讨论一些个人使用 NAS 的安全策略,欢迎查漏补缺。
由于个人只用过群晖,所以可能其他 NAS 系统并不需要这样的安全策略。
1 禁用 @admin 帐户
禁用“admin”帐户( DSM 默认禁用)并创建另一个管理员帐户。 管理员帐户不要使用常用名,比如 root, info, tom 等。
2 自动阻止
将自动阻止 ip 地址设置为每 1440 分钟( 24 小时) 10 次。 没有白名单,包括本地 IP 地址,防止本地电脑病毒暴力破解。
3 不要使用 DSM 的默认端口
不要使用端口 5000 和 5001 。如果是海外用户可以用 Cloudflare 支持的端口,或者使用反向代理到 443 端口。
4 SSH 仅限本地,或者 webSSH
不要在公网上用端口 22 访问 SSH 服务。 可以使用 webSSH (我用的是 Docker 版),仅在使用前启动 webSSH 服务。
5 使用 VPN 访问本地服务
使用 VPN 访问仅限本地的服务,例如:SSH 、smb 、Microsoft 远程桌面 等。
6 远程访问用 WebDAV
在海外反代到 443 端口,配合 Cloudflare CDN 又快又安全。
7 不安装任何第三方套件
NAS 上不安装任何不在套件中心的套件,可以用虚拟机安装。
5
Select Language