カテゴリー: Synology

Synology NASについてハード/ソフトの投稿

  • [Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは

    [Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは

    RT2600ac

    NASとRouter

    Synology社のRT2600acは、協力なセキュリティ機能を持つ高速ルーターです。パッケージセンターに、無料のセキュリティソフト「Threat Prevention」があります。導入することをお勧めします。

    RT2600acハードウェアインストールガイド

    RT2600acユーザーガイド(SRM 1.2)

    もしも、ローカルネットワークにNASを立ち上げて、インターネットからNASにアクセスしたり、WordPressを立ち上げている場合には、不正がアクセスが増加します。是非、「Threat Prevention」をインスートルして下さい。

    • NASを構築している場合
    • Blogサイトを構築している場合

    当サイトでは、Synology社のDSシリーズNASにWordPressを導入しています。

    • Synology DS918+
      • ホームサーバー
    • Synology DS920+
      • WordPress

    SynologyのNASでのポートに関わる設定は、同社のルーター製品への連携機能により社の製品であるため自動で設定できます。具体的には、ネットワークのポート番号の設定では、NASのツールから設定すれば、rt2600acのルーターのポート転送に反映されます。

    Threat Preventionは、不正なアクセスからローカルネットワークを強力に守ってくれます。

    Threat Prevention

    インストール

    Synology Router「RT2600ac」にログインして、パッケージセンターからThreat Preventionをインストールします。

    Threat Preventionをインストールした初期状態でも、セキュリティとして重大性が「大」ものは、自動判定して「ドロップ」してくれます。

    設定により、重大性が「中」、「小」についてもドロップの設定も可能です。

    Threat Preventionが、怪しいアクセスを察知してドロップした時には、指定したE-mailアドレスに知らせてくれるように設定することも可能です。

    「侵入を試みる」ログ

    Threat Preventionを運用していて,以下のようなログが残っていることがよくあります.

    ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Referer

    ESSHOP?

    ECSHOPというのは,e-コマースショップということで,電子商取引のことを意味するようです.要するにWeb Shopのことですね.

    どうやら、Web Shopに向けた攻撃のようです。

    WordPressのセキュリティ関連をネットで調べてみると、WordPressに実装されているデータベースが、攻撃の標的になりやすいとの事でした。

    あと、Web Shopでメンバーシップを構築するために、パスワードで管理されたページを作れるプラグイン「Ultimate Member」があるのですが、数年前に不正攻撃の標的として結構な数があったと、ある記事にありました。

    WordPressの稼働数は全世界的であり、最も多いサイトのサーバーです。当然、絶対数が多ければ標的になる数が多くなるのは仕方がないことだと思います。

    話はもどって。

    Referer? / Injection?

    侵入しようとしてるハッカーは,Refererというヘッダーに記載された内容で注入(Injection)することで,ターゲットのサイトの脆弱性(OSのコマンドをPHP経由で実施できるかどうか)を検査しているようです.

    ログによれば、このパケットを「Threat Prevention」が感知した訳です.

    用語の解説は,以下サイトにあったので参考にさせて頂きました.
    ペネトレ検証-ECサイトに侵入 – Shooting!!!より

    侵入される原理がよくわからないので,直接的な対策はよくわからないのですが,完全にお任せしてよいです。だだし、重大性が「中」のものは、「ドロップ」設定にした方がよいと、少なくとも「Threat Prevention」はログにアラートを残しているので、定期的にログを確認して、そのIPアドレスを「ドロップ」に設定にしておきます。

    実は、重要性「中」及び「小」についても、運用後、2年ほどになりますが、「ドロップ」設定には余りしたことがありません。

    というのも、「中」のログでも、結構な数になかるらです。重要度「大」のドロップで必要十分かも知れません。

    まとめ

    まあ、何が起こるがわからないので、定期的なログの確認は行いましょう。

    以上

    編集履歴
    2020/03/05 追記 WordPressのデータベースが標的になりやすいこと、数年前にUltimate Memberプラグインが標的になったこと。
    2020/04/17 追記 定期的なログの確認について
    2023/07/11 文言整備
  • [Synology] NAS (DS918+/DS920+)の バックアップを考える – システム構成は「Hyper Backup」、「Snapshot Replication」および「Synology Drive」- Smartプラグによる外付けHDDケース電源の管理によるセキュリティ向上、最後にシステムコンフィグレーション /クラウドバックアップも考え [2023/11/15]

    [Synology] NAS (DS918+/DS920+)の バックアップを考える – システム構成は「Hyper Backup」、「Snapshot Replication」および「Synology Drive」- Smartプラグによる外付けHDDケース電源の管理によるセキュリティ向上、最後にシステムコンフィグレーション /クラウドバックアップも考え [2023/11/15]

    はじめに

    2023/11/15,内容(クラウドバックアップについて追加)を更新しました.編集履歴は,最後尾を参照してください.

    ローカルネットワークに、DS918+とDS920+を立ち上げています。DS918+では、DS918+の外付けHDDにバックアップしています。DS920+のストレッジはSSDで構成しているので,HDDでストレッジを構成しているDS1621xs+(DS918+から移行)より少ないため、DS920+のバックアップ先は、DS1621xs+に設定して行っています。以下,DS918+はDS1621xs+に読み替えてください (2022/11/13).

    最近までのバックアップ体制は、「Hyper Backup」と「SnapShot Replication」の2つの構成でしたが、「Synology Drive」を追加した3つの構成にしました。Synology Driveは、PC/iPadなどの端末のデータバックアップを目的に導入しています。

    Hyper Backupは、NAS間や外付けUSB HDDにシステム設定やアプリケーションをバックアップすることができます。

    SnapShot Replicationは、#snapshotフォルダーというシステム・フォルダを作り、そのフォルダー内に、指定した時間毎に差分のバックアップを作成し続けます。

    Hyper BackupとSnapshot Replicationにより、復元能力が高まります。

    忘れてはいけないのは、システムの設定などのバックアップです。これについても最後に示しています。

    Driveは、Synology NAS同士でもバックアップが可能ですが、PCやiPadのデータをSynology NASにバックアップできます。そのモードは、(1)同期、(2)アップロードのみ、が可能です(追記、2022/01/08 by Mr. Harikiri)。

    Hyper Backup/Snapshot Replication、そしてDrive

    Synology NASのパッケージには、いくつかのバックアップ・ソリューションが無料で提供されています。その内、以下の2つのバックアップ・アプリケーションについて役割を意味付けし、それぞれを使い分ける運用を考えます。最後に、3つ目のパックアップアプリのDriveは、端末のデータ バックアップを目的に解説しました。

    • Hyper Backup
    • Snapshot Replication
    • Drive

    Hyper Backupで十分か?

    これまで、Hyper Backupのみで運用していました。どのようにパックアップを捉えたらいいのか、余りわからないまま使用していたわけです。

    バックアップの運用では、長らくSnapshot Replicationも併用していまましたが、PCやiPadのデータ バックアップも統合的に行いたかったので、Driveの運用を追加しています。

    Hyper Backup

    Hyper Backupの運用は、毎日1回のバックアップを実行するにように、スケジューリングしています。

    Hyper Backupの機能の概要は以下の通りです。

    • EXT4, Btrfswiki (Synology NASの+シリーズで対応)
      • 対応するファイルシステムは、EXT4, Brtfsです
      • Snapshot Replicationと併用するには、ファイルシステムをBtrfsで構築する必要があります
    • バックアップファイルの「暗号化」
      • AmazonやGoogleなどの、ローカルでないパブリック・サーバーへの保管もある程度は安心です
      • 何らかの理由で、マシンを全てロストした場合でも、新しいDS918+を購入してデータを復旧できます
    • 復元
      • バックアップファイルは、Hyper Backupでしか復元できない
    • バックアップの内容
      • 「システム構成」のバックアップと復元
      • 「アプリケーション構成」のバックアップと復元
      • 「ブロックレベルの増分バックアップ」機能(初期バージョンの差)
      • 「データ」のバックアップ
    • バックアップ先
      • 「外付けUSB HDD」へのバックアップが可能。Btrfsである必要はない
      • 「リモートSynology NAS」へのバックアップが可能。異なる敷地にあるNAS間が理想です
      • 「ファイルサーバー」へのバックアップ
      • 「クラウドサーバー」へのバックアップ
    • バックアップの「スケジューリング」

    2つのバックアップソフトのインストールは、以下のリンクをご参照ください。

    Synology NASをバックアップする方法

    https://www.synology.com/ja-jp/knowledgebase/DSM/tutorial/Backup/How_to_back_up_your_Synology_NAS#t2.3

    Snapshot Replication

    Snapshot Replicationの複製先に必要な機能

    ここで複製と言っているのは、2つの機能のことです。

    1. Snapshotとは
      • 選択した共有フォルダのスナップショットを取得します
      • 取得先は、共有フォルダ直下の「#snapshot」フォルダです
      • 設定した間隔でスナップショットを取得します
      • リビジョン管理できます。Windowsのエクスブローカーから以前のバージョンを見たり,復元することができます
    2. Replicationとは
      • 選択した共有フォルダの複製をスナップショットの形式ではなく、正に複製(replication)を取得します
      • 複製先は、ローカルとリモートを設定できます。最近、DSMがバージョンアップしてから、ローカルが設定できなくなりました(2020/09/27, Mr. Harikiri)
      • リモートにも同様に「SnapShot Replication」をインストールしておく必要があります
      • 複製先には、以下のファイルシステム(Btrfs)の要件が必要です
      • リモートにReplication(複製)しても、#snapshotフォルダも複製されます。スイッチオーバーも可能ですsource
    • Btrfsボリューム
      • システムHDD (または最近ではSSD)の初期設定においてBtrfsを選択している必要があります
    • Snapshot Replication
      • 必要なアプリです
      • 複製先にリモートを設定する場合、リモートにも「Snapshot Replication」がインストーされている事が必要です

    実質的には,Synology NAS間でしか複製(Replication)はしにくいか、または、できないのではないかと思われます.Synology製以外,且つ高機能なNASを持っていないので分かりません.

    Snapshot Replication – DiskStation Manager – より

    https://www.synology.com/ja-jp/knowledgebase/DSM/help/SnapshotReplication/data_protection_mgr

    SynologyのDSMでNAS2台をLAN経由&インターネット経由で同期させてバックアップ&フェイルオーバー&リカバリしてみた

    https://gigazine.net/news/20171005-synology-6th-review/

    SnapShotの使用例

    [WP] WordPressをアップデートした途端にエラーを吐いてダウン,SnapShot Replicationを使用して瞬時に復元! パーミッションの設定方法[2023/09/23]

    [WP] WordPressをアップデートした途端にエラーを吐いてダウン,SnapShot Replicationを使用して瞬時に復元! パーミッションの設定方法[2023/09/23] はコメントを受け付けていません

    Drive

    Synology Driveによるバックアップは、PC端末のデータを専用のクライアントソフトで修正されたら即時にそのままのフォルダ構造でバックアップしてくれます。また,当然,2つのNAS間でも可能です.

    他方,HyperBackupの場合,1回限りのバックアップでは,そのバックアップ先ではそのままファイル/フォルダを閲覧したりアクセスが普通にできるようですが,定期的にバックアップする場合,バージョン管理されるため特別なフォーマットでバックアップされます.そのため,ファイル/フォルダは普通に閲覧することはできません.

    そこで,NAS(1) – PC間または,NAS(1) – NAS(2)間で,そのままのフォルダ構造でバックアップしたい場合,即ち,ミラー情報としてバックアップしたい場合は,Synology Driveを使用します.

    必要なアプリのインストー

    Driveによるバックアップには、Synology NASにサーバー(Drive)をインストールし、データを保持している端末(PC/iPad/Synology NAS)にClientアプリをインストールして使用します。

    • サーバー用アプリ : Synology Drive (Synology Drive Adminコンソール)
      • Synology Driveでは、Adminコンソールで、すでに存在する共有フォルダに対してチームフォルダに設定したフォルダ内にサブフォルダの作成や、チームフォルダ/個人フォルダ内のファイル閲覧ができます。
      • Adminコンソールでは、クライアントと共有するためのチームフォルダの設定、クライアント・リストの確認、同期/アップロードなどのログの確認、及びドライブ容量などの情報の確認ができます。
    • NAS用のクライアント アプリ : Synology ShareSyc
      • ShareSycモードでは、シンクロモード(同期)やアップロードモード(サーバーにあるファイルを削除しない限り残る)させるモードの設定、及び、サーバー接続の設定が可能です。
      • サーバーにアップロードのみのモード
    • 端末用のクライアント アプリ : Synology Drive Client
      • NAS用のクライアント アプリ (Synology Drive, webブラウザを使用)と同様の機能を持つPC用クライアントです。

    パッケージセンターから「Drive」をインストールすると,以下の3つが機能追加されます.

    1. Synology Drive: NASのDrive閲覧
    2. Synology Drive ShareSync: NAS間の同期を設定
    3. Synology Drive Admin Console: NAS上のフォルダーを指定

    Synology Driveを追加したシステム構成全体としてのSynology DriveのモードやサーバーNASの構成は以下の通りです。

    • クライアント アプリではアップロードモードに設定
    • アップロードした先のサーバーNASでは、Hyper BackまたはSnapShot Replicationでバックアップを実施
    • 運用(1) : PC/iPadは、それぞれのクライアントアプリをインストールして運用.
    • 運用(2) : 以下は特種な運用方法ですが、事例として参考になると思うので、その運用概要を示しました。
      • A拠点には、光ネットワーク、サーバーNASを設置しています.
      • B拠点には、SoftBank Air (WiFi)、クライアントNASとPC/iPadを設置しています。日々、クライアントのデータが増加します.
      • B拠点のデータをA拠点にバックアップすることが目的です.
      • B拠点のNASのチームフォルダには、PC/iPadからネットドライブやDrive クライアントからデータがアップロードされます。
      • B拠点のNASのチームフォルダは、A拠点のDrive サーバー NASに自動的にアップロード(モード)されます。
      • A拠点のNASは、Hyper Back/SnapShot Replicationでバックアップされます。

    ミラーでバックアップ

    クライアント側で,ミラーによるバックアップができるように設定します.下図は,NASのクライアントソフト(Dirve ShareSync)の場合の設定例です.

    注意点ですが,項目「再リンクしたときのデフォルトの操作を選択します」の設定では,以下の事象が起こったので,その場合の対応策を示しました.因みに,「リモートNAS」は「サーバーNAS」のことです.

    事象 : 不具合と対処方法

    1. 初期設定で,(1)「・・・リモートNASから再取得されます」としていました.
    2. ミラーによるバックアップに変更するために,(2)「・・・リモートNASから削除されます」に変更し,OKで閉じて設定できたつもりでした.
    3. 一旦,リンクを解除して再接続したところ,(1)の設定が生きており,クライアントNASに削除したばすのテストファイルが生き返ってしまいました.
    4. そこで,クライアントNASを再起動したところ,削除したテストファイルは生き返ることなく,リモートNASから削除されました.
    5. この状態で,クライアントNASにある既存ファイルを削除してみたところ,リモートNASのミリーファイルも削除されることが確認できました.

    バックアップ体制の構築

    まず最初に設定しておきたい機能は、Snapshot Replicationの「snapshot」です。スケジュールングして、例えば10分や、30分毎に差分のバックアップを取るように設定します。最小5分の間隔も設定できます。

    以下に、これら機能について、今一度まとめました。

    • Windowsからネットドライブとして使用している場合、前のバージョン(リビジョン)が保存されているので、ファイルのプロパティのバージョンから以前のものを復元できます
    • NAS モデルが Btrfsファイル システムをサポートしている場合、Snapshot Replicationを使用してローカル コピーを作成できます(DS918+/DS920+は可能)
    • iSCSI LUN対応
    • Hyper Backupより処理速は高速
    • スナップショットのスケジューリング(予約スナップショット)は、の3モードがある
      • 常に維持する
      • 最新を維持する
      • カスタマイズ
    • Synology Snapshot Manager
      • Synologyサイトからダウンロードし以下のプラットフォームにインストールすれば、Snapshotを直接管理できる(http://www.synology.com/から無償)
      • VMware
      • Windows Server

    Snapshot, Synologyサイト –

    https://www.synology.com/ja-jp/knowledgebase/DSM/help/SnapshotReplication/snapshots

    最初のスナップショットを取ると、フルバックアップが取られます。その後、バックアップとの差分が取得されます。いずれも、スナップショットです。

    Snapshot Replicationのインストールと設定方法及びスナップショットの概念について、ATCさんの以下の記事が大変参考になります。

    Synology NASでスナップショットを取得する | Snapshot Replication

    https://www.atc.jp/synology_nas_snapshot_replication/

    バックアップの充実化

    Synology NASに保管しているデータおよびNote StationやDBなど一部サーバーのバックアップは、Hyper Backupで必要十分です。

    Snapshot Replicationを使えば、システム構成というより、データの復元に特に向いています。

    この2つのバックアップを使うことで、よりきめ細かなバックアップにより、ほとんどの異常事態においても完全な復元および短時間で最新の復元が実現できます。

    対応するNAS

    Synology製品で、SnapShot Replicationが使用できる、Synology NASシリーズは、Synology siteを参照してください。

    Hyper BackupとSnapshot Replicationの比較

    Hyper Backup

    Hyper Backupの処理時間は、Snapshot Replicationの処理時間より多くかかるが、以下のリストおよび表1に示したように、5種類のストレッジにバックアップできます。暗号化も可能。

    1. ローカル
    2. 外部USB
    3. 別のSynology NAS
    4. ファイルサーバー
    5. パブリッククラウド

    Snapshot Replication

    一方、Snapshot Replicationは、基本的に指定した共有フォルダのスナップショットを取得します。これがsnapshot機能です。そのスナップショットをバックアップするのが、replication機能です。

    ランサムウェア対策には、Snapshot Replicationが良く使われているようです。

    その対応策は、別途、replicationしていたデータを使いデータを再構築します。

    表1. バックアップ・アプリの比較(Synology Siteより)

    バックアップ先Hyper BackupSnapshot ReplicationUSB CopyCloud Sync
    ローカル共有フォルダありありなしなし
    外部デバイス (USB)ありなしありなし
    別の Synology NASありありなしなし
    ファイル サーバーありなしなしWebDAV と OpenStack データ同期専用
    パブリック クラウドありなしなしあり

    バックアップ戦略

    バックアップは、(1)データが破損などによりカレントのデータ自体が無くなる場合、(2)サーバーが損傷する場合、(3)サーバーが置かれている場所が崩壊するなど、データ自体が無くなる要因は、最悪の場合も予想できます。

    • (1)データのみが無くなった場合は、ローカルのバックアップから復元すれば済む
    • (2)サーバーが損傷した場合、同じサーバーをあらためて購入するなどして用意し、別にバックアップしていたSynology NASやファイルサーバーから復元すればよい
    • (3)サーバーが置かれていた場所の崩壊の場合、パブリッククラウドのバックアップや別サイトのSynology NASのバックアップから復元できる。

    個人の場合、自宅内にある別Synology NASか、Windowsのファイルサーバーにバックアップするものと想定されます。それは、一般的な選択肢になります。

    また、パブリッククラウド(iCloud, Amazon, Googleなどから提供されるサービス)をバックアップの保存先に選択することは、Hyper Backupが暗号化機能を有していることから、そのハードルはそれほど高くないと思われます。

    実際の運用

    別のSynology NASがない場合、すなわち2台もNASないのが一般的だと思われるので、それを前提にすると、以下の運用がベターです。

    因みに、最近、DS918+の後継機であるDS920+をblog用に導入しました。現在は、この二台体制によりバックアップ体制が充実しています(2020/09/08 HARIKIRI(MR) )。

    1. Snapshot Replicationの運用

    小さなトラブルのためには、日頃から小まめなバックアップをして、また、復旧も迅速にするために活用します。バックアップ先はローカルにします(一般的な使用ではそれしかない)。

    例えば「web」フォリダーをバックアップ元すると、バックアップ先には「#snapshot」というフォルダーが作成されます。設定したスケジュールでスナップショットは、この「¥web¥#snapshot」ローカルフェルダーに、スケジュールされた日時を表すフォルダー名で作成されていきます。

    日々の大きなバックアップは、Hyper Backupに任せます(毎日)が、Snapshot Replicationによるスナップショットの間隔は、Hyper Backupより短い方がよいです。例えば1時間や2時間、5分毎も可能です。#snapshotフォルダーは、Hyper Bacvkupによるバックアップ対象のフォルダーではありません。従って、Hyper Backupのバックアップ先には、#snapshotフォルダーは含まれません。

    2. Hyper Backupの運用

    おすすめは、Synology NASにHDD毎に独立の電源スイッチがある裸族のお立ち台を接続(USB4台)して、毎日のパックアップ、パックアップ完了後のアンマウントしてオフラインにする設定が安全面からベターでです。

    ただし、バックアップの後の次のパックアップには、HDDケースのスイッチのOFF/ON操作が必要になります。こまめなOFF/ONは必要とは思わないので、気づいたときにOFF/ONする運用でもよしとします。ただし、バックアップ先のHDDが再マウントされていないため、HDDがオンラインにならないとバックアップは失敗します。HDDのOFF/ONによりマウントされている場合は、その時に限りバックアップされます。この点は注意してください。

    3. 自動化

    当サイトでも記事にしている「Switch Bot」シリーズの「プラグ」を用いて、外付けHDDケースの電源をコントールしバックアップの自動化を行う。これにより、手動によるHDD電源のオン/オフは不要となり、不必要な時間帯での外付けHDDケースの稼働が避けられることで、セキュリティ向上につながる。

    • 当サイトでも記事にしているSmart Botシリーズのプラグを、DS918+のUSBに接続した外付けHDDケースの電源プラグと家庭用コンセントの間に接続
    • iOS用SmartBotアプリからプラグの稼働時間を設定します
      • Hyper Backup、および Snapshot Repricationがバックアップするタイミングに応じた時間帯に設定します
      • 設定する時間帯の開始と終了の時刻は、5分から10分程度の余裕時間も考慮します
    • 設定した通りに、外付けHDDケースに対してバックアップできているか、ログを確認します
    WD BlueTM (5400 RPM Class)
    • 2年保証
    • 3.5 inch
    • Win/Mac対応
    • 4Kセクタ(AF)
    • SATA, 5Gb/s
    • 5400 rpm
    • イメージバックアップソフト(無料ダウンロード), Acronis True Image WD Edition (Windows版)
    • NoTouchTM ランプロードテクノロジー搭載: 記録ヘッドがディスクの表面に触れないように安全に配置されており、データを保護する

    USB Copy

    もっと柔軟なバックアップには,USB Copyも活用できます.

    • DS918+/DS920+では,全面とは背面に,1つずつUSB 3.0ポートがあります.外付けHDDにフォルダ/ファイルをコピーすることができます.
    • コピー動作のトリガー
      • USBデバイスのホットプラグしたとき
      • ハードウェアコピーボタンを押したとき
      • スケジュールを有効にして,その稼働時期になったとき
    • モード
      • フレキシブルモード
        • インクリメンタル
        • ミラー
        • マルチバージョン
    • 高度なオプション
      • インクリメンタで以下のオプションが使用できる
        • 送り先フォルダーの元のファイル構造を削除
        • ファイルの競合ポリシー
        • コピーが完了したら,そーすファイルを削除
      • マルチバージョンで以下のオプションが使用できる
        • ローテーションポリシーオプション
          • 古いバージョンからローテーション
          • Smart Recycle
          • 最大65535のバージョン保存
    • タスクが完了するとUSBデバイスは安全に自動排出される
    • フィルター機能が使える
      • 音楽,動画,画像,文章
    • ログ作成機能
      • 最大100,000
    • 通知機能
      • SMS
      • E-mail
      • モバイル
    • ビープ音
      • 開始時
      • 終了時

    USB Copy — Synology サイト —

    USB Copy の仕様 | Synology Inc.

    PC/Macなどのバックアップ

    以下のActive Backup Suiteによるバックアップに関するる記載は,古くなっています.2023年現在,Active Backup Suiteは,名前を変えてActive Backup for Bisunessとなりパワフルになりました.

    以下の内容は古いですが,記載内容は残しておきます(2023/10/08)

    Active Backup for BisunessでPC/Macをバックアップする方法は,別の記事を参考にしてください.

    https://harikiri.diskstation.me/synology/42352/(新しいタブで開く)

    Active Backup suite (古い,2023/10/08現在)は,Synology NAS以外のマシンのバックアップをSynology NASにすることを可能にします。

    Synologyが提供するライセンスフリーのバックアップバッケージは、SMB、rsyncによりSynology NAS以外のマシーンのデータやシステムをバックアップすることができるようになります。

    • Windows 10 PCのデータ、システムのバックアップと復元
      • バックアップは、Synology NASをバックアップする同様の技術で、差分バックアップすることでバックアップ容量を削減できる
      • リストアでは、CDやUSBメモリーで起動して、バックアップデータを保存しているSynology NASに接続することで、指定の復元ポイントに戻すことができる
    • ファイルサーバー
    • 仮想マシン

    Active Backup Suite – Synology Site –
    (2023/10現在,Active Backup for Bisunessと名前を変えてパワフルになりました.以下の記述とリンクは参考までに止めてください)

    Active Backup は、VMware、Hyper-V、Windows エンドポイント、Microsoft 365、G Suite のバックアップタスクを Synology NAS で一元管理し、一台のシンプルなコンソールで管理できるようにします。高速で信頼性の高いリカバリを実現し、実行中のサービス、VM、およびファイルを即座に利用できるようにします。

    具体的には、Active Backup for BuisinessパッケージをSynology NASにインストールし、Windowsをバックアップしたい場合は、Windows10用のエイジェントをPCにインストールするところから始まります。

    https://www.synology.com/ja-jp/dsm/feature/active_backup_suite

    システム・バックアップ

    以下で説明する「システム・コンフィグレーション」のバックアップは、Synology NASシステムの各種設定についバックアップすることが可能です.システム障害が起こった時に、できるだけ最小限の復旧作業で済みます。

    以下挙げた項目がバックアップされます。以下の図のように、拡張子が、「dss」のシステム・コンフィグレーション」ファイルをダウンロードし,その時まで安全に保管しましょう。

    • ユーザー
    • グループ
    • 共有フォルダー
    • ワークグループ
    • LDAP
    • SMB
    • AFP
    • NFS
    • FTP
    • Advanced
    • ネットワークパックアップ
    • ユーザーホーム
    • パスワード設定
    • パスワード期限
    • SNMP
    • タスクスケジュール
    • ノーティフィケーション

    最終防衛線はクラウドか!

    以上,バックアップしたデータの保管場所(サイト)を自宅にするという前提で解説してきました.即ち実データとバックアップデータが同じ場所という設定でした.実データとバックアップデータが同じ場所にあるということは,もしも,侵入者が実データを奪取できたとした時,同じ場所にあるバックアップデータも危険に曝されていることになります.

    そこで,考えられるのは,バックアップデータを保管を他サイトにするという提案です.それが,今後の在り方なのかも知れません.でも,個人的には少し抵抗がありますが,暗号化したバックアップデータであれば,少し積極的にはなれそうです.

    クラウドサービスは,どこでもよいのですが,例えば,マイクロソフトのOne Drive,AppleのiCloud,それとSynologyが提供するC2 Storage,等があります.クラウドサイトの地域は,Synology C2では,ヨーロッパ,北米,台湾です.One Driveおよび iCloudは,日本だと思われますが公表されているのかは不明です.

    Synology C2のアドバンテージは,Synology NASの機能に沿ったサービスが提供されます.C2の価格は,以下のリンクから確認できます.

    C2 Storageの価格 – Synology

    https://c2.synology.com/ja-jp/pricing/storage

    まとめ

    Snapshostによるバックアップは、ランサムウェア対策に使われることが多いと聞きます。短い間隔での差分バックアップであるため、最も近い過去での最新バックアップを持っているためです。

    ベースとなる「まるごとバックアップ」は、Hyper Backupに任せて、そのHyper Backupのバックアップ間隔の隙間を埋めるのが、Snapshot Replicationです。

    最後に、バックアップと共に、セキュリティとして重要であるのが、データの漏出の防止です。その為には、暗号化についても考える必要があります。もしも、Synology NASを使用しているのであれば、暗号化について以下の記事もご覧ください。

    編集履歴

    2019/12/01 はりきり(Mr)
    2020/01/03 追記・文言整備
    2020/03/05 文言整備
    2020/04/24 追記 (関連記事)
    2020/05/01 追記 (Snapshot Replicationは、Btrfsで使用できる)
    2020/05/04 追記 (ランサムウェアについて、まとめ)
    2020/08/13 文言整備、修正(web-1フォルダーが作成される → #snapshotフォルダーが作成される)、追加(DS920+とDS918+について)
    2020/09/08 文言整備、追記 (DSMでの操作画面)
    2020/09/27 誤記修正 (誤記であったHyper Backupでリビジョン管理を削除)、文言整備
    2021/01/03 追記 (自動化 - Smart Botのプラグを使って外付けHDDケースの電源のON/OFFを管理する)
    2021/03/28 追記 (USB Copyについて)
    2021/04/03 追記 (Active Backupパッケージについて)
    2021/05/15 追記 (システムコンフィグレーションのバックアップ)
    2021/10/16,文言整備(SnapShot Replication関連)
    2022/01/08,追記(Synology Driveによるバックアップ)
    2022/11/13,修正(DS918+からDS1621xs+に移行したことに伴う)
    2023/08/28,追記(Synology Driveを使ったミラーバックアップについて)
    2023/10/08,追記(Active Backup for Bisunessは,Suiteからパワーアップ)
    2023/11/11,追記(パッケージセンターからDriveをインストールして追加される3つの機能: Synology Drive, Synology ShareSync,および Synology Drive Admin Console)
    2023/11/15,追加(クラウドにバックアップするについて)
    2024/07/14,文言整備(誤記訂正など)

    以上

  • [Synology] Threat Preventionが検知したWordPressへの連続Loginアタックは全てIPアドレスが異なっているBrute Force Attack – reCAPTCHAプラグインで対策する [2020/03/20]

    [Synology] Threat Preventionが検知したWordPressへの連続Loginアタックは全てIPアドレスが異なっているBrute Force Attack – reCAPTCHAプラグインで対策する [2020/03/20]

    Threat Preventionとは

    Synologyのパッケージ「Threat Prevention」は、IT業界における一般的な名称は、「侵入検知システム (IPS: Intrusion Prevention System)」です。

    攻撃を受けた

    Threat Preventionのログを眺めていると、少し怖いログが残っていました。調べてみると、Brute-Force-Attackと呼ばれる不正にアカウントを取得する総当たり攻撃であることがわかりました。

    Threat Preventionでは、アラート処理に留まっており、ドロップしていないことがログよりわかりました。何かの対応策が必要です。

    参考
    ブルートフォースアタックとは?実験から分かる危険性と有効な4つの対策

    https://japan.norton.com/brute-force-attack-9215

    攻撃内容

    その内容は、18:30から始まり、44分間で35回のWordPress Longin が試みられていて、どれも異なるIPアドレスからでした。

    最初は1分間隔で、後半は2分間隔の攻撃で、ログには、”ET POLICY Cleartext WordPress Login”とあり、以下の図の様に実行されていました。

    WordPressには、時間と回数によるセキュリティは掛けていました、IPアドレスが異なると機能しなはずです。

    35回程度でPWを破られることは無いと思われますが、2段階認証(2ステップ認証)も導入しておかないと危険であると判断しました。

    2019/11/24 はりきり(Mr)

    threat prevention

    CAPTCHの導入を考える

    このような攻撃に対処するreCAPTCHAプラグインをWordPressにインストールすることにしました(2019/11/24)。

    追記 (2019/11/24)

    Brute-force attack (参考1)と呼ばれるアカウント取得のハッキングのようです。多くのHTTP Brute Force Attack Toolは、ネット上に存在するポートが空いているプロキシサーバーのリストをもとに、そこを中継して攻撃をしてくるため、IP Addressが異なることが多いようです。

    このため、このプロキシサーバーのリストにあるIP Addressを全てブロックできればよいようですが、個人そこまでできません。

    デバイスCookie

    既知および未知のブラウザまたはデバイスからの認証試行を個別にロックアウトすることも検討できます。 デバイスCookieを使用したオンライン推測攻撃のスローダウンの記事(参考2)では、特定のブラウザーが既にログインに使用されているかどうかに関する情報に基づいて、ロックアウトメカニズムのプロトコルを提案しています。 このプロトコルは、単純なアカウントのロックアウトよりもDoS攻撃の影響を受けにくく、効果的で実装が容易です。

    CAPTCHAの使用

    よくある写真で自転車だけ選びなさいとか言うやつです。パズルもありますね。

    最終的に、GoogleのreCAPTCHAを利用するWordPressのPlugin “Login No Captcha reCAPTCHA”をインストールしました。インストール方法は、TechMemoさんをご参照ください。

    Amazonに行く

    参考1

    Blocking Brute Force Attacks

    https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks

    参考
    デバイスCookieを使用したオンライン推測攻撃の速度を落とす

    https://owasp.org/www-community/Slow_Down_Online_Guessing_Attacks_with_Device_Cookies

    参考3

    ブルートフォース攻撃のブロック

    https://translate.google.co.jp/translate?hl=ja&sl=en&u=https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks&prev=search

    編集履歴

    2020/03/20 文言整備、用語整備、参考サイトの整備

    関連記事

  • [Synology] RT2600ac – Threat Prevention ユーティリティで重大度が高いパケットのドロップ設定、ポリシー設定でローカルネットワークを守る – [2021/05/15]

    [Synology] RT2600ac – Threat Prevention ユーティリティで重大度が高いパケットのドロップ設定、ポリシー設定でローカルネットワークを守る – [2021/05/15]

    ID3461

    Synology Router RT2600ac

    Synology社は、台湾の企業です。個人レベルのNASから、ラック収納するタイプの大規模サーバー製品も作っており、世界的な企業になってきました。独自開発のパッケージ製品の性能が高いことが特徴です(by Mr.HARIKIRI, 2020/12/10)。

    Synology RT2600ac
    Synology RT6600ax
    2022/8にRT2600acからRT6600axに変更しましたが,Synologyのルーター製品では,同じユーザーインターフェースのSRMが使用されているので,使い勝手は同じです.

    RT2600acには、Synology製のインターネットからのアタックからローカルネットワークを守るThreat Preventionというセキュリティ・パッケージが提供されています。

    Synologyのテストによる接続性ですが、RT2600acへの同時接続は、100台までならフル速度で接続できたとしています。個人で使用するRouterとしては十分な性能であり、僕みたいに自宅のNASにblogを立ち上げているようなパワーユーザーである個人使用としても十分に役割を果たしてくれるRouterです。

    その他にも、RT2200acというルーターも提供されていますが、「Threat Prevention」はサポートされていません。セキュリティを高めたいなら、RT2600acを選択すべきです(2021/0515, MR.HARIKIRI)。

    Synology Routerの比較 – Synology site –

    https://www.synology.com/ja-jp/products/compare/routers

    Rule Set

    Threat Preventionのプロックする基準は、脅威のルールセットを元にしています。設定にソースを選ぶところでは、ET Open/ET Proを選べるようになっていますが、ET Openがオープンソースです。ET Proは$900の費用が必要であるとネットには記載がありました。

    Proofpoint Emerging Threats Rules

    http://rules.emergingthreats.net

    Threat Prevention

    Synology RouterのSRMからThreat Preventionユーティリティを起動する。

    1. 概要 > 潜在的な脅威のあるデバイス > 詳細クリック
    2. 定期的に重大度(高)を探して、「ポリシー追加」ボタン > ポリシーの編集 > 造作:ドロップ、に設定しておく。
    3. 起動には、外付けのUSB メモリ にシステムデータベースの構築が必要
      • 当初、余っていたUSB メモリ4GBを使っていました
      • ログの最大を2GBにしていたため、余りが2GBの計算となっていたが、残り3GBは必要との記載があった
      • SRM 1.2.4-8081 Update 2にアップデートしてから、Threat Preventionが途中停止していることが数回あった。
      • そこで、USB メモリ 4GBを16GBに交換することにした

    攻撃からの防衛ポリシー管理は、自己定義ポリシーのページで行います。

    • 自己定義ポリシー > ポリシー > 「クラスポリシー」項目

    最も脆弱性があり被害のインパクトが高いものは、重大度: 高として、Web Application AttachやPotential Corporate Privacy Violationなど、いくつもクラスがあります。代表的なクラスは、以下の「Web Application Attackとは」を参照してください。これらを監視するかの設定は、

    • 自己定義ポリシー > クラス署名
    • 各クラスごと個別に有効/無効を設定できます。

    少なくとも重大度(高)については、有効になっていることを確認しておきます。

    1. Web Application Attack : 重大度 (高)
    2. Potentially Bad Traffic : 重大度 (中)
    3. Misc Attack : 重大度 (中)
    • 自己定義ポリシー > ポリシー > 「著名ポリシー」項目

    署名ポリシーは、どれかのクラスに属する個別の分類です。Web Application Attachクラスに含まれるのが、下図でいうとET WEB_SERVER 401TRG GENERIC WebShell Request – POST with whet in bodyです。これは当然に重大度(高)です。

    ここで、wgetはLinux OS系では一般的に知られいるコマンド型のユーフィリティ、urlを指定すれば、そのサイト全部をゲットできる強力ツールです。

    • 設定 > 全般 > 「ハイリスクなパケットは自動でドロップ」項目にチォック

    してあれば、その都度ドロップされるようですが、そのようなログないので、以下のように、特定のアドレスも含めてドロップの設定にしておいた方が無難です。

    • イベント > 「ポリシー追加」ボタン

    その他、

    • 概要 > 潜在的な脅威のあるデバイス > 詳細クリック

    からも同様に、特定のアドレスのパケット・イベントをドロップ指定することもできます。

    Web Application Attackとは(参考1)

    1. Web Applicationの仕組み

    一般的に、3層のWebアプリケーションモデルが有名です。すなわち、ユーザーの接点は、ネットブラウザのことです。その先にJaveがあり、データベース(Data Base)があってはじめて機能しているのです。

    Web Applicationに対応するServerは、Webサイトへのアクセスを公開する必要があるため、基本的に保護されていません。ポートを規定値から変更していたとしてもポートスキャンなどで知られる危険性はなお残ります。

    • 最初の層: Webブラウザーまたはユーザーインターフェイス
    • 2番目の層: Javaサーブレット(JSP)やActive Server Pages(ASP)などの動的コンテンツ生成技術ツール
    • 3番目の層: データベース。コンテンツ(ニュースなど)と顧客データ(ユーザー名とパスワード、ソーシャルなど)を含む
    • すなわち、Web Applicationは、データベースのゲートウェイと言えます

    2. Web Application Attack (Webアプリケーション攻撃)

    RouterやServerのセキュリティ上の脆弱性により、外部から、そのデータベースに直接および一般からアクセスして、保護されているバスのデータを大量に取得する、これをWeb Application Attackといいます。

    企業のWebサイトを改ざんするような破壊行為(いわゆるスクリプトキディ (script kiddie)によって実行されることが多い)は今でも一般的ですが、今日では、攻撃者は、利益目的のためにデータベースサーバー(Data Base Server)にある機密データへのアクセスを志向しています。

    • データベースを直接標的とするSQLインジェクション攻撃
    • ユーザーをだましてフィッシングサイトにリダイレクトするクロスサイトスクリプティング(XSS攻撃)
    • その他

    重大度が高の統計結果

    参考

    1) scientists,”What Is a Web Application Attack and how to Defend Against It

    2) Understanding IPS Policy, JUNIPER NETWORKS, Techlibrary

    3) Learn more about Policy Violation, ScienceDirect

    4) ET Open vs ET Pro : いずれも脅威をブロックするためのルールセットであり、ET Openはオーブン製品、ET Proは商用製品($900)であることが説明されている。「Threat Prevention」の「設定」にある「ステータス更新」には、「ET Open」がデフォルトになっているが、商用製品も使用できるようになっている。

    編集履歴

    2011/11/22 Mr.HARIKIRI
    2020/12/10 追記 (Synology社についての紹介文、および2020/11/11~2020/12/10の期間 (1ヶ月)でプロックしたパケット地図)
    2022/11/20 追記 (RT6600axについて)
  • [Synology] DS Note for iOS

    [Synology] DS Note for iOS

    DS Note

    Synology NASのOSはDSM6ですが、そのApp群は結構豊富にあります。DS Noteは、マイクロソフトのOne Noteの代わりになると当初、ユーザーの皆さんからは、期待を込めて褒めちぎられていました。

    中々良いアプリですが、以下の問題があります。

    iOS用のクライアント・アプリのDS Noteの更新はあまりなく、2022/01/02現在でも以下の状況が続いています。iPad(iOS)からDS Noteを起動して編集する際、上下左右のカーソルキーが機能しないのです。この状態は2019/11以来放置されています。WindowsのSynology Note Station Clientでは、上下左右のカーソルはちゃんと機能しています。

    Synologyからのアプリ更新の少なさもそうですが、iOSにおいてもネイティブ操作(かな入力ですが)も変なことも多いので、どちらが100%悪いということはないです。でも、Synologyさんのアプリなので更新はしてほしいなぁ。

    では、気をとり直して、以下に設定方法の概要を示しました。詳細な設定は、その下に記載した記事のリンクをご覧ください。

    設定

    1. DSM上で稼働させているNote Stationのインストール
    2. コントロールパネル > ログインポータル > DSM portの番号の設定
    3. iOSのDS noteを起動、左上の設定(歯車マーク)
      1. DiskStation : http(s)://“host name”:”port no”
      2. ユーザー名 : “ユーザー名”
    4. ログインする。もしも、2段階認証を設定している場合は、2段階認証コードの入力が促されるので、入力してログインする。

    関連記事

    編集履歴
    2019/11/17 Mr.HARIKIRI
    2021/01/02 追記(現在もDS Note for iOSにおける上下左右のカーソルキーが機能しない)
  • [Synology] NAS – Photo Stationに保管しているファイルをYouTubeにアップする機能を試してみた 「ロンドンからスカボロ城へ行く(2016)」

    [Synology] NAS – Photo Stationに保管しているファイルをYouTubeにアップする機能を試してみた 「ロンドンからスカボロ城へ行く(2016)」

    ‪ID3200

    PhotoStation

    以前旅行した時の写真のスライドショーは、Synology NASに保管しています。

    SynologyのパッケージにあるPhoto Stationをインストールしているなら、Photo Stationから簡単にYouTubeへアップロードが可能です。

    YouTubeへのアップロード

    1. DSMにLogin -> Desktop mode -> Photo Station起動
    2. アップロードしたいファイルを選択
    3. Photo Stationの画面左下にある「共有」を選択
    4. 「YouTubeにアップロード」を実行
    5. 確認画面が現れる
    6. 必要があれば、サインインする
    7. 実行

    ブログからのリンク方法

    1. YouTubeから動画を選択し共有を選び、Twitterを選択
    2. 出てくるTwitterのツイート確認画面に記載の内容をコピー
    3. 自分のBlogから、その内容を使って投稿

    (2019/11/6 はりきり(Mr) )

    ロンドンからスカボロ城へ行く(2016) https://youtu.be/pvae_81ENho @YouTubeより‬

    編集履歴

    2020/04/24 文言整備
    2020/07/16 文言整備

  • [Synology] Router / SRM 1.2.3-8017 Update 3にUpdateされた時から、RT2600acを守っているThreat Preventionからの警告e-mail連絡がなくなった件

    [Synology] Router / SRM 1.2.3-8017 Update 3にUpdateされた時から、RT2600acを守っているThreat Preventionからの警告e-mail連絡がなくなった件

    RT2600ac

    RT2600acのアプリケーションパッケージである「Threat Prevention」は、ネットワークに対する悪意のあるアクセスを、その悪意のレベルに応じてブロックしてくれます。

    悪意のレベルは、「大」「中」「小」にThreat Preventionがグルーピングされていて、これらによるパケットがあったときにe-mailでしらせる設定が可能となっています。

    こららの悪意のあるアクセスの情報は、Synologyが持っているのではなく、あるサーバーで統合(データベース)されているようです。日々、そのデータは更新されており、そのデータベースの更新の設定は、Threat Preventionの設定画面にあります。

    アラートが来なくなった

    e-mailへの連絡を設定したいたレベル「大」の連絡が、9/30を境に来なくなっていることに気付いた。

    RT2600acにLoginして、溜まっているはずのメッセージを眺めていた。Threat Preventionの”ブロック”に関するログがない。9/30以降のブロック等のアラートが無い。どうやら、Threat Preventionは、9/30以降、停止状態になっていたようだ。

    原因

    Synology Router Manager (SRM)の自動アップデートがあったことを思い出し、ログセンターを覗いてみた。

    Synology Router Manager

    https://www.synology.com/ja-jp/knowledgebase/SRM/tutorial/General_Setup

    ネットワーキング体験の革命的な変化 – Synology Web site –
    Synology Router Manager (SRM) は、Synology Router の威力を高めてくれるオペレーティング システムです。クラス随一のユーザーインターフェイスにより、ネットワークで何が起きているかを詳しく把握することができ、接続されているデバイスすべてを迫り来る驚異から守るきっかけになります。

    https://www.synology.com/ja-jp/srm

    9/30にDownload task for [SRM 1.2.3-8017 Update 3] finished.

    とあり、記憶にないが、管理者権限でUpdateしたか、もしくは、自動でUpdateしたかで、現在は、[SRM 1.2.3-8017 Update 3] となっている。その際に、Threat Preventionが停止、再起動した際に、起動しなかったと考えられる。

    結論

    たまには、システムの状態を見ないといけないね。こうゆうことが、システム管理というのでしょう。これから頑張って管理していきたいと思います。

    編集履歴

    2019/11/02 はりきり(Mr)

  • [Synology]  NAS上に暗号化された共有フォルダーの設定と運用方法、その考え方 – [2022/10/08]

    [Synology] NAS上に暗号化された共有フォルダーの設定と運用方法、その考え方 – [2022/10/08]

    ID2758

    はじめに

    Synology NASにおけるデータ・セキュリティの考え方と対策について解説します。

    暗号化の意義

    データ流出のケースは大きく2つ

    NASに保存しているデータの流出には,大きく2つが考えられます.1つは(1)ネットワークを介して流出する場合.もう1つは,(2)物理的な流出,すなわちNASまたはHDDが他人の手に渡ってしまう場合です.

    (1)ネットワークを介したデータ流出には,不正ログインによるデータへのアクセス全般を範囲にしています.不正にログインができたことでデータへのアクセスが可能となり,データをダウンロードで持ち出せたり,または,データに鍵を掛けて身代金を要求されるなどのリスクが生じます.これらすべてについてネットワークからのデータ流出に分類しました.このリスクは一般的によく思い当たるリスクの一つです.

    (2)物理的な流出は,盗難などは比較的思いつきやすいリスクですが,管理者本人が管理できなくなった場合のリスクに関することです.個人の場合,家族が管理あるいはNASやHDDを引き受けることになる場合があると思います.

    1. ネットワークを介したデータ流出

    ネットワークからの流出には,パスワード管理などのアクセス制限により防衛するのが基本となります.今回,フォルダの暗号化の目的は,以下に述べた他人の手に渡ることを防止することです.

    • ローカル・ネットワーク経由からの流出
      • 不正にアクセス権を取得されることで、ローカルネットワークに侵入されて、そのアクセス権でアクセス可能なファイルが流出する場合です
      • 今回の暗号化した共有フォルダでは、ローカル・ネットワークにログインしてアクセス権があったとしても、暗号化した共有フォルダには、パスワードとは異なる暗号化キーを設定することができるので、その暗号化キーを知っていない限り、その共有フォルダ内のファイルを見ることができなくなります
      • 具体的な対策方法は、共有フォルダの暗号化です.
    • ランサムウェアによるデータ破損やロック
      • クラッカーによるファイルの改竄 (かいざん)や破壊により、元のファイルがなくなる場合です
      • メールの受信人の警戒意識を低下させるような、タイトルや内容に仕立てた架空のメールにより、リンクをクリックさせて悪意のあるウイルスを感染させます。管理者権限の取得もされてしまうと、どんなフォルダやファイルにも暗号を掛けロックして、それを人質に身代金 (ランサム)を要求してきます。侵入/暗号化を実行したハッカーからすれば、その情報の価値を把握できていることは稀でしょう。でも、その価値は、情報の持ち主が知っているのです
      • 侵入者が行うフォルダやファイルのロックは、自前のツールや侵入先のシステムにインストールされているZIPなどの鍵付き圧縮コマンドなどが利用されると思われます。フォルダに対してはよく分かりませんが、WindowsではBitLockerというドライブ暗号化機能があります。Windowsでは、侵入してしてしまえば簡単にロックが可能なのかも知れません
      • 個人に対してこの攻撃をすることは、ほとんどの場合、効率的でないので、少ないとは考えられますが、個人だからといって、自分にとっては変え難い情報であることに間違いはありません
      • 身代金目当てであるため、企業に対して行われることが多く、最近では医療機関のカルテシステムのランサムが行われたり日本においても大きな問題になってきました (2022/11/15現在)。重要情報であればあるほど、そのランサムは高額になるのでしょう
      • 具体的な対策方法は、(1)定期的なバックアップ、(2)もしもハックされた場合はバックアップからの復元、です。改竄や破壊またはロックされたフォルダやファイルは見捨てます。その代わりにバックアップから復元することで、影響を最低限にする対策です。アップデートの多いデータの場合は、きめ細かなバックアップ体制が必要となります。このように、身代金は支払わないというのが、世界の趨勢になっています。

    2. 物理的な流出

    例えば,空き巣に入られてNASが持ち去られる.また、想定しづらいケースとして、自分が死亡した後のことです.管理者である自分が死亡した場合,そのほとんどのデータは,家族写真など家族と共有物していた重要なデータもあるかも知れませんが、ほとんどは、家族には必要の無いものばかりでしょう.

    家族に必要のない負担や迷惑が掛からないように,なんの後処理の必要が無いようにできれば,それに越したことはありません.単に廃棄物として廃棄できるのが望ましと考えます.

    • 対策:
      • 暗号化
        持ち去られたとしても暗号化されていることで、データは秘匿のまま守られます.かける鍵は複雑にすることを心掛ける(この場合,自分が納得することが重要)
      • 操作概要
        共有ドライブの設定から,フォルダーに対して暗号により鍵を掛けます.
      • 運用
        アクセスする時だけ,暗号を解き(マウント),使用が終わったら鍵を閉める(アンマウント)する,のが好ましいです.マニュアルで実行するのは煩雑なので,このアンマウントの作業は自動化を取り入れます.具体的には,定期的にNASを再起動するスケジュールを組んでおくことです.シャットダウンするとマウントは解除されることを利用するのが味噌です.

    暗号化方式の解説

    Synology NAS (DS918+,DS920+, DS1621xs+,etc)のDSMでは,暗号化方式としてAESが採用されています.Advanced Encryption Standard (AES)は,2001年に米国政府で採用され始めた256ビットの暗号化方式です.暗号化とその解除には同じ暗号化キーを使う対称性のあるアルゴリズムであるということです.以下には、暗号化について知っておくべきことについて列挙しました。

    • DSMの暗号化方式は、AESです
    • 暗号化には、ソフトウエアでも実施可能ですが実用的ではありません。そこで、ハードウェアによる暗号化をサポートしているミッドレンジ以上のNASにしか使用できないことが多いようです(DS918+, DS920+, DS1621xs+, etc.)
    • 暗号化には、暗号化時のシステム情報を含む丸ごと実行する場合や、それらの情報を含まないで暗号化を実行する方法があるようです。システム情報を含む場合、HDDだけを取得して別の機器に乗せても,異なるNASなどではシステム情報が異なっているためデータの複合化はできません.すなわち内容にアクセスすることはできません

    暗号化した共有フォルダのキー管理 - Synology site – より

    https://www.synology.com/ja-jp/knowledgebase/DSM/help/DSM/AdminCenter/file_share_key_manager

    Synology NAS で共有フォルダを暗号化および暗号化解除する方法 - Synology site – より

    暗号化キーは、エクスポートして別途保管しておくことが望ましい

    https://www.synology.com/ja-jp/knowledgebase/DSM/tutorial/File_Sharing/How_to_encrypt_and_decrypt_shared_folders_on_my_Synology_NAS

    暗号化に関する用語

    暗号キー

    最初に暗号化共有フォルダを作成する際に設定するキー (Encryption Key)のこと。キーストアに保管される。

    キーの暗号化方法は,①パスフレーズと②マシンキーの2つがあるが、バスフレーズは、一般名としてのパスフレーズであり、キーマネージャのログインの際に入力するパスフレーズとは異なる。

    マシンキー : Machine Key, HDDが接続されたSynology NASでのみ暗号を解除できる.すなわち,HDDを取り外し,他のマシンに載せ替えての暗号化の解除はできない.

    パスフレーズ : マシンキーを使わないキー解除法

    キーマネージャ

    キーマネージャ (key manager)は、共有フォルダの暗号化に使用したキーの管理を行うDiskStation Manager (DSM)のプムグラム(デーモン)である。キーは、キーストアに保管されている。

    • 共有フォルダ > 操作 > キーマネージャ↩️
    • パスフレーズ入力(実質的にキーマネージャへのログイン)↩️
    • 追加 > 暗号化共有フォルダ > 「暗号キー」入力 > 画面にリストアップで、複数の暗号化共有フォルダを一元的に管理できる
    • 「構成 > キーマイグレーション >今すぐ移行する」でキーストアを「システムパーティション」から外部デバイスの「USBメモリ」に設定する (この設定は、機能していない。以下の「注意」を参照。バグの可能性がある)

    キーマネージャのパスフレーズ

    Pass Phrase, キーマネージャへのパスワード。暗号化キーとは異なるので注意。パスフレーズを知るものがキーストアの変更ができる.

    • パスフレーズは、再設定可能
    • キーマネージャを起動する度に入力が求められる

    キーストア

    キーストア (key store)は、キーが,保管されている場所。

    • キーマネージャにキーの管理を任せると、デフォルトの「システムパーティーション」に加えて、「外部デバイス」が使用可能になる.
    • 外部デバイスをキーストアにすると、その外部デバイスと共に、パスフレーズの照合が必要になるので、その外部デバイスを持っていて、且つ、現地において、NASに外部デバイスを挿さなければ、暗号の解除できない.ネットからの解除ができないと言うことである。即ち、これは最もセキュリティレベルが高い。
    • ネットからの暗号化共有フォルダを使いたい場合、パカチョンで一般的な使用方法は、キーマネージャの使用設定をしないで、パスフレーズのみでキー解除とするか、キーファイル (key file)をダウンロードしておいて、USBメモリなどで持ち歩く必要がある。
      • パスフレーズのみでキー解除
      • パスフレーズとキーファイルでキー解除
    • キーファイルは、「キーのエキスポート」により行う.アンマウント時には、キーファイルの入力を促するチェックもあるので、キーファイルがある場合は、ファイルを指定してキー解除しマウントする。
    * 現在、外部デバイスをキーストアに設定しても、「共有フォルダ > 暗号化 > マウント > 暗号キーの入力」でキー解除が可能です。これでは、意味がないので、他に設定が必要か検証中です (2020/04/18)。

    暗号化共有フォルダの作成とマウント/アンマウントの方法

    https://global.download.synology.com/download/Document/Software/UserGuide/Firmware/DSM/6.2/jpn/Syno_UsersGuide_NAServer_jpn.pdf

    管理者権限で新しく暗号化共有フォルダを作成するか,既存の共有フォルダの暗号化設定により作成できる

    • 新規に暗号化共有フォルダを作る
    • 既存の共有フォルダを暗号化する : 既存のファイルを暗号化処理しなければならないため、容量依存で処理時間が必要。

    新規の暗号化共有フォルダを作る

    DSMにログインする

    コントロールパネルを開く

    共有フォルダ > 作成 > 共有フォルダの作成

    • パスフレーズを入力
    • 「キーマネージャに暗号化キーを追加する」は、キーストアを外部デバイスを使用する場合に選択する。この項目が表示されない場合は、後から設定する。
    • 大事なデータは、チェックサムをチェック
    • フォルダの最大サイズを指定できる
    • 確認画面
    • 再度の確認画面
    • 再度の確認画面

    アクセス権の設定を終えれば、暗号化した共用フォルダの作成が完了する。

    キーストアの初期化

    暗号化のパスフレーズ (pass phrase) 即ちパスワードをSynology NAS内かUSBメモリに設定する操作。

    1. 「コントロール パネル > 共有フォルダ > 操作*1 > キー マネージャ↩️」
    2. 「キーストアの初期化」ダイヤログが表示される
    3. [キーストア場所] からキーストアとして、「外部デバイス」または「システム パーティション」を選択します。
    4. このキーストアの [パスフレーズ] フィールドは、今後、キーマネージャを起動する都度、必要となるパスワードのことです。
    *1
    日本語のマニュアルには、”作成“とあるのは誤記です。

    キーストアの初期化の図解

    「キーストアの場所」をセレクトすると、USBメモリが接続されていれば、下図のようにシステムパーティション以外の選択肢が現れる。

    • パスフレーズの保管先を選択して、パスフレーズをセットする
    • キーストアには、デフォルトの「システムパーティション」、フォーマットされたUSBメモリが挿されていれば、外部デバイスも表示される

    外部デバイスに暗号キーを保管した場合、暗号解除するには、この外部デバイスと記憶している暗号キーの両方が必要となる (注意、この機能は使えるが、暗号キーのみで解除もできてしまう)

    • この外部デバイスをなくすと、暗号解除が出来なくなる
    • パスフレーズを忘れると、暗号解除が出来なくなる

    暗号化共有フォルダのマウント

    パスフレーズでマンウト

    キーマネージャを使用しない場合のマウント方法

    • 暗号化 > マウント
    • パスフレーズ
    • ↩️

    外部デバイスでマンウト

    キーストアとして外部デバイスを使った場合のマウント方法

    • キーがストアされているUSBメモリをNASに挿し、自動的にマウントしたことを確認
    • コントロールパネル > 共有フォルダ > 操作 > キーマネージャ > ↩️
    • 以下の図のように、「パスフレーズ検証」ダイヤログが表示される
    • パスフレーズを入力↩️
    • 該当する共有フォルダがマウントされる。
    • 以下の図が現れる
    • test_2フォルダがマウントされる
    • 「起動時に自動でマウント」の設定が可能

    「構成」から「パスフレーズの変更」が可能

    暗号化共有フォルダのアンマウント

    共有フォルダを開く(下図、左上)

    • 「暗号化」をクリク
      • アンマウントをクリック → 鍵がかかる

    既存のフォルダを暗号化

    すでにあるフォルダを暗号化するには,共有フォルダ アプリから,

    1. フォルダをクリックして選択状態にする
    2. 「編集」タグをクリックして,編集ダイオログを表示させる
    3. 「この共有フォルダを暗号化する」のチェックボックスにチェックを入れる
    4. 暗号化キー(一般的にはパスワード),確認キーを設定する
    5. 「保存」する

    実際の運用の詳細

    秘匿性を最大限にするには,ネットワークには繋がない運用が最も効果があるわけですが,この御時世そうもいきません.そこで,必要な時にマウントする運用とすることを提案します.

    • 今回、暗号化共有フォルダを導入する目的は、データの秘匿性を高めることである
    • もしも、管理者権限が不正アクセスで破られたとしても、更に暗号化共有フォルダの暗号キーが解読される確率は、非常に低くセキュリティレベルは申し分ないと考えられる
    • 外部デバイスによる運用が追加であれば、更に、セキュリティ・レベルは高くなる
    • しかし、DSMの現バージョン(DSM 6.2.2-24922 Update 5, 2020/4時点)では、キーストアを外部デバイスにしても、暗号キーのみでマウントできてしまう。実質的に、セキュリティレベルはレベル1(ネットからマウント可能)である
    • 今回、外部デバイスによるマウント運用によるセキュリティレベル2(ネットからマウントできず、物理キーであるUSBメモリーにある暗号キーのみでしかアクセスできない状態)は見送り、レベル1で運用する。以上の解釈は少し間違えているように思えるが、今後よく考えて解釈を訂正するかも知れない
    • 次期バージョンアップでの改善を期待するが、そもそも、僕が考えているレベル2のセキュリティは、DSMの仕様上に存在しないのかもしれない。一つの策としては、パスフレーズを最大化すれば、限りなく僕の考えるセキュリティ・レヒベル2に近づく。

    まとめ

    1. マニュアルによるマウント

    DSMにログイン > コントロールパネル > 共有フォルダ > (暗号化したい共有化フォルダを選択) > 暗号化 > マウント > 暗号キー入力、によりマウントできる。

    2. インポートファイルによるマニュアル・マウント

    キーファイルのインポートによるマウント : キーファイルを手許にダウンロード(エクスポート)しておき、暗号化した共有フォルダをマウントしたい時に、そのキーファイルを読み込ませることでマウントする。

    • キーマネージャにチェックを入れずに作った暗号化共有フォルダでは、エクスポートしたキーファイルを使って、マウントできる。
    • しかし、キーマネージャにチェックを入れて作った暗号化共有フォルダでは、認証に失敗する。原因不明。
    • キーマネージャの共有フォルダでは、Key Fileのインポートでは、エラーとなる。

    3. 外部デバイスによるマウント

    USBメモリーやiPhone/iPadに保管しておけば、DSMにログインして、そのファイルをインポートすれば、暗号化を解除してマウントすることができる。

    4. キーマネージャによる自動・マウント

    NASの起動時にマウントする方法 : 設定により、暗号化された共有フォルダを、再起動次に自動で、その暗号化された共有フォルダをマウントさせることができる.

    しかし、この方法は、今回、目標としていた「必要な時に手動でマウント」するという目的には則さない方法である。

    • キーマネージャを使用している場合、NASの起動時の自動マウント機能が使える。今回の目標に沿わないが、以下、設定の仕方を示しておく
    • 共有フォルダ > 操作 > キーマネージャ > 共有フォルダを選択 > 起動時にマウント(チェック)↩️

    今回、目的には届かない運用方針になってしまいました。ご意見、情報などあれば、気軽に投げてください。

    以上

    編集履歴

    2019/10/28 はりきり(Mr)
    2020/04/16 図を使用して説明を充足
    2020/04/18 外部デバイスをキーにしてマウントできが、外部デバイスでの運用については断念
    2021/02/23 文言整備 (「はじめに」を追加、「暗号化の意義」、「暗号化方式」について内容を追加)
    2022/10/08 文言整備,追記(既存フォルダの暗号化手順)
    2022/11/15 文言整備、追記(日本のコロナ禍で増加したランサム被害(医療関係)について)
  • [Synology] Photo Stationの鍵の掛かったアルバム共有方法 [2021/02/07]

    [Synology] Photo Stationの鍵の掛かったアルバム共有方法 [2021/02/07]

    はじめに

    Synoloyg NASを導入すると無料のパッケージに「Photo Station」という写真の管理・共有サーバーがあります。iPadからは、アプリのDS Photoからアクセスが可能です。DS Photoにログインすると、アルバム一覧が表示されます。そのアルバムの内、1つを開いた後、メニューから「公開して共有」で、パスワードを掛けた公開が可能となります。

    アルバムへのパスワード設定と原理

    概要

    1. 事前準備
      • アルバムにフォルダーを作る
      • フォルダーに写真を格納する
    2. 設定
      1. フォルダを開く
        • 最も上流にあるフォルダ
        • フォルダ内にフォルダを作ることができるし、以下の許可タイプや権限の割り当ても可能であるが、下流のフォルダにこれらの設定をすることはお勧めしない。挙動が理解できなくなってしまうため
      2. 「詳細」→ 「アルバムのプロパティを編集」→
        • 「許可タイプ」
          1. 公開アルバム : Photo Stationにアクセスしただけで、表示されてしまう
          2. 個人アルバム : ログインしたユーザーが見ることができる
          3. パスワード : ユーザー権限とは別のパスワードとして扱われる。パスワードを設定すると、誰でも見ることができる。
        • 「権限の割り当て」
          • 見るこのフォルダ内の写真を見ることができるユーザーをチェックする

    DS Photoから行う

    DS Photoアプリは、iPadやWindowsにあるので、インストールしてください。

    DS Photoを起動すると、アルパム一覧が表示されます。パスワードを掛けたいアルバムを開きます。右上にある「i」のアイコンをクリックすると、「アルバム情報」画面が現れます。

    アルバム情報画面の「許可」項目には、個人アルバム、共有アルバムおよパスワード保護の選択欄が現れるので、パスワード保護を選びます。これらの用語には、英語からの日本語訳が若干変なところがあるので、適宜読み替えてください。次に、パスワードを入力して完了です。

    このパスワードされたアルバムへのリンクは、直接設定できませんが、先ずは、アルバム内に1つの写真が必要です。アルバム中にある1つの写真を開き、右上のメニュー「・・・」から「共有」を選択肢、「リンクをコピー」からリンクを取得してください。

    DSMから行う

    以下の内容は、2019/10に記述した内容で少し古い情報です。次回、updateしますが、それまでは、参考情報止まりでお願いします。

    DSMからPhoto Stationを起動

    左タグにあるアルバムを作成

    作った一つのアルバムまたは,一つのアルバム中の任意の数の写真を選択し,共有アルバムを作成(リンク,パスワードなどを設定)することで,パスワードのかかった公開が可能です。

    リンクは,共有アルバム > (作った今日アルバムの名前) > 共有▼ > 共有リンクを取得、にて表示される.

    パスワードの設定は、リンクと同様に、共有アルバム > (作った今日アルバムの名前) > 詳細▼ > 共有アルバムの編集、にて設定する。

    fin!

    編集履歴

    2019/10/13 Mr.Harikiri
    2020/10/06 追記 (DS Photoからパスワード設定する)
    2021/02/07 追記 (最も上流のフォルダの設定を基本とすること)
  • [Synology] グローバルなIP証明書である「 Let’s Encrypt 」取得 – 80, 443ポートが空いているNASでは自動更新は可能 – その他NASへの証明書のインポート方法 と運用方法 [2023/02/25]

    [Synology] グローバルなIP証明書である「 Let’s Encrypt 」取得 – 80, 443ポートが空いているNASでは自動更新は可能 – その他NASへの証明書のインポート方法 と運用方法 [2023/02/25]

    はじめに

    httpsのページとして公開可能にするには、証明書が必要です。そうでないと、「このページはなりすましなどで危険」などとのメッセージがWeb ブラウザに表示されます。

    ちゃんとした会社のホームページでも、このようなメッセージが依然として表示されるサイトが多くありますが、ちゃんとした会社であることを知っていたとしても心配になりますね。

    あと、個人的にSynology NASを使用した写真の共有化やDS NoteなどのInternetを介したアプリを使用する場合も、同様の問題に対する解決策として証明書を取得した方が良いです。

    Let’s Encryptというボランティア団体によって個人でも証明書を取ることができる時代になりました。個人でサイトを立ち上げたのなら、是非、Let’s Encryptの証明書を取得しましょう。

    数ヶ月前(2022)の情報ですが、Let’s Encryptが発行する証明書は、1億通を超えたとありました。

    証明書

    先日、証明書期限がきれるので、Let’s Encryptの更新をマニュアルで実施しました。更新した証明書の期限は、3ヶ月後の日付に更新されていましたが、更新したはずが、WebブラウザのSafariの表示で証明書エラーが出るようになっていました。

    クライアントの証明書エラーが出ているSafariの表示から、証明書の内容を確認してみると、以前の証明書の期限のままの日付を表示していました。

    この現象は、単純に設定のミスです。以下に説明してきましょう。

    Let’s Encrypt 証明書の取得制限

    試行錯誤している内に、何度も証明書を取得(以下の設定)したため、取得制限に引っかかりしたりします。Let’s Encyptには取得数に制限があるためです。この数の紐付けは、登録のemail addressであるため、email addressを変更すると回避できます。

    Let’s Encrypt 申請内容

    以下の項目を申請します。

    • Domain : 例えば: harikiri.diskstation.me
    • Email : <my Email address>
    • Subject Alternative Name : *.harikiri.diskstation.me

    証明書取得後の設定

    設定でツボにハマってしまったら先ず、取得し過ぎた証明書は整理しましょう。必要出ないLet’s Encrypt 証明書は削除します。残しておくと、期限切れの証明書を設定するというミスも起こし易いためです。

    下図を見ながら説明を読んでください。

    1. 1回目の証明書を取得すると、そのNASなどが持っているサーバーのサービス毎に、この証明書が設定されます。
    2. 同様にして2回目の証明書を取得すると、同様に2回目の証明書が、サービス毎に設定されます。
    3. ここで、1回目の証明書の設定(configulation)を開くと、サービス毎に、1回目と2回目のどの証明書を設定するか選択することができます。
    4. すなわち、1回目の証明書の設定の中なのに、そのサービスに対して、2回目の証明書を設定可能であるということです。1回目の証明書の設定をしているのに、2回目の証明書を含めることが出来てしまします。
    5. このことを理解していないと、はりきりのようにつぼにハマってしまいます。

    図の説明:

    証明書の場所は、コントロールセンターのセキュリティ(Security) > 証明書(Certificate)です。

    そこには、取得した回数分の証明書がリストされています。下図の例では、4つが確認できます。

    その内の一番上の証明書を選択状態にして、設定(Settings)をクリックすると、下図のようにダイヤログが表示され、サーバーのサービス毎の証明書をどれにするか、ドロップダウンリストにより設定することができるようになっています。ドロップダウンリストには、全ての取得した証明書が表示されます。

    図の例では、FTPSなどの全てのサービスの証明書(Certificate)は、「harikiri.diskstation.me」に設定されていることが分かります。

    Webブラウザからの確認

    Sarari表示から確認してみると、その証明書は最新のもになっていて解決したことを知ることができます。

    サーバーに最新の証明書を強制的に使用させるには、NASの再起動が必要ですが、自動で再起動しない場合は、マニュアルで鎖再起動させます。

    それでも、以下のように証明書を適切に設定して、サーバーの再起動というダイアログが出て再起動されたとしても、新しい証明書を使用しないことが何回もありました。最後は、NASの再起動により解決することができました。WebブラウザかNAS側か、いずれかは分かりませんが、キャッシャが関わっているものと思われます。

    1. DSM → コントロールパネル → セキュリティ → 証明書から、証明書をセレクトする
    2. 次に、構成(コンフィグレーション)をクリックし、当該NASに設定が必要なサーバーについて、その数だけ以下のように証明書を設定する
    3. コンフィグレーションでの証明書の設定は、証明局(Let’s Encrypt)からの取得、あるいは他のNASからのインポートにより、現に存在する証明書を選択する
    4. 基本的には、すべて同じ証明書を設定した後、「OK」を押すと、サーバーの再起動が開始されて、DSMに戻ってくる。
    5. しかし、このDSMに戻ってきても、ウェブブラウザから接続を試行してみると、以前の古いままの証明書になっていることがある。僕の経験では、ほとんどがそうでした。
    6. そこで、証明書を新しくしたものとして有効にするには、NASの再起動を実施することで、それが可能になります。

    一般的な注意点

    • Synology RouterやNASにLet’s Encrypt証明書を取得する時、及び、自動的に更新させるにはポート80 (及び443)を開けておく必要があります。
    • 当サイトでは、複数のSynology製品があります。RouterとNAS x2 構成なのですが、80と443のポートは、もともとblogサーバーに設定されることが規定されています.更に、証明書の取得および自動更新も、80と443なので必然的にblogサーバーを介して証明書取得とその自動更新が行われることになります.
    • 従って、80/443の設定は1台の装置にしかできないため、その他のネットワーク機器に対して証明書を適用させるためには、取得したblogサーバー用NASの証明書をエクスポートした証明書を使って、その他のNASなどにインポートするマニュアルの方法で対応するしかありません(スクリプトを書けばできるとは思う)。
    • Let’s Encryptにおけるドメイン名に応じた証明書の取得数制限に引っかかった場合、その対処法は、Emailアドレスを変更したり、ドメイン名を変えたり(その場合、必要としているドメイン名をSubject Alternative Nameに設定する)
    • 以上の設定方法の記載は、以下のSynology Siteに説明があります。

    Synology DDNSを使用してSynology SSL VPNとWebVPNを設定する方法 – Synology –

    https://www.synology.com/ja-jp/knowledgebase/SRM/tutorial/VPN/How_to_set_up_Synology_SSL_VPN_and_WebVPN_using_Synology_DDNS_service

    証明書の自動更新がまだ

    証明書の自動更新が有効かを確認します。先ずは、マニュアルによる証明書更新を実施してみます。はりきりの場合、エラーで更新ができませんでした。

    調査した結果、外部アクセス設定で設定していたドメインにエラーが出ていたので、それを解決して、Let’s Encrypt証明書のマニュアルによる更新を行ってみました。その結果、無事に更新することができ3ヶ月先の期限延長を獲得できました。今回まででは、自動更新が可能かどうかは、確認ができていません。できているのは、マニュアル更新のみです。

    以上の詳細として、以下に証明書のマニュアル更新/自動更新ができない時の設定を示した。

    1. Routerは、Internetに繋がっており、DDNS設定で「harikiri.diskstation.me」を設定しており正常である。
    2. Routerの転送ルールには、blog NASに対して、80/443を設定している。
    3. Routerには、blog NASが有線で繋がっている。
    4. blog NASのDDNS設定では、Routerと同じ「harkiri.diskstation.me」を設定していたが、Synologyとの通信でエラーとなっていた。

    マニュアル更新が可能となった設定を以下に示した。

    1. RouterのDDNS設定を削除した。
    2. blog NASのDDNS設定を更新することで、正常に繋がることを確認した。
    3. この状態で、Let’s Encryptのマニュアル更新を実行した。

    設定後の結果

    1. 上記の設定の結果、Let’s Encrypt 証明書(certificate)はマニュアルによる更新が可能となり、この日から3ヶ月先の日付に更新できた。
    2. 証明書の自動更新ができるかどうかの確認は、3ヶ月後に確認する予定。

    まとめ

    DSMのセキュリティ > 証明書 に行き,Let’s Encrypt 証明書を取得する.取得された証明書は,このウィンドウに証明書リストとして追加される.設定タブを選ぶと,NASの各サービスにリストされた証明書のうち,どの証明書を使用するのか設定することができる.すべてをLet’s Encrypt 証明書にしてもいいし,Synologyから取得した証明書を設定してもいい.しかし、この操作がミスを生みやすいので注意して設定すること。Web Serverが再起動して,証明書の再設定が行われる.しかし、再起動しない場合は、強制的に再起動させる。それでもダメなら、NASを再起動させる。

    教訓

    • Synology NASの証明書の設定において、期限切れと表示されている証明書(Let’s Encrypt)は、削除しておくべし。新しい証明書を作成またはインポートして、デフォルトに設定していたとしても、期限切れの証明書を間違えて設定しているなどのミスを起こしやすいため。
    • そもそも、証明書を設定し直すとサーバーが再起動するはずです。再起動がない場合、証明書が更新されていないことを疑う。NASのDMSの不具合の可能性も考える。

    その他情報

    • RT2600ac/RT6600axの証明書の位置
      • コントロールパネル → サービス → 証明書

    編集履歴

    2019/08/08 Mr. Harikiri (blog NAS: DS918+)
    2020/12/31、追記 (教訓)
    2021/02/26、追記 (blogサーバー用NASの証明書(Let’s Encrypt)は自動更新されていたが、80, 443ポートが空いていない、他のNASは自動更新されないので、自動更新された証明書をエクスポートして、それをインポートする運用で対応するしかない)
    2022/11/13、文言整備
    2022/12/20, 追記 (Let's Encryptの自動更新ができるかどうか挙動を確認したが自動更新されず) (証明書の設定)
    2023/02/25, 追記(マニュアルによる証明書の更新がてきないことに気づいた。その原因)、文言整備