Question:
Quel est le moyen le plus simple d'accéder en toute sécurité à mon Raspi depuis Internet?
user3315730
2014-04-07 13:55:06 UTC
view on stackexchange narkive permalink

Soit à partir de mon ordinateur portable ou de ma tablette andoid, j'ai pensé d'abord que le transfert de port et la paire de clés pour SSH seraient bons, mais en vain je me suis perdu. D'ailleurs Openvpn me semble beaucoup pour mon usage personnel? Je cherche un conseilMerci

Cinq réponses:
#1
+3
Piotr Kula
2014-04-07 14:02:52 UTC
view on stackexchange narkive permalink

OpenSSH est conçu pour être le moyen le plus sûr d'accéder à votre machine.

Quand je dis tunnel, je veux dire connectez-vous à la console via un tunnel crypté, où vous pouvez également vous connecter en utilisant SFTP sur le port 22, rediriger les ports locaux vers votre machine pour donner l'impression que vous étiez à la machine en surfant ailleurs dans le monde, redirigez l'application X mais dans sa forme la plus simple, connectez-vous à la console en tant que root ou autre utilisateur.

Cela dépend de ce que vous voulez pour vous connecter au raspi? Afficher les pages Web comme si vous étiez à l'intérieur du LAN? Donc pas de port 80 transmis à Internet? Il faut un peu de configuration, mais regardez ce tutoriel. Fondamentalement, le client crée un proxy chez vous (en dehors de chez vous) et tout ce que vous voulez accéder à votre télécommande (la machine à la maison) passe par le poxy, dans le tunnel et être routé sur le Pi.

Au moins, vous devez ouvrir le port 22 sur le Pi et il serait recommandé d'utiliser des clés, mais si vous utilisez un bon mot de passe, cela suffit aussi.

#2
+3
earthmeLon
2015-06-16 09:20:45 UTC
view on stackexchange narkive permalink

Utiliser ssh pour accéder en toute sécurité à votre Raspbery Pi

ssh est un client qui interagit avec les serveurs ssh . OpenSSH est utilisé sur de nombreuses distributions Linux pour faire office de serveur.

Installation de openssh-server

Vraiment, cela devrait déjà être installé.

  • sudo apt-get install openssh-server #debian
  • sudo pacman -S openssh #archlinux

Configurer le client

Créer des clés

Le client utilisera une paire de clés publiques / privées pour l'authentification. Il est important que vous sauvegardiez la clé. Vous fournirez votre clé publique aux autres.

  • ssh-keygen -t rsa -b 4096

On vous le demandera comment nommer cette paire de clés. Dans cet exemple, nous utiliserons pi-rsa , qui créera pi-rsa et pi-rsa.pub . Il est important de comprendre que le fichier sans aucune extension doit rester privé , tandis que le .pub doit être donné à d'autres personnes .

  [meLon @ freyja] ~ $ ssh-keygen -t rsa -b 4096Génération d'une paire de clés rsa publique / privée.Entrez le fichier dans lequel enregistrer la clé (/home/meLon/.ssh/id_rsa): / home / meLon /. ssh / pi-rsa Saisissez la phrase de passe (vide si aucune phrase de passe): saisissez à nouveau la même phrase de passe: votre identification a été enregistrée dans /home/meLon/.ssh/pi-rsa.Votre clé publique a été enregistrée dans /home/meLon/.ssh /pi-rsa.pub.

Configuration de ssh

Ensuite, vous définirez un hôte et comment vous y connecter (votre pi).

  • vim ~ / .ssh / config

>

  Hôte rpiHostname 192.168.1.115User piPubKeyAuthentication yesIdentityFile /home/meLon/.ssh/pi-rsaForwardX11 yesIdentitiesOnly yesForwardAgent non  

Configuration de votre clé comme informations d'identification

Vous devez maintenant donner la clé publique au serveur sur lequel vous souhaitez vous authentifier. Cela se fait en ajoutant la clé publique aux authorized_keys du serveur distant pour l'utilisateur. Il se trouve dans ~ / .ssh / allowed_keys . Chaque clé est une seule ligne et peut être modifiée manuellement, ou via ssh-copy-id.

  • ssh-copy-id -i / home / meLon / .ssh / pi-rsa.pub rpi

Parce que nous avons configuré et défini rpi dans notre ~ /. ssh / config , il se connectera au Raspberry Pi.


Suppression de PasswordAuthentication de votre serveur

Il est recommandé d'utiliser des clés pour vous authentifier via ssh , et il est très facile de désactiver les mots de passe maintenant que vous avez configuré votre clé. Rappelez-vous, c'est de retour sur le Raspberry Pi lui-même.

  • sudo vim / etc / ssh / sshd_config

Find PasswordAuthentication et assurez-vous qu'il indique:

  PasswordAuthentication no  

Connectez-vous à votre Raspberry Pi

  • ssh rpi
  • ssh some_user @ rpi

Envoyez un fichier à votre Raspberry Pi

  • scp ~ / Downloads / download.iso rpi: # To home directory
  • scp ~ / Downloads / download.iso rpi: Downloads / # Vers Téléchargements dans la maison
  • scp ~ / Downloads / download.iso rpi: / home / meLon / Downloads / # Chemin complet

  • scp -r ~ / Downloads / rpi: # Envoyer récursivement le répertoire

Notes

  • Assurez-vous d'avoir changé le mot de passe du compte pi . Cela peut être fait via un terminal avec passwd .
  • Cela devrait être bon pour un réseau local, mais si vous allez y accéder depuis Internet, vous voudrez peut-être en savoir un peu plus pour sécuriser votre pi.
  • #3
    +2
    tamberg
    2016-04-28 00:59:34 UTC
    view on stackexchange narkive permalink

    Un moyen simple d'activer un accès Web ou SSH sécurisé à votre Raspberry Pi sans redirection de port consiste à utiliser un service de relais comme https://ngrok.com/ ou https: // pagekite .net / ou https://yaler.net/

    Si je comprends bien, ces services de relais ont besoin d'un logiciel client s'exécutant derrière le pare-feu, qui maintient un tunnel ouvert vers le serveur de relais exploité par le fournisseur de services. Les demandes entrantes vers la machine derrière le pare-feu (c'est-à-dire les demandes provenant de l'Internet public) sont acheminées depuis ce serveur relais vers le logiciel client exécuté derrière le pare-feu.
    Exactement. Le "logiciel client" sur le périphérique est assez petit et l'établissement de liaison initial entre celui-ci et le relais est transparent pour le serveur local qui écoute localhost.
    #4
      0
    SmartHomeBeginner
    2014-04-07 18:05:22 UTC
    view on stackexchange narkive permalink

    Je pense que la configuration du VPN est peut-être exagérée. Mais cela dépend aussi de ce que vous voulez faire. Si vous nous indiquez votre objectif, nous pourrons peut-être mieux vous aider.

    Avec SSH, je peux faire la plupart des choses que je veux faire à distance sur mon RPi. Juste pour développer la réponse de ppumkin, voici un flux de travail rapide pour vous (bien sûr, vous le savez peut-être déjà mais peut aider les autres):

    1. Configurer SSH sur RPi (je recommande de changer le SSH par défaut port 22 à autre chose pour la sécurité). Nous l'appellerons ZZZZ.
    2. Si vous ne l'avez pas déjà fait, changez le nom d'utilisateur et surtout le mot de passe en quelque chose de fort. De nombreuses distributions RPi sont livrées avec des noms d'utilisateur et des mots de passe par défaut.
    3. Redémarrez votre RPi.
    4. Configurez la redirection de port sur votre routeur ou votre passerelle - dirigez le numéro de port SSH vers l'adresse IP interne de Raspberry Pi
    5. Si vous avez un domaine nom pointé vers l'adresse IP externe de votre réseau, vous pouvez utiliser cet hôte ou utiliser l'adresse IP externe. Connectez-vous via SSH en utilisant l'hôte (domaine ou IP externe), le numéro de port SSH, le nom d'utilisateur et le mot de passe. Sous Windows, vous pouvez utiliser PuTTY. Pour accéder aux fichiers, vous pouvez utiliser SFTP via Filezilla.
    Merci à vous deux pour vos réponses. Cela m'aide beaucoup. Mon objectif est simple. Mon Raspi prend chaque jour une vidéo sur un site lointain et me l'envoie via Dropbox. Cela fonctionne bien. Mais je souhaite pouvoir depuis ma place principale à l'extérieur via internet intervenir de temps en temps pour modifier certains paramètres et visualiser d'autres instantanés pris par le Raspi, mon Raspi serait le serveur et mon ordinateur portable et ma tablette les seuls clients. Je pense que je n’ai pas besoin d’OpenVpn pour cela. Mais grâce à SSH en changeant le port et avec un mot de passe fort comme vous le suggérez, sera-t-il suffisamment sécurisé?
    Eh bien, le mieux serait avec les clés SSH et avec un mot de passe fort. Cela, à mon avis, vous donnera la meilleure protection. Mais j'ai eu juste un mot de passe fort sans clé sur mon serveur domestique depuis 6 ans maintenant sans aucun problème de sécurité.
    #5
      0
    d586
    2014-04-07 22:29:00 UTC
    view on stackexchange narkive permalink

    Si vous voulez être paranoïaque, vous pouvez avoir une authentification à 2 facteurs à l'aide de l'application Google Authenticator.

    En savoir plus ici http://www.raspberrypi.org/forums/viewtopic.php?f = 29&t = 61993

    Ce n'est peut-être pas le moyen le plus simple - mais j'ai trouvé les certificats plus difficiles.

    Je peux également signaler que j'ai détecté que les scanners utilisent maintenant parfois l'utilisateur 'pi' lors de la tentative de ssh sur mon serveur Web. Malheureusement, je ne peux pas changer le numéro de port là-bas, mais je bloque l'adresse IP source après deux tentatives infructueuses.



    Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
    Loading...