最近群晖安安静静本本分分的运行着，直到昨晚临睡觉时一连串提醒使我失去了困意。一连串的国外IP一直在试图登录我的nas

群晖的基本安全设置修改

1️⃣禁用admin账户

DSM7默认就是禁用admin作为管理员账户的，如实DSM6或者升级到7的可以新建管理员后再禁用admin

局域网SMB访问请建立个小号，仅允许访问指定的文件夹，把重要文件和临时文件分开，防止局域网感染病毒！

局域网SMB访问请建立个小号，仅允许访问指定的文件夹，把重要文件和临时文件分开，防止局域网感染病毒！

局域网SMB访问请建立个小号，仅允许访问指定的文件夹，把重要文件和临时文件分开，防止局域网感染病毒！

2️⃣使用高强度密码

3️⃣修改等候超时

默认是网页上15分钟没操作自动退出登录，按需修改，时间太短会影响使用体验

4️⃣开启双重验证

DSM7的双重验证支持OPT验证码（Synology Secure SignIn或者Google Authenticator）

也支持硬件安全秘钥（x86机型才有），比如USB秘钥类（Fido2）的YubiKey、飞天Key

5️⃣关闭SHH访问

如确实需要使用，修改默认的22端口为10000以上的端口，并使用后及时关闭！

6️⃣对外端口映射

如有公网IP在路由器端口映射时对外不要使用默认的5000、5001、5005、5006、6690等！对外依旧建议10000以上的端口

7️⃣关闭root账户

非常不建议开启群晖的root账户，如必需用请修改为高强度的root密码，也可使用完毕后关闭！

或者直接关闭root登录

sed -i 's/PermitRootLogin yes/#PermitRootLogin prohibit-password/g' /etc/ssh/sshd_config

配置防火墙禁止国外IP

1️⃣启用防火墙

2️⃣编译配置文件default

新增防火墙规则，下面三个按需设置，设置禁止国外IP访问前 必需 先设置好 允许内网IP访问、允许中国IP！！！

允许内网IP访问

内网这个按照实际情况添加，如过多个IP段内网可以互访都要相应的加入，包括虚拟组网的IP段！

如何docker使用了bridge桥接网络，也需要添加到允许访问的名单内

允许中国IP访问

禁止国外IP访问

注意：排序永远是最后一个！

附：东北大学网络威胁黑名单系统

下载txt黑名单导入群晖系统的封锁名单：http://antivirus.neu.edu.cn/ssh/lists/neu.txt

注意：下载后编辑下，批量替换删除IP前面的 sshd: 再上传