前言

Synology 致力推出高效能、低功耗、多功能、易於使用的NAS。多年來一直保持NAS 生產商的龍頭地位。於三月Synology 正式發佈旗下NAS的操作系統— Diskstation Manager 6.0 (DSM 6.0). 新增了內置Let’s Encrypt 簽發證書,支援 Btrfs 檔案系統, 進一步鞏固資訊的完整、機密及可靠性。 舊有功能如Mail Server、Video Station、Photo Station、Cloud Station、Cloud Sync等亦得到強化。
img

筆者有幸被選中參加這次HKEPC聯同Synology舉辦的DSM 6.0開箱文活動為大家詳細介紹DSM 6.0 的各種功能!
Synology借出DS216+ 和1TB WD NAS HDD作這次試用 img

安裝

馬上開始安裝,安裝過程十分簡單,免螺絲設計令單手也可輕易安裝硬碟
img img

開機後用官方提供的 Synology Assisant 成功找到NAS 。
img

連線後就會打開瀏覽器,看到你的NAS,之後當然馬上設定和安裝
img
img
按下立即安裝後便會開始下載和安裝,過程全自動,無需任何操作,耗時大約3分鐘。完成後可看到歡迎畫面!
img

下一步,再作一些帳號和系統設定
img
img

安裝過程便告一段落,成功進入到DSM系統中
img

安裝後發現DSM 版本是5.2 ,系統更新沒有6.0,官網上也找不到6.0下載。 之後去到官網論壇才得知,原來 DS216+ 和 DS716+ 可能在升級DSM 6.0途中凍結,就算升級成功,系統也不夠穩定,可能於使用中hang機。所以把DSM 6.0 暫時下架,避免打算升級的用戶受害。
修正後的6.0版本也不到一周就上架
img

DSM 6.0介面沒有大改動 ,可把元件回定在工作列,拖放到桌面建立捷徑,也可把建立群組,把多個捷徑放在一起。
img

打開左上角選單會顯示所有已安裝套件
img

硬碟檢查

當安裝完DSM 後,當然第一時間檢查硬碟是否正常,以免使用一段日子之後才發現硬碟有問題,到時就要花一輪功夫去移動資料和更換硬碟。

  1. 打開儲存空間管理員
    img

  2. HDD/SSD➡️S.M.A.R.T 檢測➡️選擇快速或完整檢測
    img

  3. 快速檢測大約五分鐘後就檢查完成,可以知道S.M.A.R.T健康狀態
    img

健康資訊中的總覽可以看到硬碟溫度、運作時間、壞軌數等。
img

S.M.A.R.T 資訊可看到CRC error, 斷電次數等的詳細S.M.A.R.T信息。
img

測試排程表可設定於指定日期時間自動進行硬碟檢測
img

可設定寄email通知硬碟健康報告,出現壞軌時讓用戶馬上採取相應措施。
img

Let’s Encrypt電子證書 加密網絡傳輸

隨着各種網絡騙案日增月益,很多瀏覽器都開始要求網站使用HTTPS,否則會顯示網站不安全,將來甚至無法瀏覽! 要使用HTTPS 必須擁有電子證書,DSM5只提供自簽發證書和匯入已有證書。因為自簽證書不是一張有效的證書,所以伺服器如使用了自簽證書,連線至該網站會顯示連線並不安全,用戶需把網站新增到倒外網站才能正常瀏覽。
img
img

DSM6.0開始內置支援簽發Let’s Encrypt的電子證書(也稱為憑證),讓用戶無需再使用自簽證書。

簡介一下Let’s Enceypt。 Akamai、Cisco、EFF、IdenTrustMozilla等不同機構的人員為了提升大眾網絡安全組成了Internet Security Research Group (ISRG),而let’s encrypt就係ISRG旗下免費電子證書頒發機構。而他們的贊助者不乏Facebook,HP, Google chrome等大機構. 因此比其他機構頒發的免費證書認受性高,網站使用了let’s encrypt 的證書後就算在安全設定較嚴格的裝置也不會提示用戶網站不安全,減少受攻擊的風險!

使用DSM5或以前版本的用戶想取得Let’s Encrypt的證書可到官網https://letsencrypt.readthedocs.org/en/latest/using.html 參考申請步驟。雖然已比不少其他發證‌機構簡單,不過過程仍然要手動打指令及安裝GIT,對用戶可能仍然比較復雜。

利用DSM6.0申請過程十分方便、快捷、最重要是完全免費。

  1. 開啟控制台》安全性》憑證
  2. 新增➡️新增憑證➡️從Let’s Encrypt 取得憑證
    img
  3. 輸入網域名稱(可使用DDNS網址),電子郵件。主體別名如沒有需要可以留空
    img
  4. 由於不會發出email 作驗證,所以最好認資料正確,之後按套用
  5. 等大約一分鐘後就可取得憑證
    img

可設定將http 自動轉向https連接
img

整個過程不到三分鐘,比沖杯麵的時間還短。取得證書後,DSM的各種服務都享有安全又可靠的加密連線,避免資料傳送中被截取和受到 man-in-middle attack(中間人攻擊) 。

不過證書有效期較短只有3個月,Synology NAS會於到期前自動續約, Let’s Encrypt也會於到期前寄email提醒用戶。 img

Docker DSM

(20年7月更新: Docker DSM 在新版已被取消)

Docker 近年來一種很熱門的虛擬化技術,有別於其他虛擬化技術,Docker並不需安裝guest OS ,再在guest OS執行程式,Docker利用本身的引擎和OS檔案,直接執行程式,大幅提升效率。不過由於使用上較複雜,以往對一般家庭用戶比較陌生。
DSM 6.0 新增了 Docker DSM,讓一般用戶也有機會用上 Docker。Docker DSM 簡單說明就是在DSM 中用虛擬化技術再部署一個DSM。下面列舉了一些Docker DSM用途。

  • 在Docker DSM中測試功能,又不想影響到主DSM(例如我就在Docker DSM中測試病毒防護能力,就算中毒也不會傳染到主DSM)
  • 多個完整權限用戶,又不想DSM設定和檔案被彼此修改,讀取等,就可建立Docker DSM,把用戶分隔開
  • 相同套件,不同設定(如在主DSM中建立了一個DNS server,把廣告和追蹤導向無效的ip,從而達到阻擋廣告,追蹤的功能,不過也因此部分網站可能無法顯示,這時便可Docker DSM建立一個無阻擋的VPN,讓網頁正常瀏覽。)
  1. 套件中心安裝Docker ,之後打開
  2. DSM➡️新增➡️輸入名稱,按需求設定硬件資源限制和權限
    img
  3. 設定網絡連線
  4. 選擇儲存空間和輸入資料夾名稱,空間配額
    img
  5. 下載安裝檔。 我選擇從Synology下載時,永遠卡在1%,只好選擇手動下載再上載到DSM
    img
  6. 確認輸入資料無誤後套用,Docker DSM就新增成功。按右方開關鍵便可啟動
    img
  7. 等幾分鐘讓初始化完成後便可連線,進行DSM初次運行設定後便可見到熟悉的介面,可以任意使用。Docker DSM的使用和設定與一般的DSM無大差異,不過Docker DSM中就不可再安裝Docker。另外要注意DS216+只有一個授權,也就是只能擁有一個Docker DSM,若要更多授權便要向Synology購買。
    img

病毒防護

近年來勒索病毒大行其道,周不時都看到不少用戶,甚至商業和政府機構都中招,中毒後會將檔案以非對稱方式加密,用戶需在指定日期前交贖金,不然會把解密key刪除,檔案以後幾乎無法復原,所以部用受害者會選擇交贖金解鎖檔案。亦因製毒者有利可圖,病毒產生成千上萬變種,針對不同平台和漏洞。 擁有龐大裝機數的Synology NAS 當然也難免成為眾矢之的,於前年受到勒索病毒 Synolocker、殭屍病毒等影響,幸好Synology也很快推出系統更新,避免災情擴散。

今次用以下幾隻Linux 和Windows的病毒測試一下DSM 防毒能力 TeslaCrypt Linux.DDOS.Flood.J Linux/ADM worm Trojan MSIL/Agent.FV Trojan Win32/Dynamer!ac

病毒壓縮檔透過「檔案請求」功能上傳到NAS,再用FIle Station解壓縮。 img

之後檢查一下系統資源,目錄資料夾和檔案,病毒沒有在DSM中運作 。 img

不過如果,電腦下載NAS中的病毒檔案,電腦也有可能會中招。DSM本身沒有預設啟用防毒軟件,要掃描病毒,就要到套件中心下載防毒軟件。 提供了兩款防毒軟件可選擇。
先測試免費的Antivirus Essential ,進行掃描時一直卡在「初始化」中,
img

等了一個鐘也沒有動靜,只好放棄
img

改用 Antivirus by McAfee
img 有30天試用,過後就要收費
img

進行完整掃描後很快就找到所有病毒,把它們放到隔離區
img

部份zip檔因加了密,所以未能掃瞄到有毒
img

Antivirus by McAfee不只掃描到危害Linux的病毒,也能找出危害其他OS的病毒,免於因下載病毒檔而中毒。如果NAS有經wan上下載檔案,最好在DSM安裝防毒軟件並設定排程掃瞄,已免被有心人利用上載一些有害軟件。