Centos

5 Praktik Keamanan Terbaik Server Terbaik

5 Praktik Keamanan Terbaik Server Terbaik

Ssh (Shel amanl) adalah protokol jaringan open-source yang digunakan untuk menghubungkan server Linux lokal atau jarak jauh untuk mentransfer file, membuat cadangan jarak jauh, eksekusi perintah jarak jauh, dan tugas terkait jaringan lainnya melalui perintah SCP atau perintah SFTP antara dua server yang terhubung pada a Saluran aman melalui jaringan.

Di artikel ini, saya akan menunjukkan kepada Anda beberapa alat dan trik sederhana yang akan membantu Anda mengencangkan keamanan server ssh Anda. Di sini Anda akan menemukan beberapa informasi berguna tentang cara mengamankan dan mencegah server SSH dari kasar Dan Serangan Kamus.

1. Denyhosts

Denyhosts adalah skrip keamanan pencegahan intrusi berbasis log open-source untuk server SSH yang ditulis dalam bahasa pemrograman Python yang dimaksudkan untuk dijalankan oleh administrator sistem Linux dan pengguna untuk memantau dan menganalisis log akses server SSH untuk upaya login yang gagal diketahui sebagai Serangan berbasis kamus Dan serangan brute force.

Script berfungsi dengan melarang AKU P Alamat Setelah sejumlah upaya login yang gagal dan juga mencegah serangan tersebut mendapatkan akses ke server.

Fitur Denyhosts
  • Melacak /var/log/aman Untuk menemukan semua upaya login yang sukses dan gagal dan menyaringnya.
  • Mengawasi semua upaya login yang gagal oleh pengguna dan menyinggung host.
  • Terus menonton pada setiap pengguna yang ada dan tidak ada (misalnya. xyz) Ketika upaya login yang gagal.
  • Melacak setiap pengguna yang menyinggung, host, dan upaya login yang mencurigakan (jika sejumlah kegagalan login) melarang host yang host AKU P alamat dengan menambahkan entri di /etc/host.membantah mengajukan.
  • Secara opsional mengirimkan pemberitahuan email tentang host yang baru diblokir dan login yang mencurigakan.
  • Juga mempertahankan semua upaya login pengguna gagal yang valid dan tidak valid dalam file terpisah sehingga memudahkan untuk mengidentifikasi pengguna mana yang valid atau tidak valid sedang diserang. Jadi, kami dapat menghapus akun itu atau mengubah kata sandi, atau menonaktifkan shell untuk pengguna itu.

[Anda mungkin juga suka: cara memblokir serangan brute force ssh menggunakan denyhosts]

2. Fail2ban

Fail2ban adalah salah satu intrusi open-source yang paling populer deteksi/pencegahan Kerangka kerja ditulis dalam a Python bahasa pemrograman. Ini beroperasi dengan memindai file log seperti /var/log/aman, /var/log/auth.catatan, /var/log/pwdfail dll. Untuk terlalu banyak upaya login yang gagal.

Fail2ban digunakan untuk memperbarui Netfilter/ptables atau pembungkus TCP tuan rumah.membantah file, untuk menolak penyerang AKU P Alamat untuk jumlah waktu yang ditentukan. Ia juga memiliki kemampuan untuk membuka alamat IP yang diblokir untuk periode waktu tertentu yang ditetapkan oleh administrator. Namun, satu menit pembagian tertentu lebih dari cukup untuk menghentikan serangan jahat seperti itu.

Fitur Fail2ban
  • Multi-threaded Dan Sangat dapat dikonfigurasi.
  • Dukungan untuk rotasi file log dan dapat menangani beberapa layanan seperti (sshd, vsftpd, Apache, dll).
  • Memantau file log dan mencari pola yang dikenal dan tidak diketahui.
  • Penggunaan Netfilter/ptables Dan Pembungkus TCP (/etc/host.membantah) Tabel untuk melarang penyerang IP.
  • Menjalankan skrip ketika pola yang diberikan telah diidentifikasi untuk alamat IP yang sama lebih dari X waktu.

[Anda mungkin juga suka: cara menggunakan fail2ban untuk mengamankan server linux Anda]

3. Nonaktifkan login root

Secara default sistem Linux telah dikonfigurasi sebelumnya untuk memungkinkan login jarak jauh SSH untuk semua orang termasuk akar Pengguna itu sendiri, yang memungkinkan semua orang untuk langsung masuk ke sistem dan mendapatkan akses root. Terlepas dari kenyataan bahwa server ssh memungkinkan cara yang lebih aman cacat atau mengaktifkan login root, selalu merupakan ide yang baik untuk menonaktifkan akses root, menjaga server sedikit lebih aman.

Ada begitu banyak orang yang mencoba melakukan akun root brute via Serangan SSH dengan hanya menyediakan nama dan kata sandi akun yang berbeda, satu demi satu. Jika Anda seorang administrator sistem, Anda dapat memeriksa log server SSH, di mana Anda akan menemukan sejumlah upaya login yang gagal. Alasan utama di balik sejumlah upaya login yang gagal adalah memiliki kata sandi yang cukup lemah dan itu masuk akal Peretas/Penyerang untuk mencoba.

Jika Anda memiliki kata sandi yang kuat, maka Anda mungkin aman, lebih baik untuk menonaktifkan login root dan memiliki akun terpisah yang teratur untuk masuk, dan kemudian gunakan sudo atau su untuk mendapatkan akses root kapan pun diperlukan.

[Anda mungkin juga suka: cara menonaktifkan login root ssh dan membatasi akses ssh di linux]

4. Tampilkan spanduk SSH

Ini adalah salah satu fitur tertua yang tersedia dari awal Proyek SSH, Tapi saya hampir tidak melihatnya digunakan oleh siapa pun. Ngomong -ngomong, saya merasa ini adalah fitur penting dan sangat berguna yang saya gunakan untuk semua server Linux saya.

Ini bukan untuk tujuan keamanan apa pun, tetapi manfaat terbesar dari spanduk ini adalah digunakan untuk menampilkan ssh pesan peringatan ke Tidak resmi akses dan menyambut pesan kepada pengguna yang diotorisasi sebelum kata sandi prompt dan setelah pengguna masuk.

[Anda mungkin juga suka: cara melindungi login ssh dengan pesan spanduk ssh & motd]

5. SSH Login Tanpa Kata Sandi

Sebuah Login SSH-Less Kata Sandi dengan SSH Keygen akan membangun hubungan kepercayaan antara dua Server Linux yang membuat transfer file Dan sinkronisasi jauh lebih mudah.

Ini sangat berguna jika Anda berurusan dengan cadangan otomatis jarak jauh, eksekusi skrip jarak jauh, transfer file, manajemen skrip jarak jauh, dll tanpa memasukkan kata sandi setiap kali.

[Anda mungkin juga suka: cara mengatur login tanpa kata sandi ssh di linux [3 langkah mudah]]

Untuk lebih mengamankan server SSH Anda, baca artikel kami tentang cara mengamankan dan mengeras server openssh