Mengamankan SSH di Ubuntu 14.04

• Buat pengguna baru
• Memberikan hak root pengguna
• Mengamankan SSH

Setelah Anda membuat server baru, ada beberapa konfigurasi tweak yang harus Anda lakukan untuk memperkeras keamanan server Anda.

Buat pengguna baru

Sebagai pengguna root, Anda memiliki hak istimewa untuk melakukan apa pun yang Anda inginkan dengan server - tanpa batasan. Karena itu, lebih baik untuk menghindari menggunakan akun pengguna root untuk setiap tugas di server Anda. Mari kita mulai dengan membuat pengguna baru. Ganti usernamedengan nama pengguna yang diinginkan:

adduser username

Pilih kata sandi aman baru dan jawab pertanyaan yang sesuai (atau tekan saja ENTER untuk menggunakan nilai default).

Memberikan hak root pengguna

Account pengguna baru tidak memiliki hak istimewa di luar folder rumah mereka dan tidak dapat menjalankan perintah yang akan mengubah server (seperti install, update, atau upgrade). Untuk menghindari penggunaan akun root, kami akan memberikan hak istimewa root pengguna. Ada dua cara untuk melakukan hal ini:

Menambahkan pengguna ke grup sudo

Cara mudah adalah menambahkan pengguna ke sudogrup. Ganti usernamedengan nama pengguna yang diinginkan:

adduser username sudo

Ini akan menambahkan pengguna ke grup sudo. Grup ini memiliki hak istimewa untuk menjalankan perintah dengan akses sudo.

Memodifikasi file sudoers

Cara lain adalah dengan menempatkan pengguna Anda di sudoersfile. Jika server Anda memiliki banyak pengguna dengan hak akses root, maka pendekatan ini agak lebih baik karena jika seseorang mengacaukan sudogrup, Anda masih dapat menjalankan perintah dengan hak root untuk bekerja di server.

Pertama, jalankan perintah ini:

visudo

Ini akan membuka sudoersfile. File ini berisi definisi grup dan pengguna yang dapat menjalankan perintah dengan hak akses root.

root    ALL=(ALL:ALL) ALL

Setelah baris ini, tulis nama pengguna Anda dan berikan hak root penuh. Ganti usernamesesuai:

username    ALL=(ALL:ALL) ALL

Simpan dan tutup file ( Ctrl + O dan Ctrl + X di nano).

Menguji pengguna baru Anda

Untuk masuk ke akun pengguna baru Anda tanpa logoutdan login, cukup hubungi:

su username

Uji izin sudo menggunakan perintah ini:

sudo apt-get update

Shell akan menanyakan kata sandi Anda. Jika sudo dikonfigurasi dengan benar, maka repositori Anda harus diperbarui. Jika tidak, tinjau langkah-langkah sebelumnya.

Sekarang, keluar dari pengguna baru:

exit

Penyiapan sudo selesai.

Mengamankan SSH

Bagian selanjutnya dari panduan ini melibatkan pengamanan login ssh ke server. Pertama, ubah kata sandi root:

passwd root

Pilih sesuatu yang sulit ditebak, tetapi Anda dapat mengingatnya.

Kunci SSH

Kunci SSH adalah cara yang lebih aman untuk masuk. Jika Anda tidak tertarik dengan kunci SSH, lewati ke bagian tutorial selanjutnya.

Gunakan Vultr Doc berikut untuk membuat kunci SSH: Bagaimana Saya Menghasilkan Kunci SSH?

Setelah Anda mendapatkan kunci publik Anda , login lagi dengan pengguna baru Anda.

su username

Sekarang buat .sshdirektori dan authorized_keysfile di direktori home dari akun pengguna itu.

cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys

Tambahkan kunci publik yang Anda buat dari tutorial lain ke authorized_keysfile.

 nano .ssh/authorized_keys

Simpan file, lalu ubah izin file itu.

chmod 600 .ssh/authorized_keys

Kembali ke pengguna root.

exit

Konfigurasi SSH

Sekarang kita akan membuat daemon SSH lebih aman. Mari kita mulai dengan file konfigurasi:

nano /etc/ssh/sshd_config

Ubah port masuk SSH

Langkah ini akan mengubah port yang digunakan untuk mengakses server, itu sepenuhnya opsional tetapi direkomendasikan.

Cari baris dengan Portkonfigurasi, akan terlihat seperti ini:

Port 22

Sekarang ubah port ini ke port apa saja yang Anda inginkan. Itu harus lebih besar dari 1024.

Port 4422

Nonaktifkan login ssh root

Langkah ini akan menonaktifkan login root melalui SSH, sepenuhnya opsional tetapi sangat dianjurkan .

Temukan baris ini:

PermitRootLogin yes

... dan ubah ke:

PermitRootLogin no

Ini akan membuat server lebih aman terhadap bot yang mencoba brute force dan / atau kata sandi umum dengan pengguna rootdan port 22.

Nonaktifkan X11 maju

Langkah ini akan menonaktifkan penerusan X11, jangan lakukan ini jika Anda menggunakan beberapa program desktop jarak jauh untuk mengakses ke server Anda.

Temukan garis X11:

X11Forwarding yes

... dan itu berubah menjadi:

X11Forwarding no

Mulai kembali daemon SSH

Sekarang kami telah membuat perubahan untuk mengamankan Login SSH, restart layanan SSH:

service ssh restart

Ini akan memulai ulang dan memuat kembali pengaturan server.

Menguji perubahan

Tanpa memutuskan sesi ssh Anda saat ini, buka terminal baru atau jendela Putty dan uji login SSH lain.

ssh -p 4422 username@SERVER_IP_OR_DOMAIN

Jika semuanya memeriksa, kami telah berhasil mengeraskan keamanan server Anda. Nikmati!