NAS 上線的那一刻起,它就不再只是一個硬碟盒,而是一個暴露在數位世界裡的節點。作為開發者,這件事我必須講清楚:「便利性不應以安全性為代價。」在享受私有雲帶來的自由之前,你需要先把護城河築起來。
1. 兩步驟驗證:密碼不是唯一的防線
密碼是第一道關卡,但往往也是最脆弱的一環。一組密碼可能因為其他服務外洩而間接暴露,這時你的 NAS 就成了攻擊者的目標。透過 Synology Secure SignIn App,你可以讓每次登入都需要手機確認——即便密碼外洩,沒有你的手機確認就進不去。
設定方式很直接:進入「控制台 > 安全性 > 帳號」,開啟「2 步驟驗證」,掃描 QR Code 綁定 Authenticator App(推薦 Synology Secure SignIn 或 Google Authenticator)。整個步驟大概五分鐘,卻能把帳號安全性提升好幾個數量級。
2. 防火牆與自動封鎖:讓機器替你擋掉暴力攻擊
2FA 保護的是帳號,但你還需要一道機制來阻擋那些不斷嘗試密碼的自動化攻擊。DSM 的「自動封鎖」功能就是為此而生——設定在幾分鐘內登入失敗超過幾次,就自動封鎖那個 IP,簡單有效。
除此之外,在「控制台 > 安全性 > 防火牆」裡建立規則,只允許你信任的 IP 區段連進來,沒有規則允許的全部拒絕。特別是當你的 NAS 對外開放了任何連接埠時,防火牆就是那道最後的物理屏障。
3. Synology Drive:你自己的私有 Google Drive
安全防護設定好之後,是時候部署第一個真正改變工作效率的套件了——Synology Drive。它做的事和 Google Drive 幾乎一模一樣:電腦上的特定資料夾自動同步到 NAS,任何設備打開都是最新版本。核心差異在於,所有資料都存在你自己的硬碟裡,不受雲端服務條款限制,也沒有月費。
安裝完「Synology Drive Server」套件後,在電腦上裝好桌面客戶端,選擇要同步的資料夾,完成。整個設定大概十分鐘,之後就全自動了。如果你在多台電腦之間切換工作,Drive 的版本記錄功能(最多保留 32 個版本)還能讓你輕鬆找回誤刪或覆蓋的舊版檔案。
[開發者私房話]
「我做過很多次資安審查,最常遇到的問題不是技術漏洞,而是習慣問題——帳號叫 admin、2FA 嫌麻煩所以跳過、防火牆設了又開了一堆例外。事實上,針對家用 NAS 的攻擊大多不複雜,靠的是自動化掃描加暴力破解。設好 2FA 和自動封鎖這兩件事,大概五分鐘,就能擋掉九成以上的機器人。安全不需要做到完美,只需要比沒設防的人多走那幾步。」
