مضى على الشبكة و يوم من العطاء.

تأمين الشل على الخادم | Secure an SSH Server

S!L3NT H!LL

./عضو جديد

السمعة:

السلام عليكم ورحمة الله وبركاته


الحمدالله الذي لولاه ماجرى قلم، ولا تكلم لسان، والصلاة والسلام على سيدنا مُحمد [ صَلى الله عَليه وآله وصَحبه وسَلم ] كان أَفصَح الناس لسانًا وأَوضحهم بيانًا.

أسعد الله أوقاتكم بالمَسرات زوار وأعضاء شبكة شل العربية, استكمالًا للمواضيع التي أنوي طرحها وأولها كان [ إعدادات أمان PHP.INI على خوادم لينكس ] أعود إليكم بموضوع جديد وهو من الأمور الهامة جدًا في إدارة الخوادم

من المعروف أن SSH يوفر نقطة دخول للخادم سواء كان يوزر بصلاحيات محدودة أو root بصلاحيات كاملة على الخادم, لذلك من أهمية تأمين الشل أو SSH على السيرفر :

  1. منع الوصول غير المصرح به إلى الخادم.
  2. تخفيف هجمات القوة الغاشمة.
  3. تعزيز خصوصية البيانات بين العميل والخادم.
  4. الحماية ضد نقاط الضعف.

1- المحافظة على تحديث وترقية تطبيقات وخدمات السيرفر بشكل مستمر.

للتحديث على التوزيعات المبنية على ديبيان يكون من خلال الأمر التالي:
كود:
sudo apt upgrade

وللتوزيعات مثل RedHat يكون:
كود:
sudo yum update

2- تعطيل الدخول المباشر ليوزر ROOT
الدخول إلى SSH بشكل مباشر من الأمور الخطرة على الخادم, وبهذه الحالة يكون مع المهاجم صلاحيات غير مقيدة.

خطوات تعطيل الدخول المباشر للحذر:

كود:
sudo nano /etc/ssh/sshd_config

ابحث عن PermitRootLogin سوف تجدها yes عدلها لـ no, والآن نخرج من الملف مع حفظ الإعدادت, ونقوم بعمل ريستارت للشل من خلال:
كود:
sudo systemctl restart ssh

3- تغير المنفذ [Port] للشل SSH
من المعروف أن بورت الإتصال بالشل افتراضيًا يكون 22 , بالتأكيد الآن المهاجم قد يستغل معرفة البورت بهجوم Brute-Force مثلًا ,لنبدأ:

كود:
sudo nano /etc/ssh/sshd_config

نبحث عن #Port, سوف تجد أمامها البورت الإفتراضي وهو 22, التعديل سوف يكون بحذف علامة الهاش # من أول كلمة port , وبعدها نستبدل رقم 22 بالبورت الجديد , مثلًا يكون 1177 (اختر الرقم المناسب لك).

والآن ريستارت للـ SSH :

كود:
sudo systemctl restart ssh

في حال عندك جدار حماية ,لابد من إضافة البورت الجديد ضمن قوانين جدار الحماية حتى يسمح بالإتصال مع الخادم وإلا سوف يمنع الإتصال


4- السماح بعدد محدد من محاولات الدخول الخاطئة
كود:
nano  /etc/ssh/sshd_config

نبحث عن MaxAuthTries إذا كان بدايتها علامة الهاش نحذفها ونضع أمامها عد المحاولات, ليكون 3 مثلًا لتصبح على النحو التالي MaxAuthTries 3


وفي الختام أسال الله أن يكون الموضوع به خير للجميع, وأن يكون طرحي واضح وسهل على الجميع وخالي من الأخطاء.
سُبْحَانَكَ اللَّهُمَّ وبَحَمْدكَ أشْهدُ أنْ لا إلهَ إلا أنْتَ أَسْتَغْفِرُكَ وأتُوبُ إِلَيْكَ
 
التعديل الأخير بواسطة المشرف:
والله موضوع قيم جدا
ننتظر المزيد من هذه المواضيع
 
السلام عليكم ورحمة الله وبركاتة


الحمدالله الذي لولاه ماجرى قلم , ولا تكلم لسان , والصلاة والسلام على سَيدنآ مُحمد [ صَلى آلله عَليه وآله وصَحبه وسَلم ] كان أَفصَح آلنآس لسآنآ وأَوُضحهم بيانًا.

أسعد الله أوقاتكم بالمَسرات زوار وأعضاء شبكة شل العربية, استكمالًا للمواضيع التي أنوي طرحها وأولها كان [ إعدادات أمان PHP.INI على خوادم لينكس ] أعود إليكم بموضوع جديد وهو من الأمور الهامة جدًا في إدارة الخوادم

من المعروف أن SSH يوفر نقطة دخول للخادم سواء كان يوزر بصلاحيات محدودة أو root بصلاحيات كاملة على الخادم, لذلك من أهمية تأمين الشل أو SSH على السيرفر :

  1. منع الوصول غير المصرح به إلى الخادم.
  2. تخفيف هجمات القوة الغاشمة.
  3. تعزيز خصوصية البيانات بين العميل والخادم.
  4. الحماية ضد نقاط الضعف.

1- المحافظة على تحديث وترقية تطبيقات وخدمات السيرفر بشكل مستمر.

للتحديث على التوزيعات المبنية على ديبيان يكون من خلال الأمر التالي:
كود:
sudo apt upgrade

وللتوزيعات مثل RedHat يكون:
كود:
sudo yum update

2- تعطيل الدخول المباشر ليوزر ROOT
الدخول إلى SSH بشكل مباشر من الأمور الخطرة على الخادم, وبهذه الحالة يكون مع المهاجم صلاحيات غير مقيدة.

خطوات تعطيل الدخول المباشر للحذر:

كود:
sudo nano /etc/ssh/sshd_config

ابحث عن PermitRootLogin سوف تجدها yes عدلها لـ no, والآن نخرج من الملف مع حفظ الإعدادت, ونقوم بعمل ريستارت للشل من خلال:
كود:
sudo systemctl restart ssh

3- تغير المنفذ [Port] للشل SSH
من المعروف أن بورت الإتصال بالشل افتراضيًا يكون 22 , بالتأكيد الآن المهاجم قد يستغل معرفة البورت بهجوم Brute-Force مثلًا ,لنبدأ:

كود:
sudo nano /etc/ssh/sshd_config

نبحث عن #Port, سوف تجد أمامها البورت الإفتراضي وهو 22, التعديل سوف يكون بحذف علامة الهاش # من أول كلمة port , وبعدها نستبدل رقم 22 بالبورت الجديد , مثلًا يكون 1177 (اختر الرقم المناسب لك).

والآن ريستارت للـ SSH :

كود:
sudo systemctl restart ssh

في حال عندك جدار حماية ,لابد من إضافة البورت الجديد ضمن قوانين جدار الحماية حتى يسمح بالإتصال مع الخادم وإلا سوف يمنع الإتصال


4- السماح بعدد محدد من محاولات الدخول الخاطئة
كود:
nano  /etc/ssh/sshd_config

نبحث عن MaxAuthTries إذا كان بدايتها علامة الهاش نحذفها ونضع أمامها عد المحاولات, ليكون 3 مثلًا لتصبح على النحو التالي MaxAuthTries 3


وفي الختام أسال الله أن يكون الموضوع به خير للجميع, وأن يكون طرحي واضح وسهل على الجميع وخالي من الأخطاء.
سُبْحَانَكَ اللَّهُمَّ وبَحَمْدكَ أشْهدُ أنْ لا إلهَ إلا أنْتَ أَسْتَغْفِرُكَ وأتُوبُ إِلَيْكَ
حيالله بالمواضيع الفخمه
بارك الله فيك ياحبيب
ننتظر جديدك دائما
تقبل مروري​
 
بالتوفيق 🔥
 
حيا الله ابو البراء
كل ماسمح لي الوقت سيكون هنالك موضوع جديد
أنا أحب هذا النوع من المواضيع لذلك لا تحرمنا من إبداعك، استمر ❤️
 
ما شاء الله مقدمة جبارة والشرح ممتاز موفق باذن الله
 

آخر المشاركات

عودة
أعلى