Wie man sicher über das Internet in eine Maschine zu Hause ssh

Ich werde in Kürze unterwegs sein und ich habe eine Maschine, auf der eine Reihe von Cron-Jobs usw. ausgeführt werden. Ich muss mich remote anmelden, um die Ergebnisse der ausgeführten Jobs zu überprüfen und einige Arbeiten an der Maschine auszuführen.

Hier sind die wichtigsten Fakten:

1. Auf dem zu verbindenden Computer (Mutterschiff) wird Ubuntu 14.0.4 LTS ausgeführt
2. Das Mutterschiff ist zu Hause über ein LAN mit dem Internet verbunden und verfügt über eine öffentlich zugängliche IP-Adresse.
3. Die IP-Adresse wird dynamisch vergeben.
4. Ich werde mich mit einem Laptop unter Ubuntu 15.10 mit dem Mutterschiff verbinden

Aufgrund von Bandbreitenproblemen bevorzuge ich die Verwendung von ssh anstelle von VNC. Außerdem benötige ich ohnehin nur die Befehlszeile.

Was ist der beste Weg, um eine sichere Remoteverbindung zu meinem Computer herzustellen?

Ihre beste Wahl ist wahrscheinlich, einen SSH-Server auf einem nicht standardmäßigen Port wie 2020 auszuführen. Dies verhindert die meisten Versuche von Brute-Force-Angriffen aus dem Web, da diese Bots in der Regel nur auf Standardports schauen.

Sie müssen dem Server auch eine statische IP-Adresse im LAN zuweisen, da er jederzeit zugänglich sein muss. Sie können dies einstellen System Settings --> Network. Um IP-Adresskonflikte zu vermeiden, sollten Sie Ihrem DHCP-Server (in den meisten Fällen dem Router) mitteilen, dass diese IP-Adresse verwendet wird. Die Methode variiert je nach Modell, es sollte jedoch irgendwo in der Routerkonfiguration ein Bereich vorhanden sein, in dem Sie IP-Adressen reservieren können.

Der Grund für die statische IP ist, dass Sie die Portweiterleitung in Ihrem Router-Setup einrichten müssen. Dadurch können Verbindungen vom Port zu Ihrer externen IP an diesen Port auf Ihrem Server weitergeleitet werden.

Wenn Ihre öffentliche IP-Adresse dynamisch ist, was wahrscheinlich der Fall ist, sollten Sie einen dynamischen DNS-Dienst einrichten. Meine Empfehlung für diesen Dienst lautet No-IP . Sie erhalten eine kostenlose Subdomain, die immer auf Ihre öffentliche IP verweist. Dieses Setup erfordert die Installation eines Programms auf einem ständig aktiven Computer in Ihrem LAN (DUC genannt, bereitgestellt von No-IP).

Sobald Sie den SSH-Server wie gewünscht eingerichtet haben, können Sie SSH durch Eingabe eingeben

ssh user@remotehostip -p XXX

oder indem Sie einen beliebigen SSH / SFTP-Client verwenden.

Wenn einer dieser Abschnitte detailliertere Anweisungen benötigt, kommentieren Sie diese und ich werde sie hinzufügen.

Wenn jemand andere Probleme beim Folgen hat, finden Sie hier einen Chatraum mit weiteren / detaillierteren Schritten: http://chat.stackexchange.com/rooms/37251/discussion-between-homunculus-reticulli-and-zacharee1

Zusätzlich zu Zacharee1s Antwort sollten Sie entweder Fail2ban oder DenyHosts installieren (holen Sie sich die .deb aus den Precise-Repos). Sie sollten sich auf Reisen nicht mit Schlüsseln authentifizieren. Verwenden Sie auch ein "sicheres" Passwort. Richten Sie möglicherweise ein dediziertes Benutzerkonto mit eingeschränktem Zugriff für die Zeiten ein, in denen Sie kein Administrator sein müssen.

Ich würde die Netzwerkeinstellungen auf dem Server nicht berühren, die statische IP kann vom Router zugewiesen werden. Die IP-Adresse des Routers sollte die in DHCP zugewiesene "Gateway" -Adresse sein. In den Fällen, in denen dies nicht (!) Ist, sollte die Standardadresse irgendwo darunter geschrieben werden. Wenn Sie dies geändert haben, sollten Sie den letzten Wert in Ruhe lassen. Wenn Sie also ein Heimnetzwerk der Klasse C haben, lautet die Adresse abcx, wobei abc mit allen anderen IP-Adressen übereinstimmt und x der nachfolgende Wert auf Ihrem Router-Aufkleber ist. Der ISP sollte auf jeden Fall Hilfeseiten dafür haben.

Wenn Sie einen nicht standardmäßigen Port verwenden, vermeiden Sie '22' als letzte Ziffer (z. B. 8122). Es hinterlässt Hinweise.

NB. Sie können über SSH ohne VNC auf X-basierte Anwendungen zugreifen, ein weiteres Thema.