بنر SSH : برای ایجاد بنر قبل از ورود کاربر کارهای زیر را انجام می دهیم ، فایل issue.net را از مسیر زیر با یک ویرایش گر متن باز کرده و نوشته ی پیش فرض درون آن رو حذف می کنیم و نوشته مورد نظر که یک اخطار امنیتی است را وارد می کنیم:
nano /etc/issue.net
متن مورد نظر می تواند به شکل زیر باشد:
ALERT! You are entering into a secured area! Your IP, Login Time, Username has been noted and has been sent to the server administrator! This service is restricted to authorized users only. All activities on this system are logged. Unauthorized access will be fully investigated and reported to the appropriate law enforcement agencies.
تغییرات را ذخیره می کنیم، فایل کانفیگ SSH را با یک ویرایش گر متن باز کرده و دنبال خط #Banner somepath می گردیم.
nano /etc/ssh/sshd_config
- نکته: برای سرچ سریع در ویرایشگر نانو از کلیدهای ctrl+w استفاده می کنیم
خط را از حالت کامنت خارج می کنیم (علامت # را از ابتدای خط حذف می کنیم) و مسیر فایل issue.net را جلوی Banner قرار می دهیم.
Banner /etc/issue.net
پس از تغییرات فایل کانفیگ SSH را ذخیره می کنیم. سرویس SSH را ریست می کنیم
/etc/init.d/sshd restart
تغییر پورت پیش فرض SSH
این کار بسیار ساده است، فایل کانفیگ SSH را با یک ویرایشگر باز می کنیم و دنبال خط #Port 22 می گردیم، خط را از حالت کامنت خارج کرده و عدد 22 را به عدد دلخواه (در بازه 1024 تا 65535) تغییر می دهیم. فایل را ذخیره کرده و خارج می شویم.حالا باید به سراغ فایروال رفته و پورت مورد نظر را برای SSH باز کنیم. ابتدا فایل تنظیمات فایروال را با یک ویرایشگر باز می کنیم.
nano /etc/sysconfig/iptables
و خط زیر را در فایل فایروال وارد کرده و آن را ذخیره می کنیم
-A INPUT -m state --state NEW -m tcp -p tcp --dport Port_Delkhah -j ACCEPT
فایل فایروال را ذخیره کرده و در پایان سرویس فایروال را ریست می کنیم
/etc/init.d/iptables restart
بلاک کردن کاربر root برای ورود اولیه به سیستم
یکی دیگر از راه کارهای امنیتی بلاک کردن کاربر root برای ورود اولیه می باشد! یعنی باید کاری کنیم یک کار بر با دسترسی محدود وارد سیستم شده و با دستور su وارد کاربر root شود! برای این کار فایل کانفیگ SSH را با یک ویرایشگر باز می کنیم
nano /etc/ssh/sshd_config
خط #PermitRootLogin yes را از حالت کامنت خارج می کنیم و yes را به no تغییر می دهیم. سپس فایل کانفیگ را ذخیره کرده و سرویس ssh را ریست می کنیم.
#PermitRootLogin yes PermitRootLogin no
ریست کردن سرویس SSH
/etc/init.d/sshd restart
حالا یک کاربر جدید می سازیم
useradd test
گذرواژه ای برای آن انتخاب می کنیم
passwd test
و در پایان کاربر را به sudoer تبدیل می کنیم.
echo 'test ALL=(ALL) ALL' >> /etc/sudoers
از این پس برای وارد شدن می بایست با کاربر test وارد شد و سپس با دستور su و وارد کردن گذرواژه ی کاربر root به محیط root وارد شد.
درست می فرمایید ، چون تو سایت همه مطالب یه جا نمایش داده میشه (از همه انجمن ها) واسه همین گفتم
تو جستجوی گوگل هم طرف نمیزنه نحوه هاردنینگ SSH میزنه نحوه هاردنینگ SSH در لینوکس
من گفتم که فقط پیشنهاد دادم مطلب خودتونه خودتون بهتر میدونید چیکار کنید
بازم ممنون که به نظرم پاسخ دادید
باز هم ممنون
تیتر رو تغییر دادم
دوست عزیز
ممنون از پیشنهادتون اما من مطلب رو توی انجمن لینوکس ارسال کردم پس قاعدتا منظورم هاردنینگ ssh لینوکس هست.
مهندس جان خیلی ممنون بابت آموزشتون ، بهتر بود عنوان مطلبتون این شکلی بود: هاردنینگ SSH در لینوکس
چون ما این SSH Hardening رو روی هر سیستم عاملی که قابلیت Virtual Terminal از طریق SSH رو داره داریم
البته این یه پیشنهاد بود مرسی از بابت آموزشتون