经常在外网访问NAS的人应该有这样的经历，在消息通知中经常能看到群晖提示你某些ip被限制登录，如果出现这些提示你要小心了，说明有人正在暴力破解想要登录你的群辉，本篇文章从安全角度来告诉大家如何在外网更安全的使用nas，通过正确的部署下面的服务，你将避免百分之99.9 的外网攻击。

群晖安全顾问检查

安全顾问是群辉内置的一个套件，我们可以使用次套件来进行常规的登录检查，检查结果给出一个初步的报告大概告诉你那些不安全选项需要修改，根据建议进行修改即可。

关闭ssh并且改变常用的22端口

在我们折腾一些服务的时候经常需要使用群晖的终端（SSH），这里一定要注意不用的时候关闭ssh，我曾经有一次使用默认22端口忘记关闭了，一天封锁了10多个ip地址，另外强烈建议修改22端口为其他5位数以上的。

设置方法：
登录群辉控制面板→终端机和SNMP→去掉启动SSH功能的勾选

设置复杂的口令

这点应该是最简单也是最有效的方法，不要使用类似12345678、Abcd1234等弱口令，使用一个复杂的口令可有效的防止被暴力破解。

设置方法：
登录群晖，打开控制面板→用户与群组→选中需要修改的用户，点击编辑然后点击修改密码，按照引导要求修改即可。

禁用默认的管理员账户（admin）

在群晖初始化过程中会让你设置一个账户名，但是往往后后期折腾过程中，有些人启用了admin，这是非常危险的，请立刻停用外网中使用root、admin等管理员账号。
设置方法：

登录群晖，打开控制面板→用户与群组→选中需要需要禁用的管理员账户点击编辑，然后选择停用此用户账号（立即）点击保存。

设置自动封锁ip

在密码输入次数过多的时候可以，封锁次ip地址，可以有效杜绝暴力破解。

设置方法：

登录群晖，打开控制面板→安全性→防护，勾选启用自动封锁，设置尝试登录次数和时间（建议次数设置为10次以内，时间3分钟之内）

设置二次认证

设置二次认证是一个非常有效的安全验证藏方式，设置好以后在输入密码以后还需要输入一个6位数字的验证码或者在app上批准登录，另外验证码在app中是实时更新的（类似苹果双重认证），可以大大提高安全性。

设置方法：
1、登录群晖，打开控制面板→安全性→帐户→双重认证，点击个人设置→双重验证→验证码（OTP）。

2、弹出的界面输入群晖登录密码，然后点击确定。

3、阅读提醒以后继续点击下一步。

4、根据自己设备和二维码下载相关的手机app。

5、下载好app，之后继续点击下一步，会出现一个二维码，打开安装好的app（Synology Secure SignIn）,按照要求登录以后点击右上角的加号，扫描图中的二维码，得到一个6位数字填写到验证码中，然后点击下一步。

6、备用电子邮箱中输入自己绑定群晖账号的邮箱地址，如果手机设备丢失时候可以通过向邮箱发送验证码来登录，然后继续点击下一步。

7、点击完成并保存。

8、效果演示，设置好二次验证以后再登录群晖输入密码以后会再次弹出一个让你输入验证码的选项，虽然有些时候会不方便，但是贵在安全。

修改常用的端口

群辉内置的服务一般都会有自己的端口，不要使用默认的端口，对默认的端口进行修改，比如DSM默认使用的5000、5001登录端口。

设置方法：

登录群辉→控制面板→在DSM选项卡中修改默认的群晖登录端口，在应用程序中修改常用的套件登录端口

除了DSM默认的端口，其它套件建议使用别名登录，避免端口太多记重复了，加上别名以后访问方式为https:ddns地址：端口/别名。例子（https://qq.com:8888/file）

总结

经过以上的设置。我们就可以愉快的再外网玩耍nas了，但是要知道互联网没有百分之100的安全，为了个人数据的安全请不要再NAS上安装来历不明的套件，和docker服务，本期教程到此结束。