پیکربندی و گزینه‌های امنیتی سرور SSH لینوکس (sshd) به همراه مثال

30 بهمن 1404
ارسال شده توسط
برنامه‌نویسی، خط فرمان، دواپس، گنو/لینوکس

SSH مخفف Secure Shell یا Secure Socket shell است. طبق ویکی‌پدیا، پروتکل Secure Shell یک پروتکل شبکه رمزنگاری برای اجرای ایمن سرویس‌های شبکه بر روی یک شبکه ناامن است. sshd مخفف Secure shell daemon است. SSH یکی از مطمئن‌ترین راه‌هایی است که می‌توانید برای ایمن‌سازی سرور لینوکس خود – سرور خصوصی مجازی – انتخاب کنید، که ممکن است روی فضای ابری یا سروری که به صورت محلی روی دستگاه خود میزبانی کرده‌اید، میزبانی شود.

این مقاله فرض می‌کند که شما از قبل ابزارهای ssh را روی دستگاه لینوکس خود نصب کرده‌اید.

گزینه‌های پیکربندی و امنیتی

مرحله ۱: با استفاده از ابزار keygen جفت کلیدهای ssh را ایجاد کنید

ترمینال لینوکس خود را باز کنید و به سرور خود متصل شوید. سپس در سمت کلاینت (یک ترمینال دیگر باز کنید) دستورات زیر را برای ورود با استفاده از جفت کلیدهای ssh اجرا کنید. برای تولید جفت کلیدهای عمومی و خصوصی، دستور زیر را اجرا کنید:

ssh-keygen -t rsa -b 2048 -C "put any comments here"

برای مشاهده، کلید id_rsa.pub را اجرا کنید، سپس دستور زیر را اجرا کنید:

cat .ssh/id_rsa.pub

دستور زیر محتویات فایل id_rsa را فهرست می‌کند:

cat.ssh/id_rsa

مرحله 2: اکنون کلیدها را در ماشین مجازی خود کپی کنید

دستور زیر را روی دستگاه خود اجرا کنید تا کلیدها کپی شوند:

ssh-copy-id {username}@{ipaddress}

مرحله ۳: اگر می‌خواهید احراز هویت با رمز عبور را غیرفعال کنید، پیکربندی sshd را با اجرای دستور زیر باز کنید (توصیه می‌شود)

sudo vim /etc/ssh/sshd_config

گزینه PasswordAuthentication را پیدا کنید و آن را به no تغییر دهید.

علامت # را قبل از PasswordAuthentication (یا هر گزینه‌ای که می‌خواهید تغییر دهید) حذف کنید و آن را به no تغییر دهید. مطمئن شوید که PubkeyAuthentication روی yes تنظیم شده است. فایل کلیدهای مجاز، تمام کلیدهایی را که ایجاد کرده‌اید نشان می‌دهد.

حالا با اجرای دستور زیر سرویس ssh را ریستارت کنید:

systemctl restart ssh

وقتی پیکربندی sshd را باز می‌کنید، گزینه‌های زیادی را در آنجا مشاهده خواهید کرد. ما در اینجا به برخی از آنها خواهیم پرداخت.

گزینه ۱: پورت ۲۲

پورت به طور پیش‌فرض روی ۲۲ تنظیم شده است. اگر می‌خواهید تنظیمات پیش‌فرض را تغییر دهید، نظرات را حذف کرده و پورت مورد نظر خود را وارد کنید. توصیه می‌شود از پورت ۲۲ استفاده نکنید زیرا هر کسی که سعی در نفوذ به سیستم شما دارد، به احتمال زیاد ابتدا پورت ۲۲ را برای آسیب‌پذیری‌ها بررسی می‌کند.

گزینه ۲: AddressFamily

این به شما امکان می‌دهد نوع آدرس‌هایی را که می‌خواهید به سرور خود متصل شوید، مانند ssh، bastion (برای دستگاه لینوکس که به صورت مجازی در Microsoft Azure میزبانی می‌شود)، ipv4، ipv6 و غیره، پیکربندی کنید. پیش‌فرض any است که به شما امکان می‌دهد با استفاده از هر پروتکلی به سرور خود متصل شوید.

گزینه ۳: MaxAuthTries

این به شما امکان می‌دهد حداکثر محدودیت برای ورود رمز عبور اشتباه را تعیین کنید. این امر ضروری است زیرا به محافظت از سرور شما در برابر حملات احتمالی brute-force کمک می‌کند.

گزینه ۴: MaxSessions

این گزینه به شما امکان می‌دهد محدودیتی برای تعداد جلسات فعال یک کاربر تعیین کنید. این گزینه در صورتی که کاربر رمزهای عبور خود را فاش کند، امنیت بیشتری را فراهم می‌کند.

گزینه ۵: انتخاب الگوریتم مورد نظر شما

الگوریتم پیش‌فرض برای کلیدهای عمومی و خصوصی، الگوریتم RSA است. با این حال، می‌توانید نوع الگوریتم را با استفاده از دستور تولید کلید زیر، متناسب با نیازهای خود تغییر دهید:

ssh-keygen -t {put the name of your desired algorithm over here} -b 2048 -C "put any comments here"

geeksforgeeks

درباره فرشید نوتاش حقیقت

همیشه نیازمند یک منبع آموزشی فارسی در حوزه نرم‌افزارهای آزاد/ متن‌باز و سیستم‌عامل گنو/لینوکس بودم. از این رو این رسالت رو برای خودم تعریف کردم تا رسانه «محتوای باز» رو بوجود بیارم.

دیدگاهتان را بنویسید

این سایت از اکیسمت برای کاهش جفنگ استفاده می‌کند. درباره چگونگی پردازش داده‌های دیدگاه خود بیشتر بدانید.