3 Cara Untuk Mengamankan Server SSH Di Linux

SSH luar biasa, karena memungkinkan kita untuk mendapatkan akses terminal ke PC dan server Linux lain melalui jaringan, atau bahkan internet! Namun, untuk teknologi yang luar biasa ini, ada beberapa masalah keamanan yang mencolok yang membuatnya tidak aman. Jika Anda adalah pengguna biasa, tidak ada kebutuhan nyata untuk menginstal alat keamanan SSH yang rumit. Sebagai gantinya, pertimbangkan untuk mengikuti langkah-langkah dasar ini untuk mengamankan server SSH di Linux.

Ubah Port Koneksi Default

Sejauh ini cara tercepat dan termudah untuk mengamankan server SSH adalah dengan mengubah port yang digunakannya. Secara default, server SSH berjalan pada port 22. Untuk mengubahnya, buka jendela terminal. Di dalam jendela terminal, SSH ke PC hosting server SSH jarak jauh.

ssh user @ local-ip-address

Setelah masuk, turun dari pengguna biasa ke Root. Jika Anda mengaktifkan akun Root, masuk dengan su adalah pilihan yang bagus. Selain itu, Anda harus mendapatkan akses bersama sudo.

su -

atau

sudo -s

Sekarang setelah Anda mendapat akses admin, buka file konfigurasi SSH di Nano.

nano / etc / ssh / sshd_config

Gulir ke seluruh file konfigurasi untuk "Port 22". Hapus # jika ada, maka ubah “22 ″ ke nomor lain. Biasanya, port di atas 100, atau bahkan satu di kisaran 1.000 sudah cukup. Setelah mengubah nomor port, tekan tombol Ctrl + O kombinasi keyboard untuk menyimpan hasil edit. Lalu, keluar dari editor dengan menekan Ctrl + X.

Mengedit file konfigurasi tidak akan segera mengalihkan server SSH Anda ke menggunakan port yang benar. Sebaliknya, Anda harus memulai ulang layanan secara manual.

systemctl restart sshd

Menjalankan perintah systemctl harus mem-boot ulang daemon SSH dan menerapkan pengaturan baru. Jika me-restart daemon gagal, opsi lain adalah me-reboot mesin server SSH Anda:

reboot

Setelah memulai ulang daemon (atau mesin), SSH tidak akan dapat diakses melalui port 22. Akibatnya, menghubungkan melalui SSH membutuhkan port secara manual.

Catatan: pastikan untuk mengubah "1234" dengan port yang diatur dalam file konfigurasi SSH.

ssh -p 1234 user @ local-ip-address

Nonaktifkan Kata Sandi Masuk

Cara hebat lainnya untuk mengamankan server SSH adalah dengan menghapus login kata sandi dan alih-alih beralih ke login melalui kunci SSH. Menuju rute kunci SSH menciptakan lingkaran kepercayaan antara server SSH Anda dan mesin jarak jauh yang memiliki kunci Anda. Ini adalah file kata sandi terenkripsi yang sulit diretas.

Atur dengan kunci SSH di server Anda. Saat Anda sudah menyiapkan kunci, buka terminal dan buka file konfigurasi SSH.

su -

atau

sudo -s

Kemudian, buka konfigurasi di Nano dengan:

nano / etc / ssh / sshd_config

Secara default, server SSH menangani otentikasi melalui kata sandi pengguna. Jika Anda mendapatkan kata sandi yang aman, ini cara yang baik untuk dilakukan, tetapi kunci SSH terenkripsi pada mesin tepercaya lebih cepat, lebih mudah, dan aman. Untuk menyelesaikan transisi ke "login tanpa kata sandi", lihat di file konfigurasi SSH. Di dalam file ini, gulir ke seluruh dan temukan entri yang bertuliskan "Kata sandiuthentikasi".

Hapus simbol # dari depan "Kata Sandi Kebenaran", dan pastikan ada kata "tidak" di depannya. Jika semuanya terlihat baik, simpan hasil edit ke konfigurasi SSH dengan menekan Ctrl + O pada keyboard.

Setelah menyimpan konfigurasi, tutup Nano dengan Ctrl + X, dan mulai ulang SSHD untuk menerapkan perubahan.

systemctl restart sshd

Jika Anda tidak menggunakan systemd, coba mulai ulang SSH dengan perintah ini sebagai gantinya:

ssh restart layanan

Lain kali mesin jarak jauh mencoba masuk ke server SSH ini, ia akan memeriksa kunci yang benar dan membiarkannya masuk, tanpa kata sandi.

Nonaktifkan Root Account

Menonaktifkan akun Root di server SSH Anda adalah cara untuk mengurangi kerusakan yang mungkin terjadi ketika pengguna yang tidak sah mendapatkan akses melalui SSH. Untuk menonaktifkan akun Root, sangat penting bahwa setidaknya satu pengguna di server SSH Anda dapat memperoleh Root melalui sudo. Ini akan memastikan bahwa Anda masih dapat memperoleh akses tingkat sistem jika Anda membutuhkannya, tanpa kata sandi Root.

Catatan: pastikan bahwa pengguna yang dapat mengakses hak akses Root melalui sudo memiliki kata sandi aman, atau menonaktifkan akun pengguna super tidak ada gunanya.

Untuk menonaktifkan Root, naikkan terminal ke hak pengguna super:

sudo -s

Menggunakan sudo -s mem-bypass kebutuhan untuk login su, dan sebagai gantinya memberikan shell root melalui file sudoers. Sekarang shell memiliki akses superuser, jalankan kata sandi perintah dan adakan akun Root dengan -mengunci.

passwd --lock root

Menjalankan perintah di atas mengacak kata sandi akun Root sehingga masuk melalui su tidak mungkin. Mulai sekarang, pengguna hanya dapat SSH sebagai pengguna lokal, kemudian beralih ke akun Root melalui hak akses sudo.