男人的生产力工具 篇一百三十六:为群晖构筑第二道防线:账户保护入门教程
信息安全的威胁无处不在
相信不少朋友已经拥有了黑白各异的群晖NAS,既然搭建了NAS系统,说明你已经非常重视数据的安全。NAS提供最核心的网络存储和分享功能,随时响应管理员和合法用户的远程服务请求,因此必须对互联网开放,也不可避免地暴露在黑客或潜在入侵者面前。
常规的用户身份认证是通过账号系统实现的,因此获取账号密码就成了黑客入侵系统的常见手段。攻击的方式包括但不限于:
通过社会工程学或钓鱼网站等手段猜测、骗取用户名和密码;
根据统计结果用密码词典进行暴力破解,即依次用常见密码尝试登录;
拖库,利用某一网站漏洞获取了全部账号密码的数据库,再拿到其他网站尝试登录,这一点是利用了人们为图省事,往往把同样的账号密码用来注册不同网站的心理。
针对攻击方这些常见的安全威胁,群晖科技设计了完善的安全机制加以防范。比如:及时发现软件漏洞,发布更新补丁;限制登录尝试次数,输错三次密码即不允许再登录,这样可以避免暴力破解;限制同一IP地址尝试登录次数;只允许可信任的终端访问;定期强制用户修改密码等等。
我们必须理解,信息安全其实是一个系统工程,涵盖了法律、技术、管理、硬件、软件、人等方方面面。由于Synology(群晖科技)作为专业厂商具有强大的研发能力和知识积累,通过加入安全联盟、及时收集和发现漏洞、建立快速响应机制、在黑客社区悬赏抓bug等有效手段,建立了一个持续演化、不断改进的安全保障体系,极大地提高了NAS产品的安全等级。
第一道防线:为群晖NAS启用两步验证
近年来,随着NAS逐渐普及、进入小型办公和家庭办公(SOHO)市场,越来越多的家庭和小微企业开始享用NAS带来的种种便利和效益。与厂商强大的安全实力呈鲜明相对的是,这些用户中的很大部分是缺乏网络知识和安全常识的。黑客在尝试入侵系统的时候,出于成本考虑,首先试探攻击的必然是系统中最弱的一环--用户,具体来讲,就是试图获取用户的账户。
为防止入侵者利用前述各种手段获取到账号密码、登录获取NAS的控制权,有必要为账户加上安全锁,这就是群晖NAS的第一道防线:开启两步验证。
这是一个从军方和间谍领域借鉴过来的技术,是专门针对传统账号系统的弱点而开发的。两步验证技术要求登录时除输入用户名和密码外,还必须输入一个由软件自动生成的定期更新的本地验证码。
验证码是在用户端本地生成的,仅用户本人可见。并非网页登录页面产生的用于区分人或机器人的验证码,后者直接公开显示在网页端,黑客肉眼可见,没有任何保密性可言。
很多网银颁发给用户的电子密码器,也是使用了这一原理:电子密码器与账号绑定,由用户保管。交易时,或是用户输入网页提示的一串字符,密码器运算后产生验证码;或是密码器定期自动产生随机的验证码。
两步验证很好地解决了黑客远程攻击的威胁:用户名和密码能够远程尝试,而本地验证码黑客是无法通过网络窃取的(当然,黑客无法完成的任务,将由电信网络骗子来继承,骗子伪装成合法客服等身份,通过聊天软件或者钓鱼网站,再让用户心甘情愿告知验证码,哈哈。)
为群晖NAS启用两步验证的详细教程,请参考上面卡片。
第二道防线:账户保护
第一道防线启用了两步验证,每次登录群晖NAS时,除了输入用户名、密码,还要打开身份验证器查看随机验证码,在登录窗口输入该验证码。多了一个步骤, 比常规的登录稍显麻烦,估计很多用户不能长久坚持。须知安全与方便不可兼得,为了安全而牺牲一点便利性是值得的。
不管怎样,考虑到人的惰性是普遍存在的。今天,就为大家分享第二道防线----账户保护。我等小白只需轻点鼠标,一次设置,终生受益。
群晖NAS账户保护入门教程
既然攻击者常用的手段有利用密码辞典轮番尝试登录(暴力破解)、借助已泄露的密码去试探其他网站的账户等,能不能识别出这些可疑行为,从而将入侵者与正常用户区分开呢?这就是账户保护技术要解决的问题。
在群晖DSM系统中,通过识别短时间内反复试探、登录出错等异常行为,可以有针对性地封锁对方的IP或客户端,从而达到保护账户安全的目的。
一、在控制面板中,打开安全性模块
二、启用自动封锁IP
在互联网上,每台计算机都有唯一的IP地址。当DSM的安全系统识别出潜在入侵者在尝试登录后,通过封锁其IP,拒绝对其任何请求进行响应,自然就阻断了对方继续登录的尝试。显然,我们这些普通用户,希望这个功能必须是自动实现的。
点击切换到账户标签页。
页面首先展示的,就是自动封锁选项。
勾选启用自动封锁。
如果在下列设置时间内,登录失败的次数达到下列设置的次数,系统将自动封锁登录者的IP。等于果断关上了针对此人的入口。一般来说,短时间内多次尝试登录失败,是典型的入侵者暴力破解密码的特征。
启动封锁过期:当启动封锁过期功能时,在下列天数后,被封锁的IP将会被解除封锁。由于现在多数家庭宽带用户的ip是自动获取,且经常变化的,定期解除封锁可以防止以后得到该IP的用户无法正常使用NAS。根据情况,这一条可暂不开启。
允许/封锁名单:此处等于是IP地址区分的白名单/黑名单。点击进入后,可以进行查看和管理。
三、查看允许/封锁名单
此处,我们点击进入查看一下,并熟悉如何进行管理。
3.1 白名单
当前是允许名单(白名单)标签页。这里列出的是即使出错达到设定次数,也不会被封锁的IP地址,等于是信任这些地址发来的请求。
允许的IP地址列表。
工具栏:新增、删除、导出。
3.2 黑名单
点击切换到封锁名单标签页。此处列出的是手工添加的黑名单,或者是通过自动封锁功能添加的IP地址。
封锁的IP地址列表。
工具栏:新增、删除、导出。
3.3 对允许/封锁名单的管理
提醒:当启用自动封锁后,将根据行为而不是身份来封锁IP。
比如,即使你是群晖NAS的合法用户,哪怕你是系统管理员,当你尝试登录的次数触发自动封锁功能后,照样被拒绝登录。别问我为什么知道的。
此时,想较块解决,唯一的办法是另外找一台电脑(等于更换一个未被封锁的IP地址),重新登录,然后到3.2的允许/封锁名单列表中,找到你被封锁的IP,并删除,才算解救了自己。
至此,我们经过简单的设置,就为群晖NAS建立了第二道自动化的防线。如果您对这样的安全措施还不满足,请继续阅读。
四、账户保护
4.1 未信任的客户端
如果未信任的客户端,在预设时间内登录失败的次数太多,则触发账户保护。
未信任的客户端,可以理解为从未登录过合法账户的客户端,可能是合法用户换了一台电脑,也可能是潜在的入侵者。
点击左侧的箭头,收缩自动封锁IP选项。继续向下看。
进入账户保护选项区。
勾选启用账户保护。
有读者该提问了,同样是尝试出错被封锁/保护,前一节的自动封锁IP和本节的账户保护有什么区别?解释一下:
自动封锁IP:针对的是IP地址,属于比较严厉的、最高级的封锁措施。只要是来自该IP的请求,一律封杀。但前面也说了,如今很多用户都是自动获取IP,这种封锁有可能造成下一个合法用户因使用了前面被封锁的IP而无法访问群晖NAS,存在着误伤的可能。
账户保护:针对的是你用来登录的账户,属于范围更窄一些、更具体的封锁。例如,你的账户名为xyz,当该账户在设置时间内登录失败次数太多,则DSM自动保护该账户,即xyz账户被锁定,即使换一台电脑也无法登录。除非等待30分钟(前面设定的取消保护期)。同时,该电脑的IP并未被封锁,你可以换一个名为abc的用户来重新登录。
4.2 已信任客户端
已信任的客户端是你多次登录账户成功的计算机等设备,甚至是在登录页面勾选了“信任此设备”选项的设备。
为何对已信任的客户端,也需要进行防范呢?设想一下这样的场景:某台被信任的计算机或者智能手机,因为丢失或者短时间无人照看,被其他人得到控制权,而在短时间内尝试登录你的账户。
所以,当已信任的客户端上,发生了尝试登录出错次数太多的情况,我们就要怀疑,该客户端已不再被合法用户掌握了。
页面向下,来到已信任的客户端。
设定尝试登录次数、几分钟内。
设定接触封锁(几分钟后)。
管理已信任客户端。当发生设备遗失等极端情况,在这里删除信任。
显然,读者也会对本节的保护措施存在疑问,那么我们继续与前两项对比一下,就可以明白了。
前述两项保护措施,分别针对的是IP地址、NAS账户,本节针对的,则是----设备。设备是指计算机、智能手机、平板电脑,甚至电视、冰箱等,任意可以用来登录并访问群晖NAS的终端。
因此,当已信任的客户端上,在预设时间内,发生尝试登录出错次数太多的可以情况,DSM系统封锁的对象是这台设备,而不是账户或者IP地址。即,更换另一台设备,用刚才的账户,仍然能登录。
通过区分情况、范围和对象,分别指定封锁/保护的IP地址、账户、客户端,能够在保证安全性的前提下,减少对正常用户的影响,封锁可疑者的入侵尝试,得到最大的灵活性。可以说,群晖DSM系统的账户保护机制是非常周到的。
未完待续
谦虚地说,张大妈家读者圈里,在下是黑群晖用户中硬件配置最高的,白群晖用户中闲置台数最多的,致力为张大妈用户奉献最权威非官方群晖入门手册。
通过本篇的介绍,举手之劳,就可以在账户层面上对你心爱的群晖进行一劳永逸的保护。
本文发表在劳动节,请大家以点赞、收藏、讨论、打赏来支持作者,谢谢!
除作者给出的商品链接外,此篇文章中还提到的商品是:
9k37
校验提示文案
心易触日月
校验提示文案
龙龙七
校验提示文案
值友6792946351
校验提示文案
一杀百里
校验提示文案
风过林子
校验提示文案
迪齐
校验提示文案
老碗来板鸡汤
校验提示文案
nikdu
校验提示文案
爱民如子Joffery
校验提示文案
赞美猴小猴
校验提示文案
Lifeisgood
校验提示文案
Lifeisgood
校验提示文案
Lifeisgood
校验提示文案
Lifeisgood
校验提示文案
Lifeisgood
校验提示文案
Lifeisgood
校验提示文案
Lifeisgood
校验提示文案
Lifeisgood
校验提示文案
Lifeisgood
校验提示文案
Lifeisgood
校验提示文案
爱民如子Joffery
校验提示文案
nikdu
校验提示文案
Lifeisgood
校验提示文案
老碗来板鸡汤
校验提示文案
迪齐
校验提示文案
风过林子
校验提示文案
Lifeisgood
校验提示文案
Lifeisgood
校验提示文案
Lifeisgood
校验提示文案
Lifeisgood
校验提示文案
一杀百里
校验提示文案
Lifeisgood
校验提示文案
值友6792946351
校验提示文案
龙龙七
校验提示文案
心易触日月
校验提示文案
9k37
校验提示文案
Lifeisgood
校验提示文案
Lifeisgood
校验提示文案
赞美猴小猴
校验提示文案