web-dev-qa-db-ja.com

ドメインを使用してSSH経由でサーバーにアクセスする(Cloudflareを使用)

このサーバー(44.44.44.44など)でWebサーバーを実行しています。サーバーにpollnote.comをルーティングしてWebサーバーにアクセスしました。すべてが正常に動作します。

サーバーにアクセスするために、公開鍵を.ssh/authorized_keysに追加したので、ssh [email protected]を実行して問題なくログインできます。

この問題は、ssh [email protected]のように試してみると発生します。端末は何も表示せず、コマンドを中止することを決定するまで待機します。

ドメイン名を参照として使用してサーバーにアクセスするには、何をする必要がありますか?

[〜#〜]更新[〜#〜]

私は言及したはずですが、私はCloudFlareを介してサーバーにアクセスしています。多分それは関連しています..?

データ

➜  ~  Dig pollnote.com

; <<>> Dig 9.9.5-9ubuntu0.1-Ubuntu <<>> mydomain.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56675
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;pollnote.com.          IN  A

;; ANSWER SECTION:
pollnote.com.       299 IN  A   104.27.165.70
pollnote.com.       299 IN  A   104.27.164.70

;; Query time: 54 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Thu Jul 30 19:12:38 CEST 2015
;; MSG SIZE  rcvd: 73

➜  ~  ssh -vvv [email protected]
OpenSSH_6.7p1 Ubuntu-5ubuntu1, OpenSSL 1.0.1f 6 Jan 2014
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to pollnote.com [104.27.165.70] port 22.
sshdomaincloudflare
9
Enrique Moreno Tent

IPアドレスで接続する場合、SSH接続はサーバーに直接接続されますが、ドメイン名を使用する場合は、Cloudflare防御を経由します。私の提案は、direct.pollnote.com(CloudFlareが自動的に作成すると思いますが、人々はそれを削除することが多い)を使用するか、ssh.pollnote.comのような独自のエイリアスを追加して、CloudFlare保護を無効にすることです。

21
dtoubelis

これを@dtoubelisの回答へのコメントとして追加したかったのですが、テキストのフォーマットが制限が多すぎたため、代わりに回答として追加しています。

私の場合、次のDNSレコードをCloudflareの「DNS」画面に追加しました。

Type     Name    Value                            TTL           Status
CNAME    ssh     is an alias of mywebsite.com     Automatic     Grey

Sshログインコマンドを次のように変更する必要があることに気づくまで、私はまだそれを機能させることができませんでした。

ssh [email protected]

ssh [email protected]

次に、ftpとsftpに同様のCNAMEレコードを追加したので、たとえば、ftpクライアントのftpホスト名が次のように変更されます。

mywebsite.com

ftp.mywebsite.com

CNAMEの代わりにAレコードを作成できるかどうかはわかりませんが、 Cloudflare によるとそうです。

答えてくれて@dtoubelisに感謝します。

1
edwinbradford

dtoubelis の答えは間違いなくこの問題を解決します。

わかりやすい修正です。ssh.yourserver.com以外のものを使用することを検討してください。これにより、潜在的な攻撃者がホストのIPアドレスを特定するのが困難になります。

たとえば、secret-circus-monkey.yourserver.comです。

たとえば、 A Proper Server Naming Scheme ;を参照してください。特に攻撃ベクトルに関する著者のコメント:

この記事では、命名規則により、短いランダムなホスト名のみを公開し、内部ネットワークのみで機能名を解決することで、不注意による情報開示を防ぐこともできると述べました。

1
Jeremy

概説されているようなものを使用できます here

ドメインにSSHで接続しようとすると、IPが表示され、問題が発生します(FTPなどでも同じです)。

1
damoncloudflare