QNAP NASに思う いろいろな点

QNAP NASに思う いろいろな点を書くだけの記事

最初に

現在はTS-873をメインに記事化してましたが
他にも何台か管理しているQNAP NASがあるので
TS-873に限定せずQNAP NAS全般に
記事化するほどのネタではないけどメモしておきたい事を
ひらすらこの記事に書いていきますので
記事公開後もこそっと更新すると思います

将来的にアップデートで修正されそうな案件は
QTSバージョンを記載するようにしています

HDDトレイがプラスチック

TS-873もプラスチックですし今のQNAPはほとんどプラスチックになってます
昔のQNAP機種は金属製が当たり前でしたので残念です

TS-873に至ってはHDDトレイの鍵すら省略されてます
QNAPの鍵があっても共通鍵だったりするんですけどね(特にプラの鍵)

QNAPといえばソフトウェアは悪いけどハードウェアは質が良いなんて
言われてましたがどんどんコストダウンされてる印象

ECCメモリ対応機の壁

SynologyはAtomクラスでもECC公式対応しているのですが
QNAPはXeonクラスでしか公式対応はしてません

スナップショット領域の仕様

QTS 4.4.1.1117

前記事で触れてますので詳細はそちらへ

QNAP NASの使用可能容量 | fefcc.net
https://fefcc.net/archives/951

スナップショット領域をユーザにどれくらい使うかを事前に予想させる不親切さ
この時代遅れな仕様はそろそろ何とかしてほしい

システムボリュームの暗号化は想定されていない

QTS 4.4.1.1117

1つ目にボリュームを作ると勝手に割り当てられる
システムボリュームですがこのシステムボリュームを暗号化すると
NAS起動時にWEB管理画面が出ずにSSH接続が必要になるらしいです

QNAPのシステムボリュームを暗号化しているときに,再起動すると管理画面にログインできなくなった場合の対処法 – Qiita
https://qiita.com/masnagam/items/ef6d39bf053a49854dae

私もシステムボリューム作成前でも管理画面は動いていて大丈夫だと思っていたので
実行前にたまたまこの記事を見て助かったパターンでした

ちなみに最近のQNAPはデフォルトでSSH有効だったのですが
QTS 4.4.1.1101 build 20191025からデフォルトでSSH無効に変更されてますので
試す場合は有効に設定するのを忘れずに

USBメモリーを暗号化キーとして使えない

QTS 4.4.1.1117

先ほど紹介した記事内の「暗号化鍵を外部USBメモリーに保存」という項目で
触れられている話と同じです

QNAPのNASはボリュームロック解除の方法でNAS本体に暗号化鍵を保存しない選択肢は
手動のパスワード入力かキーファイルを管理画面でアップロードするかの2択しかありません

手動入力で強度のあるパスワードは現実的ではないしPCにテキスト保存するなら
キーファイルで十分だしって話なので現実的なのはキーファイル運用なんですけど
キーファイル使うならUSBメモリに入れて起動時に読み込んでくれたら
システムボリュームも簡単に暗号化運用出来て楽なのにと思います

この点便利なのがReadyNASで
ReadyNASは起動時に暗号化鍵が入ったUSBメモリーを刺さないとシステム起動自体せず
暗号化鍵が合っていれば自動でシステム起動後にマウントされて利用可能
もちろん起動後はUSBメモリを抜いても問題ないので普段はUSBキーは外して運用し
電源オフでロック状態になるのでNASごと盗もうとコンセント抜いたらロックです

ReadyNASほどのシステムではないですがSynologyも物理キー作成に対応済

ちなみにQNAPで用意されている暗号化鍵をNAS本体に保存する・しないでの効力の違いは
保存しない場合はNASとHDDどちら盗まれてもデータはもちろん閲覧不可能
保存する場合はNASごと盗まれるとデータ閲覧可能でHDDだけ盗まれた場合のみ閲覧不可能

現実的に考えるとラックタイプならまだしも普通の据え置き型の場合は
HDDが盗まれる状況ならNASごと持ち去るでしょう(RAID構成を考慮すると尚更)
メリットとしてはHDDを売却するときにデータ消去作業が不要で楽というぐらいでしょうか
個人的にはNAS本体に暗号化鍵を保存するぐらいなら暗号化しなくてもいい気がします

暗号化キーについてはこちらの記事でも触れています

QNAP NASの暗号化とスナップショットの関係 | fefcc.net
https://fefcc.net/archives/983

データ収集契約はオプトアウト

QTS 4.4.1.1117

初回の管理画面ログイン後に「ストレージ&スナップショット」ツールが自動で起動し
データ収集契約の同意を求められます

「はい」を選択しないと使えないように勘違いしがちですけど
情報送信したくない場合は「いいえ」でも問題ありません

後から設定変更したい場合は右上にある歯車マークから
グローバル設定 -> ディスク/デバイス -> ディスク分析データをQNAPと共有するをオフ

SSD Profiling Toolも使う際にデータ送信を求められるので
同様に注意してください

QTS4.4系のランダム再起動問題

QTS4.4系で機種に関係なくランダム再起動する問題が
公式フォーラムやredditで数多く報告されていて
QNAP側も問題は把握しているものの
現在最新のQTS 4.4.1.1117 build 20191109でも解決していない模様

現象としては数分・数時間・数日で勝手に再起動されてしまうようで
本当に間隔が環境によって様々でまさにランダム
しかし多くの該当機も4.3系にダウングレードすると大丈夫らしいです

この問題は同じ機種でも発生する場合と発生しない場合があったりで
原因が不明な為、原因究明のために
フォーラムでは4.4系に更新する前に必ずデータをバックアップする旨と共に
再起動問題が発病したらヘルプデスクアプリでサポートチケットを発行するよう
呼びかけられています

私の場合、TS-873は購入直後に4.3系から4.4系にアップデートして
現在は4.4.1.1086と4.4.1.1117でテストしてましたが
(4.4系に上げた後に完全初期化を実行してます)
今のところランダム再起動は一度もありません

使っているアプリも条件なのではないかと言われておりますが
私の場合はSMBとVirtualization Stationしか使っておらず
他サービスは既に無効にしています

今回はテスト中なのでFWも即日アップデート適用しましたが
データを入れて運用開始したらFWもリリース後すぐには入れない方がいいです
QNAP NASは良くも悪くもそんなもんです

myQNAPcloudには気をつけろ

myQNAPcloudは外出先からNASへアクセスする為の機能で
UPnPでルータ超えも自動で楽チン仕様

しかし最近はQNAPを狙ったMuhstikやQSnatchが発生しており利用には注意が必要

この機能の問題は自動で公開される範囲が広すぎる点で
NASがプリインストールで勝手に動かしているサービスまで
サービスが動いていれば利用者の意図せず公開されてしまいます

MuhstikはまさにphpMyAdminにて内部用のはずが
自動で外部にも公開されていて知らぬ間にアタックされたパターンになります

NAS本体のパスワードはしっかり設定していても
(adminのままmyQNAPcloudで公開してたりする冗談みたいなケースもあるらしいですが)
アプリ内や内部でしか使わないユーザ・パスワードは甘いケースが多く
結果、アプリごとに公開されるWEB画面から狙われることになります

myQNAPcloudを使っている場合はまずmyQNAPcloudでの公開サービスを確認し
外出先から使わないサービスは全てmyQNAPcloud経由はオフにしましょう

スナップショットがあると暗号化キーは変更できない

QTS 4.4.1.1117

運用途中に暗号化ボリュームの暗号化キーを変更したくなった場合は
ボリューム管理からアクション→暗号化→変更から新しい暗号化キーに変更できますが
スナップショットのデータが1つでも存在するとこんな表示が出ます

文字通りスナップショットを全て削除しないと
暗号化キーの変更は受け付けない仕様で
これは暗号化キーをNASに保存する・しないに関係なく発生します

スナップショットを使う場合は
最初から暗号化キーを本番用の強度で設定しておき
暗号化キーが漏れてもすぐには変更できないので
暗号化キーの管理には十分注意しましょう

ネットワークごみ箱機能についていろいろ

QTS 4.4.1.1117

要はただのゴミ箱機能ですがネットワークごみ箱を有効にしている共有フォルダには
@Recycleフォルダが追加されます

ファイル名だけセットされているような
中身のない0バイトのファイルはゴミ箱に移動されません

ゴミ箱にあるファイル名と同一ファイル名を消した場合は
1つ目がtest.txt、2つ目はtext.txt[1]という感じでリネームされて保管されます

フォルダ内のファイルを削除した場合はゴミ箱フォルダ内でフォルダが勝手に作成されます
(test/test.txtを消したらゴミ箱内にもtestフォルダが作成される)

ゴミ箱の中で常に「desktop.ini」が見える状態になっている問題
通常のdesktop.iniは隠しファイルとして運用されるので
隠しファイルを表示する設定をしているWindows以外は表示されず意識することはありません
しかしQNAPのゴミ箱フォルダにはなぜか通常ファイルとしてdesktop.iniが配置されるので
残念ながら常に表示されます(QNAP側の実装漏れな気がしますけど)

desktop.iniをWindowsから手動で隠しファイルに設定するともちろん見えなくなりますが
ゴミ箱を空にしたりするとdesktop.iniが再度自動生成される関係でまた元に戻ってしまいます

desktop.iniを間違えて削除してしまった場合でも
上記の理由で勝手に生成されるのですぐに戻したい場合は
管理画面のコンパネから手動でゴミ箱を空にすれば復元されますし
急ぎで無ければ1日経てばゴミ箱チェック時刻の処理で勝手に復元されます
@Recycleはゴミ箱アイコンになっていますが当然設定はdesktop.iniで行われおり
削除するとdesktop.iniが復元されるまでは普通のフォルダアイコンになります

@Recycleフォルダはゴミ箱扱いになっているだけで
ただのフォルダと同じですからWindowsからフォルダごと削除できてしまいます
その場合は何でもいいのでファイルを削除すると@Recycleフォルダが復活します
(ゴミ箱の中身は当然消えます)