Я думаю, что многие люди могут быть в моей ситуации. Я путешествую по бизнесу с ноутбуком. И мне нужен безопасный доступ к файлам из офиса (который в моем случае мой дом).
Краткая версия моего вопроса:
Как я могу сделать SSH/SFTP действительно безопасным, когда только один человек должен подключиться к серверу с одного ноутбука? В этой ситуации, какие специальные шаги сделали бы практически невозможным для кого-либо еще доступ к серверу онлайн?
Намного больше деталей:
Я использую Ubuntu Linux на своем ноутбуке (KDE) и на домашнем / офисном сервере. Связь не проблема. При необходимости я могу подключиться к своему телефону. Мне нужен доступ к большому количеству файлов (около 300 ГБ). Мне не нужны все они сразу, но я заранее не знаю, какие файлы мне могут понадобиться. Эти файлы содержат конфиденциальную информацию о клиенте и личную информацию, такую как номера кредитных карт, поэтому они должны быть защищены.
Учитывая это, я не хочу хранить все эти файлы в Dropbox, Amazon AWS или аналогичных. В любом случае, я не смог бы оправдать эту стоимость (Dropbox даже не публикует цены на планы свыше 100 ГБ, и безопасность вызывает беспокойство). Тем не менее, я готов потратить немного денег на правильное решение. Сервис VPN, например, может быть частью решения? Или другие коммерческие услуги? Я слышал о PogoPlug, но я не знаю, есть ли подобный сервис, который мог бы решить мои проблемы безопасности?
Я мог бы скопировать все свои файлы на свой ноутбук, потому что там есть место. Но затем я должен синхронизировать между моим домашним компьютером и ноутбуком, и в прошлом я обнаружил, что я не очень хорош в этом. И если мой ноутбук потерян или украден, мои данные будут на нем. Диск ноутбука является SSD, а решения для шифрования SSD-дисков не годятся.
Поэтому, кажется, лучше хранить все мои данные на моем файловом сервере Linux (который безопасен дома).
Это разумный вывод, или что-либо, связанное с Интернетом, представляет собой такой риск, что я должен просто скопировать данные на ноутбук (и, возможно, заменить SSD на жесткий диск, что сокращает время автономной работы и производительность)?
Я считаю, что риск потери ноутбука выше. Я не являюсь очевидной целью взлома онлайн. Мой домашний широкополосный интернет - это кабельный Интернет, и он кажется очень надежным. Поэтому я хочу знать лучший (разумный) способ безопасного доступа к моим данным (с моего ноутбука) в дороге.
Мне нужно получить к нему доступ только с этого одного компьютера, хотя я могу подключиться либо к 3G/4G моего телефона, либо через WiFi, либо к широкополосному каналу какого-либо клиента и т.д. Поэтому я заранее не знаю, какой у меня будет IP-адрес.
Я склоняюсь к решению на основе SSH и SFTP (или аналогичных). SSH/SFTP обеспечит все функции, которые мне нужны. Я хотел бы использовать SFTP и Dolphin для просмотра и загрузки файлов. Я буду использовать SSH и терминал для всего остального.
Мой файловый сервер Linux настроен с OpenSSH. Я думаю, что у меня относительно безопасный SSH. Я тоже использую Denyhosts. Но я хочу пойти еще дальше. Я хочу, чтобы кто-нибудь мог получить доступ к моему серверу как можно ближе к нулю, но при этом получить доступ с дороги.
Я не сисадмин, не программист и не настоящий "суперпользователь". Я должен проводить большую часть своего времени, занимаясь другими делами. Я слышал о "стуке портов", но никогда не использовал его и не знаю, как это реализовать (хотя я готов учиться).
Я уже прочитал ряд статей с такими названиями, как:
- 20 лучших рекомендаций по безопасности для серверов OpenSSH
- 20 Linux Server Советы по усилению безопасности
- Debian Linux Stop SSH User Hacking / Cracking Атаки с помощью программного обеспечения DenyHosts
- Больше...
Эти статьи упоминают такие вещи, как
- Используйте DenyHosts
- Установите параметр AllowUsers в /etc /ssh /sshd_config, чтобы разрешить подключение только определенным пользователям.
- Отключить root-входы через SSH.
- Использовать аутентификацию с открытым ключом и запретить вход по паролю
- и многое другое.
Я делаю все вышеперечисленное (и еще немного). Но я не реализовал каждую вещь, о которой я читал. Я, вероятно, не могу этого сделать.
Но, может быть, в моей ситуации есть что-то еще лучше, потому что мне нужен доступ только с одного ноутбука. Я всего лишь один пользователь. Мой сервер не должен быть доступен для широкой публики. Учитывая все эти факты, я надеюсь, что смогу получить некоторые предложения, которые я могу реализовать и использовать эти факты для создания гораздо большей безопасности, чем предложения общего назначения в статьях выше.
Одним из примеров является стук в порт. Это кажется идеально подходящим для моей ситуации. Что еще там по этим направлениям?