之前经常听说NAS被人攻破,锁了资源,勒索数字货币的。
我也没有在意,想着我这个个人用的一个小NAS,谁会无聊去攻击。
直到,今天被我遇上了。
一打开NAS,后台就一堆红色提示,打开一看,全是登录失败信息。
从早上就一直在尝试,已经尝试登录一天了。
不得已,必须要开始提高NAS的安全等级了。
具体该怎么做呢?
可以参考我下面的方案:
一、新建管理员账户,并停用admin账户
大部分黑客会针对「root」或「admin」之类的预设帐户进行攻击,比如我今天这种攻击,就是通过换不同的IP,使用不同的密码来尝试登入管理员账户,属于最基础的硬破。
因此我们可以要考虑把预设的「admin」帐户停用。
用户需要先新增一个在「 administator」群组内的帐户,再用该帐户登入,才可以停用「admin」帐户。
新建用户,把用户组设置为administrators
之后使用这个用户登录,就可以把之前的管理员账户「admin」给停用了。
修改后可能本地网络就无法直接访问NAS了,提示该账户当前已被禁用:
这个时候需要修改下电脑的
凭据管理器
把Windows凭据的NAS用户名和密码修改下即可重新访问了。
二、使用强密码
QNAP NAS 可以设定密码规则,能确保NAS使用者账户的密码都有足够的长度及复杂程度,让 NAS 被猜中密码的机会大幅降低。
密码策略上,可以根据需要增强密码安全性。此外,系统管理员也可以设定密码过期日,来强迫使用者定期修改密码,进一步增强安全性.
三、更改默认端口号
这个非常有效,可以避免攻击者持续无效攻击
威联通NAS默认的端口是5000,一般为了方便记忆,也不会去修改端口,这就很容易给别人攻击的可能性。
因为黑客是采取「舍难取易」的策略,他会用自动程序来扫描网络上的 IP Address,搭配一些 NAS 的预设连接端口,找出 NAS 并作为攻击对象。
因此,改用其他连接端口就能有效降低被攻击的可能性。
端口范围一般用到的是1到65535,其中0不使用,应用程序使用1024到4999用来通讯,5000以后的用来用户自定义端口
从控制台中找到常规设置,服务器名称、默认端口号均可以在这里修改。
默认的端口号为5000,建议修改为另外的端口。
到这一步,攻击终于停止了。
安全性也得到极大提高,差不多到也就可以了。
如果想继续提高安全性,可以参考下面的步骤再设置。
四、启用自动封锁功能
通过「IP 访问保护」,用户需要启用自动封锁功能,在密码错误达一定的次数后,就把 IP Address 直接封锁一段时间,即可避免攻击。
不要把错误次数设定得太低,如果次数设定得太低的话,很容易会把自己封锁掉。
打开控制台——安全选项卡,可以看到允许/拒绝列表、IP访问保护等选项。
不过攻击者一般会不停更换IP,基本没用
五、开启两步验证
在输入正确密码后,还需要使用应用程序产生一个有时效性的密码,才能成功登入。
点击右上角账户名那里,打开设置选项,在两步验证这里,点击开始,并按照提示在手机上下载安装Google Authenticator,这样每次在新的设备上登录时都需要输入验证码,安全性大大增强。
安全性有保障,只是稍微麻烦了些
六、停用不必要的服
服务越多,潜在的漏洞就越多。因为NAS往往都提供很多服务,当中必然包含玩家实际并未使用的服务,虽然 NAS 的作业系统通常会把服务预设关闭,但还是需要检查一下有没有不必要的服务,把部分服务停用,减少潜在的漏洞。可以到「系统状态」查看已启用的服务,并把不需要的服务停用来降低风险。
七、使用 SSL 加密连线
通过启用及使用 SSL 加密连线,能让所有资料都在有加密的情况下传送,让黑客难以窃取密码,使 NAS 更安全。还可以配合 NAS 厂商整合的免费 SSL 凭证,让浏览器或应用程序不会跳出 SSL 凭证不正确的警告。