![Cara Memperbaiki Keistimewaan File Hilang Steam di Windows 10/11 (7 Cara Terbaik)](/f/0c22eb566758ab15a3ff4371ddefca92.jpg?width=100&height=100)
Server berjalan SSH biasanya menjadi sasaran empuk serangan brute-force. Peretas terus-menerus menghadirkan alat perangkat lunak dan bot inovatif untuk mengotomatiskan serangan brute-force yang selanjutnya meningkatkan risiko intrusi.
Dalam panduan ini, kami mengeksplorasi beberapa tip yang dapat Anda terapkan untuk melindungi server SSH Anda dari serangan brute-force Distribusi Linux berbasis RHEL Dan Turunan Debian.
Metode autentikasi default untuk SSH adalah otentikasi nama pengguna/kata sandi. Tapi seperti yang telah kita lihat, otentikasi kata sandi rentan terhadap serangan brute-force. Agar aman, disarankan untuk menerapkan autentikasi SSH berbasis kunci di mana autentikasi dimungkinkan oleh pasangan kunci SSH publik dan pribadi. Kunci pribadi tetap ada di PC klien sementara kunci publik disalin ke server.
Selama otentikasi kunci SSH, server memeriksa apakah PC klien memiliki kunci privat. Jika pemeriksaan berhasil, sesi shell dibuat atau perintah yang dikirim ke server jarak jauh berhasil dijalankan. Kami memiliki panduan lengkap tentang
cara mengkonfigurasi autentikasi berbasis kunci SSH.Bahkan setelah menyiapkan autentikasi berbasis Kunci, server Anda masih rentan terhadap serangan brute-force karena alasan sederhana bahwa autentikasi kata sandi masih aktif. Ini perlu dinonaktifkan.
Oleh karena itu, edit file konfigurasi SSH default.
$ sudo vim /etc/ssh/sshd_config.
Mengatur Otentikasi Kata Sandi parameter ke TIDAK
seperti yang ditunjukkan.
PasswordAutentikasi no.
Kemudian simpan file dan muat ulang SSH untuk menerapkan perubahan.
$ sudo systemctl memuat ulang ssh.
Ditulis dalam Piton, Fail2ban adalah kerangka kerja pencegahan intrusi sumber terbuka yang memindai file log layanan untuk autentikasi kegagalan dan melarang IP yang berulang kali gagal memeriksa otentikasi kata sandi untuk jumlah tertentu waktu.
Fail2ban terus-menerus memantau file log server untuk upaya intrusi dan aktivitas jahat lainnya, Setelah sejumlah otentikasi yang telah ditentukan kegagalan – dalam banyak kasus, 3 upaya login gagal – Fail2ban secara otomatis memblokir host jarak jauh untuk mengakses server, dan host tersebut disimpan dalam 'Penjara' untuk durasi waktu tertentu.
Dalam melakukannya, Fail2ban secara signifikan mengurangi tingkat upaya otentikasi kata sandi yang salah. Lihat panduan kami tentang bagaimana Anda bisa instal dan konfigurasikan Fail2ban di Linux untuk mengamankan server Anda dari serangan Bruteforce.
Cara sederhana lain untuk melindungi server Anda dari serangan brute-force adalah dengan membatasi jumlah upaya login SSH. Secara default, ini diatur ke 3, tetapi jika kebetulan ini disetel ke nilai yang lebih tinggi, setel ke paling banyak 3 upaya koneksi.
Misalnya, untuk mengatur koneksi maksimum, coba atur ke 3 MaxAuthTries parameter ke 3 seperti yang ditunjukkan
MaxAuthTries = 3.
Sekali lagi, simpan perubahan dan muat ulang layanan SSH.
$ sudo systemctl memuat ulang ssh.
TCP wrappers adalah perpustakaan yang menyediakan berbasis host Daftar Kontrol Akses (ACL) yang membatasi akses ke layanan TCP oleh klien jarak jauh berdasarkan alamat IP mereka
Remote host dari mengakses layanan pada sistem. Pembungkus TCP menggunakan /etc/hosts.allow Dan /etc/hosts.deny file konfigurasi (dalam urutan itu) untuk menentukan apakah klien jarak jauh diizinkan untuk mengakses layanan tertentu atau tidak.
Biasanya, file-file ini dikomentari dan semua host diizinkan melalui lapisan pembungkus TCP. Aturan untuk mengizinkan akses ke layanan tertentu ditempatkan di /etc/hosts.allow file dan didahulukan dari aturan di /etc/hosts.deny mengajukan.
Praktik terbaik merekomendasikan memblokir semua koneksi masuk. Oleh karena itu, buka /etc/hosts.deny mengajukan.
$ sudo vim /etc/hosts.deny.
Tambahkan baris berikut.
SEMUA SEMUA.
Simpan perubahan dan keluar dari file.
Kemudian akses /etc/hosts.allow mengajukan.
$ sudo vim /etc/hosts.allow.
Konfigurasikan host atau domain yang dapat terhubung ke server melalui SSH seperti yang ditunjukkan. Dalam contoh ini, kami hanya mengizinkan dua host jarak jauh untuk terhubung ke server (173.82.227.89 Dan 173.82.255.55) dan menyangkal sisanya.
sshd: 173.82.227.89 173.82.255.55. sshd: SEMUA: DENY.
Simpan perubahan dan keluar dari file konfigurasi.
Untuk mengujinya, coba sambungkan ke server dari host yang tidak termasuk yang Anda izinkan aksesnya. Anda harus mendapatkan kesalahan izin seperti yang ditunjukkan.
$ssh [email dilindungi] kex_exchange_identification: baca: Koneksi diatur ulang oleh peer. Koneksi diatur ulang oleh port 173.82.235.7 22. kehilangan koneksi.
Otentikasi Dua Faktor menyediakan lapisan keamanan tambahan untuk autentikasi kata sandi, sehingga membuat server Anda lebih aman dari serangan brute-force. Sebuah digunakan secara luas Otentikasi Dua Faktor solusi adalah Aplikasi Google Authenticator dan kami memiliki panduan yang terdokumentasi dengan baik tentang bagaimana Anda bisa menyiapkan Otentikasi Dua Faktor.
Ini adalah ringkasan dari 5 praktik terbaik yang dapat Anda terapkan untuk mencegahnya Kekuatan Brute SSH serangan login dan memastikan keamanan server Anda. Anda juga bisa membaca Cara mengamankan dan mengeraskan Server OpenSSH.