![Cara Menambahkan & Menggunakan Beberapa Tanda Tangan Email di Gmail](/f/150556f944bb8e8bde7464d0cf3e204e.jpg?width=100&height=100)
Saat mengakses perangkat jarak jauh seperti server, router, dan sakelar, protokol SSH sangat penting direkomendasikan mengingat kemampuannya untuk mengenkripsi lalu lintas dan menangkal siapa pun yang mungkin mencoba menguping di Anda koneksi.
Bagaimanapun, pengaturan default SSH tidak sempurna dan tweak tambahan diperlukan untuk membuat protokol lebih aman. Dalam panduan ini, kami mengeksplorasi berbagai cara yang dapat Anda gunakan untuk mengamankan dan memperkuat instalasi OpenSSH di server.
Secara default, SSH mengharuskan pengguna untuk memberikan kata sandi mereka saat masuk. Tapi inilah masalahnya: peretas dapat menebak kata sandi atau bahkan melakukan serangan brute force menggunakan alat peretasan khusus dan mendapatkan akses ke sistem Anda. Untuk lebih amannya, gunakan Otentikasi tanpa kata sandi SSH sangat dianjurkan.
Langkah pertama adalah membuat pasangan kunci SSH yang terdiri dari a kunci publik dan kunci pribadi. NS kunci pribadi berada di sistem host Anda sementara kunci publik kemudian disalin ke server jauh.
sekali kunci publik berhasil disalin, sekarang Anda dapat memasukkan SSH ke server jarak jauh dengan mulus tanpa harus memberikan kata sandi.
Langkah selanjutnya adalah menonaktifkan otentikasi kata sandi, Untuk mencapai ini, Anda perlu memodifikasi file konfigurasi SSH.
$ sudo vim /etc/ssh/sshd_config.
Di dalam file konfigurasi, gulir dan temukan arahan berikut. Batalkan komentar dan ubah opsi 'ya'
ke 'tidak'
PasswordAutentikasi no.
Kemudian restart daemon SSH.
# sudo systemctl restart sshd.
Pada titik ini, Anda hanya akan memiliki akses ke server jarak jauh menggunakan otentikasi kunci SSH.
Cara lain yang disarankan untuk memperkuat keamanan server Anda adalah dengan menonaktifkan login SSH dari pengguna tanpa kata sandi. Ini terdengar agak aneh tetapi terkadang administrator sistem dapat membuat akun pengguna dan lupa menetapkan kata sandi – yang merupakan ide yang sangat buruk.
Untuk menolak permintaan dari pengguna tanpa kata sandi, sekali lagi, buka file konfigurasi di /etc/ssh/sshd_config
dan pastikan Anda memiliki arahan di bawah ini:
PermitEmptyPassword no.
Kemudian restart layanan SSH agar perubahan diterapkan.
$ sudo systemctl restart sshd.
Tidak masalah apa yang bisa terjadi jika seorang peretas berhasil memaksa kata sandi root Anda. Mengizinkan login root jarak jauh selalu merupakan ide buruk yang dapat membahayakan keamanan sistem Anda.
Untuk alasan ini, selalu disarankan agar Anda menonaktifkan login root jarak jauh SSH dan sebagai gantinya tetap menggunakan pengguna non-root biasa. Sekali lagi, buka file konfigurasi dan ubah baris ini seperti yang ditunjukkan.
IzinRootLogin no.
Setelah selesai, mulai ulang layanan SSH agar perubahan diterapkan.
$ sudo systemctl restart sshd.
Untuk selanjutnya, login root jarak jauh akan dinonaktifkan.
SSH hadir dalam dua versi: SSH protokol 1 dan protokol 2. SSH protokol 2 diperkenalkan pada tahun 2006 dan lebih aman daripada protokol 1 berkat pemeriksaan kriptografi yang kuat, enkripsi massal, dan algoritme yang kuat.
Secara default, SSH menggunakan protokol 1. Untuk mengubah ini menjadi lebih aman Protokol 2, tambahkan baris di bawah ini ke file konfigurasi:
Protokol 2.
Seperti biasa, mulai ulang SSH agar perubahan diterapkan.
$ sudo systemctl restart sshd.
Ke depan, SSH akan menggunakan Protokol 2 secara default.
Untuk menguji apakah SSH protokol 1 didukung lagi, jalankan perintah:
$ssh -1 [dilindungi email]
Anda akan mendapatkan kesalahan yang berbunyi “Protokol SSH v.1 tidak lagi didukung”.
Dalam hal ini, perintahnya adalah:
$ssh -1 [dilindungi email]
Selain itu, Anda cukup menentukan -2
tag hanya untuk memastikan itu Protokol 2 adalah protokol default yang digunakan.
$ssh -2 [dilindungi email]
Meninggalkan PC Anda tanpa pengawasan untuk waktu yang lama dengan koneksi SSH yang menganggur dapat menimbulkan risiko keamanan. Seseorang dapat dengan mudah melewati dan mengambil alih sesi SSH Anda dan melakukan apa pun yang mereka mau. Untuk mengatasi masalah ini, adalah bijaksana, oleh karena itu, untuk menetapkan batas waktu tunggu menganggur yang bila terlampaui, sesi SSH akan ditutup.
Sekali lagi, buka file konfigurasi SSH Anda dan temukan arahannya “Interval KlienAlive”. Tetapkan nilai yang masuk akal, misalnya, saya telah menetapkan batas ke 180 detik.
ClientAliveInterval 180.
Ini menyiratkan bahwa sesi SSH akan dibatalkan jika tidak ada aktivitas yang terdaftar setelah 3 menit yang setara dengan 180 detik.
Kemudian restart daemon SSH untuk melakukan perubahan yang dibuat.
$ sudo systemctl restart sshd.
Untuk lapisan keamanan tambahan, Anda dapat menentukan pengguna yang memerlukan protokol SSH untuk masuk dan melakukan tugas jarak jauh pada sistem. Ini mencegah pengguna lain yang mungkin mencoba masuk ke sistem Anda tanpa persetujuan Anda.
Seperti biasa, buka file konfigurasi dan tambahkan direktif “IzinkanPengguna” diikuti dengan nama pengguna yang ingin Anda berikan. Dalam contoh di bawah ini, saya telah mengizinkan pengguna 'dekat' dan 'james' untuk memiliki akses jarak jauh ke sistem melalui SSH. Pengguna lain yang mencoba mendapatkan akses jarak jauh akan diblokir.
AllowUsers tecmint james.
Setelah itu restart SSH agar perubahan tetap ada.
$ sudo systemctl restart sshd.
Cara lain Anda dapat menambahkan lapisan keamanan adalah dengan membatasi jumlah upaya login SSH sehingga setelah beberapa upaya gagal, koneksi terputus. Jadi sekali lagi menuju ke file konfigurasi dan cari "MaxAuthTries” dan tentukan nilai untuk jumlah upaya maksimum.
Dalam contoh ini, batas telah diatur ke 3 upaya seperti yang ditunjukkan.
MaxAuthTries 3.
Dan terakhir, restart layanan SSH seperti pada skenario sebelumnya.
Anda mungkin juga menemukan artikel terkait SSH berikut ini berguna:
Itu adalah ringkasan dari beberapa langkah yang dapat Anda ambil untuk mengamankan koneksi jarak jauh SSH Anda. Penting untuk ditambahkan bahwa Anda harus selalu menetapkan kata sandi yang kuat kepada pengguna yang memiliki akses jarak jauh untuk menggagalkan serangan brute force. Kami berharap Anda menemukan panduan ini berwawasan luas. Umpan balik Anda sangat diterima.