目的
本文章將提供數種方法,協助您讓 Synology NAS 更加安全。
內容
- 啟動安全諮詢中心
- 設置 DSM 使用者的權限設定
- 設定密碼強度限制規則
- 設定密碼過期時間
- 使用多重驗證
- 啟動自動封鎖與帳號保護
- 啟動 HTTPS 安全連線
- Secure FTP 服務
- 在路由器上僅為必要的服務開啟外部連接埠
- 啟動 DoS 防護
- 變更預設管理連接埠
解決方法
啟動安全諮詢中心
安全諮詢中心是一款內建的 DSM 應用程式,會掃描您的 Synology NAS、檢查 DSM 設定、提供改善安全性弱點的建議。若要設定安全諮詢中心,請參閱此文章。
設置 DSM 使用者的權限設定
- 確認預設的 admin 帳號已停用以避免遭受惡意攻擊。
- 設定使用者對共用資料夾與應用程式的權限,並針對不同服務設定空間配額與速度上限,藉此管理使用者對 Synology NAS 的存取權限。在新增群組 / 使用者時或建立後,您皆可以在控制台 > 使用者帳號 (DSM 6.2 或更早版本) 或使用者 & 群組 (DSM 7.0 或較新版本) 中,依群組層級或個別層級進行設定。
設定密碼強度限制規則
確保使用者設定高強度密碼以降低被駭客入侵的風險。在以下位置勾選啟動密碼強度限制規則:
- 針對 DSM 7.0 及更新版本:前往控制台 > 使用者 & 群組 > 進階設定 > 密碼設定。
- 針對 DSM 6.2 及更早版本:前往控制台 > 使用者帳號 > 進階設定 > 密碼設定。
若想了解更多關於密碼強度限制規則的資訊,請參閱此文章。
設定密碼過期時間
您可以強制使用者在一段時間後必須變更密碼。在以下位置勾選啟動密碼過期:
- 針對 DSM 7.0 及更新版本:前往控制台 > 使用者 & 群組 > 進階設定 > 密碼過期。
- 針對 DSM 6.2 及更早版本:前往控制台 > 使用者帳號 > 進階設定 > 密碼過期。
若想了解更多關於密碼過期的資訊,請參閱此文章。
使用多重驗證
多重驗證可為您的 DSM 帳號提供多一層防護。啟動後,在登入 DSM 時,除了密碼之外,您還需要進行第二步身分驗證。若要了解關於多重驗證的資訊,請分別參閱 DSM 7.0 及 DSM 6.2 的說明文章。
- 針對 DSM 7.0 及更新版本:前往選項 > 個人設定 > 帳號 > 雙重驗證。
- 針對 DSM 6.2 及更早版本:前往選項 > 個人設定 > 帳號,勾選啟動兩步驟驗證。
啟動自動封鎖與帳號保護
您可以啟動自動封鎖,藉此封鎖嘗試登入超過指定次數的 IP 位址,透過 SSH、Telnet、rsync、網路備份、共用資料夾同步、FTP、WebDAV、Synology 行動應用程式、File Station、DSM 登入皆適用此功能。請在以下位置設定自動封鎖:
- 針對 DSM 7.0 及更新版本:前往控制台 > 安全性 > 保護。
- 針對 DSM 6.2 及更早版本:前往控制台 > 安全性 > 帳號。
您可以啟動帳號保護以降低被暴力密碼破解帳號的攻擊風險,此功能支援以下服務與套件:DSM、File Station、Audio Station、Video Station、Download Station、Mail Station、Cloud Station、Synology 行動應用程式。請在控制台 > 安全性 > 帳號中設定帳號保護。
啟動 HTTPS 安全連線
啟動 HTTPS 後,連至 DSM、Web Station、Photo Station、File Station、Audio Station、Surveillance Station 的連線便會透過 SSL / TLS 加密,讓您與 Synology NAS 間的連線更加安全。請參閱此應用教學以了解如何設定。
Secure FTP 服務
當您啟動 FTP 服務時,Synology NAS 預設自動支援 Secure FTP。請參閱此文章以了解詳細資訊。
在路由器上僅為必要的服務開啟外部連接埠
您可輕易透過網際網路連接 Synology NAS,請參閱此應用教學以了解如何設定遠端存取。為確保 Synology NAS 的安全性,強烈建議您在路由器上僅為必要的服務開啟外部連接埠。
啟動 DoS 防護
您可以啟動 DoS (Denial of service,拒絕服務) 防護以防止受到來自網際網路的惡意攻擊。若要啟動,請前往控制台 > 安全性 > 保護,勾選啟動 DoS 防護,再按一下套用。
啟動 DoS 防護後,Synology NAS 每秒僅會回覆一個 ICMP Ping 封包;若頻率高於每秒一次,Synology NAS 將不會回覆回應請求。
變更預設管理連接埠
您可以自訂連接埠以封鎖惡意登入。預設連接埠如下:
- HTTP:5000
- HTTPS:5001
- SSH:22
您可以在以下位置變更預設 HTTP / HTTPS 連接埠:
- 針對 DSM 7.0 及更新版本:控制台 > 登入入口 > DSM。
- 針對 DSM 6.2 及更早版本:控制台 > 網路 > DSM 設定。
您可以在控制台 > 終端機 & SNMP > 終端機中變更預設 SSH 連接埠。