Berbagai Cara untuk Mengamankan Server SSH

Secure Shell adalah protokol komunikasi jaringan yang digunakan untuk komunikasi terenkripsi dan administrasi jarak jauh antara client dan server. Ini adalah protokol multiguna yang dapat digunakan untuk melakukan lebih dari sekadar administrasi jarak jauh. Protokol ini berkomunikasi dengan aman melalui jaringan yang tidak aman menggunakan enkripsi asimetris. Enkripsi asimetris adalah bentuk enkripsi di mana kunci publik dan pribadi digunakan untuk mengenkripsi dan mendekripsi data. Secara defaultSSHberkomunikasi melalui port 22 tetapi dapat diubah. Di blog ini kami akan membahas berbagai cara untuk mengamankanSSH server.

Berbagai Cara untuk Mengamankan Server SSH

Semua pengaturan konfigurasi dari SSH server dapat dilakukan dengan memodifikasi ssh_configmengajukan. File konfigurasi ini dapat dibaca dengan mengetikkan perintah berikut di Terminal.

[email protected]:~$ cat /etc/ssh/ssh_config

CATATAN: Sebelum mengedit file ini, Anda harus memiliki hak akses root.

Sekarang kita membahas berbagai cara untuk mengamankan SSHserver. Berikut ini adalah beberapa metode yang dapat kita terapkan untuk membuatSSH server lebih aman

  • Dengan mengubah Default SSH Pelabuhan
  • Menggunakan Kata Sandi yang Kuat
  • Menggunakan Kunci Publik
  • Mengizinkan satu IP untuk Masuk
  • Menonaktifkan Kata Sandi Kosong
  • Menggunakan Protokol 2 untuk SSH Server
  • Dengan Menonaktifkan Penerusan X11
  • Mengatur Batas Waktu Menganggur
  • Menyetel Kata Sandi Terbatas Mencoba

Sekarang kita membahas semua metode ini satu per satu.

Dengan Mengubah Port SSH Default

Seperti yang dijelaskan sebelumnya, secara default SSH menggunakan Port 22 untuk komunikasi. Jauh lebih mudah bagi peretas untuk meretas data Anda jika mereka tahu port mana yang digunakan untuk komunikasi. Anda dapat mengamankan server Anda dengan mengubah defaultSSH Pelabuhan. Untuk mengubahSSH pelabuhan, buka sshd_config file menggunakan editor nano dengan menjalankan perintah berikut di Terminal.

[email protected]:~$ nano /etc/ssh/ssh_config

Temukan baris di mana nomor port disebutkan dalam file ini dan hapus # tanda tangani sebelumnya “Port 22” dan ubah nomor port ke port yang Anda inginkan dan simpan file.

Menggunakan Kata Sandi yang Kuat

Sebagian besar Server diretas karena password yang lemah. Kata sandi yang lemah lebih mudah diretas oleh peretas. Kata sandi yang kuat dapat membuat server Anda lebih aman. Berikut adalah tip untuk password yang kuat

  • Gunakan kombinasi huruf besar dan huruf kecil
  • Gunakan angka dalam password Anda
  • Gunakan password yang panjang
  • Gunakan karakter khusus dalam password Anda
  • Jangan pernah menggunakan nama atau tanggal lahir Anda sebagai password

Menggunakan Kunci Publik untuk Mengamankan Server SSH

Kami dapat masuk ke akun kami SSHserver menggunakan dua cara. Satu menggunakan Kata Sandi dan yang lainnya menggunakan kunci Publik. Menggunakan kunci publik untuk masuk jauh lebih aman daripada menggunakan password untuk masukSSH server.

Kunci dapat dibuat dengan menjalankan perintah berikut di Terminal

[email protected]:~$ ssh-keygen

Saat Anda menjalankan perintah di atas, Ini akan meminta Anda untuk memasukkan jalur untuk kunci pribadi dan publik Anda. Kunci pribadi akan disimpan oleh“id_rsa” nama dan kunci publik akan disimpan oleh “id_rsa.pub”nama. Secara default kunci akan disimpan di direktori berikut

/home/username/.ssh/

Setelah membuat kunci publik, gunakan kunci ini untuk mengonfigurasi SSH masuk dengan kunci. Setelah memastikan kunci itu berfungsi untuk masuk ke. AndaSSH server, sekarang nonaktifkan login berbasis password. Ini dapat dilakukan dengan mengedit ssh_config mengajukan. Buka file di editor yang Anda inginkan. Sekarang hapus# sebelum “PasswordAuthentication yes” dan ganti dengan

PasswordAuthentication no

Sekarang Anda SSH server hanya dapat diakses dengan kunci publik dan akses melalui password telah dinonaktifkan

Mengizinkan satu IP untuk masuk

Secara default Anda bisa SSH ke server Anda dari alamat IP mana pun. Server dapat dibuat lebih aman dengan mengizinkan satu IP untuk mengakses server Anda. Ini dapat dilakukan dengan menambahkan baris berikut di. Andassh_config mengajukan.

ListenAddress 192.168.0.0

Ini akan memblokir semua IP untuk masuk ke. Anda SSH server selain IP yang Dimasukkan (yaitu 192.168.0.0).

CATATAN: Masukkan IP engine Anda sebagai ganti “192.168.0.0”.

Menonaktifkan Kata Sandi Kosong

Jangan pernah izinkan masuk SSHServer dengan password kosong. Jika password kosong diizinkan maka server Anda lebih mungkin diserang oleh penyerang brute force. Untuk menonaktifkan login password kosong, bukassh_config file dan buat perubahan berikut:

PermitEmptyPasswords no

Menggunakan Protokol 2 untuk Server SSH

Protokol sebelumnya digunakan untuk SSHadalah SSH 1. Secara default protokol diatur ke SSH 2 tetapi jika tidak diatur ke SSH 2, Anda harus mengubahnya menjadi SSH 2. Protokol SSH 1 memiliki beberapa masalah terkait keamanan dan masalah ini telah diperbaiki dalam protokol SSH 2. Untuk mengubahnya, editssh_config file seperti yang ditunjukkan di bawah ini

Protocol 2

Dengan Menonaktifkan Penerusan X11

Fitur Penerusan X11 memberikan Interface Pengguna Grafis (GUI) Anda SSHserver ke user jarak jauh. Jika Penerusan X11 tidak dinonaktifkan maka peretas mana pun, yang telah meretas sesi SSH Anda, dapat dengan mudah menemukan semua data di server Anda. Anda dapat menghindari ini dengan menonaktifkan Penerusan X11. Hal ini dapat dilakukan dengan mengubahssh_config file seperti yang ditunjukkan di bawah ini

X11Forwarding no

Mengatur Batas Waktu Menganggur

Idle timeout artinya, jika Anda tidak melakukan aktivitas apa pun di SSH server untuk interval waktu tertentu, Anda secara otomatis keluar dari server Anda

Kami dapat meningkatkan langkah-langkah keamanan untuk kami SSHserver dengan menetapkan batas waktu idle. Misalnya kamuSSHserver Anda dan setelah beberapa waktu Anda sibuk melakukan beberapa tugas lain dan lupa untuk keluar dari sesi Anda. Ini adalah risiko keamanan yang sangat tinggi untuk AndaSSHserver. Masalah keamanan ini dapat diatasi dengan menetapkan batas waktu idle. Batas waktu menganggur dapat diatur dengan mengubahssh_config file seperti yang ditunjukkan di bawah ini

ClientAliveInterval 600

Dengan menyetel batas waktu idle ke 600, koneksi SSH akan terputus setelah 600 detik (10 menit) tidak ada aktivitas apa pun.

Menyetel Kata Sandi Terbatas Mencoba

Kami juga dapat membuat SSHserver aman dengan menetapkan sejumlah percobaan password tertentu. Ini berguna untuk melawan penyerang brute force. Kami dapat menetapkan batas untuk mencoba password dengan mengubahssh_config mengajukan.

MaxAuthTries 3

Memulai ulang Layanan SSH

Banyak dari metode di atas perlu dimulai ulang SSH service setelah menerapkannya. Kita bisa memulai kembaliSSH service dengan mengetikkan perintah berikut di Terminal

[email protected]:~$ service ssh restart

Kesimpulan

Setelah menerapkan perubahan di atas ke SSH server, sekarang server Anda jauh lebih aman dari sebelumnya dan tidak mudah bagi penyerang brute force untuk meretas Anda SSH server.

Related Posts