Более простой способ защитить порт 22 от моего "динамического" IP?
Мой домашний интернет имеет динамический IP и кажется, что он меняется иногда почти каждый день. Я бы хотел, чтобы мой сервер был максимально безопасным, поэтому сейчас я могу запретить все для порта 22, кроме своего IP-адреса.
Я вижу, что это довольно раздражает, когда приходится использовать консольный доступ, потому что я технически "блокирую себя" каждый раз, когда меняется мой ip.
Есть ли более простой способ защитить этот порт?
3 ответа
Спросите у своего интернет-провайдера статический IP-адрес, если он вам действительно нужен. Возможно, вам придется платить или нет, в зависимости от провайдера. Это самый простой способ.
Помимо этого, вы можете ограничить доступ к своей подсети интернет-провайдеров, чтобы любой IP-адрес, который вам назначен, работал, но тогда все остальные клиенты интернет-провайдеров в этой подсети будут работать. Может быть, вы можете жить с - я бы не стал.
Я бы сказал, что если вы действительно хотите защитить свой доступ по SSH, используйте вместо паролей сертификаты для входа в систему. Взлом 1024-битного пароля займет много времени...
Я думаю, что мне немного не хватает в описании. Вы имеете в виду, что ваша внутренняя сеть DHCP'd или ваш провайдер меняет ваш IP-адрес?
Если вы просто хотите убедиться, что у вас есть SSH-доступ к вашему компьютеру, вы можете использовать вместо пароля ключ аутентификации и авторизовать доступ только на удаленном компьютере.
Я также устанавливаю denyhost, который вы можете настроить так, чтобы, если кто-то попытался получить доступ к вашему компьютеру и три раза не смог ввести пароль, ваша система заблокирует IP-адрес. Он также может загрузить список занесенных в черный список IP-адресов из других систем denyhost, и вы можете настроить, является ли запрет постоянным или каким временным вы его хотите.
РЕДАКТИРУЙТЕ перечитывание, думаю, я вижу вашу проблему... у вас есть доступ к домашней системе, вы хотите, чтобы она разрешала со статического IP-адреса, но ваш удаленный IP-адрес постоянно меняется, поэтому вы не можете установить один конкретный IP-адрес на разрешить подключение, да?
В этом случае вышеперечисленных вещей, которые я описал (аутентификация по ключу, изменение портов с помощью автоматического скрипта, denyhost), должно быть более чем достаточно в вашей ситуации.
Для обеспечения безопасности через неизвестность (на самом деле это помогает только против автоматического сканирования) вы можете изменить порт по умолчанию на что-то другое на брандмауэре / маршрутизаторе.
Если вы говорите, что ваша система использует DHCP в вашей сети, вам нужно настроить его на статический IP и перенаправить порт на этот IP.
Вы можете настроить учетную запись с динамическим поставщиком DNS (например, http://www.dyndns.com/), а затем разрешить доступ по имени хоста, а не по IP-адресу.
Кроме этого, настройте ключ SSH для аутентификации ( http://pkeck.myweb.uga.edu/ssh/), как предлагают существующие ответы.