勒索病毒来临，如何为群晖 DSM 系统开启账号二次验证

Sharer: 小众软件 July 31, 2019 at 6:25 am

前几天，群晖发布了紧急安全公告： Synology 建议用户立即检查系统设置，防范恶意攻击 。实际上就是提醒用户：对抗加密勒索软件的自我防护。

而很久未收到邮件的黑群论坛 XPEnology 也发来了安全警告邮件：

看起来，中招的人数不少…

但注意，这次的加密勒索攻击是针对市面上的很多 NAS 设备，以暴力破解密码，而非通过系统安全漏洞。之后，加密勒索病毒会加密你在 NAS 上的文件，然后索取比特币，以换回数据。目前很多安全公司针对加密勒索病毒的解决方案就是支付赎金…所以，趁早准备。

二次验证

由于是暴力破解密码，所以弱密码肯定不再安全，或者说只有一个密码都不再安全。一个很有效的解决方案是开启二次验证，在输入密码之后，需要再次输入一个根据时间生成的验证码，会让暴力破解无从下手。

要开启 DSM 的二次验证，需要先 启动电子邮件通知 ，以便用来接收二次验证设备遗失后的紧急取回密码。

在 DSM 的控制面板 > 通知设置中，打开 启动电子邮件通知 ，然后输入你的邮箱 SMTP 信息，目前 QQ 邮箱、网易邮箱都支持 SMTP，但都需要在邮箱的设置页面打开此功能。

但请注意，该邮箱最终会救命，但如果邮箱泄漏，哦喉…

所以，请尽量使用单独的邮箱，未暴露过的邮箱，以及一个安全的 收信人的电子邮件地址 ，否则二次验证形同虚设。即你可以为 DSM 单独申请一个邮箱，一个任何人都不知道的邮箱地址，尽可能的保证安全。

入口位于控制面板 > 用户账号 > 2 步骤验证，请自行考虑是否针对所有用户开启。建议至少为管理器开启二次验证。

该二次验证基于开源的 Google Authenticator，任何客户端都可以，比如 1Password 也是支持的。

请注意，开启二次验证之后，每一个用户下次登录时就需要配置二次验证了，请与这些用户沟通好 😂

最后，开启二次验证之后，也不能高深无忧。对于暴露在公网上的 DSM，首要修改默认端口，尽可能启用 HTTPS，安全的路上没有尽头。