背景
受够了国内各大在线音乐服务商,准备使用群晖的 DS audio 搭建唯一的音乐库。群晖自带的 QuickConnect 不仅速度慢还特么要求绑定国内手机号提供给监管,去它姥姥的。只能采用端口转发直连方式,但是将群晖的服务默认端口(5000/5001)映射打开没多久后,就被黑产无差别的公网扫描盯上,来自全世界的 IP 潮水般得高频暴力常试登录。
无奈只好先断网,在群晖官网安全文档及 Google 帮助下,根据自己需求整理并实践了以下群晖安全设置。
一、路由器安全设置
一个安全的路由器是防护群晖的必要前提条件:
1、禁用路由器 admin 账户
2、每周定时重启,提升公网 IP 更换频率
3、开启防火墙功能,并启动 Dos 防护
4、关闭响应 ICMP Echo(ping)要求设置和SSH 远程登录服务(这两项最容易导致被黑产脚本探测攻击)
二、群晖安全设置
1、禁用 admin 和 guest 账户
常用用户名和弱密码是黑产的最爱,除了 admin 和 guest 外,也最好不要使用如 admin1 / user / root / login / system 等其他的常用被爆破账户名,甚至如果你的名字比较大众常见,如 wangwei / zhangwei 也是高危账户名。
群晖的默认 admin 账户不能直接禁用,需要先在 admin 账户下创建新账户后,切换登录到新建账户后再停用 admin 账户。
2、开启账户保护和自动封锁
群晖自带的功能,开启后可以通过限定登录次数和时间限制来封锁恶意尝试登录的 IP 。这里我采用了最简单粗暴的设置:将内网 IP 和特定访问 IP (公司电脑固定 IP 地址)加入白名单后(防止自己被禁),其他 IP 地址只要尝试登录一次失败后,即永久封禁 IP 。
3、关闭 SSH/Telnet 服务且不允许 DSM 被 iFrame嵌入(避免恶意网站的特定类型攻击)
4、将群晖 DSM 网页访问端口由默认端口 5000、5001 调整为不常用高位数端口(如 30000-65535 之间随机)
5、开启防火墙,开启拒绝服务 DoS 防护,并设置以下防火墙过滤规则:
- 特定 IP 地址(公司固定 IP)允许访问
- 内网 IP 端(192.168.0.0-192.168.255.255)允许访问
- 端口为 5000 与 5001 的 TCP 请求全部拒掉
- 其他 IP 地址访问的所有 TCP 请求全部拒掉