我一直很喜欢群晖NAS系统。很长一段时间以来,我的家庭存储都是通过将硬盘装进旧电脑,然后把它们变成Linux文件服务器来实现的(如果我现在要再走这条路,我会考虑试试TrueNAS )。
这种方法的弊端在于能源成本。一台能装下四到八块硬盘的服务器通常需要一块全尺寸主板、一颗性能不错的CPU和一个功率相当大的电源。最终,你的电费账单会非常高昂。
几年前,我开始在家使用群晖(Synology)的NAS设备。它们虽然基于Linux,但实际上是一个独立的操作系统。群晖提供了各种各样的套餐和选项,主要面向家庭和小型企业用户。我自己的使用需求很简单:文件存储、备份、媒体播放器,仅此而已。我更喜欢在自己的Linux虚拟机上运行数据库、Web应用程序等等。
反勒索软件检查清单
如果你经常浏览群晖论坛,肯定会看到有人反映他们的群晖设备遭到勒索软件攻击。这真是令人痛心——你的文件和备份被犯罪分子劫持了。
您可以采取一些措施来预防此类不幸事件的发生。以下是保护您的 Synology 设备的基本步骤。虽然这款设备出厂时已经相当安全,但考虑到您可能使用它的重要用途,采取一切可能的预防措施至关重要。
首先,除非万不得已,否则不要将你的群晖NAS连接到互联网!安全固然重要,但为什么要冒风险呢?这条建议适用于任何系统,所以我并非特指群晖NAS。
按照安全审核步骤操作:登录到您的 Synology(默认端口 5000),然后从主菜单(左上角)选择安全顾问。
有几件事你需要注意。首先查看概览。如果任何一项没有显示绿色对勾,你就应该采取行动。
然后点击“高级” ,再点击“查看清单” ,其中列出了更多可以提升安全性的详细步骤。清单包含 49 个类别,并标明了每个类别的状态。
清理用户:这非常简单,只需几分钟即可完成。打开控制面板,点击“用户和组” 。您应该停用/禁用“admin”和“guest”用户。
启用双因素身份验证:在控制面板中,点击“安全”。在“帐户”下,您可以为所有用户强制启用双因素身份验证。操作非常简单——只需按照提示操作并使用您选择的身份验证器即可。
你也可以顺便看看防火墙。建议你尽可能采取一切措施来限制访问。
在控制面板中,转到“登录”并考虑更改 DSM 端口。这样,如果有人在您的网络上扫描 Synology 设备,他们找到您的设备的可能性就会降低。
说到网络中的用户,请记住,除了直接访问互联网之外,最可能的攻击途径是网络内部被入侵的电脑。例如,有人阅读了电子邮件,点击了不该点击的内容,外部实体就可能控制了这台电脑。如果这台电脑还能访问你的群晖NAS,那么他们很可能会加密文件并勒索赎金。
解决这个问题有两个方面。首先,培训用户(或者您自己!)如何防范网络钓鱼和恶意软件。其次,限制对文件、目录和共享资源的访问权限,只允许真正需要的人访问。
您应该考虑使用不可变快照(需要在支持的硬件上使用 DSM 7.2 或更高版本),这是在出现问题时提供最佳保护的方案。搜索(或添加)“快照复制”软件包。打开它,点击“快照” ,选择您的共享,然后点击“设置”启用它。请记住,这些快照会占用空间,具体占用多少取决于该共享中的数据更改量。
最后,一定要做好备份。你可能需要第二台群晖NAS,而且很可能需要异地备份。
