安全顾问 (Security Advisor) 深度指南:不仅是体检
Security Advisor (安全顾问) 是群晖 DSM 内置的自动化安全审计工具。它不仅仅是一个简单的“杀毒软件”,而是一个全面的系统配置检查器,能帮你发现潜在的安全漏洞、弱密码和恶意软件。
大多数用户只在刚买回来时跑一次,然后就忘了。这是不对的。黑客攻击手段在变,你的系统配置也在变,定期的安全审计是必须的。
1. 扫描配置文件 (Security Baseline)
Security Advisor 提供了两套基线标准:
- 家庭和个人使用 (Home):相对宽松。允许一些方便但略有风险的设置(如较弱的密码策略)。
- 工作和商业使用 (Work):严格。强制要求强密码、禁用默认 admin、开启 DoS 保护等。
建议:无论你在家还是公司,强烈建议选择“工作和商业使用”。安全不分家,家用 NAS 也是勒索病毒的重灾区。
切换配置文件
- 打开 Security Advisor。
- 点击左侧 高级设置。
- 在 安全基线 中选择 工作和商业使用。
2. 自定义检查清单 (Custom Checklist)
有时候“工作”模式太严格了,比如你必须用 SSH 的 22 端口(虽然不推荐),或者你需要保留某个特定的弱密码账户。你可以自定义检查规则,避免每次扫描都报警。
- 高级设置 > 编辑检查清单。
- 系统:
- SSH 端口:如果你一定要用 22 端口,可以取消勾选“SSH 端口未更改为默认值”。
- HTTP 端口:如果你不想改默认的 5000/5001,可以取消勾选。
- 账户:
- 密码强度:可以调整密码长度要求,或者豁免某些用户。
- 恶意软件:
- 重要:务必勾选“检测恶意软件”和“系统文件已被修改”。这是发现挖矿病毒和勒索软件的第一道防线。
3. 关键检查项解析
A. "系统默认 admin 账号未禁用" (Critical)
- 风险:
admin是黑客暴力破解的首选用户名。一旦攻破,拥有最高权限。 - 修复:创建一个新的管理员账号(如
myadmin),登录后在 控制面板 > 用户与群组 中禁用admin。
B. "SSH 端口未更改" (Warning)
- 风险:22 端口是全网扫描的重灾区。不改端口,你的日志里每天会有几万条
Failed password for root。 - 修复:控制面板 > 终端机和 SNMP > 修改端口(如
2222)。 - 注意:改完端口后,SSH 登录命令变为
ssh user@ip -p 2222。
C. "LAN 服务可从 Internet 访问" (Warning)
- 风险:这通常意味着你开启了 UPnP,或者路由器把 NAS 的某些端口(如 SMB 445)暴露到了公网。
- 修复:
- 检查路由器设置,关闭 UPnP。
- 检查 NAS 控制面板 > 外部访问 > 路由器配置,确保没有奇怪的端口映射。
- 绝对不要把 SMB (445/139) 暴露到公网,勒索病毒最爱。
D. "系统文件已被修改" (Critical)
- 风险:如果不是你手动修改了系统文件(如修改了
/etc/hosts或安装了第三方驱动),这通常意味着系统被入侵或中了 rootkit。 - 修复:
- 回顾最近是否安装了第三方社群套件(有些套件会修改系统文件,属正常误报)。
- 如果没做过操作,立即断网,联系群晖技术支持。
4. 自动化扫描与报告
不要依赖手动扫描,人是会懒惰的。
- 高级设置 > 扫描计划。
- 启用扫描计划:
- 频率:建议 每天 或 每周(如周一凌晨 3 点)。
- 时间:避开业务高峰期。
- 报告设置:
- 勾选 通过电子邮件发送月度报告。这样你每个月能收到一份安全体检单。
- 如果发现 严重 (Critical) 级别的风险,它会立即通过 DSM 通知中心(邮件/微信/钉钉)报警。
5. 与日志中心 (Log Center) 的联动
Security Advisor 的扫描结果也会记录在日志中。
- 场景:你想知道什么时候开始出现“密码强度不足”的报警?
- 操作:打开 日志中心 > 日志搜索 > 选择 Security Advisor。
- 分析:如果发现某个账户反复出现“密码强度不足”或“登录失败次数过多”,可能是该用户被针对了,或者用户安全意识薄弱,需要强制重置密码。
6. 误报处理 (False Positives)
有些报警是“误报”,或者说是“有意为之”。
- 示例:你安装了
Transmission或ZeroTier,Security Advisor 可能会报“发现未知的第三方程序”或“系统文件修改”。 - 处理:
- 确认该程序是你自己安装的。
- 在扫描结果中,点击该项目。
- 选择 跳过 (Skip)。
- 以后扫描时,这个项目会被标记为“已跳过”,不再报警,也不会影响整体安全评分。