上次我们提到了群晖ssh登录的安全设置,这次来讲讲群晖DSM界面登录时的安全设置,和ssh的安全设置一样,我个人认为也有如下几个方法来加强DSM的登录安全:(按照必要性从强到弱排列)
- 自定义修改DSM的端口且外网使用https访问
- DSM关闭默认的admin/guest账号,新建一个管理员账号且设置复杂度较高的密码
- DSM所有登录账号开启两步验证
- DSM设置账户自动封锁
- DSM设置防火墙白名单访问
其中第一条设置比较简单,进入控制面板->网络->DSM设置tab页中修改默认的http及https端口,并且勾选自动重定向到https即可。第二条也比较简单这里不再赘述,最后一条设置后使用起来会不太方便,如果不是对安全要求非常高的话也不是太建议设置。下面着重讲下第三条和第四条的设置步骤,这两项设置我个人认为还是非常有必要的,设置之后可以极大的增强我们群晖外网访问的安全性。
1、 登录开启两步验证
群晖的两步验证是我们经常看到的一个以时间为基础的验证方式(TOTP: Time-based One-Time Password),我们常常使用Google Authenticator或是authy这样的软件来配合输入额外的一次性密码。由于authy强大的多平台支持且支持备份,这里建议使用authy来设置群晖的两步验证。
- 首先登录DSM后右上角点击个人设置
- 弹出的界面中在账号tab页下找到2步骤验证,点击它
- 进入设置向导,点击下一步
- 输入你的邮箱,点击下一步
- 使用authy扫描界面中的二维码,在authy中设置该验证的名称,authy中设置成功后会看到一个每30秒倒计时过期的一次性密码。点击下一步
- 输入authy中当前还未过期的6位数一次性密码,点击下一步
- 设置完成,点击确定
上面的步骤是对当前登录的用户设置两步验证,如果想让群晖中所有的用户都强制开启两步验证,那么可以到控制面板->用户账号->高级设置tab页下勾选强制所有用户开启两步验证。
当其他用户下次登录DSM时界面会自动弹出设置两步验证的界面(和前面的设置步骤一样),强制用户必须在设置了两步验证后才能正常使用群晖中的功能。
2、 登录账户自动封锁
群晖的账户自动封锁功能类似于linux系统中的fail2ban工具,当有用户尝试登录DSM失败次数超过设置的数字后,DSM会自动封锁其IP以避免有人尝试暴力破解群晖的账户信息。
具体的开启方式是进入控制面板->安全性->账户tab页中开启自动封锁,并设置想要封锁的登录失败次数和对应的单位时间后点击应用即可。
版权声明:本文为原创文章,版权归 nicolaszf 所有,转载请注明出处!