PALMisLIFE 討論區

標題: NAS 也有資安問題!在 QTS 與 DSM 中設定資安選項,強化... [列印本頁]

作者: amigoccs    時間: 2014-2-15 23:36
標題: NAS 也有資安問題!在 QTS 與 DSM 中設定資安選項,強化...
Dear all,

我快速寫了一篇 Synology Security Issue and How-to Harden your NAS,協助觀察,強化 Synology 與 QNAP 的資安設定。

1. 用 htop 而不是內建工具觀察
2. 讓自己不要成為軟柿子:設定登入重試延遲、限制 IP 存取、與設定防火牆規則

因為每家 NAS 的功能與彈性不一,有分開說明。而且,我也發現即使同樣是 QNAP,TS-269L 與 TS-119PII 的選項也不盡相同,只能先介紹大致設定的方向,細部還會有出入。

因為我手邊沒有 Synology 的機器,是參考該公司官網的 Live Demo 撰寫,我會在 2014/2/15 訂購一台 Synology 來研究確認。

Asustor 會在下週三 2014/2/19 拿到,文章也會繼續更新。

我的現金有限,無法每家都買來測試,深入資安管理部份,請其他廠牌的網友自行參考摸索。

設定後記得使用 nmap 掃描可用服務,並利用 hydra 嘗試取得密碼,確認是否有效。

nmap -v -A [IP]
-v to provide more information
-A to detect OS

hydra -l engmode -x 7:7:a1 [IP] telnet -s [port number]
-l  to specific user name.
-x 7:7:a1 for mask of combination beginning with minimum and maximum for 7 characters and mix letters without capital and numbers.
-s to specific port number.

詳細說明請參考 Find out more Available Service by your NAS

觀察 process 強力推薦 htop 或 atop!

QTS 本身的兩個 CPU 監控工具不如 htop 精巧好用,能同時觀察 thread, process, 與 memory 的狀況。

安裝很簡單,只要用 ipkg install htop,安裝後以 htop 指令執行。詳細的安裝與操作請見 Linux Processor Viewer with Thread Support

Hacker New Kansai 的朋友 Francisco 推薦我使用 atop,可已將紀錄結果寫入 Log,非常方便!他也可以用 ipkg 安裝!

只要您的 NAS 有支援 ipkg 安裝套件,就可以試試看!

如果對您有幫助,請給我一點分數鼓勵,好讓我可以升級會員等級,謝謝!

Wish it helps!

Best regards,

Amigo

作者: amigoccs    時間: 2014-2-23 17:34
Dear all,

因為有網友反應希望知道在 DSM 4.3 如何設定防火牆,我已經更新內容,協助您快速叫出選單。

Synology 的 5.0 Beta 與 4.3 不僅僅是設定的位置不同,可設定項目也不同,我有寫出兩者的比較。

在這次重新改版的過程,加入了下面的新資訊:

1. Asustor ADM 的資安設定
2. Synology DSM 4.3 的資安設定
3. 挪威網友 Clas Mehus 在 LinkedIn 發表的主題下的 comments 與趨勢判斷
4. 如何修改 web admin 的 port number 設定

詳細請參考 Synology Security Issue and How-to Harden your NAS

Best regards,

Amigo




歡迎光臨 PALMisLIFE 討論區 (http://f.pil.tw/) Powered by Discuz! X2.5