背景

用群晖也十好几年了，没有系统的记录过系统设置，权且当个备忘。

目前系统为7.2.2，最新的系统，群晖这设置也是祖传的了。

下面按照我的理解说一说我的设置

文件共享

共享文件夹

用途

这里是编辑file station中的共享文件夹的地方

创建与编辑

系统或套件会自动创建共享文件夹，我们管理员也可以按需创建，创建好后进入编辑页面可以设置共享文件夹，常用操作比如改名，修改所在硬盘和修改权限与配额等。

删除

删除共享文件夹是很严重的事情，所以会要求输入系统密码。

位置

我们会在存储管理器中为硬盘产生存储空间，每个共享文件夹存在于相应的存储空间，比如/Volume1表示卷1。

回收站

共享文件夹有回收站选项，可以在创建时或者设置里开启关闭，在filestation中可以看见回收站的图标，里面有删除的文件，我们可以清空回收站或者删除回收站。

权限

权限主要是分为系统内部账号和用户账号

系统内部账号是给套件使用的，套件报错时可以检查是否给与相关权限

用户账号与“用户与群组”设置内容相同

高级权限可以限制修改与访问

Tips：删除系统内部账号

如果你仅删除套件，你会发现系统内部账号还是存在的，拉的💩并没有清理干净

我们需要用ssh进行清理

sudo -i #进入root

vim "/etc/passwd" #进入用户列表
#按i编辑，删除多余用户，:wq保存

cd "/volume1/@appconf/"
cd "/volume1/@appdata/"
cd "/volume1/@apphome/"
cd "/volume1/@appshare/"
cd "/volume1/@appstore/"
cd "/volume1/@apptemp/"
#这些是套件保存数据的地方，卸载套件并不会删干净，需要我们删
#如果你有多个硬盘，那套件会保存再安装的盘上，每个盘都要去删

rm -r [套件名字的文件夹]

#最后重启一下，套件就删干净了

配额

配额顾名思义，限制容量，给别人使用时可以开一下，自己用没必要

加密

新系统添加了加密选项，但是加密容易丢和降低性能，按需开启。

加密后的文件夹需要密钥进行装载

文件服务

用途

这里是开启各种文件传输访问传输协议的地方，最常使用的是smb和ftp

smb

最常用的协议，常用于局域网其它设备访问，十分方便

ftp

早期文件下载常用，群晖也支持

tips

webdav服务群晖有专门的套件可以开启，不在设置里

用户与群组

用途

集中管理权限，管理登录的核心设置项目

用户群组

群组主要是管理员与普通用户，不需要额外设置，如果有很多用户可以考虑设置群组。

用户账号

这里集中展示了所有可以用于登录的账号，这里的账号主要是真人所属账号，套件的账号需要去共享文件夹设置。

admin账号

系统默认管理员账号，有安全风险，停用即可

guest账号

系统默认访客账号，停用即可

主账号

自己建的超级管理员账号，最常使用的账号，所有安全手段都要拉满，可以建立备用管理员账号以备不时之需。

其它用户账号

如果你想给其他人用，比如家人朋友，可以建立普通用户账号，注意权限问题

套件账号

我的个人习惯，为一些常用套件开通单独账号，只给对应用途的权限，这样能降低对应风险，比如给smb，webdav，监控单独开账号等等。

账号设置

可以按需设置密钥和要求，文件权限，文件夹配额与访问，应用程序访问，登录权限等。

家目录

群晖的家目录比较特别，具体在file station中介绍，这里设置主要是用户是否允许有自己的家目录。

域/ldpa

主要针对企业用户，这里不作介绍。

连接性

外部访问

quickconnect

qc没什么好说的，群晖官方的内穿服务。

中国大陆的账号需要绑定电话实名，不过也不建议外区账号。

DDNS

这里建议使用群晖提供的ddns服务，群晖还支持诸多ddns服务商。

不过不建议在这里设置，国内普遍能弄到公网动态ipv6地址而不是v4地址，所以建议使用ddns-go服务。

路由器配置

此处可以让群晖帮路由器设置端口映射，公网访问常用。

高级设置-没用到

网络

常规

这里可以配置群晖名称，网关以及dns服务器

代理服务器

这里可以通过http代理让群晖访问，可以让群晖pull镜像，套件和docker一般不走这个需要单独设置。

网络界面

这里相当于WiFi和有线网络设置

流量控制，静态路由，连接性

可以给特定端口限速，个人用户没大用，其它两项我也没用到

安全性

安全性

对安全有利的选项都打开就行

账户

开启2fa验证和failtoban，提高安全性以及防止爆破，数值要合理，别把自己封了，2fa在桌面右上角账号设置。

防火墙

技巧

在防火墙的端口选择里可以看到最全的端口占用情况，比系统自带的好用。

防火墙介绍

除了纯内网访问，建议打开防火墙，防火墙需要手动编辑配置文件。

防火墙的规则是从上到下依次匹配，顺序非常重要。

规则可以按照端口-ip/地区进行黑白名单。

所以我们的思路是：放行内网以及自己-选择性放行中国大陆-屏蔽全球

内网

①真内网：192.168.x.1-192.168.x.255之类的

②docker网段：127.17.0.0-127.17.255.255

③SD-WAN网段：比如我的zerotier是127.37.0.0-127.37.255.255

中国大陆

①放行要访问的服务 ②屏蔽所有中国大陆ip

顺序一定不要错，未命中放行服务的会被拦截

国外

上述规则未命中即为国外IP，屏蔽所有ip即可

防护

f2b同前，dos防护打开，封锁名单可以参考互联网危害名单

证书

集中管理https证书的地方，群晖自带一个证书然后qc服务会自动生成两个证书，其它为自己的证书。

免费证书一般为90天，群晖这里可以申请，也可以自己申请好传上来。

设置里可以设置各个服务的证书，我一般设置为ddns的证书。

反向代理后一定要来这里修改对应证书！！！

高级设置

打开http压缩，协议兼容性中等即可，那个防护我没开。

终端机

ssh的地方，十分重要。建议将默认端口22改掉，同时不需要的时候关闭ssh。ssh是群晖的必修课，可以执行root操作，安全性至关重要。

系统

信息中心

顾名思义，查看群晖状态信息

登录门户

DSM

此处可以配置dsm的登陆界面样式

默认端口为http5000，https5001，建议修改

这多了个s就是安全证书的意思，内网访问建议关闭重定向，公网建议访问https端口保护安全。

应用程序

群晖官方页面套件的登录页面设置。

可以设置独立的端口，这样ip:port即可访问。

也可以设置别名，这样ip:dsm-port/别名，即可访问二级目录的服务

如果都不设置可以先登入dsm，然后跳转对应套件。

群晖官方的套件在qc下都是可以跳转的，其它的套件，没在应用程序设置这里的则只能内网访问。

高级-反向代理服务器

非常重要，群晖自带反向代理服务，常用来给内网http服务加上https证书。

来源

协议为https，主机名外网填域名，内网填*，端口为访问端口

目的地

协议http，主机名localhost，端口为服务端口

自定义标题

一键添加websocket，十分方便。

证书

一定要去安全性-证书替换掉证书

区域选项-设置时间同步与语言

通知设置

电子邮件

可以把自己的邮箱当作imap-smtp服务器，当群晖有任何通知时都会通过这个邮箱服务器给对应邮箱发送邮件

主流邮件都支持smtp，轻度使用可以，但我被outlook封过，别短时间发送大量邮件。

我使用的是自己的域名邮箱，个人用户没必要。

事件

这里修改系统时间触发条件，比如我的硬盘快满了，他会一直提醒警告容量耗尽，这时候可以修改出发条件，强迫症狂喜。

硬件和电源

常规

警报静音，调节风扇转速和led指示灯亮度

开关机管理计划

硬盘休眠

看个人选择是否使用，我以前是休眠的，但是硬盘会经常启停，我就7*24h了，哪个更好说法不一，看个人选择。

不断电系统

连接ups，我个人用的是apc-bk650m，开箱即插即用，非常省心。同时如果你有多台nas，连接ups的群晖可以广播其它群晖。

外接设备

这里可以管理外接硬盘，usb移动硬盘或u盘还有打印机等。

格式化在这里进行，我一般格式化为ext4

更新和还原

在这里进行系统的更新，备份和重置还原。

群晖会自动为nas选择最适合的系统版本而不是最新版本。

手动更新需要去群晖官网下载.pat系统镜像，且不可降级。

目前群晖主要是dsm6.x，dsm7.1，dsm7.3这三个大版本。

服务

群晖账户-登录即可

应用程序权限查看-用处不大

索引服务

注意Photos的索引在套件里，如果用audio station可以索引一下，索引非常费时费力且无法停止，请注意。

任务计划

硬盘扫描或者开关机等系统任务在这里显示

另外可以自行配置让系统定时执行脚本