国庆长假近在眼前了,不知道各位 IT 人、运维朋友们,在离开公司放假前,有没有“照顾”好在公司里的 NAS?不妨花上点时间检查下面几点,让公司的 NAS 在长假安安稳稳,让你的假期也能安安心心。
01 提升密码安全度
常见的针对 NAS 的攻击一般是先扫描外部端口再通过暴力破解的方式尝试登录 NAS,一旦被成功攻破你的数据将被全部加密并对你进行勒索,平时在公司出了问题还能立马抢救遇上放假,那还是防范于未然的好,
而要预防这类攻击,首先要做的就是加强密码复杂度,比较建议密码最好能包含大小写字母、数字和特殊符号,这样可以大大降低被攻破的可能性
除此之外,密码尽量不要和其他系统、平台通用,也不要给具有相同权限的帐户,设置同一个密码,因为如果当某个帐户被盗,其他帐户也会被轻松控制,你还可以在设置帐户时自定义密码策略,以规范所有用户设定密码的强度
那肯定也有同学表示,这么复杂的密码,安全是安全了,但是自己记忆和输入也不方便,这个好办!Secure SignIn 了解一下?,你不但可以用它实现更安全的无密码登录,还能在其中设置双重验证
02 IP 封锁与黑白名单
除了密码安全,针对 IP 的防护手段,也是非常有效的,如果没有开启的话,建议照以下设置开启一下
▶IP 自动封锁
DSM 支持通过设定登录次数和时间限制,来自动封锁恶意尝试登录的 IP,并将其加入 IP 黑名单中,如果已经遭受过攻击的话,建议将规则设置的严格一些,比如:2 小时内只允许同一 IP 尝试 3 次,会有比较好的封锁效果
PS:如果自己不小心输错密码导致封锁,只需换个 IP 登录解封即可
▶IP 白名单
除了 IP 黑名单,白名单对于公司内网环境,这种访问地址相对固定的场景,反而更加好用,只需在下图中的设置中,限制可以进行访问的 IP 地址或 IP 段,就可以从根源上杜绝这类攻击
03 更改默认端口
除了上述两个方法,更改 DSM 的默认的HTTP(5000)和HTTPS(5001)端口,也可以降低被攻击的可能性,另外,不使用 SSH 功能的话,建议检查一下它是否关闭
而如果你定期使用终端机来登录 NAS,则建议更改一下默认的 SSH(22)端口
04 启用通知
长假期间,大家肯定没法第一时间,了解远在办公室的 NAS 的状态,这时候就比较建议开启我们的通知服务了,在发生特定事件时就可以通过邮件、短信、移动设备或Web浏览器接收通知
比如:当 NAS 被频繁的尝试登录时,可以及时收到通知并快速采取相应措施
05 共享文件夹加密
如果哪天 NAS 的硬盘被拿了或是 DSM 密码不小心被别人知道了,那 NAS 中的隐私或机密文件,有没有办法能再多一重保护!这个真的有!共享文件夹加密就可以做到,只需要在【控制面板】>【共享文件夹】中,选择需要加密的文件夹,点击【编辑】>【加密】,即可使用密码加密这个文件夹,同时还会生成一个 .key 的密钥文件,这就算加密成功了(加密时间视文件夹大小而定,请耐心等待)
它可以为你的共享文件夹再加上一道锁,只要没有密钥或是密钥文件,其他人几乎不可能读取到其中的数据,对于那些不宜外泄的数据,是十分有效的保护手段,完成加密后,你就可以使用【装载】/【卸载】来决定文件夹是否处于可用状态
【装载】需要输入密码或使用密钥文件才能执行,所以务必务必要保管好这两者!!!要是不幸两个都没了我们的技术工程师也无能为力
【卸载】则可以手动执行或是关机自动执行,以保证加密文件夹的安全,需要注意的是,这项功能并不能防范勒索病毒等恶意攻击,因为他们对你的数据内容并不感兴趣,往往会直接对其进行加密,相当于在你的锁上再加一道锁,所以在使用这项功能前,还是要先做好上述的防护手段哦~
那么我们节前的安全小教程,到这里也就结束啦,如果公司的 NAS 都做好了上述步骤,相信你的假期也能安安心心,最后祝大家长假玩得开心!