Как безопасно ssh в машину дома через интернет

Я скоро поеду, и у меня есть машина, на которой выполняется куча заданий cron и т. Д. Мне нужно удаленно войти в систему, чтобы проверить результаты выполненных заданий и выполнить некоторую работу на машине.

Вот важные факты:

1. Подключаемая машина (Mothership) работает под управлением Ubuntu 14.0.4 LTS
2. Материнский корабль подключен к Интернету через локальную сеть дома, поэтому имеет открытый IP-адрес.
3. IP-адрес назначается динамически.
4. Я буду подключаться к кораблю с помощью ноутбука под управлением Ubuntu 15.10

Я предпочитаю использовать ssh, а не VNC, из-за проблем с пропускной способностью - плюс, в любом случае, все, что мне нужно, это командная строка.

Каков наилучший способ безопасного удаленного подключения к моей машине?

Лучше всего, вероятно, запустить SSH-сервер на порте, отличном от порта по умолчанию, например 2020. Это предотвращает большинство попыток атак с использованием грубой силы из Интернета, так как эти боты обычно смотрят только на порты по умолчанию.

Вам также потребуется назначить серверу статический IP-адрес в локальной сети, так как он должен быть доступен в любое время. Вы можете установить это в System Settings --> Network. Для предотвращения конфликтов IP-адресов также рекомендуется сообщить DHCP-серверу (в большинстве случаев маршрутизатору), что этот IP-адрес занят. Метод зависит от модели, но где-то в конфигурации маршрутизатора должна быть область, позволяющая резервировать IP-адреса.

Причиной статического IP-адреса является необходимость переадресации портов в настройках маршрутизатора. Это позволяет соединять порты с внешним IP-адресом на этот порт вашего сервера.

Если ваш общедоступный IP-адрес является динамическим, что, вероятно, так и есть, вы захотите настроить какой-то динамический DNS-сервис. Моя рекомендация для этого сервиса - No-IP . Это дает вам бесплатный поддомен, который всегда указывает на ваш публичный IP. Эта настройка требует установки программы на постоянно включенном компьютере в вашей локальной сети (так называемый DUC, предоставляемый No-IP).

Как только вы настроите сервер SSH, введите SSH, введя

ssh user@remotehostip -p XXX

или используя любой клиент SSH / SFTP, который вы предпочитаете.

Если какой-либо из этих разделов требует более подробных инструкций, прокомментируйте, и я добавлю их в.

Если у кого-то еще есть проблемы с подпиской, вот чат, в котором есть дальнейшие / более подробные шаги: http://chat.stackexchange.com/rooms/37251/discussion-between-homunculus-reticulli-and-zacharee1

В дополнение к ответу Zacharee1 вы должны установить либо Fail2ban, либо DenyHosts (получите .deb из репозитория Precise). Вы не должны проходить аутентификацию с ключами, если вы путешествуете. Используйте также «безопасный» пароль. Может быть, создать специальную учетную запись пользователя с ограниченным доступом на время, когда вам не нужно быть администратором.

Я бы не трогал настройки сети на Сервере, статический IP можно назначить с роутера. IP-адрес маршрутизатора должен быть адресом шлюза, назначенным в DHCP. В случаях, когда это не (!) Адрес по умолчанию должен быть записан где-то под ним. Если вы изменили это, вы должны были оставить последнее значение в покое. Так что, если у вас есть домашняя сеть класса C, адрес будет abcx, где abc соответствует всем вашим другим IP-адресам, а x - это конечное значение с вашего стикера маршрутизатора. В любом случае у провайдера должны быть справочные страницы.

Когда вы используете нестандартный порт, избегайте «22» в качестве последних цифр (скажем, 8122). Это оставляет подсказки.

NB. Вы можете получить доступ к приложениям на основе X по SSH без VNC, это совсем другая тема.