5 تکنیک افزایش امنیت ssh در لینوکس (دیوار بن بست هکرها!)

افزایش امنیت ssh در لینوکس

قبل از پرداختن به تکنیک‌های افزایش امنیت ssh لازم است توضیحی کوتاه در رابطه با اینکه ssh چیست و چه کاربردی دارد به شما بدهیم. ssh یا secure shell روشی رمزگذاری شده و کاملاً امن برای ارتباط با سرورهای لینوکسی محسوب می‌شود. در حال حاضر شاید بتوان با جرات گفت بیش از ۷۰ درصد سرورها از طریق این پروتکل از راه دور مدیریت می‌شوند.

این پروتکل به شما این امکان را می‌دهد بدون داشتن دسترسی فیزیکی به سرور از طریق کامپیوتر شخصی خودتان و با یک برنامه واسط همانند putty به سرور متصل شوید و تمامی کارهایی که می‌توانستید به صورت فیزیکی با لینوکس انجام دهید را از این طریق انجام دهید.

اگر از نحوه اتصال به ssh اطلاعی ندارید ما آموزش زیر را به شما پیشنهاد می‌کنیم. خوب با فرض اینکه شما از نحوه کارکرد این سرویس آگاهی کامل دارید و می‌خواهید امنیت ssh را تأمین کنید وارد موضوع اصلی این آموزش می‌شویم.

تکنیک‌های افزایش امنیت ssh

برای تأمین امنیت در سرویس‌های شبکه اغلب کاری که انجام می‌شود تغییر پارامترهایی است که درون فایل کانفیگ سرویس‌ها اعمال می‌شوند.

برای شروع مراحل کانفیگ سرور و افزایش امنیت ssh فایل کانفیگ سرویس ssh را با دستور زیر ویرایش کنید.

vi /etc/ssh/sshd_config

 

غیرفعال کردن اتصال یوزر root

به دنبال عبارت PermitRootLogin باشید. توسط این گزینه ما می‌توانیم روش اتصال پیش‌فرض توسط کاربر روت را غیرفعال کنیم.

هدف از انجام این کار جلوگیری از حملات Bruteforce به سمت سرویس ssh بر روی یوزر root است. هکرها معمولاً با آگاهی از اینکه یوزر روت به صورت پیش‌فرض روی سرورهای لینوکسی وجود دارد و قابلیت دسترسی به این سرویس را هم دارد اقدام به طرح‌ریزی این نوع حملات می‌کنند.

غیرفعال کردن ورود یوزر root - افزایش امنیت sshبعد از پیدا کردن PermitRootLogin مقدار آن را از yes به no تغییر دهید. البته باید یک یوزر دیگر که قابلیت اتصال به ssh را داشته باشد در سرور ایجاد کنید و پس از اتصال با یوزر سطح پایین با دستور sudo su به یوزر روت سوییچ کنید.

 

محدودسازی دسترسی کاربران به ssh

در بسیاری از مواقع تعداد زیادی یوزر بر روی سرور موجود است که تعداد بسیار کمی از آن‌ها دسترسی به این سرویس را دارند و مجاز هستند به آن لاگین کنند در این حالت برای افزایش امنیت ssh می‌توانید لیست یوزرهای مجاز را با استفاده از گزینه AllowUsers مشخص کنید.

AllowUsers peyman hassan sara

 

غیرفعال کردن پروتکل ۱

روش بعدی برای بهبود امنیت ssh غیرفعال کردن پروتکل Legacy و ورژن قدیمی و ارتقا به ورژن جدید است.

به دنبال کلمه protocol باشید و سپس روبروی آن عدد ۲ را وارد کنید و سپس از حالت کامنت آن را خارج کنید.

Protocol 2,1 #
Protocol 2

 

تغییر پورت پیش‌فرض ssh

یکی از شناخته‌ترین روش‌های امن سازی سرویس‌ها، تغییر پورت پیش‌فرض آن‌هاست. معمولاً سرویس‌ها از پورت‌های ثابت و شناخته‌شده‌ای استفاده می‌کنند که همه به آن آگاهی دارند.

هکرها برای حمله به ssh به چند فاکتور نیاز دارند آگاهی از شماره پورت سرویس، یوزر حدسی و یک پسورد لیست و یک نرم‌افزار برای حمله، ما سعی می‌کنیم تمامی ذهنیت‌های پیش‌فرض را با تکنیک‌های که آموزش خواهیم داد تغییر بدهیم

تا اینجا یوزر روت را غیرفعال کردیم حالا پورت پیش‌فرض را هم تغییر می‌دهیم تا کار هکر برای نفوذ به این سرویس از طریق حملات Bruteforce به شدت سخت و درصد موفقیت آن به زیر ۵% برسد.

تغییر پورت پیش فرض sshبعد از باز کردن فایل کانفیگ به دنبال کلمه Port بگردید در این خط شما می‌توانید با دادن شماره پورت موردنظر این سرویس را روی آن به حالت Listen ببرید.

فقط توجه داشته باشید قبل از انجام این کار از طریق فایروال لینوکس پورت موردنظر را ابتدا باز کنید تا بعد از تغییر دسترسی شما به سرور قطع نشود.

اگر از فایروال پیش‌فرض لینوکس با نام iptables استفاده می‌کنید می‌توانید با دستور زیر این کار را انجام دهید.

firewall-cmd –permanent –add-port=2316/tcp

نکته بعد: رنج عدد انتخابی شما برای شماره پورت باید از عدد ۱۰۲۴ به بالا و زیر عدد ۶۵۵۳۵ باشد. اعداد بیشتر غیرقابل‌قبول و اعداد کمتر در رنج پورت‌های رزرو شده هستند.

بعد از وارد کردن دستور بالا توسط دستور زیر فایروال را جهت تغییر تنظیمات یک‌بار ریست کنید.

firewall-cmd –reload

اگر از فایروال csf استفاده می‌کنید برای باز کردن پورت آموزش زیر را مشاهده کنید.

 

غیرفعال کردن ورود با پسورد خالی

شما باید جلوی ورود کاربران با پسورد خالی را بگیرید برای این گزینه به دنبال کلمه PermitEmptyPasswords باشد و مقدار آن را بر روی no قرار دهید.

PermitEmptyPasswords no

آیا این مطلب برای شما مفید بود؟

میانگین امتیاز ۵ / ۵. تعداد آرا: ۱۶

اشتراک در
اطلاع از
guest

0 نظرات
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها

فرم ثبت نام در مسابقه فتح پرچم

برای شرکت در مسابقه باید با اطلاعات صحیح عضو شوید
ثبت نام در مسابقه
close-link