我家的互联网有一个动态 IP,似乎每天都会变化。我希望我的服务器尽可能安全,所以现在我可以拒绝除我的 IP 地址之外的所有端口 22。
我发现使用控制台访问变得相当烦人,因为每次我的 IP 改变时,我都会从技术上“把自己锁在外面”。
有没有更简单的方法来保护这个端口?
答案1
如果您确实需要静态 IP 地址,请向您的 ISP 索取。您可能需要付费,也可能需要付费,具体取决于 ISP。这是最简单的方法。
除此之外,您可以限制对 ISP 子网的访问,这样您分配的任何 IP 地址都可以使用,但该子网上所有其他 ISP 客户也都可以使用。也许您可以接受 - 但我却不能。
我想说,如果您真的想保护您的 SSH 访问,请使用证书登录而不是密码。 1024 位密码需要很长时间才能破解...
答案2
我觉得我的描述有点遗漏。你的意思是你的内部网络是 DHCP 的,还是你的提供商正在更改你的 IP 地址?
如果你只是想确保你可以通过 SSH 访问你的机器,你可以使用认证密钥而不是密码,并且只授权您的远程机器访问。
我还安装了denyhost,您可以对其进行配置,这样如果有人试图访问您的计算机并且密码输错三次,您的系统就会禁止该IP。它还可以从其他denyhost系统下载黑名单IP列表,您可以配置禁止是永久的还是暂时的。
编辑重新阅读,我想我明白你的问题了...你有一个家庭系统需要访问,你希望它允许从静态 IP 访问,但是你的远程 IP 一直在变化,所以你不能设置一个特定的 IP 来允许你的连接,是吗?
在这种情况下,我上面概述的内容(密钥认证、针对自动脚本更改端口、拒绝主机)应该足够满足您的情况了。
为了通过隐蔽性实现安全性(实际上,它只能帮助防止自动扫描),您可以在防火墙/路由器上将默认端口更改为其他端口。
如果您说您的系统在您的网络中是 DHCP,那么您需要将其配置为具有静态 IP 并将端口转发到该 IP。
答案3
你可以通过动态 DNS 提供商设置一个帐户(例如http://www.dyndns.com),则允许通过主机名而不是 IP 地址进行访问。
除此之外,设置一个 SSH 密钥用于身份验证(http://pkeck.myweb.uga.edu/ssh/) 正如现有答案所建议的那样。