Как разрешить SSH на моем компьютере, когда меня нет дома? [закрыто]
Допустим, гипотетически я буду находиться вдали от своего компьютера, но я хотел бы иметь возможность подключаться к нему по SSH, когда я нахожусь вне дома.
Это так же просто, как добавить правило NAT / перенаправления портов на страницу моего маршрутизатора по адресу 192.168.1.1 для порта 22?
Допустим, мой публичный IP - 1.2.3.4. Тогда я добавлю правило к своему маршрутизатору, а затем смогу войти в свой ящик по SSH с ssh arukaj@1.2.3.4?
1 ответ
Предложение в Вашем вопросе абсолютно корректно.
необходимо установить сервер OpenSSH (sudo apt install openssh-server) и затем настроить перенаправление портов на маршрутизаторе. Необходимо будет, конечно, также добавить исключение в конфигурации брандмауэра локального компьютера для SSH.
Это также обычно советовало Вам аутентификация открытого ключа силы вместо того, чтобы использовать пароль для дополнительной защиты.
Также примечание, что необходимо настроить статический IP-адрес, именно так конфигурация перенаправления портов, не повреждается в несвоевременное время из-за DHCP. В то время как большинство маршрутизаторов будет иметь тенденцию позволять Вашему компьютеру сохранить Ваш IP-адрес, это - не всегда допустимое решение и не составляет отбрасывания временного соединения. Обычно лучше создать в статическом IP NAT, чтобы просто иметь гарантию, что это будет работать.
, Когда Вы активны, Вы просто сможете к SSH к Вашему общедоступному IP, и Вы сможете добраться до своего компьютера. Можно также изучить использование Динамический поставщик DNS для присвоения доменного имени маршрутизатору, таким образом, любые изменения IP, продвинутые ISP, не будут также влиять соединение.
Примечание, что существуют (очень незначительные) последствия безопасности открытия сервера к глобальному SSH. Главным образом это заставит Ваш сервер быть проверенным с помощью ping-запросов несколько раз автоматизированными ботами, пытающимися найти плохо защищенные серверы. Использование стандартного имени пользователя (как admin) и основанная на ключе аутентификация будет почти всегда не пускать их. Если Вы действительно заинтересованы, можно использовать порт кроме 22 (хотя умные боты или люди попробуют nmap, если порт 22 будет закрыт), используйте Fail2Ban или оба. Принимающие надлежащие протоколы системы защиты существуют, абсолютное худшее нападение, которое может осуществить злонамеренный бот, должно записать достойное количество записей в журнале к Вашему жесткому диску.
, Если Вы - один из тех неудачных людей между несколькими слоями NAT (некоторый ISPs сделает что-то названное Классом поставщика услуг NAT), это становится намного более включенным. Вам или будут нужны VPN или некоторые другие средства проксирования Вашего туннеля SSH. Конечно, можно также смочь запросить порт от ISP, хотя успех может варьироваться.