ssh povezava preko interneta

Na usmerjevalniku moraš odpreti port 22/tcp

Tidule je 23. jun 2022 ob 21:26 izjavil:

ne delaj tega. Če boš direktno mapiral port na routerju potem bo to dostopno vsakemu in res ni pametno imet SSH izpostaljen direktno v omrežje. Povezave v lokalno omrežje se rešuje z VPN.

Nic ni narobe, ce ga imas ssh izpostavljen na internet, samo pac uporabljas generirana gesla (ali private key). Sicer bos imel pri uporabi porta 22 polne loge poizkusov vdora, ampak, ce imas primerno geslo, je vseeno. Ni VPN nic bolj ali manj varen, lahko je kvecemu bolj prirocen, ali pa tudi ne. Sam uporabljam v vecini primerov ssh in tunele do servisov, do katerih hocem dostopat. Imam sicer postavljen VPN pa mi je ssh bolj prakticen pristop, dokler imas v lanu obvladljivo kolicino racunalnikov.

Ce ti grejo razni poskusevalci gesel na zivce pa tole postavis in povezes s firewallom: https://www.sshguard.net/

Ne vem, zakaj si ne bi naredil še VPN strežnika, jaz imam v ta namen doma RPI zero priklopljen stalno 24/7, porabi praktično nič pa zastonj je skoraj.
Potem ne rabiš nobenih portov več nastavljat za bilo katero stvar na ruterju, vse dela kot bi bil doma.

Caki, saj VPN je tudi izpostavljen (in je lahko edina varnost zanj uporabnisko ime in geslo)?

Tidule je 23. jun 2022 ob 22:01 izjavil:

Nic ni narobe, ce ga imas ssh izpostavljen na internet, samo pac uporabljas generirana gesla (ali private key). Sicer bos imel pri uporabi porta 22 polne loge poizkusov vdora, ampak, ce imas primerno geslo, je vseeno. Ni VPN nic bolj ali manj varen, lahko je kvecemu bolj prirocen, ali pa tudi ne.

Imet izpostavljen servis (po možnosti več njih) kjer je edina varnost geslo in uporabniško ime je pač idiotska praksa, ki se jo bo vsak inteligenten človek poskusil izognit. Razumem, da včasih ne gre drugače, ampak da pa promoviraš to kot samoumevno in varno prakso pa pač ni pametno. Če si ti prelen da bi uporaljal VPN, ali pa preprosto ne znaš postavit varne rešitve je to v prvi vrsti tovoj problem. Lahko pa vprašaš na LinKomp, če še koga rabijo, ker očitno zaposlujejo šalabajzerje.

Pa ni tukaj ključno vprašanje ali se da tudi SSH dostop boljše zaščitit, ampak je vprašanje kaj so dobre prakse za nekoga, ki postavlja tako bazična vprašanja kot je tole o zunanjem dostopu.

Daj ne nabijaj, takih modernih kekcev, ki mislijo, da VPN ni "izpostavljen servis" imam ze za zadnjih 10 let dovolj. Pac pojdi spat in premisli.

Tidule je 23. jun 2022 ob 23:06 izjavil:

Zato pa zadevo resis na eni tocki in postavis ustrezno zasciten VPN, da se ne zafrkavas s tem vsakic posebej ko kaj postavljas. Resitve kot so openvpn so ze privzeto bolj varne kot direktno odpiranje porta 22.

In ja, kot sem zgoraj napisal zunanji dostop do servisov, ki je zasciten samo z geslom in uprabniskom imenom je slaba praksa.

Ne niso prevzeto bolj varne. Isto sranje je, samo danes je VPN moderen in zato moderni navijaci nabijajo o njem.

Tidule je 23. jun 2022 ob 23:12 izjavil:

Kje sem napisal da vpn ni izpostavljen servis? Sam tolk da vem al ne znas brat al ne ves o cem govoris.

No v glavnem, pri njegovem raspberryu je vpn nepotrebna komplikacija. Pa ce se na trepalnice postavis.

Tidule je 23. jun 2022 ob 23:12 izjavil:

Kje sem napisal da vpn ni izpostavljen servis? Sam tolk da vem al ne znas brat al ne ves o cem govoris.

Nekdo, ki je ocitno laik pride postavit enostavno vprasanje in kot odgovor dobi naj odpre port dirketno in drugi, ki zacne filizofirat o zasciti posameznega servisa z github linki...

Ja ja ze vredu veliki majstor. Pojdi bugtraq pogledat, pa bos utihnil.

Tidule je 23. jun 2022 ob 23:15 izjavil:

Jansa nic ne tvita, pa moras tukaj smetit?

Pojdi se malo o modernih tehnologijah prebrati, da bos lahko kaj citiral. Pac se en navijac, taki so nam prinesli od nosqla do blockchaina za vsako irelevantno nalogo, kjer bi tudi najbolj preprosta resitev zadostovala za vse vecne case. Potem imajo pa fragmetnacijo paketkov na VPNjih ipd. Ampak glavno da se dobro slisi.

sds je 23. jun 2022 ob 23:16 izjavil:

Tidule je 23. jun 2022 ob 23:15 izjavil:

Jansa nic ne tvita, pa moras tukaj smetit?

Pojdi se malo o modernih tehnologijah prebrati, da bos lahko kaj citiral. Pac se en navijac, taki so nam prinesli od nosqla do blockchaina za vsako irelevantno nalogo, kjer bi tudi najbolj preprosta resitev zadostovala za vse vecne case. Potem imajo pa fragmetnacijo paketkov na VPNjih ipd. Ampak glavno da se dobro slisi.

Se enkrat pocasi preberi kaj OP sprasuje in kaksen je njegov problem in posledicno doseg iskanja resitev. Bos mogoce razumel zakaj se smesis.

rokp je 23. jun 2022 ob 23:16 izjavil:

Tidule je 23. jun 2022 ob 23:12 izjavil:

Nekdo, ki je ocitno laik pride postavit enostavno vprasanje in kot odgovor dobi naj odpre port dirketno in drugi, ki zacne filizofirat o zasciti posameznega servisa z github linki...

... in tretji, ki mu svetuje resitev z dodatnim overheadom/enkapsulacijo ... ;)

In cetrti katerega uporaben doprinos se vedno cakamo.

Enim dela bralno razumevanje kr težave.

Vprašanje je zelo jasno: Zanima me kako se poveže (ssh) preko interneta na lokalni strežnik (Rpi4)?

Dogovor:

1: Odpret je treba port 22 TCP na ruterju in ga forwardirat na 192.168.1.3.
2: Nakonfigurirat sshd_config (/etc/sshd) da ima ListenAddress 192.168.1.3. To je verjetno že urejeno, glede na to, da v lokalni mreži SSH dostop dela. Se pa preverit z ukazom: netstat -anotlp | grep 22

Potem pa gasa.

Je pa res, da se bodo tudi nekateri drugi želeli povezati in login-ati na ta server. Pa zelo vztrajni bodo. In glede tega se lahko nekaj naredi.

Opcije:
1: Zelo doglo geslo (like 30, 40 random znakov).
2: Ali pa ssh-keygen.

In spremljanje aktivnosti v log file-u:
tail -f /var/log/auth.log

Ter, če se iz interneta vedno povezuješ iz iste lokacije (npr. firma, ki ima statičen public IP), lahko pri sebi na firewall-u omejiš, da se na port 22 lahko povežeš samo iz tistega IP-ja. S tem odpadejo praktično (skoraj) vse nevarnosti.

Če že misliš uporabljati SSH navzven, potem vsaj uporabi kakšen nestandardni višji port in ga potem mapiraš na routerju na port 22

Če VPN ni opcija...

SSH passworde bi dal na off kot prvo.

Port na routerju na neko cifro tipa 38238. Eni scannerji ga sčasoma vseeno odkrijejo, sumim da slow-scannajo cel internet port by port. ampak teh je malo.

Možnost je še kak port-knocking.

Narediti moras port forward (na usmerjevalniku) za nek port (X), ki ga preusmeris na port 22 na 192.168.1.3. Potem preveris, kaksen javni IP imas (recimo, da gres na http://ip.preveri.si), od zunaj se potem povezes na ta javni IP na port X. ifconfig ti bo se vedno kazal samo 192.168.1.3 in loopback.

HotBurek je 24. jun 2022 ob 13:36 izjavil:

In spremljanje aktivnosti v log file-u:
tail -f /var/log/auth.log

https://www.sshguard.net

Ales je 25. jun 2022 ob 14:50 izjavil:

Heh, zanimivo, kak mini flame war med SSH in VPN...

Mah ni flame war samo pac nekateri se palijo na kaj je "moderno" namesto na use-case. Pac waste of time.

Ales je 25. jun 2022 ob 14:50 izjavil:

Popularna alternativa sshguardu je tudi fail2ban. Oba sta del večine distribucij, toplo priporočam...

sshguard je spisan v cju (ne rabis pythona na serverju), pa hitreje se odziva pri dodajanje ipjev v pf (verjetno ni krivda na strani fail2ban ampak pythona, v vsakem primeru nekaj cesar vecina tule ne bo nikoli srecala), sicer pa oba opravita svojo nalogo.

https://www.fail2ban.org

CSF tudi ni slab.

"Ter, če se iz interneta vedno povezuješ iz iste lokacije (npr. firma, ki ima statičen public IP), lahko pri sebi na firewall-u omejiš, da se na port 22 lahko povežeš samo iz tistega IP-ja. S tem odpadejo praktično (skoraj) vse nevarnosti."

Tole. Omejitev dostopa po (javnem) source IPju je najbolj enostavna, klasična, preverjena in rešitev, ki je povsod na voljo.

Clovek sprasuje taoonosnovne stvari kot kaj pomeni port forward... ampak vazno da so nekateri vsi mokri, ko pametujejo.

UganiKdo je 25. jun 2022 ob 22:27 izjavil:

Clovek sprasuje taoonosnovne stvari kot kaj pomeni port forward... ampak vazno da so nekateri vsi mokri, ko pametujejo.

Ravno zato bi mu priporočal VPN. Karkoli ostalega bo čaral, bo izpostavil mašino več nevarnostim.

GupeM je 26. jun 2022 ob 07:13 izjavil:

UganiKdo je 25. jun 2022 ob 22:27 izjavil:

Clovek sprasuje taoonosnovne stvari kot kaj pomeni port forward... ampak vazno da so nekateri vsi mokri, ko pametujejo.

Ravno zato bi mu priporočal VPN. Karkoli ostalega bo čaral, bo izpostavil mašino več nevarnostim.

Aha, in znas postaviti VPN, da bo varen? Samo vprasam.

Dobro, sem si prebral. Port forwarding omogoča da usmerjevalnik preusmeri zahtevek na pravi naslov in port znotraj lokalnega omrežja. Sedaj pa vprašanje: Če imam več strežnikov (PC, RPI4) znotraj lokalnega omrežja in želim vzpostaviti ssh povezavo z dvema. To pomeni, da moram forwardirati port 22 na oba?

Zakaj ima moj RPI4 samo loopback naslov in lokalni IPv4 naslov? Saj komunicira z internetom, zakaj nima še globalnega? (Ima le eth0 in lo)

Port 22001 na 192.168.1.3:22
Port 22002 na 192.168.1.7:22
Port 22003 na 192.168.1.15:22
Itn.

Ko se potem povzuješ iz interneta domov, moraš tiste porte upoštevat.

Primer:
ssh user1@193.2.1.66 -p 22001
ssh user1@193.2.1.66 -p 22002
ssh user1@193.2.1.66 -p 22003

Lahko si tudi bolj lepo zmapiraš:

22003 na host 192.168.1.3:22
22005 na host 192.168.1.7:22
22015 na host 192.168.1.15:22

Samo prosim ne odpirat porta 22. Se ti bodo kitajci gor obesli.

Odpri nek random port in vse skupaj preusmeri preko tega.

Nekaj sem razmišljal in prišel do nejasnih zaključkov.

In sicer, noben v tej temi ni odgovoril, zakaj ipconfig/ifconfig vrne samo privatni naslov. Kakor razumem, mora vsak računalnik povezan v internet imeti tudi javni naslov. Sedaj ena stvar je to domače omrežje (NAT/PAT) ali karkoli že je, kako usmerjevalnik ve, kateremu računalniku v domačem omrežju poslati paket? Naslovljen je kam? Na tvoj usmerjevalnik z javnim IP naslovom ali tvoj računalnik, tablica, mobitel znotraj lokalnega omrežja?

marjan_h je 28. jul 2022 ob 21:34 izjavil:

Nekaj sem razmišljal in prišel do nejasnih zaključkov.

In sicer, noben v tej temi ni odgovoril, zakaj ipconfig/ifconfig vrne samo privatni naslov. Kakor razumem, mora vsak računalnik povezan v internet imeti tudi javni naslov. Sedaj ena stvar je to domače omrežje (NAT/PAT) ali karkoli že je, kako usmerjevalnik ve, kateremu računalniku v domačem omrežju poslati paket? Naslovljen je kam? Na tvoj usmerjevalnik z javnim IP naslovom ali tvoj računalnik, tablica, mobitel znotraj lokalnega omrežja?

V osnovi paket izhaja iz lokalnega omrežja (recimo tvoj PC) in gre preko routerja v internet.
Tvoj PC ugotovi, da destination IP ni v tvojem omrežju in zato paket pošlje na default gateway - routerju. Ta zamenja source IP paketa s svojim zunanjim IPjem ter source port na neko naključno visoko številko. To translacijo si zabeleži v NAT tabelo in nato popravljen paket pošlje naprej tvojemu internetnemu ponudniku. Ko nato čez čas prileti odgovor na routerjev zunanji IP in tisti naključni port, pogleda router v NAT tabelo komu v lokalnem omrežju mora paket posredovati. Popravi destination IP na pravi lokalni IP in ga pošlje v lokalno omrežje.

Druga opcija je, da na routerju nastaviš port forwarding, kjer poveš, da naj router vse pakete, ki so naslovljeni nanj in na port XXX posreduje na lokalni naslov A.B.C.D na port YYY, na tak način odpreš pot paketom, ki niso odgovor na paket iz tvojega lokalnega omrežja, kot v zgornjem primeru. Na ta način, lahko spletni strežnik, ki ga imaš postavljenega v svojem lokalnem omrežju odpreš proti internetu.