为群晖加把锁:使用ssh密钥保障数据安全
对每一个使用群晖nas的人而言,能保证群晖里保存的数据不被未经授权的人访问下载甚至破坏可能是最重要的事情。但数据只要上网,就免不了担心密码被破解,群晖被侵入。现在网络上,要破解密码可能是最简单不过的事情。但是,假如加入了ssh密钥对,为群晖上把锁,只有自己手上拿着打开这把锁的钥匙,自然是最安全不过了。以下题主通过生成密钥,可以使群晖的远程登入和文件访问安全性得以提升。
首先我们要在CentOS主机上使用“ssh-keygen”生成密钥如下:
这里还可以手工输入密码,那么即使你的密钥泄露也更有一层保障。不过一般不设置而直接回车已经很安全了,看各自需要定。生成的两个文件分别是私钥和公钥:
下面将密钥中的公钥即传到群晖上,或者以其他方法将公钥拷贝到群晖主机:
这里是传到群晖用户documt的家目录下。
进入群晖主机端,确保你所操作的用户有管理员权限,群晖默认是不给非管理员使用ssh权限的。
更改documt目录的权限:
,进入documt用户家目录下,建立“.ssh”目录,在此目录下新建“authorized_keys”空文件(如已有此文件则跳过这一步):
将公钥追加到“authorized_keys”文件里,并更改“.ssh”目录的权限为700,更改“authorized_keys”文件的权限为600:
后面修改ssh配置文件时需要提权到root,所以需要查看群晖admin用户是否被禁用,如被禁用需要先启用方可进行下一步操作。这一步请亲们自行处理。我这里已经启用了admin用户,发出编辑命令如下:
输入群晖管理员密码后进入编辑界面,修改内容:
此行将注释删除为
此行也将注释删除为
保存退出。这里若用户未提权保存是不被接受的。然后重启ssh:
此时再登录群晖时,即可使用密钥登录:
输入密钥密码,未设置密钥密码的便已经登录到群晖。
还可以在windows10端将密钥传送过来:
让windows10在PowerShell端也实现密钥登录:
最后,还可以修改群晖的sshd配置文件,禁止ssh使用密码登录:
将此配置中的“yes”改为“no” 即
这里需要特别注意,一定要提前将群晖的管理员密钥登录事先设置妥当,否则因为群晖的安全机制,不同管理员的权限有所区别,弄不好会将管理员关在群晖门外,那就麻烦了。
实际上,我们也可以直接使用windows10的PowerShell生成密钥对配置群晖密钥登录。
为群晖加把锁:使用ssh密钥保障数据安全的更多相关文章
- 群晖DSM修改ssh权限实现免密码登陆
问题 使用ssh-id-copy正确上传公钥后依然无法免密码登陆 原因 群晖DSM中.ssh文件夹权限不当 解决 赋予正确权限 admin@DiskStation:/var/services/home ...
- 群晖下 gitea+drone+harbor实现CI/CD 发布到云服务器
常用命令 sudo -i然后输入密码登录root账户(群晖默认只能使用admin账号登陆) vim xxx编辑(编辑是进去之后按i,退出并保存是按esc,然后:wq!再回车) mkdir xx创建文件 ...
- 群晖NAS再折腾
端口转发 两年前我买了一台双盘位的群晖NAS,配置两个4T的硬盘,这玩意儿一度改变了我使用电脑的模式,真是爽爆了!最最主要的功能就是我能用它规整我所有的资料,并且不管何时何地,只要有网就能访问.为了能 ...
- 在Synology群晖上运行Frp客户端
一.Synology群晖上开启SSH 二.使用Putty连接 1,登陆管理员账户和密码 2,连接成功后输入sudo su - 输入管理员的密码切换到root权限 下载:wget https://git ...
- 黑群晖DS3617xs-DSM6.1.7up3/up2 开启ROOT用户,同时SATA改eSATA,挂载NTFS硬盘设置(二)
这两天闲来没事在某宝上搞了个黑群晖主机就j1900/4G小主机系统是DCM 6.1.7up3 15284版 网上修改的教程很多,走了好多弯路终于搞定我的黑群NAS,现分享给各位道友,有不足的地方请给位 ...
- 群晖上使用kvm(qemu)笔记[原创]
1.今日偶然逛github里发现一个项目:https://github.com/bsdcpp/synoKVM 下载spk后手工安装,马上可以使用 2.新建XP实例后发现xp的安装盘不认识qemu的vi ...
- 群晖NAS百度云Docker客户端下载目录没有权限的问题解决
针对这篇文章:https://zhuanlan.zhihu.com/p/42267779的问题,需要ssh进去群晖,然后把目录设置成777权限.命令如下: sudo chmod -R 777 /vol ...
- 群晖Nas中搭建Intellij Idea的LicenseServer服务
下载IntelliJIDEALicenseServer(直接找度娘) 准备 shellX 或其他 ssh工具,个人比较喜欢 mobaxterm. 通过 ssh工具连接到群晖中,用户名和密码就是登陆群晖 ...
- 使用群晖NAS:配置Git server
1.首先在群晖的DSM的控制面板中创建一个用户例如是Git_test(我给了管理员权限) 2.在套件中心安装 Git server 3.打开Git server 勾选用户 Git_test 4.在控制 ...
随机推荐
- CefSharp 提示 flash player is out of date 运行此插件 等问题解决办法
CefSharp 提示 flash player is out of date 或者 需要手动右键点 运行此插件 脚本 等问题解决办法 因为中国版FlashPlayer变得Ad模式之后,只好用旧版本的 ...
- svg的viewport和viewbox
svg中视区重要的概念 1. viewport 视口,相当于显示器屏幕 2. viewbox 视区,相当于在屏幕上截取一小块,放大到整个屏幕,就是特写的效果 3. preserveAspectR ...
- python中urllib的urlencode与urldecode
当url地址含有中文,或者参数有中文的时候,这个算是很正常了,但是把这样的url作为参数传递的时候(最常见的callback),需要把一些中文甚至'/'做一下编码转换. urlencode urlli ...
- EasyDSS高性能RTMP、HLS(m3u8)、HTTP-FLV、RTSP流媒体服务器前端源码重构(六)- webpack-dev-server 自适应支持手机端访问
关于EasyDSS EasyDSS商用流媒体服务器解决方案是一套集流媒体点播.转码与管理.直播.录像.检索.时移回看于一体的一套完整的商用流媒体服务器解决方案,EasyDSS高性能RTMP流媒体服务器 ...
- LODOP纸张/打印机/份数/打印方向/双面打印 简短问答
纸张#如何设置纸张纸张设置,参考样例5 http://www.c-lodop.com/demolist/PrintSample5.html纸张的一些优先级 http://www.c-lodop.com ...
- LeetCode:复原IP地址【93】
LeetCode:复原IP地址[93] 题目描述 给定一个只包含数字的字符串,复原它并返回所有可能的 IP 地址格式. 示例: 输入: "25525511135" 输出: [&qu ...
- 【Python学习之四】集合类型
环境 虚拟机:VMware 10 Linux版本:CentOS-6.5-x86_64 客户端:Xshell4 FTP:Xftp4 python3.6 一.字符串:字符串实际上就是字符的数组1.切片是指 ...
- K8S从入门到放弃系列-(15)Kubernetes集群Ingress部署
Ingress是kubernetes集群对外提供服务的一种方式.ingress部署相对比较简单,官方把相关资源配置文件,都已经集合到一个yml文件中(mandatory.yaml),镜像地址也修改为q ...
- Response知识点小结
HTTP协议: 1. 响应消息:服务器端发送给客户端的数据 * 数据格式: 1. 响应行 1. 组成:协议/版本 响应状态码 状态码描述 2. 响应状态码:服务器告诉客户端浏览器本次请求和响应的一个状 ...
- Java集合对比
1.array和ArrayList 的区别?1.1:ArrayList是Array的复杂版本1.2:数组不能扩容集合可以扩容1.3:存储的数据类型:Array只能存储相同数据类型的数据,而ArrayL ...