FinalShell 怎么连接群晖 NAS（Synology）开启 SSH 教程

SSH (Secure Shell) 是一种强大的网络协议，允许你在不安全的网络上安全地执行命令、传输文件和进行其他网络服务。对于群晖 NAS 用户而言，开启 SSH 并使用像 FinalShell 这样的强大工具连接，意味着你可以对你的 NAS 进行更深层次的管理、故障排除和自定义配置。本教程将带你逐步了解如何在群晖 NAS 上开启 SSH 服务，并利用 FinalShell 建立一个安全、高效的连接。

为什么选择 SSH 连接群晖 NAS？

群晖 DSM (DiskStation Manager) 提供了直观的图形用户界面，可以满足大多数日常管理需求。然而，对于高级用户、开发者或者需要进行特定系统维护时，SSH 连接的优势便会凸显。

SSH 的核心优势

1. 命令行控制： SSH 允许你直接通过命令行操作 NAS 系统，执行更细粒度的任务，例如安装第三方套件、修改配置文件、运行脚本、查看详细日志等，这些操作在 DSM 界面中可能无法实现或效率低下。
2. 自动化能力： 通过 SSH，你可以编写脚本来自动化重复性任务，例如定时清理文件、备份特定目录或进行系统诊断。
3. 远程故障排除： 当 DSM 界面无法访问或系统出现问题时，SSH 往往是连接到 NAS 并诊断问题的最后一道防线。
4. 安全的文件传输： SSH 提供了 SFTP (SSH File Transfer Protocol) 功能，允许你在加密通道中安全地上传和下载文件，避免数据泄露的风险。

FinalShell：你的 SSH 伴侣

市场上有众多 SSH 客户端，但 FinalShell 凭借其集成的文件管理、进程管理、流量监控以及友好的中文界面等特色，深受许多用户的喜爱。它不仅提供了基本的 SSH 连接功能，还额外增加了许多提高工作效率的实用工具，使其成为管理群晖 NAS 的理想选择。

在群晖 NAS 上开启 SSH 服务

在能够使用 FinalShell 连接之前，你需要首先在群晖 NAS 的 DSM 系统中开启 SSH 服务。这是一个简单但至关重要的步骤。

1. 登录 DSM 管理界面

打开你的网页浏览器，输入你的群晖 NAS 的 IP 地址或 QuickConnect 地址，然后使用管理员账户登录 DSM 系统。

2. 导航至终端机和 SNMP

登录后，在 DSM 桌面上找到并点击“控制面板”。在控制面板中，你会看到许多选项。你需要找到并点击“终端机和 SNMP”。

3. 启用 SSH 服务并配置端口

在“终端机和 SNMP”设置页面中，你会看到两个选项卡：“终端机”和“SNMP”。点击“终端机”选项卡。

• 启用 SSH 服务： 勾选“启用 SSH 服务”复选框。
• 配置端口： 默认的 SSH 端口是 22。出于安全考虑，强烈建议你将其更改为一个非标准的、不常用的端口（例如 2222, 50022, 60001 等），以减少被恶意扫描和攻击的风险。选择一个 1024 到 65535 之间且未被其他服务占用的端口。
• 点击“应用”： 完成设置后，务必点击底部的“应用”按钮保存更改。

此时，群晖 NAS 上的 SSH 服务就已经成功开启，并准备好接受外部连接了。

4. 安全提示：修改默认端口与防火墙设置

修改默认端口 是第一道防线，它能有效过滤掉大量针对默认 22 端口的自动化攻击。

防火墙设置： 强烈建议你在群晖 NAS 的“控制面板” > “安全性” > “防火墙”中配置防火墙规则。只允许你信任的 IP 地址或者 IP 范围连接到你自定义的 SSH 端口。如果你需要从外部网络连接，但没有固定的公网 IP，请确保你的路由器正确配置了端口转发，并且只转发你自定义的 SSH 端口。

安装与配置 FinalShell

现在，SSH 服务已经在你的群晖 NAS 上运行，是时候在你的电脑上安装 FinalShell 并建立连接了。

1. FinalShell 下载与安装

访问 FinalShell 官方网站或可信的下载源，下载适用于你操作系统的 FinalShell 客户端。FinalShell 支持 Windows、macOS 和 Linux。下载完成后，按照提示完成安装过程。安装过程通常是标准的下一步、下一步操作。

2. 首次启动 FinalShell

首次启动 FinalShell，你可能会看到一个简洁的界面。在界面的左侧通常是连接管理区域，右侧是终端窗口或文件管理窗口。

3. 创建新的 SSH 连接

要连接到你的群晖 NAS，你需要创建一个新的连接配置。

• 点击“连接”或“新建”按钮： 在 FinalShell 界面左上角或工具栏中，找到并点击“连接”图标（通常是一个插头形状）或“新建”按钮。
• 选择“SSH 连接”： 在弹出的菜单中选择“SSH 连接”。
• 填写连接信息：
  • 名称： 给这个连接起一个有意义的名称，例如“我的群晖NAS”、“Synology DS920+ SSH”。
  • 主机： 输入你群晖 NAS 的 IP 地址（例如 192.168.1.100）。如果你是通过 QuickConnect 访问，通常需要内网 IP。
  • 端口： 输入你在群晖 NAS 上配置的 SSH 端口（例如 2222）。
  • 用户名： 输入一个具有管理员权限的群晖账户用户名。出于安全考虑，不建议直接使用 root 账户，除非你明确知道自己在做什么。通常使用你的管理员账户登录后，再通过 sudo -i 切换到 root。
  • 认证方式： 选择“密码认证”。
  • 密码： 输入对应用户名的密码。

上图模拟了 FinalShell 连接界面中可能出现的连接断开或不稳定的情况，强调了配置正确性和网络稳定的重要性。

• 高级设置 (可选)： 你可以根据需要调整其他高级设置，例如编码（通常为 UTF-8）、代理设置、心跳包间隔等。对于初次连接，默认设置通常足够。
• 点击“确定”或“连接”： 保存配置后，点击“确定”或“连接”按钮，FinalShell 将尝试与你的群晖 NAS 建立 SSH 连接。

如果一切顺利，FinalShell 会显示一个命令行界面，表明你已成功连接到你的群晖 NAS。如果是首次连接，可能会提示你确认服务器指纹，点击“是”即可。

连接到群晖 NAS 并进行初步操作

成功连接后，你将进入群晖 NAS 的命令行环境。此时，你就可以开始执行各种命令了。

1. 成功连接后的界面

FinalShell 的界面通常分为几个部分：

• 左侧： 连接列表、SFTP 文件管理树。
• 顶部： 标签页管理，可以同时打开多个会话。
• 中间主区域： 终端命令行界面，你在这里输入和执行命令。
• 底部： 状态栏，显示连接状态、流量等信息。

当你第一次以非 root 管理员用户登录时，你可能处于你的用户主目录 (/var/services/homes/your_username)。

2. 常用 SSH 命令示例

以下是一些你在群晖 NAS 上可能会用到的基本 SSH 命令：

• ls：列出当前目录下的文件和文件夹。
  • ls -l：以长格式显示详细信息。
  • ls -a：显示所有文件，包括隐藏文件。
• cd [目录名]：切换目录。
  • cd ..：返回上一级目录。
  • cd /：进入根目录。
  • cd ~：进入当前用户的主目录。
• pwd：显示当前工作目录的路径。
• sudo -i：切换到 root 用户。在群晖上，出于安全考虑，不建议直接用 root 登录，而是用管理员账户登录后，再使用此命令获取 root 权限。输入你的管理员密码即可。
• df -h：查看磁盘空间使用情况。
• top 或 htop (如果安装)：查看系统进程和资源使用情况。
• cat [文件名]：查看文件内容。
• vi [文件名] 或 nano [文件名] (如果安装)：编辑文件。
• reboot：重启 NAS (需要 root 权限)。
• poweroff：关闭 NAS (需要 root 权限)。

重要提示： 在执行任何敏感操作之前，请务必确认你了解命令的含义和可能带来的影响。错误的操作可能导致数据丢失或系统不稳定。

3. 文件传输功能

FinalShell 集成了 SFTP 文件传输功能，这比传统的 FTP 更安全。

• 在 FinalShell 界面的左侧，通常会有一个文件树状结构。
• 你可以直接拖放文件到这个文件树中，或从文件树中拖放文件到你的本地文件夹，以实现快速、安全的双向文件传输。
• 你也可以右键点击文件或文件夹，进行复制、粘贴、删除、重命名等操作，就像在本地文件管理器中一样。

提升 SSH 连接安全性与稳定性

虽然我们已经采取了一些安全措施，但持续优化连接的安全性和稳定性始终是最佳实践。

1. 密钥认证（Passwordless Login）

相比密码认证，密钥认证是一种更安全的 SSH 登录方式。它使用一对密钥：一个私钥（保存在你的电脑上，绝不能泄露）和一个公钥（上传到群晖 NAS）。只有当私钥与公钥匹配时，才能登录。

生成 SSH 密钥对

• 在 FinalShell 中生成： FinalShell 通常内置了密钥生成工具。你可以在“工具”菜单或连接设置中找到“生成密钥对”的选项。
• 选择算法： 推荐使用 RSA 或 Ed25519 算法。
• 设置密码短语 (可选但推荐)： 为你的私钥设置一个密码短语，即使私钥泄露，没有密码短语也无法使用。

上传公钥到群晖 NAS

1. 将生成的公钥文件（通常是 id_rsa.pub 或 id_ed25519.pub）内容复制下来。
2. 通过 FinalShell 连接到你的群晖 NAS。
3. 使用 sudo -i 切换到 root 用户。
4. 进入你的用户主目录（例如 /var/services/homes/your_username）。
5. 创建 .ssh 目录（如果不存在）：mkdir -p .ssh
6. 设置 .ssh 目录权限：chmod 700 .ssh
7. 进入 .ssh 目录：cd .ssh
8. 创建或编辑 authorized_keys 文件：vi authorized_keys
9. 将你复制的公钥内容粘贴到 authorized_keys 文件中。
10. 保存并退出 vi 编辑器（按 Esc，然后输入 :wq，回车）。
11. 设置 authorized_keys 文件权限：chmod 600 authorized_keys。
12. 退出 root 账户：exit。

在 FinalShell 中配置密钥登录

• 编辑你在 FinalShell 中创建的 NAS 连接。
• 在认证方式中选择“Public Key (公钥认证)”。
• 指定你的私钥文件路径（通常是 id_rsa 或 id_ed25519）。
• 如果私钥设置了密码短语，也会有对应的输入框。
• 保存并尝试连接。现在你应该可以使用密钥直接登录，而无需输入密码了。

2. 两步验证（2FA）

对于极高的安全要求，可以考虑为 SSH 连接配置两步验证，例如使用 Google Authenticator。这通常需要安装额外的 PAM 模块并在 SSH 配置文件中进行修改，操作较为复杂，建议有经验的用户尝试。

3. 防火墙设置

除了群晖内置的防火墙，确保你的家庭路由器或公司防火墙也正确配置。只开放必要的端口，并启用入侵检测和防御系统（如果可用）。

4. 保持 FinalShell 更新

软件更新不仅带来新功能，更重要的是修复已知的安全漏洞和错误。定期检查并安装 FinalShell 的最新版本，可以确保你的客户端工具保持在最佳状态。

上图展示了 FinalShell 更新的必要性，强调了保持软件最新版本对于安全性和功能优化的重要性。

常见问题与故障排除

在连接和使用 SSH 过程中，你可能会遇到一些问题。以下是一些常见问题及其解决方案。

1. 连接被拒绝（Connection Refused）

• SSH 服务未启动： 检查群晖 DSM 控制面板 > 终端机和 SNMP 中是否勾选了“启用 SSH 服务”。
• 端口错误： 检查 FinalShell 中配置的端口是否与群晖 NAS 上设置的端口一致。
• 防火墙阻挡： 检查群晖 NAS 防火墙是否允许来自你电脑 IP 的 SSH 连接。如果你更改了默认端口，确保防火墙规则也更新了。
• 网络问题： 确保你的电脑和 NAS 处于同一网络，或者端口转发配置正确。

2. 密码错误（Password Incorrect）

• 用户名或密码输入错误： 仔细检查用户名和密码是否正确，注意大小写。
• SSH 用户权限： 确保你使用的账户具有登录 SSH 的权限。群晖默认允许管理员组的用户登录 SSH。
• 键盘布局： 检查你的键盘布局是否正确（例如，全角半角、中文输入法等）。

3. 连接中断（Connection Drops）

• 网络不稳定： 检查你的网络连接。
• SSH Keep-Alive： 在 FinalShell 的连接设置中，查找“心跳包”或“Keep-Alive”选项，并启用它，设置一个较短的间隔时间，防止长时间不活动导致连接断开。
• 群晖 NAS 资源耗尽： 如果 NAS 负载过高，可能会导致 SSH 会话不稳定。检查 NAS 资源使用情况。

4. SSH 权限问题

• 文件或目录权限不足： 如果你在执行某些命令或修改文件时遇到权限错误，很可能是因为当前用户没有足够的权限。尝试使用 sudo -i 切换到 root 用户再操作。
• 目录不存在： 确保你在执行 cd 命令时，目标目录确实存在。

总结

通过本教程，你已经掌握了如何在群晖 NAS 上开启 SSH 服务，并使用 FinalShell 建立一个安全、高效的连接。从基本的命令行操作到高级的密钥认证，SSH 为你打开了管理 NAS 的全新维度。请始终记住，拥有更强大的工具意味着需要承担更大的责任。务必遵循安全最佳实践，谨慎操作，并定期备份重要数据，确保你的群晖 NAS 始终安全稳定地运行。利用 FinalShell 的强大功能，你的群晖 NAS 将能发挥出更强大的潜力！