技巧六:密码强度。
一个强有力的密码可以保护你的系统不受未授权访问。建立复杂的密码,其中包含大小写字母、数字和特殊字符,但只能记住。
很多账户都有通用密码,这也吸引了黑客。当一个帐户被盗用时,黑客可以很容易地控制其他帐户。提供网站和其他服务的商会定期进行这方面的工作。推荐你注册公共监控服务,比如“我有没有”或者火狐监视器。
当你记不住不同账户复杂而又独特的密码时,最好的办法就是使用密码管理器,比如1Password、LastPass或Bitwarden。你只需要记住一个口令(主口令),这个口令管理员就可以帮你创建并填写其他所有账户的登录凭证。
在管理群晖SynologyNAS处理身份验证时,可以对用户密码策略进行定制,以增强所有新用户帐户的密码安全需求。进入控制面板>用户>高级,然后在“密码设置”中选择“应用密码强度规则”复选框。这个政策将应用到任何创建新帐户的用户。
同样的选项在LDAP服务器和目录服务器软件包中可以找到。
技巧7:两步确认。
如果你想给你的帐户增加额外的安全保护,我们强烈建议你启用双重验证。为了对DSM帐户和Synology帐户进行两步验证,您需要一个移动设备和一个身份验证器应用程序,该应用程序支持基于时间的一次性密码协议。登陆需要用户凭证以及从MicrosoftAuthenticator、Authy或其他身份验证程序中检索到的限制6位代码,以防止未授权访问。
通过SynologyAccount,如果您失去使用Authenticator应用程序*的电话的权限,则可以使用在两步身份验证设置期间提供的替代密码登录。如果要保证这些密码的安全,请下载密码到某个地方或者打印出来。切记确保这些密码是安全的,但是很容易使用。
对于DSM,如果您丢失了身份验证器,您可以将两步验证重设为最后一步。Administrators组中的用户可以重置配置。
若不能再访问所有管理员帐户,则需要重置设备上的凭据和网络设置。在群晖网络存储服务器(NAS)上按下硬件RESET按钮大约4秒钟(您将听到哔哔声),然后启动SynologyAssistant重新配置设备。
部分认证应用程序支持基于第三方账户的备份和恢复方法。评价安全需求、易用性和灾难恢复选项。
*SHA,VMM,加密的共享文件夹会自动安装,多种安全设置,用户帐号和端口的设置会重新设置。了解更多关于重新设置过程的信息。
技巧8:改变默认端口。
虽然把DSM的默认HTTP端口(5000)和HTTPS端口(5001)更改为定制端口并不能阻止目标攻击,但是它可以阻止只针对预定义服务的常见威胁。为了改变默认端口,在控制面板>网络>DSM设置中自定义端口号。假如你经常使用shell访问,那么修改默认的SSH(22)端口也是个不错的选择。
你也可以通过部署反向代理来提高安全性,将潜在的攻击媒介减少到只针对特定Web服务。逆向代理作为内部服务器和远程客户机之间通信的中介,它隐藏了一些关于服务器的信息,如它的实际IP地址。
技巧9:不使用SSH/Telnet时禁用。
假如你是一个高级用户,你经常需要访问shell,记得在不使用SSH/telnet的时候关闭它。因为root访问是默认启用的,而且SSH/telnet只支持从管理员帐户登录,所以黑客可能会强迫你使用你的密码来非法访问你的系统。我们建议您设置一个强密码,在需要时更改默认SSH端口号(22),以提高安全性。你也可以考虑使用VPN,并且限制SSH只访问本地IP或者受信任的IP。
技巧10:加密共享资料夹。
该DSM支持AES-256对共享文件夹进行加密,以阻止来自物理威胁的数据提取。Administrator可以加密新建和现有的共享文件夹。
为了加密已有的共享文件夹,转到“控制面板”>“共享文件夹”并编辑文件夹。请在“加密”选项卡下设置加密密钥,DSM会开始加密文件夹。我们强烈建议将生成的密钥文件保存在安全的地方,因为没有密码短语或密钥文件,加密数据就不能恢复。
特别提醒:数据完整性。
资料安全离不开资料的一致性和准确性,即资料的完整性。资料安全性是资料完整性的先决条件,因为未授权存取会导致资料被篡改或遗失,使得重要资料无效。
有两种方法可用于确保数据的准确性和一致性:启用数据校验和定期运行SMART测试。前几篇博文中我们已经介绍了这两种安全措施-查看它们以获得更多信息。
这比以前重要。
网络威胁一直在发展,数据安全也需要同样的能力。当越来越多的连接设备被引入家庭和办公室时,网络罪犯就会更容易地利用安全漏洞进入你的网络。你不需要每次都保持安全,但是你会忘记,这是一个持续不断的过程。
地址:北京市海淀区白家疃尚品园 1号楼225
北京群晖时代科技有限公司