Synology DS916+ にログインしたら、セキュリティアドバイザーのアイコンにバッジがついていた。
週末にシステムの状態をスキャンして報告してくれる機能らしい。
開いてみたら、まさかの「高リスク」状態っ!
「1人のユーザが弱いパスワードを持っています。」だと?ほう。
シルシがついてるところを上から見ていこう。
まずは「システム」
iFrame で DSM が埋め込まれないようにする機能が無効。変なサイトに勝手に埋め込まれていろいろ抜き取られると面倒です。これはインターネット側からアクセスできるようにしてるヤツの方がリスク高かったりするのだろうか。有効にしておく理由は無いので、無効にしておこう。
つぎに「アカウント」
一部のユーザのパスワードが弱すぎます。コレはどうやって「弱い」と判定しているんだろう。ハッシュ化して持っているのなら元のパスワードは知れないし。もしかしてプレーンな状態のパスワード情報を持っているんだろうか。だとしたらちょっと怖いな。
そして「ネットワーク」
HTTPからHTTPSへの自動転送が無効、DSM HTTPポートが初期値のまま、DSM HTTPSポートが初期値のまま。これもインターネット側に出しているのなら気をつけた方が良いんだろうな。この環境はインターネット側には出してないけど、別に面倒な話では無いのでちゃちゃっと変更した。
最終的にいいかんじ「良好」になった。
初期値のまま放置しておくな、弱いパスワードは放置しておくな、というのは良くある話で。
紙のマニュアルには書いてあるけど、それに最後まで気付かない、なんてことは良くあるわけで、これをシステムが画面上で教えてくれるのは大変良いことじゃないですかね。