启用SSH KEY登录,拒绝群晖被打

2021-03-23 00:36:39 76点赞 350收藏 51评论

写在开头,请仔细阅读教程后,再操作!!!

1. 生成证书

sudo -i

  • 生成证书(生成一个2048位RSA证书 ,注意C为大写,用来标记证书)

ssh-keygen -t rsa -b 2048 -C "自定义一个名字"

启用SSH KEY登录,拒绝群晖被打


证书位置默认,如果不想自定义文件名,直接回车即可。

强烈建议:设置一下密钥口令。

2. 证书文件

执行完毕后,在/root/.ssh/目录,有如下两个文件。

启用SSH KEY登录,拒绝群晖被打


公钥:admin.pub
密钥:admin
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
注意:未自定义情况时,默认公钥和密钥名字为,id_rsa和id_rsa.pub
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

  • 将公钥导入authorized_keys文件

cat /root/.ssh/admin.pub >> /root/.ssh/authorized_keys

  • 将密钥复制到可读目录,并下载到本地

cp /root/.ssh/admin /volume1/你群晖网页能读取的目录

3. 修改SSH配置文件

  • 备份文件

cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

  • 修改文件

vim /etc/ssh/sshd_config

去掉一下几行的注释#后,修改成如下内容:

RSAAuthentication yes // 开启RSA证书验证

PubkeyAuthentication yes // 开启公钥证书验证

AuthorizedKeysFile .ssh/authorized_keys // 公钥证书位置

  • 加载ssh文件

synoservicectl --reload sshd //重新载入sshd配置文件

synoservicectl --restart sshd //重启sshd服务

  • 重启群晖

  • 测试rsa是否启用成功

使用putty、xshell、finalshell等软件,修改配置如图。浏览按钮,选择下载的密钥文件admin,并保存

启用SSH KEY登录,拒绝群晖被打

ssh登录群晖(如截图,则表示登录成功。)

启用SSH KEY登录,拒绝群晖被打

  • 再次修改SSH配置文件,禁用普通用户密码登录

PasswordAuthentication no // 禁用普通用户名密码验证

  • 重复步骤,加载ssh文件和重启群晖,完成设置。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
注意:一定要先测试,后禁用用户名密码验证
万一出现意外,导致SSH无法登录可以使用Telnet救急。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

展开 收起
51评论

  • 精彩
  • 最新
  • 关闭ssh登录不就好了,再说什么情况下才会把群晖的22端口映射到公网?

    校验提示文案

    提交
    关闭了,自己想用不还得开 [邪恶]

    校验提示文案

    提交
    一般调试才开的,不是天天都调试的嘛。有事没事用SSH登录NAS,然后上面找文件?没必要 [亲亲]

    校验提示文案

    提交
    还有5条回复
    收起所有回复
  • 关掉ssh就好了啊,只开https端口

    校验提示文案

    提交
    这个确实可以有 [邪恶]

    校验提示文案

    提交
    你把我想说的说完了,我说啥呢 [邪恶] [邪恶] [邪恶] [邪恶] [邪恶]

    校验提示文案

    提交
    收起所有回复
  • 复杂了。用的时候开,不用了关。而且我的密码本来就不简单 [惊喜]

    校验提示文案

    提交
    行吧,看个人习惯

    校验提示文案

    提交
    收起所有回复
  • 在openvpn下操作就好了,我第一件事反而是允许root登录及密码认证,不然太不方便了,异地不同机子就抓瞎

    校验提示文案

    提交
    你只要把key存在你邮箱,在哪儿不都行

    校验提示文案

    提交
    收起所有回复
  • nas这么隐私的东西还开22端口到公网,你心是真的大 [高兴]

    校验提示文案

    提交
    我改端口映射了,群晖本身有登陆超过10次错误设置黑名单的功能,我也开了,还会有什么问题吗

    校验提示文案

    提交
    不是大人物。。谁会花精力搞你。。。

    校验提示文案

    提交
    还有4条回复
    收起所有回复
  • ssh口换掉呀放到5万 扫死他

    校验提示文案

    提交
    一样会扫,我设置的55000以上 [喜极而泣]

    校验提示文案

    提交
    收起所有回复
  • 白群晖,就在家开着做自动备份Mac的服务器,下BT,给Apple TV做Infuse的NAS电影服务器,没开SSH登录,也会被高手当作肉鸡么?

    校验提示文案

    提交
    那不至于啦 [龇牙] [龇牙] [龇牙] [龇牙] [龇牙]

    校验提示文案

    提交
    那什么条件下可能被人当肉鸡?

    校验提示文案

    提交
    还有6条回复
    收起所有回复
  • 都用mac了还要啥xshell

    校验提示文案

    提交
    mac当然是sercueCRT [邪恶] [邪恶] [邪恶] [邪恶] [邪恶]

    校验提示文案

    提交
    收起所有回复
  • 路由器上就不映射这个ssh的端口,外网访问不到也不会被打。管理页面的登陆端口最好也换,admin禁用,也不会被勒索上。我两台vps改了ssh端口也没人扫我了

    校验提示文案

    提交
    我是映射了,并且是50000以上也免不了被打,奇怪 [皱眉]

    校验提示文案

    提交
    收起所有回复
  • 乖乖,博士一天发的玩意我都看不懂

    校验提示文案

    提交
    害,我也就发了三篇 [邪恶]

    校验提示文案

    提交
    收起所有回复
  • 谁没事一天把ssh打开还映射出去?

    校验提示文案

    提交
  • ssh内网用用不就好了,关闭22端口映射,

    校验提示文案

    提交
  • 收藏起来了

    校验提示文案

    提交
  • 谢谢楼主,这个知识很重要。

    校验提示文案

    提交
  • 从来没用过群晖SSH,都是https

    校验提示文案

    提交
  • 映射了一个月了,天天看自动封锁消息,看来还是关了省事

    校验提示文案

    提交
  • 内网穿透呗,什么端口都不怕

    校验提示文案

    提交
  • 开v。pn不就行了,连上pn再ssh

    校验提示文案

    提交
  • 关闭外网ssh端口,访问要通过威批恩

    校验提示文案

    提交
  • 我直接关闭ssh

    校验提示文案

    提交
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
350
扫一下,分享更方便,购买更轻松