侧边栏壁纸
  • 累计撰写 269 篇文章
  • 累计创建 141 个标签
  • 累计收到 16 条评论

目 录CONTENT

文章目录

使用密钥登陆群晖NAS SSH

Sherlock
2019-04-09 / 1 评论 / 0 点赞 / 11216 阅读 / 0 字
温馨提示:
本文最后更新于2023-10-09,若内容或图片失效,请留言反馈。 部分素材来自网络,若不小心影响到您的利益,请联系我们删除。

群晖NAS暴露到公网后,需要考虑安全问题,使用 SSH 密钥登陆方式 ,禁用密码登陆,提高安全性,彻底杜绝暴力破解!

要修改的配置文件:/etc/ssh/sshd_config

1.生成服务端和客户使用的证书

ssh 登陆群晖(注意切换到root sudo -i),运行以下命令:

ssh-keygen -t rsa -b 2048 -C "SherlockNASCert"

生成一个2048位的 RSA证书 ,注意是大写C,标记证书用的。

证书位置默认即可,建议设置一下密钥口令。

执行完毕后会在:/root/.ssh/目录下生成两个文件证书文件
公钥文件:/root/.ssh/id_rsa.pub
密钥文件:/root/.ssh/id_rsa
将私钥文件id_rsa下载到本地,之后登陆会用到。

2.将公钥证书文件写到证书验证文件authorized_keys

cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys

3.修改群晖 SSH 服务配置文件/etc/ssh/sshd_config

去掉一下几行的注释#即可:

RSAAuthentication yes   #开启RSA证书验证
PubkeyAuthentication yes  #开启公钥证书验证
AuthorizedKeysFile  .ssh/authorized_keys    #公钥证书就放在这个文件里
PasswordAuthentication no  #禁用密码验证,如果为yes表示开启密码验证。开启证书验证后,这个可以关闭。

切记:刚开始设置时,PasswordAuthentication 请先保持为 yes,以防万一修改失败导致无法进入ssh,待修改证书登陆成功后,再修改为no。如果出现意外导致无法登录SSH可以使用Telnet救急。

4.重启群晖

本来想使用重启 sshd 的命令来实现,结果发现启动失败了,直接无法进入SSH。。重启NAS后生效了。

这样设置完,使用密钥登录SSH默认即为root用户。

命令摘录如下:

# 重新载入sshd配置文件
synoservicectl --reload sshd
# 重启sshd服务
synoservicectl --restart sshd

5.设置 XShell 为证书登录即可

导入1 中下载的私钥id_rsa即可,可以设置记住密码,密钥请妥善保管。

0
  1. 支付宝打赏

    qrcode alipay
  2. 微信打赏

    qrcode weixin

评论区