NAS有價,資料無價。從硬體到軟體,愛速特NAS資料安全防護指南
NAS作為一個儲存資料檔案的裝置,在給我們帶來方便的同時,其實也存在著很多安全性的隱患。除了裡面儲存的各種檔案、照片、影片、軟體之外,關於NAS的各種玩法,各種娛樂功能,也都離不開這些作為基礎的資料。
但是在網上也經常出現不少關於NAS掛掉,資料丟失、硬碟損壞的慘案。包括前一段時間還發現了NAS的勒索病毒大範圍傳播,不少朋友中招,導致遭受資料和經濟損失的一系列情況。
那麼如何保證自己NAS的資料安全,讓我們更加安心的使用NAS,本文就以我正在使用的愛速特AS3302T為例,從硬體和軟體兩方面向大家介紹如何保護NAS裡的資料安全。其中,關於硬體方面的介紹大部分通用,關於軟體方面雖然各品牌NAS的設定佈局不同,但是功能有很多相似之處,也可以作為參考。
一,硬體篇
1,目前在使用的NAS 愛速特AS3302T
愛速特是華碩旗下的專注NAS的品牌,愛速特品牌的NAS提供三年質保和電腦遠端協助服務。這是一款ARM架構雙盤位的入門款NAS,使用RTD1296處理器,配有2G記憶體,8G快閃記憶體,自帶3個3.2USB介面。支援docker應用。
作為一款ARM架構的NAS,AS3302T算不上功能強大,但是可以滿足絕大多數普通使用者的資料儲存和家庭娛樂需求,同時還具有系統流程、發熱低,用電量低,聲音小等優點。實際執行噪音19分貝,可以安心放在臥室使用。
2,硬碟
目前的NAS大規模的資料儲存還是以機械硬碟為主,因為NAS上的硬碟往往需要7*24h的高強度工作,所以對於硬碟的要求也比較高。一般建議使用紫盤以上的硬碟。為了更好的資料安全,建議使用NAS專用的硬碟。
①希捷酷狼
酷狼全系採用CMR垂直磁記錄,對於長時間的使用可以更好的保護資料的安全性。而且在NAS上酷狼有專門的磁碟診斷工具,後面軟體部分也會提到。
酷狼目前主要有兩個產品系列,具體的差別見下表。兩款硬碟都提供3年內的資料救援服務。
②西數紅盤
西部資料的NAS專用系列硬碟,一共有單個系列,主題區別見下表。如果對資料安全比較看中,建議從plus起,畢竟普版紅盤還是SMR。而pro的價格又確實稍微貴了點。
③東芝企業級硬碟
雖然沒有特殊標明NAS專用,但是實際上很適合NAS等對資料安全要求較高的環境下使用。同樣使用CMR記錄技術,具有斷電保護功能,同時配有旋轉振動感測器,抵消風扇和附近硬碟帶來的振動影響。
3,支援NAS自動關機的UPS
對於機械硬碟來說,最大的敵人就是突然斷電如果在磁頭正在工作的過程中突然斷電,非常容易出現數據丟失甚至硬碟損壞。所以電壓不穩或者經常斷電的地方,NAS裡的硬碟受損機率更大。這種情況下就需要給NAS配一臺不間斷電源,也就是我們常說的UPS。
而且建議配上一臺NAS專用的UPS,普通的UPS只能在停電後持續為NAS供電,當UPS裡的電耗光而家裡還沒有來電的話,NAS依然會被突然斷電。雖然可以透過APP提醒加現場或者遠端關機的方式關機,但是仍然存在很大的風險。而支援NAS自動關機的UPS則可以在斷電後自動啟動NAS的關閉程式,確保硬碟萬無一失。下面簡單推薦幾款UPS。部分UPS除了針對NAS還可以實現對電腦的自動關機。
4,磁碟設定與備份
在NAS一開始設定的時候,會讓你選擇使用RAID0模式還是RAID1模式,當然,四盤位以上的NAS可能還會有更多的模式可以選擇。而最常見的RAID0模式就是常規的把2塊硬碟全部用來儲存不同的資料。RAID1模式則是兩盤同步儲存,兩個盤互為備份,即使其中一個盤損壞或者壞道,另一個盤也依然可以讀出這部分資料。
而備份也分備份在NAS內部和傳輸到外部硬碟兩種。對於存著比較重要資料的NAS盤,建議定期使用行動硬碟等其他介質對NAS內的資料進行備份。比如AS3302T正好有一個前置的USB3.2口,面板上有一個一鍵備份的案按鍵,可以將行動硬碟或者隨身碟插在U口之後一鍵備份NAS中的資料。
除此之外,愛速特品牌的NAS還有一個冷備份的獨門絕技。我們知道NAS儲存的資料我們是無法透過電腦直接讀取的。但是愛速特的NAS具備MyArchive冷備份功能,當把其中一個硬碟設定成冷備份盤之後,這個硬碟上備份的資料可以直接使用電腦進行閱讀,而且可以在不關機的情況下對這款硬碟進行插拔,相當於比傳統NAS多了一個更加方便的資料備份方式。
5,定期進行磁碟診斷
在愛速特的系統資訊項下最後一欄是就是系統診斷工具,包括系統、網路、安全和儲存,點選診斷既可得到結果。其中儲存部分可以測試硬碟壞軌以及進行資料備份。我們點選“這裡”進行進一步的硬碟檢查。
這個介面實際上也可以透過儲存管理員直接進入,然後選擇左側的硬碟選項。
因為我使用的時希捷酷狼的NAS專用硬碟,所以系統提示可以安裝酷狼專用的管理器。
點選後會進入APP中心,進行安裝就可以了。
還記得硬碟部分頂上有硬碟醫生和S.M.A.R.T資訊兩個選項吧。點選硬碟醫生進入這個介面。我們可以選擇實時掃描,也可以額選擇每日、每週或者每個月定期進行掃描,查詢硬碟上有無壞道。建議選擇一個我們日常不會使用NAS的時間比如凌晨1點進行日常的壞道掃描。S.M.A.R.T掃描則是讀取硬碟上自己的管理資訊,所以速度會快很多。
選擇之後,NAS會後臺進行相應的掃描操作,我們該做什麼做什麼,儲存管理員頁面會顯示目前的掃描進度。
下次再進入硬碟醫生的時候,回顯示上一次的掃描時間和掃描結果。
二,軟體設定篇
硬體方面主要防禦的是來自無力方面的,非人為的影響,軟體方面則主要是為了防備來自外界的攻擊。隨著NAS的保有量越來越大,很多朋友並不注意NAS的設定和防護,導致NAS成為了不少別有用心的人的攻擊新物件。而我們即使不額外添置裝置,只要對NAS進行合理的設定,就可以更好的保障我們的NAS系統安全。
下面依然以愛速特為例,向大家講解一下如何進行更安全的軟體設定。
1,禁止admin使用者
要攻擊你的NAS,獲取你的系統賬號顯然是最容易的方式。而大部分NAS的管理員賬號都是admin,獲得了使用者名稱資訊,再去破解密碼就變得容易很多。所以建議禁止掉admin賬號,轉而使用一個相對沒有實際意義的使用者名稱進行登入,避免被破解。
愛速特的admin僅用在訪問控制——本機使用者,點選admin後再點選編輯,然後勾選禁用磁賬號既可。
2,設定限時的臨時訪客賬號
我們現實中經常避免不了把NAS的資訊分享給朋友或者同事,亦或者出差的時候在並不能保證安全的網路上從外網甚至電腦上訪問自己家的NAS。這個時候用管理員賬號的話會存在一定的風險。這時候可以建立一個新的賬號,愛速特軟體上可以賦予這個賬號有限制的訪問時間,只要一過了這個時間,賬號自動失效。
可以給新賬號設定相應的使用空間限制,輸入0代表無限制,可以儲存全盤。
同時還可以設定這個新使用者的許可權,可以只給這個賬號開啟必要的訪問許可權。
app同理,可以限制這個賬號可以訪問的APP。
接下來我們就可以看到我們的NAS上現在的賬號情況了,包括臨時賬號的到期時間。
3,及時檢視系統狀極重要資訊
愛速特軟體的右上角有個類似小表的標誌,點選後可以新增響應的內容,可以看到資源監控、重要日誌、線上使用者、儲存管理員等資訊,一目瞭然的瞭解NAS目前的工作狀態,方便及時發現異常情況。
4,限制IP地址
攻擊NAS的源頭自然來自外網,如果說完全關閉外網訪問,那麼就只能去攻擊路由器,關於路由器的防護與設定由於不同產品功能和系統之間差異非常大,有興趣的大家可以針對性的去找一下。
愛速特在偏好設定中ADM Defender處可以設定網路防護和防火牆。這裡主要是針對外網訪問的IP進行限制。包括信任列表、黑名單、白名單等。如果你只有固定的外網訪問地址,比如單位地址,完全可以禁掉所有的IP地址,只允許單位的IP進行訪問。
或者只允許本地區的一個IP段進行訪問。
同時,如果你發現最近有一個固定IP或者IP段在不同的嘗試登入你的NAS,那麼也可以禁掉這個IP甚至這個IP段。
同時愛速特的系統中也有自動黑名單功能,對於多次嘗試登入且密碼錯誤的IP地址進行封禁,建議這個功能預設開啟。
5,保持軟體更新
每當遇到大規模的勒索病毒或者其他針對NAS的攻擊時,一般大廠都會比較及時的更新軟體,堵住安全漏洞,所以及時做出軟體更新也是非常重要的。
在偏好設定——ADM更新部分可以開啟更新提醒和每天、每週、每月檢測並自動更新,同樣的時間可以設定在凌晨不用NAS的時候。這樣整個過程完全不需要自己手動操作,就可以一直保持NAS系統處於最新版本了。
6,關於SSH、STFP服務
如果沒有需要的話可以關閉這兩項服務,保證系統更高的安全性。如果確實需要的話,SSH預設的埠是22,建議改成四位或者五位的隨機數字作為埠,提升外網攻擊時找到你的難度。
7,關於HTTP通訊埠
絕大多數的NAS的HTTP埠預設為8000,HTTPS為8001,可以修改這兩個預設埠號,減少被無差別攻擊的機會。另外建議HTTPS的加密保持開啟,且HTTP的登入自動轉向HTTPS,確保每一次外網的登入都是經過加密埠的。
在透過HTTPS登入的時候,愛速特的NAS預設了一個憑證,同時可以根據需要增加憑證。
三,總結
現在加入NAS這一市場的品牌越來越多,大家還是不要一味的根據配置和價格選擇,軟體方面雖然各有千秋,但是幾個大廠的軟體功能確實更加完善,更新也更加及時,這都是小廠或者非專業廠商做不到的。
比如愛速特特色的冷備份功能和一鍵備份功能給使用帶來了很多的便利,同時軟體方便有比較完善的磁碟診斷,安全防護設定,對於維護NAS系統和資料的安全都具有非常積極的意義。
最後還是那句,雖然是本文是關於愛速特的NAS的講解,但是這些方法實際上是所有NAS通用的,平時養成良好的使用習慣可以更好的保證我們的NAS安全的執行。
