我的NAS使用经验 篇四:买了NAS就可以高枕无忧了?还得做好以下安全措施!
本文是我的NAS使用经验第四篇,本篇主要介绍我个人的一些安全经验,供大家参考。
建议给NAS配上UPS电源
▲将NAS放置在安全稳定的地方
由于NAS里一般都安装着几个高速的机械硬盘,必须将NAS安装在安全稳定的地方。比如电脑桌不稳固的话,不要将NAS放置在上面,经常产生震动的话会严重影响硬盘的寿命;也不要放在太高、容易跌落的架子上,安装位置要通风、保持干燥,不能影响NAS散热,建议在NAS底部放置一片消音减震棉:
▲给nas配上UPS电源
突然停电可能会造成数据丢失、数据损坏甚至硬盘损坏的故障,即使你那里看起来平时一年也不会停电一次,我仍然建议给NAS配一个UPS电源,停电后UPS电源将要用尽的时候,NAS会自动关机以保证数据和硬件安全。有可能买了UPS你一辈子也遇不到一次停电,但只要用上一次,也算是值得了。
选购时要注意购买群晖支持的UPS,这种UPS带有USB接口,连接到群晖NAS背后,可以供NAS访问UPS的电量等数据以进行判断。我用的是APC BK650,用了2年,大概进行了四五次有效保护吧。记得有一次是小区变压器坏了,有一次是我没在家人关了总开关接线,有一次是电器漏电造成空开断开...
建议使用安全的HTTPS连接访问NAS
很多朋友都用常规的http连接方式访问NAS服务器,在浏览器还会出现“不安全”的提示:
打开控制面板、安全性、证书,可以看到默认的synology.com证书是自我签署的,强行使用https进行访问的时候还是会提示不安全。但如果你和我一样使用QuickConnect访问NAS的话,会获得一个正式的SSL证书,就不用去申请其他第三方证书了。
访问DSM时直接将quick connect地址里的http替换成https保存到书签即可,现在所有浏览器都提示是安全的:
群晖的各个手机APP端也可以勾选上HTTPS连接了。quick connect附送的安全证书优点是简单易用,不用做任何配置,但只支持DSM和系统应用访问,第三方比如transmisson就无法使用了,或者有的朋友不用quick connect,有这些需求的朋友可以采用自行购买*级域名+dnspods+阿里云购买免费SSL证书的方式解决,这类教程网上较多,就不多做介绍了。
安全合理的保存、备份、加密NAS资料
▲选购NAS专用硬盘、使用合理的RAID形式
如果你的NAS上有很多资料很重要的话,首先我推荐使用RAID1,尽量选用NAS存储专用盘,而且是两个同品牌型号容量的硬盘,比如希捷酷狼系列和WD红盘。
▲RAID也并非100%安全,做好冷备份
RAID1的话有一个盘是作为镜像的,万一有个一盘损坏了,可以将数据完全恢复。当然RAID1也不能说是绝对保证100%安全的,也有N个盘各种一起坏掉、被盗的可能性,所以你非常重视数据安全性的话,建议再买一个存储备份设备定期进行冷备份,比如我看到只要600多元的WD 10TB桌面硬盘,毫不犹豫的买一个,开启数据加密,备份完放保险箱里。
▲按照用途创建专用共享文件夹
可以根据用途创建多个不同的共享文件夹,方便进行管理,也可以避免一些误操作。比如保存照片专门用一个、保存电影用一个,下载用一个等等;这样的话不管是日后管理、访问都会方便许多。
▲加密重要资料
希望有一些私有资料只有自己能访问,别人即使拥有你的NAS使用权也无法看到的话,创建加密的共享文件夹专门存储这些资料就可以了。创建文件夹时勾选加密此共享文件夹,当然密码得设置复杂一点,而且要牢记密码。
在权限里将除了你之外的所有用户都勾上禁止访问:
加密后每次使用前只能在控制面板里的共享文件夹里看到,在Finder里是看不到的。使用前必须右键点击该共享文件夹,选择加密、转载,输入密码或者导入密钥文件后才能进行访问。
转载加密共享文件夹后,由于没有映射本地磁盘,访问是不是很麻烦?其实也不麻烦。比如在MAC下,你的NAS一般会出现在finder的位置里,进去输入密码就能像本地硬盘一样访问已经装载的加密共享文件夹了:
Windows系统下,只要在我的电脑地址栏里输入你的nas IP地址,输入用户名和密码后也可以像本地硬盘一样直接访问:
群晖使用的是硬件级加密,不泄漏密码的话是无法破解的。使用加密共享文件夹后一定要记得再点击加密、卸载,卸载后这个加密文件夹就不会出现在任何地方了。
▲不要将有重要资料的共享文件夹映射到本地磁盘
很多朋友喜欢将所有共享文件夹映射成本地硬盘,这样访问确实方便,可以直接像本地硬盘那样进行拷贝、删除等操作。其实这样是相当危险的,比如有一些勒索病毒会改掉你所有文件、小孩或者自己误操作删除覆盖等等。建议将重要资料单独放置,并且不要映射到本地硬盘;或者也可以开启只读权限。访问这些资料时可以采用上面访问加密共享文件夹的方式进行访问。
其他需要注意的安全设置
▲千万不要给NAS开启DMZ主机
有时候需要从外网访问NAS的一些服务,这样就需要进行端口映射,比如我将Transmission的51413端口映射出去后才可以变成HighID供其他用户连接增加上传量。但有些朋友嫌端口映射比较麻烦,就直接给NAS开启了DMZ主机,这样就直接将NAS暴露在公网上,非常危险,还是别嫌烦手动映射一下吧:
▲千万不要开启SSH
SSH功能貌似默认是开启的,建议在控制面板、终端机和SNMP里将启动SSH功能的勾去掉。开启SSH后的危险性相当高,万一被人利用的话,相当于获得NAS的所有控制权。
▲禁用admin和guest账号
一般黑客会首先对默认的admin账号下手。建议创建一个管理员账号后,将admin和gust都停用吧:
▲不要暴露自己的Quick connetctID、DDNS地址和IP地址
所谓道高一尺魔高一丈,没有绝对安全的服务器,只要在公网上,都会有可能被攻破的,所以平时截图什么的尽量不要暴露自己quick connectid和ip地址,可以有效的降低被攻击的几率。
好了,这次就分享到这里了,各位还有一些其他安全经验需要补充的话,还请多多指教。
POKO哑虎呸呸
校验提示文案
撸铁boy
校验提示文案
蓝的葫芦
校验提示文案
kfcmmm
校验提示文案
神杀者塞利卡
校验提示文案
ELaplace
校验提示文案
陈老师123
校验提示文案
一坑更比一坑深
校验提示文案
崭新的房奴
校验提示文案
Huso_huso
校验提示文案
真真梦
校验提示文案
MaynardMa
校验提示文案
Hoooo
校验提示文案
神杀者塞利卡
校验提示文案
Huzour
校验提示文案
Wich
校验提示文案
一杀百里
校验提示文案
9k37
校验提示文案
omiky
校验提示文案
Alvin噻
校验提示文案
蚂蚁爱玩
校验提示文案
陈老师123
校验提示文案
ELaplace
校验提示文案
ELaplace
校验提示文案
ELaplace
校验提示文案
无敌是多么寂么么
校验提示文案
oulinse
校验提示文案
水水321
校验提示文案
悬崖上的剁椒鱼头
校验提示文案
bobo123456
校验提示文案
神杀者塞利卡
校验提示文案
神杀者塞利卡
校验提示文案
科达羊
校验提示文案
kfcmmm
校验提示文案
Alvin噻
校验提示文案
omiky
校验提示文案
9k37
校验提示文案
一坑更比一坑深
校验提示文案
蓝的葫芦
校验提示文案
一杀百里
校验提示文案