Vraag Hoe kan ik SSH zo instellen dat het beperkt is tot mijn lokale netwerk?


Ik probeer mijn nieuwe laptop met 11.10 te koppelen aan mijn oude laptop die 8.04 door mijn router loopt met behulp van SSH.

Deze vraag wordt hier gesteld en beantwoord op ubuntuforums:

http://ubuntuforums.org/showthread.php?t=1648965

Ik dacht dat het nuttig zou zijn om hier een meer definitief antwoord te geven.

Opmerking: ik moest eerst openssh-server installeren op de laptop waarmee ik een verbinding probeerde te maken en de SSH-poort in mijn firewall openen met firestarter.


25
2018-03-25 18:08


oorsprong


kun je ons alstublieft vertellen wat niet "definitief" genoeg is aan het antwoord van slooow op die thread? Anders lijkt je vraag dubbelzinnig. - d_inevitable
@d_inevitable Ten eerste is dit niet het enige antwoord en wordt het anders niet als het juiste antwoord aangegeven. Het is degene die ik zou hebben gekozen, maar dit is waarom ik dacht dat het nuttig zou zijn om deze vraag te migreren. Het kan ook helpen om algemene aanwijzingen of een handige link op te nemen over het configureren van SSH tussen twee lokale machines. - klenwell


antwoorden:


U kunt de toegang tot uw ssh-server op veel manieren beperken.

IMO het belangrijkste is om ssh-sleutels te gebruiken en wachtwoordverificatie uit te schakelen.

Zie de volgende wikipagina's voor meer informatie

https://help.ubuntu.com/community/SSH/OpenSSH/Keys

https://help.ubuntu.com/community/SSH/OpenSSH/Configuring#Disable_Password_Authentication

U kunt de toegang tot een specifiek subnet op verschillende manieren beperken. Ik ga ervan uit dat je ssh-server op subnet 192.168.0.0/16 staat met een ip-adres van 192.168.0.10, dienovereenkomstig aan te passen;)

router

Een verdedigingslinie is om een ​​router te gebruiken. Zorg ervoor dat u UPnP uitschakelt en poort doorsturen niet toestaat.

SSH-configuratie

U kunt verschillende opties instellen in /etc/ssh/sshd_config. Een daarvan is het luisteradres. Als u een luisteradres hebt ingesteld op uw subnet. Een privé-ip-adres kan niet worden gerouteerd via internet.

http://compnetworking.about.com/od/workingwithipaddresses/f/privateipaddr.htm

ListenAddress 192.168.0.10

U kunt ook de AllowUsers gebruiken

AllowUsers you@192.168.0.0/16

Enigszins gerelateerd, u kunt ook de poort wijzigen

Port 1234

Zien http://manpages.ubuntu.com/manpages/precise/man5/sshd_config.5.html

TCP-wrapper

Zoals beschreven in de forums post, kun je TCP Wrapper gebruiken. TCP-wrapper gebruikt 2 bestanden, /etc/hosts.allow en /etc/hosts.deny

Bewerk /etc/hosts.allow en voeg je subnet toe

sshd : 192.168.0.

Bewerk /etc/hosts.deny en ontken alles

ALL : ALL

Zie ook http://ubuntu-tutorials.com/2007/09/02/network-security-with-tcpwrappers-hostsallow-and-hostsdeny/

brandmuur

Als laatste kunt u uw server firewallen. U kunt iptables, ufw of gufw gebruiken.

iptables

sudo iptables -I INPUT -p tcp --dport 22 -s 192.168.0.0/16 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j REJECT

Gebruik DROP alstublieft niet in iptables, zie http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject

ufw

sudo ufw allow from 192.168.0.0/16 to any port 22

gufw heeft een grafische interface

GUFW

Zien https://help.ubuntu.com/community/UFW

https://help.ubuntu.com/community/IptablesHowTo


37
2018-03-25 19:08



Sommige netwerken gebruiken 10.0.0.0 als IP-adres, vervang in dat geval 192.168.0.0/24 voor 10.0.0.0/8 om het bereik 10.0.0.0-10.255.255.255 mogelijk te maken. Als u slechts één IP-adres wilt toestaan, gebruik dan iets als 192.168.1.2/32. Een zeer uitgebreide toelichting is te vinden op [serverfault.com/q/49765/51929](How werkt Subnetting?) - Lekensteyn
Gebruik DROP alstublieft niet in iptables - Zie chiark.greenend.org.uk/~peterb/network/drop-vs-reject - Panther
Die pagina vermeldt geen vervalste IP's als een mogelijke reden om DROP te gebruiken boven REJECT. Dit antwoord op Sec.SE legt uit waarom het niet echt relevant is (de bronpakketten zijn groter dan de geretourneerde pakketten). - Lekensteyn
@Lekensteyn - Ik zag geen discussie voor vervalste IP in die link. Zoals u suggereert, zijn DDoS en vervalste IP buiten deze discussie en ik ben er niet van overtuigd dat DROP voor veel van alles superieur is aan REJECT. DDo's zijn complex en zonder informatie over de oorzaak van de DDos is het onmogelijk om te verdedigen. Ik heb bijvoorbeeld gezien dat WP werd gebruikt als een DDoS en het oplossen van het probleem zit in de juiste configuratie van WP en weinig of niets met iptables te maken. - Panther
ListenAddress lijkt de eenvoudigste en meest elegante oplossing - code_monk


ssh (secure shell) wordt gebruikt voor veilige toegang tot en overdracht van gegevens (gebruikt RSA_KEYS-paar). U kunt op twee manieren toegang krijgen tot gegevens met ssh 1. Commandolijn 2. met behulp van de bestandsbrowser

Commandoregel: hiervoor hoeft u niets te installeren. De eerste taak is inloggen op een andere computer.

ssh other_computer_username@other_computer_ip

Deze opdracht vraagt ​​om een ​​wachtwoord dat het wachtwoord van de andere computer is (voor specifieke gebruikersnaam). U bent zojuist ingelogd op de shell van een andere computer. Denk dat deze terminal lijkt op je computer-schilstation. Je kunt alles met shell doen op een andere computer die je op je computer kunt doen

Bestandsbrowser: u moet openssh-server installeren

sudo apt-get install openssh-server

Ga naar bestand-> connectToServer om in te loggen

enter image description here


1
2018-03-25 18:43



Opdrachtregelrichtingen waren het eerste dat ik probeerde. Ik kon mijn andere computer in zijn LAN IP pingelen. Maar wanneer ik probeer SSH, hangt het. Dus ik neem aan dat ik mijn andere computer moet configureren om SSH-toegang als eerste toe te staan. - klenwell
zorg ervoor dat uw router geen 22-poort of ssh blokkeert - shantanu
bedankt. Ik kende al alles wat je noemde uit ervaring, maar het was een groot gemak om het eenvoudig en gestructureerd van iemand anders te horen. - lakesare