现在很多人利用群晖 NAS 作为个人数据存储中心,实现随时随地访问。不过,把你的 NAS 个人服务器暴露在公网上,也面临着很多安全问题。比如,你的登陆请求、信息传输数据包,可能被截获,导致登陆密码及传输内容泄漏。
下面三个设置办法,可以为你提升群晖 NAS 安全性有所帮助。
一,通过修改系统默认管理员帐户和系统默认端口号来提高安全性。
1,新建一个群晖登陆帐户并设置复杂点的密码,并给于管理员权限组。禁用掉系统默认的admin和guest帐户。
具体说明:首先要先用admin默认管理帐户进去新建一个帐户,并分配管理员权限组,之后再用新建好的管理员权限帐户登进去
,再去禁用admin帐户,不能直接在admin帐户下去禁用admin帐户。
2,修改系统默认的5000端口号,改为自己需要的端口号:
二、开启 HTTPS 访问
我们以 HTTP 协议在浏览器及服务器之间传递信息的时候,是以明文方式发送内容,这就意味着,在传输信道中间的某个节点做手脚,就有可能截获传输内容,其中就可能包括登陆密码。
那么,将传输内容加密,这个问题不就解决了?
HTTPS 便由此诞生,它通过在 HTTP 和 TCP 中间加了一层加密层 TLS/SSL ,实现如下两个目的:
1. 建立一个信息安全通道,来保证数据传输的安全。
2. 确认网站的真实性。
其中具体涉及到了数字证书的身份验证及 RSA 非对称加密原理,这里不在叙述。我们需要关注的,是如何使用 HTTPS 来访问我们的 NAS 。
群晖为我们提供了非常简单的解决办法,可以很方便地签发和安装 Let's Encrypt 证书,实现 HTTPS 加密传输。具体操作方法如下:
1. 进入 DSM 的「控制面板」 - 「安全性」。
2. 选择「证书」模块。
3. 点击「新增」。
4. 选择「添加新证书」,下一步选择「从 Let's Encrypt 获取证书」。
5. 填入自己的 NAS 域名及电子邮件地址。
之后便可以在证书列表里看到此证书,可将其设置为默认,并勾选所有服务使用该证书。
接下来,进入 DSM 的「控制面板」 - 「网络」 - 「DSM 设置」,勾选上「将 HTTP 连接自动重定向到 HTTPS」,设置好路由器的 5001 端口映射,重新登录,你会发现已经使用 HTTPS 进行连接。
此时,你的传输将变得非常安全。只要对极大整数做因数分解这个数学难题没有解决,加密的信息几乎不可能被破解。
另外,如果你为群晖配置了一级域名的话,你也可以自行申请其他服务商提供的 SSL 证书。不过,出于某些不可描述的原因,不建议大家使用「沃通WoSign」证书。
三、设置「两步验证」
两步验证,即在登陆时输入用户名及密码之后,还需输入一个动态口令,避免了账户密码泄漏后被恶意登录的问题。
DSM 的两步验证需要使用 Google Authenticator (Google身份验证器)来生成动态口令,需提前在移动设备上安装
设置步骤如下:
1. 进入 DSM,点击右上角选项图标,进入「个人设置」 - 「账号」。
2. 勾选「启用 2 步骤验证」,进入设置向导。
3. 输入电子邮件地址(用于移动设备遗失后接收紧急验证码)。
4. 使用 Google Authenticator 扫描二维码,绑定动态口令。
至此,你的 DSM 账号已受两步验证保护。重新登录,发现需要输入 6 位验证代码。打开 Google Authenticator ,输入产生的动态口令即可。
发表评论