勒索病毒来临,如何为群晖 DSM 系统开启账号二次验证
前几天,群晖发布了紧急安全公告:Synology 建议用户立即检查系统设置,防范恶意攻击。实际上就是提醒用户:对抗加密勒索软件的自我防护。
而很久未收到邮件的黑群论坛 XPEnology 也发来了安全警告邮件:
看起来,中招的人数不少…
但注意,这次的加密勒索攻击是针对市面上的很多 NAS 设备,以暴力破解密码,而非通过系统安全漏洞。之后,加密勒索病毒会加密你在 NAS 上的文件,然后索取比特币,以换回数据。目前很多安全公司针对加密勒索病毒的解决方案就是支付赎金…所以,趁早准备。
二次验证
由于是暴力破解密码,所以弱密码肯定不再安全,或者说只有一个密码都不再安全。一个很有效的解决方案是开启二次验证,在输入密码之后,需要再次输入一个根据时间生成的验证码,会让暴力破解无从下手。
如何开启群晖 DSM 二次验证
要开启 DSM 的二次验证,需要先启动电子邮件通知,以便用来接收二次验证设备遗失后的紧急取回密码。
在 DSM 的控制面板 > 通知设置 中,打开启动电子邮件通知,然后输入你的邮箱 SMTP 信息,目前 QQ 邮箱、网易邮箱都支持 SMTP,但都需要在邮箱的设置页面打开此功能。
但请注意,该邮箱最终会救命,但如果邮箱泄漏,哦喉…
所以,请尽量使用单独的邮箱,未暴露过的邮箱,以及一个安全的收信人的电子邮件地址,否则二次验证形同虚设。即你可以为 DSM 单独申请一个邮箱,一个任何人都不知道的邮箱地址,尽可能的保证安全。
开启二次验证
入口位于 控制面板 > 用户账号 > 2 步骤验证,请自行考虑是否针对所有用户开启。建议至少为管理器开启二次验证。
该二次验证基于开源的 Google Authenticator,任何客户端都可以,比如 1Password 也是支持的。
请注意,开启二次验证之后,每一个用户下次登录时就需要配置二次验证了,请与这些用户沟通好
最后,开启二次验证之后,也不能高深无忧。对于暴露在公网上的 DSM,首要修改默认端口,尽可能启用 HTTPS,安全的路上没有尽头。