ضرورة تفعيل الجدار الناري وتأمين الدخول عبر بروتوكول SSH

SSH & Firewall

نقرأ من الحين للأخر عن اختراق شبكات الحواسيب في الشركات العالمية والضخمة، ويحدث هذا الاختراق عادة على يد أشخاص يمتلكون مهارات عالية باستخدام أنظمة معقدة تمكنهم من عمليات الاختراق.

وعلى الرغم من التطور الكبير الذي وصلت إليه التكنولوجيا سواء على صعيد البرمجيات والأجهزة المتطورة للحماية إلا أن ذلك لم يحمي تلك الشركات من عمليات الاختراق.

لذا سنتناول بعض أهم الخطوات العملية سوف تساعدك على رفع درجة أمان الخادم وتحديداً خدمة  SSH وكذلك تفعيل الجدار الناري Firewall :

1-    تغيير المنفذ الإفتراضي

عند تثبيت خدمة SSH فإن المنفذ الإفتراضي هو 22 ، حيث العديد المخترقين يقومون باستهداف هذا المنفذ لذلك من المهم تغييره إلى أي منفذ آخر ، وذلك من خلال التعديل بالملف sshd_config والموجود عادة في مجلد /etc/ssh


2-    التأكد من استخدام بروتوكول الاتصال Protocol 2

هناك برتوكولا اتصال لخدمة SSH برتوكول 1، وهو برتوكل قديم وبه كثير من الثغرات. برتوكول 2 وهو برتوكول آمن أكثر بكثير من برتوكول 1. غالبية التوزيعات الحديثة تأتي مع برتوكول 2 مفعل بشكل افتراضي. تأكد من ذلك عبر فتحك لملف /etc/ssh/sshd_config وابحث عن Protocol 2 .


3-    تفعيل الجدار الناري

الجدار الناري يمكنكم من أغلاق كافة المنافد التي يمكن الدخول من خلالها الي خادمك لتقوم انت بتحديد المنافذ التي تقوم بأستخدامها فقط ويمكنك أنجاز هذه المهمة بسهولة من خلال العديد من الأدوات مثل ModSecurity ,

ولكن مع سديم تم تمكين المستخدم من ادارة تلك المهمة بسهولة من خلال منصة سديم السحابية لأدارة وتشغيل الخوادم حيث يقوم المستخدم بتفعيلها  اثناء مرحلة انشاء الخادم ثم يمكنه عمل التعديلات اللازمة على المنافذ المطلوب الدخول من خلالها الى الخادم ، وفي حالة الحاجة لمستوى أمان أعلى يمكن للمستخدم الأكتفاء بقتح المنافذ اللازمة لتشغيل الموقع أو التطبيق فقط وعدم فتح منافذ للدخول على الخادم ليتم الدخول على الخادم من خلال الكونسول الخاص منصة سديم.


4-    تعطيل صلاحيات دخول المستخدم الجذر

المستخدم الجذر هو أكثر اسم مستخدم تجري محاولات اختراقه لذلك تعطيل دخوله يعتبر أمراً ضرورياً في عملية تأمين خادمك. في التوزيعات التي تعتمد على Debian مثل توزيعة أبنتو، المستخدم الجذر معطل بشكل افتراضي، ولكن في توزيعات أخرى مثل فيدورا أو في حال استخدامك لخادم قامت بإعداده شركة الاستضافة فإن المستخدم الجذر مفعل ويمكنه الدخول للخادم عبر خدمة SSH .


5-    تحديد العناوين التي يسمح لها بالدخول

يمكنك تحديد العنواين التي يمكن من خلالها الأتصال والدخول الى خادمك ، يتم ذلك من خلال استخدام خاصية TCPWrappers. هذه الميزة رائعة في حماية خدمات ليس لها حماية افتراضية في اعدادتها ولكن يمكن استخدامها لأي خدمة موجودة على الخادم.

قبل تحديد الدخول لهذه العناوين نحتاج إلى ان نمنع أي اتصال إلى الخادم عبر خدمة SSHD وذلك من خلال تحرير /etc/hosts.deny ثمّ التّاكد من احتوائه على القيمة sshd:all هذا سوف يقوم بتفعيل خاصية المنع، ثم

تقوم بتحرير الملف /etc/hosts.allow ومن ثمّ وضع العناوين التي نريد السماح لها باستخدام خدمة SSH للدخول إلى الخادم .


6-    قصر التوثيق على المفاتيح وليس على كلمات المرور

خدمة SSH تدعم خاصية المفاتيح ، فعند استخدامك للمفاتيح سيقوم الخادم بالسماح لك بالدخول، وكلمة المرور في حال تعطيل استخدامها ستصبح بدون قيمة وهذا يجعل من عملية كسر كلمات المرور بدون جدوى.

فبعد انشاء المفتاح المخصص للدخول على الخادم والتأكد من عمله بكفاءة فيمكنك تعطيل استخدام كلمة المرور من أجل الدخول وتأكد من أن ملف /etc/ssh/sshd_config يحتوي على القيمة PasswordAuthentication no 

ويمكنك أضافة هذا المفتاح داخل حسابك على منصة سديم السحابية لسهولة تأمين وأدارة مفاتيح الدخول لخوادمك.     

أخيراً أحرص على حصولك على آخر التحديثات الأمنية لأصدار نظام التشغيل الخاص بخادمك لما يتم تحديثه من ثغرات أمنية في نظام التشغيل.

يمكنكم الإطلاع على تفاصيل سهولة كيفية إنشاء خادم جديد على منصة سديم السحابية على مكتبة سديم في هذا الرابط .

 

أترك تعليقك