Linux von außen erreichbar machen?

[Hazel4tw]

Hallo,

ich habe eine Linux Maschine die ich von außen erreichbar machen möchte.
Dafür habe ich bei einem dyndns Dienst angemeldet, meine Daten in meinen Router eingegeben.
Ping ich die Adresse meldet sich mein Router.

Nun habe ich eine Regel im Router definiert die den TCP/UDP Port 22 auf meine Maschine zeigen lässt.

Versuche ich nun mit Putty eine SSH Verbindung herzustellen passiert einfach nichts. Keine Fehlermeldung, nur ein schwarzes Putty Fenster.

Warscheinlich habe ich irgendetwas nicht bedacht, ich hoffe ihr könnt mir helfen.

Gruß Hazel

 

[Tolotos]

Läuft auf deiner Linux-Kiste ein ssh Dienst, der auch auf Anfragen an Port 22 hört?

 

[Hazel4tw]

Lokal komme ich auf das Linux drauf.

 

[rumbalotte]

hast du auch angegeben, dass der port 22 von außen auf den port 22 der linux kiste zeigen soll, also nicht nur die IP alleine?

 

[DeusoftheWired]

NAT-Loopback. Du kannst dich nicht vom Rechner im Heimnetz über DynDNS zu einem anderen Rechner im gleichen Heimnetz verbinden. Dafür brauchst du eine Verbindung, die „richtig“ von außen kommt, also zumindest von einer externen IP im WAN.

SSH an einem Privatanschluß einfach so zugänglich zu machen, ist übrigens nicht die beste Idee. Bots klopfen automatisiert sämtliche öffentlichen IPs auf bekannte Einfallstüren wie SSH, FTP etc. ab und probieren Wörterbücher oder brute force, um in schwach gesicherte Zugänge einzudringen.

 

[nVentor]

Sicher, dass kein Firewall-Dienst auf deinem Linux-Rechner blockt?

 

[Hazel4tw]

NAT-Loopback. Du kannst dich nicht vom Rechner im Heimnetz über DynDNS zu einem anderen Rechner im gleichen Heimnetz verbinden. Dafür brauchst du eine Verbindung, die „richtig“ von außen kommt, also zumindest von einer externen IP im WAN.

SSH an einem Privatanschluß einfach so zugänglich zu machen, ist übrigens nicht die beste Idee. Bots klopfen automatisiert sämtliche öffentlichen IPs auf bekannte Einfallstüren wie SSH, FTP etc. ab und probieren Wörterbücher oder brute force, um in schwach gesicherte Zugänge einzudringen.

Hallo,

ohne es im Moment ausprobieren zu können, glaube ich das es der Fehler ist. Wusste nicht das es diese Restriktion gibt.

Meinst du es ist wirklich so gefährlich den SSH Port frei zugeben? Ich mein ich kann ja auch den Port ändern, auf den Linux hört, wenn das sicherer ist .

 

[Sweepi]

Halbwegs ordentliches Passwort sollte doch reichen? Wenn er nur SSH öffnet.

 

[Fruchtnektar]

Schiebe den Port 22 auf einen anderen, deaktiviere den root-Account und nimm einen Nutzer als root-User. Damit hast du 99,8% aller automatisierten Angriffe ausgeschlossen.
Wenn du von außen nicht auf den ssh-Dienst (der hoffentlich läuft) drauf kommst: /etc/ssh/sshd_config (so heißt die Datei unter ArchLinux) editieren. Dort steht drin wer von wo sich anmelden kann/darf (und noch viel, viel mehr interessantes Zeugs).

 

[wannabe_nerd]

Ich empfehle dir DRINGEND wenigstens nicht den Standard-SSH-Port nach außen Freizugeben sondern irgendeinen anderen möglichst weit "oben". Ich hab das mal aus Spaß mit einer VM gemacht... innerhalb von 12 Stunden 3000 Login-Versuche aus China, Russland und Co. sind irgendwann nicht mehr lustig.

Ach und noch ein paar Sachen:

- KEIN root-Login per ssh sondern normaler User --> "sudo"!

- unbedingt fail2ban installieren und entsprechend konfigurieren!

- am Besten kein Passwort login per ssh sondern gleich pupblic/private keys verwenden

Wenn du von alle dem keinen Plan hast, dann google dir erstmal das wichtigste bzgl. "ssh zugang absichern" zusammen

 

[Fruchtnektar]

...innerhalb von 12 Stunden 3000 Login-Versuche aus China, Russland und Co. sind irgendwann nicht mehr lustig.

Bis auf das es Traffic frisst ist es allenfalls nervig in den Log-Files. (in solch einem Fall unbedingt auch Log-Rotate konfigurieren. Nicht dass der Rechner nach einem Jahr den Betrieb einstellt weil auf / kein Space mehr frei ist wg. den Logs).

- KEIN root-Login per ssh sondern normaler User --> "sudo"!

Jupp. Zustimmung.

- unbedingt fail2ban installieren und entsprechend konfigurieren!

Guter Tipp. Nach 10 Fehlversuchen die IP für 1h oder so sperren - löst das oben genannte Log-Problem

- am Besten kein Passwort login per ssh sondern gleich pupblic/private keys verwenden

Bringt Komfort aber nicht unbedingt mehr Sicherheit (bei "vernünftigen" Passpphrases). Wenn die PW-Eingabe abgefangen werden kann dann auch private-Keys auf einem der beiden Clienten.

Alle Annahmen basieren darauf dass der AW nicht root root als Login und PW hat sondern ordentliche User und vernünftige Passwörter nutzt. Definition von vernünftig erspare ich mir da eh jeder wissen sollte was das heißt

 

[wannabe_nerd]

Bis auf das es Traffic frisst ist es allenfalls nervig in den Log-Files.

Ja mag sein, aber ich empfinde es subjektiv trotzdem als unsicher. Lieber einen Port aufmachen, bei dem nicht sofort klar ist, wozu er dient. Die ganzen Bots da draußen die nur Stur die Default-Ports abklappern sind so schon mal außen vor. Eine wie ich finde extrem einfache und effektive Art die allermeisten unberechtigten Loginversuche ins Leere laufen zu lassen.

Alle Annahmen basieren darauf dass der AW nicht root root als Login und PW hat sondern ordentliche User und vernünftige Passwörter nutzt.

Jupp. Zustimmung. ;-)