谈谈群晖安全
前言
前些天弄了一台洗白的黑群晖,昨天回家发现老家的电信有公网ip,于是使用DDNS和自己的域名,愉快地把自己的群晖连上了公网,但是晚上看到日志却发现,群晖被不同地区ip的人数次尝试登陆,于是开始摸索和进阶群晖的安全设置。
发现
连上公网之后,我开了一个访客用户给小伙伴访问来测试速度。晚上看日志发现了如下:
其中一条是 User [admin] from [141.98.80.63] failed to log in via [SSH] due to authorization failure
当然这只是其中一小部分,除了这个ip还有来自印度和俄罗斯等地方的ip访问,不知道是使用了跳板还是本来就有这么多老外喜欢搞这些事情。并且这种方式说是暴力破解吧,也算不上破解,说是撞库吧,严格来讲也算不上。对方尝试了许多用户名,但是无一例外没登陆成功。
从日志我们可以看出来,对方是通过SSH尝试登陆的。因为我为了方便调试,所以开启了SSH功能,并且端口默认22没有更改,群晖的安全顾问扫描到了这个问题,但是由于之前没用映射到公网,所以我没管它。
加固
加固可以从以下几个方面入手:
改端口
既然对方是通过SSH登陆,那么首先做的就是打开控制面板,选择终端机和SNMP,修改SSH默认端口,建议避开常用端口如22/23/80/8080:
当然同时建议修改DSM在路由器映射的端口,虽然这些碰运气的人一般不会通过DSM界面尝试登陆,但是安全起见仍然建议修改。
加固账户
通过登陆日志我们可以发现,对方尝试登陆的账户包括但不限于admin、root、guest,其中有群晖默认设置的账户,其中admin貌似不能禁用,所以建议设置一个强密码,guest账户可以禁用,自定义添加的用户一定要记得配置好权限。
如果必要,还可以在账户——高级设置中开启2步验证:
启用自动封锁
在群晖控制面板选择安全性,选择账户,启用自动封锁:
这个数值可以自定义,当你觉得异常登陆频繁时,可以减小这个值,不建议把尝试登陆次数设置为1,不然万一哪天自己输错了密码……另外建议不启用“启动封锁过期”。
启用封锁之后,果然很快就有一个ip被永久封禁了:
启用通知
启用通知非必要,但是当nas出现异常或者故障的时候你可以及时收到相应的提醒,网上也有绑定推送到微信的,如果有兴趣可以去了解一下。
总结
其实群晖已经很成熟了,各种功能和设置都还比较完善。当你把你的Nas曝在公网之中的时候,你就不得不面临许许多多未知的威胁。有人的地方就有武林,有网络的地方就有渗透。除了上述说到的这些,群晖还有更多细致的安全性配置,多花一点时间去了解总是没错的。