HOME  /Synology(IPv4)
 /Synologyサーバの障害/セキュリティ対策
2023年09月30日

Synologyサーバの障害/セキュリティ対策


Synologyサーバの障害/セキュリティ対策には下記の方法を検討して下さい。

1.通知設定を有効にする

2.攻撃してくるIPをブロックする

3.管理者IDを2要素認証にする

1.通知設定を有効にする

Synologyのサーバの障害/セキュリティ対策はサーバが「これはおかしい!」と思う事象が発生した時点でDSM管理者に状況を知らせる仕組みが必要になります。

これが「通知設定」でこの設定方法を解説します。

1.コントロールパネルから下記アイコンをクリックします。

2.電子メールタブの設定

①送信者の設定

誰がメールを送るのか?の設定です。

■[電子メール通知を有効にする]に✓を付け、サービスプロバイダの▼からサービスプロバイダを選択します。

■Gmailの場合は「サインイン」ボタンを挿入してGmailと接続します。

 MailPlus Serverを利用する場合

この場合は「カスタムSMTPサーバ」を選択し、SMTPサーバ欄はMailPlus ServerのローカルIPアドレスを指定して下さい。

②受信者の設定

誰にメールを送るのか?の設定です。3名まで指定できます。

■対象接頭辞

メールのサブジェクトの頭に付ける文字列です。

サーバ名を指定すると「どのサーバから送られたメール」かが一目で判ります。

■受信者のEメールアドレス

[プロファイル名]と[メールアドレス]から構成されます.

[プロファイルの追加]ボタンで3名まで設定できます。

よって[プロファイル名]には3名を区別する任意名称を入力します。

■[新しいユーザにようこそメッセージを送信する]に✓を付けて下さい。

画面の右下にある[適用]ボタンを挿入した後、[テストメールの送信]ボタンを挿入して正しくメールが送れるか?を確認します。

 

3.ルールタブの設定

ルールタブをクリックすると下記画面が表示されます。

■基本的な異常や障害は上記の各項目に設定されています。

メールが送られてきて、このメールは要らないと判断できた場合は上記を編集してメール送信をOFFに設定します。

 

2.攻撃してくるIPをブロックする

SynologyにMailPlus Serverを立ち上げると外部から接続アタックが急増します。

ここではこの様な外部アタックを行うIPを永遠的にブロックする方法を解説します。

1.IPをブロックする。

①コントロールパネルの下記アイコンをクリックします。

②保護タブをクリックする

■[自動ブロックを有効にする]に✓を付け、下記の設定にする。

・ログイン試行回数:5

・分以内:600

■[ブロック有効期限を有効にする]に✓を付けない

以上で10時間に5回のミスをするIPアドレスを無期限でブロックします。

■[ホワイト/ブロックリスト]ボタンを挿入します。

[ホワイトリスト]タブの設定は下記で設定します。

■192.168.1.1~192.168.1.254までのIPアドレスを指定します。

192.168.1.x以外のアドレスを使っている場合は、それに合わせて修正して下さい。

上記を設定する事によりローカルからのDSM接続はログインブロック対象外になります。

[ブロックリスト]タブの表示は下記になります。

ログインブロックを開始して数日たつとブロックされたIPアドレスが登録されます。

■永久ブロックになっている事が確認できます。

 誤ってIPブロックされた時の対策

ローカルからのDSMへのログインはブロック対象外です。

しかしリモートからのDSMへのログインは間違えるとブロックされます。

この時はDDNS接続ではなく「クイックコネクトID」でログインして下さい。

ログイン後[ブロックリスト]でブロックされたIPアドレスを「IPアドレス住所検索」で調べ、対象IPアドレスを削除してDDNS接続できるようにして下さい。

 

2.DoS対策

DoS攻撃とは悪意を持ってサーバに大量のデータを送りつけるサイバー攻撃です。

保護ページの下にあるDoS保護に✓して下さい。

以上で、Synologyのサーバにアクセスする不審なIPのブロックとDoS攻撃に対する防御が完成しました。

 

3.管理者IDを2要素認証にする

この方法は管理者IDを守ればDSMを守る事ができるという考えの対策です。

DSM7系のDSM「2要素認証」には下記種類があります。

種類① 種類② コメント
パスワードを使用しないサインイン サインインの承認(推奨) 承認」メッセージ以外に「通常のパスワード入力」も選択できるのでセキュリティ対策には向きません。
ハードウェアセキュリティキー 利用したことがありません
2要素認証 サインインの承認 承認」メッセージと「OTP」が選択できるメニュになります。

しかし「承認」メッセージの操作性があまり良くないので推奨しません

確認コード(OTP) DSM6当時からある「2要素認証」です。

この方法が現在は確実です。

ハードウェアセキュリティキー 利用したことがありません

■私が評価した結果、確認コード(OTP)が一番確実な方法なのでここではこの利用方法を解説します。

1.2要素認証の設定方法

管理者IDでDSMにログインします。

①DSM画面の右上にある下記メニュを起動します。

■「人マーク」をクリックし表示されたメニュから「個人」を選択します。

②下記画面の「2要素認証」をクリックします。

■「アカウント」タブの「サインイン方法」にある「2要素認証」をクリックします。

③下記画面画面が表示されます。

■「確認コード(OTP)」をクリックします。

④下記画面が表示されます。

■現在のパスワードを入力し「OK」を挿入します。

⑤下記画面が表示されます。

■「次へ」で先に進みます。

⑥下記画面が表示されます。

■スマホにSynologyの「Secure Sighin」がインストールされてない場合はQRコードスキャナで読み込みインストールします。下記アイコンが追加されます。

既に上記アプリケーションがインストールされている場合は無視して下さい。

■「次へ」で先に進みます。

⑦下記が表示されます

■スマホの「Secure Signin」アプリを起動し、上記のQRコードを読み取ります。

⑧下記画面が表示されます。

■スマホを紛失した時の「緊急確認コード」を送るメールアドレスです※重要

■メールアドレスを入力後「次へ」で先に進みます。

⑨確認画面が表示されます。

■「完了」で設定を終了します。

⑩下記画面が表示されます。

■「保存」を挿入します。

以上で登録が完了しました。

 

2.サインイン方法とスマホを紛失した時の対応

①サインイン方法

DSMにログインすると下記が表示されます。

■Synologyの「Secure Signin」アプリ表示された6桁のOTPコードを入れてサインインします。

 「このデバイスについて次回から確認しない」とは?

認証コードを入力した後ここに✓を付けてサインインすると、次回から認証コードなしでサインインできるようになります。

これはどういう意味でしょうか?

これは「このブラウザの設定条件下で2段階認証を不要にする」という意味で、2段階認証自体が無効になった訳ではありません。

同一PCでも他のブラウザは認証コードを求めますし、同一ブラウザでもクッキーを削除すると再度、認証コードを求められます。

よって2要素認証はONにし、日頃使うブラウザはOTPを入力しなくても使えるようにするという設定になります。

 

②スマホを紛失した時の対応

スマホを紛失した場合は下記画面の「モバイルデバイスを紛失しましたか?」をクリックします。

■指定したメールアドレスに「緊急コード」が送られてきますので、そのコードを入力してサインインします。

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「synology」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Synology Mail Serverは、Synologyのユーザにメールを利用させる簡易メールシステムです。本格的にメールシステムを構築する場合はMailPlusを利用する事をお勧めします。

このドキュメントはGmailで受信トレイにあったこのメールを [迷惑メール] として報告しましたで表示される迷惑メールの対策方法を記述しています。

このドキュメントは自宅にWebサーバがある為に、インターネット接続に[PPPoE]と[IPoE]を併用したいが・[PPPoE]と[IPoE]の違いがよく判らない・併用方法にはどの様な種類があるのかを知りたい・具体的な接続方法の注意点を知りたい人を対象に作成しました。

NTT東西の光回線のISPを調べると昔は「IPv4」と「PPPoE」だけでしたが、最近は「IPv6」と「IPoE」という新しいキーワードがでてきてより複雑になってしまいました。そこでNTT本体の資料から歴史をまとめ直し、これらの違いを説明しています。

ここではPR-S300NEで2つのインターネット回線をマルチセッションで利用する方法を解説しています。

ここではThunderbird 102.2.2 のメールの並び順を変更する方法を解説しています。特に1つのフォルダに設定した並び順を他のフォルダに一括コピーする方法も解説しています。

ここではThunderbird 102.2.2 のカレンダーの土日、先月・次月、先月・次月の土日の背景色を変更する方法を解説しています。

Thunderbirdは「メール」や「カレンダ」を操作するデスクトップアプリケーションです。Webで複数のメールを操作するより一つのアプリケーションで操作できるので便利です。

ここではSynology Photosの共有フォルダを利用してDSMユーザ間で写真を共有する方法を解説しています。

ここではSynology Photosを利用してスマホの写真をSynologyの中に自動バックアップする方法を解説しています。

ここではSynology Photosの操作の基本を解説しています。

DSM7になって「Photo Station」が無くなったように見えますが、「Synology Photos」は「Photo Station」の後継です。しかし考え方が大きく変わっています。ここではその違いと関連ドキュメントを解説しています。

ここではDSM6からDSM7へのアップグレード方法とDSM7からDSM6へのダウングレード方法を解説しています。

phpMyadminで、設定ファイルのパーミッションが正しくありません。誰でも書き込み可能になっています!とのエラーが出た時の対処方法を解説しています。

SynologyでWordPressを運用している時に、遅い!と感じる状況に遭遇しました。対策は①All in One SEOと②WP Mail SMTPの廃止です。この経緯を説明しています。

WordPressサイトの公開後のプログラム変更は、サイトダウン等の危険性があるので難しくなります。そこで、私が行っているSyonologyを2台使った開発環境構築事例を紹介しています。

Synologyを利用していると、このファイルはDSMの中の何処にあるのか?等を調べたくなる事があります。この様な時に利用するのがSSH接続です。この接続方法を解説しています。

WordPressのメジャーアップデート(5.5や5.6)ではWordpressの更新が失敗する事があります。このような時にサイトを修復する方法を解説しています。

ここではSynologyのphpMyAdminのインポートの504等のエラーについて解説します。このエラーは32MB以上のSQLファイルをインポートしようとした為に発生するエラーで、ここではその回避方法を解説しています。

Wordpressのセキュリティ強化の方法として「SiteGuard WP Plugin」と「Google Authenticator」の使い方を解説しています。

ここでは、SynologyのNASの中でWordPressがどの様に稼働するか?を解説しています。

Synologyサーバで大量のデータをコピーすると数十分の時間が掛かる事があります。これを数分以内でコピーする方法を解説しています。

「PHP7.0」から「PHP7.3」に変更したや、画面が途中で表示されないという問題が発生しました。この時に対応した内容を紹介しています。

自宅や職場のLANの中に「複数台のSynologyサーバ」があり、且つ、それらをhttpsでアクセスしたい場合に、SSL証明書をどうすれば良いか?を解説しています。

最近のISPは自社設備のPPPoEに加え、ISPが契約したVNE業者のIPoEを併用提供しています。一方、自宅内にWebサーバ等があるとPPPoEとIPoEの併用が必要となります。ここではその併用方法を解説しています。

Synoligy High AvailabilityはSynology社が開発したHAシステムで2台のNASを1台の仮想NASとする事により、メインNASが停止してもサブのNASに自動的に引き継ぐ事により停止時間を短くさせる事ができます。どうしても止めたくないADやWebサイトの高可用性を実現します。

Synologyのサーバを複数台所有していると、このアプリケーションはこちらのサーバに移行したい等のニーズが発生します。
ここでは「Hyper Backup」を使った移行方法を解説します。

MailPlus Serverから他のメールサーバにメールを送った際、相手に「安全なメールだ!」と判断される事が重要です。すなわち迷惑メールにならない送り方を調べた結果を解説しています。

Synologyのハードウェアを新しい物に変更する方法は色々ありますが、ここでは「Hyper Backup」を使った移行方法を解説しています。この方法は旧システムがそのまま残っているので、比較しながらの移行が可能になります。

複数台のSynologyサーバを運用していると、他のサーバのフォルダを自分のサーバにマウントしたい事が発生します。
これを行う1つの方法が「File Station」のリモートフォルダのマウントです。ここではこの接続と解除を説明しています。

複数台のSynologyサーバを運用していると、他のサーバのフォルダを自分のサーバにマウントしたい事が発生します。
これを行う1つの方法が「File Station」のリモート接続のWebDAVです。ここではこの接続と解除を説明しています。

MailPlus Serverを立ち上げると、さすがメールサーバと思う程に外部からのアタックが増加します。そこでここではメールサーバをより安全に運用する方法を解説しています。

Synology Driveとは、File Stationの使いづらい機能を大幅に改善したプライベートクラウドで①File Stationでは表示できなかったファイルが「Viewerソフト」で表示できるようになる②Synology Officeを使って「スプレッドシート」や「ドキュメント」及び「スライド」文書が作成できる様になる③「Driveの個人フォルダ」と「個人PCのフォルダ」を同期する事により、個人PCのデータ保護ができる様になる等の機能を持っています。ここではものソフトの使い方を解説しています。

Synologyのメール(MailPlus)やカレンダ(Calender)にはデスクトップアプリケーションがありません。そこでThunderbirdでこれらを呼び出す事によりローカルアプリケーションでこれらを操作する方法を解説しています。

Synology ChatはDSMユーザ間のチャットツールです。DSMユーザ以外にゲストユーザも招致する事もできます。また通常チャットに加え、ビデオ会議の「jitsi Meet」を呼び出す事もできます。

スパムメールが嫌なので今までメールはGMAILを使っていました。しかしSynologyの「MailPlus Server」にはスパム対策やウィルス対策ソフトがバンドルされていることを知り、この機会にこのメールシステムを使ってみる事にしました。ここではこれの使い方を解説しています。

ここでは「Synology Calendar」の利用方法を解説しています。またThunderbirdやandroid及びiOSから「Synology Calendar」を利用する方法も解説しています。

Synologyサーバが1台の時はローカルユーザで管理すれば良いのですが、複数台になるとユーザ管理はLDAP又はAD(Active Directory)、アクセス権は個々のSynologyで管理するのが望ましくなります。ここでは「Windows Server CAL」が不要なSynologyの「Active Directory server」を使ったAD構築方法を解説しています。

SynologyのNASをLDAPの配下で動かす事ができます。LDAPサーバは「IBM Lotus Domino」や「Open Directory」でも良いのですがSynologyの「Directory Server」を利用する事もできます。ここではSynologyの「Directory Server」を使ったLDAP環境を構築する方法を解説します。

SynologyのDSMで80/443以外のポート番号を使ったWebサイトを構築する方法を解説しています。

SynologyでWordPressのURL変更を「Search-Replace-DB」で行う為には、ポート番号指定でDBを見に行く必要があります。ここではこの使い方を解説しています。

アルバムを公開アルバムにするとPhoto Stationで公開写真WEBサイトを構築する事ができます。更に、このサイトを「検索エンジンにインデックスさせる」と更に公開範囲が広がります。ここでは公開アルバムに関連する設定を解説しています。

スマートデバイスの写真を「DS Photo」を使ってPhoto Stationにアップロードする事ができます。アップロード方法には①バックアップコマンド②アップロードコマンドがあります。①を使うと写真を撮った段階で自動的にアップロードすることが可能です。

Photo Stationにはスマートデバイス専用のアプリケーションが用意されています。これがDS Photoです。
ここではこの使い方を解説しています。

Photo Stationは基本のPhoto Station以外にDSMユーザ毎に個人用Photo Stationを作成する事ができます。
ここでは個人用Photo Stationの作成方法と使い方を説明しています。

Photo Stationの基本は「公開写真Webサーバー」です。ここではこれを特定の人達で共有する方法を解説しています。

Synologyの「Photo Station」パッケージを利用するとスマホやデジカメで撮影した写真をNASサーバの中に保管をして色々な人と共有する事が可能になります。ここではこのPhoto Stationの起動方法と「Photo Station」用語を解説しています。

FTPの定番ソフトであるFFFTPを使って、SynologyのNASと接続する方法を解説しています。また対象は暗号化なしではなく、SSL証明書を使ったFTPS接続のケースになります。

iOSデバイスのWi-Fiの設定にDNSサーバを指定する方法を解説しています。

Synologyを使い始めてから何回かアプリケーション更新後に障害が発生しました。その時にはバックアップからアプリケーションを戻しますが、その戻し方を解説しています。

SynologyのPhoto Stationを利用した時に発生したエラーとその対策を解説しています。

AndroidデバイスのWi-Fiの設定にDNSサーバを指定する方法を解説しています。

ここではMariaDB10とこのDBをアクセスするphpMyAdminの設定方法を解説しています。尚、phpMyAdminについては「インストールとID設定」「機能追加」「起動方法」「インポートサイズの変更」を解説しています。

Synologyサーバに2つ以上のDDNSを使う場合はSynology以外の無償DDNSサイトから取得する必要があります。またDDNSなら何でも良いのではなく、URLで更新できるDDNSでないとSynologyでは利用できません。ここでは『Dynu.com』社のDDNSの取得方法と設定方法を解説しています。

SynologyのDSMではVer6の途中から無償のSSL発行サイトのLet’s Encryptをサポートし始めました。しかし操作はマニュアルを見てもわからないので色々試した結果を解説しています。

Synologyサーバに『NO-IP.com』のDDNSを利用する応報を解説しています。

SynologyのNASのphpmyadminのセキュリティ対策として2要素認証を利用する方法を解説しています。尚、スマホを紛失した時の対応方法も解説しています。

SynologyのNASにWebサービスを立ち上げると、WordPressを使ったWebサイトや、EC-CUBEを使ったECサイト等を立ち上げる事ができます。本ドキュメントはWebサービスの立ち上げ方、仮想ホスト機能、パーソナルWebの機能について解説しています。

WordPressをインストールするとディフォルトではサイトURLはドメイン名/WordPressフォルダになります。これをドメイン名だけにする為にSynologyの仮想ホスト機能を使います。本ドキュメントはこの使い方を解説しています。

WordPressの動作環境を変更すると、DBをダイレクトに変更しなければならないケースがあります。このドキュメントはphpMyAdminのエクスポートとインポートを使って修正した事例を紹介しています。

無償DDNSのDDNSサイトのmydns.jpからドメイン名を取得する方法を記載しています。このサイトはIPアドレスの通知にクエリーパラメータ方式も利用できる無償のDDNSサイトなので、IPv6にも対応したDDNSサイトです。

Synology のサーバをhttpsでアクセスする為には、サーバ側にSSLサーバ証明書を入れる必要があります。本稿では自証証明書の作成方法からWindowsPCへの証明書の登録方法を解説しています。

SynologyにVPNで接続する方法を解説しています。VPNはPPTP、L2TP/IPsec、OpenVPNです。またDSM7からか接続はできるが遅い、応答しない?等が発生し、この解決策もここで解説しています。

QuickConnectは自宅にあるSynologyのNASサーバが常時Synologyのサイトと接続されている環境を使ってインターネットからアクセスする方法です。この方法はルータの設定変更を必要としないのであまりネットワークに詳しくない人でも利用できる特徴がありますが、利用できるのは特定アプリケーションのみです。

SynologyのNASのOSはDSMになります。このドキュメントはDSMの更新方法について解説しています。

ここではSynoligyサーバを「Hyper Backup」アプリケーションで、Googleドライブにバックアップ/リストアする方法を解説しています。

Synologyを複数台持っている場合は、Synology間でバックアップを相互に持たせる事ができます。ここではその方法を解説しています。

SynologyのMariaDBから、mysqldumpを使ってDBを定期的にダンプする方法と、それを利用してWordPressを過去の時点に戻す方法を解説しています。

SynologyのNAS機能に関連するメニューは①ファイルサービス、②共有フォルダ、③グループ、④ユーザがありこれらの関連性を解説しています。また利用権限は各々のメニューの中でも設定できるため誰に何の権限を与えたか?が判りずらい為、権限設定の考え方の例を解説しています。

Synologyの自動セットアップはLAN上のDHCPサーバから割り振らてたIPアドレスが割り振られています。本稿ではこれを固定IPアドレスに変更する方法と、DSM(DiskStation Manager)にアクセスする為のポート番号の設定を解説しています。

DSM(DiskStation Manager)のログイン画面をカスタマイズする方法を解説しています。これを使う事により企業特有のログイン画面が作成できます。

SynologyのDSM6の基本画面とコントロールパネルの基本的な使い方を解説しています。

SynologyのNASは独自のDSM(DiskStation Manager)というOSで動いております。私が経験したのはDSM4、DSM5を経由し、現在はDSM7を利用しています。どのバージョンでも操作は基本的には変わりません。

Synology サーバとWindowsPCをWebDAV接続すると、インターネット環境やローカル環境からアクセス権限を持った総てのフォルダがローカルフォルダと同様に利用できるようになります。ここではこの方法を解説しています。

SynologyのWordpressパッケージをインストールする方法を解説しています。

Synology のNASをインターネットからアクセスする方法としてDDNS(Dynamic DNS)を利用する方法があります。本稿ではDDNSにSynologyのDDNSを利用する方法と、インターネットルータへのポート番号設定事例を紹介しています。

SynologyのNASにWordpressを インストールしてWebサーバを構築する場合、ローカルPCからもURLでアクセスできる必要があります。この解決方法にSynologyのDSM Serverを使う方法を解説しています。

SynologyのNASに日本語版WordPressをインストールするやり方を解説しています。複数のWordPressも同一手法で稼動させることができます。