对每一个使用群晖nas的人而言,能保证群晖里保存的数据不被未经授权的人访问下载甚至破坏可能是最重要的事情。但数据只要上网,就免不了担心密码被破解,群晖被侵入。现在网络上,要破解密码可能是最简单不过的事情。但是,假如加入了ssh密钥对,为群晖上把锁,只有自己手上拿着打开这把锁的钥匙,自然是最安全不过了。以下题主通过生成密钥,可以使群晖的远程登入和文件访问安全性得以提升。
首先我们要在CentOS主机上使用“ssh-keygen”生成密钥如下:
这里还可以手工输入密码,那么即使你的密钥泄露也更有一层保障。不过一般不设置而直接回车已经很安全了,看各自需要定。生成的两个文件分别是私钥和公钥:
下面将密钥中的公钥即传到群晖上,或者以其他方法将公钥拷贝到群晖主机:
这里是传到群晖用户documt的家目录下。
进入群晖主机端,确保你所操作的用户有管理员权限,群晖默认是不给非管理员使用ssh权限的。
更改documt目录的权限:
,进入documt用户家目录下,建立“.ssh”目录,在此目录下新建“authorized_keys”空文件(如已有此文件则跳过这一步):
将公钥追加到“authorized_keys”文件里,并更改“.ssh”目录的权限为700,更改“authorized_keys”文件的权限为600:
后面修改ssh配置文件时需要提权到root,所以需要查看群晖admin用户是否被禁用,如被禁用需要先启用方可进行下一步操作。这一步请亲们自行处理。我这里已经启用了admin用户,发出编辑命令如下:
输入群晖管理员密码后进入编辑界面,修改内容:
此行将注释删除为
此行也将注释删除为
保存退出。这里若用户未提权保存是不被接受的。然后重启ssh:
此时再登录群晖时,即可使用密钥登录:
输入密钥密码,未设置密钥密码的便已经登录到群晖。
还可以在windows10端将密钥传送过来:
让windows10在PowerShell端也实现密钥登录:
最后,还可以修改群晖的sshd配置文件,禁止ssh使用密码登录:
将此配置中的“yes”改为“no” 即
这里需要特别注意,一定要提前将群晖的管理员密钥登录事先设置妥当,否则因为群晖的安全机制,不同管理员的权限有所区别,弄不好会将管理员关在群晖门外,那就麻烦了。
实际上,我们也可以直接使用windows10的PowerShell生成密钥对配置群晖密钥登录。