在终端使用证书连接到群晖服务器

本文记录了在终端使用证书连接到群晖服务器，用终端连接到 LINUX 服务器也可以参照此步骤进行。用密钥证书登录的安全性要高于密码，配置成功后可以禁用密码登录。

1. 在终端登录到群晖服务器，sudo -i，切换为 root
2. 输入 ssh-keygen -t rsa -b 4096 生成RSA证书

ssh-keygen -t rsa -b 4096
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): # 直接回车，以默认路径保存
Enter passphrase (empty for no apssphrase): #直接回车，如设置密码的话，以证书连接到服务器的同时还需输入私钥密码
Enter same passphrase again:

随后生成 id_rsa（私钥，终端机连接到服务器时使用）和 id_rsa.pub（公钥，保存在服务器上，供 sshd 服务读取）
3. 将生成的公钥导入 authorized_keys 文件（此文件中可以保存多个用户的公钥）

cat id_rsa.pub >> authorized_keys

也可以在本地机器中使用 ssh-keygen 生成密钥，再使用 ssh-copy-id 命令复制公钥到到远程服务器的 ~/.ssh/authorized_key.文件中

ssh-copy-id -i .ssh/id_rsa.pub 用户名@196.168.x.xxx

4. 下载私钥到终端机

mv id_rsa /volume1/群晖存储空间1上的文件夹/

5. 修改 /etc/ssh/sshd_config 文件，配置可以使用密钥登录

# 开启RSA证书验证
RSAAuthentication yes
# 开启公钥证书验证
PubkeyAuthentication yes
# 公钥证书位置
AuthorizedKeysFile .ssh/authorized_keys    

6. LINUX 服务器可以用 systemctl restart sshd 重启 SSH 服务，群晖还是直接重启比较好
7. 在终端使用密钥测试连接到服务器，如果生成密钥时设置了密码，连接时还要输入密钥的密码。
8. 禁止ssh密码登录
   一定要在使用密钥文件测试登录成功后，再设置禁止ssh密码登录，以免出现意外无法登录。

再次修改 /etc/ssh/sshd_config 文件，重启ssh服务以使修改生效。

# 禁用普通用户名密码验证
PasswordAuthentication no