Antivirus essential synology не обновляется

Обновлено: 08.07.2024

Современный NAS вполне способен защитить себя от большинства атак и гарантировать не только непрерывность сервиса, но и неприкосновенность хранимых данных. Даже при осуществлении минимальных настроек и следованию рекомендаций производителя, NAS может стать неприступной крепостью для злоумышленника, настолько надёжной, что вы можете подключать устройство напрямую к сети Интернет без Firewall, оставлять буквально в неохраняемом месте (что актуально для периферийных инсталляций), будучи совершенно уверенным, что даже если его физически похитят, ваши данные не окажутся в руках конкурентов и не будут слиты в сеть.

По умолчанию все NAS-ы Synology с завода обеспечивают достаточный уровень безопасности, чтобы обеспечить сохранность данных, и более того, недавно у компании в состав операционной системы DSM был включён пакет Security Advisor, который сканируя настройки устройства, указывает вам на слабые места с точки зрения безопасности и предлагает где-то сменить пароль, где-то изменить настройки, чтобы защититься от потенциальных угроз. Для домашнего или даже SOHO-офиса этого более чем достаточно, но поскольку безопасность никогда не бывает лишней, в этой статье мы расскажем как именно Synology защищает ваши данные и как эту защиту сделать ещё более сильной.

При инициализации NAS-а на устройство скачивается и устанавливается самая свежая версия операционной системы, так что вариант устаревания ОС во время пути от производителя до заказчика исключается. По умолчанию в системе уже установлен пакет Security Assistant, который можно периодически запускать для сканирования системы на предмет уязвимостей. В нашем случае он при запуске обнаружил, что не настроено E-Mail уведомление о новых версиях DSM, и вот такие мелочи здесь никак не отключаются, так что схитрить ради заветных 100% защищённости не удастся.

1 - отключаем учётку Admin и настраиваем политику паролей

По умолчанию на NAS-ах Synology отключен терминальный доступ, а веб-интерфейс вынесен на порт 5000. Чтобы защититься от подбора пароля администратора, первым делом отключаем учётную запись admin / administrator, присваивая админские функции вновь созданному пользователю. В настройках пользователя можно задать политику для пароля, хотя настроек по умолчанию (8 символов разного регистра + цифры + спец.символы) будет достаточно.

NAS может интегрироваться не только в доменную службу Domain/LDAP, но и выступать как единое средство аутентификации, чтобы пользователь мог логиниться в другие приложения через Synology, как это сделано через Facebook и Google на различных веб-сайтах. Такой подход позволяет централизованно хранить учётные данные пользователя и снизить область атаки для похищения логина/пароля даже если брешь присутствует в других, сторонних приложениях.

2 - настраиваем беспарольную аутентификацию

Настройка проста: всё что нам нужно - это установить на смартфон нужного пользователя программу Synology SignIn, и в свойствах пользователя включить беспарольный вход. После этого сканируем сгенерированный QR-код из приложения, подтверждаем его в настройках NAS-а - и всё. Теперь при попытке войти в NAS вам предложено будет только ввести логин, после чего на смартфон будет отправлено уведомление с просьбой подтвердить вход на устройство. Но возможность аутентификации вводом пароля с клавиатуры остаётся как резервный вариант на случай если смартфон разрядился/потерялся и т.д.

2а (опционально) - настраиваем двухфакторную аутентификацию

Двухфакторная аутентификация реализуется средством приложения Synology SignIn, и является альтернативой для беспарольного входа. Для настройки производятся все те же шаги, что описаны абзацем выше, с той лишь разницей, что вместо подтверждения пароля, приложение на смартфоне генерирует 6-значный код, который нужно ввести в дополнении ко вводу пароля при доступе в веб-интерфейс. На случай поломки/утери телефона вам следует указать E-Mail для аварийного восстановления доступа.

Для некоторых доверенных устройств (личный ноутбук, рабочий компьютер) можно отключить проверку OTP-кода. Кстати, для генерации OTP-кодов можно использовать и программу Google Authentificator вместо Synology SignIn: точно так же сканируете пригласительный QR-код и просто добавляете Synology DSM к другим вашим сервисам (интернет-банкинг, вход в личный кабинет и т.д.): чертовски удобно.

Двухфакторная и беспарольная аутентификации работают только в пределах Web-интерфейса Synology: это полезно для таких встроенных приложений, как Web-почта, календарь, офисный пакет или чат. Да, всё это может быть запущено в пределах одного NAS, что избавит вас от зависимости от интернет-сервисов. Тем не менее, протоколы файлового и терминального доступа остаются зависимы только от пары логин/пароль, поэтому защита от перебора остаётся важным шагом в настройке безопасности.

3 - включаем защиту от перебора паролей

По умолчанию эта опция отключена, но Synology предлагает два уровня защиты. Первый - это временная блокировка самой учётной записи, на которую идёт атака. Это наиболее экологичный вид защиты, потому что если атакующий использует IP-адреса вашей подсети или подсети ваших клиентов, работа сервисов не пострадает.

Также можно по-старинке блокировать IP адреса атакующих, для чего открываем панель управления -> безопасность -> защита и включаем блокировку IP адреса при 10 ошибочных логинах в течение 5 минут. Удаление IP-адреса блокировщика можно поставить через 1-2 дня, и здесь же имеет смысл добавить локальные подсети или доверенные IP-адреса в белый список, чтобы исключить их блокировку, когда например зловред имеет своей целью специально заблокировать хост, выполняя бескнечный брутфорс NAS-а.

На этой же вкладке можно включить защиту от DoS атак без каких-либо дополнительных настроек.

4 - используем встроенный Firewall

В топовых NAS-ах Synology, монтируемых в стойку, поддерживаются функции проброса сетевого порта в виртуальную машину, запущенную на NAS через Virtual Machine Manager. Для каких-то особых ситуаций развёртывания инфраструктуры я рекомендую просто устанавливать в виртуалку PFSense или OPNSense, чтобы можно было пользоваться признанным во всём мире ПО для сетевой безопасности, но если такой возможности нет, встроенный Firewall не стоит сбрасывать со счетов.

По умолчанию он отключен, и буквально в несколько кликов можно закрыть доступ ко встроенным сервисам NAS-а из регионов, в которых у вас нет ни сотрудников, ни клиентов. Все используемые службами порты уже прописаны, так что выбираем все службы, и запрещаем для примера им доступ из Антарктиды, Анголы и некоторых других стран.

5 - настраиваем OpenVPN

Вообще, VPN-тоннели обычно реализуют с помощью программных или аппаратных шлюзов доступа, но каждый NAS от Synology может выступать как клиентом, так и сервером VPN: без зависимости от стороннего ПО, без лицензий и сложных настроек командной строки. Мы рекомендуем максимально заворачивать внешний трафик через VPN, даже если соединение итак защищено. В серверной части поддерживаются устаревший PPTP, быстрый и эффективный L2TP/IPsec и универсальный OpenVPN, который можно использовать не только по UDP, но и по TCP транспорту. Для максимальной безопасности имеет смысл поменять стандартный порт 1194 на произвольный.

Настройка VPN-клиента осуществляется в разделе сетевых подключений, и здесь так же доступны три типа туннелей: PPTP, IPSec и OpenVPN. Последний настраивается путём импорта .ovpn файла, без ручных настроек.

На данном этапе мы произвели все настройки, чтобы защитить учётные записи от попыток похищения пароля или взлома методом перебора. Ещё раз спешу заметить, что пока что наши действия относятся только к web-панели NAS-а, и не касаются хранимых на нём данных.

6 - кодируем Data at Transit для защиты от снифферов

Понятие Data at Transit охватывает любые данные, которые находятся буквально в проводах или в воздухе, то есть передаются между устройствами. Ещё совсем недавно в этой области данные не защищались, поскольку считалось что интранет является безопасной сетью. Наверное, по этой причине по умолчанию в Synology DSM «данные в полёте» не шифруются.

6а - включаем кодирование файловых протоколов

Файловый протокол Samba (SMB) или CIFS, который используется для подключения общих сетевых папок с NAS на компьютеры под управлением Windows и MacOS, поддерживает сквозное кодирование каждого запроса. На сервере Windows Server 2022 и в ОС Windows 11 применяются пакеты средств криптографической защиты AES-256-GCM и AES-256-CCM для защиты SMB 3.1.1. Windows будет автоматически согласовывать этот более сложный метод кодирования при подключении к другому компьютеру, который его поддерживает. Кроме того, этот метод можно сделать обязательным с использованием в групповой политики.

Современные процессоры, на которых построены NAS-ы Synology поддерживают аппаратное ускорение операций кодирование, поэтому влияние на производительность минимальное.

Обратите внимание, что протокол AFP для компьютеров Apple не поддерживает сквозную кодировку, по умолчанию он отключен и трогать здесь ничего не надо: «яблочные» компьютеры прекрасно справляются с работой по протоколу SMB 3.

Протокол NFS, часто используемый для Linux клиентов и гипервизоров VMware ESXi, так же по умолчанию не защищён. Это настраивается индивидуально для каждой папки и диапазона IP-адресов в закладке NFS Permissions. Здесь вам нужно создать определённое правило, в котором обязательно выбрать поле Kerberos privacy и отключить тип авторизации AUTH_SYS. После этого вам нужно импортировать ключи Kerberos, общие для всей службы NFS.

Для файлового обмена с простыми устройствами включаем FTPs (кодирование поверх FTP) и SFTP (передача данных по защищённому SSH туннелю), а для того, чтобы ваш NAS мог выступать средством хранения бэкапов с других Linux устройств, включаем протокол RSync, который так же работает по SSH. Здесь всё по умолчанию использует кодирование, и никаких настроек делать не нужно.

Обратите внимание - включение RSync и SFTP не означает включение терминального доступа по SSH, и если последний отключен, а первые два включены, то при подключении через терминал, соединение будет разорвано.

Осталось только настроить права доступа на общие папки, чтобы исключить возможность доступа с гостевой учётной записи, и почти всё закончено.

Практически, на этом защита «данных на лету» может считаться оконченной, и время перейти к самому важному, с моей точки зрения, элементу настройки.

8 - защищаем Data at Rest для защиты от кражи / изъятия

К «данным на отдыхе» относится вся информация, находящаяся на накопителях, независимо от того, лежит ли она в кэше или в хранилище, часто она запрашивается либо редко. Здесь Synology предлагает защиту папок общего доступа по стандарту AES-256, используя файловую систему eCryptFS поверх BTRFs или EXT4, в которой каждый файл кодируется индивидуально. Стойкость защиты подтверждена сертификатом FIPS 140, и кодирование настраивается индивидуально для каждой папки общего доступа в любой момент времени, в том числе после создания.

Данная защита помогает при физической краже NAS-а или накопителей: каждый раз при перезагрузке устройства, общая папка находится в неподключённом состоянии, и чтобы её содержимое было доступно, нужно вручную смонтировать её, введя сохранённый ключ.

Если зайти через терминал в неподключённую закодированную папку, то содержимое её будет выглядеть следующим образом:

Для закодированной папки недоступна функция сжатия данных, и некоторые сервисы, например Active Backup или Virtual Machine Manager не могут использовать её в качестве хранилища. Что же касается хороших новостей, то на таких папках поддерживаются снэпшоты (хотя их и нельзя просматривать), а так же кодировать можно гибридные папки, которые используются в качестве облачного диска на ноутбуках и смартфонах.

Вопрос: что делать с iSCSI?

Synology DSM не поддерживает защиту ни самих iSCSI LUN, ни их подключений, хотя технически возможно и то и другое. Поскольку по iSCSI предоставляется блочный доступ, то лучшее что вы можете сделать для защиты данных как на лету, так и хранящихся на устройстве - это защитить диски, располагаемые в LUN-ах средствами ваших операционных систем, к которым они подключены (Bitlocker или VeraCrypt для Windows и LUKS или ZFS для Linux). В этом случае данные будут надёжно защищены даже в случае перехвата трафика или доступа к NAS-у на физическом уровне.

9 - защита Data at Work

Ранее мы достаточно защитили все собственные сервисы Synology, запускаемые на NAS, но теперь пришло время позаботиться о сторонних программах, которые вы можете перенести в гипервизор Virtual Machine Manager. В NAS-ах, построенных на базе процессоров Intel, сохраняется опасность выполнения эксплоитов Meltdown и Spectre , благодаря чему заражённая виртуалка может получить доступ к данным в памяти другой виртуальной машины. Для предотвращения такой возможности компанией Intel внесены изменения в микрокод процессора, серьёзно замедляющие операции случайного чтения с дисковой подсистемы.

В Synology DSM защита от Meltdown и Spectre по умолчанию выключена, поскольку даже далеко не каждому гипервизору она требуется, а на скорость влияет ощутимо. Если вы планируете дать возможность пользователям запускать в виртуальных машинах, хостящихся на Synology собственный код, то проследуйте в панель управления, в закладку Security - Advanced и включите защиту от Meltdown и Spectre. Если вы точно знаете, что никаких сторонних программ никто в пределах виртуалок запускать не будет, можете этого не делать.

10 - защита архивных данных

Давайте разберёмся с шифрованием различных резервных копий, которые могут храниться на NAS-е. Поскольку Synology DSM состоит из ядра и приложений, то за снэпшоты отвечает одно приложение (Snapshot Replication), за резервные копии между NAS-ами или в облако - другое (Hyper Backup), а за резервирование серверов, виртуальных машин и рабочих мест - третье (Active Backup for Business). Соответственно, механизмы защиты у каждого из приложений свои. Начнём по порядку:

Внутри снимков закодированных папок так же находятся закодированные данные, так что даже при репликации на удалённый сервер, открыть данные без ключа невозможно. Вы не можете просматривать содержимое снэпшотов закодированных папок, что конечно осложняет задачу типа «вытащить нужный файл за вчерашний день. Незащищённые папки имеют доступные снэпшоты, и для их защиты можно использовать защищённое соединение при репликации на удалённый сервер.

Резервирование содержимого самого NAS-а на другой NAS или в облако с помощью программы Hyper Backup поддерживает защиту как при передаче, так и для хранения. Ключ задаётся единожды для задачи резервирования, то есть у вас могут быть разные пароли для сохранения данных в Google и на Synology C2.

В программе резервирования Active Backup for Business кодирование реализовано наиболее удобным способом: каждая задача бэкапа может использовать собственное хранилище (папку верхнего уровня на дисковом томе), которой совершенно не обязательно находиться в смонтированном состоянии, чтобы на неё можно было бэкапиться. Да, вы можете создавать новые задачи или удалять старые, используя защищённую папку, ключ от которой знает только ваш босс. Удобно, правда? И таких папок может быть сколько угодно, вы можете миксовать закодированные и незакодированные хранилища. Ну а подключить закрытую папку вводом пароля придётся при восстановлении бэкапа или для автоматической проверки целостности копий. Кстати, в настройках хранилища можно ввести автомонтирование закрытого хранилища и указать, на каком именно разделе NAS должен хранить ключи доступа, подгружая их после ребута, но я не советую это делать.

Финальные штрихи

На данном этапе мы максимально защитили наш NAS Synology от DoS-атак, попыток подобрать пароль, кражи пароля кейлоггером или другим зловредом, физическим похищением всего устройства или его дисков, а так же от снифферов всех мастей. При грамотной настройке привилегий для доступа к общим папкам, NAS превращается в неприступный сейф, вскрыть который не под силу даже специалистам Synology. Осталось защититься от самой страшной проблемы - от человеческого фактора.

Во-первых, настраиваем антивирусное сканирование внутреннего пространства NAS бесплатным пакетом Antivirus Essential, либо платным McAfee Antivirus. Оба решения примерно идентичны по параметрам, а так же включаем еженедельное сканирование настроек безопасности средством Security Advisor.

Во-вторых, настраиваем резервирование всего NAS-а в облачную службу Synology C2. Это дёшево, практично, удобно и плюс Synology не продаёт ваши данные рекламщикам.

И рекомендую обратить внимание на приложение Note station для сохранения заметок на NAS-е: здесь есть возможность использовать защищённые записные книжки, что полезно для хранения настроек, паролей и просто секретиков. Не забудьте включить Note Station в список бэкапов в программе HyperBackup для резервирования в облако, ну а чтобы не забыть пароли, Synology предлагает использовать собственный облачный сервис C2 Password.

У всех на слуху скандал, связанный с хакерской группой Qlocker, которая написала программу-шифровальщик, проникающий на сетевые хранилища. С 20 апреля число жертв вымогателей идет на сотни в день. Хакеры используют уязвимость CVE-2020-36195, программа заражает NAS и шифрует информацию. Расшифровать данные можно только после выкупа. К счастью, NAS Synology этой уязвимости не имеют. Но мы все равно посчитали нужным рассказать о том, как следует защитить сетевое хранилище, чтобы избежать потенциальных рисков.

Внимание: для большинства приведенных в статье советов требуются права администратора NAS.

Совет 1: отключите учетную запись администратора по умолчанию

Распространенные имена учетных записей администратора облегчают злоумышленникам атаки методом грубой силы на Synology NAS через подбор пароля. Избегайте таких имен, как admin, administrator, root (*) при настройке NAS. Мы рекомендуем сгенерировать сильный и уникальный пароль для администратора Synology NAS, а также отключить учетную запись администратора по умолчанию. Если при настройке NAS вы задали административную учетную запись с новым именем, то учетная запись admin будет автоматически отключена.


Если вы зашли как пользователь admin, то перейдите в Панель управления, выберите пункт Пользователь и группа, после чего создайте новую административную учетную запись. Затем войдите под новой записью и отключите admin.

* root в качестве имени пользователя запрещен

Совет 2: используйте сильный пароль

Сильный пароль, который невозможно подобрать, защищает систему от неавторизованного доступа. Создавайте пароли, сочетающие прописные и строчные буквы, цифры, специальные символы.

Помните, что хакеры подбирают пароли по словарям. Поэтому использовать в качестве пароля какое-либо слово нельзя. Если хакеры получат доступ к административной учетной записи, то они смогут добраться и до учетных записей других пользователей. Что нередко случается в случае взлома тех же веб-сайтов. Мы рекомендуем проверять на утечки ваш адрес email на сайтах Have I Been Pwned и Firefox Monitor, например.

Если вы боитесь забыть сложный пароль, то следует использовать менеджер хранения паролей (такой как 1Password, LastPass или Bitwarden). С их помощью придется запоминать только один пароль для менеджера, после чего будет открыт доступ ко всем хранящимся паролям.


Для пользователей Synology NAS можно включить политику паролей, которая будет действовать для всех учетных записей. Перейдите в Панель управления — Пользователь и группа — Дополнительно. Поставьте в пункте Применить правила надежности пароля нужные галочки.


Политику пароля можно применить и к существующим пользователям. Им придется изменить пароль при следующем входе в систему.

Совет 3: всегда обновляйте систему и включите оповещения

Synology регулярно выпускает обновления DSM, которые обеспечивают оптимизацию производительности и добавляют новые функции. А также исправляют ошибки и закрывают обнаруженные уязвимости.


Для большинства пользователей рекомендуется настроить автоматическое обновление, чтобы все имеющиеся патчи DSM устанавливались без участия администратора. Но для самых крупных обновлений вмешательство администратора все же потребуется.


Многие сетевые хранилища Synology имеют возможность запуска Virtual DSM внутри Virtual Machine Manager, то есть виртуальную версию операционной системы DSM. Использовать Virtual DSM имеет смысл, чтобы протестировать те или иные функции, а также обновления. Например, можно установить на Virtual DSM последнюю версию DSM, после чего проверить работу ключевых функций в вашей конфигурации. А уже затем переходить к обновлению непосредственно устройств.


Не менее важно получать своевременные оповещения о событиях. Можно настроить NAS Synology таким образом, чтобы получать оповещения на email, SMS, на смартфон или в браузере. При использовании сервиса Synology DDNS можно получать оповещения, если будет потеряно подключение к сети. Благодаря оповещениям администратор может своевременно отреагировать на заканчивающееся пространство тома, сбой задачи резервирования и т.д. Все это позволяет наладить надежно работающую и защищенную систему.


Мы рекомендуем добавить в учетной записи Synology подписку на Инструкции по безопасности, что позволить получать техническую информацию об уязвимостях продуктов и инцидентах, связанных с безопасностью.

Совет 4: включите двухфакторную аутентификацию

Если вы хотите добавить еще один уровень защиты учетной записи, мы рекомендуем активировать двухфакторную аутентификацию. В DSM 7.0 появилась двухфакторная аутентификация с помощью мобильного приложения или аппаратного ключа, усиливающая защиту.

Synology поддерживает мобильное приложение Secure SignIn, а также протокол FIDO2, который опирается на аппаратные ключи безопасности (USB-ключ, Windows Hello на ПК или Touch ID на macOS). Данные способы намного менее уязвимы, чем использование паролей, которые часто крадут через фишинг, методы социальной инженерии, вирусы и т.д.

Что такое Synology DSM

DiskStation Manager (DSM) - это специализированная операционная система в задачи которой входит управление NAS Synology. DSM так же можно установить на любое совместимое оборудование. На текущий момент смой последней версией является 6.2. Всю самую актуальную информацию, о ней вы можете посмотреть на официальном сайте:

Методы обновления Synology DSM

Существует два метода, которые вам позволят произвести процедуру обновления версии DiskStation Manager:

  • Автоматическое - доступно из веб-интерфейса Synology NAS или ssh подключения, потребуется доступ в интернет с оборудования
  • Ручное - в средах, где нет выхода в интернет из соображений безопасности или администратор не удосужился настроить маршрутизацию.

Как узнать версию и модель Synology DSM

Прежде, чем проводить обновление необходимо посмотреть вашу текущую версию DiskStation Manager. Для этого есть несколько вариантов.

  • В веб-интерфейсе откройте пункт "Control Panel - Info Center", там будет строка DSM version, в моем случае, это DSM 6.2.1-23824 и модель RS2414+

Как узнать модель Synology DSM через веб интерфейс

  • Подключившись по ssh к Synology DSM, вы можете посмотреть содержимое файла /etc.defaults/VERSION.

Как узнать модель Synology DSM через веб ssh

Так же команда uname -v покажет вам версию релиза.

Как обновить Synology DSM

Автоматическое обновление Synology DSM

Логинимся в консоль управления.

В веб интерфейсе откройте "Control Panel - Update & Restore". Открыв центр обновлений вы увидите текущую версию в поле "Current DSM version" и доступную новую.

Скачивание новой прошивки synology

Когда она загрузится, то нажимаем кнопку "Update Now"

Онлайн обновление Synology-01

Вас уведомят, что в момент установки обновления ни в коем случае не выключайте питание у сервера, в противном случае вы повредите систему.

Онлайн обновление Synology-02

Начнется процесс обновления DSM, он может занимать до 10 минут. После чего будет произведена перезагрузка оборудования.

Онлайн обновление Synology-03

Ручное обновление Synology DSM

Выясним вашу модель, напоминаю у меня, это RS2414+ вы переходите в центр загрузок Synology DSM.

Выбираем категорию оборудования и модель.

Скачивание прошивки Synology

У вас появится страница с загрузкой последней версии прошивки в виде pat файла, если необходимо скачать предыдущие релизы, то нажмите ссылку "все загрузки".

Каталог прошивок Synology

Переходим в папку Release, где вы найдете каталоги с различными версиями. Я для примера выберу 6.2.1.

Как обновить Synology DSM

Скачав файл прошивки в формате pat. Можем приступать к ручному (Оффлайн) обновлению Synology DSM. В веб интерфейсе откройте "Control Panel - Update & Restore"

Ручное обновление Synology

на вкладке "DSM Update" найдите кнопку "Manual DSM Update". нажмите ее.

Выбор режима ручного обновления Synology

Через кнопку "Browse" укажите путь до вашего pat файла и нажимаем "Ok".

Если ваш файл имеет более раннюю прошивку, то вы увидите уведомление, что Synology DSM нельзя откатить (произвести downgrade)

Процедура ручного обновления Synology

Начнется процедура обновления, она занимает некоторое время. По окончании процесса система будет перезагружена.

Обновление Synology DSM через ssh

Подключитесь по ssh к вашему Synology NAS, например через Putty или mRemoteNG. введите

admin@nas01:/$ sudo synoupgrade --check
Password:
UPGRADE_CHECKNEWDSM
Available update: DSM 6.2.2-24922 Update 1, patch type: smallupdate, restart type: none, reboot type: now

Если обновлений не будет доступно, то увидите вот такую картину.

Обновление Synology через ssh

admin@nas01:/$ sudo synoupgrade --download
UPGRADE_DOWNLOADDSM
New update has been downloaded

admin@nas01:/$ sudo synoupgrade --start
UPGRADE_STARTUPGRADE
Start DSM update.
Finish DSM update, reboot now!!

Обновление компонентов

После обновления DiskStation Manager, не забываем обновить дополнительные компоненты, для этого нажмите "Package Center", где в пункте "Install" посмотрите, что можно обновить.

Favorite

В закладки

Как перестать зависеть от чужих облачных сервисов и сделать свой. Спасибо Synology

В 2021 году не осталось тех, кто верит в неприкосновенность личных данных в «облаке». И если таковые были, то после анонса (и последующего скандала) сканирования фотографий на iPhone, о потенциальном доступе третьих лиц к вашим снимкам теперь знает каждый.

В интернете от такого очень тяжело спрятаться. Ведь когда вы отдаете кому-то свои данные, то априори выражаете им полное доверие. А что происходит с данными дальше, зачастую не находится под вашим полным контролем.

Многие уже задумались, как хранить фотографии и другую информацию в интернете так, чтобы ни один другой сервис или третье лицо не могло ими распоряжаться по своему усмотрению и букве пользовательского соглашения. А решение здесь одно.

Берем правильное «железо», создаём с правильным софтом собственную облачную экосистему и пользуемся в своё удовольствие.

Именно такой продукт уже много лет предлагает Synology. В него входит ваше собственное хранилище данных с доступом в интернет, готовые интернет-сервера и сервисы по размещению файлов и удалённому доступу, а также масса улучшений пользовательского опыта – всё для того, чтобы уход от платных облачных сервисов в пользу фактически свеого собственного оказался безболезненным.

Ранее я уже рассказывал о плюсах NAS от Synology, но теперь эта тема стала ещё актуальнее прежнего. Почему бы и не вспомнить, аккурат перед релизом iOS 15 со встроенным сканированием фототеки.

Что такое NAS? И как его выбрать

На первый взгляд, сетевое хранилище, он же домашний сервер, должно уметь совсем немного: файлы скачивать в фоне да как-то давать им доступ через домашнюю сеть.

На деле, как только появляется подобное устройство, понимаешь: задач у NAS очень и очень много. Что действительно требуется для домашнего сервера в 2021 году?

► возможность использования дисков пользователя
► поддержка аппаратной защиты данных
► умение работать с дисками больших объемов любых типов

► производительная платформа и защищенные цепи питания
► интеграция с мобильными устройствами
► функция автоматического резервного копирования данных и системы в целом

► поддержка версий файлов
► интуитивный интерфейс и настройка
► работа в виде облачного сервиса, доступного из глобальной сети

Много? Очень. Нужно? Безусловно, ведь сегодня вся жизнь – в сети. Рано или поздно приходишь к этой идее, начинаешь искать варианты и приходишь к одному из корпоративных решений или их домашних версий.

Проще всего будет купить файловый сервер Synology – они идеально подходят для пользователей, которые хотят максимум возможностей с минимальным вложением усилий.

Впрочем, дело даже не в этом: просто новое поколение их NAS действительно умеет все, что можно. И делает это так, что без внимания не останется ни одна функция.

Домашний сервер для всего: Synology DS220+


Одним из лучших устройств для домашнего использования на российском рынке стоит назвать компактный двухдисковый сервер Synology DS220+.

Он занимает место пары книг, весит меньше игровой приставки и выглядит стильно, так что можно даже под телевизором поставить.

Именно 2 слота станут необходимым минимумом для надежного хранилища: меньшее число не позволит организовать массив типов RAID0, RAID 1 или фирменного для корпорации SHR.

RAID – технология объединения нескольких накопителей в виртуальный массив для повышения отказоустойчивости путем создания выделенного места для резервного копирования.

Synology Hybrid RAID – технология, позволяющая автоматизировать настройки и само использование RAID без участия пользователя. Эффективно работает при наличии 4 и более дисков, разбивая массив на более мелкие блоки для оптимизации хранения.


Фактически, один диск будет использоваться для хранения данных, второй – для хранения «зеркала» файлов. Если что-то случится с основным винчестером, можно будет все восстановить.

Для дома или удаленной работы без каких-то уникальных условий большего не потребуется. А уж если использовать диски по 8, 12 или 16 терабайт (помнится, кто-то говорил о нескольких килобайтах?) – хватит надолго, и для проектов, и для развлечений.

Кстати о дисках: специалисты Synology обеспечили совместимость DS220+ с большинством жестких типоразмеров 3,5 и 2,5 дюйма, включая твердотельные SSD. Поддерживается «горячая» замена – вышедший из строя можно тут же заменить на «живой».

Ещё один приятный бонус: хотя для внутренних накопителей DS220+ обязательно форматирование в Btrfs или EXT4, внешние могут использовать практически любую файловую систему, NIX, Apple или Win-ориентированную.

DS220+ работает до неприличия быстро (и экономично)


Чтобы система не тормозила во время одновременной записи на оба накопителя, DS220+ оснастили двухядерным 64-битным процессором с частотой 2 ГГц с возможностью буста до 2,9 ГГц.

Его дополняют 2 Гб быстрой памяти DDR4, распаянные на материнской плате, и свободный слот памяти. Если хранилище часто сохраняет мелкие файлы или работает с большим числом пользователей, можно установить ещё 4 Гб. Так точно справится.

Устройство самостоятельно управляет частотой, оптимизируя энергопотребление (впрочем, оно и без того очень скромное, поскольку организовано через блок питания всего на 60 Вт) и повышая производительность под нагрузкой.

Дополнительно позволят снизить потребление электроэнергии функции включения по сигналу от сети (Wake On LAN) и включение по расписанию. Если не пользуешься прямо сейчас – зачем гонять зря?

Охлаждение тоже своё, с помощью встроенного вентилятора. Регулировка автоматическая, хотя в настройках можно выбрать собственный режим работы. «Тихий» режим «шумит» всего на 19,3 дБ, в жилом доме его не услышать.

Если и такое не устраивает (услышать шум уровнем 20 дБ можно разве что на даче в лесу), можно установить DS220+ на балконе или в кладовке: работает в диапазоне от 0 до 40 градусов.

Главная особенность Synology: собственная операционная система



Рабочий стол операционной системы DSM 7.0.

Технически DS220+ удивительно сбалансирован для своих задач. Но технические характеристики – только затравка. В случае с домашними серверами очень многое решает операционная система.

Многие годы специалисты Synology работают над собственной модульной ОС DiskStation Manager на основе Linux с браузерной оболочкой, которая, по факту, и является их основным продуктом (с учетом модификаций для роутеров и стоек).

Модульность позволяет добавлять с каждым релизом новые функции. И не только: включать и отключать дополнительные возможности так становится проще, а во время неактивности их нельзя использовать в качестве бекдора.

Интерфейс DSM очевиден и удобен любому пользователю, даже ребенок справится и с настройкой, и с постоянным использованием.

Новая система – новые возможности


Все возможности DS220+ с новейшей версией DSM7.0 в один материал не уместятся, но основное попробую рассказать.

Самая главная особенность свежей ОС- обновленная работа с дисками. Хотя большинство этого не заметит, улучшенное кэширование и оптимизация этого процесса серьезно увеличивает производительность устройства. Быстрее NAS пока не найти даже среди компьютеров в миниатюрных корпусах.

Но это только начало: DiskStation Manager версии 7.0 стал самой быстрой системой Synology, получив массу обновлённых модулей. Большинство из них предназначено суровым корпоративным пользователям и системным администраторам.

Так, установленная при использовании на DS220+, она ускоряет доступ к файлам, работу серверной части с PHP, упрощает передачу мультимедийных файлов по сети и создание зашифрованных сетевых копий.

Куда интереснее для нас с вами обновленный модуль сохранения фото на устройства Synology. Теперь они куда надежнее, чем Apple или любой другой корпорации, ведь диски принадлежат только владельцу и расположены локально.

Достаточно позаботиться о физической защите NAS – все остальное сделает Synology и новая DSM 7.0.


Главным способом связи DS220+ с миром стала пара Ethernet-портов со скоростью в гигабит. Полностью идентичных, без ограничений возможностей. Встроенного Wi-Fi нет, поэтому по меньшей мере один надо отдать роутеру. Второй пригодится для домашнего компьютера, быстрой передачи файлов на мультимедийную систему или подключить резервный канал связи.

Пользователь может превратить свои диски в полноценный удаленный ресурс благодаря облаку Synology Drive, обращаясь к нему любым удобным способом. Поддерживается Samba, NFS, AFP, FTP, а также через браузер и File Station.

А как на счет системы хранения версий файлов? Незаменимо при активной командной работе с правками: DSM 7.0 умеет хранить до 32 вариантов.

Как Synology создаёт защищенное хранилище фото в пару кликов


Новая подсистема Synology Photos позволяет отказаться от любых сетевых хранилищ фото- и видеофайлов. Интерфейс предлагает раздел со всеми фотографиями, отдельную вкладку альбомов (которые можно создавать как в ручном, так и в автоматическом режимах) и окно с материалами, доступными другим пользователям.

Поиск и сортировку можно осуществлять по геотегам, дате, названию и даже конкретной камере, на которую был сделан снимок. Так же доступна временная шкала и, больше того, распознавание лиц, которое сортирует снимки по результатам. Работает корректно.


Общий доступ формируется в пару кликов получением общей ссылки. Но тут-то и кроются особенности подхода к хранению данных Synology. Для каждой ссылки можно задать пароль или время жизни.

Доступ к фотографиям организован как с помощью веб-интерфейс, так и через приложение Synology Photos для iOS и Android. В последнем легко можно включить автоматическое сохранение всех новых снимков или включить синхронизацию конкретных папок.


Снимки загружаются на домашний сервер в фоновом режиме без потери качества.

При просмотре происходит кэширование, поэтому однажды полученный файл сохранится для локального доступа (но кэш легко чистить).

Делать бэкапы (в том числе в экосистеме Apple) стало ещё проще

Обновленная DSM 7.0 наконец-то сделала очевидной необходимость использования фирменной файловой системы Synology под названием Btrfs.

Благодаря технологии Snapshot Replication пара жестких дисков, отформатированных в ней, под свежей операционной системой научилась делать по расписанию до 1024 теневых копий и хранить до 65 тысяч снимков всей системы.

Как упоминают специалисты Synology, средства DSM 7.0 позволяют бороться даже с программами-вымогателями: если они блокируют восстановление по сети, бэкап системы можно залить через USB практически без отката по времени, без потерь данных.

Мобильные устройства тоже не останутся в стороне: приложение Synology Drive для iOS и Android так же позволяет создавать резервные копии данных, используя NAS для хранения и сквозного шифрования.

Фактически, на сервере можно хранить полный бэкап личного смартфона или портативных устройств всей семьи. Было бы желание.

А ещё каждый NAS Synology – это мультимедиа-сервер


Даже самые скромные NAS Synology обладают внушительным перечнем возможностей работы с мультимедийными файлами.

Менеджером торрентов выступает привычный Transmission, позволяющий скачивать, хранить и организовывать потоки любым удобным способом. Настроек масса – легко выставить только ночную работу или определить скорость, доступ к полученным файлам.

Системы DS Audio и DS Video, работающие в формате веб-интерфейс, позволяют получать к сохраненным файлам доступ из любой точки мира.

Поддерживается Google Cast для трансляции на телевизоры и медиаприставки, систематизация сохраненного и только ещё скачивающегося контента, удобный доступ к сетевым ресурсам.

Фактически, эти приложения позволяют полностью отказаться от других умных устройств в доме – лишь бы передача экрана поддерживалась.

Можно доверить любые тайны


Безопасность хранилищ Synology – немаловажная особенность всех продуктов компании. Поэтому в DSM 7.0 появился ряд дополнительных функций, которые понравятся не только сетевым параноикам.

Обширные возможности администрирования и раньше позволяли владельцам NAS этого бренда создавать сложные конфигурации пользователей с определением доступа к разным файлам: не только владелец мог скрывать что-то от других, но и подключенные члены семьи или сотрудники офиса легко запрещали доступ своей информации.

Теперь в прошивке появилась двухфакторная аутентификация, и не простая.

Первый вариант использует фирменное мобильное приложение, при входе через которое с мобильного телефона NAS спрашивает только логин. Второй дополняет учетную запись данными физического устройства – USB-ключа, сканера отпечатка пальцев или образа, переданного через Windows Hello.

Есть и другие приятные возможности. С DSM 7.0, Synology DS220+ отлично справляется с ассиметричным шифрованием файлов на лету. Без ключа брутфорсом не возьмешь.

C2 Password — это не просто генератор паролей, он имеет встроенную поддержку безопасного хранения файлов, общего доступа и множество других функций. С C2 Password, ваши данные всегда защищены от несанкционированного доступа благодаря использованию современных стандартов безопасности. Бесплатный план для C2 Password уже доступен.

С помощью облачного решения C2 Transfer можно осуществлять защищённую передачу файлов, на лету добавлять водяные знаки, запрашивать у получателя учетные данные или секретные коды или устанавливать срок жизни ссылки.

DSM 7.0 имеет встроенную систему проактивной защиты хранилища, самостоятельно определяя сетевые атаки и распознавая реальные угрозы. NAS без участия пользователя блокирует доступ от маркированных нежелательными источников, умеет определять трояны, вирусы и программы-вымогатели.

Сетевые атаки так же успешно распознаются DS220+ самостоятельно, как и подозрительные попытки входа, брутфорс или DDoS. А при необходимости администратор может воспользоваться консолью управления, чтобы настроить ограничения доступа по любым сетевым параметрам.

Ещё нет NAS? Стоит попробовать прямо сейчас


С внедрением DSM 7.0 домашние сетевые хранилища Synology стали удобнее в использовании и значительно быстрее. Настолько, что будет заметно и тем пользователям, которые никогда не использовали NAS, потому что обмен файлами, фотографиями и видео происходит намного быстрее, чем в процессе работы с обычными компьютерами или медиаприставками.

Организация резервного копирования так же стала проще и заметно быстрее. Впрочем, если не использовал Synology, оценка все равно будет на пять с плюсом, поскольку так удобно организовать этот процесс в домашних условиях не представляется возможным иным способом.

Стоит ли упоминать о сетевой защите и хранилище паролей? Конечно да. Это не организуешь за пару часов своими силами, а без них сегодня домашний сервер не так уж и нужен. А с ними никакие iCloud и Google Drive, ставшие предельно ненадежными, уже не нужны.

Надо просто попробовать.

(29 голосов, общий рейтинг: 4.62 из 5)

Favorite

В закладки

Читайте также: