Phenquestions
- Cara menonaktifkan akses root ssh di Debian 10 Buster
- Alternatif untuk mengamankan akses ssh Anda
- Memfilter port ssh dengan iptables
- Menggunakan pembungkus TCP untuk memfilter ssh
- Menonaktifkan layanan ssh
- Artikel terkait
Cara menonaktifkan akses root ssh di Debian 10 Buster
Untuk menonaktifkan akses root ssh Anda perlu mengedit file konfigurasi ssh, di Debian itu it /etc/ssh/sshd_config, untuk mengeditnya menggunakan editor teks nano jalankan:
Di nano Anda dapat menekan CTRL+W (di mana) dan ketik izinRoot untuk menemukan baris berikut:
#PermitRootLogin larangan-sandi
Untuk menonaktifkan akses root melalui ssh, cukup batalkan komentar pada baris itu dan ganti larangan-kata sandi untuk tidak seperti pada gambar berikut.
Setelah menonaktifkan akses root, tekan CTRL+X dan kamu untuk menyimpan dan keluar.
Itu larangan-kata sandi opsi mencegah login kata sandi yang hanya mengizinkan login melalui tindakan mundur seperti kunci publik, mencegah serangan brute force.
Alternatif untuk mengamankan akses ssh Anda
Batasi akses ke Autentikasi Kunci Publik:
Untuk menonaktifkan login kata sandi yang hanya mengizinkan login menggunakan kunci Publik, buka /etc/ssh/ssh_config file konfigurasi lagi dengan menjalankan:
Untuk menonaktifkan login kata sandi yang hanya mengizinkan login menggunakan kunci Publik, buka /etc/ssh/ssh_config file konfigurasi lagi dengan menjalankan:
nano /etc/ssh/sshd_configCari baris yang mengandung Otentikasi Pubkey dan pastikan tertulis Iya seperti pada contoh di bawah ini:
Pastikan otentikasi kata sandi dinonaktifkan dengan menemukan baris yang berisi Otentikasi Kata Sandi, jika berkomentar, batalkan komentar dan pastikan itu disetel sebagai tidak seperti pada gambar berikut:
Lalu tekan CTRL+X dan kamu untuk menyimpan dan keluar dari editor teks nano.
Sekarang sebagai pengguna yang ingin Anda izinkan akses ssh, Anda perlu membuat pasangan kunci pribadi dan publik. Lari:
ssh-keygenJawab urutan pertanyaan meninggalkan jawaban pertama default dengan menekan ENTER, atur kata sandi Anda, ulangi dan kunci akan disimpan di ~/.ssh/id_rsa
Masukkan file untuk menyimpan kunci (/root/.ssh/id_rsa):
Masukkan frasa sandi (kosongkan tanpa frasa sandi):
Identifikasi Anda telah disimpan di /root/.ssh/id_rsa.
Kunci publik Anda telah disimpan di /root/.ssh/id_rsa.pub.
Sidik jari kuncinya adalah:
SHA256:34+uXVI4d3ik6ryOAtDKT6RaIFclVLyZUdRlJwfbVGo root@linuxhint
Gambar randomart kuncinya adalah:
+---[RSA 2048]----+
Untuk mentransfer pasangan kunci yang baru saja Anda buat, Anda dapat menggunakan ssh-copy-id perintah dengan sintaks berikut:
ssh-copy-idUbah port ssh default:
Buka /etc/ssh/ssh_config file konfigurasi lagi dengan menjalankan:
nano /etc/ssh/sshd_config
Katakanlah Anda ingin menggunakan port 7645 alih-alih port default 22. Tambahkan baris seperti pada contoh di bawah ini:
Lalu tekan CTRL+X dan kamu untuk menyimpan dan keluar.
Mulai ulang layanan ssh dengan menjalankan:
layanan sshd restart
Maka Anda harus mengonfigurasi iptables untuk mengizinkan komunikasi melalui port 7645:
iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 7645
Anda juga dapat menggunakan UFW (Uncomplicated Firewall) sebagai gantinya:
ufw izinkan 7645/tcp
Memfilter port ssh
Anda juga dapat menentukan aturan untuk menerima atau menolak koneksi ssh sesuai dengan parameter tertentu. Sintaks berikut menunjukkan cara menerima koneksi ssh dari alamat IP tertentu menggunakan iptables:
iptables -A INPUT -p tcp --dport 22 --sourceiptables -A INPUT -p tcp --dport 22 -j DROP
Baris pertama dari contoh di atas menginstruksikan iptables untuk menerima permintaan TCP masuk (INPUT) ke port 22 dari IP 192.168.1.2. Baris kedua menginstruksikan tabel IP untuk menjatuhkan semua koneksi ke port 22. Anda juga dapat memfilter sumber berdasarkan alamat mac seperti pada contoh di bawah ini:
iptables -I INPUT -p tcp --dport 22 -m mac ! --mac-sumber 02:42:df:a0:d3:8f-j MENOLAK
Contoh di atas menolak semua koneksi kecuali perangkat dengan alamat mac 02:42:df:a0:d3:8f.
Menggunakan pembungkus TCP untuk memfilter ssh
Cara lain untuk memasukkan alamat IP ke daftar putih untuk terhubung melalui ssh sambil menolak sisanya adalah dengan mengedit host direktori.tolak dan tuan rumah.izinkan terletak di /etc.
Untuk menolak semua host jalankan:
nano /etc/hosts.menyangkal
Tambahkan baris terakhir:
sshd : SEMUA
Tekan CTRL+X dan Y untuk menyimpan dan keluar. Sekarang untuk mengizinkan host tertentu melalui ssh, edit file /etc/hosts.izinkan, untuk mengeditnya jalankan:
nano /etc/hosts.mengizinkan
Tambahkan baris yang berisi:
ssd :
Tekan CTRL+X untuk menyimpan dan keluar dari nano.
Menonaktifkan layanan ssh
Banyak pengguna dalam negeri menganggap ssh tidak berguna, jika tidak digunakan sama sekali bisa di hapus atau bisa di block atau filter portnya.
Di Debian Linux atau sistem berbasis seperti Ubuntu Anda dapat menghapus layanan menggunakan manajer paket aptpt.
Untuk menghapus layanan ssh, jalankan:
Tekan Y jika diminta untuk menyelesaikan penghapusan.
Dan itu semua tentang tindakan domestik untuk menjaga ssh tetap aman.
Saya harap Anda menemukan tutorial ini bermanfaat, terus ikuti LinuxHint untuk tips dan tutorial lainnya tentang Linux dan jaringan.
Artikel terkait:
- Cara Mengaktifkan Server SSH di Ubuntu 18.04 LTS
- Aktifkan SSH di Debian 10
- Penerusan Port SSH di Linux
- Opsi Konfigurasi SSH Umum Ubuntu
- Bagaimana dan Mengapa Mengubah Port SSH Default
- Konfigurasikan Penerusan SSH X11 di Debian 10
- Pengaturan, Kustomisasi, dan Optimasi Server Arch Linux SSH
- Iptables untuk pemula
- Bekerja dengan Debian Firewall (UFW)
