أفضل 5 ممارسات لتأمين خادم SSH وحمايته

instagram story viewer

SSH (شيل آمنl) هو بروتوكول شبكة مفتوح المصدر يُستخدم لتوصيل خوادم Linux المحلية أو البعيدة لنقل الملفات وعمل نسخ احتياطية عن بُعد وتنفيذ الأوامر عن بُعد والمهام الأخرى المتعلقة بالشبكة عبر scp أو sftp بين خادمين يتصلان على قناة آمنة عبر الشبكة.

نصائح أمان SSH
نصائح أمان خادم SSH

في هذه المقالة ، سأعرض لك بعض الأدوات والحيل البسيطة التي ستساعدك على تشديد أمان خادم ssh. ستجد هنا بعض المعلومات المفيدة حول كيفية تأمين ومنع خادم ssh من القوة الغاشمة و هجمات القاموس.

1. DenyHosts

DenyHosts هو برنامج نصي مفتوح المصدر لمنع التطفل يستند إلى سجل مكتوب به الثعبان لغة البرمجة التي تهدف إلى تشغيلها من قبل مسؤولي نظام Linux والمستخدمين لمراقبة وتحليل سجلات الوصول إلى خادم SSH لمحاولات تسجيل الدخول الفاشلة تعرف باسم الهجمات القائمة على القاموس و هجمات القوة الغاشمة. السيناريو يعمل عن طريق الحظر IP عناوين بعد تعيين عدد من محاولات تسجيل الدخول الفاشلة وكذلك منع مثل هذه الهجمات من الوصول إلى الخادم.

ميزات DenyHosts
  1. يتتبع /var/log/secure للعثور على جميع محاولات تسجيل الدخول الناجحة والفاشلة وتصفيتها.
  2. يراقب جميع محاولات تسجيل الدخول الفاشلة من قبل المستخدم والمضيف المسيء.
  3. يراقب كل مستخدم موجود وغير موجود (على سبيل المثال. xyz) عند محاولة تسجيل دخول فاشلة.
  4. يتتبع كل مستخدم مخالف ، مضيف ومحاولات تسجيل دخول مشبوهة (إذا كان عدد مرات فشل تسجيل الدخول) يحظر هذا المضيف IP العنوان عن طريق إضافة إدخال في /etc/hosts.deny ملف.
  5. اختياريًا ، يرسل إخطارات عبر البريد الإلكتروني للمضيفين المحظورين حديثًا وعمليات تسجيل الدخول المشبوهة.
  6. يحافظ أيضًا على جميع محاولات تسجيل دخول المستخدم الفاشلة الصالحة وغير الصالحة في ملفات منفصلة ، بحيث يسهل تحديد أي مستخدم صالح أو غير صالح يتعرض للهجوم. لذلك ، يمكننا حذف هذا الحساب أو تغيير كلمة المرور أو تعطيل shell لهذا المستخدم.

قراءة المزيد: قم بتثبيت DenyHosts لمنع هجمات خادم SSH في RHEL / CentOS / Fedora

2. Fail2Ban

Fail2ban هي واحدة من أكثر عمليات التطفل مفتوحة المصدر شيوعًا كشف/منع إطار مكتوب فيه الثعبان لغة برمجة. يعمل عن طريق فحص ملفات السجل مثل /var/log/secure, /var/log/auth.log, /var/log/pwdfail إلخ. للعديد من محاولات تسجيل الدخول الفاشلة. تستخدم Fail2ban للتحديث Netfilter / iptables أو غلاف TCP hosts.deny ، لرفض المهاجم IP العنوان لفترة زمنية محددة. كما أن لديها القدرة على إلغاء حظر عنوان IP المحظور لفترة زمنية معينة يحددها المسؤولون. ومع ذلك ، فإن دقيقة معينة من إلغاء الحظر هي أكثر من كافية لوقف مثل هذه الهجمات الخبيثة.

ميزات Fail2Ban
  1. متعدد الخيوط و جدا شكلي.
  2. دعم تدوير ملفات السجل ويمكنه التعامل مع خدمات متعددة مثل (sshd, vsftpd, اباتشي، إلخ).
  3. يراقب ملفات السجل ويبحث عن الأنماط المعروفة وغير المعروفة.
  4. الاستخدامات Netfilter / Iptables و التفاف TCP (/etc/hosts.deny) جدول لحظر IP المهاجمين.
  5. يقوم بتشغيل البرامج النصية عندما يتم تحديد نمط معين لنفس عنوان IP لأكثر من X مرات.

قراءة المزيد: قم بتثبيت Fail2ban لمنع هجمات خادم SSH في RHEL / CentOS / Fedora

3. تعطيل تسجيل الدخول إلى الجذر

يتم تكوين أنظمة Linux بشكل افتراضي للسماح بتسجيل الدخول عن بُعد لـ ssh للجميع بما في ذلك جذر المستخدم نفسه ، والذي يسمح للجميع بتسجيل الدخول مباشرة إلى النظام والحصول على حق الوصول إلى الجذر. على الرغم من حقيقة أن خادم ssh يسمح بطريقة أكثر أمانًا لـ إبطال أو تمكين عمليات تسجيل الدخول إلى الجذر ، فمن الأفضل دائمًا تعطيل الوصول إلى الجذر ، مما يجعل الخوادم أكثر أمانًا.

هناك الكثير من الأشخاص الذين يحاولون إجبار حسابات الجذر عن طريق هجمات SSH ببساطة عن طريق توفير أسماء حسابات وكلمات مرور مختلفة ، واحدة تلو الأخرى. إذا كنت مسؤول نظام ، فيمكنك التحقق من سجلات خادم ssh ، حيث ستجد عدد محاولات تسجيل الدخول الفاشلة. السبب الرئيسي وراء عدد محاولات تسجيل الدخول الفاشلة هو وجود كلمات مرور ضعيفة بدرجة كافية وهذا أمر منطقي المتسللين / المهاجمين لكي يحاول.

إذا كانت لديك كلمات مرور قوية ، فأنت على الأرجح بأمان ، ولكن من الأفضل تعطيل تسجيل الدخول إلى الجذر ولديك حساب منفصل منتظم لتسجيل الدخول ، ثم استخدام سودو أو سو للوصول إلى الجذر كلما لزم الأمر.

قراءة المزيد: كيفية تعطيل تسجيل الدخول إلى SSH Root والحد من وصول SSH

4. عرض شعار SSH

هذه واحدة من أقدم الميزات المتوفرة منذ بداية مشروع ssh، لكنني لم أر أنه يستخدم من قبل أي شخص. على أي حال ، أشعر بميزة مهمة ومفيدة للغاية استخدمتها لجميع خوادم Linux الخاصة بي.

هذا ليس لأي غرض أمني ، ولكن أكبر فائدة لهذا الشعار هو أنه يتم استخدامه لعرض ssh رسائل التحذير ل غير مصرح الوصول إلى الرسائل والترحيب بها للمستخدمين المصرح لهم قبل المطالبة بكلمة المرور وبعد أن يقوم المستخدم بتسجيل الدخول.

قراءة المزيد: كيفية عرض رسائل شعار SSH و MOTD

5. SSH تسجيل الدخول بدون كلمة مرور

أ SSH تسجيل الدخول بدون كلمة مرور مع كجن SSH سيؤسس علاقة ثقة بين اثنين خوادم لينكس مما يجعل نقل الملف و التزامن أسهل بكثير. يعد هذا مفيدًا جدًا إذا كنت تتعامل مع النسخ الاحتياطية الآلية عن بُعد وتنفيذ البرمجة النصية عن بُعد ونقل الملفات وإدارة البرامج النصية عن بُعد وما إلى ذلك دون إدخال رمز المرور في كل مرة.

قراءة المزيد: كيفية تعيين تسجيل الدخول بدون كلمة مرور عبر SSH

Teachs.ru