让NAS更安全的十个方法

前言：

如果大家有留意到关于资讯安全的新闻的话，其实会发现网络上一直存在针对NAS的攻击。

不管是什么品牌的NAS，其实都存在不少未知的安全性漏洞，要用NAS用得更安全，更放心，就需要做好安全性设定，以降低被图谋不轨的人盯上的机会。

本次就为大家科普或者说介绍一些常用的安全性设定，让大家都可以把NAS设定得更安全。

以下会以QNAP NAS作为平台，其他品牌的NAS理论上都有提供类似的设定，大家只需要按相同逻辑设定即可~

目录：

1.使用强制密码

2.启用自动封锁功能

3.避免使用预设的连接端口

4.停用不必要的服务

5.只对外开放必要的服务

6.使用SSL 加密连线

7.启用系统连线记录

8.启用NAS 通知功能

9.保持系统及套件在最新的版本

10.安装安全性检查套件

正文：

本次操作平台为威联通的TS-551

TS-551 是一款五盘位NAS，盘位数量对于初级用户来说恰到好处，不用一次购入太多硬盘就可将盘位填满，节省预算。其中两盘位支持SSD高速缓存（2.5英寸），另外还有三盘位使用机械硬盘（2.5、3.5英寸均可），可以做到分层分区存储，提高传输性能和安全性。设计有两个千兆lan接口、两个USB2.0接口、两个USB3.0接口与一个电源接口，还有一个音频接口。这款机器还支持链路聚合，可拥有双倍的速度传输数据。

QNAP威联通TS551双核心5-bayNAS分层分区存储4K影像输出1899元天猫精选去购买

TS-551使用intel Celeron J3355处理器，2.0GHz，可睿频至2.5GHz；采用的是X86构架，比ARM构架的还是要好用些；2GB初始内存，可扩展至8GB；4GB闪存，支持RAID 0/1/5/6/10、+ hot spare、single等RAID模式。

虽说算个入门产品，但是一点也不算差，该有的都有，对于小白来说用它来入NAS的门也比较合适。

下面进入正文！

1.使用强制密码

不少被攻破的NAS以及其它电子设备， 都是使用很简单或很容易猜到的密码。通过设定长度及复杂程度足够的密码，能大幅度增加黑客需要尝试的密码组合，从而达到提到安全性的效果。QNAP NAS 可以设定密码规则，能确保QNAP NAS 内所有的使用者账户的密码都有足够的长度及复杂程度，让NAS 被猜中密码的机会大幅降低。此外，系统管理员也可以设定密码过期日，来强迫使用者定期修改密码，避免黑客可以使用已经外流的密码登入NAS，进一步增加安全性。

设定密码规则可以强迫使用者设定强密码，也可以强制要求使用者定期修改密码

另外，由于大部分黑客都是针对「root」或「admin」之类的预设帐户进行攻击，因此也可以考虑把预设的「admin」帐户停用，用家需要先新增一个在「 administator」群组内的帐户，再用该帐户登入，才可以停用「admin」帐户。

除了使用强密码外，玩家还可以使用「两步验证」功能，在输入正确密码后，还需要使用应用程序产生一个有时效性的密码，才能成功登入。但要注意「两步验证」在某些地方是无效的，如「VPN」、「SAMBA」、「FTP」及「SSH」等，所以使用强密码还是有必要的。是必需的。

2.启用自动封锁功能

玩家需要启用自动封锁功能，在密码错误达一定的次数后，就把IP Address 直接封锁一段时间，甚至是永久封锁，即可避免攻击。

然而，请不要把错误次数设定得太低，以SAMBA 服务为例，Windows 系统在第一次连线时会自动使用Windows 的使用者帐户或Guest 帐户尝试连线到NAS，就有可能发生登入失败。因此，如果次数设定得太低的话，很容易就会把自己封锁掉，这时候就需要换个IP来帮自己解封，也十分麻烦。

通过「IP存取保护」，可以自动封锁在特定时间内多次登入失败的IP，阻止有心人碰密码

通过「IP帐户存取保护」，可以自动停用多次登入失败的使用者帐户，为玩家争取时间排除安全风险。

3.避免使用预设的连接端口

不少被攻破的NAS 都是使用预设的连接端口，因为黑客是采取「舍难取易」的策略，他们会用自动程序来扫描网络上的IP 地址，搭配一些NAS 的预设连接端口（如QNAP 是8080；Synology 是5000），找出NAS 并作为攻击对象。因此，改用其它连接端口能有效减小被黑客发现的机会，也降低了被攻击的可能性。

4.停用不必要的服务

一般来说，服务越多，潜在的漏洞就越多。因为NAS 往往都提供一大堆服务功能，当中必然包含玩家实际并未使用的服务，虽然NAS 的作业系统通常会把服务预设关闭，但玩家还是需要检查一下，把部分不必要或未使用的服务停用，减少潜在的漏洞。

玩家可以到「系统状态」查看已启用的服务，并把不需要的服务停用来降低风险，顺带还能减少占用。

5.只对外开放必要的服务

黑客会针对不同服务的连接端口进行攻击，尝试利用漏洞或猜出密码。虽然NAS 通常挂在路由器上，路由器基本自带防火墙。但是，错误的设置比如使用 DMZ 功能，会把所有连接端口开放到NAS，或是把不必要的服务对外开放，会增加被攻击的风险。因此，只对外开放有需要在外网使用的服务也可以减低风险。

玩家应该避免把不必要的服务对外开放，例如「SSH」、「Telnet」等等

此外，在有多于一个网口 的NAS玩家可以启用QNAP 提供的「服务设定」（Service Binding）功能，这可以把特定的NAS 服务指定到某一个网口，确保服务只在有需要的端口 运行，减少NAS 被攻击的机会。

「服务设定」功能可以限制使者只能通过特定网口使用存取服务

6.使用SSL 加密连线

不少玩家没有使用SSL 加密连线，使密码以明文的方式经网络传送，增加被黑客窃取密码的机会。通过启用及使用SSL 加密连线，能让所有资料都在有加密的情况下传送，让黑客难以窃取密码，使NAS 更安全。玩家还可以配合NAS 厂商整合的免费SSL 凭证，让浏览器或应用程序不会跳出 SSL 凭证不正确的警告。

7.启用系统连线记录

启用系统连线记录可以让玩家更容易发现NAS 有没有被攻击，增加安全性。

因为启用连线记录在入门NAS 机型有可能轻微影响性能的关系，所以有时厂商会因性能考量而没有预设开启，所以玩家最好自己检查一下有没有启用连线记录，并设定检查有没有可疑的存取状况（也可以配合系统通知功能使用，让系统主动通知），以保安全。

通过记录可以清楚得知有什么文件曾经被访问或存取，也能得知使用者在什么时候、以什哪个IP 登入

建议为所有服务启用连线记录

8.启用NAS 通知功能

NAS 的通知功能让玩家清楚知道NAS 的状态，提早发现被攻击并以处理，能有效降低风险。大部分NAS 厂商都会提供通知功能，从最基本的Email 通知、 SMS 通知，到手机推送通知都会提供。威联通可以说是更进一步，提供了即时通讯通知功能，支持多个通知方法齐发，更可以根据不同的应用及事件严重程度自定通知规则，确保玩家能注意到重要的信息，做出相应的行动。

可以根据「事件」类型自定义通知

可根据「严重等级」类型自定通知

支持E-mail 通知

支持SMS 通知

支持Skype 及Facebook Messenger 通知

支持Qmanager App 及浏览器推送通知

9.保持系统及套件在最新的版本

旧版本的系统及套件通常都存在不少已知的安全性漏洞，不少黑客会利用已知的严重安全性漏洞进行攻击，并有可能在免密码的情况下直接攻破，数年前的SynoLocker 事件就是血淋淋的教训。因此，保持NAS 系统及套件在最新版本能有效减少漏洞数目，避免让黑客利用已知的安全性漏洞，降低NAS 被攻破的机会。

比较有规模的厂商都会对外公开安全性问题及修复进度，例如 Synology 和 QNAP ，都会提供相关讯息，如果仔细阅读，大部分建议都包含更新系统及套件，以修补安全性漏洞，可见保持固体在最新版本是十分重要的。

Synology产品安全性咨询：https://www.synology.cn/zh-cn/security/advisory

QNAP产品安全性咨询：https://www.qnap.com.cn/zh-cn/security-advisories

部分应用，也可在APP Center 的设置中打开自动更新功能，可以设置自动更新的时间及方式。

10.安装安全性检查套件

QNAP NAS 提供安全性检查套件「Security Counselor」，这些安全性套件会检查NAS 的设定，并提供设置建议让玩家参考，只要用家按照建议进行设定，就能确保NAS 更安全。此外，QNAP NAS 还有提供「Malware Remover」 套件，用来检查并移除恶意软件，确保NAS 系统干干净净。

Malware Remover 可以定期检查及自动删除恶意软件以及设定更新扫描计划

Security Counselor 可以设定安全等级，系统会按照安全等级进行安全性检查

在主界面，可以看到上一次的安全性检查结果

Security Counselor 能在检查后提供建议，使用者可以按照建议调整设定，让NAS 更安全

有需要的朋友可以根据自己情况进行设置~

本次分享就到这里，咱们下次再见！