前言
前些天弄了一台洗白的黑群晖,昨天回家發現老家的電信有公網ip,于是使用DDNS和自己的域名,愉快地把自己的群晖連上了公網,但是晚上看到日志卻發現,群晖被不同地區ip的人數次嘗試登陸,于是開始摸索和進階群晖的安全設定。
發現
連上公網之後,我開了一個訪客使用者給小夥伴通路來測試速度。晚上看日志發現了如下:
![](https://img.laitimes.com/img/__Qf2AjLwojIjJCLyojI0JCLicmbw5yMjVGZ5MjMkBDM2EGMhVmNkR2NxM2M1EzYhZzNkZ2N28CX0JXZ252bj91Ztl2Lc52YucWbp5GZzNmLn9Gbi1yZtl2Lc9CX6MHc0RHaiojIsJye.png)
其中一條是
User [admin] from [141.98.80.63] failed to log in via [SSH] due to authorization failure
當然這隻是其中一小部分,除了這個ip還有來自印度和俄羅斯等地方的ip通路,不知道是使用了跳闆還是本來就有這麼多老外喜歡搞這些事情。并且這種方式說是暴力破解吧,也算不上破解,說是撞庫吧,嚴格來講也算不上。對方嘗試了許多使用者名,但是無一例外沒登陸成功。
從日志我們可以看出來,對方是通過SSH嘗試登陸的。因為我為了友善調試,是以開啟了SSH功能,并且端口預設22沒有更改,群晖的安全顧問掃描到了這個問題,但是由于之前沒用映射到公網,是以我沒管它。
加強
加強可以從以下幾個方面入手:
改端口
既然對方是通過SSH登陸,那麼首先做的就是打開控制台,選擇終端機和SNMP,修改SSH預設端口,建議避開常用端口如22/23/80/8080:
當然同時建議修改DSM在路由器映射的端口,雖然這些碰運氣的人一般不會通過DSM界面嘗試登陸,但是安全起見仍然建議修改。
加強賬戶
通過登陸日志我們可以發現,對方嘗試登陸的賬戶包括但不限于admin、root、guest,其中有群晖預設設定的賬戶,其中admin貌似不能禁用,是以建議設定一個強密碼,guest賬戶可以禁用,自定義添加的使用者一定要記得配置好權限。
如果必要,還可以在賬戶——進階設定中開啟2步驗證:
啟用自動封鎖
在群晖控制台選擇安全性,選擇賬戶,啟用自動封鎖:
這個數值可以自定義,當你覺得異常登陸頻繁時,可以減小這個值,不建議把嘗試登陸次數設定為1,不然萬一哪天自己輸錯了密碼……另外建議不啟用“啟動封鎖過期”。
啟用封鎖之後,果然很快就有一個ip被永久封禁了:
啟用通知
啟用通知非必要,但是當nas出現異常或者故障的時候你可以及時收到相應的提醒,網上也有綁定推送到微信的,如果有興趣可以去了解一下。
總結
其實群晖已經很成熟了,各種功能和設定都還比較完善。當你把你的Nas曝在公網之中的時候,你就不得不面臨許許多多未知的威脅。有人的地方就有武林,有網絡的地方就有滲透。除了上述說到的這些,群晖還有更多細緻的安全性配置,多花一點時間去了解總是沒錯的。
本文已發在了我的部落格:W4J1e’s blog