群晖安全加固建议
1.安全顾问
安装完群晖默认安装的有安全顾问程序
2.开启双重验证
2.1.当前管理员开启双重验证
右上角小人---》个人设置---》安全性---》双重验证---》验证码
可以使用Google或者微软验证器
2.2.所有管理员开启双重验证
控制面板---》安全性---》账户---》双重验证
3.开启账号保护
控制面板---》安全性---》账户---》账号保护
30分钟内登录错误3次封锁两个小时
4.停用默认管理员和访客账号
控制面板---》用户和群组
5.修改群晖默认端口
控制面板---》登录门户
6.启用自动封锁
控制面板---》安全性---》防护
修改为5分钟内登录3次失败就封锁IP,为了防止误封,设置封锁过期时间,同时把局域网加入,防止到时候自己输入错误被封锁。
启用Dos保护
7.开启消息通知
控制面板---》通知设置
7.1.使用Webhook
可以设置邮件,我经常使用pushplus,本次演示用pushplus
7.2.填入调用URL
在Webhook URL中填入:http://www.pushplus.plus/send?token=&content=
7.3.修改token和content参数值
填入token和content两个参数的值,content的参数值为@@TEXT@@
7.4.测试
8.防止远端访问samba等服务
控制面板---》安全性---》防火墙---》启用防火墙---编写规则
8.1.局域网可以访问samba
8.2.其他IP禁止
8.3.最终配置
防火墙有优先级,前面的优先级比后面的高,所以当一个IP要访问samba时,如果IP是局域网直接就匹配了前两条,放行。如果不是局域网。前面两条匹配不上,后面匹配上的时候,被拒绝。
9.修改ssh端口
控制面板---》终端机和SNMP
10.终极大招
所有端口只允许局域网内访问,80,443可以被外部所有IP访问,其他端口外部IP都不可以访问。
外网如果想访问NAS上的服务,把所有服务都方向代理到80和443端口。