群晖NAS常见的几个安全设置让黑客无从下手
原谅我标题党一次,实际上没有任何一个系统能做到100%防止黑客入侵,甚至可以不负责地说,只要顶级黑客愿意,世界上的任何系统没有他们进不去的。
家里装了群晖或者其他NAS之后,大多数人都会将它暴露到公网来使用,一旦在公网暴露就有被黑的可能,以下介绍几个安全的配置让你尽量降低被黑的可能。如果你的NAS只在内网使用(前提是普通的宽带家庭内网,而不是复杂的整栋楼、小区或者idc的小范围局域网环境),就不必设置了,其一是内网相对安全,其二因为安全是有代价的,下面的任何一项安全设置都会给你平时使用NAS带来或多或少的麻烦。
基本上有两种被黑的可能,第一种:就是被黑客扫IP段和默认端口发现目标并结合漏洞或者弱口令入侵;第二种:是黑客针对性地入侵某一个人的电脑系统(或者nas、手机等智能设备),当然,对于有第二种“指哪打哪”能力的黑客并不屑于用自己手里的银弹来对付我等无名之辈,我们需要做的就是尽量不要让系统的安全性过于薄弱即可。
下面介绍一些必要的安全设置
安全设置的几个原则就是,第一尽可能少地暴露端口到公网上、第二不要使用默认的端口、第三提高密码被破解的难度。公网之上无处不在各种黑客的扫描器,这些扫描器时刻都在扫描着整个互联网。
举个例子:假设openVPN出现了一个可以让黑客不需要账号密码就能连上目标主机的漏洞,这个时候坏人就会用扫描器扫ip段上的1194端口(因为openVPN的默认端口就是1194),如果发现该端口对外开放就会被黑客利用该漏洞入侵成功。为什么黑客不去扫描某个ip段上的所有端口呢?因为太多了,消耗的时间太长,并且效率不高。假设扫100万个ip的1194端口,需要10分钟,如果扫100万个ip上的所有65535个端口需要的时间是之前的六万多倍,这个时候如果你是个有一点点安全意识的人,只是把默认的1194端口随手在前面加了个3改成了31194就能幸免于难,何乐而不为呢。
这个时候你可能又有疑问,反正扫描器是机器自动扫,24小时挂机扫,开多台机器一起扫,甚至通常黑客手里都会控制一大堆电脑或服务器(俗称“肉鸡”),用几百、几千、几万台电脑的扫描软件一起扫不就行了吗。这涉及到一个投入产出比的问题,扫描成本增加了六万多倍,去扫那些极少数已经改了默认端口的设备实在不划算,并且能够修改默认端口的设备管理员至少已经能够证明他们有着更高的安全意识,即使扫到了他们,能够成功的概率也要远低于其他设备。所以有这六万多倍的扫描能力,还是去扫描更多的ip段更实在。
有黑客大佬说过,越大的公司越容易入侵,道理也很简单因为大公司业务系统繁多,成百上千的系统只要有一个系统的安全防范没有做到位就可能会被入侵进而殃及所有的系统,与大家的认知刚好相反。
小贴士:如果你是通过路由器端口映射暴露群晖的服务,修改对外服务端口的时候可以直接去路由器上更改映射表,而不需要在群晖NAS上逐个修改。
0、外网访问时使用HTTPS
- 使用https可以保障客户端与NAS之间通信内容不被第三方拦截监听
- 白群晖可以使用群晖自带的quickconnect服务,优点是简单方便,缺点是速度受到群晖提供的服务带宽限制
- 另外一个就是自己注册域名+阿里云申请免费https证书+开启DDNS,优点是平时使用的速度能可以跑满NAS的带宽,缺点就是要花钱注册域名、配置起来有一点点的麻烦。
1、不要使用简单密码
目前简单密码大概是指纯数字、纯字母不超过10位、字母数字组合不超过8位等情况,建议最差也要字母+数字达到12位。
2、启用自动封锁防止密码被暴力破解
开启方式:控制面板 > 安全性 > 账户 > 自动封锁
该方法防护能力十分有限,黑客暴破时更换IP代理即可轻松绕过,所以想完全防止被爆破,需要配合方法6的动态密码一起防护才行。
3、更改默认的端口号
只要是暴露在公网上的服务,就一定要把端口号改掉,并且要改成一个毫无规则的冷门端口号。比如群晖NAS默认的http端口是5000,https端口是5001,大部分人都是通过路由器端口转发方式暴露NAS服务器,只要将端口转发规则中的外部端口设置一个冷门端口即可,建议设置一个毫无规则的比如:47329、17538、29381等等。
这里解释一下何为冷门端口,通常服务器常用的软件都有默认端口号,这些端口是黑客经常光顾的,你出于安全把一个端口号改掉了,但是改到了另外一个枪口上,等于没改一样。常见的端口:
80/8080/3128/8081/9080/1080/21/23/25/443/69/22/110/138/139/109/7001/9080/9090/3306/3389/8081/1521/1158/2100/1433/1434/27017/6379/9000/11211/5000/5432/8000/1527/2184/32767/9092
更多常见端口参考:https://www.xzb5.com/tutorial/4701.html
群晖自己的软件默认端口:https://www.synology.cn/zh-cn/knowledgebase/DSM/tutorial/Network/What_network_ports_are_used_by_Synology_services
4、开启防火墙
防火墙开启方法:控制面板 > 安全性 > 防火墙
如果只在公司等有固定IP的场所访问NAS,可以开启防火墙。但是要注意防火墙并不适合所有人,如果小白用户贸然开启,可能导致你在外网无法正常访问NAS的服务。详细的设置方法稍后单独开帖写。
5、尽可能少地暴露端口到公网上
nas每启动一个网络服务就对应开放至少一个端口,同时就多增加了一层风险,如果是必须在公网使用多个服务,可以采用只暴露vpn端口的方式,使用其他服务之前先连接VPN。
有些路由器甚至支持设置dmz主机,NAS被设置成dmz主机后,它将完全暴露于公网之上,这是非常不可取的,从安全的角度极不建议新手如此设置。
6、开启[2步骤验证]
开启方法:控制面板 > 用户账号 > 高级设置 > 2步骤验证。
使用苹果手机的用户肯定不陌生,Apple ID早就有两步认证的机制,这个功能说白了就是需要账号+密码+动态密码才能登陆成功,而且成功登录一次后群晖会记住这台设备,不用每次都使用动态密码那么麻烦,强烈建议开启此选项。群晖的这个动态密码是由[Google Authenticator]这个手机APP动态生成。