Wie man sicher über das Internet in eine Maschine zu Hause ssh

8

Ich werde in Kürze unterwegs sein und ich habe eine Maschine, auf der eine Reihe von Cron-Jobs usw. ausgeführt werden. Ich muss mich remote anmelden, um die Ergebnisse der ausgeführten Jobs zu überprüfen und einige Arbeiten an der Maschine auszuführen.

Hier sind die wichtigsten Fakten:

  1. Auf dem zu verbindenden Computer (Mutterschiff) wird Ubuntu 14.0.4 LTS ausgeführt
  2. Das Mutterschiff ist zu Hause über ein LAN mit dem Internet verbunden und verfügt über eine öffentlich zugängliche IP-Adresse.
  3. Die IP-Adresse wird dynamisch vergeben.
  4. Ich werde mich mit einem Laptop unter Ubuntu 15.10 mit dem Mutterschiff verbinden

Aufgrund von Bandbreitenproblemen bevorzuge ich die Verwendung von ssh anstelle von VNC. Außerdem benötige ich ohnehin nur die Befehlszeile.

Was ist der beste Weg, um eine sichere Remoteverbindung zu meinem Computer herzustellen?

Homunculus Reticulli
quelle
SSH ist sicher. Was ist dein Problem damit?
Mostafa Ahangarha
VNC ist eine grafische Fernbedienung. Meinst du VPN?
TheWanderer
@ Techraf ah, ich verstehe. Ich habe eine Zustimmungsabstimmung gesendet
TheWanderer
Lesen Sie einfach eine gute Anleitung, es gibt einen besseren Verschlüsselungsabschnitt, der ssh gewidmet ist. Und Passwort-Login deaktivieren!
Braiam
Aus dem Chat geht hervor, dass Sie an die Authentifizierung mit Passphrasen anstelle von Passwörtern gedacht haben. Möglicherweise möchten Sie nur die Authentifizierung mit privatem / öffentlichem Schlüssel zulassen.
Oliphaunt - wieder Monica

Antworten:

14

Ihre beste Wahl ist wahrscheinlich, einen SSH-Server auf einem nicht standardmäßigen Port wie 2020 auszuführen. Dies verhindert die meisten Versuche von Brute-Force-Angriffen aus dem Web, da diese Bots in der Regel nur auf Standardports schauen.

Sie müssen dem Server auch eine statische IP-Adresse im LAN zuweisen, da er jederzeit zugänglich sein muss. Sie können dies einstellen System Settings --> Network. Um IP-Adresskonflikte zu vermeiden, sollten Sie Ihrem DHCP-Server (in den meisten Fällen dem Router) mitteilen, dass diese IP-Adresse verwendet wird. Die Methode variiert je nach Modell, es sollte jedoch irgendwo in der Routerkonfiguration ein Bereich vorhanden sein, in dem Sie IP-Adressen reservieren können.

Der Grund für die statische IP ist, dass Sie die Portweiterleitung in Ihrem Router-Setup einrichten müssen. Dadurch können Verbindungen vom Port zu Ihrer externen IP an diesen Port auf Ihrem Server weitergeleitet werden.

Wenn Ihre öffentliche IP-Adresse dynamisch ist, was wahrscheinlich der Fall ist, sollten Sie einen dynamischen DNS-Dienst einrichten. Meine Empfehlung für diesen Dienst lautet No-IP . Sie erhalten eine kostenlose Subdomain, die immer auf Ihre öffentliche IP verweist. Dieses Setup erfordert die Installation eines Programms auf einem ständig aktiven Computer in Ihrem LAN (DUC genannt, bereitgestellt von No-IP).

Sobald Sie den SSH-Server wie gewünscht eingerichtet haben, können Sie SSH durch Eingabe eingeben

ssh user@remotehostip -p XXX

oder indem Sie einen beliebigen SSH / SFTP-Client verwenden.

Wenn einer dieser Abschnitte detailliertere Anweisungen benötigt, kommentieren Sie diese und ich werde sie hinzufügen.

Wenn jemand andere Probleme beim Folgen hat, finden Sie hier einen Chatraum mit weiteren / detaillierteren Schritten: http://chat.stackexchange.com/rooms/37251/discussion-between-homunculus-reticulli-and-zacharee1

Der Wanderer
quelle
+1 Danke @ Zacharee1 für die schnelle Antwort. Ich habe eine Domain für meinen Zweck mit no-ip registriert. Ich habe alle Schritte befolgt. Der letzte Schritt ist, wo ich ratlos bin: Einrichten des Routers für die Portweiterleitung. Wenn möglich, könnte ich in diesem Bereich Hilfe gebrauchen. Vielen Dank
Homunculus Reticulli
@ HomunculusReticulli Was ist Ihr Routermodell?
TheWanderer
Außerdem kann ich nicht sehen, wo / wie die statische IP-Adresse zugewiesen werden soll. Ich benutze Ubuntu Trusty Tahir
Homunculus Reticulli
1
No-IP ist da, weil Sie eine dynamische externe Adresse haben
TheWanderer
1
@ BharadwajRaju das kann ich nicht in einem Kommentar erklären. Schauen Sie nach, wie Sie einen Ubuntu-Computer als Router einrichten, und Sie werden etwas finden
TheWanderer
1

Zusätzlich zu Zacharee1s Antwort sollten Sie entweder Fail2ban oder DenyHosts installieren (holen Sie sich die .deb aus den Precise-Repos). Sie sollten sich auf Reisen nicht mit Schlüsseln authentifizieren. Verwenden Sie auch ein "sicheres" Passwort. Richten Sie möglicherweise ein dediziertes Benutzerkonto mit eingeschränktem Zugriff für die Zeiten ein, in denen Sie kein Administrator sein müssen.

Ich würde die Netzwerkeinstellungen auf dem Server nicht berühren, die statische IP kann vom Router zugewiesen werden. Die IP-Adresse des Routers sollte die in DHCP zugewiesene "Gateway" -Adresse sein. In den Fällen, in denen dies nicht (!) Ist, sollte die Standardadresse irgendwo darunter geschrieben werden. Wenn Sie dies geändert haben, sollten Sie den letzten Wert in Ruhe lassen. Wenn Sie also ein Heimnetzwerk der Klasse C haben, lautet die Adresse abcx, wobei abc mit allen anderen IP-Adressen übereinstimmt und x der nachfolgende Wert auf Ihrem Router-Aufkleber ist. Der ISP sollte auf jeden Fall Hilfeseiten dafür haben.

Wenn Sie einen nicht standardmäßigen Port verwenden, vermeiden Sie '22' als letzte Ziffer (z. B. 8122). Es hinterlässt Hinweise.

NB. Sie können über SSH ohne VNC auf X-basierte Anwendungen zugreifen, ein weiteres Thema.

mckenzm
quelle
Könnten Sie bitte Ihren Kommentar erläutern: "Sie sollten sich auf Reisen nicht mit Schlüsseln authentifizieren." Dies widerspricht allem, was ich bisher gelesen habe. Was ist der Grund, warum du das sagst?
Homunculus Reticulli
Warum sollte man sich auf Reisen nicht mit Schlüsseln authentifizieren ? Die Authentifizierung ist egal, ob Sie unterwegs sind oder nicht.
Universally
Sie haben in letzter Zeit keine Grenze überschritten? Noch nie ein Telefon verloren? Ihre Schlüssel werden geteilt. Gleiches gilt für Zertifikate. Installieren Sie eine auf Ihr Risiko in einem Internetcafé. Schlüssel bieten sofortigen Zugriff ohne Passwort, der Client sollte gesichert sein, nicht in Ihrer Gesäßtasche.
McKenzm