همه آموزش ها با 50 درصد تخفیف تو جشنواره بهاره توسینسو
50 درصد تخفیف
مانده تا پایان تخفیف ها
مانده تا پایان تخفیف ها
امین عرب

آموزش امن کردن SSH به زبان ساده : SSH Hardening لینوکس

بنر SSH : برای ایجاد بنر قبل از ورود کاربر کارهای زیر را انجام می دهیم ، فایل issue.net را از مسیر زیر با یک ویرایش گر متن باز کرده و نوشته ی پیش فرض درون آن رو حذف می کنیم و نوشته مورد نظر که یک اخطار امنیتی است را وارد می کنیم:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
برای مشاهده تخفیف های ویژه امروز کلیک کنید
سرفصل های این مطلب
  1. تغییر پورت پیش فرض SSH
  2. بلاک کردن کاربر root برای ورود اولیه به سیستم
  3. ریست کردن سرویس SSH 
nano /etc/issue.net

متن مورد نظر می تواند به شکل زیر باشد:

ALERT! You are entering into a secured area! Your IP, Login Time, Username has been noted and has been sent to the server administrator!
This service is restricted to authorized users only. All activities on this system are logged.
Unauthorized access will be fully investigated and reported to the appropriate law enforcement agencies.

تغییرات را ذخیره می کنیم، فایل کانفیگ SSH را با یک ویرایش گر متن باز کرده و دنبال خط #Banner somepath می گردیم.

nano /etc/ssh/sshd_config
  • نکته: برای سرچ سریع در ویرایشگر نانو از کلیدهای ctrl+w استفاده می کنیم

خط را از حالت کامنت خارج می کنیم (علامت # را از ابتدای خط حذف می کنیم) و مسیر فایل issue.net را جلوی Banner قرار می دهیم.

Banner /etc/issue.net

پس از تغییرات فایل کانفیگ SSH را ذخیره می کنیم. سرویس SSH را ریست می کنیم

/etc/init.d/sshd restart

تغییر پورت پیش فرض SSH

این کار بسیار ساده است، فایل کانفیگ SSH را با یک ویرایشگر باز می کنیم و دنبال خط #Port 22 می گردیم، خط را از حالت کامنت خارج کرده و عدد 22 را به عدد دلخواه (در بازه 1024 تا 65535) تغییر می دهیم. فایل را ذخیره کرده و خارج می شویم.حالا باید به سراغ فایروال رفته و پورت مورد نظر را برای SSH باز کنیم. ابتدا فایل تنظیمات فایروال را با یک ویرایشگر باز می کنیم.

nano /etc/sysconfig/iptables

و خط زیر را در فایل فایروال وارد کرده و آن را ذخیره می کنیم

-A INPUT -m state --state NEW -m tcp -p tcp --dport Port_Delkhah -j ACCEPT

فایل فایروال را ذخیره کرده و در پایان سرویس فایروال را ریست می کنیم

/etc/init.d/iptables restart

بلاک کردن کاربر root برای ورود اولیه به سیستم

یکی دیگر از راه کارهای امنیتی بلاک کردن کاربر root برای ورود اولیه می باشد! یعنی باید کاری کنیم یک کار بر با دسترسی محدود وارد سیستم شده و با دستور su وارد کاربر root شود! برای این کار فایل کانفیگ SSH را با یک ویرایشگر باز می کنیم

nano /etc/ssh/sshd_config

خط #PermitRootLogin yes را از حالت کامنت خارج می کنیم و yes را به no تغییر می دهیم. سپس فایل کانفیگ را ذخیره کرده و سرویس ssh را ریست می کنیم.

#PermitRootLogin yes  PermitRootLogin no

ریست کردن سرویس SSH

/etc/init.d/sshd restart

حالا یک کاربر جدید می سازیم

useradd test

گذرواژه ای برای آن انتخاب می کنیم

passwd test

و در پایان کاربر را به sudoer تبدیل می کنیم.

echo 'test ALL=(ALL) ALL' >> /etc/sudoers

از این پس برای وارد شدن می بایست با کاربر test وارد شد و سپس با دستور su و وارد کردن گذرواژه ی کاربر root به محیط root وارد شد.

4 6
امین عرب
امین عرب

کارشناس IT آشنایی کامل با شبکه های مبتنی بر سیسکو،لینوکس و مایکروسافت علاقه مند به کار در حوزه اینترنت اشیاء و برنامه نویسی Embeded (در حال مطالعه هستم)

نظرات