群晖系统安全设置禁止所有外国IP访问 添加网络威胁黑名单

群晖系统本身的安全设置能隔绝多数网络威胁,通过简单的设置只要不瞎搞基本能安全无忧!

注:本文内容大部分来自 无尽光芒 的 “群晖系统安全设置”PDF文档,暂未找到具体出处网址。

一、群晖的基本安全设置修改

1、禁用admin账户

DSM7默认就是禁用admin作为管理员账户的,如实DSM6或者升级到7的可以新建管理员后再禁用admin

2584009654.png

2、使用高强度密码

1104970198.png

3、修改等候超时

默认是网页上15分钟没操作自动退出登录,按需修改,时间太短会影响使用体验

2587833162.png

4、开启双重验证

DSM7的双重验证支持OPT验证码(Synology Secure SignIn或者Google Authenticator)

也支持硬件安全秘钥(x86机型才有),比如USB秘钥类(Fido2)的YubiKey、飞天Key

2296208027.png

906380087.png

5、关闭SHH访问

如确实需要使用,修改默认的22端口为10000以上的端口,并使用后及时关闭!

570795422.png

6、对外端口映射

如有公网IP在路由器端口映射时对外不要使用默认的5000、5001、5005、5006、6690等!对外依旧建议10000以上的端口

2129729179.png

7、关闭root账户

非常不建议开启群晖的root账户,如必需用请修改为高强度的root密码,也可使用完毕后关闭!

1
synouser --setpw root qpzm@1639&IMNKS.COM

或者直接关闭root登录

1
sed -i 's/PermitRootLogin yes/#PermitRootLogin prohibit-password/g' /etc/ssh/sshd_config

二、配置防火墙禁止国外IP

1、启用防火墙

208038144.png

2、编译配置文件default

新增防火墙规则,下面三个按需设置,设置禁止国外IP访问前 必需 先设置好 允许内网IP访问、允许中国IP!!!

允许内网IP访问

内网这个按照实际情况添加,如过多个IP段内网可以互访都要相应的加入,包括虚拟组网的IP段!

47474197.png

如何docker使用了bridge桥接网络,也需要添加到允许访问的名单内

1852161711.png

允许中国IP访问(如果要外网只能访问特定端口,不要添加这个!)

799088048.png

禁止国外IP访问(注意:排序永远是最后一个!)

3105674518.png

3483480270.png

三、添加网络威胁黑名单

东北大学网络威胁黑名单系统(已恢复访问) http://antivirus.neu.edu.cn/scan/

下载文本格式的黑名单导入群晖系统的封锁名单:http://antivirus.neu.edu.cn/ssh/lists/neu.txt

3367593950.png

3554383717.png

3523239348.png

四、安全顾问扫描

4132601483.png

182347195.png

本文来自https://imnks.com/6807.html

教程
#群晖 #安全 #软路由
群晖系统安全设置禁止所有外国IP访问 添加网络威胁黑名单
https://blog.quickso.cn/2023/12/12/群晖系统安全设置禁止所有外国IP访问添加网络威胁黑名单/
作者
木子欢儿
发布于
2023年12月12日
许可协议