能,硬盘也有暴毙的可能对吧?但是如果我们有备份,那么就算NAS出现问题,我们也不用担心数据丢失呀!
对于重要数据的备份,行业内一直有一个通用的黄金数据保护法则,那就是3-2-1数据备份原则:
至少制作3份备份将备份分别存放在2种不同储存媒体至少1份放在异地保存威联通自带的备份工具叫做「HBS 3 文件备份同步中心」,需要在App Center中下载安装。
这款神器功能强大,自带的就是3-2-1备份策略,它不光支持备份到USB,还支持备份到你家里的另外一台NAS,甚至还支持备份到自己的各种网盘以及云服务器(常见的百度网盘,谷歌网盘,阿里云,腾讯云,华为云统统支持)。
需要强调的是:目前NAS上最安全的备份方式是冷备份!对于NAS上的核心数据一定要有定时冷备的习惯,也就是通过USB直接备份到不联网的存储设备(比如移动硬盘),并且备份好之后一定记得断开连接!这个真的不是危言耸听!不要低估了别有用心网络黑客的力量!
关于备份这一块也不是一句两句能说清楚,我将会在后期出一篇文章专门来讲,有兴趣的小伙伴记得关注我~
启用快照服务快照就不用多说了吧?玩虚拟机的小伙伴应该都很熟悉,快照就是我们的“月光宝盒”,也就是说我们可以将某一时间点的系统以及数据通过特定的方式备份下来作为还原点,当我们后期不小心删除了某些重要文件的时候,只要我们点击我们设置好的快照,系统数据马上就能恢复到指定的还原点,从而达到了神奇的“时光倒流”
打开「存储与快照总管」,选择「存储/快照」,然后选中要要建立快照的存储空间,点击创建快照,就能快速的创建当前时间点的快照了。
这里需要说明的是,威联通的快照功能只支持厚卷和精简卷,不支持静态卷,也就是说,如果你需要快照功能吗,在创建存储池的时候一定要选择好自己需要的存储池类型。
打开「快照管理员」,就能对我们创建的快照进行更多个性化的自定义设置了。
如果你怕忘记某一时间创建快照,你也可以在这里建立「快照计划」,让NAS自动在指定时间创建快照
关注硬盘健康检测硬盘作为NAS上的重要载体,并且还是长时间的持续运行,所以说我们除了购买靠谱的专业NAS硬盘,平时也要注意对硬盘进行必要的健康检测,以达到早发现早处理的目的,要不等到到时候挂掉了哭都来不及。
威联通直接打开「存储与快照总管—磁盘/VJBOD—磁盘运行状况」
电脑在「摘要」中就能看到目前磁盘的运行状况
还可以在「设置」中设置磁盘温度警报和 SMART 测试计划。
开启前端路由器防火墙因为绝大多数的NAS的前端都连着路由器,所以如果说路由器的防护性能比较好,那无疑又给NAS多了一层安全保护!
比如说我个人使用的华硕路由器就不错。它独家的“AiProtection 智能网络卫士”以及设置中的“防火墙”,都能对局域网内的设电脑备起到很好的保护作用,当然也包括NAS了!
其它的安全建议不暴露自己的公网:
对于有公网IP的小伙伴,记得平时在使用外网访问的时候不要直接使用公网IP,虽说它是最方便的,但同时它也是最危险的!
养成好的上网习惯:
不知道的邮件别开,不确定的网站别点!小姐姐能让你迷失双眼,同时还能让你翻车,网上这样的例子太多了!
慎用虚拟机:
很多玩家会在NAS上用虚拟机安装了Window系统,殊不知Window系统才是病毒的重灾区,网上已经有病毒通过虚拟机传播的案例,你可以折腾,但是不用的时候建议关机!
总结千里之堤,溃于蚁穴的道理同样适用于NAS的安全问题!我们在NAS的使用中一定不要抱侥幸心理,不能忽视任何一个安全问题上的小细节,NAS的安全防护虽说不是绝对的,但是我们完全可以通过以上的安全设置以及自己良好的使用习惯,将NAS的安全风险降到最低,也可以说是做到了万无一失了吧!
文中我可能说的还不够完全,如果其它玩家或者大佬有什么自己的NAS安全心得与经验,也欢迎你在评论区分享出来!
好了,以上就是今天给大家分享的内容,我是爱分享的Stark-C,如果今天的内容对你有帮助请记得收藏,顺便点点关注,我会经常给大家分享各类有意思的软件和免费干货!谢谢大家,咱们下篇再见~
电脑