前言
之前已经设置了VPN套件，已经可以更安全的访问我们的NAS设备。但是在使用SSH的时候只能使用自己的群晖账号登录，登录后再使用sudo -i切换到root用户。设置了登录密钥后可以使用私钥直接免密登录root用户，提高了我们远程登录的便捷性。同时对把ssh端口开放到公网上的用户，也可以设置禁止使用账号密码进行ssh登录，避免因为弱密码而被暴力破解ssh账号。

生成密钥

我们可以使用ssh-keygen命令来生成密钥

远程到我们的群晖，输入 sudo -i 回车，输入我们的群晖账号的登录密码，切换到root用户。
输入 ssh-keygen -t rsa 生成RSA证书，过程如下图。

切换到root的.ssh目录，就可以看到我们刚才生成的RSA公钥和私钥文件。

输入命令 cat id_rsa.pub >> authorized_keys 命令将公钥导入authorized_keys文件。

输入命令 mv id_rsa* /volume1/群晖存储空间1上的文件夹/ 移动密钥到可以访问的文件夹。

上面标红的地方改为实际的文件夹，然后从文件夹下载id_rsa和id_rsa.pub文件到本地。

配置ssh

备份etc/ssh文件夹下的sshd_config配置文件

编辑sshd_config文件，添加以下内容

RSAAuthentication yes // 开启RSA证书验证
PubkeyAuthentication yes // 开启公钥证书验证
AuthorizedKeysFile .ssh/authorized_keys // 公钥证书位置

重启ssh服务以使修改生效

免密登录

使用Putty、xShell、SecureCRT等软件修改用户名为root，鉴权方式使用PublicKey并添加我们的私钥

禁止ssh密码登录

请在测试登录成功后再设置禁止ssh密码登录，以免出现意外无法登录。

再次修改SSH配置文件，修改以下配置，重启ssh服务以使修改生效。

PasswordAuthentication no // 禁用普通用户名密码验证

失败了怎么办

如果出现修改后无法登录的情况，请打开群晖的telnet服务，使用telnet进行恢复操作

还原备份的sshd_config文件

重启ssh服务

总结

现在你就可以愉快的直接免密登录群晖的root账号。在关闭使用密码进行登录的情况下也避免了ssh账号被暴力破解的风险。

对于文章中为什么没有用文字而是用图片的形式展示一些命令的原因，是因为文章中如果包含这些命令会触发了腾讯云waf的拦截机制，导致了文章无法正常保存。