ایمن سازی SSH با چه روش هایی صورت می گیرد؟

ایمن سازی SSH با چه روش هایی صورت می گیرد؟

ایمن سازی SSH (Secure Shell) یکی از مهمترین دغدغه های مدیران سرور بعد از نصب این پروتکل کاربردی بر روی سیستم دارند. در این مقاله روش های ایمن سازی SSH را

بررسی می کنیم.

SSH چیست؟

SSH یک پروتکل است که از تکنولوژی رمزنگاری برای برقراری ارتباط بین سرور (سرویس دهنده) و سیستمی که سرویس را دریافت می کند (سرویس گیرنده) استفاده کرده و این ارتباط را بر پایه TCP به صورت امن برقرار می کند. سیستم دریافت کننده از طریق دستور Shell تمامی دستوراتی که نیاز دارد را روی سرور (سرویس دهنده) اجرا می کند.

شما برای این که از سرویس SSH استفاده کنید باید آن را روی سرور خود نصب کنید. می توانید نوع اولیه آن یا SSH1 و یا نوع تجاری و غیر رایگان آن SSH2 را نصب کرده و از آن استفاده کنید. اما متداول ترین نوع آن به نام Open SSH است که به صورت رایگان و اُپن سورس قابل استفاده می باشد.

سرویس ssh برای server و client

چگونه میتوان از OpenSSH روی  سرور لینوکس نصب و استفاده کرد؟

معمولا Open SSH به صورت پیش فرض روی اکثر سرورهای لینوکس نصب می باشد اما اگر شما به هر دلیلی می خواهید آن را نصب کنید با استفاده از دستور yum -y install openssh-server openssh-clients میتوانید آن را روی تمام سرورهای Centos و سرورهایی که در خانواده این سرور هستند نصب کنید.

آیا SSH واقعا قابل اعتماد هست؟

تمام سیستم هایی که به اینترنت وصل می شوند نمی توانند امن باشند و فقط در صورتی که موارد امنیتی را رعایت کنند و تمام تلاش خود را در کشف باگهای موجود و همینطور بروزرسانی مداوم سیستم و برقراری امنیت به کار گیرند می توانند امیدوار باشند که امنیت سرور خود را تا حد قابل قبولی برقرار کنند.

برای ایمن سازی SSH هم باید تمام موارد امنیتی را رعایت کنیم.

روش های ایمن سازی SSH

در این قسمت روش های ایمن سازی SSH را مورد بررسی قرار می دهیم :

استفاده از پسورد و یا رمز عبور مناسب

یکی از مهمترین کارها برای ایمن سازی SSH استفاده از رمز عبور مناسب است که می تواند ترکیبی از حروف کوچک و بزرگ، اعداد و سمبل ها باشد. زیرا اولین و اساسی ترین روش دسترسی هکرها به یک سایت استفاده از رمز عبور ساده و یا قابل پیش بینی است.

هکرها دائما با استفاده از روش Brute Force تمام سرورهایی که از پورت پیش فرض استفاده می کنند و یا پسورد ساده دارند را اسکن کرده و به راحتی موفق به هک کردن یک سایت می شوند. به همین دلیل اولین قدم برای برقراری امنیت SSH استفاده از پسوردهای طولانی با کارکترهای خاص و همینطور استفاده از اعداد و حروفی که هیچ معنی خاصی در دیکشنری ندارند است.

تغییر پورت پیشفرض

پورت های پیش فرض یکی از اصلی ترین نقص های امنیتی برای تمام سیستم هایی هستند که در دنیای اینترنت کار می کنند. همانطور که گفته شد هکرها دائما در حال اسکن کردن پورت های پیش فرض روی سرورهای مختلف هستند و اگر شما آن را تغییر ندهید به راحتی اجازه می دهید به سرور شما دسترسی پیدا کرده و به آن نفوذ کنند.

پورت پیش فرض در پروتکل SSH روی مقدار 22 تنظیم شده است و شما در اولین قدم باید آن را به مقادیر رندوم تغییر دهید.

برای تغییر دادن پورت پیش فرض SSH باید فایل /etc/ssh/sshd_config را ویرایش کنید. البته حتما به این نکته توجه کنید قبل از تغییر پورت پیش فرض پورت جدید را روی فایروال اضافه کنید تا هنگام Restart کردن SSH با مشکلی برای ورود مواجه نشوید.

برای Restart  شدن SSH باید کد دستوری service sshd restart را اجرا کنید.

 

غیر فعال کردن پروتکل قدیمی SSH

پروتکل SSH همانطور که گفته شد از چند نوع استفاده می کند که نوع اولیه آن با نام SSH1 بسیار قدیمی است و شما باید حتما این پروتکل را روی سرور خود غیرفعال کنید.

برای غیرفعال کردن آن در فایل /etc/ssh/sshd_config مقدار پروتکل (Protocol) را فقط 2 قرار دهید و بلافاصله سرویس SSH را Restart کنید.

غیر فعال کردن Root

اگر اجازه دسترسی root در فایل SSH فعال باشد هکرها به راحتی و خیلی سریع می توانند به سرور شما نفوذ کرده و آن را هک کنند. پس باید برای حفظ امنیت سرور دسترسی به root را غیرفعال کنید.

برای غیرفعال کردن روت در سرویس SSH باید در قسمت تنظیمات مقدار PermitRootLogin no را اضافه کرده و بلافاصله سرویس SSH را Restart کنید.

همچنین با استفاده از کد دستوری AllowUsers customuser به جای دستور customuser یک کاربر جدید ایجاد کنید که بتواند به SSH وارد شود و بعد از اضافه کردن کاربر جدید سیستم را

Restart کنید.

استفاده از Key برای ورود به امنیت بیشتر

با استفاده کردن از یک کلید (Key) هنگام اتصال به سرور شما دیگر نیازی به وارد کردن user و password نیز ندارید و میتوانید این کلید را روی Putty (خط فرمان لینوکس ) استفاده کرده و به راحتی وارد سرور خود شوید.

البته حتما به این نکته توجه داشته باشید اگر از نوع احراز هویت استفاده می کنید باید برای اتصال هر ماشین به سرور از یک کلید جدا استفاده کنید.

ایمن سازی ssh با key

محدود کردن آی پی جهت اتصال به SSH

یکی از بهترین روش ها برای ایمن سازی SSH این است که دسترسی به IP را محدود کنید.

این روش به این صورت است که شما روی فایروال سرور خود فقط IP های مشخص را تعریف می کنید و طوری تنظیم می کنید که فقط این آی پی ها بتوانند وارد پورت SSH بشوند

و آی پی های دیگر Refuse شوند. با این کار هکرها دیگر امکان اسکن کردن سرور شما را نخواهند داشت چون برای اتصال به سرور نیازمند آی پی هایی هستند که در تنظیمات فایروال سرور تعریف شده باشند.

 

ارسال پاسخ

آدرس ایمیل شما منتشر نخواهد شد.