群晖NAS暴露到公网后，需要考虑安全问题，使用 SSH 密钥登陆方式 ，禁用密码登陆，提高安全性，彻底杜绝暴力破解！

要修改的配置文件：/etc/ssh/sshd_config

1.生成服务端和客户使用的证书

ssh 登陆群晖（注意切换到root sudo -i），运行以下命令：

ssh-keygen -t rsa -b 2048 -C "SherlockNASCert"

生成一个2048位的 RSA证书 ，注意是大写C，标记证书用的。

证书位置默认即可，建议设置一下密钥口令。

执行完毕后会在：/root/.ssh/目录下生成两个文件证书文件
公钥文件：/root/.ssh/id_rsa.pub
密钥文件：/root/.ssh/id_rsa
将私钥文件id_rsa下载到本地，之后登陆会用到。

2.将公钥证书文件写到证书验证文件authorized_keys里

cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys

3.修改群晖 SSH 服务配置文件/etc/ssh/sshd_config

去掉一下几行的注释#即可：

RSAAuthentication yes   //开启RSA证书验证
PubkeyAuthentication yes  //开启公钥证书验证
AuthorizedKeysFile  .ssh/authorized_keys    //公钥证书就放在这个文件里
PasswordAuthentication no  // 禁用密码验证，如果为yes表示开启密码验证。开启证书验证后，这个可以关闭。

切记：刚开始设置时，PasswordAuthentication 请先保持为 yes，以防万一修改失败导致无法进入ssh，待修改证书登陆成功后，再修改为no。如果出现意外导致无法登录SSH可以使用Telnet救急。

4.重启群晖

本来想使用重启 sshd 的命令来实现，结果发现启动失败了，直接无法进入SSH。。重启NAS后生效了。

这样设置完，使用密钥登录SSH默认即为root用户。

命令摘录如下：

# 重新载入sshd配置文件
synoservicectl --reload sshd
# 重启sshd服务
synoservicectl --restart sshd

5.设置 XShell 为证书登录即可

导入1 中下载的私钥id_rsa即可，可以设置记住密码，密钥请妥善保管。

Q.E.D.