Como posso permitir o SSH no meu computador quando estiver ausente?

Como posso permitir o SSH no meu computador quando estiver ausente?

Então, digamos que hipoteticamente eu estarei longe da minha área de trabalho, mas gostaria de poder fazer SSH nela quando estiver fora de casa.

É tão simples quanto adicionar uma regra de encaminhamento de NAT/porta à página do meu roteador em 192.168.1.1for port 22?

Digamos que meu IP público seja 1.2.3.4. Então eu adicionaria a regra ao meu roteador e poderia usar SSH na minha caixa de ?ssh [email protected]

Responder1

A proposta da sua pergunta está totalmente correta.

Você precisa instalar o servidor OpenSSH ( sudo apt install openssh-server) e então configurar o encaminhamento de porta em seu roteador. É claro que você também precisará adicionar uma exceção na configuração do firewall do seu computador local para SSH.

Geralmente também é aconselhável que vocêforçar autenticação de chave públicaem vez de usar uma senha para maior segurança.

Observe também que você deve configurar um endereço IP estático, apenas para que sua configuração de encaminhamento de porta não seja interrompida em um momento inoportuno por causa do DHCP. Embora a maioria dos roteadores tenda a permitir que seu computador mantenha seu endereço IP, essa nem sempre é uma solução válida e não leva em conta quedas temporárias de conexão. Normalmente é melhor criar um IP NAT estático apenas para ter a garantia de que funcionará.

Quando você estiver fora de casa, poderá apenas fazer o SSH para o seu IP público e poderá acessar o seu computador. Você também pode considerar usar umDNS dinâmicoprovedor atribua um nome de domínio ao seu roteador, portanto, quaisquer alterações de IP enviadas pelo seu ISP também não afetarão sua conexão.

Observe que há implicações de segurança (muito pequenas) em abrir um servidor para SSH mundial. Principalmente, isso fará com que seu servidor receba ping algumas vezes por bots automatizados que tentam encontrar servidores mal protegidos. Não usar um nome de usuário padrão (como admin) e autenticação baseada em chave quase sempre os manterá afastados. Se você estiver realmente preocupado, você pode usar uma porta diferente da 22 (embora bots inteligentes ou humanos tentem nmapse a porta 22 estiver fechada), useFail2Ban, ou ambos. Supondo que protocolos de segurança adequados estejam em vigor, o pior ataque que um bot malicioso pode realizar é gravar um número razoável de entradas de log em seu disco rígido.


Se você é um daqueles indivíduos azarados entre múltiplas camadas de NAT (alguns ISPs farão algo chamado NAT de nível de operadora), isso se torna muito mais complicado. Você precisará de uma VPN ou de algum outro meio de proxy do seu túnel SSH. Claro, você também pode solicitar uma porta ao seu ISP, embora o sucesso possa variar.

informação relacionada