7 نکته طلایی برای امنیت در لینوکس ( بخش دوم )

 

در مقاله قبلی 4 نکته کوتاه اما کاربردی از 7 نکته طلایی برای امنیت در لینوکس را ذکر کردیم و در این مطلب در نظر داریم ادامه نکات باقیمانده که از اهمیت بالایی برخودارند را توضیح خواهیم داد.

4 نکته‌ بررسی شده در نکات طلایی برای امنیت در لینوکس ( بخش اول ) عبارت است از:

1- استفاده از پسورد های پیچیده و غیر قابل حدس

2 – غیر فعال کردن لاگین با یوزر root

3- محدود سازی ورود کاربران

4- غیر فعال کردن پروتکل 1

در ادامه به 3 نکته پایانی می پردازیم.

• استفاده از پورت های غیر استاندارد برای SSH

پورت پیش فرض سرویس SSH بر روی 22 تنظیم شده و هکر ها برای اسکن خود اولین اولویت خود را 22 قرار می دهند.

در برخی موارد ادمین ها پورت SSH را به 2222 تغییر داده تا راحت تر به ذهن خود بسپارند اما باید بدانید که هکر ها مطمئنا اگر پورت 22 را اسکن کنند و به نتیجه‌ای نرسند؛ انتخاب دومشان پورت 2222 است.

پس پیشنهاد می کنیم از پورت‌هایی با ارقام زیاد استفاده کنید تا براحتی پورت ورودی شما مشخص نشود و در عین حال بهتر است از پورت‌هایی که در رزرو سرویس های دیگر هستند، انتخاب نکیند.

بهتر ین انتخاب در میان بازه 10000 تا 65000 است که اکثر آنها آزاد می باشند.

برای انجام این مرحله می توانید به مقاله تغییر پورت SSH مراجعه کنید.

 

• فیلتر کردن ارتباطات SSH با فایروال

در صورتی که شما تنها از حالت ریموت به سرور خود متصل می شوید و از یکیIP خاص استفاده می کنید، می توانید از دستور زیر برای ایزوله کردن ارتباط خود با سرویس SSH استفاده نمایید.

iptables –A INPUT –p tcp –s 5.56.233.9 –dport 22 –j –ACCEPT

با وارد کردن دستور بالا، فقط می‌توان از سیستمی که دارای IP آدرس 5.56.233.9 است به سرور متصل شد.

اما در صورتی که می‌خواهید سرور از تمامی نقاط در دسترس باشد. از دستورات زیر استفاده کنید.

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh --rsource
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent ! --rcheck --seconds 60 --hitcount 4 --name ssh --rsource -j ACCEPT

در دستور اول شما دسترسی به پورت 22 را برای تمام IP ها باز می کنید.

در دستور دوم تنظیماتی هوشمندی لحاظ می شود که در صورت ارسال چند درخواست به صورت همزمان در کمتر از 60 ثانیه، فایروال IP درخواست کننده را به صورت خودکار بلاک می کند.

برای اجرا شدن صحیح دستور دوم باید پالیسی های پیش فرض DROP را اضافه کرده باشید.

دقت داشته باشید که در صورت تغییر پورت سرویس SSH ، در دستورات پورت مورد نظر خود را وارد کنید.

 

• استفاده از کلید های امنیتی برای تشخیص هویت

استفاده از کلید های امنیتی 2 مزیت اصلی برای برقراری امنیت دارد.

1- شما می توانید بدون وارد کردن پسورد به ترمینال خود دسترسی پیدا کنید.

2- می توانید ورود به سیستم با پسورد را به صورت کامل غیر فعال کنید تا به هیچ وجه پسوردی برای ورود به ترمینال سیستم نیاز نباشد.

این قابلیت، از حملات احتمالی مانند بروت فروس شما را محافظت می کند.

برای ساخت کلید و اتصال به سرور خود می توانید مقاله آموزش اتصال به SSH با کلید‌های Private key و Public key را بخوانید.