Я прочитал ряд статей о настройке динамического DNS, используя моего провайдера веб-хостинга, чтобы он указывал на мою домашнюю сеть. Это позволило бы мне получить доступ к моему серверу Ubuntu в моей домашней сети, где выполняются запланированные процессы. Инструкции, которые я читаю, включают в себя включение динамического DNS на моем маршрутизаторе.

Мой первый вопрос: позволяет ли включение функции динамического DNS на маршрутизаторе позволить кому-то удаленно подключаться к другим моим компьютерам, кроме сервера, на котором выполняется сценарий динамического DNS?

В идеале я хотел бы разрешить доступ только к одному компьютеру, моему домашнему серверу, на котором будет выполняться сценарий динамического DNS. Кроме того, я хотел бы разрешить удаленный (я определяю удаленный как из-за пределов домашней сети) вход только для некоторых учетных записей. Эти учетные записи будут иметь меньше разрешений. Эти учетные записи нужны только для входа в систему, проверки журналов, устранения неполадок низкого уровня, перепланирования заданий crontab. Возможно, более полезно понять, что эти учетные записи не должны делать. Из этих учетных записей удаленный пользователь не сможет войти в систему как не удаленный пользователь с полными разрешениями. В частности, эти учетные записи не должны запускать "sudo". Это достижимо? Если нет, то есть ли лучший способ ограничить права удаленного пользователя?

В целом, какие дополнительные шаги я могу предпринять для защиты своей домашней сети и компьютеров, если я намерен настроить динамический DNS?

1 ответ1

1

Во-первых, DNS практически не играет роли в безопасности вашего компьютера. Для человека это просто механизм, позволяющий легче находить адрес компьютера (IP-адрес), чем, например, вводить 196.23.15.251. Поэтому добавление DDNS само по себе не рискованно. Сценарий обновления DDNS запускается на вашем компьютере или маршрутизаторе и просто уведомляет DNS-сервер об изменении вашего адреса для доменного имени, которое вы зарегистрировали у поставщика услуги DDNS. Вам не нужно разрешать доступ из Интернета к компьютеру, на котором выполняется сценарий DDNS, он выполняет работу изнутри, никаких "внешних подключений" не требуется.

В качестве примечания: учтите, что большинство атак на ваш компьютер выполняется с помощью сценариев или ботов. Они просто пробуют все известные им возможности, такие как простые пароли для пользователя root или администратора, известные эксплойты на веб-серверах и т.д. Поэтому, если вы хотите "открыть" свою сеть на каком-либо порту, то изучите, как это обезопасить (например, разрешить только доступ по ssh-ключам, а не пароли), но это не связано с DDNS.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .