更多

    活用 NAS 私有雲+密碼管理軟件 跨平台密碼管理.二:Qsync 同步

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    上一講:活用 NAS 私有雲+密碼管理軟件 跨平台密碼管理.一:平台大比拼

    私有雲跨平台密碼管理大作戰

    基於安全至上考量,我們不將密碼庫放在雲端空間,而是放在以 QNAP TS-351 NAS 建立的私有雲上,以 Qsync 在 Windows 與 Mac 機之間進行同步和中央管理。密碼管理程式就採用 1Password ,以它的 WLAN Server 來將密碼同步到 iOS 和 Android 上。全部同步在區域網絡進行,避免密碼在雲端傳遞。

    今次安裝的密碼管理平台是以 QNAP NAS 來儲存密碼庫,Qsync 同步到 PC 和 Mac 機,再由 Mac 機以 WLAN Server 同步到手機,全程在區域網絡內進行,避免密碼在雲端傳遞。
    今次安裝的密碼管理平台是以 QNAP NAS 來儲存密碼庫,Qsync 同步到 PC 和 Mac 機,再由 Mac 機以 WLAN Server 同步到手機,全程在區域網絡內進行,避免密碼在雲端傳遞。

    當然這只是一個參考方案,密碼管理的配置可謂十人十色,大家可以因應個人的安全考量和便利性來選擇。雖然我們這裡會講解全部平台互通的做法,不過大家應該考慮自己的需要,盡量減少存有密碼庫的裝置數量,以免遺失裝置時的麻煩。

    QNAP TS-351 NAS

    今次用來儲存密碼庫的,是 QNAP TS351 3-bay RAID 5 NAS 。
    今次用來儲存密碼庫的,是 QNAP TS351 3-bay RAID 5 NAS 。

    QNAP TS-351 是 3-bay RAID 5 NAS,內建雙 M.2 SSD 專用埠 (PCIe Gen2 x1) ,設有 HDMI 接口,可以作為娛樂中心之餘, RAID 5 三磁碟陣列也提供更高的抗損壞能力和讀取效能,安全與效能兼備。

    TS351 支援 H.264 硬體解碼及影片轉檔,還可透過機背的 HDMI 輸出至電視。
    TS-351 支援 H.264 硬體解碼及影片轉檔,還可透過機背的 HDMI 輸出至電視。

    另外,我們也看中了 QTS 的 Qsync Central 的中央管理能力,可以集中控制每個使用者能否使用 Qsync 時時同步,必要時可以即時踢走可疑裝置的同步和遠端銷毀以 Qsync 同步的密碼庫。

    Qsync 另一個優點就是可以遠端設定同步時不移除 NAS 上的檔案。這是很重要的功能,既可防止不小心刪除密碼庫,同時如遇上緊急狀況,必須要刪除手上筆電的密碼庫時,也可放心遠端的 NAS 保留了密碼庫。

    在保安上, QTS 作業系統提供磁碟區加密,令存放在 QNAP NAS 裡的密碼庫有多一重保障。而在帳戶安全上, QTS 提供了符合 RFC 6238 的兩步驟驗證程序,令帳戶更加安全,很難被人盜用帳戶來同步密碼庫。

    假如你需要透過互聯網來同步密碼庫的話,你就需要加密的連線。 QNAP 提供的 myQNAPcloud 服務設有 SSL 憑證,用戶可以選擇購買較高規格的 myQNAPcloud SSL 憑證,或者一般使用者已足夠的免費 Let’s Encrypt 憑證, myQNAPcloud 不單會自動做好設定,還會自動替用戶更新憑證,非常方便。

    與大部分 QNAP NAS 裝置一樣, TS-351 採用的 QTS 作業系統提供廣泛軟件支援,例如建立個人相簿、音樂庫、電影平台,另有作為商用功能亦有 Boxafe 及 HybirdMount ,前者可為 G Suite 及 Office 365 作帳戶備份及還原; HybirdMount 則可綜合處理用戶雲端儲存。而不同服務會配有手機程式應用,方便在不同地方均可以連接 NAS 。支援區塊層級的快照功能( Snapshots ),可記錄任一時間點的系統狀態與資料,並與檔案系統區隔,當 NAS 系統異常或遭受加密勒索病毒威脅,快照依然不受影響。

     

    前面的 USB 3 接口也可以用來作備份之用
    前面的 USB 3 接口也可以用來作備份之用

    售價:HK$2,399 (2GB) 、 HK$2,699 (4GB)
    查詢:6444 7997(WhatsApp)
    網址: 按此

    建立安全私有雲

    1. 以 admin 身份登入 NAS ,開啟「 Control Panel 控制台」,選擇「權限>使用者」,並建立一個新用戶。新用戶預設已可以使用 Qsync 。
    1. 以 admin 身份登入 NAS ,開啟「 Control Panel 控制台」,選擇「權限>使用者」,並建立一個新用戶。新用戶預設已可以使用 Qsync 。
    2. 新建的用戶登入後也可以開啟 Qsync Central ,停止對自己用過的裝置的同步,不過遠端銷毀就只有 admin 做得到。
    2. 新建的用戶登入後也可以開啟 Qsync Central ,停止對自己用過的裝置的同步,不過遠端銷毀就只有 admin 做得到。
    admin 可以在 Qsync Central 裡停止指定帳戶使用 Qsync
    admin 可以在 Qsync Central 裡停止指定帳戶使用 Qsync
    如果裝置遺失了, admin 也可以透過 Qsync Central 遠端銷毀裝置上的檔案。
    如果裝置遺失了, admin 也可以透過 Qsync Central 遠端銷毀裝置上的檔案。
    如果你希望透過互聯網接入 NAS 來 Qsync 的話,那你應該要同時在 myQNAPcloud 設定 SSL 證書以提供加密連線,個人使用用的話,選用免費的 Let's Encrypt 的證書已經足夠。
    如果你希望透過互聯網接入 NAS 來 Qsync 的話,那你應該要同時在 myQNAPcloud 設定 SSL 證書以提供加密連線,個人使用的話,選用免費的 Let’s Encrypt 證書已經足夠。

    NAS 帳戶兩步驟驗證

    既然我們的目標是安全密碼管理,那用來保管密碼庫的 NAS 帳戶當然就要更高的保安要求,兩步驟驗證是絕對應該開啟的。一般來說使用 Google Authenticator 手機程式來作驗證器已經足夠,不過今次我們就更進一步,以硬件安全密鑰 Yubikey 來加密保存一次性密碼的密鑰,將安全提高到最高級別!

    1. TOTP 一次性密碼是以時間計算出來的,所以 NAS 的時鐘一定要夠準,否則可能會導致不能登入。不過 TS351 預設是 7 日才同步一次時鐘,這不能應付需要,需要到「 Control Panel 控制台>系統>一般設定>時間」,將時鐘設定為「自動與網際網絡時間伺服器同步」,將「自動校時間間隔時間」設為「 1 天」,然後按一下「更新」先同步一次,再按「套用」來套用設定;
    1. TOTP 一次性密碼是以時間計算出來的,所以 NAS 的時鐘一定要夠準,否則可能會導致不能登入。不過 TS351 預設是 7 日才同步一次時鐘,這不能應付需要,需要到「 Control Panel 控制台>系統>一般設定>時間」,將時鐘設定為「自動與網際網絡時間伺服器同步」,將「自動校時間間隔時間」設為「 1 天」,然後按一下「更新」先同步一次,再按「套用」來套用設定;
    2. 在 QTS 右上角按一下自己的名字,選「 Options 」;
    2. 在 QTS 右上角按一下自己的名字,選「 Options 」;
    3. 在「 Options 」介面選「 2-step Verification 兩步驟驗證」頁面,按「 Get Started 」;
    3. 在「 Options 」介面選「 2-step Verification 兩步驟驗證」頁面,按「 Get Started 」;
    4. 這時畫面會顯示一個二維碼;
    4. 這時畫面會顯示一個二維碼;
    5. 去 App Store 或 Google Play Store 下載 Yubico Authenticator ;
    5. 去 App Store 或 Google Play Store 下載 Yubico Authenticator ;
    6. 開啟 Yubico Authenticator ,軟件會提示你插入 Yubikey 保安金鑰;
    6. 開啟 Yubico Authenticator ,軟件會提示你插入 Yubikey 保安金鑰;
    7. 按圖中間的「+」號,再選擇「 Scan QR code 」;
    7. 按圖中間的「+」號,再選擇「 Scan QR code 」;
    8. 以手機鏡頭掃描電腦畫面上的二維碼;
    8. 以手機鏡頭掃描電腦畫面上的二維碼;
    9. 完成掃描後 Yubico Authenticator 會列出資料,如果想確保是「人類操作」才能取得一次性密碼的話,可以開啟「 Require touch 」功能。按「 Save 」就可以將 NAS 的兩步驟驗證密鑰儲存在手機裡;
    9. 完成掃描後 Yubico Authenticator 會列出資料,如果想確保是「人類操作」才能取得一次性密碼的話,可以開啟「 Require touch 」功能。按「 Save 」就可以將 NAS 的兩步驟驗證密鑰儲存在手機裡;
    10. 按一剛儲存的 NAS 紀錄,這時會提示你摸一下 Yubikey 上的金屬片以確定你是「人類」後,就會顯示現時的一次性密碼;
    10. 按一剛儲存的 NAS 紀錄,這時會提示你摸一下 Yubikey 上的金屬片後,就會顯示現時的一次性密碼;
    11. 回到電腦,輸入 Yubico Authenticator 上顯示的一次性密碼,按「 Verify 」驗證成功後,按「 Next 」繼續;
    11. 回到電腦,輸入 Yubico Authenticator 上顯示的一次性密碼,按「 Verify 」驗證成功後,按「 Next 」繼續;
    12. 選擇用作後備登入驗證的問題和填入答案,當然你也應該小心保存這個答案,按「 Finish 」完成設定;
    12. 選擇用作後備登入驗證的問題和填入答案,當然你也應該小心保存這個答案,按「 Finish 」完成設定;

    在電腦設定 Qsync

    1. 先從 Qsync Central 下載最新的 Qsync 客戶端軟件到電腦,並完成安裝;
    1. 先從 Qsync Central 下載最新的 Qsync 客戶端軟件到電腦,並完成安裝;
    2. 完成安裝開始設定時, Qsync 客戶端會問用戶所在地區。由於大陸的互聯網法規有別於全球各國,香港人選「全球」就對了;
    2. 完成安裝開始設定時, Qsync 客戶端會問用戶所在地區。由於大陸的互聯網法規有別於全球各國,香港人選「全球」就對了;
    3. Windows 會要求用戶批准 Qsync 客戶端存取網絡,那當然要允許了;
    3. Windows 會要求用戶批准 Qsync 客戶端存取網絡,那當然要允許了;
    4. 按「尋找 NAS 」在區域網絡裡找尋 QNAP NAS ;
    5. Qsync 客戶端會自動找出 QNAP NAS ,選擇目標 NAS 後按「選擇」;
    5. Qsync 客戶端會自動找出 QNAP NAS ,選擇目標 NAS 後按「選擇」;
    6. 選好 NAS ,輸入用戶名和密碼,再為你的電腦起個名字,按「套用」繼續;
    6. 選好 NAS ,輸入用戶名和密碼,再為你的電腦起個名字,按「套用」繼續;
    7. Qsync 客戶端會顯示預設與 NAS 同步的資料夾路徑,你可以更改到其他地方,按「完成」就完成初步設定了;
    7. Qsync 客戶端會顯示預設與 NAS 同步的資料夾路徑,你可以更改到其他地方,按「完成」就完成初步設定了;
    8. 來到 Qsync 客戶端首頁,有一個對密碼庫非常重要的設定一定要先做好。點擊紅框裡的 NAS 設定;
    8. 來到 Qsync 客戶端首頁,有一個對密碼庫非常重要的設定一定要先做好。點擊紅框裡的 NAS 設定;
    9. 在「同步」頁面勾選「同步時不移除 NAS 上檔案」,這樣即使失手在電腦中刪除了密碼庫仍會保留在 NAS 上,不至發生慘劇。
    9. 在「同步」頁面勾選「同步時不移除 NAS 上檔案」,這樣即使失手在電腦中刪除了密碼庫仍會保留在 NAS 上,不至發生慘劇。

    下一講

    活用 NAS 私有雲+密碼管理軟件 跨平台密碼管理.三: 1Password

    您會感興趣的內容

    相關文章