Synology NAS 資安設定清單:架好之後這 10 件事一定要做
很多人買了 NAS,把硬碟裝好、DSM 裝完、開通 QuickConnect,就覺得設定完成了。
但這時候的 NAS,基本上用的是出廠預設——管理員帳號是 admin、防火牆沒開、登入沒有限制次數、通知也沒有開。
這篇整理了 10 個最重要的資安設定,每項都能獨立完成,花幾分鐘就能讓你的 NAS 明顯更難被入侵。
🎯 這篇適合誰
| 你的情況 | 建議先看哪段 |
|---|---|
| 想先看全部要做什麼 | 快速總覽 |
| 剛買 NAS 不知道從哪開始 | 1. 停用或改名預設 admin 帳號 |
| 還沒開 2FA | 2. 開啟雙因素驗證(2FA) |
| 想設定防火牆 | 4. 開啟防火牆 |
| 用 SSH 想更安全 | 7. 限制 SSH 的使用方式 |
📋 快速總覽
| # | 設定項目 | 難度 | 重要性 |
|---|---|---|---|
| 1 | 停用或改名預設 admin 帳號 | ★☆☆ | 極高 |
| 2 | 開啟雙因素驗證(2FA) | ★☆☆ | 極高 |
| 3 | 設定登入嘗試限制 | ★☆☆ | 高 |
| 4 | 開啟防火牆 | ★★☆ | 高 |
| 5 | 關閉不必要的服務和連接埠 | ★★☆ | 高 |
| 6 | 更新 DSM 和套件 | ★☆☆ | 高 |
| 7 | 停用 Telnet / SSH(或限制使用) | ★★☆ | 中高 |
| 8 | 設定安全建議檢查 | ★☆☆ | 中 |
| 9 | 開啟登入通知 | ★☆☆ | 中 |
| 10 | 備份設定檔 | ★☆☆ | 中 |
1. 停用或改名預設 admin 帳號
這是最常被忽略、也最重要的一步。
攻擊者暴力掃描 NAS 的第一步,就是嘗試 admin 這個帳號。如果你的 admin 帳號還在用,等於讓對方省去一半工夫。
做法
- 控制台 → 使用者與群組
- 新建一個你自己的管理員帳號(名稱不要用 admin、administrator、root)
- 用新帳號登入,確認能正常進入 DSM
- 回到使用者列表,停用
admin帳號(選停用,不是刪除,避免某些系統功能出問題)
如果你的 DSM 版本在安裝時要求你建立管理員帳號,可能已經自動停用 admin——但還是確認一遍比較安心。
2. 開啟雙因素驗證(2FA)
即使密碼外洩,有了 2FA,對方還是進不來。
DSM 支援 TOTP(Time-based One-Time Password),用 Google Authenticator、Authy 或 1Password 都可以。
還沒有密碼管理器?可以看 Bitwarden vs 1Password vs iCloud 鑰匙圈比較 選一個適合你的方案。
做法
- 右上角個人頭像 → 個人設定 → 帳號
- 找到「雙步驟驗證」→ 開始設定
- 掃描 QR Code,用 Authenticator App 驗證一組 OTP
- 儲存備用碼(很重要,手機遺失時用來救急)
強制所有帳號都用 2FA
- 控制台 → 使用者與群組 → 進階
- 勾選「強制使用者啟用雙步驟驗證」
- 可以設定例外(例如區網內的帳號不需要)
3. 設定登入嘗試限制
自動封鎖暴力嘗試登入的 IP,是最基本的防護。
做法
- 控制台 → 安全性 → 帳號
- 啟用「自動封鎖」
- 建議設定: - 登入失敗 5 次 - 時間內:10 分鐘 - 封鎖時間:永久(或 30 天)
封鎖清單在同一個頁面的「允許/封鎖名單」可以查看和管理。如果你自己不小心被封了,可以從區網內的另一台裝置進 DSM 解除。
4. 開啟防火牆
DSM 的防火牆可以限制哪些 IP 或服務能存取你的 NAS。
最低限度設定
- 控制台 → 安全性 → 防火牆
- 啟用防火牆
- 建立規則: - 允許來源:區網 IP 範圍(例如 192.168.1.0/24) - 連接埠:所有 - 動作:允許
- 最後加一條:拒絕所有其他來源
如果你需要從外部存取
只開放特定服務的連接埠,不要用「允許所有」:
| 服務 | 連接埠 |
|---|---|
| DSM HTTPS | 5001 |
| Plex | 32400 |
| WebDAV | 5006 |
| SSH(如果需要) | 自訂,不要用 22 |
如果你用 Tailscale 遠端存取,可以完全不用開 Port,防火牆只允許區網就夠了。這是最乾淨的方案。
5. 關閉不必要的服務和連接埠
預設狀態下,DSM 開啟了一些你可能用不到的服務,每個開著的服務都是潛在的攻擊面。
常見可以考慮關閉的服務
-
控制台 → 終端機與 SNMP - Telnet:明文傳輸,幾乎沒有理由留著,直接關 - SSH:如果你不需要遠端 Shell,也關掉;需要的話換成非標準 Port(見第 7 點)
-
控制台 → 外部存取 → DSM 設定 - HTTP 連接埠(5000):如果你只用 HTTPS,可以關掉 HTTP
-
套件中心 → 查看已安裝 - 把沒在用的套件停用或卸載,減少攻擊面
6. 保持 DSM 和套件更新
Synology 定期發布安全性修補,沒更新就等於留著已知漏洞。
做法
- 控制台 → 更新與還原
- 勾選「自動下載 DSM 更新」
- 可以設定在凌晨自動安裝(避免影響白天使用)
套件也要一起更新:
- 套件中心 → 更新
- 選全部更新
建議把 DSM 主版本更新留著手動做(跨版本更新風險稍高),但小版本安全修補可以開自動。
7. 限制 SSH 的使用方式
如果你需要 SSH 連進 NAS,預設的設定有幾個風險點要處理。
建議調整
換掉預設 Port 22:
- 控制台 → 終端機與 SNMP → 終端機
- 啟用 SSH
- 連接埠改成 1024–65535 之間的非標準數字(例如 2222、8822)
改用 SSH 金鑰驗證,停用密碼登入:
這需要用 SSH 連進去後編輯 /etc/ssh/sshd_config,把 PasswordAuthentication 改成 no。適合有一點 Linux 底子的用戶。
限制能 SSH 的 IP:
在防火牆規則裡,只允許你信任的 IP 存取 SSH 的 Port。
8. 執行安全建議檢查
DSM 內建了安全性建議工具,幫你掃描常見的設定問題。
做法
- 控制台 → 安全性建議
- 點「立即掃描」
- 依照清單一項一項處理
這個工具會列出像是「管理員帳號仍在使用」、「未啟用 2FA」、「防火牆未開啟」這類警告,是個快速檢查現狀的好方法。
9. 開啟登入通知
讓你知道有人(包括你自己或陌生人)登入了 NAS。
做法
- 控制台 → 通知
- 設定電子郵件通知(建議用 Gmail SMTP 或 Synology 的通知服務)
- 事件通知 → 勾選「使用者登入」和「登入失敗」
這樣一旦有異常登入嘗試,你會立刻收到信,而不是事後才發現。
10. 備份 DSM 設定檔
萬一設備出問題需要重裝,備份設定檔可以讓你快速還原所有設定,不用重新逐一設定。
做法
- 控制台 → 更新與還原 → 設定備份
- 點「備份設定」
- 下載
.dss設定檔,存到 NAS 以外的地方(電腦、雲端都行)
建議每隔幾個月或做重大設定更動後備份一次。
✅ 完成後的狀態
做完上面這些,你的 NAS 大致達到:
- 帳號安全:沒有預設 admin、有 2FA、暴力嘗試會被鎖
- 網路安全:防火牆開著、不必要的服務關閉、SSH 限制使用
- 持續維護:DSM 保持更新、有登入通知、有設定備份
這不是「絕對安全」,但已經比大多數家庭 NAS 的預設狀態強很多,足以擋掉大部分的自動化攻擊。
🔗 延伸閱讀
- 遠端存取 NAS 的三種方式比較:QuickConnect、DDNS、Tailscale
- Synology NAS 硬碟健康度檢查:S.M.A.R.T. 怎麼看、什麼時候該換
- Synology NAS 2FA + VPN + 防火牆:三層安全設定
- NAS 新手備份常見錯誤:你中了幾個?