DSM 7.0 安全部署配置

官方文档

如何提高 Synology NAS 的安全性?

https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS

如何防止Synology设备受到勒索软件攻击?

https://kb.synology.cn/zh-cn/DSM/tutorial/How_can_I_prevent_ransomeware_attacks_on_my_Synology_device

我的Synology NAS受到勒索软件攻击。我该怎么办?

https://kb.synology.cn/zh-cn/DSM/tutorial/What_to_do_when_NAS_attacked_by_ransomware

账户安全

为了数据安全,请按需求根据需要勾选或取消勾选密码强度限制以提高账户密码安全性。

https://kb.synology.cn/zh-cn/DSM/help/DSM/AdminCenter/file_user_advanced?version=7

登录保护安全性配置

为了防止非法用户使用撞庫方式破解NAS的账号密码,这边可以采用以下三种方式来进行登录防护。

自动封锁

自动封锁功能通过封锁登录失败次数过多的客户端IP地址来提高 Synology NAS 的安全性。这有助于降低他人以暴力攻击方式入侵帐户的风险。
您还可以创建并管理允许列表来添加您信任的 IP 地址,或创建封锁列表来始终防止特定 IP 地址登录。

https://kb.synology.cn/zh-cn/DSM/help/DSM/AdminCenter/connection_security_protection?version=7

建议按需求调整封锁策略:

如果有IP被封锁,可以尝试更换电脑的内网IP然后再尝试用管理员账号登录,在 允许/封锁名单 中将被封锁IP从封锁名单中移除。

双重验证

双重验证可为 DSM 用户帐户提供更进一步的安全保护。您可以强制 DSM 管理员、所有 DSM 用户或是仅特定用户或群组启用此服务。

https://kb.synology.cn/zh-cn/DSM/help/DSM/AdminCenter/connection_security_account?version=7

以下是双重验证所支持的应用:

https://kb.synology.cn/zh-cn/DSM/tutorial/OTP_packages_supportability

开启双重认证前请确保NAS的时间正确并且可以正常与外网同步更新时间。
(双重验证是通过时间进行密码同步的,如果NAS时间异常将会导致双重验证的密码无法正常匹配)

用户可以在NAS网页右上角的 个人设置 中启用双重验证功能:

也可以在 控制面板 -> 安全性 -> 账户 中按需求强制用户启用双重验证功能:

当双重验证无法正常工作时,除了可以发送紧急验证码到邮箱也可以登录其他管理员账号到NAS,为用户手动禁用双重验证:

账户保护

帐户保护可保护Synology NAS帐户免遭尝试登录失败太多次的不受信任客户端使用。这有助于尽可能降低帐户遭到暴力破解的风险。

https://kb.synology.cn/zh-cn/DSM/help/DSM/AdminCenter/connection_security_account?version=7

该功能与自动封锁的区别主要是可以防止非法用户通过多台设备同时攻击一个账户,在未达到IP封锁阈值时对账户进行保护。
也可以防止在非法用户通过您之前使用过的客户端设备访问NAS,密码输入错误过多导致的IP封锁影响该客户端的使用。

建议按需求调整保护策略,建议尝试次数调整为低于自动封锁的尝试次数,否则会由于先触发IP封锁导致无法正常进行账户保护:

如果有账号被保护,可以尝试用其他管理员账号登录,在 管理被保护的账户 中将选择被保护的用户进行取消保护。

也可以使用其他已经信任的客户端登录NAS网页,在个人设置的账户保护中取消当前账号的保护状态。

如果有信任客户端被封锁,可以尝试用其他客户端登录管理员账号,在 管理已信任的客户端 中将已经被封锁的客户端解除封锁。

如果想取消已经信任的客户端请使用该用户登录登录NAS网页,在个人设置的账户保护中选择 管理已信任客户端 选择对应的客户端取消信任。

通知配置

您可设置 Synology NAS 在特定事件和错误出现时使用电子邮件、短信、移动设备或网页浏览器发送通知。例如,当网络连接丢失、冷却风扇异常(如可用)、断电、存储空间不足或备份和还原任务无法完成时。

邮件通知

通过启用电子邮件通知,可在发生系统错误、网络连接丢失、风扇运转改变、电源故障或备份任务失败等指定事件时,让 Synology NAS向您的电子邮件地址发送消息。

https://kb.synology.cn/zh-cn/DSM/help/DSM/AdminCenter/system_notification_email?version=7

这边可以选择QQ或outlook邮箱作为发件服务使用,也可以选择其他支持smtp的第三方运营例如163以及公司内部邮件服务器作为发件服务使用。(由于中国大陆网络限制不建议使用Gmail)

短信通知

您可以启用短信通知,以便在出现连接丢失、风扇运转改变、电源故障、存储空间空间不足或备份/还原失败等系统状态更改或系统错误时,让 Synology NAS 通过短信发送通知消息。

https://kb.synology.cn/zh-cn/DSM/help/DSM/AdminCenter/system_notification_sms?version=7

国内可以通过添加自定义短信服务提供商,使用亿美短信或者使用方糖推送。

以下为亿美对接的教程:

https://www.zhugh.com/qun-hui-duan-xin-tong-zhi-dui-jie-yi-mei-duan-xin/

推送服务

推送服务可让 Synology NAS 在发生特定事件或错误时将通知发送到您的移动设备、网页浏览器或应用程序 Webhook。
https://kb.synology.cn/zh-cn/DSM/help/DSM/AdminCenter/system_notification_pushservice?version=7

推荐在手机上安装群晖管家APP,然后使用Quickconnect连接NAS,在手机端开启推送通知功能:

开启成功后请在NAS的推送服务管理设备中查看是否可以找到您的手机设备:

日志中心通知

日志中心的通知关键字触发功能支持正则表达式,可以参考以下配置用于在NAS发生SSH登录或登录验证失败的情况下收到通知:

https://kb.synology.cn/zh-cn/DSM/help/DSM/LogCenter/logcenter_notification?version=7

访问日志记录

为了了解用户在NAS上对文件进行的操作,这边需要开启相关日志才可以进行记录。
文件传输日志有 6 种:SMB、AFP、File Station、WebDAV、FTP、TFTP

日志归档

NAS中在没有设置归档的情况下,日志在达到一定数量后将会被自动清理:
(自动清理将清理日志量的1/3)

https://kb.synology.cn/zh-cn/DSM/help/LogCenter/logcenter_archive?version=7

连接日志 10,000
SMB日志 100,000
AFP日志 20,000
File Station日志 20,000
FTP日志 20,000
TFTP日志 10,000
WebDAV日志 20,000

这边可以额外建立一个共享文件夹专门用于存放系统日志:

在日志中心 -> 归档设置 中按需求选择日志的归档存储位置以及归档策略:

日志归档后可以在 日志中心 -> 日志 -> 已存档 中打开日志存档,选择之前的日志DB进行打开查询:

SMB

AFP

File Station

WebDAV

FTP

TFTP

查看日志

开启后有文件传输时就可以在NAS的日志中心的日志 文件传输 中查看到用户的操作记录及操作的文件:

数据备份

为了防止数据被误删除或被非法用户及程序恶意破坏,目前主要可以使用以下五种方式对数据进行本地保护或异地备份。

Synology Drive Server (仅能备份数据无法备份套件)

Synology Drive Server 是一款全方位的文件管理、共享和同步解决方案。

https://kb.synology.cn/zh-cn/DSM/help/SynologyDrive/drive_desc?version=7

这边我们主要使用的是Synology Drive中团队文件夹版本控制功能。

首先启用对需要保护的共享文件夹团队文件夹功能,并按需求设置保留版本数量以及轮换策略:

在发生文件/文件夹被移动、被破坏或被删除问题后可以在 版本资源管理器 中选择之前正常的时间点选择前往将对应的文件/文件夹进行恢复,也可以尝试勾选 显示删除的文件 将丢失的文件/文件夹直接恢复。

Snapshot Replication(仅能备份数据无法备份套件)

Snapshot Replication 是数据备份和还原的工具。企业需要数据保护以防止因意外删除、应用程序崩溃、数据损毁和病毒所造成的数据丢失。

https://kb.synology.cn/zh-cn/DSM/help/SnapshotReplication/data_protection_mgr?version=7

首先启用对需要保护的共享文件夹建立快照任务计划及保留策略:

在发生文件/文件夹被移动、被破坏或被删除问题后可以编辑共享文件夹额快照设置,在高级选项中勾选 让快照可见 。

然后就可以在Filestation或者传输协议中打开共享文件夹中 #snapshot 文件夹,找到正常快照时间点,将对应的文件/文件夹进行恢复。

如果希望进行本地或异地多台NAS备份,可以参考以下网页内容使用Snapshot Replication的复制任务来进行备份。

https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_replicate_snapshots_to_remote_Synology_NAS

Hyper Backup(可以备份数据及部分套件)

Hyper Backup 可让您在 Synology NAS 上手动或按计划备份各种数据 (系统配置、共享文件夹和应用程序/套件)。您可将备份数据存储在本地共享文件夹、远程服务器和公共云上。

https://kb.synology.cn/zh-cn/DSM/help/HyperBackup/data_backup_create?version=7

如果希望将数据备份在NAS中另一个存储空间或外接USB硬盘中可以参考以下网页内容:

https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_back_up_your_data_to_local_shared_folders_or_USB_with_Hyper_Backup

如果希望将数据备份到另一台NAS中可以参考以下网页内容:

https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_back_up_your_data_to_a_remote_Synology_NAS_or_file_server_with_Hyper_Backup

如果希望将数据备份到其他文件服务可以参考以下网页内容:

https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_back_up_your_data_to_a_remote_non-Synology_NAS_with_Hyper_Backup

如果需要从Hyper Backup备份文件中还原单个备份文件或文件夹可以参考以下网页内容:

https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_browse_and_restore_Hyper_Backup_backup_data_in_hbk_file_format

如果需要从现有Hyper Backup任务还原备份数据可以参考以下网页内容:

https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_restore_settings_apps_files_permissions_by_Hyper_Backup

如果NAS已经重新安装或原有备份任务已经丢失,可以参考以下网页内容还原备份数据:

https://kb.synology.cn/zh-cn/DSM/tutorial/How_do_I_restore_backup_data_with_only_a_hbk_when_the_task_is_lost

Cloud Sync(仅能备份数据无法备份套件)

通过 Cloud Sync,您可在 Synology NAS 与多个公有云服务之间进行无缝同步并共享文件。

https://kb.synology.cn/zh-cn/DSM/help/CloudSync/cloudsync?version=7

您可以参考以下网页内容将数据备份到公有云服务商:
请不要将Hyper Backup的备份数据存档再通过Cloud Sync同步到其他位置,如果采用双向同步将会导致Hyper Backup的本地备份存档损毁。如果采用单向同步,上传到其他位置的Hyper Backup的备份存档也可能无法正常还原

https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_back_up_the_data_on_your_Synology_NAS_with_public_cloud

为了防止云运营商将数据删除导致NAS本地数据丢失,建议将同步方向调整为 仅上传本地更改 ,并勾选 当删除源文件夹中的文件时,不要删除目的地文件夹中的文件。

Active Backup For Business( DSM 7.1 TBC )

在新版本的DSM 7.1 中可以通过Active Backup For Business对NAS进行整机的本地备份和异地备份,等待正式版本发布再提供相关说明。

服务端口配置

DSM网页

如果要外网使用并进行公网映射可以在 控制面板 -> 登录门户 -> DSM 中将DSM的网页端口修改为非常用端口。
例如:15000(http)/15001(https)

https://kb.synology.cn/zh-cn/DSM/help/DSM/AdminCenter/system_login_portal_dsm?version=7

请注意,在修改后在内网和外网登录DSM浏览器或者APP都需要手动在域名后面增加端口:

终端服务

SSH 运行端口可以在 控制面板 -> 终端机和SNMP 中进行修改。

https://kb.synology.cn/zh-cn/DSM/help/DSM/AdminCenter/system_terminal?version=7

为了数据安全和系统稳定在不用使用的时候请关闭Telnet以及SSH功能。

套件应用

您可以配置各种应用程序的登录样式或连接设置,以便您可以在独立浏览器选项卡或窗口中直接访问和运行这些应用程序。

https://kb.synology.cn/zh-cn/DSM/help/DSM/AdminCenter/system_login_portal_applications?version=7

在对外网进行服务时,如果仅需要提供File Station服务,就可以只映射File Station的应用自定义端口到公网,这样就可以避免用户登录 DSM网页 后进行额外的操作。

如果用户没有访问 DSM网页 权限,但是有使用 File Station 或 Synology Drive 套件权限,用户只能通过别名或应用自定义端口直接登录到应用的网页服务或APP。

应用访问权限配置

管理员可以通过应用程序访问权限来限制用户允许访问NAS的IP地址或者IP段,以增强NAS数据安全。以下列举出部分可以限制访问IP的常用应用:
DSM网页、File Station、SMB、AFP、Rsync、Webdav、FTP

https://kb.synology.cn/zh-cn/DSM/help/DSM/AdminCenter/application_appprivilege?version=7

以下案例为仅允许部分用户内网访问DSM网页和SMB传输协议,其他用户不允许使用DSM网页和SMB传输协议。

1.在 控制面板 -> 用户与群组 -> 用户群组 中建立一个用户群组用于统一分配权限,之后将对应权限的用户加入该群组即可。

2.编辑该群组的 应用程序 选择 DSM 以及 SMB 的 按IP 赋权,在允许名单中按需求添加允许的IP地址或者IP网段。

3.在 群组成员 中添加对应的用户进入该群组

4.在 控制面板 -> 应用程序权限 中先为NAS本地的Administrators群组增加登录DSM网页的权限。(为了防止管理员用户丢失登录DSM权限导致无法正常进行网页配置)

5.编辑DSM以及SMB权限,取消 默认授权所有用户此权限 选项。