跳转至

共享文件夹 (Shared Folder) 深度管理

共享文件夹是 DSM 的核心,所有文件都必须放在共享文件夹下。但除了简单的“新建 > 命名 > 确定”,还有很多高级玩法,能提升安全性和性能。

1. 加密与密钥管理 (Encryption)

数据安全第一条:如果 NAS 丢了,或者硬盘被盗,你的数据会泄露吗?

  • 传统加密 (文件夹级)

    • 原理:使用 eCryptfs 加密。每个文件独立加密,文件名也被加密。
    • 缺点:文件名长度受限(约 143 字符),性能损耗较大。
    • 优点:可以随时给现有的文件夹加密/解密。
    • 操作:编辑共享文件夹 > 加密 > 勾选“加密此共享文件夹”。
    • 密钥管理千万不要勾选“启动时自动装载”!如果勾选了,NAS 被偷走只要插上电就能看到数据。正确的做法是把密钥文件 (.key) 存在 U 盘里,每次重启后手动上传密钥解锁。

  • 现代加密 (卷级,DSM 7.2+)

    • 原理:基于 LUKS 的全卷加密。
    • 优点:性能损耗极低(几乎无感),文件名长度不受限,支持重复数据删除。
    • 缺点:只能在创建存储池/卷时开启,不能事后转换。
    • 建议:新买 NAS 或重装系统时,务必开启卷加密

2. 高级权限 (Advanced Permissions)

除了基础的用户读写权限,还有更细致的控制。

  • 禁止下载文件

    • 场景:想让员工看文档,但不能拷走。
    • 操作:编辑共享文件夹 > 高级权限 > 禁止下载文件(仅对 File Station 有效)。
    • 注意:这对 SMB/AFP 无效,必须配合防火墙禁止 SMB 端口。

  • 隐藏子文件夹和文件 (ABE)

    • 场景:部门文件夹里有 A、B、C 三个子文件夹,员工小明只有 A 的权限。开启此功能后,小明根本看不到 B 和 C 的存在,而不是看到但点进去报错。
    • 操作:编辑共享文件夹 > 常规 > 隐藏无权限的子文件夹和文件
    • 优点:保护隐私,界面清爽。

  • 禁止修改文件内容

    • 场景:WORM (Write Once Read Many) 归档。
    • 操作:高级权限 > 禁止修改现有文件

3. 回收站策略 (Recycle Bin)

误删文件是常有的事,开启回收站是必须的。但如果不清理,回收站会吃光硬盘空间。

  • 独立策略
    • 操作:编辑共享文件夹 > 回收站 > 勾选“启用回收站”。
    • 访问权限:勾选“仅限管理员访问”。这样普通用户删了文件自己找不回,必须找管理员,防止恶意清空回收站。
  • 自动清理计划
    • 控制面板 > 任务计划 > 新增 > 回收站。
    • 策略:保留 30 天内的文件,或者当空间不足时自动清理最旧的文件。

4. 文件压缩 (Btrfs Compression)

  • 原理:利用 CPU 算力换取硬盘空间。
  • 适用:文本、代码、数据库备份、日志文件。
  • 不适用:视频、音乐、已经压缩过的文件(zip/rar)。
  • 操作:编辑共享文件夹 > 高级 > 启用文件压缩
  • 注意:这是一个“透明压缩”,你感觉不到它的存在,但实际占用空间会变小。

5. 数据校验 (Data Checksum)

这是 Btrfs 文件系统的杀手锏。

  • 操作:创建共享文件夹时 > 高级 > 勾选 启用数据校验和以实现高级数据完整性
  • 作用
    1. 静默修复:读取文件时,如果发现数据损坏(位衰减),系统会自动利用 RAID 冗余数据修复。
    2. 快照依赖:只有开启了校验和,才能使用快照复制等高级功能。
  • 性能影响:会轻微增加 CPU 负担,但为了数据安全,强烈建议对所有文档、照片、重要数据开启。对从不修改的电影仓库可以关闭。

6. 文件夹配额 (Quota)

  • 场景:给每个部门分配 1TB 空间,防止某个部门把 NAS 塞满。
  • 操作:编辑共享文件夹 > 高级 > 启用共享文件夹配额
  • 注意:Btrfs 文件系统支持基于文件夹的配额,而 EXT4 只能基于用户配额。这是选择 Btrfs 的又一个理由。

7. WriteOnce (WORM) 合规存储

这是 DSM 7.2 的企业级重磅功能,防止数据被篡改或删除。

  • 场景
    • 合规要求:法律规定某些财务/医疗数据必须保存 5 年,期间不得修改。
    • 防勒索:即使黑客拿到了 admin 权限,也无法加密或删除 WORM 文件夹里的文件。
  • 模式
    • 企业模式 (Enterprise):管理员可以删除整个文件夹,但不能修改文件。适合内部归档。
    • 合规模式 (Compliance)任何人(包括管理员和 root)都无法删除或修改,直到保留期结束。一旦开启,连存储空间都删不掉,必须把硬盘拔出来格式化。慎用!
  • 操作:创建共享文件夹 > 勾选 使用 WriteOnce 保护此共享文件夹
  • 锁定策略
    • 自动锁定:文件上传后,如果 1 小时没修改,自动锁定。
    • 保留期限:例如 5 年。5 年后自动解锁。

8. 权限优先级 (Permission Priority)

当一个用户同时属于多个群组,且群组权限冲突时,DSM 怎么判断?

  • 原则禁止 (Deny) > 读写 (RW) > 只读 (RO) > 无访问 (NA)
  • 案例
    • 小明属于 HR 组(读写)和 Intern 组(禁止访问)。
    • 结果:禁止访问
  • 教训:尽量不要用“禁止访问”来管理权限,因为它的优先级太高,容易误伤。通常只给需要的组勾选“读写”,其他留空(默认为无访问)即可。

9. 存储空间分析 (Storage Analyzer)

如果你想知道 10TB 空间到底被谁占用了,不要一个个文件夹右键属性。

  • 工具:安装 Storage Analyzer 套件。
  • 功能
    • 生成报告:定期生成磁盘使用量报告。
    • 重复文件查找:找出 NAS 里重复的照片或文档,释放空间。
    • 大文件查找:一键列出所有超过 1GB 的文件。
    • 按用户统计:看看哪个员工占用了最多空间。