Come accedere in modo sicuro a una macchina a casa tramite Internet

Viaggerò a breve e ho una macchina che esegue un certo numero di cron job ecc. Ho bisogno di accedere in remoto per verificare i risultati dei lavori eseguiti e fare un po 'di lavoro sulla macchina.

Ecco i fatti salienti:

1. La macchina da connettere (nave madre) esegue Ubuntu 14.0.4 LTS
2. La nave madre è connessa a Internet tramite una LAN a casa, quindi ha un indirizzo IP pubblico.
3. L'indirizzo IP è assegnato dinamicamente.
4. Mi collegherò alla nave madre usando un laptop con Ubuntu 15.10

Preferisco usare ssh piuttosto che VNC, a causa di problemi di larghezza di banda - inoltre, tutto ciò di cui ho bisogno è comunque la riga di comando.

Qual è il modo migliore per connettersi in modo sicuro in remoto alla mia macchina?

La soluzione migliore è probabilmente quella di eseguire un server SSH su una porta non predefinita, come 2020. Questo impedisce la maggior parte dei tentativi di attacchi di forza bruta dal web, poiché questi robot tendono a guardare solo su porte predefinite.

Dovrai inoltre assegnare al server un indirizzo IP statico sulla LAN, poiché deve essere accessibile in ogni momento. Puoi impostarlo in System Settings --> Network. Per evitare conflitti di indirizzi IP, è anche consigliabile comunicare al server DHCP (il router nella maggior parte dei casi) che questo indirizzo IP è stato utilizzato. Il metodo varia in base al modello, ma dovrebbe esserci un'area da qualche parte nella configurazione del router che consente di prenotare gli indirizzi IP.

Il motivo dell'IP statico è che è necessario impostare il port forwarding nella configurazione del router. Ciò consente alle connessioni dalla porta al tuo IP esterno di essere instradate a quella porta sul tuo server.

Se il tuo indirizzo IP pubblico è dinamico, cosa che probabilmente è, vorrai impostare una sorta di servizio DNS dinamico. La mia raccomandazione per questo servizio è No-IP . Ti dà un sottodominio gratuito che punta sempre al tuo IP pubblico. Questa configurazione richiede l'installazione di un programma su una macchina sempre attiva sulla LAN (chiamata DUC, fornita da No-IP).

Dopo aver configurato il server SSH come desideri, immetti SSH inserendolo

ssh user@remotehostip -p XXX

o usando qualunque client SSH / SFTP che preferisci.

Se una di queste sezioni necessita di istruzioni più dettagliate, commenta e le aggiungerò.

Se qualcun altro ha problemi a seguire, ecco una chat room con passaggi ulteriori / più dettagliati: http://chat.stackexchange.com/rooms/37251/discussion-between-homunculus-reticulli-and-zacharee1

Oltre alla risposta di Zacharee1, è necessario installare Fail2ban o DenyHosts (ottenere il .deb dai repository Precise). Non devi autenticarti con le chiavi se sei in viaggio. Utilizzare anche una password "sicura". Forse impostare un account utente dedicato con accesso ridotto per le volte in cui non è necessario essere amministratore.

Non vorrei toccare le impostazioni di rete sul server, l'IP statico può essere assegnato dal router. L'indirizzo IP del router dovrebbe essere l'indirizzo "gateway" assegnato in DHCP. Nei casi in cui non è (!) L'indirizzo predefinito dovrebbe essere scritto sotto di esso da qualche parte. Se lo hai modificato, avresti dovuto lasciare da solo l'ultimo valore. Quindi se hai una rete domestica di classe C l'indirizzo sarà abcx dove abc corrisponde a tutti gli altri tuoi indirizzi IP e x è il valore finale dell'adesivo del tuo router. L'ISP dovrebbe avere pagine di aiuto per questo in ogni caso.

Quando si utilizza una porta non standard, evitare '22' come cifre finali (ad esempio 8122). Lascia indizi.

NB. puoi accedere alle applicazioni basate su X su SSH senza VNC, un altro argomento interamente.