Saya akan menggunakan mesin Linux sebagai semacam terminal publik di lokasi terpencil. Saya ingin dapat mengaksesnya dari jarak jauh melalui SSH untuk pemeliharaan tetapi saya tidak ingin membuat port terbuka pada firewall jarak jauh untuk kesempatan langka saya perlu mengakses mesin ini. Meskipun saya sudah tentang skrip sederhana untuk membuat terowongan SSH terbalik ke mesin di luar, tapi saya lebih suka tidak harus memiliki pengguna harus melakukan apa pun ketika saya perlu mengaksesnya. Ada ide?
Pembaruan: Saya telah memutuskan untuk pergi dengan rencana asli naskah untuk membuat terowongan ssh terbalik. Sementara solusi lain yang disarankan, seperti port knocking akan lebih sesuai dengan apa yang benar-benar ingin saya lakukan, dalam hal ini, saya tidak memiliki akses untuk mengkonfigurasi router selain memandu pengguna melalui konfigurasi. merasa ngeri
sumber
Jawaban:
Jika mengganti router benar-benar keluar dari pertanyaan, Anda mungkin perlu melihat solusi P2P atau VPN seperti Hamachi . Jika Anda mengatur sistem untuk secara otomatis membuat koneksi VPN saat startup, maka Anda harus dapat terhubung kapan pun Anda perlu. Hamachi melakukan semua negosiasi firewall untuk Anda. Satu kekurangannya adalah Anda harus bergantung pada server Hamachi yang berfungsi dan berfungsi saat Anda perlu terhubung.
Jika Anda memiliki server yang selalu aktif, Anda dapat mengatur autossh sehingga sistem jarak jauh selalu membuat terowongan terbuka dan terhubung ke server Anda. Satu kekurangannya adalah sistem remote dikompromikan mereka penyerang akan mendapatkan kunci yang digunakan untuk membangun sesi ssh. Akan sangat penting untuk menjaga sistem Anda yang menerima koneksi ssh benar-benar terkunci.
Di bawah ini adalah jawaban asli saya, saya berasumsi bahwa memperbarui router adalah suatu pilihan.
Salah satu solusi yang mungkin ingin Anda selidiki jika firewall Anda mendukungnya, adalah port knocking . Dengan beberapa firewall, mungkin untuk mengirim paket khusus yang pemberitahuan firewall dan kemudian sementara membuka lubang melalui firewall.
Ada banyak implementasi beberapa lebih baik daripada yang lain. Beberapa menggunakan kriptografi yang kuat untuk membuat hampir tidak mungkin bagi seseorang tanpa kunci yang tepat untuk mengirim ketukan yang benar.
sumber
Saya tidak akan khawatir meninggalkan port 22 yang dapat diakses ke internet, tetapi saya akan mengambil beberapa langkah untuk mengamankannya.
Pertama, nonaktifkan otentikasi interaktif keyboard dan pindah ke tombol ssh.
Kedua, instal sesuatu seperti fail2ban di server jauh Anda ke blackball alamat IP yang berulang kali menyelidiki mesin Anda. Karena Anda memiliki kunci pengaturan ssh, seharusnya tidak ada kegagalan otentikasi untuk pengguna yang berwenang.
Atau jika Anda bisa, ikuti saran WerkkreWs dan konfigurasikan firewall di depan mesin untuk mengakhiri koneksi vpn, maka hanya izinkan daemon ssh pada server jauh untuk menerima koneksi yang datang melintasi vpn itu.
Atau jika firewall Anda tidak dapat menghentikan koneksi vpn, Anda mungkin dapat meneruskan paket GRE atau IPSEC ke mesin linux Anda, dan menghentikannya di sana.
sumber
Kedengarannya seperti Anda mencari yang mengetuk
Anda dapat menginstalnya di server linux itu sendiri, dengan iptables sehingga semacam firewall tingkat 2. Bahkan dengan port 22 terbuka di firewall frontend, itu tidak akan terbuka di server, sehingga portscan tidak akan melihat port terbuka. Kemudian ketika Anda mengirim "ketukan rahasia", tiba-tiba Anda memiliki jalur terbuka ke port 22.
Apakah itu masuk akal?
sumber
Singkatnya, semua jawaban:
gunakan ssh, tetapi membuatnya lebih tidak jelas dan aman.
Untuk keamanan:
Untuk ketidakjelasan:
sumber
Tugas yang dijadwalkan skrip untuk terowongan ssh terbalik Anda, atau buka port firewall.
Jika Anda khawatir SSH terbuka untuk dunia, Anda dapat menjadwalkan tugas saat periode pemeliharaan Anda dengan skrip iptables dan hanya memiliki port yang tersedia saat itu.
sumber
Lihatlah port-knocking untuk membuka terowongan SSH Anda.
Juga, jalankan denyhosts untuk mengunci orang setelah terlalu banyak permintaan buruk.
Kedua paket tersedia di repositori Ubuntu, Fedora, dan RHEL standar.
sumber
Silakan buka port, buat saja porta di luar kisaran normal. Saya akan membuatnya beberapa port acak lebih dari 1024. Dengan cara itu para peretas tidak akan mungkin bahkan mencarinya.
sumber
Tidak ada alasan untuk tidak menyodok lubang di firewall jika Anda memerlukan akses ke mesin dari jarak jauh, namun jarang.
Namun, jika Anda tetap tidak mau (atau tidak bisa) membuka port, skrip shell sederhana dapat memonitor beberapa sumber daya Internet yang tersedia yang Anda kontrol dan dengarkan perintah untuk meluncurkan terowongan terbalik. Akun email, saluran IRC, dan halaman web langsung terlintas dalam pikiran sebagai perangkat pemicu.
Tentu saja, ini jauh lebih rapuh dan kurang aman daripada hanya membuka porta. Tapi saya yakin Anda punya alasan.
sumber