现在很多人利用群晖 NAS 作为个人数据存储中心，实现随时随地访问。不过，把你的 NAS 个人服务器暴露在公网上，也面临着很多安全问题。比如，你的登陆请求、信息传输数据包，可能被截获，导致登陆密码及传输内容泄漏。

下面两个设置办法，可以为你提升群晖 NAS 安全性有所帮助。

一、开启 HTTPS 访问

我们以 HTTP 协议在浏览器及服务器之间传递信息的时候，是以明文方式发送内容，这就意味着，在传输信道中间的某个节点做手脚，就有可能截获传输内容，其中就可能包括登陆密码。

那么，将传输内容加密，这个问题不就解决了？

HTTPS 便由此诞生，它通过在 HTTP 和 TCP 中间加了一层加密层 TLS/SSL ，实现如下两个目的：

1. 建立一个信息安全通道，来保证数据传输的安全。

2. 确认网站的真实性。

其中具体涉及到了数字证书的身份验证及 RSA 非对称加密原理，这里不在叙述。我们需要关注的，是如何使用 HTTPS 来访问我们的 NAS 。

群晖为我们提供了非常简单的解决办法，可以很方便地签发和安装 Let's Encrypt 证书，实现 HTTPS 加密传输。具体操作方法如下：

1. 进入 DSM 的「控制面板」 - 「安全性」。

2. 选择「证书」模块。

3. 点击「新增」。

4. 选择「添加新证书」，下一步选择「从 Let's Encrypt 获取证书」。

5. 填入自己的 NAS 域名及电子邮件地址。

之后便可以在证书列表里看到此证书，可将其设置为默认，并勾选所有服务使用该证书。

接下来，进入 DSM 的「控制面板」 - 「网络」 - 「DSM 设置」，勾选上「将 HTTP 连接自动重定向到 HTTPS」，设置好路由器的 5001 端口映射，重新登录，你会发现已经使用 HTTPS 进行连接。

此时，你的传输将变得非常安全。只要对极大整数做因数分解这个数学难题没有解决，加密的信息几乎不可能被破解。

另外，如果你为群晖配置了一级域名的话，你也可以自行申请其他服务商提供的 SSL 证书。不过，出于某些不可描述的原因，不建议大家使用「沃通WoSign」证书。

二、设置「两步验证」

两步验证，即在登陆时输入用户名及密码之后，还需输入一个动态口令，避免了账户密码泄漏后被恶意登录的问题。

DSM 的两步验证需要使用 Google Authenticator （Google身份验证器）来生成动态口令，需提前在移动设备上安装。

设置步骤如下：

1. 进入 DSM，点击右上角选项图标，进入「个人设置」 - 「账号」。

2. 勾选「启用 2 步骤验证」，进入设置向导。

3. 输入电子邮件地址（用于移动设备遗失后接收紧急验证码）。

4. 使用 Google Authenticator 扫描二维码，绑定动态口令。

至此，你的 DSM 账号已受两步验证保护。重新登录，发现需要输入 6 位验证代码。打开 Google Authenticator ，输入产生的动态口令即可。