32 минут назад, freewind сказал:
Смысл как раз в защите системы, данных, служб и т.д. Основные постулаты целостность, непрерывность и достоверность. Убрав администратора и полный доступ к данным вы защищаете систему.
Дружественность Synology не предполагает должного уровня защиты. Пожалуйста, дополнительно к учетной записи администратора можно добавлять сколько угодно пользователей без ущерба безопасности, если для начала сделать шаблон для авторизации по ключу.
35 минут назад, freewind сказал:
Для внешней работы достаточно всего 2 портов 80 и 443 и указанная старая проблема пропадает сама собой.
Мне достаточно только порта sftp для доступа к NAS Synology из интернета. Никакие другие порты в него не прописаны. Но даже для этого случая имеется нелогичность настроек DSM 6.
39 минут назад, freewind сказал:
Сделать 3 пользователей и раздать им в графических окошках 5 галочек - администрирование на уровне предприятия???????????????
В случае Synology ответ про подготовку на уровне администратора предприятия утвердительный.
1. Для администрирования устройств своей сети (в том числе Synology) я естественно делаю vpn туннель. Ни один vpn сервер Synology не содержит графической настройки авторизации по ключу. Мне проще ограничиться ovpn сервером в небыстром роутере, чтобы получить гарантированный доступ и надежность без влезания в командные строки.
2. Оказалось проще сделать защищенный доступ в win-ПК на основе ssh сервера с ключами для удаленного рабочего стола и пересылки файлов, чем к Synology. Выглядит абсурдно, но для быстрого доступ в локальную сеть используется защита win-ПК вместо достаточно мощного Synology на Celeron.
47 минут назад, freewind сказал:
Вы там много писали про защиту от шифровальщика, так вот именно ваш подход это открытое приглашение для него и бэкап не спасет, а станет таким же зашифрованным файлом... Не с того места вы защиту строите...
Вы невнимательно читаете. Идеология Synology упрощения настроек и пренебрежения безопасностью приводит к тому, что гораздо проще и логичнее располагать все данные в NAS1 и делать многоверсионный backup в еще один NAS2. Здесь и защита от шифровальшика (опасность которого не нужно преувеличивать), защита от поломки железа NAS1, и даже выполнение рекомендации по backup всех данных перед миграцией дисков или их перепрошивке. Шифровальшик из ПК затрагивает данные в NAS1, а работу NAS1 и старые версии в NAS2, не затрагивает.