搭 NAS 最容易让人兴奋的部分,是装应用、开服务、接网盘;但真正决定后续省不省心的,往往是最前面的那些基础配置。一次偷懒,后面可能就会变成长期补洞。所以我的做法一直是:先把操作系统层的约束定下来,再开始装上层服务。
先把网络和主机标识固定住
NAS 的角色通常要求长期在线,所以主机名、固定 IP、网关和 DNS 都应该尽早稳定。尤其在家庭网络或小型工作室环境里,如果依赖 DHCP 随机分配,后续 SMB、NFS、容器映射和监控告警都会跟着变得混乱。
- 明确主机名,避免多台设备之间识别困难。
- 为 NAS 预留固定 IP,或在路由器上绑定 MAC 地址。
- 确认局域网 DNS 能正确解析关键服务名。
这一步虽然枯燥,但它决定了后面你能否放心把共享路径、反向代理和备份目标写死在脚本里。
磁盘和挂载策略要先规范
如果只是把盘插上、手动 mount 一次,NAS 很快会在重启之后暴露问题。我的建议是尽量基于 UUID 写入 /etc/fstab,并给每块数据盘定义清晰的挂载点命名规则。这样无论设备编号怎么漂移,系统都能按同一方式恢复挂载。
UUID=xxxx-xxxx /srv/storage/media ext4 defaults,noatime 0 2
UUID=yyyy-yyyy /srv/storage/backup ext4 defaults,noatime 0 2对机械盘较多的环境,`noatime` 往往是一个低成本但有意义的默认项。它不是性能灵药,但能减少无意义的写入。
把远程登录和最小权限做好
NAS 通常会长期暴露在家庭网络甚至公网映射之后,所以 SSH 登录策略需要尽早收紧。我一般会先做三件事:关闭 root 直登、启用密钥登录、把常用服务分别放到独立用户或组下运行。这样后面即使加 Docker、下载器或媒体服务,也不至于全部共享同一权限边界。
NAS 不是“能访问硬盘的 Linux 主机”,而是“必须长期承受误操作和网络暴露的存储节点”。
如果准备开放外网访问,再考虑 Fail2ban、反向代理和访问控制,而不是直接让服务裸奔在公网端口上。
日志、监控和备份比应用更先装
我会把磁盘 SMART、系统更新策略、日志轮转和备份计划都当成基础设施的一部分。原因很简单:没有监控和备份,NAS 只是一台“暂时还能访问”的机器,不是可靠存储。
- 至少确认磁盘健康检查能被定期执行。
- 为关键目录准备本地或异地备份策略。
- 让日志不会无限增长挤占系统盘空间。
只有这些底线做好了,后面装 Jellyfin、qBittorrent、Syncthing 或其他服务时,心里才有数。
最后再安装业务服务
很多人搭 NAS 时会从应用入手,但顺序反过来通常更稳:先网络、再磁盘、再权限、再监控,最后才是业务服务。这样一来,即便未来迁移硬盘、重装系统或新增容器,也能快速把环境恢复到熟悉状态。
如果要把这篇清单浓缩成一句话,就是:把 NAS 当成基础设施来对待,而不是一台偶尔用用的家用电脑。这个心态差异,会直接反映在后续维护成本上。