Làm thế nào để ssh an toàn vào một máy ở nhà qua internet

Tôi sẽ đi du lịch trong thời gian ngắn và tôi có một máy chạy các công việc định kỳ, v.v. Tôi cần đăng nhập từ xa để kiểm tra kết quả của các công việc đã chạy và thực hiện một số công việc trên máy.

Dưới đây là những sự thật nổi bật:

1. Máy được kết nối (quyền làm mẹ) đang chạy Ubuntu 14.0.4 LTS
2. Các bà mẹ được kết nối với internet thông qua mạng LAN tại nhà, do đó, có một địa chỉ IP phải đối mặt công khai.
3. Địa chỉ IP được gán động.
4. Tôi sẽ kết nối với các bà mẹ bằng cách sử dụng máy tính xách tay chạy Ubuntu 15.10

Tôi thích sử dụng ssh hơn là VNC, vì vấn đề băng thông - cộng với, tất cả những gì tôi cần là dòng lệnh nào.

Cách tốt nhất để kết nối an toàn từ xa với máy của tôi là gì?

Đặt cược tốt nhất của bạn có lẽ là chạy máy chủ SSH trên một cổng không mặc định, chẳng hạn như năm 2020. Điều này ngăn chặn hầu hết các nỗ lực tấn công vũ trang từ web, vì các bot này có xu hướng chỉ nhìn vào các cổng mặc định.

Bạn cũng sẽ cần gán cho máy chủ một địa chỉ IP tĩnh trên mạng LAN, vì nó cần phải có thể truy cập mọi lúc. Bạn có thể thiết lập điều này trong System Settings --> Network. Để ngăn xung đột địa chỉ IP, bạn cũng nên thông báo cho máy chủ DHCP của mình (bộ định tuyến trong hầu hết các trường hợp) rằng địa chỉ IP này được lấy. Phương pháp này thay đổi theo mô hình, nhưng cần có một khu vực ở đâu đó trong cấu hình bộ định tuyến cho phép bạn dự trữ địa chỉ IP.

Lý do cho IP tĩnh là bạn cần thiết lập chuyển tiếp cổng trong thiết lập bộ định tuyến của mình. Điều này cho phép các kết nối từ cổng đến IP bên ngoài của bạn được định tuyến đến cổng đó trên máy chủ của bạn.

Nếu địa chỉ IP công cộng của bạn là động, có lẽ là như vậy, bạn sẽ muốn thiết lập một số loại dịch vụ DNS động. Đề xuất của tôi cho dịch vụ này là No-IP . Nó cung cấp cho bạn một tên miền phụ miễn phí luôn trỏ đến IP công cộng của bạn. Thiết lập này yêu cầu cài đặt chương trình trên máy luôn bật trong mạng LAN của bạn (được gọi là DUC, được cung cấp bởi No-IP).

Khi bạn đã cài đặt máy chủ SSH theo cách bạn muốn, hãy SSH tới nó bằng cách nhập

ssh user@remotehostip -p XXX

hoặc bằng cách sử dụng bất kỳ ứng dụng khách SSH / SFTP nào bạn thích.

Nếu bất kỳ phần nào trong số này cần hướng dẫn chi tiết hơn, hãy bình luận và tôi sẽ thêm chúng vào.

Nếu bất cứ ai khác gặp rắc rối sau đây, đây là một phòng trò chuyện có các bước chi tiết hơn / chi tiết hơn: http://chat.stackexchange.com/rooms/37251/discussion-b between-homunculus-remiculli-and-zacharee1

Ngoài câu trả lời của Zacharee1, bạn nên cài đặt Fail2ban hoặc Denyhosts (lấy .deb từ các repos chính xác). Bạn không nên xác thực bằng chìa khóa nếu bạn đang đi du lịch. Sử dụng mật khẩu "an toàn" là tốt. Có thể thiết lập một tài khoản người dùng chuyên dụng với quyền truy cập giảm cho những lần bạn không cần phải là quản trị viên.

Tôi sẽ không chạm vào cài đặt mạng trên Máy chủ, IP tĩnh có thể được chỉ định từ bộ định tuyến. Địa chỉ IP của bộ định tuyến phải là địa chỉ "cổng" được gán trong DHCP. Trong trường hợp không phải là (!), Địa chỉ mặc định sẽ được ghi bên dưới nó ở đâu đó. Nếu bạn đã thay đổi điều này, bạn nên để lại giá trị cuối cùng. Vì vậy, nếu bạn có mạng gia đình lớp C, địa chỉ sẽ là abcx trong đó abc khớp với tất cả các địa chỉ IP khác của bạn và x là giá trị theo dõi từ nhãn dán bộ định tuyến của bạn. ISP nên có các trang trợ giúp cho điều đó trong mọi trường hợp.

Khi bạn sử dụng cổng không chuẩn, tránh '22' làm chữ số cuối cùng (8122, giả sử). Nó để lại manh mối.

Lưu ý bạn có thể truy cập các ứng dụng dựa trên X qua SSH mà không cần VNC, một chủ đề khác hoàn toàn.