古くて使わなくなったHDDの有効利用のために4ベイ仕様のQNAP製NAS[TS-431P]を新設するこの企画。前回までにストレージプールを作成して一応、使えるようになりました。いよいよデータを入れてNAS運用を開始……といきたいところですが、その前にやるべきこととして、デフォルト(初期設定)状態で有効化されている「admin」ユーザーを排除するという作業はぜひともしておきたいところです。ということで、第4回は「admin権限をはく奪する」まとめです。
前回までは以下の通り
QNAPの4ベイNAS「TS-431P」を設置(その1)【外観チェック】
QNAPの4ベイNAS「TS-431P」を設置(その2)【HDD装着&ソフトインストール】
QNAPの4ベイNAS「TS-431P」を設置(その3)【ストレージプール(RAID)設定】
外部からアクセスしてデータをやりとりできるのはNASの大きな利点ですが、外部からアクセスできるということはハッキングされるリスクがあるということです。初期設定の管理者である「admin」ユーザーを残していると、あとは「パスワード」のみ判明すればNASシステムに侵入可能ということなので大きなリスクホールとなります。外部から推測しにくいユーザー名の新管理者を作成して、デフォルトのadminは無効化しておくのがセキュリティを高めるためには非常に有効なので、QNAPのNASを導入した際には、adminを殺しておくのがオススメです。
QNAPのNAS設定ソフト「QTS」に「admin」でログインして、「コントロールパネル」をクリック。
「権限設定」の中の「ユーザー」をクリック。
「作成」をクリック。
「ユーザーの作成」をクリック。
今後、「admin」代わりとなる管理者ユーザーを作成します。「ユーザー名」「パスワード」を入力し、「作成」をクリック。
作成したユーザー欄の右側にある中央のアイコン「ユーザーグループの編集」をクリック。
「グループ名」の「administractors」にチェックを入れて、「適用」をクリック。これで新しく作ったユーザーも管理権限を持つことができました。現時点ではデフォルトのadminと管理者が2人いる状態です。
次に、新しい管理者ユーザーにも共有フォルダのフル権限を与えておきます。右の欄にある「共有フォルダー権限の編集」アイコンをクリック。
「RW」の列すべてにチェックを入れて、「適用」をクリック。これですべてのフォルダの読み込み/書き込み権限が新管理者に与えられました。
続いて、デフォルトの管理者「admin」のフォルダアクセス権限をはく奪する作業に移ります。adminの「共有フォルダー権限の編集」アイコンをクリック。
「Deny」の列すべてにチェックを入れて、「適用」をクリック。これでadminはすべての共有フォルダにアクセス不可になります。
ここで、設定をNASに反映させるために再起動させておきます。QTS上部の「admin」タブ→「再起動」の順にクリックして、NASが再起動するのを待ちます。
NASが起動したら、Qfinder Proで新管理者のユーザー名、パスワードを使ってNASにログインします。これまでのadminではないので注意。
新管理者でQTSにログインしたら、「コントロールパネル」をクリック。
最後に「admin」アカウントを殺しておきます。「権限設定」の中の「ユーザー」をクリック。
admin欄の「アカウントプロファイルの編集」アイコンをクリック。
「このアカウントを無効にする」にチェックを入れて、「OK」をクリック。
adminのステータスが「無効」になれば、adminアカウントの無効化に成功。アタッカーにadminにあたりを付けて侵入されるリスクはなくなりました。
NASはローカルネットワーク内だけで運用するという人でも、念のためadminは無効化しておく方が良いと思います。次回につづく。
~続き~
QNAPの4ベイNAS「TS-431P」を設置(その5)【遠隔からNASを起動&シャットダウン】 – TECH-SURF