我想将我的旧笔记本电脑改造成家庭 Linux SSH 服务器,能够通过使用 Termux 建立 SSH 连接通过互联网从我的手机访问我的所有文件。
问题是我想要用作 SSH 服务器的笔记本电脑位于没有静态 IP 地址的家用路由器后面。此外,我的家庭网络中有很多不太懂技术的人(身份证明:我的家人),因此家庭网络安全应该坚如磐石。
出于这个原因,我不喜欢在我的家庭路由器上执行端口转发:我不想有安全风险,也不希望我的网络因为试图破坏我转发的 SSH 端口的机器人而变慢。
我的问题是:还有其他方法可以远程连接到我家里的机器吗?无需直接转发端口?
我听说使用 VPN 服务可以做一些事情,而且我愿意为此支付每月费用,但我真的不知道如何使用 VPN 服务(如 Nord VPN)远程连接到我的家庭网络或直接连接到我的 SSH 服务器。
答案1
出于这个原因,我不喜欢在我的家庭路由器上执行端口转发:我不想有安全风险,也不希望我的网络因为试图破坏我转发的 SSH 端口的机器人而变慢。
安全风险来自服务本身,而不是一般的端口转发。也就是说,机器人可以仅有的继续攻击您的 SSH 服务,但他们无法“绕过它”进入您的网络的其余部分。
(并且,常规机器人流量通常每天有几百个连接——不是每分钟 – 因此平均速度仍在 kB/s 范围内。如果您的家庭网络上行链路无法处理它,那么它也无法处理您的文件传输。)
我听说使用 VPN 服务可以做一些事情,而且我愿意为此支付每月费用,但我真的不知道如何使用 VPN 服务(如 Nord VPN)远程连接到我的家庭网络或直接连接到我的 SSH 服务器。
如果您指的是商业的、以隐私为导向的 VPN 服务,那么可以,这有时是您可以请求的额外功能。通常,此类 VPN 服务会完全阻止传入连接并经常更改您的指定地址,但对于某些提供商,您可以请求相同类型的“端口转发”(将静态地址上的单个端口路由到您的 VPN 客户端计算机)或为 VPN 客户端请求整个专用 IP 地址。只要您的家庭服务器保持与 VPN 的连接,它就能够通过该隧道接收入站连接。
(NordVPN)不提供此项,尽管他们给出的解释不太正确。)
但要明确的是,如果您希望可以从任何地方访问该服务(即不需要特殊的客户端ssh <ip>),那么它确实可以从任何地方访问无论是否使用 VPN– 如果您可以连接到 VPN 提供商发布的地址,那么机器人也可以。此类 VPN 服务会很乐意将暴力破解尝试转发到您的主服务器。
这里有用的是稍微不一样VPN 服务类型——家庭服务器和漫游客户端可以连接到同一个 VPN,并成为其自己的隔离网络的一部分。这可以是自托管 VPN(例如在非具有公共 IP 地址的 -home VPS)或半集中式服务(例如 Tailscale 或 ZeroTier)。缺点是,您必须连接到 VPN 以访问您的家庭网络。
(安全方面,您仍然需要向外界公开一项服务(VPN 服务器),但与公开 SSH 相比,您在服务如何响应未经身份验证的连接方面具有更大的灵活性;例如,WireGuard 服务器(或带有 HMAC 密钥的 OpenVPN)甚至不会响应第一个数据包,这比 SSH 占用的资源更少。)
这可能也适用于一些商业“隐私”VPN 服务,尽管据我所知,它们通常会阻止客户端到客户端的通信。
答案2
如果您使用云存储解决方案(例如 Dropbox 或 OneDrive,但还有更多),则不需要 VPN 或端口转发。
许多云存储服务都有慷慨的免费帐户,但也有便宜的付费计划。有时人们会在网上找到终身订阅的特别优惠(我实际上订阅了三种这样的服务)。