⏹ 前言
在上个10年前那个网络刚兴起的时代提起网络安全,正常人的第一反应就是:不装杀毒软件电脑会中病毒,比如熊猫烧香、灰鸽子、梅丽莎等病毒名字,即使不怎么用电脑的普通人都听说过。
然而近几年,病毒这个名词几乎很少听到了,取而代之的是直接结果:QQ/微信账号被盗、植入垃圾软件和垃圾弹窗等等,最臭名昭著的要数数据勒索,就在本月就出现了某NAS大面积被勒索的惨状,我现实中的朋友也不幸中标,数据无法恢复。
本文和大家分享一些家用网络防护心得,第一段为群晖NAS防护,第二段则是通用的路由器抄作业配置,最后段讲解支持多网盘的备份链路创建,希望能抛砖引玉,点没点到的咱评论区见。
⏹ 相关推荐
日常推荐硬件,感兴趣的朋友可以看下。
1️⃣群晖 DS220+
介绍:卖的非常好的入门级别群晖,CPU为X86入门级别的J4025,非常适合低需求用户,存储文档外加挂点Docker足够用了,有活动一千多入手挺划算,当然如果不急的话可以等群晖新款也可以。
2️⃣群晖 DS720+
介绍:群晖目前在售机型中的小钢炮,J4125+2G内存+双千兆网口不是重点,最重要的是内置了两条NVME硬盘槽位,配合上高性能固态硬盘可以胜任商用需求,插满后整机IOps更为暴躁,同时也会比四块机械硬盘更加省电。
3️⃣群晖 DS920+
介绍:群晖目前民用级别四盘位中最强的型号,J4125+4G内存+双千兆网口的配置也算是跟上了主流,如果不急的话可以等等2022年的新款旗舰机,据说配置非常顶,值得期待。
4️⃣领势(Linksys) MX5502
介绍:CPU使用A53架构的高通双核IPQ5018,内存和闪存同为512M,物理网口全千兆(WAN1+LAN3),内置六个无线信号天线,2.4G和5G无线带宽分别为574Mbps和4804Mbps,频宽为160Mhz,MU-MIMO和OFDMA这些常规协议都支持,重点是支持领势的iMesh。
5️⃣领势(Linksys) MX4200
介绍:CPU使用A53架构的高通六核IPQ8174(4CPU+2NPU),主频1.0GHz,内存和闪存同为512M,物理网口全千兆(WAN*1+LAN*3),内置六个无线信号天线,和MX5500不同的是多了一个频段,一个2.4G(574Mbps)+一个5G(1201Mbps)+一个5G(2402Mbps),比MX5500更适合当无线回程拓扑中的子节点。
6️⃣希捷 酷狼 机械硬盘
酷狼是希捷的NAS系列机械硬盘,CMR非叠瓦,5900R+64M缓存低温且低噪音,内置AgileArray智能阵列技术,可以优化网络存储和RAD,同时可提供更先进的电源管理,最重要的是白送一次免费的数据恢复,对非专业用户非常友好。
⏹ 本文目录
案例拓扑为常见家用拓扑,光猫桥接后路由器拨号,整个拓扑中只有路由器一台网关设备。
本次教程按照从NAS到外部网络的逻辑排序,分为NAS端配置、网关设备配置和创建备份链路三大块,涉及的操作点比较多,为了方便大家抄作业列一下操作目录,按需配置即可。
⏹ 本地保护丨群晖NAS配置
多年前群晖也遇到过范围攻击,成立产品安全事件响应团队(PSIRT)后再无类似事件发生,PSIRT除了日常对DSM查漏补缺,遇到特殊攻击会在 8 小时内进行评估和调查,并在接下来的 15 小时内发布补丁以防止零日攻击的潜在损害。
群晖提供了花样繁多且高效的防护手段,大家跟着下面的操作就能有效防护,需要提醒的是随着安全等级越高,传输效率与质量也会相应降低一些,以下给大家的是最高安全级别配置。
1️⃣账户保护---禁用admin账号
除了测试用的设备,我把所有Linux设备都把admin账户给禁用掉了,毕竟最多见的入侵方式就是脚本不断用admin或者root账户+常见密码组合扫端口尝试登录。
DSM7.0版本默认是禁用admin账户,如果是老版本开始使用群晖目前还在用admin作为用户名的群晖用户,请点击控制面板中的用户与群组,创建新登录账号后找到admin账户点击编辑,按照下图勾选停用。
2️⃣账户保护---设置可靠的密码
这里点名表扬下群晖,DSM在创建子账号的时候有随机密码生成机制,生成的密码足够复杂。
一个足够安全的密码需要包含:大写英文字母、小写英文字母、数字和特殊符号,如何修改密码就不再赘述了。
除了配置复杂密码,我们还可以配置额外的密码保护,进入控制面板的安全性中开启账户保护,当输入密码错误次数过多的时候自动封禁,短时间内无法再次尝试登录。
另外,还建议开启自动封锁功能,能封锁短时间内频繁尝试登陆的IP地址,搭配上面的密码保护,通过扫描加暴力破解的攻击方式是不太可能攻击成功了。
3️⃣账户保护---开启双重验证
双重认证是个非常棒的安全机制,简单来说就是非信任设备在登录NAS时除了需要登录名和密码以外,还需要通过绑定的手机App进行再次验证方可登录,配置入口在控制面板的安全性中开启。
开启后点击个人设置选择验证方式,这里有三种验证方式可选,个人建议是第一种,在手机上安装Synology Secure SighIn这个App进行软件验证操作。
除了开启二级验证,个人建议再开通一下邮件通知,其他用户登录或者修改的时候NAS都会推送日志通知,方便检查和溯源,在通知设置里面配置邮箱和手机号即可。
4️⃣访问保护---配置账户权限
作为目前普及率最高的NAS系统,群晖DSM对账号的各权限管理是全方位的,包括文件夹管理权限、应用使用权限和带宽使用限制等等。
在创建子账号的时候即可完成权限配置,注意存放重要资料的文件夹不要开放给所有账号,防止被盗号后出现资料丢失的问题。
如果这台NAS的使用者非常多,可以选择创建并配置群组,后面再创建用户的时候只要选择对应权限的群组即可,无需再次手动配置。
5️⃣访问保护---关闭SSH和Telnet
SSH和Telnet是两种Linux常用的远程登录方式,很多黑客团队会用脚本不断的扫公网IP看是否有开启SSH的设备并且尝试登录,建议不用的时候将这两个功能关闭,开启和关闭都在控制面板的终端机和SNMP中。
一般SSH的默认端口都是22,而且正常人不会去改端口号,如果你一定要长期开启SSH和Telnet,请将登录端口改成五位随机数字。
除了SSH端口以外,群晖DSM的网页访问端口也可以考虑修改一下,毕竟本文最开始的那波数据劫持就是走端口切入,配置入口在登录门户中,Http协议的默认端口是5000,Https协议的默认端口是5001,这里也可以改成随机的四位数或者五位数端口。
6️⃣访问保护---启用SSL认证
在访问某些网站的时候我们会看到域名前面是Https,即该域名开启了SSL认证,作用是对传送的数据进行加密和隐藏。
群晖作为全行业唯一赠送免费SSL证书的NAS,在配置域名(DDNS)的时候即可自动获取可用的证书,DDNS可以为NAS分配一个固定的域名用于外网访问,前提是NAS可以通过单次转发或直接获取公网IP,IPv4和IPv6都支持。
获取的证书可以在安全性中的证书管理页面看到,并跟随域名的变化自动更新,当然自己购买花生壳、阿里或者腾讯的域名替换也可以,群晖赠送的DDNS和SSL证书其实已经足够用了。
成功获取证书并开启SSL访问后即可通过Https安全协议访问NAS,这时候Http也同时可以使用,只是端口号不一样。
配置完域名并获取证书后可以点击登录门户勾选自动转向Https,只要支持Https的应用都会自动转向,非常方便。
7️⃣访问保护---开启防火墙及封禁规则
NAS系统都带有专门的防火墙和杀毒软件,群晖也不例外,在安全性中开启即可。
群晖支持自定义防火墙规则,点击编辑即可。
PS:建议编辑custom规则(用户自定义),Default规则(默认配置)不要动。
群晖的防火墙逻辑比较简单有效,通过监控端口和IP判断异常,如果资料非常重要,可以配置访问白名单来限制访问者,仅限白名单IP/设备访问是最有效的防护。
8️⃣本地保护---保持DSM系统更新
作为目前最成功的的NAS系统,群晖DSM更新比较勤快,基本一月一更,并且几乎每次更新都会有安全性相关的更新项。
为防止使用中更新影响使用,群晖也是很贴心的预制了三种更新选择和配置更新时间,建议使用第一种有针对安全性升级的版本自动升级,相对比较稳妥一些。
9️⃣本地保护---定期检查安全顾问
除了以上这些被动防护的功能外,群晖DSM还提供了主动查杀的安全顾问,功能是扫描并针对安全不足提出修改建议。
首次运行安全顾问会提示选择这台群晖NAS的应用场景,一般家用选默认选项即可。
安全顾问做的非常不错,在总览界面即可看到需要修改或优化的项目,点击感叹号即可跳转查看优化建议。
在常规的安全检查外,安全顾问还能提供客户端的访问记录,方便NAS管理员随时查看并排查潜在攻击者。
比如我这里的日志就能看到,近期有人在尝试登录我的NAS,万幸的是被群晖挡了下来并封禁了对方的短期登录尝试。
⏹ 入口保护丨路由器 / 网关设备配置
作为家用网络和外部网络数据传输的第一入口,做好路由器这台网关设备防护的意义比只在群晖配置防护更重要。
本人以往的路由器调试文章是以提升网络质量的出发点,本文则正好相反是以下联设备的数据安全为目的,本文以领势路由器为讲解例,其他路由器系统大同小异,找对应的配置入口按要求修改即可。
再次提醒,传输质量和数据安全目前只能二选一,提升安全级别必定会影响网络延迟和握手成功率。
1️⃣访问保护---设置复杂登录密码
路由器作为网关设备,重要性比加强NAS本身防护更加重要,毕竟NAS被攻击只是一台设备,路由器被黑可是下联设备一起崩盘。
再次提醒,足够安全的密码需要包含:大写英文字母、小写英文字母、数字和特殊符号,怎么修改密码就不在赘述了,如果不习惯复杂密码也没关系,领势提供了密码提示设置,根据习惯设置相关提示即可。
2️⃣访问保护---开启防火墙
几乎所有市售的路由器系统都包含防火墙程序,建议全部开启,领势是在安全性页面配置。
特别提醒的是IPv6使用者,正常每台下联设备都能获得一个独立的IPv6公网IP,可以直连是非常危险的一件事儿,领势支持自定义下联设备开放的端口,这是个非常实用的防护功能。
3️⃣访问保护---修改NAT类型
NAT类型其实就是一种防火墙类型,本文的建议和往期文章对冲,以往都是建议将NAT类型改成Full Cone(NAT1)来提升握手成功率。
如果很在意网络安全,建议将NAT类型改成Symmetric NAT(NAT4),NAT等级越高,安全性越好,当然握手成功率也会随之下降,领势只要开启防火墙就是NAT4。
4️⃣外部数据---内网变成香饽饽
有公网IP的好处就不再重复了,但是单说网络安全,内网IP其实比公网IP要强,毕竟多了一层NAT,公网IP下联的运营商的网关可以帮你挡一刀,领势在故障排除的诊断中可以看到,拨号拿到的IP,10、100、172开头都是内网。
5️⃣外部数据---使用合适的DNS
有些半桶水会建议小白使用114.114.114.114作为DNS服务器,实际上114是最容易被污染的DNS,污染的后果就是电脑的浏览器可能会出现奇怪的广告或者打不开部分网页,并且本身解析速度也并不快。
如果需要兼顾网络质量和安全性,建议使用阿里的DNS或者腾讯的DNS,相对而言稳妥很多:
阿里DNS:223.5.5.5
腾讯DNS:119.29.29.29
领势的DNS配置入口在连接的本地网络中,默认静态DNS留空,将首选和备选改成阿里和腾讯的地址即可。
6️⃣外部数据---限制设备访问权限
即使是成年人都有可能被高速下崽器种下一堆乱七八糟的流氓软件,何况是老人和孩子?
大部分成熟路由器都预设了家长控制功能,领势的家长控制配置页面不止可以配置允许上网的时间,还可以禁用掉流氓网站,直接添加主站域名即可。
7️⃣端口转发---不要开启DMZ
DMZ是多年前将内网端口转发到公网的常见方法,效果是直接将某个设备的所有端口暴露到公网,这个风险就很大了,比如SSH的常用默认端口22日常被扫,开启DMZ+简单密码分分钟被黑。
建议使用UPnP替代DMZ帮助内网设备和外网握手,UPnP可以按照软件预设通过指定端口转发,不需要额外再去配置端口转发,只要你没装奇怪的软件,正常不会出现安全问题,状态可以在故障排除的日志中查看。
UPnP配置入口在连接中的管理中,点击开启即可,勾选上允许用户进行配置和允许禁用访问。
8️⃣端口转发---指定端口转发
个人一直建议大家开启UPnP功能,也就是软件向路由器这个网关设备发送需要的端口信息,路由器根据需求自动开启和关闭所需端口。
如果真的很怕有人利用不明软件/病毒入侵你的设备,可以关闭UPnP,单独给必须要用的端口做转发,但是不要偷懒直接范围配置,这么做和DMZ就没区别了,领势的配置入口在安全性中的应用游戏下面,不懂不要乱动。
9️⃣商用请购买防火墙
这里的防火墙并不是指软件,商用防火墙是一台提供网关和防护功能的独立物理设备,价格在几万到几十万不等,推荐思科和网件这种巨头的产品,预算允许的前提下能买贵的买贵的。
⏹ 多重备份丨创建备份链路
除了固定查杀以外,其他数据防护手段同样重要,不要把鸡蛋放在同一个篮子中,就像本地做RAID一样,可以为数据做快照或者同步在常用网盘一份。
1️⃣本地系统备份---开启快照
快照(Snapshot)是很多操作系统都会提供配置入口的重要功能,Mac用户应该知道时间机器(TimeMachine)吧,快照和时间机器的原理完全一致。
群晖的快照套件叫Snapshot Replication,名字挺长的,功能简单来说就是在本地创建一个独立、特殊格式的文件备份文件,来记录当前的数据状态。出现问题可以通过已拍摄的快照快速恢复数据。需要注意的是,快照因为只记录数据状态,占用空间比完整备份少,但仍需要占用一部分存储,记得保留空间,不然容易空间不足无法快照。
启用和配置快照比较简单,进入套件中心搜索Snapshot Replication,点击安装。
安装完成后打开Snapshot Replication,进入快照功能后选中需要备份的共享文件夹,点击拍摄即可创建快照备份,支持多选操作。
如果硬盘空间足够大,也可以在快照页面配置自定义备份项目和启用周期,建议只为重要文件夹创建,不然会占用比较多的空间。
如果你的硬盘空间确实不多,可以在保留页面配置保留策略,个人用户建议使用天数策略,保留3天即可,太多意义不大。
如果脸黑遇到了需要回滚数据的情况,在还原页面选中需要回滚的快照,点击开始还原即可,操作还是非常简单的,没有任何学习门槛。
如果你有多台群晖,还可以将快照通过网络同步到其他设备上,进入复制页面新增备份节点填写远程设备的信息(IP/域名+账号密码)即可。
另外还需要提醒两点:
1.不是所有群晖NAS都支持快照的(J系列和DS218play就不支持),这些机型想要实现多版本备份的话,可以使用Hyper Backup进行备份,体验差不多,不过空间占用会大一些。
2.快照本质上不是备份,它的优势是快速记录、还原。所以在硬盘发生损坏时,是无法进行恢复的。该做的备份和RAID还是要做的。
2️⃣官方同步套件---CloudSync
对于第三方网盘备份,群晖提供了CloudSync这个解决方案,启用后NAS只要联网即可将本地文件自动同步到绑定的第三方网盘上。
CloudSync支持的网盘厂商非常多,百度云、Google网盘、OneDrive都有,不过非常良心的阿里网盘和天翼网盘暂时不支持,有需要的朋友可以看后面的Docker版本部署方法。
比较有意思的是现在的CloudSync支持自动同步WebDAV,也就是说普通Linux设备只要正确配置WebDAV后即可和群晖NAS自动同步数据,用蒲公英或者ZeroTier组网后异地同步效果更佳。
3️⃣第三方同步工具---CloudDrive
如果想使用阿里云盘和天翼网盘,用CloudDrive这个第三方Docker可以集中管理。
在部署前需要创建用于存放日志和挂载共享文件的文件夹,首先进入docker文件夹,创建一个名为clouddrive的子文件夹。
创建完成后右键点击该文件夹,点击属性。
这里可以看到该文件夹的实际路径为:
/volume1/docker/clouddrive
如果你想同步接着创建一个共享文件夹,注意别选错了,命名为clouddrive。
创建完成的共享文件夹如下图所示,在这个共享文件架下面继续创建两个文件夹,分别是cloudnas和media。
同样的方法右键这两个子文件夹,获得他们的路径,我这里是:
/volume1/clouddrive/cloudnas
/volume1/clouddrive/media
接下来开始正式部署,SSH登录群晖,我这里用的是FinalShell,点击打开后选择新建一个SSH连接。
填写NAS的IP和登录用户名密码,确认无误后保存。
双击刚才创建的配置文件,即可通过SSH登录群晖后台,输入:
sudo -i
回车
接下来会提示输入密码,这里的密码看不见,盲打后回车确认,等待提示登录成功即可。
接下来要修改下面的代码,AAAA替换成刚才的clouddrive路径,BBBB替换成刚才的cloudnas路径,CCCC替换成刚才的media路径:
docker run -d
--name clouddrive
--restart unless-stopped
-v AAAA:/Config
-v BBBB:/CloudNAS:shared
-v CCCC:/media:shared
--network host
--pid host
--privileged
--device /dev/fuse:/dev/fuse
cloudnas/clouddrive
我这里替换完成后是:
docker run -d
--name clouddrive
--restart unless-stopped
-v /volume1/docker/clouddrive:/Config
-v /volume1/clouddrive/cloudnas:/CloudNAS:shared
-v /volume1/clouddrive/media:/media:shared
--network host
--pid host
--privileged
--device /dev/fuse:/dev/fuse
cloudnas/clouddrive
替换完成后,将代码复制到命令输入框,回车。
等待重新出现输入状态,即算完成部署。
进入群晖的Docker管理器,可以看到CloudDrive已经在运行中。
浏览器输入NAS的IP:9798,即可进入CLoudDrive的网页管理后台。
先按照提示注册一下,记得用复杂密码。
和群晖的CloudSync一样,先添加需要同步的网盘账号密码,支持:
115网盘
天翼网盘
阿里云盘
其他WebDAV服务器
这里我以天翼网盘为例,扫码登录后即可看到天翼网盘内的文件。
回到群晖的fileStation,进入刚才创建的CloudNAS文件夹即可看到天翼网盘内的文件,并且可以直接使用和下载。
这些文件不占用NAS本身硬盘,不用担心容量问题,合理分配即可。
需要注意的是上传文件必须通过clouddrive的网页后台方可操作,直接使用NAS自带的FileStation上传会提示网络错误,至此第三方网盘备份链路配置完成。
⏹ 总结
从疫情开始网络其实就不太平,加上这波朋友亲身经历了NAS被勒索,建议大家把数据保护好,按照本文三步走就可以:
第一步做好NAS本身防护,群晖给了这么多安全相关的配置入口,不要浪费。
第二步做好路由器(网关设备)防护,病从口入真不是空穴来风,外部数据进来的首台设备一定要做好防护。
第三步做好数据备份链路,不要把重要数据只存储在单台设备上,多重备份才是王道。