广州和世鑫 Synology群晖企业方案
勒索病毒,一直在伺机而动。近期又有一种名为“WannaRen”的新型比特币勒索病毒来袭,与之前“WannaCry”行为类似,会加密Windows系统中几乎所有文件。
面对勒索病毒,为数据设置定时备份,遵循「备份321」原则,建立灾备机制,这些措施都可以有效抵御被病毒威胁而导致数据丢失。
但有一些系统安全设置常常会被忽略,用户可以通过加强群晖NAS的系统安全、提高密码强度、增加访问验证等,来加强系统防护。这里,群晖整理了9个技巧,来提升系统安全性。
01
保持更新&启用通知 ▶实时更新DSM群晖定期发布DSM系统更新,除了优化功能和性能外,还会解决一些产品安全漏洞。
而如果发生安全漏洞时,群晖产品安全事件响应团队(PSIRT)会在8小时内进行评估和调查,并在接下来的15小时内发布补丁,以防止零日攻击的潜在损害。
如果企业考虑到业务稳定性,不会实时对DSM进行更新,那可以先在群晖虚拟化应用平台—Virtual Machine Manager中创建一个虚拟DSM系统,也就是VDSM,将生产环境复制到VDSM中,并将VDSM系统更新到最新,以此来进行升级测试。
▶启用通知
开启接收系统通知,在发生特定事件时可以通过邮件、短信、移动设备或Web浏览器接收通知。例如:存储空间不足或备份任务失败,可以及时收到通知,并快速采取相应措施。
另外,建议用户建立Synology Account,可以及时收到安全信息以及最新的功能和产品资讯。
02
运行安全顾问 通过【安全顾问】,可以扫描NAS系统、帐户、网络等安全情况,并且通过扫描结果,安全顾问还会提供建议的操作。例如,是否不小心打开SSH服务,是否发生任何异常登录活动等。
无论是企业还是个人,都建议设置定期扫描计划。而针对企业环境,还可以根据需求来勾选更多的检查项目。
03
设置基本DSM安全功能 ▶IP自动封锁
网络攻击最基本的就是恶意登录,在密码强度低的情况下,很有可能会被恶意攻破密码。所以通过设定登录次数和时间限制,来封锁恶意尝试登录的IP。同时还可以导入IP黑白名单,来规范访问。
▶启用帐户保护除了设置IP黑白名单,还可以选择依据客户端来设置帐户保护,添加信任或是屏蔽不受信任的客户端。
▶启用HTTPS
启用HTTPS后,可以加密和保护NAS与客户端之间的网络连接。
▶自定义防火墙规则
通过启用防火墙,根据自定义规则在被保护的内网和外网间构建保护屏障。
防火墙是一个虚拟屏障,通过自定义规则可以防止未授权的登录和控制服务访问。用户可以决定是否允许或拒绝通过特定IP地址访问特定的网络端口。例如:允许从特定的办公室进行远程访问,或是只允许访问特定的服务或协议。
04
为HTTPS添加证书
数字证书在HTTPS中起着关键作用,但通常价格昂贵且难以维护。而对于小型工作室,或是家庭用户,群晖支持Let's Encrypt(一个免费的自动证书颁发组织),可以使用户进行安全连接。
05
停用默认的管理员帐户 一些网络病毒会主动攻击系统中默认的admin,也就是管理员帐户,以获取系统的最高授权,从而可以攻击所有终端和文件。
所以在设置NAS时,尽量避免使用admin等通用名称,例如:administrator、root等。所以在NAS中禁用默认admin帐户后,再自定义创建一个具有管理员权限的帐户,并设置高强度的唯一密码,不要和其他系统或平台通用。
06
密码强度 密码作为登入NAS的重要凭证,需要尽量设置的复杂化,建议密码包含大小写字母、数字和特殊符号,并尽量不要和其他系统、平台通用。
另外,某些情况下,系统管理员会给具有相同权限的帐户设置同一个密码,而如果当某个帐户被盗,则其他帐户也会被轻松控制。
所以,管理员在设置帐户时,可以自定义密码策略,以规范所有用户设定密码的强度。
如果强密码容易导致用户忘记,也可以通过密码管理器,例如:1Password、LastPass、Enpass等。这样只需要记住一个主密码,密码管理器将帮助您创建和填写所有其他帐户的登录凭据。
07
2步验证 2步验证,可以为登录时添加额外的安全保护,也就是除了需要输入密码外,还需要输入手机上收到的一个6位动态验证码。这样就可以做到更安全的登录限制。
通过管理员对用户手机进行绑定设置,可以授权给绑定的手机进行2步验证。而当绑定的手机遗失或更换时,也可以取消该绑定设备来进行重设。
08
更改默认端口 通过更改DSM的默认HTTP(5000)和HTTPS(5001)端口,可以阻止一些有针对性的常见威胁。而如果定期使用终端机来登录NAS,也可以更改默认的SSH(22)端口。
还可以部署反向代理从而提高安全性,反向代理会作为内部服务器和远程访问之间的通信中介,从而隐藏关于服务器的某些信息,例如服务器的实际IP地址。
09
不使用时禁用SSH/Telnet 结合上一点,如果是定期需要使用SSH/Telnet服务,请在不用时进行关闭。由于默认情况下启用了root访问,并且SSH / Telnet仅支持以管理员帐户登录,因此黑客可能会强行破解管理员密码来获得对系统的未授权访问。如果需要始终提供终端服务,建议设置一个强密码并更改默认的SSH(22)端口号,以提高安全性。
通过以上9点可以为NAS系统加强安全等级,并实时掌握运行情况。除此之外,确保了数据安全,还要实时检测数据的一致性,因为如果有未授权的访问,很有可能会导致数据丢失或被篡改。所以在这9点基础上,还要定期对存储池进行数据清理,并对硬盘进行S.M.A.R.T.检测,以检测数据的完整性。