Bagaimana untuk mengamankan SSH login

Ketika berhadapan dengan sebuah VPS atau Dedicated server, anda akan menggunakan Secure Shell untuk mengakses server untuk mengelola tugas sehari-hari. Jika anda mengakses server anda dari jarak jauh (menggunakan SSH), itu adalah ide yang baik untuk melindungi diri terhadap serangan. Berikut adalah beberapa saran tentang bagaimana untuk mengamankan SSH login:

Menonaktifkan login root

Mengubah default port SSH

  • Menghasilkan kunci SSH

 

 

Mengakses server melalui SSH keys

 

Mari kita lihat lebih dekat pada rekomendasi ini:

Menonaktifkan login root

Karena akar pengguna diberikan hak istimewa pada server, dan mengekspos akar login memiliki ancaman untuk seluruh sistem anda, ini mungkin menjadi keputusan yang bijaksana untuk menonaktifkan login root.
Berikut adalah cara untuk melakukannya.

Tahap persiapan : pastikan untuk membuat user dengan Superuser ALIAS: sudo hak untuk melakukan semua yang diperlukan tindakan administratif. Setelah anda login ke server, ikuti langkah-langkah berikut:

1. Untuk membuat user baru, jalankan perintah berikut:

useradd -m -s /bin/bash -c “Admin” techuser

Dimana:

Useradd sebenarnya adalah perintah untuk membuat user
-m – argumen yang menciptakan pengguna dengan default home directory dalam format /home/user (dalam hal ini rumah/techuser).

Jika anda ingin menggunakan argumen yang berbeda dari default direktori, gunakan -d argumen bukan -m , dan menentukan direktori yang diinginkan misalnya /contoh/home/user )

-s – memungkinkan menentukan shell bagi pengguna (dalam hal ini shell /bin/bash)
-c – komentar itu. Sebenarnya komentar di sini adalah ‘Admin’
techuser – contoh nama pengguna. Bukan techuser anda dapat menggunakan nama pengguna yang anda suka, hanya pastikan untuk mengubah semua perintah di atas sesuai).

Menyetel kata sandi untuk pengguna baru (pastikan anda mengatur yang kuat, password yang aman ).

CATATAN : Saat mengetik password baru anda tidak akan melihat simbol-simbol yang muncul, seperti tersembunyi bidang tidak menunjukkan apa-apa sama sekali. Jika anda ragu-ragu tentang password anda, anda dapat menekan Ctrl + U untuk mengosongkan lapangan dan kemudian mulai dari awal.

passwd techuser

 

Setelah anda memasukkan kata sandi, anda harus menerima output sebagai berikut:

 

Sekarang anda perlu untuk menetapkan sudo (Superuser) hak untuk pengguna anda. Proses ini bervariasi tergantung pada distribusi Linux yang anda gunakan.

Debian (Ubuntu juga):

 

usermod -aG sudo techuser

 

CentOS (juga CloudLinux):
usermod -aG roda techuser

 

Sekarang anda dapat menguji apakah anda pengguna baru dibuat memiliki hak sudo:
Beralih ke pengguna baru yang anda buat:

anda – techuser

 

Tambahkan perintah yang membutuhkan akses Superuser dengan sudo:
Misalnya: sudo ls -la /root Anda akan diminta untuk memasukkan password untuk user yang akan digunakan untuk log in ke sistem dan mengkonfirmasi sudo tindakan setiap kali mereka dibutuhkan oleh sistem.
Jika anda melakukan semuanya dengan benar, itu akan memberikan anda file output:

 

However, If you are using WHM/cPanel, you can assign sudo rights to any cPanel user.  It is preferable to using the useradd command. To do so, once a cPanel account is created, you can go to your WHM >> Security Center >> Manage wheel group >>  Add a user to the wheel group.
Choose your cPanel username from the list, and click Add to Group.

 

2. Menonaktifkan login SSH opsi untuk root:

Sekarang buka /etc/ssh/sshd_config . Anda dapat menggunakan nano text editor untuk ini:

sudo nano /etc/ssh/sshd_config

 

Kemudian menemukan (baik dengan atau tanpa “#” pada awal baris):

#PermitRootLogin yes

 

Bukannya set ini:

PermitRootLogin no

 

Pastikan diedit line tidak dimulai dengan # , karena akan dianggap sebagai komentar dan tidak akan membawa efek apapun.

Anda dapat mengedit default port SSH di file ini juga. Lihat bagaimana untuk membuat perubahan-perubahan di bawah ini.

Mengubah default port SSH

Secara default, SSH port diatur ke 22.
Cari baris berikut di file /etc/ssh/sshd_config :

 

Menghapus # dan perubahan 22 dengan nomor port yang anda inginkan. Meskipun pastikan anda tidak menggunakan port yang digunakan oleh sistem-sistem yang lain ( yaitu 465,993 yang mail port dll).

E. g:

 

Dalam rangka untuk menjaga port kustom, pastikan bahwa port yang anda set up bekerja. Bagi sebagian besar firewall, port hingga 1000 terbuka secara default. Jika anda akan menggunakan angka yang lebih tinggi, pastikan untuk membukanya secara manual, menambahkan sesuai aturan untuk pengaturan firewall.

Dalam rangka untuk menguji pengaturan anda harus meninggalkan 2 port yang dibuka:
Port 22
Port 22345
Setelah anda log out dan log in kembali menggunakan port kustom, dan telah memastikan hal ini memungkinkan anda untuk menghubungkan, anda mungkin dapat komentar ( menempatkan # di awal baris) atau menghapus string dengan Port 22.

Menyimpan perubahan dan menutup file. Tekan Ctrl + O untuk menyimpan. Ketik Ctrl + X untuk keluar.

Untuk menerapkan pengaturan, layanan SSH perlu direstart. Jika anda login sebagai techuser (atau kustom dibuat untuk menggantikan akar), anda akan perlu untuk menggunakan perintah sudo untuk menjalankan aksi ini.

Tergantung pada distro dan versi, diperlukan perintah mungkin berbeda, dan juga sebagai nama dari layanan SSH (sshd untuk Centos dan CloudLinux dan ssh untuk Ubuntu).
Dalam contoh berikut kita menggunakan sudo systemctl restart sshd seperti kita menjalankan CentOS 7.

 

Varian lain jika anda menjalankan beberapa distro lainnya atau versi (misalnya Centos 6, Ubuntu 14.04 dan versi lebih lama):

sudo /etc/init.d/sshd restart
sudo service sshd restart
sudo restart ssh

Jika anda telah menonaktifkan login root pada tahap sebelumnya, anda masih akan dapat login ke panel kontrol anda dengan root rincian.
Jika anda menggunakan cPanel lisensi bagi server anda, anda dapat menonaktifkan otentikasi password menggunakan SSH Password Otorisasi Tweak menu di panel WHM.

CATATAN : Setelah anda tekan Menonaktifkan Password Auth , semua cPanel pengguna akan dapat mengakses SSH hanya melalui SSH Keys.

 

Menghasilkan kunci SSH

Pada mesin lokal anda, anda harus memiliki sepasang kunci SSH (satu publik dan satu swasta).

Menghasilkan kunci SSH pada komputer lokal anda (berlaku untuk Linux dan MacOS):

ssh-keygen -t rsa

Anda akan melihat pesan ini:
> Menghasilkan umum/pribadi pasangan kunci rsa .

Ketika anda diminta untuk Memasukkan file yang digunakan untuk menyimpan kunci , tekan Enter . Ini menerima default lokasi file dan nama. Hanya pastikan untuk tidak menimpa anda ada SSH keys. Anda dapat menemukan mereka dengan menggunakan perintah (anda dapat membatalkan penciptaan SSH keys dengan menggunakan Ctrl + C cara pintas, dan kemudian jalankan perintah di bawah ini untuk melihat jika anda memiliki kunci sudah):

ls -la ~/.ssh/

> Masukkan file untuk menyimpan kunci (/home/anda/.ssh/id_rsa): Tekan Enter .

Pada prompt, ketik passphrase yang aman. Untuk informasi selengkapnya, lihat Bekerja dengan SSH key passphrase .

Masukkan passphrase
(kosong tanpa kata sandi): Jenis frasa sandi
Masukkan kata sandi yang sama lagi : Ketik kata sandi lagi

Kata sandi ini digunakan untuk melindungi kunci anda. Anda akan diminta untuk itu ketika anda terhubung melalui SSH. Menghasilkan kunci SSH dengan passphrase tidak tidak dianjurkan untuk alasan keamanan.
You can check the process of generating ssh keys below:

Setelah anda telah dihasilkan kunci SSH anda, anda akan diberikan dengan dua tombol. Anda dapat memeriksa mereka di folder home anda dalam direktori yang disebut .ssh:
ls -la ~/.ssh/
id_rsa id_rsa.pub

 

Untuk Windows ada berbagai potongan perangkat lunak yang memungkinkan anda untuk menghasilkan kunci SSH:
WSL (Windows 10) memberikan pengalaman yang serupa dengan anda rutin distro Linux, anda hanya perlu mengaktifkan WSL, menginstal distro perangkat lunak yang anda suka dari Windows Store, dan menjalankannya menggunakan petunjuk ini. Setelah anda menginstal dan menjalankan hal ini, anda dapat membuat SSH key pair dengan cara yang sama anda dapat pada Linux (seperti yang ditunjukkan pada langkah sebelumnya).
MobaXterm, ConEmu, dan yang serupa juga memungkinkan anda untuk mensimulasikan Linux Shell sehingga anda dapat menggunakan program SSH dengan cara yang sama anda lakukan pada Linux (dan WSL).
PuTTY aplikasi SSH client yang memungkinkan anda untuk terhubung secara remote ke server SSH, tapi itu tidak mensimulasikan shell lingkungan, sehingga menghasilkan SSH keypair di sini adalah proses yang berbeda. Untuk ini, anda akan perlu PuTTYgen yang diinstal bersama dengan Dempul:
1. Buka Jendela Start menu >> All Program >> Dempul >> PuTTYgen .

 

2. Klik Menghasilkan dan mulai menggerakkan mouse secara acak dalam jendela PuTTYgen.
3. Opsional: masukkan kunci komentar, yang akan mengidentifikasi kunci (berguna ketika anda menggunakan beberapa kunci SSH).
4. Ketik kata sandi dan konfirmasi. Kata sandi ini digunakan untuk melindungi kunci anda. Anda akan diminta untuk itu ketika anda terhubung melalui SSH.
5. Klik Menyimpan kunci privat dan Menyimpan kunci publik untuk menyimpan kunci-kunci yang sesuai.

 

Anda dapat menyalin kunci publik ke server SSH remote langsung dari PuTTYgen jendela seperti yang ditunjukkan pada screenshot.

Menyalin kunci publik ke server SSH

Anda perlu menyalin kunci publik ke server untuk file yang disebut authorized_keys terletak di daerah yang sama .ssh folder remote user di server. Ada perintah di Linux dan MacOS dapat anda gunakan untuk melakukan hal ini secara otomatis:

ssh-copy-id -p your_custom_port_number [email protected]

Atau anda dapat secara manual menyalin isi id_rsa.pub (hal ini penting untuk menyalin isi dari kunci publik, BUKAN pribadi salah satu):

 

Dan kemudian paste di authorized_keys file pada server anda (masing-masing kunci baru dimulai pada baris baru, dalam kasus anda perlu untuk menambahkan beberapa tombol di masa depan).

Untuk mengedit file authorized_keys pada remote server anda dapat menggunakan perintah ini setelah anda tersambung kembali ke server:

nano ~/.ssh/authorized_keys
Setelah perubahan selesai, tekan Ctrl + O untuk menyimpan. Ketik Ctrl + X untuk keluar
Anda mungkin akan melihat semua teks yang disisipkan dalam satu baris, sehingga mungkin tampak berbeda pada layar anda.Jika anda memiliki lisensi cPanel, adalah mungkin untuk mengatur Kunci SSH menggunakan WHM atau cPanel.

WHM
1.Login ke panel WHM sebagai root.
2. Pergi ke Pusat Keamanan >> Mengelola root SSH Keys >> Menghasilkan Kunci Baru :

 

3.Menentukan pengaturan kunci:

 

Nama kunci : masukkan kunci unik anda (dalam contoh ini kami menggunakan ncstest)
Kunci sandi : masukkan atau tekan Tombol Generate
Lagi kata sandi: masukkan kembali password
Pilih jenis
: RSA (lebih lambat untuk menghasilkan, tetapi yang lebih cepat untuk memvalidasi) atau DSA (lebih cepat untuk menghasilkan, tetapi lambat untuk memvalidasi)
Kunci Size : memilih ukuran Kunci (jumlah yang lebih tinggi, keamanan yang lebih, tapi lebih lambat otentikasi kecepatan)
Dan tekan Tombol Generate .Setelah itu dilakukan, sepasang kunci publik dan swasta yang dihasilkan.
Dalam rangka untuk menggunakannya untuk login anda harus Mengotorisasi kunci publik. Untuk melakukannya, silakan Kembali ke SSH manager >> public_keys >> menemukan kunci anda dan pergi untuk Mengelola Otorisasi .

 

Pada jendela diminta, tekan Otorisasi .

 

Kemudian, tekan Kembali untuk SSH Manajer menemukan kunci pribadi yang telah anda buat dan copy itu.

 

Jika anda akan menggunakan PUTTY, anda akan perlu untuk mengubahnya ke format PPK. Dalam rangka untuk melakukannya, masukkan password untuk user dan tekan convert.

Untuk mengimpor kunci yang ada, anda dapat kembali ke SSH manajer, dan menemukan Mengimpor Kunci pilihan.

 

Impor Utama akan mengarahkan anda ke jendela berikut. Silahkan memilih nama untuk kunci ini dan paste yang diinginkan (swasta atau publik) kunci anda untuk mengimpor. Ini juga akan memungkinkan untuk mengimpor PPK kunci. Jika anda tidak menggunakan salah satu, anda mungkin biarkan bidang ini kosong.

Juga, anda dapat menghasilkan kunci SSH langsung dari cPanel.

Tinggalkan Balasan