یکی از سرویس هایی که در دنیای امروز برای اتصال از راه دور به سرورها مرود استفبال قرار گرفته است سرویس ssh است .
توجه: شما می توانید برای خواندن مقالات harden کردن centos 7 به اینجا مراجعه کنید.
این سرویس یک ارتباط رمز شده بر حسب متدهای PKI بین کاربر و سرور ایجاد میکند. این ارتباط به صورت پیش فرض از یک امنیت قابل قوبلی برخوردار است اما اگر شما از تنظیمات default این سرویس استفاده کنید امکان ایجاد مشکل و رخنه به سیستم وجود دارد از این رو در این مقاله میخواهیم به بررسی نحوه امن سازی این سرویس و پروتکل بپردازیم.
برای این منظور مراحل زیر را به ترتیب انجام میدهیم .
ار آنجایی همه همه تنظیمات این سرویس در فایل /etc/ssh/sshd_config قرار دارد . ابتدا این فایل را با ویرایشگر محبوب خود باز میکنیم و مراحل را به ترتیب انجام میدهیم.
۱- اجاره استفاده از نسخه دوم SSH
پروتکل ssh در نسخه دوم به حداکثر امنیت را دا می باشد از این رو باید سرویس دهنده را مجبور کنیم که فقط از نسخه دوم این پروتکل استفاده کند. برای این منظور عبارت زیر را در فایل تنظیمات قرار میدهیم.
Protocol 2
۲- تنظیم حداکثر مقدار غبرفعال بودن کاربر
برای این منظور عبارت زیر را در فایل تنظیمات قرار میدهیم
ClientAliveInterval interval
۳- تنظیم Client Alive Count
برای این منظور عبارت زیر را در فایل تنظیمات قرار میدهیم
ClientAliveCountMax 0
۴- غیر قغال کردن پشتیبانی از .rhost
برای این منظور عبارت زیر را در فایل تنظیمات قرار میدهیم
IgnoreRhosts yes
۵- غیر فعال کردن احراز هویت Host-Based
برای این منظور عبارت زیر را دز فایل تنظیمات قرار دهید
HostbasedAuthentication no
۶- غیر فعال کردن لاگین کاربر root
برای این منظور عبارت زیر را در فایل تنظیمات قرار دهید
PermitRootLogin no
۷- غیر فعال کردن لاگین بدون پسورد
برای این منظور عبارت زیر را در فایل تنظیمات قرار دهید
PermitEmptyPasswords no
۸- قرار دادن بنر احطار
بعد از لاگین کردن کاربر در سرویس ssh برای او یک بنر یا پیغام نمایش داده خواهد شد که بهتر است آن را بسته به نیار خودمان ویرایش کنیم . برای این منظور یک فایل /etc/issue می سازیم و پیغام خود را در آن قرار میدهیم
۹- اجازه ندادن به Environment Options
برای این منظور عبارت زیر را در فایل تنظیمات فرار دهید
PermitUserEnvironment no
۱۰- استفاده از متدهای رمز نگاری امن
برای این منظور خط زیر را در فایل تنظیمات قرار دهید
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
لطفا توجه داشته باشید که با انجام تنظیمات بالا سرویس شما امن میشود ولی امنیت کامل برای هیچ سیستمی بطور کامل هیج وفت بر قرار نمی شود.