@scomper

Synology 系统的安全设置

2019.04.14

作为数据存储的中心设备,群晖的 DiskStation Manager(DSM)系统有很多关于安全方面的设计和考量,一方面来自于系统中的权限管理架构、密码规则、端口控制,另一方面保持持续的系统更新,能提升系统底层的安全性。

DSM 的用户权限设置

Synology NAS 的管理员帐户为 admin,密码为空白。初始设置 NAS 之后需要将其改为强密码。或者创建新管理员帐户禁用默认的 admin 帐户。

添加新用户时填写用户电子邮箱,这样可以「产生随机密码」,同时用户账户的高级设置中打开「管理员重置密码后,强制用户更改密码」,这样用户下次登录时会强制用户修改一次密码。

用户账户页面中会显示用户的密码状态,「需要更改密码」意味着等待用户再次登录,修改过密码以后的账户状态是「正常」。密码规则中建议启用最强规则,用户新设置的密码必须同时满足:混合大小写、特殊字符、数字以及最短的密码长度(8 位)。

用户、用户群组的权限控制上 DSM 提供了有 2 种方法管理访问权限,一种是对文件夹的权限;一种是对应用程序的访问权限:
1、共享文件夹权限:
禁止访问:群组无法访问共享文件夹。
读/写:群组可以访问并更改共享文件夹。
只读:群组可以访问共享文件夹,但无法进行更改。
2、应用程序的访问权限:
允许:该群组可以访问应用程序。
拒绝:该群组无法访问应用程序。
自定义:通过 IP 地址管理访问权限。

群组或角色权限会叠加到用户身上,同时遵循 禁止访问 > 读写 > 只读 的覆盖原则。
其他额外的权限设置还包括:空间使用的额度、下载速度限制。

由于管理员账户权限的风险性最高,可以开启「两步验证」来提高登录安全。除了输入密码以外,还要求输入一次性密码。

自动封锁可疑 IP

为了避免穷举方式的密码破解和恶意尝试,DSM 的安全设置中建议启用「自动封锁」。
启用自动封锁后,超过预定义登录失败次数的 IP 地址,会被封锁,封锁名单中可查看。尝试登录次数包括所有通过 SSH、Telnet、rsync、网络备份、共享文件夹同步、FTP、WebDAV、Synology 移动应用程序、File Station 或 DSM 的尝试登录失败次数。

用户密码重置后,需要尽快修改手机客户端上的 Drive、DS note、Chat 等客户端的密码,否则因为客户端程序默认的反复链接,很容易形成短时间内的次数超限。局域网用户可以添加到「允许名单」中来避免这种情况,允许名单中支持 IP 子网方式的添加。

外部的威胁通常是对 SSH 22 端口的网络扫描,所以 SSH 端口可以设置为只在局域网才可以访问。

如果没有勾选「启动封锁过期」,被封锁的 IP 的到期时间是「永远」,遇到密码正确但是在外网无法访问的情况,需要考虑到是否因为客户端没有即时修改密码被封锁,需要到封锁名单中删除被封锁的 IP 才可以访问。

HTTPS 连接

通过 HTTPS 访问 DSM 比 HTTP 更安全,不过前提是需要单独申请 SSL 的证书并安装到 DSM 系统当中。
启用 HTTPS 连接后,可通过 SSL/TLS 对与 DSM、Web Station、Photo Station、File Station、Audio Station 和 Surveillance Station 的连接进行加密。

证书可以到域名提供商的网站申请,申请免费的赛门铁克证书就可以。例如:登录阿里云官网,在产品-安全中找到 CA 证书服务,直达链接:https://www.aliyun.com/product/cas。签发成功后点击下载,选择「其他」下载证书。

回到 DSM 的安全 - 证书面板,新增证书,按向导页面一路往下,导入证书页面导入下载的证书文件(私钥是.key的文件,证书是.pem),中间证书没有不用填写。

证书添加后还需要给系统的服务指定证书,选择证书点击顶栏的「配置」,依次为服务选择证书并确定保存。点击证书下拉,将所有 synology.com 都改成自己的证书域名。

PS:最后记得给添加一个日历提醒,在免费证书到期前申请新的证书。

启用防火墙

防火墙是常见网络安全功能。它起到虚拟屏障的作用,可检查和处理来自外部资源 (如 Internet) 的网络流量。根据防火墙配置文件中的规则,防火墙将允许或拒绝访问。

具体的规则设置中可以放行系统应用的连接请求,限制加密终端服务(SSH)的访问来源只有「中国」。这样能极大的减少网络上黑客机器人对 SSH 的扫描干扰。

路由器仅开所需端口

不要将 NAS 直接暴露在路由器的 DMZ 区域,可以通过端口映射的方式有选择性的开放必要的端口。
系统 - 信息中心中可以直观的看到所有当前应用需要用到的端口,以及这些端口转发的情况,对于支持 UPnP 的路由器来说,UPnP 能方便设备直接透传到互联网,无需做烦琐的映射端口设置。

如果路由器不支持 UPnP,需要单独在路由器中开启需要转发的端口。大部分服务局域网内使用即可,外网仅开启有必要的端口转发,例如 NTP 时间同步服务(123)、Drive 客户端访问(6690)等。SSH 端口需要用到的时候再开启,或者 SSH 仅在局域网使用,通过 VPN 服务连接到 NAS。

安全中心和日志通知

权限和端口设置完成后,推荐打开控制面板中的「安全顾问」对系统做一次扫描,基于扫描结果重新核验安全方面的设置。

除了安全设置,要保障系统的稳定运行,建议还添加几个性能监控规则,通过规则的报警提前发现异常,例如存储空间占用过高、CPU 占用过高等等。

控制面板 - 资源监控中还可以查看「目前连接的用户」,了解用户接入的情况和 IP 地址。局域网以外的 IP 需要重点关注和判断一下。

套件中心里还提供了一个「日志中心」,不仅可以显示本机的日志记录,还可以设定接收其他 NAS 的日志,统一管理和检索异常。最后在通知设置中勾选必要的通知项,以便即时发现问题和状况。

单独备份 DSM 设置

访问「控制面板 > 更新和还原 > 配置备份」,点击「备份配置」备份以下配置为 .dss (系统配置备份)的文件:

  • 用户和群组
  • 工作群组、域和 LDAP
  • 文件共享服务(如 SMB、AFP、NFS 和 FTP)
  • 网络备份
  • 其他(如共享文件夹、用户主目录、密码设置、密码过期、SNMP 和任务计划程序)

备份的 dss 文件很小,可以单独保存在 Dropbox、iCloud 的文件夹中。旧 NAS 硬盘迁移到新的 NAS 设备时会用的。

NAS 的灾备体系

NAS 自身的 RAID 阵列体系能防范硬盘意外损坏的风险,但是 NAS 设备本身的物理安全无法保障,灾备的基本原则是由不同地点设备来共同完成数据的备份。这里可以采取两种策略来结合使用,就像我们平时备份 MacBook 的数据一样,一方面是自动的 Time Machine 同步备份,将数据保存到备份磁盘,另一方面是通过插入 USB 移动硬盘实现主动备份。

群晖 NAS 里中为数据备份,提供了四个套件:Hyper Backup、Snapshot Replication、USB Copy 和 Cloud Sync。Snapshot Replication 在本地创建副本,Hyper Backup、Cloud Sync 可以将备份异地保存到其他设备,USB Copy 则是把数据下载到移动硬盘。

以上提到的套件都需要单独从套件中心下载,Hyper Backup 需要搭配 Hyper Backup Vault(查看收到的备份任务)使用,源 Synology NAS 上安装 Hyper Backup,目的地 Synology NAS 必须同时安装 Hyper Backup 和 Hyper Backup Vault;Snapshot Replication 安装时会自动安装上 Replication Service 备份组件。

几个备份套件的比较表:

1、搭配使用的策略是本地启用「快照计划」自动定期使用 Snapshot Replication 对重要文件夹拍快照。
✧ Snapshot Replication 仅适用于支持 Btrfs 文件系统。

2、在两台 NAS 上都部署安装 Hyper Backup,相互备份数据到另一台 Synology NAS,数据通过 rsync 和 HTTP(WebDAV 和 OpenStack)协议进行传输,备份数据的格式不可读。备份数据需要使用 Hyper Backup 才能进行还原,因为这种特性,使用 Hyper Backup 不仅可以将数据备份到另一台 NAS,还可以备份数据到云端。

对于不愿意投入过多硬件成本的异地备份方案来说,备份到云端也是一个不错的选择。当然,如果局域网中还有其他普通的服务器,只要支持 rsync、WebDAV 都可以作为备份目标来使用,这使得备份目标的选择余地更大,可以轻松的实现多点的数据自动备份。

最后再重复一次:设备是有价的,数据是无价的!

Comments
Write a Comment