教你怎么为群晖nas设置防线保护账户安全
信息安全的威胁无处不在相信不少朋友已经拥有了黑白各异的群晖NAS,既然搭建了NAS系统,说明你已经非常重视数据的安全。NAS提供最核心的网络存储和分享功能,随时响应管理员和合法用户的远程服务请求,因此必须对互联网开放,也不可避免地暴露在黑客或潜在入侵者面前。 常规的用户身份认证是通过账号系统实现的,因此获取账号密码就成了黑客入侵系统的常见手段。
攻击的方式包括但不限于:通过社会工程学或钓鱼网站等手段猜测、骗取用户名和密码;根据统计结果用密码词典进行暴力破解,即依次用常见密码尝试登录;拖库,利用某一网站漏洞获取了全部账号密码的数据库,再拿到其他网站尝试登录,这一点是利用了人们为图省事,往往把同样的账号密码用来注册不同网站的心理。
网络安全体系针对攻击方这些常见的安全威胁,群晖科技设计了完善的安全机制加以防范。
比如:及时发现软件漏洞,发布更新补丁;
限制登录尝试次数,输错三次密码即不允许再登录,这样可以避免暴力破解;
限制同一IP地址尝试登录次数;只允许可信任的终端访问;
定期强制用户修改密码等等。
Synology产品安全事件响应团队 (PSIRT)我们必须理解,信息安全其实是一个系统工程,涵盖了法律、技术、管理、硬件、软件、人等方方面面。由于Synology(群晖科技)作为专业厂商具有强大的研发能力和知识积累,通过加入安全联盟、及时收集和发现漏洞、建立快速响应机制、在黑客社区悬赏抓bug等有效手段,建立了一个持续演化、不断改进的安全保障体系,极大地提高了NAS产品的安全等级。第一道防线:为群晖NAS启用两步验证
近年来,随着NAS逐渐普及、进入小型办公和家庭办公(SOHO)市场,越来越多的家庭和小微企业开始享用NAS带来的种种便利和效益。与厂商强大的安全实力呈鲜明相对的是,这些用户中的很大部分是缺乏网络知识和安全常识的。黑客在尝试入侵系统的时候,出于成本考虑,首先试探攻击的必然是系统中最弱的一环--用户,具体来讲,就是试图获取用户的账户。为防止入侵者利用前述各种手段获取到账号密码、登录获取NAS的控制权,有必要为账户加上安全锁,这就是群晖NAS的第一道防线:开启两步验证。
这是一个从军方和间谍领域借鉴过来的技术,是专门针对传统账号系统的弱点而开发的。两步验证技术要求登录时除输入用户名和密码外,还必须输入一个由软件自动生成的定期更新的本地验证码。验证码是在用户端本地生成的,仅用户本人可见。
并非网页登录页面产生的用于区分人或机器人的验证码,后者直接公开显示在网页端,黑客肉眼可见,没有任何保密性可言。很多网银颁发给用户的电子密码器,也是使用了这一原理:电子密码器与账号绑定,由用户保管。交易时,或是用户输入网页提示的一串字符,密码器运算后产生验证码;
或是密码器定期自动产生随机的验证码。两步验证很好地解决了黑客远程攻击的威胁:用户名和密码能够远程尝试,而本地验证码黑客是无法通过网络窃取的(当然,黑客无法完成的任务,将由电信网络骗子来继承,骗子伪装成合法客服等身份,通过聊天软件或者钓鱼网站,再让用户心甘情愿告知验证码,哈哈。)
为群晖NAS启用两步验证的详细教程,请参考上面卡片。
第二道防线:账户保护第一道防线启用了两步验证,每次登录群晖NAS时,除了输入用户名、密码,还要打开身份验证器查看随机验证码,在登录窗口输入该验证码。
多了一个步骤, 比常规的登录稍显麻烦,估计很多用户不能长久坚持。须知安全与方便不可兼得,为了安全而牺牲一点便利性是值得的。
不管怎样,考虑到人的惰性是普遍存在的。今天,就为大家分享第二道防线----账户保护。我等小白只需轻点鼠标,一次设置,终生受益。
群晖NAS账户保护入门教程
既然攻击者常用的手段有利用密码辞典轮番尝试登录(暴力破解)、借助已泄露的密码去试探其他网站的账户等,能不能识别出这些可疑行为,从而将入侵者与正常用户区分开呢?
这就是账户保护技术要解决的问题。
在群晖DSM系统中,通过识别短时间内反复试探、登录出错等异常行为,可以有针对性地封锁对方的IP或客户端,从而达到保护账户安全的目的。
一、在控制面板中,打开安全性模块
打开:控制面板-安全性
点击进入账户标签页
二、启用自动封锁IP
在互联网上,每台计算机都有唯一的IP地址。当DSM的安全系统识别出潜在入侵者在尝试登录后,通过封锁其IP,拒绝对其任何请求进行响应,自然就阻断了对方继续登录的尝试。
显然,我们这些普通用户,希望这个功能必须是自动实现的。
自动封锁ip的设置选项点击切换到账户标签页。
页面首先展示的,就是自动封锁选项。勾选启用自动封锁。如果在下列设置时间内,登录失败的次数达到下列设置的次数,系统将自动封锁登录者的IP。
等于果断关上了针对此人的入口。一般来说,短时间内多次尝试登录失败,是典型的入侵者暴力破解密码的特征。
启动封锁过期:当启动封锁过期功能时,在下列天数后,被封锁的IP将会被解除封锁。由于现在多数家庭宽带用户的ip是自动获取,且经常变化的,定期解除封锁可以防止以后得到该IP的用户无法正常使用NAS。根据情况,这一条可暂不开启。
允许/封锁名单:此处等于是IP地址区分的白名单/黑名单。点击进入后,可以进行查看和管理。
三、查看允许/封锁名单
此处,我们点击进入查看一下,并熟悉如何进行管理。
3.1 白名单
允许名单(白名单)当前是允许名单(白名单)标签页。这里列出的是即使出错达到设定次数,也不会被封锁的IP地址,等于是信任这些地址发来的请求。允许的IP地址列表。
工具栏:新增、删除、导出。
3.2 黑名单
封锁名单(黑名单)点击切换到封锁名单标签页。此处列出的是手工添加的黑名单,或者是通过自动封锁功能添加的IP地址。
封锁的IP地址列表。工具栏:新增、删除、导出。
3.3 对允许/封锁名单的管理提醒:当启用自动封锁后,将根据行为而不是身份来封锁IP。比如,即使你是群晖NAS的合法用户,哪怕你是系统管理员,当你尝试登录的次数触发自动封锁功能后,照样被拒绝登录。别问我为什么知道的。
此时,想较块解决,唯一的办法是另外找一台电脑(等于更换一个未被封锁的IP地址),重新登录,然后到3.2的允许/封锁名单列表中,找到你被封锁的IP,并删除,才算解救了自己。至此,我们经过简单的设置,就为群晖NAS建立了第二道自动化的防线。如果您对这样的安全措施还不满足,请继续阅读。
四、账户保护4.1 未信任的客户端
如果未信任的客户端,在预设时间内登录失败的次数太多,则触发账户保护。
未信任的客户端,可以理解为从未登录过合法账户的客户端,可能是合法用户换了一台电脑,也可能是潜在的入侵者。
未信任客户端--账户保护点击左侧的箭头,收缩自动封锁IP选项。继续向下看。
进入账户保护选项区。勾选启用账户保护。
有读者该提问了,同样是尝试出错被封锁/保护,前一节的自动封锁IP和本节的账户保护有什么区别?解释一下:
自动封锁IP:针对的是IP地址,属于比较严厉的、最高级的封锁措施。只要是来自该IP的请求,一律封杀。但前面也说了,如今很多用户都是自动获取IP,这种封锁有可能造成下一个合法用户因使用了前面被封锁的IP而无法访问群晖NAS,存在着误伤的可能。
账户保护:针对的是你用来登录的账户,属于范围更窄一些、更具体的封锁。例如,你的账户名为xyz,当该账户在设置时间内登录失败次数太多,则DSM自动保护该账户,即xyz账户被锁定,即使换一台电脑也无法登录。除非等待30分钟(前面设定的取消保护期)。同时,该电脑的IP并未被封锁,你可以换一个名为abc的用户来重新登录。
4.2 已信任客户端
已信任的客户端是你多次登录账户成功的计算机等设备,甚至是在登录页面勾选了“信任此设备”选项的设备。
为何对已信任的客户端,也需要进行防范呢?设想一下这样的场景:某台被信任的计算机或者智能手机,因为丢失或者短时间无人照看,被其他人得到控制权,而在短时间内尝试登录你的账户。所以,当已信任的客户端上,发生了尝试登录出错次数太多的情况,我们就要怀疑,该客户端已不再被合法用户掌握了。
已信任的客户端--保护选项页面向下,来到已信任的客户端。
设定尝试登录次数、几分钟内。设定接触封锁(几分钟后)。管理已信任客户端。当发生设备遗失等极端情况,在这里删除信任。显然,读者也会对本节的保护措施存在疑问,那么我们继续与前两项对比一下,就可以明白了。
前述两项保护措施,分别针对的是IP地址、NAS账户,本节针对的,则是----设备。
设备是指计算机、智能手机、平板电脑,甚至电视、冰箱等,任意可以用来登录并访问群晖NAS的终端。
因此,当已信任的客户端上,在预设时间内,发生尝试登录出错次数太多的可以情况,DSM系统封锁的对象是这台设备,而不是账户或者IP地址。
即,更换另一台设备,用刚才的账户,仍然能登录。
通过区分情况、范围和对象,分别指定封锁/保护的IP地址、账户、客户端,能够在保证安全性的前提下,减少对正常用户的影响,封锁可疑者的入侵尝试,得到最大的灵活性。
可以说,群晖DSM系统的账户保护机制是非常周到的。
未完待续谦虚地说,张K友家读者圈里,在下是黑群晖用户中硬件配置最高的,白群晖用户中闲置台数最多的,致力为张K友用户奉献最权威非官方群晖入门手册。通过本篇的介绍,举手之劳,就可以在账户层面上对你心爱的群晖进行一劳永逸的保护。
|
新手玩家
