Mengamankan Koneksi SSH Anda di Ubuntu 20.04

mhernawan

MHernawan

Posted on July 14, 2020

Mengamankan Koneksi SSH Anda di Ubuntu 20.04

OpenSSH adalah implementasi protokol SSH. OpenSSH direkomendasikan untuk login jarak jauh, membuat cadangan, transfer file jarak jauh melalui scp atau sftp, dan banyak lagi. SSH sempurna untuk menjaga kerahasiaan dan integritas untuk pertukaran data antara dua jaringan dan sistem. Namun, keuntungan utama adalah otentikasi server, melalui penggunaan kriptografi kunci publik. Dari waktu ke waktu ada desas-desus tentang OpenSSH zero day exploit. Halaman ini menunjukkan cara mengamankan server OpenSSH Anda yang berjalan pada sistem ubuntu 20.04 server yang merupakan penjabaran dari tulisan saya tentang pengaturan awal server di ITKoding untuk meningkatkan keamanan sshd.

1. Gunakan SSH login berbasis kunci publik

Server OpenSSH mendukung berbagai otentikasi. Disarankan agar Anda menggunakan otentikasi berbasis kunci publik. Pertama, buat pasangan kunci menggunakan perintah ssh-keygen berikut di desktop / laptop lokal Anda:

$ ssh-keygen -t key_type -b bits -C "comment"  
$ ssh-keygen -t ed25519 -C "Login to production cluster at xyz corp"  
$ ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa_aws_$(date +%Y-%m-%d) -C "AWS key for abc corp clients"

Selanjutnya, instal kunci publik menggunakan perintah ssh-copy-id:

$ ssh-copy-id -i /path/to/public-key-file user@host  
$ ssh-copy-id user@remote-server-ip-or-dns-name  
$ ssh-copy-id hernawan@ubuntul7-aws-server

Saat dipromosikan, masukkan kata sandi pengguna. Verifikasi bahwa login berbasis kunci ssh bekerja untuk Anda:

$ ssh hernawan@ubuntul7-aws-server

2. Nonaktifkan login pengguna root

Sebelum kami menonaktifkan login pengguna root, pastikan pengguna biasa dapat login sebagai root. Sebagai contoh, izinkan pengguna hernawan untuk login sebagai root menggunakan perintah sudo.

$ sudo adduser hernawan sudo

Setelah dikonfirmasi nonaktifkan login root dengan menambahkan baris berikut ke sshd_config:

PermitRootLogin no  
ChallengeResponseAuthentication no  
PasswordAuthentication no  
UsePAM no

3. Nonaktifkan login berbasis kata sandi

Semua login berbasis kata sandi harus dinonaktifkan. Hanya login berbasis kunci publik yang diizinkan. Tambahkan yang berikut ini di file sshd_config Anda:

AuthenticationMethods publickey
PubkeyAuthentication yes

4. Batasi akses shs Users

Secara default, semua pengguna sistem dapat masuk melalui SSH menggunakan kata sandi atau kunci publik mereka. Terkadang Anda membuat akun pengguna UNIX / Linux untuk tujuan FTP atau email. Namun, para pengguna dapat masuk ke sistem menggunakan ssh. Mereka akan memiliki akses penuh ke alat sistem termasuk kompiler dan bahasa scripting seperti Perl, Python yang dapat membuka port jaringan dan melakukan banyak hal mewah lainnya. Hanya izinkan pengguna hernawan untuk menggunakan sistem melalui SSH, tambahkan yang berikut ke sshd_config:

AllowUsers hernawan

5. Nonaktifkan Kata Sandi Kosong

Anda perlu secara eksplisit melarang login jarak jauh dari akun dengan kata sandi kosong, perbarui sshd_config dengan baris berikut:

PermitEmptyPasswords no

6. Ubah Port SSH dan batasi pengikatan IP

Secara default, SSH mendengarkan semua antarmuka yang tersedia dan alamat IP pada sistem. Batasi pengikatan port ssh dan ubah port ssh (banyak skrip memaksa hanya mencoba tersambung ke port TCP # 22). Untuk mengikat ke port 300, tambahkan atau perbaiki baris berikut di sshd_config:

Port 300

Kesimpulan

Dengan 6 langkah tersebut kita sudah bisa meminimalisir dari serangan maupun brute force melalui SSH ke server.

💖 💪 🙅 🚩
mhernawan
MHernawan

Posted on July 14, 2020

Join Our Newsletter. No Spam, Only the good stuff.

Sign up to receive the latest update from our blog.

Related