أفضل 5 ممارسات أمان لخادم OpenSSH

instagram story viewer

SSH (شيل آمنl) هو بروتوكول شبكة مفتوح المصدر يُستخدم لتوصيل خوادم Linux المحلية أو البعيدة لنقل الملفات وعمل نسخ احتياطية عن بُعد وتنفيذ الأوامر عن بُعد والمهام الأخرى المتعلقة بالشبكة عبر أمر scp أو الأمر sftp بين خادمين يتصلان على قناة آمنة عبر الشبكة.

في هذا المقال ، سأعرض عليك بعض الأدوات والحيل البسيطة التي ستساعدك على ذلك تشديد أمن خادم ssh الخاص بك. ستجد هنا بعض المعلومات المفيدة حول كيفية تأمين خوادم ssh ومنعها القوة الغاشمة و هجمات القاموس.

1. DenyHosts

DenyHosts هو برنامج نصي مفتوح المصدر لمنع التطفل يستند إلى السجل لخوادم SSH تمت كتابته بلغة برمجة Python من المفترض أن يتم تشغيلها بواسطة مسؤولي نظام Linux والمستخدمين لمراقبة وتحليل سجلات الوصول إلى خادم SSH لمحاولات تسجيل الدخول الفاشلة المعروفة باسم الهجمات القائمة على القاموس و هجمات القوة الغاشمة.

السيناريو يعمل عن طريق الحظر IP عناوين بعد عدد محدد من محاولات تسجيل الدخول الفاشلة وكذلك منع مثل هذه الهجمات من الوصول إلى الخادم.

ميزات DenyHosts
  • يتتبع /var/log/secure للعثور على جميع محاولات تسجيل الدخول الناجحة والفاشلة وتصفيتها.
  • يراقب جميع محاولات تسجيل الدخول الفاشلة من قبل المستخدم والمضيف المسيء.
  • يستمر في المراقبة على كل مستخدم موجود وغير موجود (على سبيل المثال. xyz) عند محاولة تسجيل دخول فاشلة.
  • يتتبع كل مستخدم مخالف ، ومضيف ، ومحاولات تسجيل دخول مشبوهة (إذا كان هناك عدد من حالات فشل تسجيل الدخول) يحظر هذا المضيف IP العنوان عن طريق إضافة إدخال في /etc/hosts.deny ملف.
  • اختياريًا يرسل إشعارًا بالبريد الإلكتروني للمضيفين المحظورين حديثًا وعمليات تسجيل الدخول المشبوهة.
  • يحافظ أيضًا على جميع محاولات تسجيل دخول المستخدم الفاشلة الصالحة وغير الصالحة في ملفات منفصلة بحيث يسهل تحديد أي مستخدم صالح أو غير صالح يتعرض للهجوم. لذلك ، يمكننا حذف هذا الحساب أو تغيير كلمة المرور أو تعطيل shell لهذا المستخدم.

[ قد يعجبك ايضا: كيفية منع هجمات SSH الغاشمة باستخدام DenyHosts ]

2. Fail2Ban

Fail2ban هي واحدة من أكثر عمليات التطفل مفتوحة المصدر شيوعًا كشف/منع أطر مكتوبة في أ الثعبان لغة برمجة. يعمل عن طريق فحص ملفات السجل مثل /var/log/secure, /var/log/auth.log, /var/log/pwdfail إلخ. للعديد من محاولات تسجيل الدخول الفاشلة.

يتم استخدام Fail2ban للتحديث Netfilter / iptables أو TCP Wrapper’s المضيفين ملف ، لرفض المهاجم IP العنوان لفترة زمنية محددة. كما أن لديها القدرة على إلغاء حظر عنوان IP المحظور لفترة زمنية معينة يحددها المسؤولون. ومع ذلك ، فإن دقيقة معينة من إلغاء الحظر هي أكثر من كافية لوقف مثل هذه الهجمات الخبيثة.

ميزات Fail2Ban
  • متعدد الخيوط و جدا شكلي.
  • دعم دوران ملفات السجل ويمكنه التعامل مع خدمات متعددة مثل (sshd, vsftpd, اباتشي، إلخ).
  • يراقب ملفات السجل ويبحث عن الأنماط المعروفة وغير المعروفة.
  • الاستخدامات Netfilter / Iptables و التفاف TCP (/etc/hosts.deny) جدول لحظر IP المهاجمين.
  • يقوم بتشغيل البرامج النصية عندما يتم تحديد نمط معين لنفس عنوان IP أكثر من X مرات.

[ قد يعجبك ايضا: كيفية استخدام Fail2ban لتأمين خادم Linux الخاص بك ]

3. تعطيل تسجيل الدخول إلى الجذر

بشكل افتراضي ، يتم تكوين أنظمة Linux مسبقًا للسماح بتسجيل الدخول عن بُعد لـ ssh للجميع بما في ذلك جذر المستخدم نفسه ، والذي يسمح للجميع بتسجيل الدخول مباشرة إلى النظام والحصول على حق الوصول إلى الجذر. على الرغم من حقيقة أن خادم ssh يسمح بطريقة أكثر أمانًا لـ إبطال أو تمكين عمليات تسجيل الدخول إلى الجذر ، فمن الأفضل دائمًا تعطيل الوصول إلى الجذر ، مما يجعل الخوادم أكثر أمانًا.

هناك الكثير من الأشخاص الذين يحاولون إجبار حسابات الجذر عن طريق هجمات SSH ببساطة عن طريق توفير أسماء حسابات وكلمات مرور مختلفة ، واحدة تلو الأخرى. إذا كنت مسؤول نظام ، فيمكنك التحقق من سجلات خادم ssh ، حيث ستجد عددًا من محاولات تسجيل الدخول الفاشلة. السبب الرئيسي وراء عدد من محاولات تسجيل الدخول الفاشلة هو وجود كلمات مرور ضعيفة بدرجة كافية وهذا أمر منطقي المتسللين / المهاجمين لكي يحاول.

إذا كانت لديك كلمات مرور قوية ، فأنت على الأرجح بأمان ، ومع ذلك ، فمن الأفضل تعطيل تسجيل الدخول إلى الجذر ولديك حساب منفصل عادي لتسجيل الدخول ، ثم استخدام سودو أو سو للوصول إلى الجذر كلما لزم الأمر.

[ قد يعجبك ايضا: كيفية تعطيل تسجيل الدخول إلى SSH Root وتقييد وصول SSH في Linux ]

4. عرض شعار SSH

هذه واحدة من أقدم الميزات المتوفرة منذ بداية مشروع ssh، لكنني لم أر أنه يستخدم من قبل أي شخص. على أي حال ، أشعر أنها ميزة مهمة ومفيدة للغاية استخدمتها لجميع خوادم Linux الخاصة بي.

هذا ليس لأي غرض أمني ، ولكن أكبر فائدة لهذا الشعار هو أنه يُستخدم لعرض ssh رسائل التحذير إلى غير مصرح الوصول إلى الرسائل والترحيب بها للمستخدمين المصرح لهم قبل المطالبة بكلمة المرور وبعد أن يقوم المستخدم بتسجيل الدخول.

[ قد يعجبك ايضا: كيفية حماية عمليات تسجيل الدخول عبر SSH باستخدام رسائل شعار SSH و MOTD ]

5. SSH تسجيل الدخول بدون كلمة مرور

ان SSH تسجيل الدخول بدون كلمة مرور مع كجن SSH سيؤسس علاقة ثقة بين اثنين خوادم لينكس مما يجعل نقل الملف و التزامن أسهل بكثير.

يعد هذا مفيدًا جدًا إذا كنت تتعامل مع النسخ الاحتياطية الآلية عن بُعد ، وتنفيذ البرمجة النصية عن بُعد ، ونقل الملفات ، وإدارة البرامج النصية عن بُعد ، وما إلى ذلك دون إدخال كلمة المرور في كل مرة.

[ قد يعجبك ايضا: كيفية إعداد تسجيل الدخول بدون كلمة مرور عبر SSH في Linux [3 خطوات سهلة] ]

لتأمين خادم SSH بشكل أكبر ، اقرأ مقالتنا على كيفية تأمين خادم OpenSSH وتثبيته

Teachs.ru