保护敏感数据的需求 我们先来看一个软件公司的对项目数据的担忧: 题主又说:“我们做的是比较创新的东西,对数据的安全性比较敏感一些,因为听过一些业内大公司初期都有电脑直接被人抱走的血泪史。” 这里,广大群晖 用户遇到了一个平时容易被忽略的问题:群晖DSM系统有严密而周到的数据保护和安全管理体系,能够防范和阻止来自网络空间的虚拟窥探和攻击。但是,假如服务器被人直接盗走,该如何保护NAS硬盘上的数据呢?针对这种物理攻击,群晖科技也提供了万全的保护机制:
本文将分享如何对群晖NAS上的共享文件夹进行加密和解密,并对需要注意的问题进行讨论。 对共享文件夹进行加密群晖DSM系统是通过对共享文件夹的加密来实现敏感数据保护的。 共享文件夹是群晖NAS中的基本存储单位,我们可以根据内容和用途来创建不同的共享文件夹,比如work、photo、video等等,并为应用和用户设定访问权限。 对不同的共享文件夹,可以分别进行加密,并设定不同的密钥。 新建一个加密的共享文件夹登录DSM系统,点击File Station,进入DSM的文件管理器,点击左上角的新增-新增共享文件夹。 进入共享文件夹创建向导,一步一步进行设置。
勾选:加密此共享文件夹。 然后,设定加密密钥,再次输入以确认。 密钥长度最少为8位字符。请一定记住或者导出密钥,否则数据将无法恢复。 高级设置,此处可根据个人需要勾选相应项目。 如:启用数据总和检查码(数据校验码)以实现高级数据完整性。 确认页面,在完成创建加密的共享文件夹前,再查看一下任务概览,看该加密设置是否满足了我们的要求。 弹出提示信息,再次警告:
点击是,继续。将完成加密共享文件夹Lifeisgood的创建。 创建后,我们将会看到两件事情。 第一件事:加密共享文件夹Lifeisgood被创建后,自动进入用户权限设置页,这里可以对各用户设定能否访问、读写该新增的加密文件夹。 DSM默认的权限已经比较合适,比如:管理员是可读写,guest是禁止访问等等。 对于NAS的其他用户,默认权限均为禁止访问,读者可根据自己的需求分别设定。 第二件事:一个名为Lifeisgood.key、长度42字节的密钥文件将会自动下载,请妥善保存。 此时,在控制面板-共享文件夹页面,我们能看到新增的加密共享文件夹Lifeisgood,特征是图标右下角有一把锁。 对加密共享文件夹进行解密对群晖加密共享文件夹的理解通常,我们对加密/解密的理解是:
而对群晖NAS的加密共享文件夹,概念和操作上稍有不同,这里我们要了解两个概念:
卸载加密共享文件夹通俗地说,这就是一般认为的加密操作。 在DSM桌面,进入控制面板-共享文件夹。 此时,加密共享文件夹Lifeisgood图标的锁是打开的,表示当前为装载状态,即可以访问的状态。如果用户到File Station中查看,是能看到Lifeisgood,并访问其中内容的。 在加密共享文件夹Lifeisgood上单击鼠标右键,在右键菜单中,选择加密-卸载。 图为确认后,Lifeisgood图标的锁是关闭的,表示当前为卸载状态,即加密、不以访问的状态。如果用户到File Station的目录列表中查看,已经看不到Lifeisgood文件夹了。 装载加密共享文件夹这是一般认为的解密操作。 在DSM桌面,进入控制面板-共享文件夹。 在加密共享文件夹Lifeisgood上单击鼠标右键,在右键菜单中,选择加密-装载。 输入密钥,或者导入刚才的密钥文件,点击确定。 挂载成功后,加密共享文件夹Lifeisgood图标的锁是打开的,表示当前为装载状态,即可以访问的状态。如果用户到File Station中查看,是能看到Lifeisgood,并访问其中内容的。 疑问解答 共享文件夹的加密和解密使用上不习惯? 一些朋友对加密共享文件夹的概念和使用有点困惑,既然一经挂载即可使用,那么文件夹的加密作用在哪里呢?我的数据到底得到了严密保护没有? 其实,我们在“对群晖加密共享文件夹的理解”一节已经给出了部分解释。加密共享文件夹的目的是:针对服务器或者硬盘可能被盗的情况,在加密后,即使攻击者将硬盘挂载到其他设备、或者试图在服务器上读出你的文件,只要没有密钥,一样无法破解加密、访问数据。 所以,共享文件夹的加密针对的行为不是每一次访问和打开文件夹,也就无需每次都输入密钥了。 共享文件夹加密后,文件访问速度变慢了?群晖官方给出的解释为:加密文件夹的传输速度较慢是正常现象。加密会大大增加 CPU 工作负载并降低数据传输速率。若要增加吞吐量,可以考虑配备了硬件加密引擎的 Synology NAS。
图为DS 918+是支持硬件加密引擎(AES-NI)的。 本文是作者Lifeisgood的《群晖非官方入门手册》原创计划的一部分,将以知识卡片的形式,在每篇教程中分享一个群晖的关键技能,请大家多多支持! |
|