遠程SSH訪問pfSense
SSH,也稱為安全shell提供了一種遠程訪問pfSense路由器的有效方法。 使用SSH而不是其他協議(如telnet)的主要優點是安全性。 SSH流量被完全加密,可以防止其他用戶通過嗅探器進行攻擊。 SSH還可以提供多個簡單的遠程shell,可以安全地傳輸文件,並將端口轉發到遠程網絡。
啟用SSH 服務
默認情況下,為了安全起見,SSH服務被禁用。啟用服務登錄到pfSense路由器的Web界面。
1. 進入系統-高級設置-管理員訪問選項卡
2. 選中‘啟用安全Shell‘檢查框
3. 通過在“SSH端口”框中輸入新的端口號來更改默認端口。
4. 單擊頁面底部的保存按鈕應用更改並啟動服務。
強烈建議更改服務的默認端口。 互聯網上有成千上萬的機器會搜索活動的SSH服務器,並試圖強制使用root密碼。 你可以通過選擇1024以上的隨機端口號來避免成為別人攻擊的目標。添加額外的安全措施以防暴力攻擊的另一種方法是設置Denyhosts服務。
測試本地安全SSH服務
測試安全SSH服務是否運行,可以使用Putty
Putty是一款非常受歡迎的(免費)SSH客戶端,易於使用。 該程序只包含一個Putty.exe文件。
運行Putty後,在頂部的主機框中輸入pfSense路由器的LAN IP地址或主機名。 如果將服務默認端口配置為其他端口,請將端口更改為在設置中輸入的端口值。
點擊程序底部的“打開”連接到服務器。
控制臺菜單
如果連接成功,系統將提示你輸入用戶名,用戶名為root,密碼與管理員密碼相同。要訪問shell請輸入數字8。
更改系統管理員密碼
要更改系統的root密碼,請在系統菜單中打開用戶管理。點擊管理員用戶旁邊的編輯按鈕更改密碼。也可以在這裏設置其他帳戶。
設置外網訪問
為了從外部訪問SSH服務,必須創建防火墻規則以允許外部訪問通過,否則無法訪問。要允許訪問,請點擊防火墻菜單中的“規則策略”。
創建防火墻規則
通過單擊防火墻規則頁面右下角的加號創建新的防火墻規則,打開防火墻規則編輯器頁面。
新規則的默認操作是“通過”,這將允許外部地址的訪問。
1. 設置接口為WAN。
2. 協議選擇TCP,這是SSH運行的協議。
3. 目的地選擇 “WAN address(WAN地址)”。
4. 目的地端口範圍選擇22,或在SSH框中配置的SSH運行的端口。“到”端口可以留空。
5. 在描述欄輸入備註 “開啟外網訪問SSH”
6. 單擊“保存”完成防火墻規則設置並應用更改。
經過上面的設置,現在已經可以在外網通過SSH遠程訪問pfsense防火墻了。
設置基於密鑰的認證
即使您更改了SSH的監聽端口,仍可以通過端口掃描發現該服務。 一旦發現機器人可以對服務器發起暴力攻擊,試圖找到密碼較弱的帳戶。
為了使服務更安全,可以啟用基於密鑰的身份驗證。 通過啟用密鑰認證,黑客可以嘗試各類懷疑密碼,但沒有私鑰,將永遠不會被授予訪問權限。
要關閉密碼身份驗證,並且需要安全的RSA密鑰,請啟用“禁用安全shell的密碼登錄”復選框,可以在系統-高級設置-管理員訪問選項卡上找到這個設置。
生成密鑰對
要利用基於密鑰的登錄,我們必須創建一對密鑰。 公鑰將被輸入到pfSense,私鑰將被存儲在客戶端上。
生成密鑰對的最簡單方法是使用Puttygen程序。單擊然後生成按鈕,然後移動鼠標創建一些隨機性的數值。
添加公鑰到服務器
生成密鑰對之後,需要在pfSense的用戶帳戶中添加公鑰。
1. 打開系統-用戶管理菜單。
2. 在要添加密鑰的用戶旁邊,單擊“編輯用戶”按鈕。Admin用戶即為SSH的root帳號。
3. 找到“認證SSH密鑰”,將Puttygen生成的公鑰粘貼到框中。
4. 單擊保存。
保存私鑰
最後一步是保存相應的私鑰並配置Putty客戶端來使用它。出於額外安全考慮,我建議為私鑰設置密碼。
沒有密碼短語,任何具有私鑰文件副本的人都可以連接到服務器。 通過添加密碼,密鑰不能使用,而不知道這個短語是什麽。
要將私鑰存儲在本地計算機上,請單擊Puttygen中的保存私鑰按鈕。
要將密鑰加載到Putty中,請轉到連接 \ SSH下找到的認證設置頁面。 單擊瀏覽按鈕,找到保存私鑰文件的位置。
測試密鑰
密鑰加載到客戶端後,您可以嘗試連接到SSH服務器,應該會看到如下面的屏幕截圖中的消息,指出公鑰正在用於身份驗證。
如果為私鑰分配了密碼短語,則會在此時提示您輸入密碼。
使用WinSCP通過SSH傳輸文件
SSH也可用於使用SCP(安全復制協議)將文件導入到pfSense或從pfSense導出文件。 使用SCP,可以使用現有的SSH認證系統,將文件安全地傳輸到遠程系統或從遠程系統導入。
對於Windows用戶,可以使用WinSCP程序。 WinSCP程序提供了一個易於使用的界面,用於通過SSH傳輸文件。
啟動WinSCP後,在主機名中輸入pfSense的外部ip地址,輸入你設置的SSH端口號。使用與SSH連接時使用的相同憑據登錄。
連接建立後,將直接在右側列出遠程系統的列表。 屏幕左側顯示本地文件系統。
WinSCP界面基本上與Windows資源管理器相同,可以在遠程和本地計算機之間拖放文件和目錄。
Winscp下載地址:https://winscp.net/eng/download.php
2017-7-3
本文出自 “pfsense交流” 博客,謝絕轉載!
遠程SSH訪問pfSense