SSH هو بروتوكول يستخدم على نطاق واسع للوصول إلى خوادم Linux بشكل آمن. يستخدم معظم المستخدمين اتصالات SSH مع الإعدادات الافتراضية للاتصال بخادم بعيد. ومع ذلك ، فإن التكوينات الافتراضية غير المؤمنة تشكل أيضًا مخاطر أمنية متنوعة.

قد يكون الحساب الجذر لخادم مع وصول SSH مفتوح في خطر. وخاصة إذا كنت تستخدم عنوان IP عام ، فمن الأسهل بكثير اختراق كلمة مرور الجذر. لذلك ، من الضروري أن يكون لديك معرفة بأمن SSH.

إليك كيفية تأمين اتصالات خادم SSH على نظام Linux.

1. تعطيل عمليات تسجيل دخول المستخدم الجذر

لهذا ، أولاً ، قم بتعطيل وصول SSH للمستخدم الجذر و إنشاء مستخدم جديد بامتيازات الجذر. يعد إيقاف تشغيل الوصول إلى الخادم للمستخدم الجذر بمثابة استراتيجية دفاعية تمنع المهاجمين من تحقيق هدفهم المتمثل في التطفل على النظام. على سبيل المثال ، يمكنك إنشاء مستخدم باسم مثال على ذلك كالآتي:

useradd -m الامتحان
اختبار passwd
usermod -aG sudo مثال تمهيد

فيما يلي شرح موجز للأوامر المذكورة أعلاه:

  • useradd ينشئ مستخدمًا جديدًا و م تنشئ المعلمة مجلدًا تحت الصفحة الرئيسية دليل المستخدم الذي قمت بإنشائه.
  • ال passwd الأمر لتعيين كلمة مرور للمستخدم الجديد. تذكر أن كلمات المرور التي تخصصها للمستخدمين يجب أن تكون معقدة ويصعب تخمينها.
    instagram viewer
  • usermod -aG sudo يضيف المستخدم الذي تم إنشاؤه حديثًا إلى مجموعة الإدارة.

بعد عملية إنشاء المستخدم ، من الضروري إجراء بعض التغييرات على ملف sshd_config ملف. يمكنك العثور على هذا الملف في /etc/ssh/sshd_config. افتح الملف بأي محرر نصوص وقم بإجراء التغييرات التالية عليه:

# المصادقة: 
#LoginGraceTime 2 م 
PermitRootLogin لا 
نموذج AllowUsers

PermitRootLogin سوف يمنع المستخدم الجذر من الحصول على وصول عن بعد باستخدام SSH. مشتمل مثال على ذلك في ال AllowUsers قائمة تمنح الأذونات اللازمة للمستخدم.

أخيرًا ، أعد تشغيل خدمة SSH باستخدام الأمر التالي:

إعادة تشغيل sudo systemctl ssh

إذا فشل ذلك وتلقيت رسالة خطأ ، فجرّب الأمر أدناه. قد يختلف هذا بناءً على توزيعة Linux التي تستخدمها.

أعد تشغيل sudo systemctl sshd

2. تغيير المنفذ الافتراضي

منفذ اتصال SSH الافتراضي هو 22. بالطبع ، يعرف جميع المهاجمين ذلك ، وبالتالي ، من الضروري تغيير رقم المنفذ الافتراضي لضمان أمان SSH. على الرغم من أن المهاجم يمكنه العثور بسهولة على ملف رقم المنفذ مع مسح Nmap، الهدف هنا هو جعل مهمة المهاجم أكثر صعوبة.

لتغيير رقم المنفذ ، افتح /etc/ssh/sshd_config وقم بإجراء التغييرات التالية على الملف:

تضمن /etc/ssh/sshd_config.d/*.conf
المنفذ 5922

بعد هذه الخطوة ، أعد تشغيل خدمة SSH مرة أخرى باستخدام إعادة تشغيل sudo systemctl ssh. يمكنك الآن الوصول إلى الخادم الخاص بك باستخدام المنفذ الذي حددته للتو. إذا كنت تستخدم جدار حماية ، فيجب عليك إجراء التغييرات اللازمة على القواعد هناك أيضًا. عند تشغيل ملف netstat -tlpn الأمر ، يمكنك أن ترى أن رقم المنفذ الخاص بك لـ SSH قد تغير.

3. حظر الوصول للمستخدمين بكلمات مرور فارغة

قد يكون هناك مستخدمون بدون كلمات مرور على نظامك ربما تكون قد أنشأتها عن طريق الخطأ. لمنع هؤلاء المستخدمين من الوصول إلى الخوادم ، يمكنك ضبط تصريح كلمة المرور فارغة قيمة الخط في sshd_config ملف رقم.

PermitEmptyPasswords لا

4. الحد من محاولات تسجيل الدخول / الوصول

بشكل افتراضي ، يمكنك الوصول إلى الخادم عن طريق إجراء العديد من محاولات إدخال كلمة المرور كما تريد. ومع ذلك ، يمكن للمهاجمين استخدام هذه الثغرة الأمنية لفرض الخادم. يمكنك الإنهاء تلقائيًا اتصال SSH بعد عدد معين من المحاولات من خلال تحديد عدد محاولات إدخال كلمة المرور المسموح بها.

لهذا ، قم بتغيير MaxAuthTries قيمة في sshd_config ملف.

MaxAuthTries 3

5. باستخدام الإصدار 2 من SSH

تم إصدار الإصدار الثاني من SSH بسبب العديد من نقاط الضعف في الإصدار الأول. بشكل افتراضي ، يمكنك تمكين الخادم من استخدام الإصدار الثاني عن طريق إضافة بروتوكول المعلمة الخاصة بك sshd_config ملف. بهذه الطريقة ، ستستخدم جميع اتصالاتك المستقبلية الإصدار الثاني من SSH.

تضمن /etc/ssh/sshd_config.d/*.conf 
البروتوكول 2

6. إيقاف تشغيل إعادة توجيه منفذ TCP وإعادة توجيه X11

يمكن للمهاجمين محاولة الوصول إلى أنظمتك الأخرى عن طريق إعادة توجيه المنفذ عبر اتصالات SSH. لمنع هذا ، يمكنك إيقاف تشغيل AllowTcpForwarding و X11 الشحن الميزات الموجودة في sshd_config ملف.

X11 إعادة توجيه لا 
AllowTcpForwarding لا

7. الاتصال بمفتاح SSH

من أكثر الطرق أمانًا للاتصال بالخادم استخدام مفتاح SSH. عند استخدام مفتاح SSH ، يمكنك الوصول إلى الخادم بدون كلمة مرور. بالإضافة إلى ذلك ، يمكنك إيقاف تشغيل وصول كلمة المرور إلى الخادم تمامًا عن طريق تغيير المعلمات المتعلقة بكلمة المرور في ملف sshd_config ملف.

عند إنشاء مفتاح SSH ، يوجد مفتاحان: عام و خاص. يتم تحميل المفتاح العام إلى الخادم الذي تريد الاتصال به ويتم تخزين المفتاح الخاص على الكمبيوتر الذي ستنشئ الاتصال من خلاله.

قم بإنشاء مفتاح SSH بملحق ssh-كجن الأمر على جهاز الكمبيوتر الخاص بك. لا تترك عبارة المرور حقل فارغ وتذكر كلمة المرور التي أدخلتها هنا. إذا تركته فارغًا ، فلن تتمكن من الوصول إليه إلا باستخدام ملف مفتاح SSH. ومع ذلك ، إذا قمت بتعيين كلمة مرور ، فيمكنك منع مهاجم لديه ملف المفتاح من الوصول إليها. كمثال ، يمكنك إنشاء مفتاح SSH بالأمر التالي:

ssh-كجن

8. قيود IP لاتصالات SSH

في معظم الأحيان ، يحظر جدار الحماية الوصول باستخدام أطر عمل من معاييره الخاصة ويهدف إلى حماية الخادم. ومع ذلك ، هذا لا يكفي دائمًا وتحتاج إلى زيادة إمكانات الأمان هذه.

للقيام بذلك ، افتح ملف /etc/hosts.allow ملف. من خلال الإضافات التي تجريها على هذا الملف ، يمكنك تقييد إذن SSH ، والسماح بحظر IP محدد ، أو إدخال عنوان IP واحد وحظر جميع عناوين IP المتبقية باستخدام الأمر deny.

أدناه سترى بعض نماذج الإعدادات. بعد القيام بذلك ، أعد تشغيل خدمة SSH كالمعتاد لحفظ التغييرات.

أهمية أمان خادم Linux

تعتبر قضايا أمن البيانات والبيانات مفصلة تمامًا ويجب أن يأخذها جميع مسؤولي الخادم في الاعتبار. يعد أمان الخادم مشكلة حساسة للغاية حيث أن التركيز الرئيسي للهجمات هو خوادم الويب ، وهي تحتوي على جميع المعلومات حول النظام تقريبًا. نظرًا لأن معظم الخوادم تعمل على بنية Linux الأساسية ، فمن المهم جدًا أن تكون على دراية بنظام Linux وإدارة الخادم.

أمن SSH هو مجرد أحد طرق حماية الخوادم. من الممكن تقليل الضرر الذي تتعرض له عن طريق إيقاف الهجوم أو صده أو إبطائه. بصرف النظر عن توفير أمان SSH ، هناك العديد من الطرق المختلفة التي يمكنك تنفيذها لتأمين خوادم Linux الخاصة بك.