Bagaimana cara mengaktifkan 2MFA/MFA atau bahkan login tanpa kata sandi untuk QNAP QTS saya secara aman?
Karena saat saya mengklik entri di atas, saya tidak bisa mengklik tombol aktifkan:
Apakah NAS Anda berada di lingkungan di mana pencurian kata sandi bisa menjadi masalah?
1 Suka
Dan bukankah kamu bertanya tentang memblokir NAS-mu sepenuhnya dari akses apa pun ke internet? Saya tidak tahu apakah aplikasi MFA akan berfungsi tanpa NAS memiliki akses ke internet.
1 Suka
Ya, benar, saya sedang mencoba menerapkan praktik terbaik keamanan Zero Trust dan tanpa kata sandi (passwordless) untuk NAS saya.
Mungkin saja, karena NAS saya terhubung ke jaringan dan QNAP NAS memiliki kemampuan untuk menjelajah internet atau setidaknya dapat melakukan koneksi keluar untuk sementara waktu.
Nah, jika Anda benar-benar tidak terhubung ke internet, maka saya rasa MFA (Multi-Factor Authentication) tidak akan berfungsi.
Jadi jika Anda ingin menggunakan verifikasi 2 langkah atau login tanpa kata sandi, maka NAS Anda harus memiliki akses ke internet. Anda perlu menggunakan aplikasi QNAP Authenticator untuk menyediakan kode autentikasi (Anda juga mungkin bisa menggunakan aplikasi Authenticator lainnya).
Melihat postingan Anda yang asli, alasan Anda tidak dapat mengaktifkan fitur ini adalah karena akun admin Anda dinonaktifkan. Anda harus mengaktifkan akun admin Anda agar dapat digunakan. Tidak ada alasan untuk menonaktifkan akun admin jika NAS Anda tidak dapat diakses dari internet.
Atau Anda perlu memiliki akun lain dengan akses admin yang diaktifkan untuk pemulihan.
Tidak perlu khawatir tentang koneksi keluar.
2FA (di QNAP) justru menimbulkan lebih banyak masalah daripada solusi, apalagi jika salah satu perangkat mengalami pergeseran jam sistem yang terlalu jauh. (jika tidak dapat sinkronisasi melalui NTP)
Jika seorang penyerang bisa menekan tombol reset pada NAS Anda atau cukup mengambil hard drive Anda, 2FA adalah hal yang paling tidak perlu Anda khawatirkan.
1 Suka
Maksud saya, ya, dia tidak bisa mengaktifkan 2FA pada akun yang dinonaktifkan.
Tapi itu bukan alasan untuk mengaktifkan akun admin. Akun admin saya bahkan masih belum memiliki kata sandi setelah berbulan-bulan menggunakan NAS karena saya menggunakan akun yang dibuat oleh startup wizard untuk saya.
Saya tidak pernah perlu mengaktifkan admin untuk menggunakan NAS saya.
Ada beberapa perintah pemeliharaan yang tidak berfungsi dengan sudo, jadi sebaiknya selalu aktifkan pengguna admin Anda. (Untuk berjaga-jaga jika Anda perlu memperbaiki sesuatu melalui SSH)
[weedy@TheVault ~]$ sudo bash
Password:
[admin@TheVault weedy]# id
uid=0(root) gid=0(root) groups=0(root),100
Saya tidak akan pernah mengaktifkan admin. Saya menolak.
1 Suka
Mengapa? Pengguna dengan akun admin yang dinonaktifkan tetap diretas melalui user UID0 (lihat deadbolt). Jadi menonaktifkannya justru menghambat diri sendiri, bukan penyerang.
2 Suka
Deadbolt terjadi karena NAS yang dapat diakses WAN dan perangkat lunak lama. (Juga QNAP yang kurang pintar)
Saya telah menginstal AMIZ, Clamav, CS, Malware remover, dan Security Centre.
Sisanya adalah saya bermain-main di docker.
Tidak ada yang seharusnya bisa mengakses NAS saya tanpa VPN, dan saya menjalankan kode QNAP seminimal mungkin.
Pada saat saya repot membuka klien ssh dan mengetik 192.168.xxxxxxx, sudo bash punya tingkat usaha yang sama. Saya bahkan tidak memikirkannya.
1 Suka
Apa itu CS, sensor CrowdStrike Falcon?
Yah.. tidak ada qpkg crowstrike, jadi tebakan saya adalah ContainerStation
1 Suka