群晖安全加固建议

1.安全顾问

安装完群晖默认安装的有安全顾问程序

image-20240714110847573

2.开启双重验证

2.1.当前管理员开启双重验证

右上角小人---》个人设置---》安全性---》双重验证---》验证码

可以使用Google或者微软验证器

2.2.所有管理员开启双重验证

控制面板---》安全性---》账户---》双重验证

image-20240714113353455

3.开启账号保护

控制面板---》安全性---》账户---》账号保护

30分钟内登录错误3次封锁两个小时

image-20240714113621900

4.停用默认管理员和访客账号

控制面板---》用户和群组

image-20240714113852065

5.修改群晖默认端口

控制面板---》登录门户

image-20240714114149654

6.启用自动封锁

控制面板---》安全性---》防护

修改为5分钟内登录3次失败就封锁IP,为了防止误封,设置封锁过期时间,同时把局域网加入,防止到时候自己输入错误被封锁。

启用Dos保护

image-20240714115152348

7.开启消息通知

控制面板---》通知设置

7.1.使用Webhook

可以设置邮件,我经常使用pushplus,本次演示用pushplus

image-20240714121333005

7.2.填入调用URL

在Webhook URL中填入:http://www.pushplus.plus/send?token=&content=

image-20240714121402337

7.3.修改token和content参数值

填入token和content两个参数的值,content的参数值为@@TEXT@@

image-20240714121551037

7.4.测试

image-20240714121750510

8.防止远端访问samba等服务

控制面板---》安全性---》防火墙---》启用防火墙---编写规则

8.1.局域网可以访问samba

image-20240714122754688

image-20240714122822460

8.2.其他IP禁止

image-20240714123056492

8.3.最终配置

image-20240714123204169

防火墙有优先级,前面的优先级比后面的高,所以当一个IP要访问samba时,如果IP是局域网直接就匹配了前两条,放行。如果不是局域网。前面两条匹配不上,后面匹配上的时候,被拒绝。

9.修改ssh端口

控制面板---》终端机和SNMP

image-20240714123741365

10.终极大招

所有端口只允许局域网内访问,80,443可以被外部所有IP访问,其他端口外部IP都不可以访问。

外网如果想访问NAS上的服务,把所有服务都方向代理到80和443端口。

image-20240714125401790

posted @ 2024-07-20 10:09  monkey6  阅读(177)  评论(0编辑  收藏  举报