در دانشنامه “امنیت در لینوکس(امنیت ssh)” درمورد 5 روش برای امن کردن protocol SSH پرتاختیم. در این دانشنامه در مورد 5 روش دیگر صحبت خواهیم کرد.
1.غیر فعال کردن احراز هویت میزبان:
برای غیر فعال کردن احراز هویت میزبان در فایل sshd_config خط زیر را وارد کنید:
#vi /etc/ssh/sshd_config
2.غیر فعال کردن دسترسی root در SSH:
در بعضی مواقع نیازی برای دسترسی root به سرور وجود ندارد برای اینکه یوزر های معمولی نیز با وارد کردن Sudo یا Su در Command Line و با وارد کردن Pass روت دسترسی root داشته باشند. admin های لینوکس با استفاده از یوزر معمولی می توانند دسترسی روت داشته باشند و البته می توانند یوزر هایی که می خواستن دسترسی روت داشته باشند را شناسایی کرده و کنترل کنند.
در فایل sshd_config خط زیر ویرایش کنید:
3.کنترل پرت ssh در فایروال :
در فایروال iptables در لینوکس برای کنترل پرت ssh که پیش فرض 22 است( می توان پرت ssh را تغییر داد در ادامه خواهیم گفت) می توان در فایروال آن را تعریف کرد تا بتوان در iptable لینوکس آن را کنترل کرد.
دو خط زیر را در فایل /etc/sysconfig/iptables اضافهکرده و save کنید.
-A RH-Firewall-1-INPUT -s <ip-address> -m state --state NEW -p tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -s <ip-address> -m state --state NEW -p tcp --dport 22 -j ACCEPT
4.عوض کردن پرت ssh و محدود کردن IP:
پیش فرض ssh در اینترفیس و IP سیستم با پرت 22 است و با این پورت می توان دسترسی ssh داشته باشیم. می توان آن را تغییر داد. این کار برای جلوگیری از حملات brute-Force است که با تغییر دادن پرت هکر ها نمی توانند با پرت پیش فرض حملاتی انجام دهند ولی روش هایی وجود دارد برای پیدا کردن پرت های باز در یک سیستم.(نرم افزار هایی مثل Nmap و ZenMap با جستجو پرت ها در یک سیستم می توانند پورت های باز یک سیستم را پیدا کنند ولی با فایروال می توان جلوی port Scaning را هم گرفت)
به غیر از عوض کردن پرت می توان IP مورد نظر برای وصل شدن را تعریف کرد.
در فایل sshd_config خط های زیر ویرایش کنید:
5. غیر فعال کردن پسورد خالی:
شما باید جلوی وارد شدن یوزر ها را با پسورد خالی به سیستم را بگیرید.
در فایل sshd_config خط زیر را ویرایش کنید: