黑群晖进阶教程之手把手教你怎么提升黑群晖的生产力(上篇)
去年几波矿难很多小伙伴都跟风上了矿车,黑威的入门门槛比较高,加上黑裙二合一固件的问世,用黑裙的小伙伴几何数上升??,那么接下来我手把手来教用群晖的小伙伴如何提升生产力。
本生产力提升计划主要大纲为:1、搭建安全的数据管理基础。
2、数据备份和同步。
3、图片同步管理。
4、影音媒体库的搭建。
5、其他高阶操作介绍!
教程尽量才用图文并茂的方式,最大化满足绝大多数的小伙伴使用!
本来准备一口气写完全部的,发现内容实在有点多,为了方便大家查看,暂时规划分成两到三段来写!确实不想写成万字长文小说,影响写的心情也影响看的心情…
麻烦大家多多打赏、点赞、收藏、关注!谢谢!
注意事项
1、默认大家已经
完成了穿透或者已有公网IP(v4 v6 均可),没有公网的小伙伴现在可以关闭页面了,等我有空再教大家如何编译一份适合自己的软路由固件完成穿透!
2、本进阶教程基于
群晖6.2.2-24299固件,不是说低版本的不能用,主要是教程内几个套件需要6.2.2以上的固件才能更新到最新的版本体验最新的功能!
如果有升级需求的小伙伴可以看下本进阶教程的第一部分。
友情提示
因为6.2.2以上的版本加入了硬件验证,升级一定要注意选好引导文件,另外板载网口数量也是验证之一,就算网卡在兼容列表但是如果大于2个网口的板子918+的固件是会失联的。
tips1:个人感觉目前3617的固件稳定性非常好我也没发现bug!个人强烈推荐,除了没有硬解!
tips2:固件要求最低为半洗白,如果没有请百度下修改为正确的sn就可以了。如果不知道是否是半百后面会给你说怎么判断。
1、搭建安全的数据管理基础
数据的有效存储和安全才是使用nas的核心,毕竟设备有价数据无价。而且前面说了本教程事在公网环境下的容易面对各种扫描和撞库、弱口令攻击。
1.1 常规设置
常规设置主要针对登录设置,群晖默认web端口为http5000端口,https5001端口,目前有很多专门在互联网搜素这几个端口的,为了避免被扫描的麻烦,建议可以修改这两个端口,另外如果是购买了域名的小伙伴可以申请免费证书建议设置为将http自动重新导向https,提高安全性。说实话花钱买洗白用qc真不如买个域名走ddns,速度快、稳定性好,最主要是自己的,还可以用子域名拆分多个服务,性价比极高!
设置路径:控制面板——网络——DSM设置
自动重新导向https设置
SSL 安全是互联网最后的壁垒,有域名的小伙伴一定申请免费的1年期证书并导入。
设置路径:控制面板——安全性——证书
选择新建证书——导入证书,只需要选择私钥(.key后缀文件)和证书(.pem后缀文件)即可
导入证书设置
导入证书之后在配置里面将默认证书修改为你自己的证书。
选择默认证书
修改和关闭ssh端口。
这个功能建议长期关闭,按需打开,并且将默认的22端口修改,另外不是万不得已千万不要将ssh端口映射暴露在外网。
设置路径:控制面板——终端机和SNMP
修改和关闭ssh、telnet功能
1.2 账号设置
账号作为web、app登录nas的认证手段,安全马虎不得,建议停用默认admin账号(二合一用户一般需新建账户登录新建的管理员账户再去停用,引导用户一般都新建过帐号了检查下是否停用admin账号即可)
另外一点就是建议只设置一个管理员权限账户,其他账号只分配普通用户权限即可。另外打开账号的家目录服务。非管理员账号就只能访问自己的账号文件和部分共享文件夹便于文件的分类管控。
家目录服务设置地址:控制面板——用户账号——高级设置
开通家目录服务
再有就是管理员账号建议要开通两步骤验证,具体就是采用Google安全令牌,每分钟生成6位数字验证码,在新设备登录的时候必须输入验证码才能完成登录保证安全。如果没带安装有Google身份验证软件的手机时还可以通过邮件发送临时验证码帮助解锁。开通两步骤验证必须开通的邮箱服务还可以提供各种通知的实时推送服务,强烈推荐开启!
两步骤设置地址:控制面板——用户账号——高级设置
如果之前没有设置过通知设置的邮箱,在启用2步骤验证时会自动跳转到电子邮件通知服务,按照提示设置好即可,服务供应根据你的需求和账号可以选择gmail、outlook或者qq都可以。
设置好邮件通知服务之后就可以进行2步骤验证设置向导了,根据提示进行即可。
2步骤验证向导
注意,2步骤的电子邮箱一定要是常用邮箱,避免没带手机的时候收不到验证码。
设置到最后就是在手机上下载Google authenticator(ios、android)的app,不需要出国,手机自带应用商店或者国内主流应用商店都有。手机下载app扫描群晖页面生成的qr代码进行绑定。设置完成后,验证一次6位数通过后,以后管理员账户在新设备第一次登陆时均会要求验证2步骤的6位数验证码。
页面确认验证代码
web端验证界面,如果没带手机可以选择遗失手机发送邮箱验证码(不建议经常用)
开启自动封锁功能
为了避免撞库和穷举破解,建议开启自动封锁功能,单个ip尝试登录次数超过设定值自动封锁ip。
设置位置:控制面板——安全性——账户
自动封锁设置
被扫描和尝试登录封锁记录
1.3 对外端口设置
这个部分主要是在路由器上进行设置,也是为了减少上面提到的各种扫描和撞库的发生,根据大家的路由器固件不同设置的位置不一,我就只描述下常用情况下可能会用到的必须需要映射的端口和设置,其他端口还是不要暴露在外网为好。
web服务:5000、5001端口,默认登录端口,5000是http端口,5001是https端口,也可以根据需要在群晖修改为其他端口,修改位置见本文1.1部分,修改后修改路由器对应的端口映射即可。外网登录时web端直接输入端口就可访问,app端需在地址后加上:端口进行登录。
drive服务:群晖同步软件drive,除了web服务端口外还需要端口6690,建议不修改,映射到外网即可。
媒体服务端口:emby和jellyfin以及plex都支持https和http,如果有自有域名和证书的情况下, 建议对外网只开放https端口,端口可以在套件设置内自定义,后面的教程会进行描述。
其他服务端口:如果群晖还运行其他如webdav套件或者web station自建站这类套件时,按需映射端口,建议对外使用证书并只开放https的端口。
端口映射的初衷就是尽可能的少的开放端口到外网,只开放需要的并且少用默认的端口避免扫描和撞库。
2、数据备份和同步
从现在开始才是生产力提升的开始,数据备份和同步作为nas最基础的功能,我来教如何设置才能最好最无感最安全的使用同步功能。
数据备份和同步主要用两个套件,synology drive server和cloud sync,其中synologydrive server必须固件升级到6.2.2以上才能升级到2.0以上的套件版本。
synology drive server
cloud sync
思路,利用synology drive server完成对个人电脑等设备的资料同步,再利用cloud sync完成对资料加密后同步到公有云进行二次备份。保证就算炸鸡也不会影响同步的数据,并且上传到公有云的文件是加密过的,就算公有云发送泄露流出也不会影响文件内容安全。
设置要点:群晖安装drive和cloud sync套件,个人电脑端安装客户端(这里需要吐槽下手机客户端,查看文件一类还是比较友好,但是同步功能极差,差评)安装过程 无脑下一步即可 略过。
2.1 drive设置及同步小技巧
安装好后,选择同步任务,连接到synology nas 设置好本地和远程同步位置即可,根据自己的实际需要选择本地文件夹。
欢迎页
按需选择任务(实时备份选择同步任务-推荐)
登录外网可以选择域名
选择本地和远程文件夹
按需选择共享文件夹(有协作需求的上)
按需同步选项
生产力小技巧1:这里着重说下按需同步,如果你有几台电脑都需要同步,处于节约时间和空间的考虑可以勾选按需同步,在你需要打开的时候才会同步。比如我现在工作文件夹200g左右,外网电脑第一次同步需要的时间都比较长,如果不是常用的电脑我都选择按需同步,长期使用的电脑还是全部同步的稳。
生产力小技巧2:可以将桌面、微信、qq接受文件的文件夹设置到电脑的同步文件夹内,这样下载接收到的文件就自动同步了,特别是微信的,动不动就提示过期,坑的要死。微信和qq设置都很简单,自行设置下就好,桌面的话win10设置也很简单,在个人文件夹的桌面属性的位置选择存储到群晖同步文件夹就OK了。
修改桌面的默认存储位置
以上就是drive的同步技巧,设置好后,同步文件夹内所有改动都会实时(有网的情况)同步到nas里面并且可以用drive的多版本管理功能方便随时修改和查询。我就是把工作文件夹、桌面和微信qq的传输文件夹都放在同步文件夹内,不管是桌面增加减少了东西,接收到了文件全部事实同步到nas内进行归档。下班时间到了,做不完的工作,保存、关机,回家吃过饭想做的时候打开电脑继续做就好了,临时在外面需要介绍方案、文档什么的也可以通过网页版进行访问,随便带一台电脑或者现场借一台电脑都可以快速的完成沟通,生产力利器啊。
2.2 cloud sync的配合
完成上面drive设置之后,生产力以及有了很大的提升,但是也很有可能出现断电、断网、nas启不动甚至硬盘损坏的情况,为了保住重要资料,我们还有必要通过一定手段实现0成本的安全再备份,保证就算nas着火烧没了也能救回来重要数据。
原材料:1、群晖的cloud sync,2、百度云盘、onedrove账号(这两个最好是“和”而不是“或”)
步骤:
1、打开cloud sync套件,添加公有云的供应商,登录认证完成登录许可
2、设置同步任务——选择本地和远程路径。
同步设置
解密工具
生产力小技巧1:本地路径的选择可以选择多个本地路径进行同步、但是不能有重复的或者下级路径。多个同步路径可以等第一次添加完成后再对应页面的任务列表进行新建其他同步任务。
生产力小技巧2:增加cloud sync同步任务时,同步到公有云的文件一定要勾选数据加密,设置完成后记住密码或保存好key文件,万不得已的时候可以下载同步文件进行解密操作。
生产力小技巧3:2020年后百度云盘针对群晖cloud sync进行了限制,只能总共存放少于100g的文件着实时个大坑,我目前采用的是分别同步到2个百度云账号。。。
生产力小技巧4:建议同时搞一个教育版OneDrive的账号,具体方法可以百度,简单快捷。这个账号有5T空间,群晖同步过去没有大小限制,作为备份的备份还是极好的。
至此高效的同步环境搭建完成,你可以实现以下(包括但不限于)高效的场景。
1、下班时间到,存盘关机回家,老板来电话,让你紧急修改一个工作文件,你可以用任何一台电脑(也可以去网吧,我们有二次认证什么都不怕)打开同步的文件进行修改完成后发送即可。
2、临时外出,突然需要演示方案,随手借来一台电脑,联网登录-二次验证,下载文件,随时完成演示(演示文件没做好那就没法了)
3、晚上在家幸苦加班,弄完存盘第二天到公司自动同步到公司电脑。
4、我老婆急切需要我给她发个文件,我只带了手机,手机上并没有这个文件但是nas上有,而且肯定也不能教她自己去找啊,我就用手机app(DS file)将需要的文件复制到他同步文件夹-桌面,然后她很惊讶的发现桌面变出来了一个她需要的文件。。。(我老婆公司的电脑我也设置好了同步,这也是我老婆自此事件后特别支持我搞这些破铜烂铁的原因之一)
5、突然有一天,硬盘熄火,数据全无,从容打开云盘(百度云或者OneDrive)下载全部同步文件,群晖官网下载解密工具,批量解密,数据迅速恢复(这也是我说为什么重要数据要再备份一次的原因)
……
这个部分一不小心已经接近5000字20多图了,估计你们已经看累了,反正我是写累了。。。休息下再给你们写后续的教程吧,下一阶段主要就是多媒体方面的了,数据备份的生产力提升就到这,还有很多比如hyper等的备份套件也可以高效完成备份,这里我就只是抛砖引玉的把最常用和简单的备份组合写出来吧。
还是那句话,写文不易,麻烦大家多多打赏、点赞、收藏、关注!谢谢!
|
新手玩家
