Cara aman ssh ke mesin di rumah melalui internet

Saya akan bepergian sebentar lagi, dan saya memiliki mesin yang menjalankan menjalankan banyak pekerjaan cron dll. Saya perlu login jarak jauh untuk memeriksa hasil dari pekerjaan yang dijalankan dan untuk melakukan beberapa pekerjaan pada mesin.

Berikut adalah fakta yang menonjol:

1. Mesin yang akan dihubungkan (Motherhip) menjalankan Ubuntu 14.0.4 LTS
2. Motherhip ini terhubung ke internet melalui LAN di rumah, sehingga memiliki alamat IP publik.
3. Alamat IP ditetapkan secara dinamis.
4. Saya akan menghubungkan ke induk menggunakan Laptop menjalankan Ubuntu 15.10

Saya lebih suka menggunakan ssh daripada VNC, karena masalah bandwidth - plus, yang saya butuhkan hanyalah baris perintah.

Apa cara terbaik untuk terhubung dengan aman dari jarak jauh ke mesin saya?

Taruhan terbaik Anda mungkin menjalankan server SSH pada port non-default, seperti 2020. Ini mencegah sebagian besar upaya serangan brute force dari web, karena bot ini cenderung hanya melihat pada port default.

Anda juga perlu menetapkan alamat IP statis pada server, karena server harus dapat diakses setiap saat. Anda dapat mengatur ini System Settings --> Network. Untuk mencegah konflik alamat IP, sebaiknya Anda memberi tahu server DHCP Anda (router dalam kebanyakan kasus) bahwa alamat IP ini diambil. Metode ini bervariasi berdasarkan model, tetapi harus ada area di suatu tempat dalam konfigurasi router yang memungkinkan Anda memesan alamat IP.

Alasan untuk IP statis adalah bahwa Anda perlu mengatur port forwarding di pengaturan router Anda. Ini memungkinkan koneksi dari port ke IP eksternal Anda untuk dialihkan ke port itu di server Anda.

Jika alamat IP publik Anda adalah dinamis, yang mungkin itu, Anda akan ingin mengatur semacam layanan DNS dinamis. Rekomendasi saya untuk layanan ini adalah No-IP . Ini memberi Anda sub-domain gratis yang selalu menunjuk ke IP publik Anda. Pengaturan ini memang membutuhkan instalasi program pada mesin yang selalu aktif di LAN Anda (disebut DUC, disediakan oleh No-IP).

Setelah Anda mengatur server SSH seperti yang Anda inginkan, SSH melakukannya dengan memasukkan

ssh user@remotehostip -p XXX

atau dengan menggunakan klien SSH / SFTP apa pun yang Anda inginkan.

Jika ada bagian ini yang membutuhkan instruksi lebih detail, komentari dan saya akan menambahkannya.

Jika ada orang lain yang kesulitan mengikuti, berikut adalah ruang obrolan yang memiliki langkah-langkah lebih lanjut / lebih rinci: http://chat.stackexchange.com/rooms/37251/discussion-between-homunculus-reticulli-and-zacharee1

Selain jawaban Zacharee1, Anda harus menginstal Fail2ban atau DenyHosts (dapatkan .deb dari repo Precise). Anda tidak boleh mengautentikasi dengan kunci jika Anda bepergian. Gunakan kata sandi "aman" juga. Mungkin mengatur akun pengguna khusus dengan akses terbatas untuk saat-saat Anda tidak perlu menjadi admin.

Saya tidak akan menyentuh pengaturan jaringan pada Server, IP statis dapat ditugaskan dari router. Alamat ip router harus menjadi alamat "gateway" yang ditetapkan dalam DHCP. Dalam kasus di mana bukan (!) Alamat default harus ditulis di bawahnya di suatu tempat. Jika Anda telah mengubah ini, Anda seharusnya membiarkan nilai terakhir saja. Jadi, jika Anda memiliki jaringan rumah kelas C, alamatnya akan abcx di mana abc cocok dengan semua alamat ip Anda lainnya dan x adalah nilai tambahan dari stiker router Anda. ISP harus memiliki halaman bantuan untuk itu dalam hal apa pun.

Saat Anda menggunakan port non-standar, hindari '22' sebagai digit terakhir (8122, katakanlah). Itu meninggalkan petunjuk.

NB. Anda dapat mengakses aplikasi berbasis X melalui SSH tanpa VNC, topik lain sepenuhnya.