安全顾问 (Security Advisor) 深度指南：不仅是体检

Security Advisor (安全顾问) 是群晖 DSM 内置的自动化安全审计工具。它不仅仅是一个简单的“杀毒软件”，而是一个全面的系统配置检查器，能帮你发现潜在的安全漏洞、弱密码和恶意软件。

大多数用户只在刚买回来时跑一次，然后就忘了。这是不对的。黑客攻击手段在变，你的系统配置也在变，定期的安全审计是必须的。

1. 扫描配置文件 (Security Baseline)

Security Advisor 提供了两套基线标准：

家庭和个人使用 (Home)：相对宽松。允许一些方便但略有风险的设置（如较弱的密码策略）。
工作和商业使用 (Work)：严格。强制要求强密码、禁用默认 admin、开启 DoS 保护等。

建议：无论你在家还是公司，强烈建议选择“工作和商业使用”。安全不分家，家用 NAS 也是勒索病毒的重灾区。

切换配置文件

打开 Security Advisor。
点击左侧 高级设置。
在 安全基线 中选择 工作和商业使用。

2. 自定义检查清单 (Custom Checklist)

有时候“工作”模式太严格了，比如你必须用 SSH 的 22 端口（虽然不推荐），或者你需要保留某个特定的弱密码账户。你可以自定义检查规则，避免每次扫描都报警。

高级设置 > 编辑检查清单。
系统：
- SSH 端口：如果你一定要用 22 端口，可以取消勾选“SSH 端口未更改为默认值”。
- HTTP 端口：如果你不想改默认的 5000/5001，可以取消勾选。
账户：
- 密码强度：可以调整密码长度要求，或者豁免某些用户。
恶意软件：
- 重要：务必勾选“检测恶意软件”和“系统文件已被修改”。这是发现挖矿病毒和勒索软件的第一道防线。

3. 关键检查项解析

A. "系统默认 admin 账号未禁用" (Critical)

风险：admin 是黑客暴力破解的首选用户名。一旦攻破，拥有最高权限。
修复：创建一个新的管理员账号（如 myadmin），登录后在 控制面板 > 用户与群组 中禁用 admin。

B. "SSH 端口未更改" (Warning)

风险：22 端口是全网扫描的重灾区。不改端口，你的日志里每天会有几万条 Failed password for root。
修复：控制面板 > 终端机和 SNMP > 修改端口（如 2222）。
注意：改完端口后，SSH 登录命令变为 ssh user@ip -p 2222。

C. "LAN 服务可从 Internet 访问" (Warning)

风险：这通常意味着你开启了 UPnP，或者路由器把 NAS 的某些端口（如 SMB 445）暴露到了公网。
修复：
1. 检查路由器设置，关闭 UPnP。
2. 检查 NAS 控制面板 > 外部访问 > 路由器配置，确保没有奇怪的端口映射。
3. 绝对不要把 SMB (445/139) 暴露到公网，勒索病毒最爱。

D. "系统文件已被修改" (Critical)

风险：如果不是你手动修改了系统文件（如修改了 /etc/hosts 或安装了第三方驱动），这通常意味着系统被入侵或中了 rootkit。
修复：
1. 回顾最近是否安装了第三方社群套件（有些套件会修改系统文件，属正常误报）。
2. 如果没做过操作，立即断网，联系群晖技术支持。

4. 自动化扫描与报告

不要依赖手动扫描，人是会懒惰的。

高级设置 > 扫描计划。
启用扫描计划：
- 频率：建议每天或每周（如周一凌晨 3 点）。
- 时间：避开业务高峰期。
报告设置：
- 勾选 通过电子邮件发送月度报告。这样你每个月能收到一份安全体检单。
- 如果发现 严重 (Critical) 级别的风险，它会立即通过 DSM 通知中心（邮件/微信/钉钉）报警。

5. 与日志中心 (Log Center) 的联动

Security Advisor 的扫描结果也会记录在日志中。

场景：你想知道什么时候开始出现“密码强度不足”的报警？
操作：打开 日志中心 > 日志搜索 > 选择 Security Advisor。
分析：如果发现某个账户反复出现“密码强度不足”或“登录失败次数过多”，可能是该用户被针对了，或者用户安全意识薄弱，需要强制重置密码。

6. 误报处理 (False Positives)

有些报警是“误报”，或者说是“有意为之”。

示例：你安装了 Transmission 或 ZeroTier，Security Advisor 可能会报“发现未知的第三方程序”或“系统文件修改”。
处理：
1. 确认该程序是你自己安装的。
2. 在扫描结果中，点击该项目。
3. 选择跳过 (Skip)。
4. 以后扫描时，这个项目会被标记为“已跳过”，不再报警，也不会影响整体安全评分。