我们先来看一个软件公司的对项目数据的担忧:
题主又说:“我们做的是比较创新的东西,对数据的安全性比较敏感一些,因为听过一些业内大公司初期都有电脑直接被人抱走的血泪史。”
这里,广大群晖
用户遇到了一个平时容易被忽略的问题:群晖DSM系统有严密而周到的数据保护和安全管理体系,能够防范和阻止来自网络空间的虚拟窥探和攻击。但是,假如服务器被人直接盗走,该如何保护NAS硬盘上的数据呢?针对这种物理攻击,群晖科技也提供了万全的保护机制:
数据加密已经成为网络数据安全的重要策略。加密可保护敏感数据,防止其遭到黑客攻击并被滥用于非法目的,还有助于保护计算机免受病毒和系统漏洞的侵害。为了保持个人数据安全并远离潜在的恶意用户,DiskStation Manager (DSM) 采用了称为高级加密标准 (AES) 的加密技术,通过一套加密密钥,以加密格式存储您的数据。此外,DSM 提供共享层级 AES 256 位加密功能,可阻止未经授权的访问尝试。
什么是 AES?高级加密标准 (AES) 是用于电子数据加密的一种规格。AES 自 2001 年起被美国政府采用,目前在世界各地广泛使用。AES 执行对称性算法,因此加密/解密需要相同的加密密钥。没有密钥,加密的数据将无法访问,从而确保信息的安全。
本文将分享如何对群晖NAS上的共享文件夹进行加密和解密,并对需要注意的问题进行讨论。
群晖DSM系统是通过对共享文件夹的加密来实现敏感数据保护的。
共享文件夹是群晖NAS中的基本存储单位,我们可以根据内容和用途来创建不同的共享文件夹,比如work、photo、video等等,并为应用和用户设定访问权限。
对不同的共享文件夹,可以分别进行加密,并设定不同的密钥。
登录DSM系统,点击File Station,进入DSM的文件管理器,点击左上角的新增-新增共享文件夹。
进入共享文件夹创建向导,一步一步进行设置。
为新增的共享文件夹命名。
勾选:在“网上邻居”隐藏此共享文件夹。
勾选:对没有权限的用户隐藏子文件夹和文件。
启用回收站。
勾选:加密此共享文件夹。
然后,设定加密密钥,再次输入以确认。
密钥长度最少为8位字符。请一定记住或者导出密钥,否则数据将无法恢复。
高级设置,此处可根据个人需要勾选相应项目。
如:启用数据总和检查码(数据校验码)以实现高级数据完整性。
确认页面,在完成创建加密的共享文件夹前,再查看一下任务概览,看该加密设置是否满足了我们的要求。
弹出提示信息,再次警告:
如果遗失了加密密钥,加密过的文件数据将无法挽回。强烈建议您保存密钥。
共享文件夹经过加密后,性能将会降低。
加密共享文件夹中的文件或文件夹的名称不可超过143个英文字符或47个亚洲(中日韩)字符。
点击是,继续。将完成加密共享文件夹Lifeisgood的创建。
创建后,我们将会看到两件事情。
第一件事:加密共享文件夹Lifeisgood被创建后,自动进入用户权限设置页,这里可以对各用户设定能否访问、读写该新增的加密文件夹。
DSM默认的权限已经比较合适,比如:管理员是可读写,guest是禁止访问等等。
对于NAS的其他用户,默认权限均为禁止访问,读者可根据自己的需求分别设定。
第二件事:一个名为Lifeisgood.key、长度42字节的密钥文件将会自动下载,请妥善保存。
此时,在控制面板-共享文件夹页面,我们能看到新增的加密共享文件夹Lifeisgood,特征是图标右下角有一把锁。
通常,我们对加密/解密的理解是:
解密:当需要使用时,需先输入密钥;解密后,才可以打开文件或文件夹。
加密:关闭文件或文件夹后,自动处于加密状态,无密钥则不能打开。
而对群晖NAS的加密共享文件夹,概念和操作上稍有不同,这里我们要了解两个概念:
卸载:将加密共享文件夹从DSM的文件系统中移除,即使有权限的用户也无法再访问其中的子文件夹和文件。这相当于加密,但比加密更严格,因为文件系统的目录中,不会再出现加密共享文件夹Lifeisgood。看上去该文件夹消失了,当然,你的文件都还妥善地保存着。
装载:输入密钥后,加密共享文件夹将会添加到DSM的文件系统中,有权限的用户可以正常访问,这相当于解密。不同的是,一旦装载,在下次DSM系统启动前,无需再次输入密钥,加密共享文件夹Lifeisgood将一直可见。
通俗地说,这就是一般认为的加密操作。
在DSM桌面,进入控制面板-共享文件夹。
此时,加密共享文件夹Lifeisgood图标的锁是打开的,表示当前为装载状态,即可以访问的状态。如果用户到File Station中查看,是能看到Lifeisgood,并访问其中内容的。
在加密共享文件夹Lifeisgood上单击鼠标右键,在右键菜单中,选择加密-卸载。
图为确认后,Lifeisgood图标的锁是关闭的,表示当前为卸载状态,即加密、不以访问的状态。如果用户到File Station的目录列表中查看,已经看不到Lifeisgood文件夹了。
这是一般认为的解密操作。
在DSM桌面,进入控制面板-共享文件夹。
在加密共享文件夹Lifeisgood上单击鼠标右键,在右键菜单中,选择加密-装载。
输入密钥,或者导入刚才的密钥文件,点击确定。
挂载成功后,加密共享文件夹Lifeisgood图标的锁是打开的,表示当前为装载状态,即可以访问的状态。如果用户到File Station中查看,是能看到Lifeisgood,并访问其中内容的。
一些朋友对加密共享文件夹的概念和使用有点困惑,既然一经挂载即可使用,那么文件夹的加密作用在哪里呢?我的数据到底得到了严密保护没有?
其实,我们在“对群晖加密共享文件夹的理解”一节已经给出了部分解释。加密共享文件夹的目的是:针对服务器或者硬盘可能被盗的情况,在加密后,即使攻击者将硬盘挂载到其他设备、或者试图在服务器上读出你的文件,只要没有密钥,一样无法破解加密、访问数据。
所以,共享文件夹的加密针对的行为不是每一次访问和打开文件夹,也就无需每次都输入密钥了。
群晖官方给出的解释为:加密文件夹的传输速度较慢是正常现象。加密会大大增加 CPU 工作负载并降低数据传输速率。若要增加吞吐量,可以考虑配备了硬件加密引擎的 Synology NAS。
我们可以在官网勾选感兴趣的多个型号,对比查看硬件规格。
图为DS 918+是支持硬件加密引擎(AES-NI)的。
本文是作者Lifeisgood的《群晖非官方入门手册》原创计划的一部分,将以知识卡片的形式,在每篇教程中分享一个群晖的关键技能,请大家多多支持!
联系客服