现在很多人利用群晖 NAS 作为个人数据存储中心,实现随时随地访问。不过,把你的 NAS 个人服务器暴露在公网上,也面临着很多安全问题。比如,你的登陆请求、信息传输数据包,可能被截获,导致登陆密码及传输内容泄漏。下面两个设置办法,可以为你提升群晖 NAS 安全性有所帮助。一、开启 HTTPS 访问我们以 HTTP 协议在浏览器及服务器之间传递信息的时候,是以明文方式发送内容,这就意味着,在传输信道中间的某个节点做手脚,就有可能截获传输内容,其中就可能包括登陆密码。那么,将传输内容加密,这个问题不就解决了?HTTPS 便由此诞生,它通过在 HTTP 和 TCP 中间加了一层加密层 TLS/SSL ,实现如下两个目的:1. 建立一个信息安全通道,来保证数据传输的安全。2. 确认网站的真实性。其中具体涉及到了数字证书的身份验证及 RSA 非对称加密原理,这里不在叙述。我们需要关注的,是如何使用 HTTPS 来访问我们的 NAS 。群晖为我们提供了非常简单的解决办法,可以很方便地签发和安装 Let’s Encrypt 证书,实现 HTTPS 加密传输。具体操作方法如下:1. 进入 DSM 的「控制面板」 – 「安全性」。2. 选择「证书」模块。3. 点击「新增」。4. 选择「添加新证书」,下一步选择「从 Let’s Encrypt 获取证书」。5. 填入自己的 NAS 域名及电子邮件地址。之后便可以在证书列表里看到此证书,可将其设置为默认,并勾选所有服务使用该证书。接下来,进入 DSM 的「控制面板」 – 「网络」 – 「DSM 设置」,勾选上「将 HTTP 连接自动重定向到 HTTPS」,设置好路由器的 5001 端口映射,重新登录,你会发现已经使用 HTTPS 进行连接。此时,你的传输将变得非常安全。只要对极大整数做因数分解这个数学难题没有解决,加密的信息几乎不可能被破解。另外,如果你为群晖配置了一级域名的话,你也可以自行申请其他服务商提供的 SSL 证书。不过,出于某些不可描述的原因,不建议大家使用「沃通WoSign」证书。二、设置「两步验证」两步验证,即在登陆时输入用户名及密码之后,还需输入一个动态口令,避免了账户密码泄漏后被恶意登录的问题。DSM 的两步验证需要使用 Google Authenticator (Google身份验证器)来生成动态口令,需提前在移动设备上安装。设置步骤如下:1. 进入 DSM,点击右上角选项图标,进入「个人设置」 – 「账号」。2. 勾选「启用 2 步骤验证」,进入设置向导。3. 输入电子邮件地址(用于移动设备遗失后接收紧急验证码)。4. 使用 Google Authenticator 扫描二维码,绑定动态口令。至此,你的 DSM 账号已受两步验证保护。重新登录,发现需要输入 6 位验证代码。打开 Google Authenticator ,输入产生的动态口令即可。
本文出自快速备案,转载时请注明出处及相应链接。