Sicherer Zugriff auf den Remote-SSH-Tunnel

7

Daher möchte ich remote auf meinen Raspberry Pi zugreifen können (den ich hinter einer Firewall zu Hause habe). Eine Möglichkeit besteht darin, eine statische IP-Adresse zu verwenden, aber als armer Schüler möchte ich nicht auf eine verzichten, und die meisten kostenlosen Optionen sind etwas unübersichtlicher (erfordern regelmäßige Wartung usw.). Nach meinem Verständnis besteht eine weitere Option darin, einen Remote-SSH-Tunnel zu einem Server außerhalb meiner Firewall einzurichten, der Verbindungen an einen bestimmten lokalen Host-Port (z. B. 9999) auf dem Server weiterleitet und an Port 22 auf meinem Raspberry Pi (über diesen Remote-Server) weiterleitet SSH-Tunnel). Im Großen und Ganzen würde ich die Schritte von Raspberry Pi aus befolgen: Telefonieren mit einem Reverse Remote Ssh-Tunnel , außer für einen anderen Zweck.

Zufällig hat meine Universität einen Linux-Server für Studenten, auf dem ich ein Shell-Konto habe. Daher sollte es in Ordnung sein, alles einzurichten. Meine Frage lautet: Kann ein Benutzer mit einem Shell-Konto den Tunnel zu meinem Pi verwenden, wenn er auf dem von mir ausgewählten lokalen Host-Port auftritt (9999 im obigen Beispiel), da der Studentenserver gemeinsam genutzt wird? Oder kann ich nur diesen Port verwenden? Ist es möglich, eine solche Einschränkung zu schaffen?

Offensichtlich bin ich nicht so sehr darauf bedacht, mich auf Sicherheit durch Dunkelheit zu verlassen, um die Verbindung zu schützen, und möchte lieber, dass sie nur mir zur Verfügung steht.

FogOnTheTyne
quelle
1
Wenn das einzige Hindernis eine statische IP ist, warum nicht einen dynamischen DNS-Dienst verwenden? Es gibt Tonnen von ihnen da draußen, die kostenlos verwendet werden können. Dies ist viel einfacher und weniger bruchanfällig als ein umgekehrter Tunnel.
Patrick
Verwenden Sie dyndns.org, um eine kostenlose URL wie yourname.dyndns.org zu erhalten, die immer auf Ihre dynamische IP-Adresse verweist. Verwenden Sie dann die Portweiterleitung: linuxintro.org/wiki/Tunneling_with_OpenSSH, damit Sie z. B. eine Verbindung zum Port 2222 Ihrer Firewall herstellen und den Port 22 Ihres Servers erreichen.
Thorsten Staerk

Antworten:

4

OpenSSH ist sicher genug, um bei richtiger Konfiguration über das offene Internet zugänglich zu sein. Das Einrichten eines öffentlich zugänglichen Reverse-Tunnels ist daher in Ordnung, wenn der weitergeleitete Port ordnungsgemäß gesichert ist.

Einige Tipps zum Sichern von OpenSSH:

  • Protocol 2
  • PermitRootLogin no
  • HostBasedAuthentication no
  • PasswordAuthentication no
  • UsePrivilegeSeparation yes
  • PubkeyAuthentication yes
  • Richten Sie SSH-Schlüssel für alle Benutzer ein, die remote auf SSH zugreifen
  • Beschränken Sie Benutzer, mit denen Sie sich anmelden können AllowUsers
Bahamat
quelle