群晖安装使用学习笔记

发布于 作者:

一、获取群晖ROOT权限及改密码

1、登陆群晖的SSH,用系统默认用户登陆;
2、切换成ROOT,仍然输入默认用户密码:sudo –i
3、cd /etc/ssh
Chmod 755 sshd_config
Vi /etc/ssh/sshd_config
4、按i,移动到此项并修改为:permitrootlogin yes
5、按:wq保存
6、重启群晖reboot
7、登陆群晖的SSH,用系统默认用户登陆
8、切换成ROOT,仍然输入默认用户密码:sudo –i
9、synouser –setpw root 密码
10、reboot重启群晖即可。

二、群晖引导及系统更新设置

1、群晖系统版本强烈建议选择GXNAS大神制作的引导系统。这位大神制作的引导系统版本比较新,更新也比较频繁,BUG修复很及时,关键是用了后真香。这里放一下他的主页网址:https://wp.gxnas.com/。主页面上既有最新的已经封装好的引导系统,又有各种常用的黑群晖小工具放在网盘里供大家下载,非常方便。

2、群晖版本选择强烈建议直接一步到位7.2。因为只有最新的7.2版本中的DOCKER才能正常拉取镜像使用,7.1就不行。同时其他套件或功能都能保持最新,我用了很长时间感觉没有任何问题。群晖型号强烈建议用GXNAS大神中的SA6400。因为这个型号采用了最新的LINUX内核,理论上可以支持4-12代INTEL核显CPU解码,同时其他各项功能一点都不缺失。我安装的6台机器既有四代的4970,也有十代的10700,还有十一代的CPU,都能正常运行和硬件解码。918+的也可以,但我在安装过程中曾经遇到过卡57%、99%进度死机失败的问题,后来换成SA6400后一切正常。

3、制作群晖引导U盘时,系统所用U盘中的PID、VID都不用再非常麻烦地去修改,对引导、安装、使用没有任何影响,所以把引导镜像写入U盘后就可以不做任何修改直接插入NAS中开机引导使用。GXNAS大神制作的引导系统开机后会自动检测相关硬件、硬盘参数,不需要做任何修改。

4、经过我实测,该系统在安装成功后会自动将黑群晖的ROOT帐号打开,但密码需要重新设定,无需再像以前那样用VIM修改相关ROOT帐号参数。

5、安装完成后,进入系统点击“控制面板”-“更新和还原”-“系统更新”-“更新设置”-“通知并让我决定是否更新”。这样的话系统就不会自动更新,防止系统启动出问题。

三、修改群晖HOSTS文件

用SSH连接到黑群晖后,命令行绿色那里有“root”显示了,就说明我们已经获得了ROOT权限,然后我们接着输入以下命令:

vi /etc/hosts 52.84.166.71 http://api.themoviedb.org 52.84.166.68 http://api.themoviedb.org 18.65.159.31 http://api.themoviedb.org 13.35.0.128 http://api.themoviedb.org 99.84.238.181 http://image.tmdb.org 13.226.254.58 http://image.tmdb.org 65.8.164.121 http://image.tmdb.org 54.192.73.28 http://image.tmdb.org 108.138.246.125 http://api.themoviedb.org 13.226.198.225 http://thetvdb.com

四、群晖使用139邮箱实现即时短信通知

1、可以在外面时及时了解家中群晖发出的重要通知。因为139邮箱收到的任何邮件都会发送一个短信到手机上。利用这个特性就可以将群晖通知以短信形式发到手机上。毕竟短信比微信通知或者邮件通知都要更直观、显著一点。

2、收件人的电子邮件地址就填写你的手机号@139.com,下面的主题前缀自行填写即可。下面的服务供应商选择自定义SMTP服务器。SMTP服务器和SMTP端口填你的139邮箱提供的地址和端口号。端口号注意最好使用带SSL的端口号,即勾选下面的“需要安全连接SSL/TLS”。下面勾选需要验证,并输入用户名和密码,用户名是你的手机号@139.com,密码填写你的139登录密码。

设置就结束了,点击应用就保存了。然后可以点击下方“发送测试电子邮件”按钮看一下能否成功。

五、把微软bing的背景图自动更换为群晖DSM7.X登录界面和DSM欢迎信息的教程

可以参考以下教程:

《微软bing的背景图自动更换为群晖DSM7.X登录界面和DSM欢迎信息的教程》

关键是以下代码:

#如需收集每日美图去掉下面注释设置保存文件夹路径,在FileStation里面右键文件夹属性可以看到路径 #savepath="/volume2/download/BingWallpaper" #下载Bing图片 pic=$(wget -t 5 --no-check-certificate -qO- "https://www.bing.com/HPImageArchive.aspx?format=js&idx=0&n=1") echo $pic|grep -q enddate||exit link=$(echo https://www.bing.com$(echo $pic|sed 's/.\+"url"[:" ]\+//g'|sed 's/".\+//g')) date=$(echo $pic|sed 's/.\+enddate[": ]\+//g'|grep -Eo 2[0-9]{7}|head -1) tmpfile=/tmp/$date"_bing.jpg" wget -t 5 --no-check-certificate $link -qO $tmpfile [ -s $tmpfile ]||exit rm -rf /usr/syno/etc/login_background*.jpg cp -f $tmpfile /usr/syno/etc/login_background.jpg &>/dev/null cp -f $tmpfile /usr/syno/etc/login_background_hd.jpg &>/dev/null cp -f $tmpfile /usr/syno/synoman/webman/resources/images/1x/default_login_background/dsm7_01.jpg &>/dev/null cp -f $tmpfile /usr/syno/synoman/webman/resources/images/2x/default_login_background/dsm7_01.jpg &>/dev/null title=$(echo $pic|sed 's/.\+"title":"//g'|sed 's/".\+//g') copyright=$(echo $pic|sed 's/.\+"copyright[:" ]\+//g'|sed 's/".\+//g') word=$(echo $copyright|sed 's/(.\+//g') if [ ! -n "$title" ];then cninfo=$(echo $copyright|sed 's/,/"/g'|sed 's/,/"/g'|sed 's/(/"/g'|sed 's/ //g'|sed 's/\//_/g'|sed 's/)//g') title=$(echo $cninfo|cut -d'"' -f1) word=$(echo $cninfo|cut -d'"' -f2) fi #将图片应用于登陆界面 sed -i s/login_background_customize=.*//g /etc/synoinfo.conf echo "login_background_customize=\"yes\"">>/etc/synoinfo.conf sed -i s/login_welcome_title=.*//g /etc/synoinfo.conf echo "login_welcome_title=\"$title\"">>/etc/synoinfo.conf sed -i s/login_welcome_msg=.*//g /etc/synoinfo.conf echo "login_welcome_msg=\"$word\"">>/etc/synoinfo.conf #将图片保存到指定路径 if (echo $savepath|grep -q '/') then cp -f $tmpfile "$savepath/$date@$title-$word.jpg" fi #清除临时文件 rm -rf /tmp/*_bing.jpg

六、关于群晖自身安全设置

1、禁用admin账户。
2、使用高强度密码。
3、修改等候超时
默认是网页上15分钟没操作自动退出登录,按需修改,时间太短会影响使用体验。

4、开启双重验证
DSM7的双重验证支持OPT验证码(Synology Secure SignIn或者Google Authenticator)

也支持硬件安全秘钥(x86机型才有),比如USB秘钥类(Fido2)的YubiKey、飞天Key

5、关闭SHH访问
如确实需要使用,修改默认的22端口为10000以上的端口,并使用后及时关闭!

6、对外端口映射
保护群晖系统的第一大关,修改DSM默认端口。在DSM默认端口中,HTTP是5000,HTTPS是5001,这两个端口那就是爆破和扫描重灾区。修改两个门户默认端口可以有效降低大部分的爆破行为。如有公网IP在路由器端口映射时对外不要使用默认的5000、5001、5005、5006、6690等!对外依旧建议10000以上的端口

7、关闭root账户
非常不建议开启群晖的root账户,如必需用请修改为高强度的root密码,也可使用完毕后关闭!

synouser –setpw root qpzm@1639&IMNKS.COM

或者直接关闭root登录

sed -i ‘s/PermitRootLogin yes/#PermitRootLogin prohibit-password/g’ /etc/ssh/sshd_config

8、启用防火墙

9、编译配置文件default
新增防火墙规则,下面三个按需设置,设置禁止国外IP访问前 必需 先设置好 允许内网IP访问、允许中国IP!!!

在控制面板——安全性——防火墙中进行防火墙配置修改。优先级从上往下,我这边优先级是docker>局域网>国内允许>所有拒绝。可以理解为除了中国IP和局域网IP,dockerIP,都不允许访问NAS,有效阻止国外IP的攻击。

允许内网IP访问
内网这个按照实际情况添加,如过多个IP段内网可以互访都要相应的加入,包括虚拟组网的IP段!

10、添加网络威胁黑名单
东北大学网络威胁黑名单系统(已恢复访问) http://antivirus.neu.edu.cn/scan/

下载文本格式的黑名单导入群晖系统的封锁名单:http://antivirus.neu.edu.cn/ssh/lists/neu.txt

11、启用安全顾问扫描。

七、启用webdav文件服务

1、安装群晖webdav套件。

2、打开webdav套件,启用5005,5006服务端口。

3、用Lucky套件反向代理5005服务以便远程加密访问。

4、在需要给予webdav访问权限的共享文件夹启用“高级共享权限”。

八、群晖第三方套件源地址收集

1、synocommunity社区,套件地址:https://packages.synocommunity.com 2、我不是矿神,套件地址:https://spk7.imnks.com/ 3、云梦,套件地址:https://spk.520810.xyz:666 4、4sag,套件地址:https://spk.4sag.ru/ 5、sysco,套件地址:http://synology.sysco.ch/ 6、acmenet,套件地址:http://synology.acmenet.ru/ 7、我不是狂神,套件地址:https://spk.imnks.com/ 8、cphub,套件地址:http://www.cphub.net 9、裙下孤魂,套件地址:http://spk.bobohome.store:8880

九、群晖homes和home文件夹区别

homes文件夹是管理员才能看到的全部用户的资料;每个普通用户只能看到自己的home文件夹。