又见大范围黑客勒索！抄作业级别群晖NAS全方位数据防护指南

? 前言

在上个10年前那个 络刚兴起的时代提起 络安全，正常人的第一反应就是：不装杀毒软件电脑会中病毒，比如熊猫烧香、灰鸽子、梅丽莎等病毒名字，即使不怎么用电脑的普通人都听说过。

然而近几年，病毒这个名词几乎很少听到了，取而代之的是直接结果：QQ/微信账 被盗、植入垃圾软件和垃圾弹窗等等，最臭名昭著的要数数据勒索，就在本月就出现了某NAS大面积被勒索的惨状，我现实中的朋友也不幸中标，数据无法恢复。

? 相关推荐

日常推荐硬件，感兴趣的朋友可以看下。

1?? 群晖 DS220+

https://item.jd.com/100014187286.html

介绍：卖的非常好的入门级别群晖，CPU为X86入门级别的J4025，非常适合低需求用户，存储文档外加挂点Docker足够用了，有活动一千多入手挺划算，当然如果不急的话可以等群晖新款也可以。

2?? 群晖 DS720+

https://item.jd.com/100014187308.html

介绍：群晖目前在售机型中的小钢炮，J4125+2G内存+双千兆 口不是重点，最重要的是内置了两条NVME硬盘槽位，配合上高性能固态硬盘可以胜任商用需求，插满后整机IOps更为暴躁，同时也会比四块机械硬盘更加省电。

3?? 群晖 DS920+

https://item.jd.com/100014187272.html

介绍：群晖目前民用级别四盘位中最强的型 ，J4125+4G内存+双千兆 口的配置也算是跟上了主流，如果不急的话可以等等2022年的新款旗舰机，据说配置非常顶，值得期待。

4?? 领势（Linksys） MX5502

https://item.jd.com/100028159874.html

介绍：CPU使用A53架构的高通双核IPQ5018，内存和闪存同为512M，物理 口全千兆（WAN1+LAN3），内置六个无线信 天线，2.4G和5G无线带宽分别为574Mbps和4804Mbps，频宽为160Mhz，MU-MIMO和OFDMA这些常规协议都支持，重点是支持领势的iMesh。

5?? 领势（Linksys） MX4200

https://item.jd.com/100015907770.html

介绍：CPU使用A53架构的高通六核IPQ8174（4CPU+2NPU），主频1.0GHz，内存和闪存同为512M，物理 口全千兆（WAN*1+LAN*3），内置六个无线信 天线，和MX5500不同的是多了一个频段，一个2.4G（574Mbps）+一个5G（1201Mbps）+一个5G（2402Mbps），比MX5500更适合当无线回程拓扑中的子节点。

6?? 希捷 酷狼 机械硬盘

https://item.jd.com/100030556154.html#crumb-wrap

酷狼是希捷的NAS系列机械硬盘，CMR非叠瓦，5900R+64M缓存低温且低噪音，内置AgileArray智能阵列技术，可以优化 络存储和RAD，同时可提供更先进的电源管理，最重要的是白送一次免费的数据恢复，对非专业用户非常友好。

案例拓扑为常见家用拓扑，光猫桥接后路由器拨 ，整个拓扑中只有路由器一台 关设备。

本次教程按照从NAS到外部 络的逻辑排序，分为NAS端配置、 关设备配置和创建备份链路三大块，涉及的操作点比较多，为了方便大家抄作业列一下操作目录，按需配置即可。

? 本地保护丨群晖NAS配置

多年前群晖也遇到过范围攻击，成立产品安全事件响应团队（PSIRT）后再无类似事件发生，PSIRT除了日常对DSM查漏补缺，遇到特殊攻击会在 8 小时内进行评估和调查，并在接下来的 15 小时内发布补丁以防止零日攻击的潜在损害。

群晖提供了花样繁多且高效的防护手段，大家跟着下面的操作就能有效防护，需要提醒的是随着安全等级越高，传输效率与质量也会相应降低一些，以下给大家的是最高安全级别配置。

1?? 账户保护—禁用admin账

除了测试用的设备，我把所有Linux设备都把admin账户给禁用掉了，毕竟最多见的入侵方式就是脚本不断用admin或者root账户+常见密码组合扫端口尝试登录。

2?? 账户保护—设置可靠的密码

这里点名表扬下群晖，DSM在创建子账 的时候有随机密码生成机制，生成的密码足够复杂。

一个足够安全的密码需要包含：大写英文字母、小写英文字母、数字和特殊符 ，如何修改密码就不再赘述了。

除了配置复杂密码，我们还可以配置额外的密码保护，进入控制面板的安全性中开启账户保护，当输入密码错误次数过多的时候自动封禁，短时间内无法再次尝试登录。

另外，还建议开启自动封锁功能，能封锁短时间内频繁尝试登陆的IP地址，搭配上面的密码保护，通过扫描加暴力破解的攻击方式是不太可能攻击成功了。

3?? 账户保护—开启双重验证

双重认证是个非常棒的安全机制，简单来说就是非信任设备在登录NAS时除了需要登录名和密码以外，还需要通过绑定的手机App进行再次验证方可登录，配置入口在控制面板的安全性中开启。

开启后点击个人设置选择验证方式，这里有三种验证方式可选，个人建议是第一种，在手机上安装Synology Secure SighIn这个App进行软件验证操作。

除了开启二级验证，个人建议再开通一下邮件通知，其他用户登录或者修改的时候NAS都会推送日志通知，方便检查和溯源，在通知设置里面配置邮箱和手机 即可。

4?? 访问保护—配置账户权限

作为目前普及率最高的NAS系统，群晖DSM对账 的各权限管理是全方位的，包括文件夹管理权限、应用使用权限和带宽使用限制等等。

在创建子账 的时候即可完成权限配置，注意存放重要资料的文件夹不要开放给所有账 ，防止被盗 后出现资料丢失的问题。

如果这台NAS的使用者非常多，可以选择创建并配置群组，后面再创建用户的时候只要选择对应权限的群组即可，无需再次手动配置。

5?? 访问保护—关闭SSH和Telnet

SSH和Telnet是两种Linux常用的远程登录方式，很多黑客团队会用脚本不断的扫公 IP看是否有开启SSH的设备并且尝试登录，建议不用的时候将这两个功能关闭，开启和关闭都在控制面板的终端机和SNMP中。

一般SSH的默认端口都是22，而且正常人不会去改端口 ，如果你一定要长期开启SSH和Telnet，请将登录端口改成五位随机数字。

6?? 访问保护—启用SSL认证

在访问某些 站的时候我们会看到域名前面是Https，即该域名开启了SSL认证，作用是对传送的数据进行加密和隐藏。

群晖作为全行业唯一赠送免费SSL证书的NAS，在配置域名（DDNS）的时候即可自动获取可用的证书，DDNS可以为NAS分配一个固定的域名用于外 访问，前提是NAS可以通过单次转发或直接获取公 IP，IPv4和IPv6都支持。

获取的证书可以在安全性中的证书管理页面看到，并跟随域名的变化自动更新，当然自己购买花生壳、阿里或者腾讯的域名替换也可以，群晖赠送的DDNS和SSL证书其实已经足够用了。

成功获取证书并开启SSL访问后即可通过Https安全协议访问NAS，这时候Http也同时可以使用，只是端口 不一样。

配置完域名并获取证书后可以点击登录门户勾选自动转向Https，只要支持Https的应用都会自动转向，非常方便。

7?? 访问保护—开启防火墙及封禁规则

NAS系统都带有专门的防火墙和杀毒软件，群晖也不例外，在安全性中开启即可。

群晖的防火墙逻辑比较简单有效，通过监控端口和IP判断异常，如果资料非常重要，可以配置访问白名单来限制访问者，仅限白名单IP/设备访问是最有效的防护。

8?? 本地保护—保持DSM系统更新

作为目前最成功的的NAS系统，群晖DSM更新比较勤快，基本一月一更，并且几乎每次更新都会有安全性相关的更新项。

为防止使用中更新影响使用，群晖也是很贴心的预制了三种更新选择和配置更新时间，建议使用第一种有针对安全性升级的版本自动升级，相对比较稳妥一些。

9?? 本地保护—定期检查安全顾问

除了以上这些被动防护的功能外，群晖DSM还提供了主动查杀的安全顾问，功能是扫描并针对安全不足提出修改建议。

首次运行安全顾问会提示选择这台群晖NAS的应用场景，一般家用选默认选项即可。

安全顾问做的非常不错，在总览界面即可看到需要修改或优化的项目，点击感叹 即可跳转查看优化建议。

在常规的安全检查外，安全顾问还能提供客户端的访问记录，方便NAS管理员随时查看并排查潜在攻击者。

比如我这里的日志就能看到，近期有人在尝试登录我的NAS，万幸的是被群晖挡了下来并封禁了对方的短期登录尝试。

?