Как я могу разрешить SSH на свой компьютер, когда я уйду? [закрыто]
Итак, предположим, гипотетически, что я уйду от своего рабочего стола, но я бы хотел получить SSH в него, когда я выхожу и о чем.
Это так же просто, как добавление NAT / port forwarding на мою страницу маршрутизатора в 192.168.1.1 для порта 22?
Допустим, что мой публичный IP - это 1.2.3.4. Тогда я бы добавил правило к моему маршрутизатору, а затем я мог бы SSH в свою коробку с ssh arukaj@1.2.3.4?
3 ответа
Предложение по вашему вопросу совершенно правильно.
Вам нужно установить сервер OpenSSH (sudo apt install openssh-server), а затем настроить переадресацию портов на вашем маршрутизаторе. Разумеется, вам также необходимо добавить исключение в конфигурацию брандмауэра локального компьютера для SSH.
Обычно также рекомендуется принудительно использовать аутентификацию с открытым ключом вместо использования пароля для дополнительной безопасности. [!d2 ]
Также обратите внимание, что вы должны настроить статический IP-адрес, так что ваш конфигуратор переадресации портов не прерывается в неподходящее время из-за DHCP. В то время как большинство маршрутизаторов будут иметь тенденцию позволять вашему компьютеру поддерживать ваш IP-адрес, это не всегда допустимое решение и не учитывает временные потери соединения. Как правило, лучше создавать статический NAT IP, чтобы иметь гарантию того, что он будет работать.
Когда вы выйдете из системы, вы просто сможете использовать SSH для своего публичного IP-адреса, вы сможете добраться до вашего компьютера. Вы также можете изучить использование провайдера аутентификации force-key authentication для назначения имени домена вашему маршрутизатору, поэтому любые изменения IP, наложенные вашим интернет-провайдером, также не повлияют на ваше соединение.
[d7 ] Обратите внимание, что есть (очень незначительные) последствия для безопасности при открытии сервера для всемирного SSH. В основном это приведет к тому, что ваш сервер будет пинговать несколько раз автоматическими ботами, пытающимися найти плохо защищенные серверы. Не используя стандартное имя пользователя (например, admin) и аутентификацию на основе ключей почти всегда будут содержать их. Если вы действительно обеспокоены, вы можете использовать порт, отличный от 22 (хотя смарт-боты или люди будут пытаться nmap, если порт 22 закрыт), используйте Fail2Ban или и то, и другое. Предполагая, что существуют надлежащие протоколы безопасности, абсолютная худшая атака, которую может взломать злонамеренный бот, состоит в том, чтобы написать приличное количество записей журнала на ваш жесткий диск.один из тех неудачливых людей между несколькими слоями NAT (некоторые интернет-провайдеры будут делать что-то, называемое NAT Carrier-Grade), это становится гораздо более привлекательным. Вам понадобится VPN или некоторые другие способы проксирования вашего SSH-туннеля. Конечно, вы также можете запросить порт у своего интернет-провайдера, хотя успех может отличаться.
-
1Почему openssh-server нужно точно? Почему я не могу запустить sshd, а затем использовать порт вперед на порту 22? – Aruka J 17 October 2017 в 05:47
-
2Почему мой IP-адрес изменился из-за DHCP? Я думал, что если сетевое устройство было активным, то в любое время, когда срок аренды истекает (или истекает), он просто повторно запрашивает тот же IP-адрес. До тех пор, пока компьютер будет находиться в сети, не будет ли он продолжать распространять один и тот же IP-адрес? – Aruka J 17 October 2017 в 05:48
-
3@ArukaJ sshd предоставляется пакетом openssh-server и является фоновым сервисом (ssh.service), управляемым через systemd. Кроме того, обычно ваш IP остается неизменным. Это не всегда так - реализация маршрутизатора отличается или временная потеря в соединении может привести к изменению вашего IP-адреса. – Kaz Wolfe 17 October 2017 в 05:48
-
4Я не совсем понимаю, вы говорите, если я использую sshd, то у меня уже установлен openssh-server? – Aruka J 17 October 2017 в 05:49
-
5@ArukaJ Точно. Если вы сделаете dpkg -S $(which sshd), вы увидите, что у вас установлен пакет. – Kaz Wolfe 17 October 2017 в 05:50
Предложение по вашему вопросу совершенно правильно.
Вам нужно установить сервер OpenSSH (sudo apt install openssh-server), а затем настроить переадресацию портов на вашем маршрутизаторе. Разумеется, вам также необходимо добавить исключение в конфигурацию брандмауэра локального компьютера для SSH.
Обычно также рекомендуется принудительно использовать аутентификацию с открытым ключом вместо использования пароля для дополнительной безопасности.
Также обратите внимание, что вы должны настроить статический IP-адрес, так что ваш конфигуратор переадресации портов не прерывается в неподходящее время из-за DHCP. В то время как большинство маршрутизаторов будут иметь тенденцию позволять вашему компьютеру поддерживать ваш IP-адрес, это не всегда допустимое решение и не учитывает временные потери соединения. Как правило, лучше создавать статический NAT IP, чтобы иметь гарантию того, что он будет работать.
Когда вы выйдете из системы, вы просто сможете использовать SSH для своего публичного IP-адреса, вы сможете добраться до вашего компьютера. Вы также можете изучить использование провайдера аутентификации force-key authentication для назначения имени домена вашему маршрутизатору, поэтому любые изменения IP, наложенные вашим интернет-провайдером, также не повлияют на ваше соединение.
Обратите внимание, что есть (очень незначительные) последствия для безопасности при открытии сервера для всемирного SSH. В основном это приведет к тому, что ваш сервер будет пинговать несколько раз автоматическими ботами, пытающимися найти плохо защищенные серверы. Не используя стандартное имя пользователя (например, admin) и аутентификацию на основе ключей почти всегда будут содержать их. Если вы действительно обеспокоены, вы можете использовать порт, отличный от 22 (хотя смарт-боты или люди будут пытаться nmap, если порт 22 закрыт), используйте Fail2Ban или и то, и другое. Предполагая, что существуют надлежащие протоколы безопасности, абсолютная худшая атака, которую может взломать злонамеренный бот, состоит в том, чтобы написать приличное количество записей журнала на ваш жесткий диск.
один из тех неудачливых людей между несколькими слоями NAT (некоторые интернет-провайдеры будут делать что-то, называемое NAT Carrier-Grade), это становится гораздо более привлекательным. Вам понадобится VPN или некоторые другие способы проксирования вашего SSH-туннеля. Конечно, вы также можете запросить порт у своего интернет-провайдера, хотя успех может отличаться.
Предложение по вашему вопросу совершенно правильно.
Вам нужно установить сервер OpenSSH (sudo apt install openssh-server), а затем настроить переадресацию портов на вашем маршрутизаторе. Разумеется, вам также необходимо добавить исключение в конфигурацию брандмауэра локального компьютера для SSH.
Обычно также рекомендуется принудительно использовать аутентификацию с открытым ключом вместо использования пароля для дополнительной безопасности.
Также обратите внимание, что вы должны настроить статический IP-адрес, так что ваш конфигуратор переадресации портов не прерывается в неподходящее время из-за DHCP. В то время как большинство маршрутизаторов будут иметь тенденцию позволять вашему компьютеру поддерживать ваш IP-адрес, это не всегда допустимое решение и не учитывает временные потери соединения. Как правило, лучше создавать статический NAT IP, чтобы иметь гарантию того, что он будет работать.
Когда вы выйдете из системы, вы просто сможете использовать SSH для своего публичного IP-адреса, вы сможете добраться до вашего компьютера. Вы также можете изучить использование провайдера аутентификации force-key authentication для назначения имени домена вашему маршрутизатору, поэтому любые изменения IP, наложенные вашим интернет-провайдером, также не повлияют на ваше соединение.
Обратите внимание, что есть (очень незначительные) последствия для безопасности при открытии сервера для всемирного SSH. В основном это приведет к тому, что ваш сервер будет пинговать несколько раз автоматическими ботами, пытающимися найти плохо защищенные серверы. Не используя стандартное имя пользователя (например, admin) и аутентификацию на основе ключей почти всегда будут содержать их. Если вы действительно обеспокоены, вы можете использовать порт, отличный от 22 (хотя смарт-боты или люди будут пытаться nmap, если порт 22 закрыт), используйте Fail2Ban или и то, и другое. Предполагая, что существуют надлежащие протоколы безопасности, абсолютная худшая атака, которую может взломать злонамеренный бот, состоит в том, чтобы написать приличное количество записей журнала на ваш жесткий диск.
один из тех неудачливых людей между несколькими слоями NAT (некоторые интернет-провайдеры будут делать что-то, называемое NAT Carrier-Grade), это становится гораздо более привлекательным. Вам понадобится VPN или некоторые другие способы проксирования вашего SSH-туннеля. Конечно, вы также можете запросить порт у своего интернет-провайдера, хотя успех может отличаться.