扫描二维码关注官方公众号
返回列表 发布新帖

[讨论/分享] 使用SSH证书登陆群晖,提高群晖安全性,不惧陌生地址扫描

19762 15
发表于 2018-4-20 17:45:39 | 查看全部 阅读模式

来吧兄弟,一起玩一起讨论!

您需要 登录 才可以下载或查看,没有账号?注册

×
本帖最后由 hongluo2000 于 2018-4-20 21:01 编辑

       大家群晖安装好后,基本上都要开启ssh登陆,获取root管理员权限,登陆时都是使用密码验证的,大部分人群晖都会开启ddns了,与外网连通了。一般安全意识强些的网友都会修改一下默认的22端口,并且设置一个比较复杂的密码。有时遇到陌生地址扫描,心里也是挻担心,万一密码被猜到了,那就麻烦了。
      下面给大家介绍一种更为安全的SSH证书登陆方式 ,禁用密码登陆,安全性直接提高一个档次,不是一点点,彻底杜绝暴力破解,群晖经常放外网的有必要使用这种方式登陆。

用到的工具:winscp   (winscp自带putty,用起来很方便。
要修改的配置文件: /etc/ssh/sshd_config
开始前把群晖telnet临时打开一下,如果修改失败,还可以通过telnet登陆。

具体步骤:
① 生成服务端和客户使用的证书,ssh登陆群晖,运行以下命令:
ssh-keygen -t rsa -b 2048 -C "my nas certificate"   

//生成一个2048位的 RSA证书 ,注意是大写C,标记证书用的。


需要几次回车确认,期间会提示输入口令,建议输入密钥口令,其它都不需要修改,默认位置就好,
注意自己的证书生成位置,如果是root用户,就是在root目录下,其它用户是在自己的home家目录里。


证书文件

证书文件
     

生成证书

生成证书



执行完毕后会在:root/.ssh/目录下生成两个文件证书文件
公钥文件:/root/.ssh/id_rsa.pub
密钥文件:/root/.ssh/id_rsa  

证书验证文件:/root/.ssh/authorized_keys      注意此文件是手动建立的,如果没有的话,要手动建一个文件,名字是authorized_keys
将私钥文件id_rsa下载到本地,等会登陆时会用到。

②将公钥证书文件写到证书验证文件里
命令: cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys

也可以在图形下操作,用winscp打开公钥文件id_rsa.pub,将其中内容复制一下,然后粘贴到authorized_keys文件里,authorized_keys文件是空的,打开后直接粘贴进去保存即可。

③修改群晖SSH服务配置文件:/etc/ssh/sshd_config

#开头的行表示被注释了,把#去掉就可以生效了,内容比较多,只需要修改需要部分,如下:

  • PermitRootLogin yes    //允许root用户登陆
  • RSAAuthentication yes   //开启RSA证书验证
  • PubkeyAuthentication yes  //开启公钥证书验证
  • AuthorizedKeysFile  .ssh/authorized_keys    //公钥证书就放在这个文件里
  • PasswordAuthentication no  // 禁用密码验证,如果为yes表示开启密码验证。开启证书验证后,这个可以关闭了。更安全
  • StricktModes no  //禁用严格权限模式,yes表示开启,开启后系统会检查证书家目录的权限,家目录权限建议设为700,证书文件建议设为600,刚开始可以设置为no。
④设置winscp登陆为证书验证

进入winscp点击密码下面的高级设置将下载的私钥文件id_isa证书作为密钥文件
初次使用时会提示你格式转化,winscp的putty使用的证书格式是ppk,格式转换是自动完成的,按提示操作即可

设置证书登陆

设置证书登陆
        

证书登陆

证书登陆



全部完成后,最好重启一下群晖,让sshd服务生效,
当然你也可以生动重启ssh服务 ,命令如下
synoservicectl --restart sshd  重启sshd服务

synoservciectl --reload sshd  重新载入sshd配置文件

全部完成后,你的群晖就开启了SSH证书验证登陆了。 相比密码安全性也大大提高,放在外网也不怕暴力破解了。
另外说下,使用谷歌的secure ssh app 浏览器插件,可以直接使用密钥文件,非常方便。

公钥认证

公钥认证
  

谷歌ssh插件

谷歌ssh插件


评论15

超导体Lv.10互助团队 发表于 2018-4-21 01:06:00 | 查看全部
好方法,感谢分享
回复 点赞

使用道具 举报

momoVIP互助团队 发表于 2018-4-21 08:49:55 | 查看全部
嗯嗯不错,不过一般不建议开启ssh了。
回复 点赞

使用道具 举报

gongkuilongLv.6互助团队 发表于 2018-4-23 07:45:48 | 查看全部
好方法,感谢分享
回复 点赞

使用道具 举报

hero3000Lv.4 发表于 2018-5-11 12:14:07 | 查看全部
好东西,能提高群晖的外网访问安全性,谢谢了。
回复 点赞

使用道具 举报

laosong 发表于 2018-5-12 11:32:34 | 查看全部
就是麻烦些,但是本地密钥安全性很好
回复 点赞

使用道具 举报

banana6 发表于 2018-5-23 16:02:29 | 查看全部
momo 发表于 2018-4-21 08:49
嗯嗯不错,不过一般不建议开启ssh了。

那采用什么呢,v.p.n.还是啥
回复 点赞

使用道具 举报

feifeilong 发表于 2018-5-29 10:44:47 | 查看全部

好东西,能提高群晖的外网访问安全性,谢谢了。
回复 点赞

使用道具 举报

jennying 发表于 2018-6-15 14:30:09 | 查看全部

学习一下,谢谢分享
回复 点赞

使用道具 举报

jky007VIPLv.2 发表于 2018-8-10 13:43:35 | 查看全部
密码加二次认证应该够安全了吧
回复 点赞

使用道具 举报

扮猪吃老虎VIP 发表于 2018-9-28 20:10:05 | 查看全部
手机终端如何用证书实现外网和局域网访问呢?
回复 点赞

使用道具 举报

luckychungLv.2 发表于 2019-10-9 16:07:54 | 查看全部
感谢楼主分享,待测试
回复 点赞

使用道具 举报

watermoonVIPLv.9 发表于 2019-10-13 16:34:15 | 查看全部
关掉SSH,万无一失。
回复 点赞

使用道具 举报

wwwabcwj 发表于 2020-1-2 14:23:39 | 查看全部
这个需要 学习了
回复 点赞

使用道具 举报

tordangLv.2 发表于 2020-1-3 18:22:07 | 查看全部
学习了,不过我都是直接关了ssh,需要用到的时候临时再开一下
回复 点赞

使用道具 举报

jasmine203Lv.2 发表于 2020-1-9 17:24:58 | 查看全部
小白问一下,22端口干啥的?
回复 点赞

使用道具 举报

回复

懒得打字嘛,点击右侧快捷回复 【本站酷狼4T,750元】
您需要登录后才可以回帖 登录 | 注册

本版积分规则

淘宝小店

邀请码

VIP会员

微信客服

公众号

微信群

投诉/建议联系

support@gebi1.cn

未经授权禁止转载,复制和建立镜像,
如有违反,追究法律责任
  • 关注公众号
  • 添加微信客服
Copyright © 2001-2024 隔壁网 版权所有 All Rights Reserved. 粤ICP备14056481号-1
关灯 在本版发帖
扫一扫添加微信客服
返回顶部
快速回复 返回顶部 返回列表