Cómo hacer ssh de forma segura en una máquina en casa a través de internet

Voy a viajar en breve, y tengo una máquina que se ejecuta ejecuta un montón de trabajos cron, etc. Necesito iniciar sesión de forma remota para verificar los resultados de los trabajos ejecutados y hacer algún trabajo en la máquina.

Aquí están los hechos más destacados:

1. La máquina a conectar (nave nodriza) está ejecutando Ubuntu 14.0.4 LTS
2. La nave nodriza está conectada a Internet a través de una LAN en el hogar, por lo que tiene una dirección IP pública.
3. La dirección IP se asigna dinámicamente.
4. Me conectaré a la nave nodriza usando una computadora portátil con Ubuntu 15.10

Prefiero usar ssh en lugar de VNC, debido a problemas de ancho de banda, además, todo lo que necesito es la línea de comando de todos modos.

¿Cuál es la mejor manera de conectarse de forma segura y remota a mi máquina?

Su mejor opción es probablemente ejecutar un servidor SSH en un puerto no predeterminado, como 2020. Esto evita la mayoría de los intentos de ataques de fuerza bruta desde la web, ya que estos bots tienden a buscar solo en los puertos predeterminados.

También deberá asignar al servidor una dirección IP estática en la LAN, ya que debe estar accesible en todo momento. Puedes configurar esto System Settings --> Network. Para evitar conflictos de direcciones IP, también es recomendable que le diga a su servidor DHCP (el enrutador en la mayoría de los casos) que esta dirección IP está tomada. El método varía según el modelo, pero debe haber un área en algún lugar de la configuración del enrutador que le permita reservar direcciones IP.

La razón de la IP estática es que necesita configurar el reenvío de puertos en la configuración de su enrutador. Esto permite que las conexiones del puerto a su IP externa se enruten a ese puerto en su servidor.

Si su dirección IP pública es dinámica, lo que probablemente sea, querrá configurar algún tipo de servicio DNS dinámico. Mi recomendación para este servicio es No-IP . Le proporciona un subdominio gratuito que siempre apunta a su IP pública. Esta configuración requiere la instalación de un programa en una máquina siempre encendida en su LAN (llamada DUC, proporcionada por No-IP).

Una vez que haya configurado el servidor SSH como desee, ingrese SSH ingresando

ssh user@remotehostip -p XXX

o usando cualquier cliente SSH / SFTP que prefiera.

Si alguna de estas secciones necesita instrucciones más detalladas, comente y las agregaré.

Si alguien más tiene problemas para seguir, aquí hay una sala de chat que tiene pasos adicionales / más detallados: http://chat.stackexchange.com/rooms/37251/discussion-between-homunculus-reticulli-and-zacharee1

Además de la respuesta de Zacharee1, debe instalar Fail2ban o DenyHosts (obtenga el .deb de los repositorios precisos). No debe autenticarse con claves si viaja. Use una contraseña "segura" también. Tal vez configure una cuenta de usuario dedicada con acceso reducido para las veces que no necesite ser administrador.

No tocaría la configuración de red en el servidor, la IP estática se puede asignar desde el enrutador. La dirección IP del enrutador debe ser la dirección de "puerta de enlace" asignada en DHCP. En los casos en que no lo es (!), La dirección predeterminada debe escribirse debajo de ella en alguna parte. Si ha cambiado esto, debería haber dejado solo el último valor. Entonces, si tiene una red doméstica de clase C, la dirección será abcx, donde abc coincide con todas sus otras direcciones IP y x es el valor final de la etiqueta de su enrutador. El ISP debe tener páginas de ayuda para eso en cualquier caso.

Cuando use un puerto no estándar, evite '22' como dígitos finales (8122, por ejemplo). Deja pistas.

NÓTESE BIEN. puede acceder a aplicaciones basadas en X a través de SSH sin VNC, otro tema completamente diferente.