主页 > X梦生活 >NAS达人修鍊术- Synology DS916+ 入门到精 >

NAS达人修鍊术- Synology DS916+ 入门到精

2020-05-24 12:06

二部曲:面对勒索病毒你準备好了吗?
近来身边好几个朋友公司都中了勒索病毒, 尤其是一般中小企业或是学校, 有时候并没有真正配置 MIS 或者 IT专职人员, 由同仁身兼数职, 如果本身警觉性不够加上新款病毒于防毒软体无法即时拦阻, 只是误上一些网站及开启病毒邮件, 就会很容易中毒, 而近来勒索病毒快速的针对电脑硬碟及网路磁碟档案加密, 若不付赎金则无法解密中毒档案. 要解决此类问题, 除了在电脑端安装防毒软体, 并定时更新病毒码以外, 善用 DS916+ NAS 上面的诸项安全机置, 不仅能减少被入侵机会, 也能在灾害发生后快速的救回中毒档案.

2-0:两步骤验证
近来最热门的资安新闻莫过于一银ATM被盗领数千万现金一事, 骇客藉由入侵电脑主机再远端遥控 ATM 隔空取钞, 在 Synology NAS 系统为了加强登入安全性, 可以启用两步骤验证, 用户藉由密码以及自己持有的手机来做为验证工具, 当你通过第一道帐号密码验证后, 系统会要求你输入手机上所提示的第二道验证码, 惟有两步骤皆输入正确才能登入系统, 如此即使帐号密码被有心人盗用, 因对方无法通过第二道防线, 仍然无法进入 DSM NAS 操作系统.

▼于控制台 > 使用者帐号 启用两步骤验证功能
NAS达人修鍊术: Synology DS916+ 入门到精

▼同时以手机扫描 QR Code 完成手机端验证 app 安装
NAS达人修鍊术: Synology DS916+ 入门到精

▼设定电子邮件地址, 当手机遗失时可以发送紧急验证码至你的 email.
NAS达人修鍊术: Synology DS916+ 入门到精

▼如此即完成设定
NAS达人修鍊术: Synology DS916+ 入门到精

▼日后登入 DSM 系统, 皆输入通过两道验证手续
NAS达人修鍊术: Synology DS916+ 入门到精

如果该台电脑 200% 不会有它人使用, 那幺可以勾选 '信任这台电脑', 这样此台电脑日后登入系统只需要帐密即可, 但在其他电脑以相同帐密登入时, 仍需要通过第二道手机验证码程序

2-1:Snapshot - File Server 时光回溯器
DS916+ 支援 Btrfs file system, 只要 Synology NAS 有支援 Btrfs 机型就表示具备 Snapshot(快照) 功能, 这里不去讨论太多技术面的细节, 简单说 Btrfs Snapshot 它具备下列优点.

*每个档案在 NAS 里面都存放着一些重要的档案属性, 如档名及档案资料索引等, 称为 metadata, 在 Btrfs 为了安全起见存了两份 metadata.

*可以启用档案进阶资料一致性的 checksum 功能, 在档案读取时就马上核对 checksum.

*snapshot 可以手动或者排程纪录下当时共用资料夹内的档案状态, 而且运作的速度极快, 也非常省空间. 当需要回溯到某个时间点的档案时, 能快速的取回之前的档案版本. 最重要的是 Snapshot 保留下来的档案是唯读的, User 或者是病毒是无法去删除或者修改其档案内容.

在 Synology NAS snapshot 功能是依据共用资料夹分别设定, 所以我们可以针对较重要的共用资料夹设定排程自动拍摄快照. 执行的週期可以短至每五分钟拍摄一次快照.

▼选定共用资料夹, 并设定排程
NAS达人修鍊术: Synology DS916+ 入门到精

每拍摄一次快照就相当于时间停格一样, User 可以在 Windows or Mac 下面去浏览之前保留下来的档案版本. (位在每个共用资料夹下的 #snapshot 目录内)
▼开启快照浏览
NAS达人修鍊术: Synology DS916+ 入门到精

▼每个共用资料夹最多可以保留 1024 份快照, 也可以依据 day/week/month/year 分别指定保留的快照份数.
NAS达人修鍊术: Synology DS916+ 入门到精

▼在 Windows 底下,User 可以利用 '以前的版本' 功能检视各快照所保留下来的档案, 不用再麻烦 IT or MIS 人员帮你救资料了. (附注:这个功能也可以不启用, 这样 User 无法在 Windows '以前的版本' 看到快照内容)
NAS达人修鍊术: Synology DS916+ 入门到精

▼Snapshot 拍摄快照及回复档案的速度非常快, 在误删或者中毒后, 可以快速救回. 这里示範有员工误砍数个资料夹的档案.
NAS达人修鍊术: Synology DS916+ 入门到精

snapshot 救回整个共用资料夹的档案也只是需要几秒钟而已. 最重要的是, 除了救回整个共用资料夹的档案外, 也可以直接将之前快照所保留下来的档案, 另外建立一个新的共用资料夹以供比对, 这样同时保留现有版本, 回存的档案视为另一个版本 (在实务上有时候我们需要做新旧版本的比对)
▼示範还原整个共用资料夹的档案
NAS达人修鍊术: Synology DS916+ 入门到精

DS916+ 除了支援 snapshot 功能外, 还支援快照複写(Replicatioin), 当你有多台 NAS 时, 可以建立 snapshot 的异地备份. 一个来源伺服器的共用资料夹快照, 可以建立高达三个不同的目的地複写任务(一对三複写), 快照複写主要的目的为当来源伺服器无法正常提供服务时, 执行故障转移来保护资料.

▼设定排程複写作业. (DS916+ Public 共用资料夹 -> DS415+)
NAS达人修鍊术: Synology DS916+ 入门到精

▼于 DS415+ 目标伺服器检视複写状态
NAS达人修鍊术: Synology DS916+ 入门到精

当来源伺服器发生故障时或者需要维护时, 我们可以利用故障转移, 使得目的地伺服器的複写资料夹 '上线' 提供服务. 而模拟故障转移就是在目的地伺服器将複写过来的档案, 另外做出一个可供读写的複本, 以供 User 验证其内容, 以确保其内容的正确性

▼在目标伺服器上执行模拟故障转移, 可挑选欲模拟的快照版本.
NAS达人修鍊术: Synology DS916+ 入门到精

交换转移(switchover) 为将来源伺服器和目标伺服器互换角色. 由目标伺服器担负日后服务的工作.

▼交换转移作业.
NAS达人修鍊术: Synology DS916+ 入门到精

▼交换转移作业完成后, 原本的複写路径为 (DS916+ -> DS415+), 变换为 (DS415+ -> DS916+)
NAS达人修鍊术: Synology DS916+ 入门到精

因来源伺服器故障等原因, 已无法提供服务, 在目标伺服器上可以执行 '强制故障转移', 原本在目标伺服器上複写过来的快照複本将由唯读状态变更为可读写状态. 以担负起日后服务的需求.

▼于目标伺服器上执行 '强制故障转移'
NAS达人修鍊术: Synology DS916+ 入门到精

当故障转移后, 原本的来源伺服器和目标伺服器之间的複写任务已经中断, 此时若欲恢复複写任务, 可以使用 '重新保护' 功能, 恢复複写任务.

▼重新保护-恢复複写任务.
NAS达人修鍊术: Synology DS916+ 入门到精

▼因来源和目标伺服器于故障转移后, 档案已呈现不同步状态, 故必须重新选定以那一台伺服器的资料为基準.
NAS达人修鍊术: Synology DS916+ 入门到精

Snapshot 并不是用来完全取代传统的备份方式, 但它的运作效率极高, 而且更省储存空间, 善加利用可以解决企业在有限频宽下异地备份的需求.

2-2:NAS防毒
Synology NAS 内建两个防毒套件, 除了 Antivirus Essential 为免费外, 另一 "AntiVirus by McAfee" 套件为搭配业界知名 McAfee 病毒扫引擎.
▼执行 NAS 共用资料夹病毒扫描作业
NAS达人修鍊术: Synology DS916+ 入门到精

▼使用上非常容易, 直接排程设定定时扫毒即可. 已中毒的档案也可以自动隔离
NAS达人修鍊术: Synology DS916+ 入门到精

2-3:NAS防火墙
对于进阶的 User 可以启用 NAS firewall 功能, 它是针对 NAS 所提供的服务, 针对 IP 或者区域限制它所服务的对象. 一般的 Firewall 大多仅能针对 IP 去做设置, 而 Synology NAS 更增加了 '区域' 的功能. 例如我们可以将特定的服务限制仅供位在台湾的 User 做远端存取.
▼启用 NAS firewall 功能, 并编辑 firewall rule
NAS达人修鍊术: Synology DS916+ 入门到精

▼此例为 DSM 5000&5001 远端存取服务.
NAS达人修鍊术: Synology DS916+ 入门到精

▼限制来源 IP 的区域(GeoIP).
NAS达人修鍊术: Synology DS916+ 入门到精

▼只限台湾的 IP 存取.
NAS达人修鍊术: Synology DS916+ 入门到精
NAS达人修鍊术: Synology DS916+ 入门到精
NAS达人修鍊术: Synology DS916+ 入门到精

另外也建议 user 启用 '自动封锁' 功能. 当骇客尝试入侵 NAS 主机时, 在指定的时间内登入失败就自动封锁该来源 IP
▼登入帐密错误太多, 自动封锁功能启用
NAS达人修鍊术: Synology DS916+ 入门到精

▼自动封锁实例, 系统并自动发通知给管理员
NAS达人修鍊术: Synology DS916+ 入门到精

▼也可以手动新增排外 IP 名单.
NAS达人修鍊术: Synology DS916+ 入门到精

▼检视登入失败的来源 IP.
NAS达人修鍊术: Synology DS916+ 入门到精

2-4:VPN Server
远端存取 NAS 时, 为了加强安全性, 通常我们会利用 VPN 和 NAS 连线, 而在 VPN 传输过程中, 利用加密防止有心人士藉由监听网路封包窃取资料. Synology NAS 支援 PPTP & OpenVPN 两种 VPN 协定,

▼启用 PPTP VPN Server
NAS达人修鍊术: Synology DS916+ 入门到精

▼启用 OpenVPN Server. OpenVPN 的设置相当容易, 利用汇出设定档及参考档案中的说明文件, 即能快速完成建置.
NAS达人修鍊术: Synology DS916+ 入门到精

▼VPN 连线状态清单.
NAS达人修鍊术: Synology DS916+ 入门到精

2-5:私有云及公有云档案同步

Synology NAS 提供了 Cloud Station & CloudSync 两个套件, 达到私有云及公有云的档案同步机置, Cloud Station 主要用于 PC to NAS 以及 NAS to NAS 同步, 而 CloudSync 做为 NAS to 公有云 (如 Google Drive, Dropbox...) 同步之用.

程式定义:
Cloud Station Server: 安装于 NAS 上, 做为其他用户端同步的主 Server.
Cloud Station Drive: Cloud Station 于 Windows or Mac 上的用户端程式
Cloud Station Backup: 将 PC 端的档案备份至 NAS 所用的程式.
Cloud Station ShareSync: NAS 端的 Cloud Station client 套件.
DS cloud: Cloud Station 手机端档案同步 app.

▼ Cloud Station 所支援的各套件及程式.
NAS达人修鍊术: Synology DS916+ 入门到精

▼Cloud Station 支援版本控管机置. 可设定保留的档案版本数.
NAS达人修鍊术: Synology DS916+ 入门到精

▼可设定档案同步 filter
NAS达人修鍊术: Synology DS916+ 入门到精

▼详细的档案同步日誌.
NAS达人修鍊术: Synology DS916+ 入门到精

▼Cloud Station 允许由 PC, Mac, iOS 装置 & Android 装置
NAS达人修鍊术: Synology DS916+ 入门到精

▼NAS 和 NAS 之间档案同步可以利用 Cloud Statioin Sharesync 套件.
NAS达人修鍊术: Synology DS916+ 入门到精

▼同步方向可以设定为 NAS->PC, PC->NAS& NAS NAS 三种模式.
NAS达人修鍊术: Synology DS916+ 入门到精

▼Synology 自家的 RT1900ac 无线路由器也支援 Cloud Station Server 套件.
NAS达人修鍊术: Synology DS916+ 入门到精

▼可结合 NAS & Router 私有云同步
NAS达人修鍊术: Synology DS916+ 入门到精

▼Cloud Sync 套件支援多种公有云和 NAS 同步功能.
NAS达人修鍊术: Synology DS916+ 入门到精

▼上传至公有云的档案, 可以设定加密保护.
NAS达人修鍊术: Synology DS916+ 入门到精

▼详尽的 NAS 同步日誌
NAS达人修鍊术: Synology DS916+ 入门到精

▼除了同步方向设定外, 另外也支援上传至公有云的档案皆经过加密编码保护.
NAS达人修鍊术: Synology DS916+ 入门到精

于 CloudSync 设定同步至公有云的档案自动加密功能虽然好用, 但万一临时要从公有云手动下载已加密档案, 或者 NAS 一时无法存取时, 因为档案经过加密, 必须经过解密程序才能取回原始档案. 此时做法有二种.

若原 NAS 一时无法使用, 可以在另台 Synology NAS CloudSync 重建同步任务, 并输入原始密码.

▼重设同步任务, 记得勾选加密, 并输入原密码.
NAS达人修鍊术: Synology DS916+ 入门到精

▼重新同步后, 会自动从公有云同步档案并解密存回 NAS.
NAS达人修鍊术: Synology DS916+ 入门到精

另一个方法为至官网下载 Cloud Sync Decryption Tool 解密工具, 只要记得原密码, 或是保有原私有金錀, 同样可以解密档案

▼安装 Cloud Sync Decryption Tool, 同时自行由公有云下载已加密过的档案.
NAS达人修鍊术: Synology DS916+ 入门到精

▼解密成功.
NAS达人修鍊术: Synology DS916+ 入门到精

2-6:Hyper Bakcup本机及异地备份

Hyper Backup 套件主要用于备份 NAS 资料及档案用, 除了传统的备份至外接硬碟外, 另外也支援备份至远端的 NAS 及公有云上.

▼Hyper Backup 支援的媒体列表
NAS达人修鍊术: Synology DS916+ 入门到精

▼新增备份工作. 此例为备份至另一台 Synology NAS.
NAS达人修鍊术: Synology DS916+ 入门到精

▼Backup Wizard 指定备份目的地 server.
NAS达人修鍊术: Synology DS916+ 入门到精

▼备份来源目录可为子资料夹.
NAS达人修鍊术: Synology DS916+ 入门到精

▼可备份应用程式资料库
NAS达人修鍊术: Synology DS916+ 入门到精

▼指定备份保留版本数.
NAS达人修鍊术: Synology DS916+ 入门到精

▼线上检视历史备份之各版本档案.
NAS达人修鍊术: Synology DS916+ 入门到精

▼内建备份档案浏览器, 执行备份还原作业.
NAS达人修鍊术: Synology DS916+ 入门到精

▼做为异动备份 NAS 必须安装 Hyper Backup Vault 套件.
NAS达人修鍊术: Synology DS916+ 入门到精

▼Hyper Backup 多版本备份模式, 其备份目的地的档案经过特别的编码方式存档, 若欲达到备份来源档案不经额外编码处理, 可选择 '本地资料複製' & '远端资料複製'
NAS达人修鍊术: Synology DS916+ 入门到精

▼Hyper Backup 同样也支援同步至公有云 (如 dropbox, google drive...)
NAS达人修鍊术: Synology DS916+ 入门到精

2-7:本尊证明 Let's Encrypt SSL凭证
我们晓得在透过浏览器连上 NAS DSM 系统管理时, 可以藉由使用 https (SSL) 全程加密浏览器和主机间所传输的讯息, 以防止有人士从中窃听机密资料

但以 https 连上你的 NAS 时最怕看到这个画面, 因为你尚未帮 NAS 申请一张凭证以证明它是本尊, 在 Synology NAS 可以藉由申请免费的 Let's Encrypt SSL 凭证, 以解决此问题.

▼你的 NAS 网站是不安全性的网站吗?
NAS达人修鍊术: Synology DS916+ 入门到精

▼申请一个 Let's Encrypt 凭证.
NAS达人修鍊术: Synology DS916+ 入门到精

▼Let's Encrypt 凭证是免费的.
NAS达人修鍊术: Synology DS916+ 入门到精

藉由上面简单的步骤, 即能在 NAS 上面自动安装上 SSL 凭证, 确保使用者及 NAS 网站两方之间皆是安全性的连线.

2-8:安全谘询中心
最后可透过 '安全谘询中心' 所提供的 NAS 弱点扫描功能, 找出需改进的安全漏洞及缺失. 弱点扫描可依据家用及商用两种模式给予不同的建议.

▼给予安全性方面的设定建议.
NAS达人修鍊术: Synology DS916+ 入门到精

▼详细的分析报告及建议解决方案.
NAS达人修鍊术: Synology DS916+ 入门到精

经过上述的层层保护及建置上的建议, 不敢说百毒不侵, 但至少让中毒的机会减至最低, 而在不幸中毒后, 也能透过快照及备份的档案回存, 快速的回复系统及营运.

当前阅读:NAS达人修鍊术- Synology DS916+ 入门到精

上一篇:

下一篇:

热点资讯

时尚图库

猜你喜欢

历史资讯: