Gå til innhold

ssh til egen maskin utenfor lokalnett [LØST]

miceagol

Av miceagol
i Operativsystemer

Anbefalte innlegg

miceagol

miceagol

Skrevet
Skrevet (endret)

Har satt opp ubuntumaskina mi slik at det er mulig å ssh'e seg inn på den fra en hvilken som helst maskin på det lokale nettet med

ssh <brukernavn>@<ip-adresse til datamaskin>

Det funker glimrende. Men jeg forsøker også å logge meg på utenfor lokalnettet, og må derfor gjennom en router. Har satt opp "port forwarding" på den (på port 22), slik at en som ønsker å ssh'e seg inn utenfra sendes automatisk til den PC'en jeg ønsker på lokalnettet. Jeg bruker da kommandoen

ssh <brukernavn>@<ip-adresse til routeren>

men det funker altså ikke. Da bare henger den før den timer ut. Hva glemmer jeg? Fant ip-adressen min vha. denne websiden.

Endret av miceagol
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
kommers

kommers

Skrevet
Skrevet

"Port Forwarding" som i NAT eller har du kun "åpnet" en port? Du har angitt i routern at all trafikk på den porten (22) skal forwardes til en IP-adresse på lokalnettet, right?

 

Kan det hende at du har fikset NAT, men routern har en generell firewall-regel som f.eks. sperrer innkommende trafikk på porter under 1024 (mener å ha sett en del routere med dette som default).

 

Btw, et lurt tips kan være å ikke kjøre sshd med port 22. Port 22 er standard for SSH, men det finnes en del maskiner på nettet som prøver ulike bruteforce-angrep mot SSH-servere de finner på nettet (de scanner ulike IP-adresser etter svar på port 22). Du kan endre port i /etc/ssh/sshd_config og restarte sshd. For å koble til med portnummer gjør du ca som før: ssh user@ip -p portnummer

Lenke til kommentar
miceagol

miceagol

Skrevet
  • Forfatter
Skrevet
"Port Forwarding" som i NAT eller har du kun "åpnet" en port? Du har angitt i routern at all trafikk på den porten (22) skal forwardes til en IP-adresse på lokalnettet, right?

 

Kan det hende at du har fikset NAT, men routern har en generell firewall-regel som f.eks. sperrer innkommende trafikk på porter under 1024 (mener å ha sett en del routere med dette som default).

8323270[/snapback]

 

Det stemmer at det er NAT, og at jeg har angitt at trafikk på port 22 skal forwardes til IP-adressen jeg ønsker. Skal sjekke opp det du nevner med sperring.

 

Btw, et lurt tips kan være å ikke kjøre sshd med port 22. Port 22 er standard for SSH, men det finnes en del maskiner på nettet som prøver ulike bruteforce-angrep mot SSH-servere de finner på nettet (de scanner ulike IP-adresser etter svar på port 22). Du kan endre port i /etc/ssh/sshd_config og restarte sshd. For å koble til med portnummer gjør du ca som før: ssh user@ip -p portnummer

8323270[/snapback]

 

Tusen takk for informasjon om sikkerhet. Litt av poenget er å kunne bruke denne geniale muligheten til å gå inn eksternt fra min egen PC til mine foreldres PC, dersom det er noe de trenger fikset. :) Sikkerhet har jeg hatt i baktankene hele tiden, for her eksponerer jeg meg veldig på nettet. Hvis du har mer på hjertet som kan gjøre sikkerheten enda bedre, så er det bare å pøse på.

 

Jeg er blant annet i ferd med å legge inn begrensing på antall passordforsøk, men jeg har ikke fått det helt til enda.

Lenke til kommentar
Langbein

Langbein

Skrevet
Skrevet (endret)
Vil heller anbefale å ha skikkelige passord enn å prøve å lure noen ved å kjøre på en annen port, det er ikke annet enn security by obscurity.

8324862[/snapback]

Men det hjelper jo likevel mye i kampen mot tilfeldig portscanning. Har hatt en linuxserver gående i flere år nå uten et eneste påloggingsforsøk, nettopp fordi jeg ikke bruker port 22. Men andre sikkerhetstiltak må også være tilstede såklart :)

 

I tillegg til gode passord kan man også begrense hvilke brukere som får lov til å logge på, med allow og deny-parametrene (se sshd.conf). Det kan være smart i tilfelle f.eks. foreldre eller andre bruker litt for simple passord. Faren min har spurt meg gjentatte ganger hvorfor han i det hele skal ha noe passord på PCen sin når han ikke har noe hemmelig der :p Jeg har derfor satt opp maskinen hans slik at bare jeg kan logge inn med SSH, og ingen andre brukere. Og jeg har selvsagt et heftig passord.

Endret av Langbein
Lenke til kommentar
miceagol

miceagol

Skrevet
  • Forfatter
Skrevet

Jeg har forresten funnet ut hvorfor porten fortsatt var stengt. Har nemlig også en router til fra Telenor som er koblet til nettet, og LAN-routeren er koblet til denne igjen. Når jeg sørget for port forwarding også på den andre routern, rapporterte plutselig Shields up! at ssh-porten var åpen. Men forsøk på å koble seg opp mot PC'en timer fortsatt ut etter å ha gjort dette... :dontgetit:

 

Er man mer utsatt for hackerangrep ved å bare måtte gjennom én router enn to? Vurderer å koble fra den ene routeren for å gjøre dette enklere å sette opp.

 

Vil heller anbefale å ha skikkelige passord enn å prøve å lure noen ved å kjøre på en annen port, det er ikke annet enn security by obscurity.

8324862[/snapback]

 

Bruker både annerledes ip addresse og godt passord. :)

 

Vil du ha noe som er sikkert er det å anbefale public/private key-autentisering, og disable muligheten for passord.

8326256[/snapback]

 

Kunne du forklare litt nærmere hvordan man gjør dette, eller gi en link.

Lenke til kommentar
kommers

kommers

Skrevet
Skrevet
Er man mer utsatt for hackerangrep ved å bare måtte gjennom én router enn to? Vurderer å koble fra den ene routeren for å gjøre dette enklere å sette opp.
Etter min mening: nei, ikke hvis de ikke er ment å ha samme innstillinger (åpne de samme portene etc). Vil nesten si at det er bedre med bare én etterssom det da er lettere å administrere.

 

Kunne du forklare litt nærmere hvordan man gjør dette, eller gi en link.
Etter en liten show-off med mine mad skillz foreslår jeg deg å ta en titt på denne guiden. ;-)
Lenke til kommentar
miceagol

miceagol

Skrevet
  • Forfatter
Skrevet
Etter en liten show-off med mine mad skillz foreslår jeg deg å ta en titt på denne guiden. ;-)

8326935[/snapback]

 

Du er god azz, som kan Google. :p Uansett, tusen takk for link. Sistnevnte var et glanseksempel på en guide. Nå kan man ikke logge seg inn på denne maskinen uten en nøkkel og et 18-tegns passord bestående av store/små bokstaver og spesialtegn. Det er muligens litt overdrevent, men... :p

 

Vel, da gjenstår det bare å faktisk kunne logge seg på maskina utenfra da. Skal titte litt på NAT-innstillingene mine igjen, om faktisk ssh-porten blir sendt til den andre routeren. Er litt usikker på IP-adressene.

 

Jeg kan forresten ikke koble fra den andre routeren da den også fungerer som et ADSL-modem. Vet ikke helt hva jeg tenkte på... :)

Lenke til kommentar
miceagol

miceagol

Skrevet
  • Forfatter
Skrevet

Jeg brukte en funksjon på ADSL-modemet som heter "default server", som videresender alle porter til spesifisert ip addresse. Denne satte jeg til routeren min. Når jeg nå bruker Shields up! rapporteres alle portene som closed mot stealth tidligere, unntatt ssh-porten som rapporteres som åpen. Det er tydelig at port forwarding fungerer med ADSL-modemet.

 

Dersom jeg fjerner port forwarding av ssh-porten også på routeren endres porten til closed i Shields Up!, og det er derfor en indikasjon på at det fungerer her også.

 

Men fortsatt får jeg time-out når jeg forsøker koble til. Noen idéer? Er det feil av meg å teste dette innenfor lokalnettet jeg skal koble meg til og ikke utenfra?

Lenke til kommentar
miceagol

miceagol

Skrevet
  • Forfatter
Skrevet

Jeg testet endring av ssh-porten i sshd_config-filen fra A til B. Begge portene jeg testet var blitt åpnet på forhånd i både ADSL-modemet og routeren. Ved kjøring av Shields Up! gikk A fra open til closed, og B fra closed til open. Det er dermed garantert kontakt med Linuxsystemet, men hvorfor jeg bare får time-out aner jeg ikke.

 

Håper noen flinke sjeler skjønner hvorfor. :)

Lenke til kommentar
miceagol

miceagol

Skrevet
  • Forfatter
Skrevet

Jeg løste det. ;) Problemet var at jeg prøvde å logge meg inn fra innenfor mitt eget LAN. Logget meg inn på universitetet og prøvde derfra, og vips, funket med en gang.

 

Fikk akkurat som forventet feilmeldingen

Permission denied (publickey).

Her er døren låst. Kan det bli sikrere? :)

Lenke til kommentar
kyrsjo

kyrsjo

Skrevet
Skrevet

Ang. passord på pc: Jeg har i allefall satt opp alle maskiner innenfor huset for å logge rett inn på standard-brukers skrivebord. Dersom en med onde hensikter har kommet langt nok til å faktisk komme seg inn i huset, og skru på pc'n, vel... Da kan vel han/hun egentlig bare ta hele boksen med seg? Jeg har ikke så mye topphemmelig, er mer redd for utnytting...

 

Tips nr. 1: Deaktiver pålogging som root. Dersom du har "uvanlige" brukernavn (norske...), og i tillegg et godt passord, er det vel egentlig bare sikkerhetshull i SSH som kan ta deg. Passord-knocking er irriterende, men egentlig ikke farlig...

 

Finnes det ikke noe man kan skru på i SSHD sin config som gjør at etter X antall påloggingsforsøk blir man automatisk kastet ut?

Lenke til kommentar
miceagol

miceagol

Skrevet
  • Forfatter
Skrevet

Er private/public key så sikkert at passordet jeg valgte kan fjernes/forkortes uten at sikkerheten forringes? Man må tross alt ha den nøkkelen for å komme inn, og den har jeg ikke tenkt til å gjøre tilgjengelig. Trodde ikke man måtte skrive inn passordet hver gang.

 

Tips nr. 1: Deaktiver pålogging som root. Dersom du har "uvanlige" brukernavn (norske...), og i tillegg et godt passord, er det vel egentlig bare sikkerhetshull i SSH som kan ta deg. Passord-knocking er irriterende, men egentlig ikke farlig...

8330208[/snapback]

 

Litt av hensikten med å logge meg inn eksternt er å kunne logge meg inn som root eksternt. Dersom jeg deaktiverer innlogging som root, kan man fortsatt logge inn som root etter at man har kommet seg inn på den eksterne PC'en?

Lenke til kommentar
cyclo

cyclo

Skrevet
Skrevet
Litt av hensikten med å logge meg inn eksternt er å kunne logge meg inn som root eksternt. Dersom jeg deaktiverer innlogging som root, kan man fortsatt logge inn som root etter at man har kommet seg inn på den eksterne PC'en?

8331708[/snapback]

jada. bare å bruke su kommandoen

Lenke til kommentar
Langbein

Langbein

Skrevet
Skrevet
Er private/public key så sikkert at passordet jeg valgte kan fjernes/forkortes uten at sikkerheten forringes? Man må tross alt ha den nøkkelen for å komme inn, og den har jeg ikke tenkt til å gjøre tilgjengelig. Trodde ikke man måtte skrive inn passordet hver gang.

Selve key-autenstiseringen er meget sikker - sikrere enn passord fordi keyen er mye lengre og har dermed flere kombinasjoner enn et "overkommelig" passord.

 

Så spørsmålet er hvor godt du passer på keyen din. Jeg bruker ofte keys UTEN passphrase da disse kun ligger lagret på mine egne PCer, og jeg driver også litt scripting over SSH og kan derfor ikke ha passphrase på disse fordi alt skal gå automatisk.

 

Men om du installerer private keyen din på andre maskiner (jobb, skole...) ville jeg absolutt brukt passphrase, i tilfelle noen mot formodning skulle greie å få tak i keyen din.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...