LINUX.ORG.RU
ФорумAdmin

ngrok - безопасно ли делать «проброс» ssh?

 


0

1

Доброй ночи.

Мне тут подсказали интересный инструмент, при помощи которого можно подключиться по SSH к машине за NAT.

https://github.com/inconshreveable/ngrok

В моем случае я делаю так:

ngrok tcp 22

и с другой машины

ssh 0.tcp.ngrok.io -p 11571

Вопрос в том, насколько это безопасно в случае с SSH? Я не специалист, похоже на то, что я собственноручно позволяю сделать «man in the middle».

★★★★★

Сынок, ты что, дурак что ли? Если у тебя NAT - ну и настрой себе в нём доступ к SSH.

anonymous
()
Ответ на: комментарий от mky

Тогда значит проблема в выборе провайдера. Решается другими средствами.

anonymous
()
Ответ на: комментарий от anonymous

Как настроить port forwarding на роутере я в курсе. Но в случае с мобильным интернетом такое не прокатит. А приведенный выше инструмент работает.

P.S. Использование этой программы для меня не является жизненно необходимым. Просто хотел услышать мнение по поводу безопасности.

aquadon ★★★★★
() автор топика
Последнее исправление: aquadon (всего исправлений: 1)
Ответ на: комментарий от aquadon

С мобильным интернетом - ставишь дома OpenVPN сервер на tcp, 443 порту. На мобильном устройстве, ставишь клиент OpenVPN.

anonymous
()

У ssh же есть known_hosts, они защищают от MiM, берёте, генерирует RSA key fingerprint и таскаете его с собой, а при подключении проверяете...

mky ★★★★★
()
Ответ на: комментарий от aquadon

P.S. Использование этой программы для меня не является жизненно необходимым. Просто хотел услышать мнение по поводу безопасности.

Тут скорее удобство - не всякому софту объяснишь про туннель и прокси в нём. C VPN оно как-то надежнее.

anonymous
()
Ответ на: комментарий от mky
ssh-keygen -lf ~/.ssh/id_rsa.pub
2048 SHA256:xu9wpqsMOzEQV+JugyssGMKCU92PQ8b8R2gVbIqGECQ aquadon@dmitry-xps (RSA)
ssh 0.tcp.ngrok.io -p 18199
The authenticity of host '[0.tcp.ngrok.io]:18199 ([52.15.194.28]:18199)' can't be established.
ECDSA key fingerprint is SHA256:+fIAilvbVao9FCLiF63H9mmJ3AXxWxRZpQtK0IY/cOw.
Are you sure you want to continue connecting (yes/no)?

Все плохо, или я чего-то не понимаю и так и должно быть?

aquadon ★★★★★
() автор топика
Последнее исправление: aquadon (всего исправлений: 1)
Ответ на: комментарий от anonymous

Тут скорее удобство - не всякому софту объяснишь про туннель и прокси в нём. C VPN оно как-то надежнее.

Какую еще пользу можно получить от своего VPN сервера, если я соберусь арендовать VPS?

aquadon ★★★★★
() автор топика
Последнее исправление: aquadon (всего исправлений: 1)
Ответ на: комментарий от aquadon

Какую еще пользу можно получить от своего VPN сервера, если я соберусь арендовать VPS?

Если ты соберёшься арендовать VPS для обхода блокировок, то в качестве пользы ты сможешь получить блокировку доступа к своему VPS.(Ты ведь об этом просил проголосовать своего депутата, да?)

anonymous
()
Ответ на: комментарий от anonymous

Если ты соберёшься арендовать VPS для обхода блокировок, то в качестве пользы ты сможешь получить блокировку доступа к своему VPS.(Ты ведь об этом просил проголосовать своего депутата, да?)

Что за бред я прочитал?

aquadon ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Я в том же сообщении написал:

ssh-keygen -lf ~/.ssh/id_rsa.pub
2048 SHA256:xu9wpqsMOzEQV+JugyssGMKCU92PQ8b8R2gVbIqGECQ aquadon@dmitry-xps (RSA)

Это на той машине, к которой я подключаюсь. Или это я не то смотрю?

aquadon ★★★★★
() автор топика
Последнее исправление: aquadon (всего исправлений: 1)
Ответ на: комментарий от aquadon

Что за бред я прочитал?

Я не знаю что ты прочитал, но в РФ с 1го ноября вступили в силу в силу поправки в Федеральный закон «Об информации, информационных технологиях и о защите информации», которые определяют обязанности для владельцев VPN-сервисов, «анонимайзеров» и операторов поисковых систем по ограничению доступа к информации, распространение которой в России запрещено.

anonymous
()
Ответ на: комментарий от aquadon

Или это я не то смотрю?

На удаленной маштне крутится сервер, его ключи скорее всего сидят в /etc/ssh/

Но, для полной параноидальности, ты должен убедиться что отпечаток ключа тот, какой надо через другой канал. Ведь MiM'у же ничего не мешает подставить свои буквы вместо оригинальных.

anonymous
()
Ответ на: комментарий от aquadon

Меня не волнуют проблемы РФ.

тогда вообще можешь не волноваться :)

anonymous
()
Ответ на: комментарий от anonymous

Но, для полной параноидальности, ты должен убедиться что отпечаток ключа тот, какой надо через другой канал. Ведь MiM'у же ничего не мешает подставить свои буквы вместо оригинальных.

Да, это я понимаю. Обе машины передо мной.

ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key.pub
256 SHA256:+fIAilvbVao9FCLiF63H9mmJ3AXxWxRZpQtK0IY/cOw root@dmitry-xps (ECDSA)

Отпечатки совпали. Т.е. такой способ подключения имеет право на жизнь (при условии проверки отпечатков каждый раз)?

aquadon ★★★★★
() автор топика
Ответ на: комментарий от aquadon

Имеет право. Кроме того, SSH-клиент после того как ты согласился на контакт, сохранит данные ключа в ~/.ssh/known_hosts и больше не будет задавать вопросов пока отпечаток не изменится.

anonymous
()
Ответ на: комментарий от anonymous

Но не в этой ситуации. Отпечаток не меняется, но меняется адрес. Насколько я помню, можно настроить чтобы при смене адреса не было паники, но по умолчанию спрашивает.

aquadon ★★★★★
() автор топика
Ответ на: комментарий от aquadon

Странный у вас путь до файла с ключём, если на 22-ом порту у вас висит стандартный sshd сервер, работающий от root'а, то нужно брать файл /etc/ssh/ssh_host_rsa_key.pub или ssh_host_ecdsa_key.pub.

А команде ssh-kegen, возможно, нужно будет дать опцию ″-E sha256″. https://www.lastbreach.com/blog/ssh-public-key-verification-with-fingerprinthash

mky ★★★★★
()
Ответ на: комментарий от mky

Спасибо, уже понял свою ошибку, см. сообщение выше.

aquadon ★★★★★
() автор топика
Ответ на: комментарий от aquadon

но меняется адрес

Там может быть и имя хоста: как попросил ssh подключиться - по имени или IP - так он и запишет.

Если IP динамически меняется, то тебе в любом случае нужен DNS, иначе ты просто не найдёшь свой дом после смены адреса.

То есть тебе нужно сетевое имя какое-то, ddclient и провайдер который умеет с этим работать. Я для этого использую namecheap.com - вроде как наиболее вменяемая по фичам и функционалу контора на сегодня.

anonymous
()

ngrok 2.x is the successor to 1.x and the focus of all current development effort. Its source code is not available.
ngrok 1.x is no longer developed, supported or maintained by its author, except to ensure that the project continues to compile.

Ненужно, есть Tor Hidden Service

deadNightTiger ★★★★★
()
Ответ на: комментарий от deadNightTiger

Он не нужен в данном случае тоже. Человек же не пишет, что ему надо скрывать от Порошенко свои истинные настроения и что он собирается организовывать майданы через интернет. Он просто хочет попасть к себе домой сквозь какого-то в корягу охуевшего провайдыря. А для этого достаточно OpenVPN на 443м порту - этот-то порт никто не решится закрывать.

anonymous
()
Ответ на: комментарий от anonymous

Он просто хочет попасть к себе домой сквозь какого-то в корягу охуевшего провайдыря.

Да нормальный у меня провайдер =) Ситуации разные бывают, полезно иметь в запасе разные варианты.

А для этого достаточно OpenVPN на 443м порту - этот-то порт никто не решится закрывать.

OpenVPN со временем тоже подниму.

aquadon ★★★★★
() автор топика
Последнее исправление: aquadon (всего исправлений: 1)
Ответ на: комментарий от deadNightTiger

Ты не поверишь... Ровно всё то же самое :)

anonymous
()
Ответ на: комментарий от pon4ik

Похоже это моя миссия распространять эту статью.

В пончик себе её засунь с такими комментами:

# Оно живее всех живых!
TCPKeepAlive yes

Задача KeepAlive - убивать соединения, а не то, что думают те, кто его буквально переводит.

anonymous
()
Ответ на: комментарий от anonymous

Ты такой умный, тебе череп не жмёт?(c)

Зачем нужен TCPKeepAlive знающие люди знают, а не знающие запишут в конфиг, оно тут уместно.

Переводчик конечно не осилил достаточно художественный перевод

# It's alliivee (c)

Но это не умаляет достоинства перевода, согласись подобного материала на русском языке очень мало - большинство способных производить подобный контент предпочитают производить процесс дефекации в каментиках на лоре.

pon4ik ★★★★★
()
Ответ на: комментарий от pon4ik

согласись подобного материала на русском языке очень мало

Да лучше бы его вообще не было - там больше воды не по делу

anonymous
()
Ответ на: комментарий от anonymous

Интересное мнение - скинь эталонный материал на эту тему, с твоей точки зрения.

pon4ik ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.