Ketika berhadapan dengan sebuah VPS atau Dedicated server, anda akan menggunakan Secure Shell untuk mengakses server untuk mengelola tugas sehari-hari. Jika anda mengakses server anda dari jarak jauh (menggunakan SSH), itu adalah ide yang baik untuk melindungi diri terhadap serangan. Berikut adalah beberapa saran tentang bagaimana untuk mengamankan SSH login:
Menonaktifkan login root
Mengubah default port SSH
- Menghasilkan kunci SSH
Mengakses server melalui SSH keys
Mari kita lihat lebih dekat pada rekomendasi ini:
Menonaktifkan login root
Karena akar pengguna diberikan hak istimewa pada server, dan mengekspos akar login memiliki ancaman untuk seluruh sistem anda, ini mungkin menjadi keputusan yang bijaksana untuk menonaktifkan login root.
Berikut adalah cara untuk melakukannya.
Tahap persiapan : pastikan untuk membuat user dengan Superuser ALIAS: sudo hak untuk melakukan semua yang diperlukan tindakan administratif. Setelah anda login ke server, ikuti langkah-langkah berikut:
1. Untuk membuat user baru, jalankan perintah berikut:
Dimana:
Useradd sebenarnya adalah perintah untuk membuat user
-m – argumen yang menciptakan pengguna dengan default home directory dalam format /home/user (dalam hal ini rumah/techuser).
Jika anda ingin menggunakan argumen yang berbeda dari default direktori, gunakan -d argumen bukan -m , dan menentukan direktori yang diinginkan misalnya /contoh/home/user )
-s – memungkinkan menentukan shell bagi pengguna (dalam hal ini shell /bin/bash)
-c – komentar itu. Sebenarnya komentar di sini adalah ‘Admin’
techuser – contoh nama pengguna. Bukan techuser anda dapat menggunakan nama pengguna yang anda suka, hanya pastikan untuk mengubah semua perintah di atas sesuai).
Menyetel kata sandi untuk pengguna baru (pastikan anda mengatur yang kuat, password yang aman ).
CATATAN : Saat mengetik password baru anda tidak akan melihat simbol-simbol yang muncul, seperti tersembunyi bidang tidak menunjukkan apa-apa sama sekali. Jika anda ragu-ragu tentang password anda, anda dapat menekan Ctrl + U untuk mengosongkan lapangan dan kemudian mulai dari awal.
passwd techuser
Sekarang anda perlu untuk menetapkan sudo (Superuser) hak untuk pengguna anda. Proses ini bervariasi tergantung pada distribusi Linux yang anda gunakan.
Debian (Ubuntu juga):
usermod -aG sudo techuser
Sekarang anda dapat menguji apakah anda pengguna baru dibuat memiliki hak sudo:
Beralih ke pengguna baru yang anda buat:
Misalnya: sudo ls -la /root Anda akan diminta untuk memasukkan password untuk user yang akan digunakan untuk log in ke sistem dan mengkonfirmasi sudo tindakan setiap kali mereka dibutuhkan oleh sistem.
Jika anda melakukan semuanya dengan benar, itu akan memberikan anda file output:
2. Menonaktifkan login SSH opsi untuk root:
Sekarang buka /etc/ssh/sshd_config . Anda dapat menggunakan nano text editor untuk ini:
sudo nano /etc/ssh/sshd_config
Kemudian menemukan (baik dengan atau tanpa “#” pada awal baris):
PermitRootLogin no
Pastikan diedit line tidak dimulai dengan # , karena akan dianggap sebagai komentar dan tidak akan membawa efek apapun.
Anda dapat mengedit default port SSH di file ini juga. Lihat bagaimana untuk membuat perubahan-perubahan di bawah ini.
Mengubah default port SSH
Secara default, SSH port diatur ke 22.
Cari baris berikut di file /etc/ssh/sshd_config :
E. g:
Dalam rangka untuk menjaga port kustom, pastikan bahwa port yang anda set up bekerja. Bagi sebagian besar firewall, port hingga 1000 terbuka secara default. Jika anda akan menggunakan angka yang lebih tinggi, pastikan untuk membukanya secara manual, menambahkan sesuai aturan untuk pengaturan firewall.
Dalam rangka untuk menguji pengaturan anda harus meninggalkan 2 port yang dibuka:
Port 22
Port 22345
Setelah anda log out dan log in kembali menggunakan port kustom, dan telah memastikan hal ini memungkinkan anda untuk menghubungkan, anda mungkin dapat komentar ( menempatkan # di awal baris) atau menghapus string dengan Port 22.
Menyimpan perubahan dan menutup file. Tekan Ctrl + O untuk menyimpan. Ketik Ctrl + X untuk keluar.
Untuk menerapkan pengaturan, layanan SSH perlu direstart. Jika anda login sebagai techuser (atau kustom dibuat untuk menggantikan akar), anda akan perlu untuk menggunakan perintah sudo untuk menjalankan aksi ini.
Tergantung pada distro dan versi, diperlukan perintah mungkin berbeda, dan juga sebagai nama dari layanan SSH (sshd untuk Centos dan CloudLinux dan ssh untuk Ubuntu).
Dalam contoh berikut kita menggunakan sudo systemctl restart sshd seperti kita menjalankan CentOS 7.
sudo /etc/init.d/sshd restart
sudo service sshd restart
sudo restart ssh
Jika anda telah menonaktifkan login root pada tahap sebelumnya, anda masih akan dapat login ke panel kontrol anda dengan root rincian.
Jika anda menggunakan cPanel lisensi bagi server anda, anda dapat menonaktifkan otentikasi password menggunakan SSH Password Otorisasi Tweak menu di panel WHM.
CATATAN : Setelah anda tekan Menonaktifkan Password Auth , semua cPanel pengguna akan dapat mengakses SSH hanya melalui SSH Keys.
Menghasilkan kunci SSH
Pada mesin lokal anda, anda harus memiliki sepasang kunci SSH (satu publik dan satu swasta).
Menghasilkan kunci SSH pada komputer lokal anda (berlaku untuk Linux dan MacOS):
Anda akan melihat pesan ini:
> Menghasilkan umum/pribadi pasangan kunci rsa .
Ketika anda diminta untuk Memasukkan file yang digunakan untuk menyimpan kunci , tekan Enter . Ini menerima default lokasi file dan nama. Hanya pastikan untuk tidak menimpa anda ada SSH keys. Anda dapat menemukan mereka dengan menggunakan perintah (anda dapat membatalkan penciptaan SSH keys dengan menggunakan Ctrl + C cara pintas, dan kemudian jalankan perintah di bawah ini untuk melihat jika anda memiliki kunci sudah):
> Masukkan file untuk menyimpan kunci (/home/anda/.ssh/id_rsa): Tekan Enter .
Pada prompt, ketik passphrase yang aman. Untuk informasi selengkapnya, lihat Bekerja dengan SSH key passphrase .
Masukkan passphrase (kosong tanpa kata sandi): Jenis frasa sandi
Masukkan kata sandi yang sama lagi : Ketik kata sandi lagi
Kata sandi ini digunakan untuk melindungi kunci anda. Anda akan diminta untuk itu ketika anda terhubung melalui SSH. Menghasilkan kunci SSH dengan passphrase tidak tidak dianjurkan untuk alasan keamanan.
You can check the process of generating ssh keys below:
id_rsa id_rsa.pub
3. Opsional: masukkan kunci komentar, yang akan mengidentifikasi kunci (berguna ketika anda menggunakan beberapa kunci SSH).
4. Ketik kata sandi dan konfirmasi. Kata sandi ini digunakan untuk melindungi kunci anda. Anda akan diminta untuk itu ketika anda terhubung melalui SSH.
5. Klik Menyimpan kunci privat dan Menyimpan kunci publik untuk menyimpan kunci-kunci yang sesuai.
Anda dapat menyalin kunci publik ke server SSH remote langsung dari PuTTYgen jendela seperti yang ditunjukkan pada screenshot.
Menyalin kunci publik ke server SSH
Anda perlu menyalin kunci publik ke server untuk file yang disebut authorized_keys terletak di daerah yang sama .ssh folder remote user di server. Ada perintah di Linux dan MacOS dapat anda gunakan untuk melakukan hal ini secara otomatis:
ssh-copy-id -p your_custom_port_number techuser@manayourserverip
Atau anda dapat secara manual menyalin isi id_rsa.pub (hal ini penting untuk menyalin isi dari kunci publik, BUKAN pribadi salah satu):
Untuk mengedit file authorized_keys pada remote server anda dapat menggunakan perintah ini setelah anda tersambung kembali ke server:
Anda mungkin akan melihat semua teks yang disisipkan dalam satu baris, sehingga mungkin tampak berbeda pada layar anda.Jika anda memiliki lisensi cPanel, adalah mungkin untuk mengatur Kunci SSH menggunakan WHM atau cPanel.
2. Pergi ke Pusat Keamanan >> Mengelola root SSH Keys >> Menghasilkan Kunci Baru :
Kunci sandi : masukkan atau tekan Tombol Generate
Lagi kata sandi: masukkan kembali password
Pilih jenis : RSA (lebih lambat untuk menghasilkan, tetapi yang lebih cepat untuk memvalidasi) atau DSA (lebih cepat untuk menghasilkan, tetapi lambat untuk memvalidasi)
Kunci Size : memilih ukuran Kunci (jumlah yang lebih tinggi, keamanan yang lebih, tapi lebih lambat otentikasi kecepatan)
Dan tekan Tombol Generate .Setelah itu dilakukan, sepasang kunci publik dan swasta yang dihasilkan.
Dalam rangka untuk menggunakannya untuk login anda harus Mengotorisasi kunci publik. Untuk melakukannya, silakan Kembali ke SSH manager >> public_keys >> menemukan kunci anda dan pergi untuk Mengelola Otorisasi .
Jika anda akan menggunakan PUTTY, anda akan perlu untuk mengubahnya ke format PPK. Dalam rangka untuk melakukannya, masukkan password untuk user dan tekan convert.
Untuk mengimpor kunci yang ada, anda dapat kembali ke SSH manajer, dan menemukan Mengimpor Kunci pilihan.
Impor Utama akan mengarahkan anda ke jendela berikut. Silahkan memilih nama untuk kunci ini dan paste yang diinginkan (swasta atau publik) kunci anda untuk mengimpor. Ini juga akan memungkinkan untuk mengimpor PPK kunci. Jika anda tidak menggunakan salah satu, anda mungkin biarkan bidang ini kosong.