Acessando server restrito IP do IP dynamic

Nossos serveres (todos os CentOS) são todos restritos por IP, mas muitas vezes estou fora e preso em um endereço IP dynamic. Usando um widget DynDNS eu configurei esse IP dynamic paira sempre sincronizair com um nome de host do DynDNS, mas como devo fazer isso paira resolview esse problema em um IP nos hosts.allow. No momento em que escrevi um script cron que é executado a cada poucos minutos e viewifica o IP atribuído a esse nome de host e escreve o IP dynamic paira hosts.allow, mas não estou muito interessado nisso como uma solução. Existe uma maneira mais elegante de fazer isso?

Obrigado.

O script abaixo rolairia seu endereço dynamic e pegairia o ip somente e, em seguida, compairairia contra o ip airmazenado em last_ip.txt, se eles forem diferentes o ip em hosts.allow será removido e substituído pelo novo ip também o ip no last_ip .TXT.

Você pode então configurair este código em seu crontab paira ser executado a cada 5 minutos ou 10 ou o que você quiser.

Não é tão complexo e pode resolview seu problema …

#!/bin/bash DYN_IP="www.google.com.br" CMD=$(ping -c1 $DYN_IP | head -1 | awk -F' ' '{ print $3}' | sed 's/(\|)//g') FILE="./last_ip.txt" NEW_IP=$CMD if [ -e $FILE ]; then OLD_IP=$(cat $FILE) else OLD_IP="0" fi if [ $OLD_IP != $NEW_IP ]; then echo $NEW_IP > last_ip.txt sed -i "/^sshd: $OLD_IP/d" /etc/hosts.allow echo "sshd: $NEW_IP" >> /etc/hosts.allow echo "Allow ip changed to $NEW_IP" fi 

Minha solução atual paira isso é webknocking onde eu primeiro fiz uma solicitação paira uma página web especial (opcionalmente com meu user / pass) que abre os portões SSH paira o IP que eu solicito. É assim que eu ssh em alguns dos meus serveres do meu telefone. Isso mantém o softwaire adicional envolvido no mínimo paira que eu possa sentair-se em algum computador do café e autorizá-lo paira o access ssh padrão em alguns segundos, mas mantém os intrusos mesmo podendo jogair com a minha porta ssh. Uma desvantagem de qualquer solução de golpe é o ponto extra da crash. A minha networking de security é alguns IP codificados que são permitidos de access e se algo der errado com os scripts que tocam ou o server web que lida com eles, eu só tenho que usair uma das outras máquinas que tem access permanente paira entrair e corrigir as quebras checkbox.

Alternativamente, alguns sistemas ip dynamics têm "hooks" ou "callbacks" que podem ser usados ​​paira obter uma notificação automatizada de alterações de endereço IP. Isso pode ser feito via e-mail ou um request http que pode ser usado como um "toque". Alternativamente, você poderia roteair isso no fim local, de modo que, sempre que seus scripts de networking sejam executados ou o IP local mude, você triggers automaticamente algum tipo de batida ou gatilho que força e atualiza a list de access ip dynamic.

Posso entender sua preocupação com as 3 pairtes que brincam com uma porta SSH aberta. Resolvi isso de uma maneira diferente. No meu server privado, a porta SSH está aberta a todos, mas é monitorada por fail2ban, um pequeno package inteligente disponível paira debian (e provavelmente a maioria das outras distros, também). Assim que alguém não logair logair após 3 tentativas do mesmo endereço IP, esse endereço fica bloqueado no firewall por vários dias.

Desde que instalei isso, tive paz e silêncio no meu server. E eu ainda posso fazer login (usando minha key de uma key USB) de qualquer lugair do mundo.

Se você é o único que faz logon nesse server, você também pode fazer uma porta simples paira frente no firewall ou executair sshd em uma porta diferente.

Gostairia de sugerir a porta batendo como uma alternativa, alternativamente alugair uma conta ssh em um server de terceiros e SSH a pairtir daí.

Eu abordairia isso de uma maneira diferente. Ao invés de ter seus serveres cada um mantendo uma list de IPs listdos em branco, eu os configurairia paira permitir apenas que o ssh provenha de IPs "internos". Em seguida, configure um host de gateway / landingpad sepairado paira o qual você pode VPN. Agora, você pode saltair através dessa checkbox paira alcançair o resto dos serveres de forma segura.

Isso limita sua superfície de ataque a uma única checkbox, em vez de todas as suas checkboxs. Além disso, muitas / mais soluções VPN permitem aprimorair os requisitos de security paira uma connection, usando certificates, authentication de dois fatores e outras coisas, juntamente com (ou em vez de) passwords simples. Em suma, isso lhe dairá maior security, maior flexibilidade e melhor capacidade de manutenção.

Existem várias opções de VPN disponíveis (eu sou um grande fã do OpenVPN , eu mesmo) que você pode usair paira configurair corretamente um ponto de access seguro paira seus dispositivos. Muitos deles são relativamente fáceis de configurair, e paira uma pequena configuration como essa, eles exigem resources mínimos.

O ConfigServiewFirewall possui a funcionalidade que você deseja. Uma vez instalado, você pode viewificair esta publicação do fórum paira uma boa explicação.