通俗地说,我们的NAS其实就相当于我们日常使用的电脑。除了硬件配置之外,它还有自己的系统。电脑可能被感染,NAS也一样!
只是NAS中的病毒通常都是勒索软件。放置病毒的人知道我们的NAS可能包含我们的重要数据,因此病毒会远程锁定我们的NAS,让我们自己无法访问,并且会自动弹出勒索标签,要求我们“支付”。解锁锁,因此被称为“勒索病毒”。
根据我个人的研究,基本上99%的NAS用户被勒索软件感染主要是因为他们在使用NAS时未能保护应用程序安全,这给了不法分子可乘之机。换句话说,不要以为买了NAS就可以高枕无忧了。我们必须有安全意识,防患于未然。拿到NAS后,我们可以进一步对其进行优化和设置,以达到最大程度的安全性。
今天展示的NAS 是QNAP TS-464C。作为威联通今年推出的新款高性能四盘位NAS,它采用旗舰级Intel Celeron N5095 四核X86 处理器,比上一代J4125 处理器性能提升30%。 %,显卡性能提升到300%左右。内置双2.5GbE网口,结合Prot Trunking链路聚合,可实现5Gbps带宽,同时还拥有双M.2 NVMe SSD插槽,无论用作缓存加速还是直接用于存储,都能带来显着的收益。获得性能改进。同时还拥有一个HDMI 2.0输出端口,支持4K(3840×2160)@60Hz高分辨率输出。无论我们是玩HTPC家庭影音,还是玩虚拟机显示透传,都非常强大!
好的!话不多说,下面正式进入今天的教程!
PS:理论上来说,今天的想法适用于目前市面上所有的NAS产品。本教程不仅仅是作业的简单复制。学会举一反三,是每一个苦苦挣扎的玩家必备的技能~~
保持最新系统
众所周知,我们现在使用的电脑或者手机更新时,在最常见的更新列表中肯定会出现“XX安全更新”的提示。对于NAS来说也是同样的道理。每次更新都会伴随着安全保护的改进。所以如果NAS提示系统更新提醒,建议尽快更新系统!
QNAP用户需要打开“控制台-系统-固件更新-检查更新”,如果有更新提示,直接升级即可。我目前使用的是最新的QTS 5.0.1固件版本,相比上一代4.X系统可以说是一次重大升级。除了全新的UI设计之外,系统核心也升级至Linux Kernel 5.10,带来了更高的内核安全性。至于系统性能,如果您的QNAP NAS提示可以升级,不要怀疑,直接升级即可!
PS:升级系统仅适用于成品NAS。对于自装NAS(如Black Group),建议正常使用情况下谨慎升级~~
停用默认的管理员帐户
目前,大多数NAS产品的默认管理员帐户普遍相同,因此攻击者很容易猜测并主动攻击该帐户。因此,当NAS初始化并设置完成后,我们需要做的第一件事就是创建一个自己的新管理员帐户,并禁用产品的默认管理员帐户。
打开“控制台-权限-创建-创建用户”
创建新的用户名和密码,勾选右侧“用户组”下的“管理员”,然后点击“创建”按钮创建新的管理员帐户。
然后返回用户列表,选择默认管理员帐户“admin”,点击“编辑帐户信息”选项,在弹出的框中选择“立即停用”,这样默认管理员帐户就被停用了。如果您以后需要管理员帐户,请使用我们创建的帐户。
而对于已经建立的账户,您可以通过稍后“操作”中的“编辑用户组”设置快速授予或取消管理员权限。老实说,这对于多用户使用NAS 非常有用。
PS:关于权限,我需要给多用户NAS使用场景一个建议,就是一定要合理分配其他用户权限,一定要遵循“最少权限原则”。不要动不动就给其他用户管理员权限,因为你不保证所有用户都会有很强的安全意识!
启用两步验证
两步验证大家应该都很熟悉吧!现在常见的Apple ID和Google ID在登录时都需要进行两步验证,以确认用户是否是本人。 NAS上两步验证的目的是一样的。确认登录NAS的用户是否为授权用户。如果您设置了两步验证并收到异常登录提醒,很可能是非法用户入侵对您进行测试。 NAS密码!
对于威联通的两步验证,只需点击管理员头像,选择“选项”即可看到“两步验证”设置界面,然后按照分步向导进行设置即可~
PS:不过这种两步验证有一个致命的缺陷,就是在连接某些服务时,比如开启SMA、FTP、SSH服务时,输入账号或密码时无效。所以,接下来的【强密码】设置就更有用了!
使用强密码
密码设置就像我们WIFI密码设置一样,越复杂越好,当然不能忘记,哈哈
QNAP的密码设置规则比较丰富。我们可以根据自己的使用情况,设置一个我们可以记住的个性化密码。我个人建议密码设置包含大小写字母和数字的组合,这样可以大大提高密码的破译能力。困难。
如果用户较多,还建议设置密码有效期并定期更改密码,以进一步提高密码安全性。
停用不必要的连接服务
NAS中毒实际上是通过外部连接引入的。 NAS作为网络存储设备,支持的服务较多,因此潜在的漏洞也较多。一般来说,NAS会默认关闭很多底层服务(如SSH、SFTP等),以保护自身的安全。然而很多时候我们自己打开却忘记关闭,这就很容易被不法分子有机可乘。机会。
举个例子,NAS上最常用的SSH连接可能是Docker,所以我在我的Docker教程中总是提醒大家养成使用后关闭它的习惯,因为SSH可以控制我们NAS的核心底层,这是非常危险的开启后!
同时,您还可以在“控制台-系统-系统状态-系统服务”中查看已启用的服务。如果不需要,可以直接禁用它。这样可以大大降低外部入侵的风险!
更改默认登录端口号
玩NAS的朋友一定知道端口号的重要性。无论我们访问局域网还是外网,我们一般都是依靠IP地址+端口的形式进行指定访问,包括我们NAS的Web登录界面。
但NAS的默认端口号都是一样的。例如,QNAP 默认的WEB 管理端口为“5000”和“5001”(分别对应HTTP 和HTTPS 连接端口)。改变之后,被攻击的可能性就能大大降低!
打开“控制台-系统-常规设置-系统管理”,可以修改页面上的“系统端口”和HTTPS下的“端口号”。对于NAS来说,可以使用端口范围1到65535,但不能与局域网内的设备重复!
启用自动封锁功能
自动屏蔽功能和我们手机上使用的屏幕密码是一样的。即密码错误一定次数后,将不允许您输入。在NAS上设置自动封锁功能后,如果对方输入错误密码的次数达到我们设定的值,对方的IP地址将被直接锁定并限制其再次进入,从而避免非法的尝试和攻击派对。
QNAP 打开“控制台-系统-安全-IP 访问保护”,可以设置间隔时间、登录次数、阻止时长。我的建议是默认登录次数为5次,如果太短,有时你担心你不小心输入错误的密码,你的IP会被封。阻塞时间是永久的。不管怎样,您还可以稍后对“允许/拒绝列表”中被阻止的ID 进行其他操作。
启用 HTTPS 进行安全加密连线
HTTPS是目前互联网上广泛使用的一种安全通信协议,因为HTTPS需要对网站以及与之通信的相关Web服务器进行身份验证才可以连接,从而避免受到他人的攻击。在使用HTTPS连接的过程中,有一个非常重要的东西,那就是签名证书,也就是很多玩家所说的SSL证书。
对于NAS来说,通过HTTPS连接可以大大提高我们远程连接的安全性。最重要的是我们不会受到中间人的恶意攻击。
QNAP 实际上提供了免费的证书申请,但遗憾的是目前在中国还无法使用。
而威联通可以通过导入自有域名的SSL证书来实现HTTPS安全访问。有很多关于如何部署和设置此站点的教程。由于篇幅原因,这里不再赘述。如果你想要保姆教程,可以在评论区提问,我会花时间满足你的愿望。
安装杀毒软件
NAS就像我们的Windows电脑一样,也有自己的杀毒软件。由于NAS厂商非常重视安全性,因此NAS上的防病毒软件也非常专业。因此,安装防病毒软件可以提前预防NAS可能出现的各种问题和漏洞,很好地保护设备和数据!
威联通的防病毒软件可以在“应用程序中心”中点击“安全”类别找到。可以发现它目前提供了4种安全应用:
Malware Remover:这是官方默认的安全软件,可以检测系统中的恶意病毒程序或文件,并可以设置定期扫描; McFee Antivirus:不用说,这是不言而喻的!电脑上有大厂知名的杀毒软件,没想到NAS上也有; QuFirewall防火墙:顾名思义,是NAS上的专用防火墙,主要是防止暴力破解,保护数据安全;安全顾问:一款安全评估应用,可以对NAS进行各种风险评估,制定适合您的安全策略,并提供相应的对策和建议。
启用必要的通知功能
QNAP是我目前使用的NAS中通知功能最齐全的。简单来说,通知功能就是NAS出现任何异常情况,都可以通过您设置的通知方式通知给您,这样我们就可以提前知道一些异常情况,尽快制定处理方案,从而有效规避风险。
QNAP 附带“通知中心”应用程序,支持多种通知方式(电子邮件、短信、Qmanager App 等)。您还可以根据不同的应用和事件严重程度自定义系统通知规则。具体玩法大家可以自行探索。个人建议只对安全内容设置通知提醒,因为如果设置太多通知、推送太多通知,很容易忽略一些重要的安全信息。
建立多重备份
其实,对于我们真正需要保存的信息或数据来说,“不要把鸡蛋放在同一个篮子里”永远是一条颠扑不破的定律。也就是说,备份绝对是每个数据存储者必须具备的好习惯!退一步来说,即使NAS没有感染勒索病毒,NAS本身也可能受损,硬盘也可能突然死掉吧?但如果我们有备份,那么即使NAS出现问题,我们也不用担心数据丢失!
对于重要数据的备份,业界一直有一个通用的数据保护黄金法则,就是3-2-1数据备份原则:
至少进行3 个备份并将备份存储在2 个不同的存储介质上。在场外至少保留1 份副本。
QNAP自家的备份工具名为“HBS 3文件备份与同步中心”,需要在App Center中下载安装。
此神器功能强大,自带3-2-1备份策略。它不仅支持备份到USB,还支持备份到家里的另一台NAS,甚至支持备份到自己的各种网盘和云。服务器(常见的百度网盘、谷歌网盘、阿里云、腾讯云、华为云均支持)。
需要强调的是:目前NAS上最安全的备份方式就是冷备份!对于NAS上的核心数据,一定要养成定期冷备份的习惯,即通过USB直接备份到未联网的存储设备(如移动硬盘)上,并记得断开连接备份后!这确实不是危言耸听!不要低估别有用心的网络黑客的力量!
关于备份,我无法用一两句话解释清楚。稍后我会专门发表一篇文章。有兴趣的话记得关注我哦~
启用快照服务
快照就不用多说了了吧?玩虚拟机的朋友应该很熟悉。快照就是我们的“月光宝盒”,意味着我们可以以特定的方式备份某个时间点的系统和数据,作为恢复点。如果以后不小心,当某些重要文件被删除时,只要点击我们设置的快照,系统数据就可以立即恢复到指定的还原点,从而达到神奇的“时光倒流”
打开“存储和快照管理器”,选择“存储/快照”,然后选择要创建快照的存储空间,点击创建快照,即可快速创建当前时间点的快照。
这里需要注意的是,QNAP的快照功能只支持厚卷和精简卷,不支持静态卷。也就是说,如果您需要快照功能,则必须在创建存储池时选择您需要的存储池。类型。
打开“快照管理器”可以对我们创建的快照进行更多个性化的定制。
如果您害怕忘记在某个时间创建快照,还可以在这里创建“快照计划”,让NAS 在指定时间自动创建快照。
关注硬盘健康检测
硬盘是NAS上的重要载体,持续长时间运行。因此,除了购买可靠的专业NAS硬盘外,还应注意对硬盘进行必要的健康检测,以做到早发现、早治疗。目的,不然到时候哭就来不及了。
QNAP 直接打开“存储和快照管理器—磁盘/VJBOD—磁盘健康状态”
在“Summary”中可以看到当前磁盘运行状态
您还可以在“设置”中设置磁盘温度警报和SMART 测试计划。
开启前端路由器防火墙
因为大多数NAS的前端都连接着路由器,如果路由器有更好的防护性能,无疑会给NAS又增添一层安全防护!
其它的安全建议
不要暴露您的公共网络:
对于有公网IP的朋友,切记从外部访问时不要直接使用公网IP。虽然这是最方便的,但也是最危险的!
养成良好的上网习惯:
不要打开您不认识的电子邮件,也不要点击您不确定的网站!年轻的女士可以让你失去视力,同时也可以让你倾倒。网上这样的例子太多了!
谨慎使用虚拟机:
很多玩家会使用虚拟机在NAS上安装Windows系统。殊不知Windows系统是病毒的重灾区。互联网上曾出现过通过虚拟机传播病毒的案例。可以这样做,但建议不使用时将其关闭!
用户评论
風景綫つ
哎呀,这个QNAP安全设置真是个好东西,我得赶紧看看怎么设置,毕竟安全无小事。
有18位网友表示赞同!
﹏櫻之舞﹏
把问题消灭在萌芽状态,这话说得太对了!NAS安全得重视起来。
有13位网友表示赞同!
最迷人的危险
QNAP的安全设置听起来很专业,但我也不是技术高手,能简单点介绍吗?
有8位网友表示赞同!
我没有爱人i
看了这个,我才意识到NAS的安全问题原来这么多,得赶紧升级我的设置。
有13位网友表示赞同!
浮殇年华
文章说得太到位了,我之前一直以为NAS安全没问题,现在得赶紧检查。
有10位网友表示赞同!
蝶恋花╮
QNAP的安全设置复杂吗?我有点担心操作起来会麻烦。
有14位网友表示赞同!
隔壁阿不都
把问题消灭在萌芽状态,这句话让我想起了家里的防火安全,一样重要。
有12位网友表示赞同!
致命伤
NAS用户一定要重视QNAP的安全设置,别等到出了问题才后悔。
有20位网友表示赞同!
柠栀
这个QNAP安全设置文章太实用了,我收藏了,以后用得上。
有17位网友表示赞同!
龙吟凤
文章里的安全设置看起来挺全面的,不知道家里的NAS是否需要这样操作。
有15位网友表示赞同!
太易動情也是罪名
NAS用户如果不重视安全设置,那简直就是裸奔啊,得赶紧改。
有17位网友表示赞同!
鹿先森,教魔方
这个QNAP的安全设置文章让我有了新的认识,得分享给其他NAS用户。
有9位网友表示赞同!
寒山远黛
把问题消灭在萌芽状态,这句话让我对生活和工作都有了新的理解。
有10位网友表示赞同!
厌归人
我之前对NAS的安全设置一窍不通,这篇文章让我有了方向。
有6位网友表示赞同!
心亡则人忘
家里的NAS得赶紧按照这篇文章说的去设置,安全第一。
有18位网友表示赞同!
来自火星的我
这QNAP安全设置真是个好帮手,希望以后用得着。
有15位网友表示赞同!
_心抽搐到严重畸形っ°
看了这个文章,我觉得NAS的安全设置比想象中还要重要。
有18位网友表示赞同!
╯念抹浅笑
NAS用户一定要重视安全设置,别让隐私泄露了。
有7位网友表示赞同!
单身i
这篇文章让我对QNAP的安全设置有了新的认识,得赶紧学起来。
有15位网友表示赞同!