Nehmen wir also einmal hypothetisch an, dass ich nicht an meinem Desktop bin, aber von unterwegs per SSH auf ihn zugreifen möchte.
Ist es so einfach, wie das Hinzufügen einer NAT-/Portweiterleitungsregel zu meiner Routerseite für 192.168.1.1den Port 22?
Angenommen, meine öffentliche IP lautet 1.2.3.4. Dann würde ich die Regel zu meinem Router hinzufügen und könnte dann von aus per SSH auf meine Box zugreifen ?ssh [email protected]
Antwort1
Der Vorschlag in Ihrer Frage ist völlig richtig.
Sie müssen den OpenSSH-Server ( sudo apt install openssh-server) installieren und dann die Portweiterleitung auf Ihrem Router einrichten. Natürlich müssen Sie auch in der Firewall-Konfiguration Ihres lokalen Computers eine Ausnahme für SSH hinzufügen.
Es wird Ihnen normalerweise auch empfohlenAuthentifizierung mit öffentlichem Schlüssel erzwingenanstatt für zusätzliche Sicherheit ein Passwort zu verwenden.
Beachten Sie auch, dass Sie eine statische IP-Adresse einrichten sollten, damit Ihre Portweiterleitungskonfiguration nicht zu einem ungünstigen Zeitpunkt aufgrund von DHCP abbricht. Während die meisten Router dazu neigen, Ihren Computer Ihre IP-Adresse behalten zu lassen, ist dies nicht immer eine gültige Lösung und berücksichtigt keine vorübergehenden Verbindungsabbrüche. Normalerweise ist es besser, eine statische NAT-IP einzubauen, um einfach die Garantie zu haben, dass es funktioniert.
Wenn Sie unterwegs sind, können Sie einfach per SSH auf Ihre öffentliche IP-Adresse zugreifen und auf Ihren Computer zugreifen. Sie können auch einenDynamisches DNSIhr Provider kann Ihrem Router einen Domänennamen zuweisen, sodass auch von Ihrem ISP veranlasste IP-Änderungen keine Auswirkungen auf Ihre Verbindung haben.
Beachten Sie, dass es (sehr geringe) Sicherheitsauswirkungen gibt, wenn Sie einen Server für weltweites SSH öffnen. Meistens führt dies dazu, dass Ihr Server ein paar Mal von automatisierten Bots angepingt wird, die versuchen, schlecht gesicherte Server zu finden. Wenn Sie keinen Standardbenutzernamen (wie admin) und keine schlüsselbasierte Authentifizierung verwenden, werden sie fast immer ferngehalten. Wenn Sie wirklich besorgt sind, können Sie einen anderen Port als 22 verwenden (obwohl intelligente Bots oder Menschen einen versuchen werden, nmapwenn Port 22 geschlossen ist), verwenden SieFail2Banoder beides. Vorausgesetzt, es sind die richtigen Sicherheitsprotokolle vorhanden, ist der absolut schlimmste Angriff, den ein bösartiger Bot durchführen kann, das Schreiben einer beträchtlichen Anzahl von Protokolleinträgen auf Ihre Festplatte.
Wenn Sie zu den Unglücklichen gehören, die zwischen mehreren NAT-Schichten stecken (einige ISPs verwenden etwas, das als Carrier-Grade NAT bezeichnet wird), wird dies viel komplizierter. Sie benötigen entweder ein VPN oder eine andere Möglichkeit, Ihren SSH-Tunnel als Proxy zu verwenden. Natürlich können Sie auch einen Port von Ihrem ISP anfordern, der Erfolg kann jedoch unterschiedlich ausfallen.