Рейтинг:0

Нужно ли разрешать ssh v6?

флаг ru

я побежал

sudo ufw разрешить с <IPv4> proto tcp на любой порт 22.

Но это привело к разрешению ssh из любого места на ssh v6. Это немного не то, чего я хотел, поэтому я sudo ufw удалить <sshv6-rule-index>.

Теперь я не уверен, хотя, если я сделал правильно. Нужно ли повторно добавлять правило ssh v6, если я хочу ограничить доступ по ssh только с определенных хостов?

Проблема в том, что я захожу в основном из своего дома, который находится у провайдера без фиксированного IP-адреса, как это обычно бывает. Я ввел широкий диапазон подсети для правила IPV4 (у меня есть дополнительный статический адрес, который я добавил в качестве резервного, чтобы избежать блокировки), но я не знаю, как это сделать для правила IPV6...

Я пытаюсь обезопасить как можно больше ssh-доступа к серверу. Я мог бы просто разрешить только через другой статический адрес, которым я владею, и использовать его в качестве узла перехода, безусловно, было бы более безопасным, но это увеличило бы задержку (хостинг в стране, соблюдающей конфиденциальность, так далеко...), а также разрешение доступа к одному хосту кажется только высоким риском блокировки (я должен быть в состоянии доверять моему другому хостингу со статическим адресом, но я параноик... что вы можете сделать...).

Предложения?

Paul avatar
флаг cn
Предполагая, что у вас есть доступ к виртуальной консоли, лучшим вариантом будет разрешить только те IP-адреса, с которых вы подключаетесь. Нормальным поведением при назначении динамического IP-адреса по месту жительства является нечастое изменение назначенного IP-адреса.
transient_loop avatar
флаг ru
Спасибо @Paul, но я не уверен, что понимаю. Вы имеете в виду явное ограничение на мой собственный IP-адрес? Я знаю, что мой провайдер ДЕЙСТВИТЕЛЬНО меняет IP время от времени.
Paul avatar
флаг cn
Да, именно поэтому вы должны быть уверены, что у вас есть другой способ доступа к серверу. Большинство интернет-провайдеров предлагают виртуальную консоль, с помощью которой вы можете напрямую войти на сервер и обновить брандмауэр.
transient_loop avatar
флаг ru
О, я наконец понял "виртуальную консоль". Похоже, что хостинг имеет некоторую поддержку для этого, но ее нужно запрашивать при необходимости. Так что, я думаю, это работает (если только у меня не проблемы с реальным временем, я думаю...). Кроме того, могу ли я оставить доступ к v6 SSH полностью отключенным?
Paul avatar
флаг cn
Перед настройкой убедитесь, что вы можете получить доступ к консоли и войти на сервер. Цель разрешения — запретить доступ ко всему, на что не предоставлено разрешение.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.