我正在考虑从 Synology(或 QNap)购买 NAS,这些都是非常酷的 NAS,并且不仅仅用于存储文件。一些额外内容包括:
在规格方面,它作为 LAN 服务器看起来很棒,但也可以从 Internet 访问这些服务。现在,我想知道这有多安全,考虑到您实际上是在将多个服务器放在互联网上,而且别忘了,您存储在该设备中的所有个人文件都放在互联网上。
我做了一些研究,可以使用两步身份验证来加强 ssh 访问,但不确定其他服务,除非它们都必须通过 ssh?
我很感激您对这个和其他可能的方式来确保您的家庭 NAS 安全的看法。
NAS 是一台计算机。它有一个“更小”的 CPU(通常是 200 MHz 范围内的 ARM),但它仍然运行一个“正常”的操作系统(通常是 Linux 衍生产品),其中包含所有正常的软件和各种漏洞。当 SSH 服务器出现缓冲区溢出时,它很容易受到攻击,即使外盒“看起来不像”一台计算机。
要被认为是安全的,NAS 必须像任何其他计算机一样进行管理,并及时安装安全修复程序。这就是问题所在:与成熟的台式计算机相反,NAS 供应商很少每天分发安全补丁。存在固有延迟,这意味着当发现漏洞时,攻击者有几周(或几个月!)的先机,然后将修复程序打包并安装到大多数已部署的设备中。这是一个比较大的问题。它将 0-day 漏洞利用变成 0-month 漏洞利用。
我的建议是不要将这样的设备“放在互联网上”,除非你用你控制的另一个操作系统替换操作系统,并提供低延迟的安全更新(当然,你确实检查它们并安装它们应有的积极性)。例如,您可以在 QNAP NAS 上安装 Debian。
如果不需要,请不要上网。如果您确实需要它,则使所有其他服务仅在本地可用,并且仅允许来自 Internet 的 ssh。然后,您可以通过 ssh 创建隧道并通过该隧道访问您的其他服务。
请注意它是家庭NAS,因此最好将其保存在您的 LAN 上。
QNAP 设备标准安装的 ssh 服务器非常有限 - 您必须以管理员身份登录(即 root 访问权限),这本身就是一种风险。您可以替换为 openssh - 请参阅此处的说明: http ://wiki.qnap.com/wiki/How_To_Replace_SSH_Daemon_With_OpenSSH
但是要非常小心地更改访客帐户密码。当我注意到多个不受欢迎的外部用户以访客身份登录时,我意识到这一点是有代价的!
您还可以强化 openssh 配置以拒绝密码访问,并且只允许通过公钥交换进行访问。
您是否打算将您的家庭照片、音乐库、翻录的 DVD 收藏和家庭文件放到 NAS 上?
如果是这样,如果:
如果其中任何一个对您来说很重要,您最好不要在防火墙上戳一个洞,将这个 NAS 暴露在互联网上。
如果这些事情都无关紧要,您能否将 NAS 与您的其他家庭设备(例如“家庭 DMZ”)隔离开来?这样一来,如果 NAS 受到威胁,您的互联网访问和其他家庭设备就不会受到威胁。