theme: default themeName: "默认主题" title: "NAS被勒索软件锁了?你的群晖/威联通可能从一开始就没配对"
前言
NAS这东西,买回来接上电、设好RAID就觉得高枕无忧了?大错特错。笔者去年帮不下五家企业做过勒索后的数据恢复——有意思的是,这些企业无一例外都觉得自己"挺注重安全的",结果检查一圈下来,NAS的端口该开的全开着、admin账号密码弱得离谱、备份策略等于没有。
数据丢了找我们,花几万做恢复;当时配置好NAS,花几个小时。账怎么算都亏。
先搞清楚:NAS面临哪些威胁
NAS的安全威胁主要来自三个方向:
1. 网络暴露:DSM、QTS等Web管理界面默认通过HTTP/HTTPS暴露在局域网,部分用户还做了端口映射直接暴露到公网。Shodan上搜一下`Network Attached Storage`,暴露在互联网的NAS数量触目惊心。 2. 弱密码+暴力破解:勒索软件的前置攻击大量依赖弱口令扫描。攻击者知道家用/SMB NAS的管理后台路径就是`/admin`或`/webman/`,只要密码够弱,爆破成功率极高。 3. 漏洞利用:NAS系统也是Linux,同样面临漏洞问题。尤其是开启Docker、快照、远程访问等高级功能后,攻击面会显著扩大。第一件事:关闭不必要的服务
群晖(Synology)和威联通(QNAP)的默认安装通常把一堆服务都开着。这些服务用不上就是纯攻击面。
群晖需要检查的服务清单:# SSH/Telnet(用完即关,不要长期开放)
控制面板 → 终端机和SNMP → 取消启用SSH服务
FTP(明文传输,极度危险,除非你明确知道自己在干什么)
控制面板 → 文件服务 → FTP → 取消启用
rsync(备份用,但如果没用到,直接禁用)
控制面板 → 文件服务 → rsync
Telnet(默认应该是关的,确认一下)
# 控制台 → 系统 → Telnet / SSH
用完就关,启用后指定IP访问限制
远程访问(myQNAPcloud等):
控制台 → 系统 → 外网访问 → 审查每一个开启的服务
第二件事:强密码与账户策略
这是老生常谈,但执行率低得可怕。
账户配置原则:# 1. 禁用默认admin账户
群晖:控制面板 → 用户与群组 → admin → 停用
威联通:控制台 → 系统 → 用户 → admin → 修改为复杂密码或停用
2. 创建具有管理权限的新账户,命名不要有规律
好的例子:sunny_breeze_backup,old_pineapple
坏的例子:admin,manager,admin123
3. 密码策略(群晖 DSM 7.x)
控制面板 → 用户与群组 → 高级设置 → 启用密码规则
- 最少8字符
- 包含大写字母、小写字母、数字、特殊字符
- 禁止与用户名相同
- 密码过期:建议90~180天强制更换
# 群晖DSM 7.x:控制面板 → 账户 → 账户 → 双步骤验证
强烈建议用身份验证器App(Google Authenticator或Microsoft Authenticator)
不要用短信验证码(SIM卡劫持成本极低)
威联通:控制台 → 系统 → 安全 → 双步骤验证
第三件事:防火墙与访问控制
群晖自带防火墙配置:# 控制面板 → 安全 → 防火墙
建议:仅允许内网IP段访问管理界面
例如:
规则1:允许 192.168.1.0/24 → TCP 5000,5001 (HTTP/HTTPS管理)
规则2:允许 192.168.1.0/24 → TCP 22 (SSH)
规则3:允许特定IP(如VPN网关) → 所有端口
规则4:拒绝 → 所有端口(默认末尾添加)
对于不需要外网访问的场景:
控制面板 → 外部访问 → 路由器配置 → 删除所有端口转发规则
# 控制台 → 安全 → 防火墙
建议同样做来源IP限制
如果你需要在外网访问NAS,永远不要把NAS端口直接映射到公网。
# 方案1:Tailscale(最简单,5分钟搞定)
在NAS上安装Tailscale套件
用你的Tailscale账号登录,NAS就加入虚拟局域网
外网访问时,先拨Tailscale,再访问NAS的内网IP
完全不暴露任何端口到公网
方案2:群晖QuickConnect(官方方案,安全性中等)
启用QuickConnect后,群晖通过中继服务器转发数据
不需要路由器做端口映射
但建议同时开启双因素认证
方案3:自建WireGuard/OpenVPN(最安全,但配置稍复杂)
第四件事:权限管理——最小授权原则
常见错误:所有文件共享给所有人,一个账户通行所有权限。# 群晖权限配置:
控制面板 → 共享文件夹
原则:
- 每个业务线创建独立共享文件夹(例:财务资料/研发代码/市场素材)
- 每个文件夹只授权需要访问的用户
- 禁用"应用权限"中的admin全权访问
回收站设置(防止误删最后一道防线):
右键共享文件夹 → 编辑 → 启用回收站
设置保留期限(如30天自动清空)
禁用SMBv1(老旧协议,漏洞多)
控制面板 → 文件服务 → 高级 → 取消勾选"启用SMB 1.0/CIFS文件共享"
# 控制台 → 权限 → 用户/用户组
同样遵循最小授权原则
ACL类型选"高级权限模式"以获得更精细的控制
第五件事:备份策略(最后一道防线)
没有备份的NAS,在勒索软件面前就是待宰羔羊。
3-2-1备份原则:# 3份副本:原始数据 + 本地备份 + 异地备份
2种介质:NAS本地RAID + 外接硬盘或另一台NAS
1份异地:云端备份或异地NAS
群晖:Hyper Backup(官方套件)
配置定时备份到:
1. 本地另一块硬盘(USB外接)
2. 另一台群晖NAS(异地)
3. 云端(京东云/阿里云OSS/S3兼容存储)
威联通:HBS 3(Hybrid Backup Sync)
支持备份到本地NAS、远程NAS、云端(Rclone支持主流云)
# 群晖Hyper Backup支持备份加密
加密后备份包即使被拿走,没有密码也无法恢复
强烈建议开启,并使用强密码妥善保管密钥文件
密钥文件离线存储(纸质+保险柜)
第六件事:系统更新与漏洞管理
NAS厂商的固件更新频率并不低,但用户主动更新的意愿极低——很多人怕更新后出问题。
# 群晖DSM更新:
控制面板 → 更新和还原 → 手动下载更新
建议订阅Synology安全公告:https://www.synology.com/zh-cn/security
当出现"安全更新"类型的补丁时,48小时内必须打上
威联通更新:
控制台 → 系统 → 固件更新
建议开启自动更新(但生产环境建议先在测试机验证)
禁止开启的"高危功能"(除非你清楚自己在做什么):
- PHP(经常有漏洞)
- Perl
- 旧的Web服务器(Apache 2.2等)
- 未签名的第三方套件
实战检查清单
给你一个拿来就用的检查脚本,对着你的NAS逐项确认:
| 序号 | 检查项 | 操作 |
| 1 | admin账户已禁用或改名 | 控制面板 → 用户 |
| 2 | 管理密码符合强密码标准(12位+大小写+特殊字符) | 控制面板 → 账户 |
| 3 | 双因素认证已开启 | 控制面板 → 账户 → 双步骤验证 |
| 4 | SSH/FTP服务已关闭或限制来源IP | 控制面板 → 终端机 |
| 5 | 防火墙已配置,仅允许内网IP访问管理端口 | 控制面板 → 安全 → 防火墙 |
| 6 | 无端口映射到公网(或已改用VPN/QuickConnect) | 路由器设置 |
| 7 | 所有用户权限遵循最小授权原则 | 控制面板 → 共享文件夹 |
| 8 | 重要文件夹已启用回收站 | 共享文件夹 → 编辑 |
| 9 | 备份策略(3-2-1)已配置并测试过恢复 | Hyper Backup / HBS |
| 10 | 系统更新为最新版本,或近期有更新计划 | 控制面板 → 更新和还原 |
结语
NAS的安全配置,本质上是减少攻击面 + 限制访问来源 + 加密存储 + 可靠备份的组合拳。每一项单独看都不复杂,但加在一起就是一道有效的防线。
很多用户花了上万块买NAS,却舍不得花两个小时做安全配置。数据无价,别等中招了再后悔。
希望本文的教程对你有所帮助。如有疑问或需要专业技术支持,可通过以下方式联系我们:
📞 服务热线:13708730161 💬 微信:eyc1689 📧 邮箱:service@eycit.com
易云城IT服务,您身边的IT专家。