離れているときにコンピューターに SSH を許可するにはどうすればいいですか?

離れているときにコンピューターに SSH を許可するにはどうすればいいですか?

たとえば、デスクトップから離れる予定があるが、外出中に SSH でデスクトップに接続できるようにしたいとします。

192.168.1.1ポートのルーターページに NAT / ポート転送ルールを追加するだけという簡単な作業でしょうか22?

私のパブリック IP が だとします1.2.3.4。その場合、ルーターにルールを追加して、 からボックスに SSH 接続できるようになりますか?ssh [email protected]

答え1

あなたの質問の提案は完全に正しいです。

OpenSSH サーバー ( sudo apt install openssh-server) をインストールし、ルーターでポート転送を設定する必要があります。もちろん、ローカル コンピューターのファイアウォール構成に SSH の例外を追加する必要もあります。

また、通常は公開鍵認証を強制するセキュリティ強化のためにパスワードを使用する代わりに。

また、ポート転送設定が DHCP によって都合の悪いときに壊れないように、静的 IP アドレスを設定する必要があることにも注意してください。ほとんどのルーターはコンピューターに IP アドレスを保持させる傾向がありますが、これは常に有効な解決策ではなく、一時的な接続の切断を考慮していません。通常は、確実に機能するように静的 NAT IP を組み込む方がよいでしょう。

外出中は、パブリックIPにSSH接続するだけで、コンピュータにアクセスできます。ダイナミックDNSプロバイダーはルーターにドメイン名を割り当てることができるため、ISP によってプッシュされた IP の変更も接続に影響しません。

サーバーを世界中のSSHに公開すると、セキュリティ上の(ごくわずかな)影響があることに注意してください。ほとんどの場合、セキュリティが不十分なサーバーを見つけようとする自動ボットがサーバーに数回pingを送信します。標準のユーザー名( など)とキーベースの認証を使用しないと、ほとんどの場合、ボットは侵入できません。本当に心配な場合は、22以外のポートを使用できます(ただし、賢いボットや人間はポート22が閉じている場合は をadmin試します)。nmapフェイル2バン、またはその両方です。適切なセキュリティ プロトコルが導入されていると仮定すると、悪意のあるボットが実行できる最悪の攻撃は、かなりの数のログ エントリをハード ドライブに書き込むことです。


複数の NAT 層の間にいる不運なユーザーの 1 人である場合 (一部の ISP はキャリア グレード NAT と呼ばれるものを実行します)、これはさらに複雑になります。VPN または SSH トンネルをプロキシする他の手段が必要になります。もちろん、ISP にポートを要求することもできますが、成功するかどうかは状況によって異なります。

関連情報