Domanda:
Qual è il modo più semplice per accedere in modo sicuro al mio Raspi da Internet?
user3315730
2014-04-07 13:55:06 UTC
view on stackexchange narkive permalink

Sia dal mio laptop che dal mio tablet andoid pensavo che prima il port forwarding e la coppia di chiavi per SSH andassero bene ma non mi sono perso .. Pensando che sia più facile ho provato anche Openvpn ma non ci sono riuscito neanche. Inoltre Openvpn sembra molto per il mio uso personale? Sto cercando un consiglio, grazie

Cinque risposte:
#1
+3
Piotr Kula
2014-04-07 14:02:52 UTC
view on stackexchange narkive permalink

OpenSSH è progettato per essere il modo più sicuro per entrare nella tua macchina.

Quando dico tunnel, intendo connettersi alla console tramite un tunnel crittografato, dove puoi anche connetterti usando SFTP sulla porta 22, reindirizzare le porte locali nella tua macchina per far sembrare che tu fossi al macchina mentre navighi da qualche altra parte nel mondo, reindirizza l'applicazione X ma nella sua forma più semplice, accedi alla console come root o un altro utente.

Dipende da cosa vuoi connetterti al raspi? Visualizzare le pagine web come se fossi all'interno della LAN? Quindi nessuna porta 80 inoltrata a Internet? Ci vuole un po 'di configurazione, ma guarda questo tutorial. Fondamentalmente il client crea un proxy nel tuo locale (fuori casa) e tutto ciò a cui vuoi accedere al tuo remoto (la macchina a casa) passa tramite il poxy, nel tunnel e vieni instradato sul Pi.

Almeno devi aprire la porta 22 al Pi e sarebbe consigliabile usare le chiavi, ma se usi una buona password, anche questo è sufficiente.

#2
+3
earthmeLon
2015-06-16 09:20:45 UTC
view on stackexchange narkive permalink

Usare ssh per accedere in modo sicuro al tuo Raspbery Pi

ssh è un client che interagisce con i server ssh . OpenSSH viene utilizzato su molte distribuzioni Linux per fungere da server.

Installazione di openssh-server

In realtà, dovrebbe essere già installato.

  • sudo apt-get install openssh-server #debian
  • sudo pacman -S openssh #archlinux

Configura il client

Creazione di chiavi

Il client utilizzerà una coppia di chiavi pubbliche / private per l'autenticazione. È importante salvaguardare la chiave. Fornirai ad altri la tua chiave pubblica.

  • ssh-keygen -t rsa -b 4096

Ti verrà chiesto come denominare questa coppia di chiavi. In questo esempio, useremo pi-rsa , che creerà pi-rsa e pi-rsa.pub . È importante capire che il file senza alcuna estensione deve essere mantenuto privato , mentre il .pub deve essere dato ad altri .

  [meLon @ freyja] ~ $ ssh-keygen -t rsa -b 4096 Generazione della coppia di chiavi rsa pubblica / privata. Inserisci il file in cui salvare la chiave (/home/meLon/.ssh/id_rsa): / home / meLon /. ssh / pi-rsa Inserisci passphrase (vuota per nessuna passphrase): inserisci di nuovo la stessa passphrase: la tua identificazione è stata salvata in /home/meLon/.ssh/pi-rsa La tua chiave pubblica è stata salvata in /home/meLon/.ssh /pi-rsa.pub.

Configuring ssh

Successivamente, definirai un host e come connetterti ad esso (il tuo pi).

  • vim ~ / .ssh / config

>

  Host rpiHostname 192.168.1.115User piPubKeyAuthentication yesIdentityFile /home/meLon/.ssh/pi-rsaForwardX11 yesIdentitiesOnly yesForwardAgent no  

Impostazione della chiave come credenziali

Ora, dovrai fornire la chiave pubblica al server su cui desideri autenticarti. Questo viene fatto aggiungendo la chiave pubblica alle authorized_keys del server remoto per l'utente. Si trova in ~ / .ssh / authorized_keys . Ogni chiave è una riga singola e può essere modificata manualmente o tramite ssh-copy-id.

  • ssh-copy-id -i / home / meLon / .ssh / pi-rsa.pub rpi

Perché abbiamo impostato e definito rpi nel nostro ~ /. ssh / config , si connetterà al Raspberry Pi.


Rimozione di PasswordAuthentication dal tuo server

Si consiglia di utilizzare le chiavi per autenticarsi su ssh ed è molto facile disabilitare le password ora che hai impostato la tua chiave. Ricorda, questo è di nuovo sullo stesso Raspberry Pi.

  • sudo vim / etc / ssh / sshd_config

Trova PasswordAuthentication e assicurati che sia indicato:

  PasswordAuthentication no  

Connettiti al tuo Raspberry Pi

  • ssh rpi
  • ssh some_user @ rpi

Invia un file al tuo Raspberry Pi

  • scp ~ / Downloads / download.iso rpi: # Alla home directory
  • scp ~ / Downloads / download.iso rpi: Downloads / # To Downloads in home
  • scp ~ / Downloads / download.iso rpi: / home / meLon / Downloads / # Percorso completo

  • scp -r ~ / Downloads / rpi: # Invia ricorsivamente la directory

Note

  • Assicurati di aver cambiato la password dell'account pi . Questo può essere fatto tramite un terminale con passwd.
  • Questo dovrebbe essere buono per una LAN, ma se hai intenzione di accedervi da Internet, potresti volerlo impara un po 'di più per proteggere il tuo pi greco.
  • #3
    +2
    tamberg
    2016-04-28 00:59:34 UTC
    view on stackexchange narkive permalink

    Un modo semplice per abilitare l'accesso Web o SSH sicuro al tuo Raspberry Pi senza port forwarding è utilizzare un servizio di inoltro come https://ngrok.com/ o https: // pagekite .net / o https://yaler.net/

    Se ho capito bene, questi servizi di inoltro richiedono un software client in esecuzione dietro il firewall, che mantiene un tunnel aperto al server di inoltro gestito dal fornitore di servizi. Le richieste in arrivo alla macchina dietro il firewall (cioè le richieste dall'Internet pubblica) vengono instradate da questo server di inoltro al software client in esecuzione dietro il firewall.
    Esattamente. Il "software client" sul dispositivo è piuttosto piccolo e l'handshake iniziale tra esso e il relay è trasparente per il server locale che ascolta localhost.
    #4
      0
    SmartHomeBeginner
    2014-04-07 18:05:22 UTC
    view on stackexchange narkive permalink

    Penso che configurare una VPN possa essere eccessivo. Ma dipende anche da cosa vuoi fare. Se ci fai sapere qual è il tuo scopo, potremmo essere in grado di aiutarti meglio.

    Con SSH sono in grado di fare la maggior parte delle cose che voglio fare da remoto sul mio RPi. Solo per espandere la risposta di ppumkin, ecco un rapido flusso di lavoro per te (ovviamente potresti già saperlo ma potrebbe aiutare gli altri):

    1. Imposta SSH su RPi (consiglio di cambiare l'SSH predefinito porta 22 a qualcos'altro per sicurezza). Lo chiameremo ZZZZ.
    2. Se non lo hai già fatto, cambia il nome utente e soprattutto la password con qualcosa di forte. Molte distribuzioni RPi vengono fornite con nomi utente e password predefiniti.
    3. Riavvia il tuo RPi.
    4. Imposta il port forwarding sul tuo router o gateway: indirizza il numero della porta SSH all'indirizzo IP interno di Raspberry Pi
    5. Se hai un dominio nome puntato verso l'IP esterno della tua rete puoi usare quell'host o usare l'IP esterno. Connettiti tramite SSH utilizzando host (dominio o IP esterno), numero di porta SSH, nome utente e password. Su Windows potresti usare PuTTY. Per accedere ai file, puoi eseguire SFTP tramite Filezilla.
    Grazie ad entrambi per le vostre risposte Mi sta aiutando molto Il mio scopo è semplice. Il mio Raspi registra ogni giorno un video su un sito lontano e me lo invia tramite Dropbox. Funziona bene. Ma desidero poter dal mio posto esterno principale tramite internet intervenire di volta in volta per modificare alcuni parametri e visualizzare altre istantanee scattate dal Raspi. Il mio Raspi sarebbe il server e il mio laptop e tablet gli unici client. Penso di non aver bisogno di OpenVpn per questo. Ma attraverso SSH cambiando la porta e con una password complessa come suggerisci, sarà abbastanza sicuro?
    Bene, la cosa migliore sarebbe con le chiavi SSH e anche con un passcode forte. Questo secondo me ti darà la protezione più forte. Ma ho solo una password complessa senza chiavi sul mio server di casa da 6 anni senza problemi di sicurezza.
    #5
      0
    d586
    2014-04-07 22:29:00 UTC
    view on stackexchange narkive permalink

    Se vuoi essere paranoico puoi avere l'autenticazione a 2 fattori utilizzando l'app Google Authenticator.

    Leggi di più qui http://www.raspberrypi.org/forums/viewtopic.php?f = 29&t = 61993

    Forse non è il modo più semplice, ma ho trovato i certificati più difficili.

    Posso anche segnalare che ho rilevato che gli scanner ora usano occasionalmente l'utente 'pi' durante il tentativo di ssh sul mio server web. Sfortunatamente non posso cambiare il numero di porta lì, ma blocco l'IP di origine dopo due tentativi falliti.



    Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
    Loading...