在管理 Synology DSM(如 DS923+、DS720+)时,管理员常需执行高级操作 —— 比如通过命令行修复损坏的共享文件夹权限、批量管理用户账号、排查存储池底层故障,这些操作需root 权限才能完成。但 DSM 默认禁用 root 直接登录,且关闭 SSH/Telnet 服务,需通过 “开启服务→管理员账号登录→切换 root 权限” 的流程实现。若操作不当(如误改 root 密码、开放 Telnet 裸奔),会导致系统安全风险或登录失败。本文基于 Synology 官方技术文档(原文链接:https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_login_to_DSM_with_root_permission_via_SSH_Telnet),提供 “前提检查→服务配置→多系统登录→权限切换→安全防护” 的全流程方案,帮你在保障系统安全的前提下,高效获取 DSM root 权限。
一、登录前必满足的 4 个前提条件(基础保障,缺一不可)
在开启 SSH/Telnet 服务前,需确认 DSM 环境与权限达标,避免因基础条件缺失导致操作失败:
关键提醒:远程通过公网登录时,严禁使用 Telnet(端口 23),明文传输的账号密码会被轻易窃取;需用 SSH(端口 22)+ 端口转发(如自定义端口 50022),降低被暴力破解风险。
二、Step 1:开启 DSM 的 SSH/Telnet 服务(核心配置,分 7.x/6.x)
DSM 默认关闭 SSH/Telnet 服务,需在 “终端机” 设置中手动开启,DSM 7.x 与 6.x 界面路径略有差异,需分别操作:
场景 A:DSM 7.x 用户操作(主流版本,推荐)
- 进入终端机设置界面:
- 登录 DSM,点击桌面「控制面板」图标,在左侧菜单栏找到「终端机和 SNMP」(DSM 7.x 将 SSH/Telnet 整合在此处,6.x 单独为「终端机」);
- 切换到「终端机」标签页,此时 “SSH 服务”“Telnet 服务” 均显示 “已禁用”。
- 开启 SSH 服务(核心,Telnet 可选关闭):
- 勾选「启用 SSH 服务」,默认端口为 22(若担心默认端口被扫描,可自定义为 50022 等非标准端口,后续登录需对应修改);
- (可选,不推荐)若确需 Telnet,勾选「启用 Telnet 服务」(默认端口 23),但需在操作完成后立即关闭,避免安全风险;
- 点击页面底部「应用」按钮,弹出 “服务将立即启动” 提示,点击「确定」,SSH 服务正式开启(Telnet 若开启也会同步启动)。
场景 B:DSM 6.x 用户操作(旧版本,适配 legacy 设备)
- 进入终端机设置:
- 登录 DSM 后,进入「控制面板→终端机」(单独的配置项,无需找 SNMP);
- 勾选「启用 SSH 服务」和「启用 Telnet 服务」(操作逻辑与 7.x 一致),确认端口(22/23);
- 点击「应用」,无需重启 DSM,服务立即生效。
验证服务是否开启(关键一步,避免白配置)
- 进入 DSM「资源监视器→网络→服务端口」;
- 筛选 “本地端口”,若显示 “22(ssh)” 或 “23(telnet)”,且 “状态” 为 “监听中”,说明服务开启成功;
- 若未显示,检查是否勾选服务、是否点击「应用」,或重启 DSM 后重新查看。
三、Step 2:通过 SSH 登录 DSM(分 Windows/Mac/Linux,安全优先)
SSH 是推荐的登录方式,加密传输保障账号安全,不同操作系统的登录工具不同,需针对性操作:
场景 1:Windows 系统登录(3 种工具,覆盖不同用户习惯)
工具 1:PowerShell(Windows 10 + 自带,无需下载)
- 打开 PowerShell:
- 按 Win+R 键,输入 “powershell”,按回车打开(或在开始菜单搜索 “PowerShell”);
- 无需以管理员身份运行,普通权限即可。
- 执行 SSH 登录命令:
- 输入命令:ssh 管理员账号@DSM_IP -p 端口(端口默认 22,自定义则替换,如ssh admin@192.168.3.100 -p 50022);
- 首次登录会提示 “无法确认主机的真实性,是否继续连接”,输入 “yes”(小写,不区分大小写),按回车;
- 系统提示 “admin@192.168.3.100's password:”,输入 DSM 管理员账号的密码(输入时不显示字符,输完直接回车);
- 若显示 “admin@DSM:~$”,说明已通过管理员账号登录 DSM 的 SSH 命令行。
工具 2:PuTTY(适合 Windows 7/8,或习惯图形界面用户)
- 下载并打开 PuTTY:
- 从 PuTTY 官网(https://www.putty.org/)下载最新版,打开后进入 “Session” 界面;
- 在 “Host Name (or IP address)” 输入 DSM_IP(如 192.168.3.100);
- “Port” 输入 SSH 端口(22 或自定义的 50022);
- “Connection type” 选择 “SSH”,点击「Open」。
- 完成登录:
- 弹出命令行窗口,提示 “login as:”,输入管理员账号(如 admin);
- 提示 “admin@192.168.3.100's password:”,输入密码(不显示),回车;
- 显示 “admin@DSM:~$”,登录成功。
场景 2:Mac/Linux 系统登录(终端原生支持,操作简单)
- 打开终端:
- Mac 用户:按 Command + 空格,输入 “终端”,回车打开;
- Linux 用户:按 Ctrl+Alt+T,打开终端。
- 执行 SSH 登录命令:
- 输入命令:ssh admin@192.168.3.100 -p 22(参数与 Windows 一致,admin 替换为你的管理员账号,IP 和端口按需改);
- 首次登录输入 “yes” 确认,再输入密码,回车后显示 “admin@DSM:~$”,登录成功。
四、Step 3:切换为 root 权限(核心操作,谨慎执行)
通过管理员账号登录 SSH 后,仅拥有普通管理员权限,需执行命令切换为 root(DSM 默认 root 权限与管理员账号绑定,无需单独设置 root 密码):
1. 执行 root 切换命令
在 SSH 命令行中输入:sudo -i(“sudo” 表示以超级用户权限执行,“-i” 表示切换到 root 的交互环境);
- 系统会提示 “[sudo] password for admin:”,输入当前管理员账号的密码(不是 root 密码,DSM 默认 root 密码与管理员密码一致);
- 输入密码后回车,若命令行提示符从 “admin@DSM:~$” 变为 “root@DSM:~#”,说明已成功切换为 root 权限,此时可执行所有高级命令(如修改系统文件、管理底层服务)。
2. 验证 root 权限(避免假切换)
输入命令:whoami(查看当前登录用户),若输出 “root”,确认权限切换成功;
- 再执行一个 root 专属命令:ls /root(查看 root 用户的专属目录),若能正常显示目录内容(无 “Permission denied” 提示),说明权限生效。
3. 退出 root 权限(用完即退,降低风险)
完成高级操作后,必须退出 root 权限,避免误操作:
- 输入命令:exit,提示符从 “root@DSM:~#” 变回 “admin@DSM:~$”,回到管理员权限;
- 若需完全退出 SSH,再输入exit,或直接关闭命令行窗口。
五、Step 4:Telnet 登录(仅应急用,不推荐,附步骤)
Telnet 为明文传输,安全性极低,仅在 SSH 服务故障(如端口被占用、服务崩溃)时临时使用,操作完成后需立即关闭:
1. Windows 登录(PowerShell/PuTTY)
- PowerShell:输入telnet 192.168.3.100 23(23 为 Telnet 默认端口),按提示输入管理员账号和密码,登录后执行sudo -i切换 root;
- PuTTY:“Connection type” 选择 “Telnet”,端口填 23,其他步骤与 SSH 一致。
2. Mac 登录(终端)
输入telnet 192.168.3.100 23,后续登录和切换 root 步骤与 SSH 相同;
- 关键提醒:Telnet 登录时,输入的账号密码会以明文传输,同一局域网内的设备可轻易捕获,因此操作完成后必须进入 DSM「终端机」设置,取消勾选「启用 Telnet 服务」,点击「应用」关闭。
六、5 大安全注意事项(避免 root 权限导致系统风险)
root 权限拥有系统最高控制权,操作不当会导致数据丢失、系统崩溃,需严格遵守以下安全规则:
- 不长期保持 root 权限:完成高级操作后立即执行exit退出 root,避免误输入rm -rf /等危险命令(会删除所有系统文件,不可逆);
- 修改 SSH 默认端口:将默认 22 端口改为非标准端口(如 50022),进入 DSM「终端机和 SNMP→终端机」,修改 “SSH 端口” 后点击「应用」,降低被暴力破解的概率;
- 限制 SSH 访问 IP:进入 DSM「控制面板→安全→防火墙」,新增规则:“允许来源 IP 为你的电脑 IP(如 192.168.3.20)访问 22/50022 端口”,拒绝其他 IP,避免未授权访问;
- 禁用 Telnet 服务:除应急场景外,始终关闭 Telnet 服务,仅保留 SSH;若开启过 Telnet,操作后必须在「终端机」设置中取消勾选,确保 “状态” 为 “已禁用”;
- 定期更换管理员密码:root 密码与管理员密码绑定,需每 3 个月更换一次管理员密码(「控制面板→用户与群组→admin→编辑→密码」),密码设为 “字母 + 数字 + 特殊符号”(如 “Syno_Root@2024”)。
七、4 大常见问题解答(解决登录与权限切换故障)
1. 问:SSH 登录时提示 “Permission denied, please try again”(权限被拒),怎么办?
答:3 大排查方向:① 确认输入的管理员账号属于 “administrators” 组(非普通用户);② 检查密码是否正确(区分大小写,DSM 密码默认不显示输入,输错会重复提示);③ 若修改过 SSH 端口,登录命令需加 “-p 自定义端口”(如ssh admin@192.168.3.100 -p 50022),未加端口会默认连 22 端口导致失败。
2. 问:执行 “sudo -i” 切换 root 时,提示 “admin is not in the sudoers file. This incident will be reported.”(admin 不在 sudo 组),如何处理?
答:admin 账号被误移出 sudo 组,解决步骤:① 登录 DSM web 界面,进入「控制面板→用户与群组→用户→admin→编辑」;② 切换到「群组」标签页,勾选 “administrators” 和 “sudo” 两个群组(DSM 7.x 需手动勾选 sudo 组,6.x 默认包含);③ 点击「确定」,重新登录 SSH,再次执行 “sudo -i” 即可切换。
3. 问:远程通过公网 SSH 登录时,提示 “Connection timed out”(连接超时),怎么回事?
答:端口转发或防火墙问题:① 登录路由器管理界面,检查 “端口转发” 规则是否正确(外部端口 50022→内部端口 22,内部 IP 为 DSM 的局域网 IP);② 确认 DSM 防火墙是否放行 50022 端口(新增规则允许外部 IP 访问);③ 用 “端口检测工具”(如canyouseeme.org)检测公网端口是否开放,未开放需重新配置路由器。
4. 问:忘记管理员密码,无法通过 SSH 切换 root,怎么办?
答:需先重置管理员密码,步骤:① 在 DSM 登录界面点击 “忘记密码”,按提示通过绑定的邮箱或手机验证码重置 admin 密码;② 重置后重新登录 SSH,执行 “sudo -i”,输入新密码即可切换 root;③ 若无法通过邮箱重置,需通过 NAS 物理按钮重置管理员密码(参考 Synology 官方重置教程,会保留数据)。
八、总结:root 权限登录的核心原则(安全与高效平衡)
通过 SSH/Telnet 以 root 权限登录 DSM 的核心原则是 “按需开启、用完即关、严格防护”:① 仅在需要高级操作时开启 SSH 服务,操作完成后可关闭(进入「终端机」取消勾选);② 始终用 SSH 而非 Telnet,避免明文传输风险;③ 切换 root 后仅执行必要命令,不随意修改系统配置文件(如 /etc/passwd 用户配置文件)。
若需执行复杂命令(如存储池修复、套件底层故障排查),建议先查阅 Synology 官方命令行文档,或在执行前备份关键数据(通过 Hyper Backup 备份系统配置),避免误操作导致不可挽回的损失。通过本文步骤,即可在保障安全的前提下,高效获取 DSM root 权限,完成各类高级管理任务。
如何通过 SSH/Telnet 以 root 权限登录 Synology DSM?2024 完整指南
相关文章
地址:北京市海淀区白家疃尚品园 1号楼225
北京群晖时代科技有限公司