TIP#2227: Jak na bezpečnější QNAP NAS? Kompletní přehled nastavení a kroků k zabezpečení

Pokud provozujete QNAP NAS, tak je vhodné některé věci lépe nastavit, aby byl lépe chráněný. Neznamená to, že by snad byl se 100% jistotou bezpečný, vždy se může objevit bezpečnostní chyba, můžete vy sami udělat chybu, ale níže uvedená nastavení významně přispějí. 

Zákaz admin účtu už naštěstí QTS přímo podporuje při instalaci. Pokud byste admin účet k něčemu potřebovali, je možné ho dočasně povolit a poté opět zakázat. Uživatelé/Users -> Admin.

Založit si nový účet pro správu – bude mít práva správce a ten budete používat. K tomu také dochází při instalaci. A nic vám nebrání jich mít víc.

Heslo pro admin účet je velmi vhodné změnit – ve starších verzích bylo výchozí heslo admin, v novějších je heslem MAC adresa vašeho NASu. Nic bezpečného na tom není.  Nezapomeňte, že heslo pro admin účet je možné vrátit do původní polohy pomoci soft reset NASu.  Ke změně hesla se vrátí ještě samostatný tip, protože to není až tak triviální.

Neostýchat se používat Security Councelor aplikaci. Poradí vám i některé ze zde uvedených věcí. Stejně tak aktivujte Malware Remover a antivir – tam můžete jít do McAfee Antivirus (nutno koupit licenci) nebo zůstat u neplaceného Clam AV (stačí mít jen povolené, je součástí). Stejně tak si aktivujte QuFirewall

• Jaký antivirus pro QNAP NAS? A jak funguje McAffee Antivirus pro QNAP

Hesla pro všechny uživatele musí být silná. Pokud máte víc uživatelů, tak to lze vynutit v Password Policy (Ovládací panel/Control Panel -> System -> Bezpečnost/Security). Pamatujte, že vynucené změny hesla po určité době nejsou bezpečnostní opatření. 

TIP: Změna “stáje”.. Zprovoznění QNAP TS-364 a první zkušenosti

Máte-li NAS kdekoliv jinde než za domácím firewallem, tak rozhodně aktivujte dvou faktorové ověření (2FA).  Šikovným pomocníkem vám může být Bitwarden. A aktivaci najdete v Options přihlášeného účtu.

Aktualizujte, ale to platí u všeho software. Jak samotný NAS, tak aplikace. 

Nemějte aktivní žádné zbytečné služby – najdete Ovladací panel/Control Panel -> Network and File Services.  SSH si také povolujte jen když ho potřebujete.

Nemějte aktivní žádné zbytečné aplikace/servery – najdete v Ovládací panel/Control panel -> Aplikace/Applications.

Můžete změnit výchozí porty,  pokud máte někde “volně” dostupný NAS. Ale moc to stejně nepomůže, zpravidla si útočník nový port stejně najde. 

Webovou administraci si dejte na jiný port (tedy ne na 443, 80, 8080 ani 8081). Nezamezí to zkušenějším ji najít, ale ochrání před otravnými začátečníky. 

Ujistěte se, že blokujete přihlašování po určitém počtu selhání. U všeho, kde se přihlašuje.

Pokud k NASu přistupujete z pevné adresy, tak můžete omezit přístup jenom na určité IP adresy. Control Panel -> System -> Security -> IP Access Protection. Pokud jste aktivovali QuFireWall, tak tam.

Ještě lépe uděláte, pokud povolíte přístup jenom přes VPN, viz QVPN/Wireguard atd.

NAS v lokální sítí můžete omezit jen na přístup z IP adres v této síti. 

Zálohujte, samozřejmě, Jak jinak. Hybrid Backup Sync je dobrý pomocník. 

Nastavte si lépe i router – musí být sám bezpečný, vyplatí se zakázat UPnP (na QNAP je výchozí nastavení zakázano) a zkontrolovat jestli nemá otevřené nějaké porty, které by být otevřené neměly. 

Pokud nemusíte váš NAS vystavovat pro přístup z Internetu, je to jedno z nejlepších bezpečnostních opatření – tedy nevystavovat ho.

Jako všude i zde platí, že si nepořizujte aplikace z pochybných zdrojů. O tom odkud brát aplikace se dočtete v Kde brát aplikace pro QNAP?

Stejně tak platí, že je lepší nepoužívat myQNAPcloud

Další tipy týkající se QNAP NAS

Hardware QNAP