Linux     NAS    

使用密钥登陆群晖NAS SSH

1,542 次访问
Sherlock
Scroll Down

群晖NAS暴露到公网后,需要考虑安全问题,使用 SSH 密钥登陆方式 ,禁用密码登陆,提高安全性,彻底杜绝暴力破解!

要修改的配置文件:/etc/ssh/sshd_config

1.生成服务端和客户使用的证书

ssh 登陆群晖(注意切换到root sudo -i),运行以下命令: 

ssh-keygen -t rsa -b 2048 -C "SherlockNASCert"

生成一个2048位的 RSA证书 ,注意是大写C,标记证书用的。

证书位置默认即可,建议设置一下密钥口令。

执行完毕后会在:/root/.ssh/目录下生成两个文件证书文件
公钥文件:/root/.ssh/id_rsa.pub
密钥文件:/root/.ssh/id_rsa
将私钥文件id_rsa下载到本地,之后登陆会用到。

2.将公钥证书文件写到证书验证文件authorized_keys

cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys

3.修改群晖 SSH 服务配置文件/etc/ssh/sshd_config

去掉一下几行的注释#即可:

RSAAuthentication yes   //开启RSA证书验证  
PubkeyAuthentication yes  //开启公钥证书验证  
AuthorizedKeysFile  .ssh/authorized_keys    //公钥证书就放在这个文件里  
PasswordAuthentication no  // 禁用密码验证,如果为yes表示开启密码验证。开启证书验证后,这个可以关闭。

切记:刚开始设置时,PasswordAuthentication 请先保持为 yes,以防万一修改失败导致无法进入ssh,待修改证书登陆成功后,再修改为no。如果出现意外导致无法登录SSH可以使用Telnet救急。

4.重启群晖

本来想使用重启 sshd 的命令来实现,结果发现启动失败了,直接无法进入SSH。。重启NAS后生效了。

这样设置完,使用密钥登录SSH默认即为root用户。

命令摘录如下:

# 重新载入sshd配置文件
synoservicectl --reload sshd  
# 重启sshd服务
synoservicectl --restart sshd

5.设置 XShell 为证书登录即可

导入1 中下载的私钥id_rsa即可,可以设置记住密码,密钥请妥善保管。

本文由 Sherlock 创作,如果您觉得本文不错,请随意赞赏
采用 知识共享署名4.0 国际许可协议进行许可
本站文章除注明转载/出处外,均为本站原创或翻译,转载前请务必署名
原文链接:https://halo.sherlocky.com/archives/shi-yong-ssh-zheng-shu-deng-lu-qun-hui-nas
最后更新于:2019-04-09 22:04:02

最新文章
记一次MySQL SQL优化

MySQLSQL优化基本步骤查看执行计划explain如果有告警信息,查看告警信息showwarnings;查看SQL涉及的表结构、索引信息、统计信息根据执行计划,思考可能的优化点按照可能的优化点执行表结构变更、增加索引、SQL改写等操作需要注意:条件字段函数字段隐式转换隐式字符编码转换查看优化后的
本博客开始支持 TLS 1.3

OpenSSL为了支持TLS1.3final,需要使用OpenSSL1.1.1正式版:wget-chttps://github.com/openssl/openssl/archive/OpenSSL_1_1_1.tar.gztarxzfOpenSSL_1_1_1.tar.gzmvopenssl-Op
删除 Centos7 中附带的 OpenJDK 1.8

1.先检测java版本使用java-version命令:openjdkversion"1.8.0_252"OpenJDKRuntimeEnvironment(build1.8.0_252-b09)OpenJDK64-BitServerVM(build25.252-b09,mixe
JDK keytool 查询、添加、删除本地证书,解决 https 请求报错问题

https协议对于开发者而言其实只是多了一步证书验证的过程。对于JDK而言这个证书通常情况下被jdk/jre/security/cacerts所管理。里面证书包含两种情况:1、机构所颁发的被认证的证书,这种证书的网站在浏览器访问时https头一般会显示为绿色或者一个灰色小锁的标识。2、个人所设定的证
DM7 达梦数据库安装后配置及调优

国产达梦数据库安装完成以后,需要做一些配置及调优。

分类
生活 life
杂记 zaji
娱乐 yule
标签
nfs nfs
达梦 dameng
sql sql
postgresql postgresql
css css
mybatis mybatis
博客 blog
微服务 microservice
SSL ssl
yum yum
https https
leetcode leetcode
JDBC jdbc
pdf pdf
itext itext
python python
MySQL8 mysql8
CTE cte
windows windows
ss ss
缓存 huan-cun
dubbo dubbo
死锁 si-suo
TCP tcp
cha
Exception exception
Restful restful
Elasticsearch elasticsearch
语录 yu-lu
IO io
儿童 er-tong
教育 jiao-yu
算法 suan-fa
历史 li-shi
书法 shu-fa
管理 guan-li
James james
邮件 you-jian
Gradle gradle
Tomcat tomcat
Android android
wan
笔记 bi-ji
多线程 duo-xian-cheng
transaction transaction
ffmpeg ffmpeg
NAS nas
Node.js nodejs
rss rss-tag
json json
websocket websocket
car car
book book
frp frp
MQ mq
Google google
Apache apache
httpd httpd
CentOS7 centos7
诗歌 shi-ge
美文 mei-wen
svn svn
Docker docker
EPEL epel
文件 wen-jian
分布式 fen-bu-shi
log log
上传 shang-chuan
断点续传 duan-dian-xu-chuan
learning learning
ip ip
SpringBoot springboot
Ubuntu ubuntu
加密 jia-mi
Bcrypt bcrypt
sftp sftp
极客 ji-ke
路由 lu-you
刷机 shua-ji
IDEA idea
开源 kai-yuan
许可证 xu-ke-zheng
findbugs findbugs
php php
webstorm webstorm
内存 nei-cun
GPU gpu
Spring spring
MVC mvc
并发 bing-fa
CentOS centos
面试 mian-shi
硬件 ying-jian
cpu cpu
percona-toolkit percona-toolkit
Maven maven
eclipse eclipse
重构 zhong-gou
Lua lua
恢复 hui-fu
数据迁移 shu-ju-qian-yi
tag tag
命令 ming-ling
scp scp
复制 fu-zhi
备份 bei-fen
定时任务 ding-shi-ren-wu
cron cron
Linux linux
服务器 fu-wu-qi
性能 xing-neng
iptables iptables
vps vps
MySQL mysql
markdown markdown
Git git
Github github
reading reading
Redis redis
cache cache
Java java
octopress octopress
JVM jvm
Nginx nginx
web web
CDN cdn
forever forever
Ghost ghost-tag