3 طرق لتأمين خادم SSH على لينكس
SSH أمر رائع ، لأنه يتيح لنا الوصول إلى أجهزة الكمبيوتر الطرفية وأجهزة Linux الأخرى عبر الشبكة ، أو حتى الإنترنت! ومع ذلك ، على الرغم من أن هذه التكنولوجيا مذهلة ، فهناك بعض المشكلات الأمنية الصارخة التي تجعل استخدامها غير آمن. إذا كنت مستخدمًا عاديًا ، فليست هناك حاجة حقيقية لتثبيت أدوات أمان SSH المعقدة. بدلاً من ذلك ، فكر في اتباع هذه الخطوات الأساسية لتأمين خادم SSH على Linux.
تغيير منفذ الاتصال الافتراضي
إلى حد بعيد الطريقة الأسرع والأسهل لتأمين خادم SSH هي تغيير المنفذ الذي يستخدمه. افتراضيًا ، يعمل خادم SSH على المنفذ 22. لتغييره ، افتح نافذة طرفية. داخل نافذة الوحدة الطرفية ، SSH إلى جهاز الكمبيوتر البعيد الذي يستضيف خادم SSH.
ssh user @ local-ip-address
بمجرد تسجيل الدخول ، قم بالإفلات من مستخدم عادي إلى الجذر. إذا كان لديك حساب الجذر ، قم بتسجيل الدخول باستخدام سو خيار جيد. بالإضافة إلى ذلك ، ستحتاج إلى الوصول باستخدام sudo.
سو -
أو
sudo -s
الآن بعد أن حصلت على حق الوصول المطلق ، افتح ملف تكوين SSH في Nano.
nano / etc / ssh / sshd_config
قم بالتمرير خلال ملف التكوين لـ "المنفذ 22". مسح ال
# إذا كان هناك واحد ، فقم بالتغيير “22 ″ لرقم آخر. بشكل عام ، يكفي منفذ أعلى من 100 ، أو حتى منفذ واحد في نطاق 1000. بعد تغيير رقم المنفذ ، اضغط على Ctrl + O تركيبة لوحة المفاتيح لحفظ التعديلات. ثم اخرج من المحرر بالضغط Ctrl + X.لن يؤدي تعديل ملف التهيئة إلى تبديل خادم SSH على الفور إلى استخدام المنفذ الصحيح. بدلاً من ذلك ، ستحتاج إلى إعادة تشغيل الخدمة يدويًا.
إعادة تشغيل النظام
يجب أن يقوم تشغيل أمر systemctl بإعادة تشغيل البرنامج الخفي SSH وتطبيق الإعدادات الجديدة. إذا فشلت إعادة تشغيل البرنامج الخفي ، فهناك خيار آخر هو إعادة تشغيل جهاز خادم SSH الخاص بك:
اعادة التشغيل
بعد إعادة تشغيل البرنامج الخفي (أو الجهاز) ، لن يمكن الوصول إلى SSH عبر المنفذ 22. ونتيجة لذلك ، يتطلب الاتصال عبر SSH تحديد المنفذ يدويًا.
ملاحظة: تأكد من تغيير "1234" مع تعيين المنفذ في ملف تكوين SSH.
ssh -p 1234 user @ local-ip-address
تعطيل تسجيل الدخول بكلمة المرور
طريقة أخرى رائعة لتأمين خادم SSH هي إزالة تسجيل الدخول بكلمة المرور وبدلاً من ذلك الانتقال إلى تسجيل الدخول عبر مفاتيح SSH. يؤدي الانتقال إلى مسار مفتاح SSH إلى إنشاء دائرة ثقة بين خادم SSH والأجهزة البعيدة التي تحتوي على مفتاحك. إنه ملف كلمة مرور مشفر يصعب اختراقه.
الإعداد باستخدام مفتاح SSH على الخادم الخاص بك. عند إعداد المفاتيح ، افتح نافذة طرفية وافتح ملف تهيئة SSH.
سو -
أو
sudo -s
ثم افتح التهيئة في Nano باستخدام:
nano / etc / ssh / sshd_config
بشكل افتراضي ، تتعامل خوادم SSH مع المصادقة عبر كلمة مرور المستخدم. إذا كان لديك كلمة مرور آمنة ، فهذه طريقة جيدة للذهاب ، ولكن مفتاح SSH المشفر على الأجهزة الموثوقة أسرع وأكثر ملاءمة وأمانًا. لإنهاء الانتقال إلى "تسجيل الدخول بدون كلمة مرور" ، ابحث في ملف تكوين SSH. داخل هذا الملف ، قم بالتمرير خلاله وابحث عن الإدخال الذي يقول "PasswordAuthentication".
أزل الرمز # من أمام "PasswordAuthentication" ، وتأكد من أن كلمة "no" أمامها. إذا كان كل شيء يبدو على ما يرام ، احفظ التعديلات على تكوين SSH بالضغط Ctrl + O على لوحة المفاتيح.
بعد حفظ التكوين ، أغلق Nano بـ Ctrl + X، وأعد تشغيل SSHD لتطبيق التغييرات.
إعادة تشغيل النظام
إذا كنت لا تستخدم systemd ، فحاول إعادة تشغيل SSH باستخدام هذا الأمر بدلاً من ذلك:
إعادة تشغيل خدمة سه
في المرة القادمة التي تحاول فيها الآلة البعيدة تسجيل الدخول إلى خادم SSH هذا ، ستتحقق من المفاتيح الصحيحة وتسمح لها بالدخول ، دون كلمة مرور.
تعطيل حساب الجذر
يعد تعطيل حساب الجذر على خادم SSH الخاص بك طريقة لتخفيف الضرر الذي قد يحدث عندما يحصل مستخدم غير مصرح له على وصول عبر SSH. لتعطيل حساب الجذر ، من الضروري أن يتمكن مستخدم واحد على الأقل على خادم SSH من الحصول على الجذر عبر sudo. سيضمن ذلك أنه لا يزال بإمكانك الوصول إلى مستوى النظام إذا كنت بحاجة إليه ، بدون كلمة مرور الجذر.
ملاحظة: تأكد من أن المستخدمين الذين يمكنهم الوصول إلى امتيازات الجذر عبر sudo لديهم كلمة مرور آمنة ، أو أن تعطيل حساب المستخدم الخارق لا معنى له.
لتعطيل الجذر ، ارفع الطرفية إلى امتيازات المستخدم الخارق:
sudo -s
يتجاوز استخدام sudo -s الحاجة إلى تسجيل الدخول باستخدام سو، وبدلاً من ذلك يمنح قذيفة الجذر عبر ملف sudoers. الآن بعد أن أصبح لدى القشرة الوصول إلى مستخدم خارق ، كلمه السر القيادة وتزييف حساب الجذر مع -قفل.
passwd - قفل الجذر
يؤدي تشغيل الأمر أعلاه إلى تشويش كلمة مرور حساب الجذر بحيث يتم تسجيل الدخول عبر سو مستحيل. من الآن فصاعدًا ، يمكن للمستخدمين الدخول إلى SSH فقط كمستخدم محلي ، ثم التبديل إلى حساب الجذر عبر امتيازات sudo.
بحث
المشاركات الاخيرة
كيفية استخراج الإطارات الفردية من مقاطع الفيديو على لينكس
هل لديك ملف فيديو على سطح مكتب Linux تريد حفظ صورة منه؟ لا تحاول ال...
أفضل 6 توزيعات لينكس للمطورين والمبرمجين
لينكس هو منصة شعبية لأولئك الذين يطورون برامج أو مبرمجين متعطشين. ا...
كيفية إرسال رسائل نصية على لينكس مع واجهة المستخدم الرسومية مدير المودم
إذا كنت بحاجة إلى إرسال رسائل نصية على Linux ، فيمكنك القيام بذلك ب...