Titel=Frage.

Intern komme ich per interner IP und Port rauf, was muss ich im Router (Linksys) konfigurieren, damit ich von außerhalb (Internet) pet SSH auf den Rechner (Debian) komme?

Danke!

Tante Edith: Portweiterleitung (...) - logisch!
Irgendwie bin ich heute ganz schön montag -.-

Dann aber bitte auch nicht vergessen, sshd halbwegs sicher zu konfigurieren.


root Zugang verbieten
Zugelassene Benutzer einschränken
Public-/Private-Key mit Passphrase verwenden
Zugang über Benutzername/Passwort verbieten


Mit ein wenig Googlen finden sich genau Anleitungen, wie man sshd sicher konfiguriert. Falls Quell- und Ziel-IP bekannt sind, ist es ratsam, diese auch in der Firewall einzuschränken. Der Nachteil ist dann nur, dass du dann von einer fremdem IP-Addresse nicht mehr an dein System kommst.

Gerade Anfang lohnt sich ein Blick in das Log, denn dort werden sehr bald die Versuche der Skript-Kiddies protokolliert. :mad:

Fail2ban, kein root Zugriff und ein sicheres Passwort langen IMO aber auch. Ein Key benutzen finde ich zu umständlich wenn ich mal von unterwegs drauf will.

Captain Security by Obscurity kann auch das Port forwarding auf dem Router so einstellen, dass z.B. 2345 auf 22 weitergeleitet wird, und nicht 22 auf 22. (und kein anderer der "well known ports)
Damit hat man schonmal alle Scriptkiddies und Bots aus dem Weg geräumt, was sich im syslog deutlich schöner macht.

Danke für die Antworten bisher ;-)

Zum Thema: Ich verwende natürlich einen Port den ich mir selber ausgesucht hab und lasse ihn vom Router intern auf den 22er leiten.
Die Verbindung zum Router ist während ich penne oder nichts arbeite, immer getrennt; da kann man also tun was man will, beim Kabelmodem ist Ende im Gelände.

Die Maschine, auf die per SSH zugegriffen werden soll, ist ein Raspberry Pi unter Raspbian. Die anderen Rechner sind alle abgeschalteten.

Es soll damit einerseits nur ein etwaiger Filetransfer von nicht gecloudeten Daten durchgeführt werden und andererseits will ich meine am Pi angeschlossenen BitCoin USB ASICs damit überwachen.

Kann mir jemand einen Link zu einem guten SSH-Abschirm-Tutorial posten?

Danke für die Antworten bisher ;-)

Zum Thema: Ich verwende natürlich einen Port den ich mir selber ausgesucht hab und lasse ihn vom Router intern auf den 22er leiten.
Die Verbindung zum Router ist während ich penne oder nichts arbeite, immer getrennt; da kann man also tun was man will, beim Kabelmodem ist Ende im Gelände.

Die Maschine, auf die per SSH zugegriffen werden soll, ist ein Raspberry Pi unter Raspbian. Die anderen Rechner sind alle abgeschalteten.

Es soll damit einerseits nur ein etwaiger Filetransfer von nicht gecloudeten Daten durchgeführt werden und andererseits will ich meine am Pi angeschlossenen BitCoin USB ASICs damit überwachen.

Kann mir jemand einen Link zu einem guten SSH-Abschirm-Tutorial posten?

*schieb*

was genau fehlt dir denn noch?
Du kannst noch Port Knocking verwenden, damit der Port überhaupt erst geöffnet wird.

Mit Zertifikat und Passwort ist die größte Gefahr, dass jemand deinen Rechner komprimitiert und die nötigen Daten ausspioniert.
Mehr habe ich auch nicht gemacht, um an einen dd-wrt AP im Netzwerk bei meinen Eltern zu kommen.

Mit Zertifikat und Passwort ist die größte Gefahr, dass jemand deinen Rechner komprimitiert und die nötigen Daten ausspioniert.
Ab dem Zeitpunkt dürften alle Schutzmaßnahmen versagen. :D

- grundsätzlich: Passwörter ausreichend sicher (nein "Policesucks" ist nicht sicher)
- Public Key auth (z.B. auf Windows Seite mit Pageant), keine Root Logins erlauben.
- anderer SSH Port

Auf meinem Server mache ich seit Jahren nichts anderes und bin damit *bisher* gut gefahren.

kommt halt immer drauf an was da geschützt werden soll: nen Zugang zum USB Miner? Direkter Zugang zu 2000 Bitcoins?

Je nachdem kann man dann noch andere Sachen ausdenken, z.B. OTPs wie Yubikey und Co, Beschränkung der externen IPs (Wenn du z.B. nur von einigen bestimmten IPs/Netzen kommst), sperren nach X Fehlversuchen mit Fail2ban etc.

Macht das ganze aber insgesamt unkomfortabler, bzw. fehleranfällig.

Fail2Ban + Port wechseln (z.b. 2222) + sicheres PW und alles ist im Lot.