Mengamankan SSH Server
Tingkat kesulitan: pemula hingga menengah
Berlaku untuk: Seluruh distro Linux, dan sistem operasi UNIX lainnya.
server SSH (secure shell) sudah sangat lazim dipakai di kalangan sysadmin dan kru devops. Namun banyak orang yang masih meninggalkan setting server SSH dalam keadaan default, sehingga sangat rentan terhadap serangan bruteforce. Oleh karena itu, saya menganjurkan panduan best practice untuk mengamankan SSH server.Konfigurasi server SSH terdapat pada /etc/ssh/sshd_config
. Anda dapat mengeditnya menggunakan editor favorit anda, boleh nano atau vim.
# vim /etc/ssh/sshd_config
- Ganti
ListenPort
ke port lain. Contoh:ListenPort 2351
Pengalaman pribadi menunjukkan bahwa hanya dengan mengganti
ListenPort
ke port bukan default, sudah sangat mengurangi kemungkinan serangan bruteforce pada server SSH - Mematikan login menggunakan akun
root
(pastikan anda sudah memiliki akun administrator lain selainroot
sebelum melakukan langkah ini) dengan menambahkan atau mengubah directivePermitRootLogin
PermitRootLogin no
- Mematikan fasilitas X11 forwarding (jika komputer yang di-remote adalah server tanpa GUI)
X11Forwarding no
- Mematikan otentikasi menggunakan password. Setting pada langkah ini adalah setting yang sifatnya paranoid, gunakan jika diperlukan.
## PERHATIAN!!! sebaiknya anda sudah menyiapkan keypair untuk login ## ke server SSH sebelum melakukan setting ini agar anda dapat login ke ## server dan tidak terkunci dari luar PasswordAuthentication no RSAAuthentication yes PubkeyAuthentication yes PermitEmptyPassword no
- Setting berikut ini hanya untuk optimasi dan tambahan pengamanan
## mematikan fasilitas hostname lookup untuk pencatatan last login (ini hanya optimasi) UseDNS no ## ini hanya untuk FreeBSD, walaupun opsi ini juga tersedia di BlankOn ## dan distro berbasis Debian yang lain. ## INFO: default setting pada FreeBSD menambahkan string tambahan untuk ## identifikasi versi SSH. dengan mengosongkan setting ini akan ## mempersulit deteksi sistem operasi server yang anda gunakan. (TIDAK BERLAKU UNTUK LINUX) VersionAddendum
Sesudah editing selesai, simpan file tersebut lalu restartlah server SSH dengan perintah service ssh restart
Latest posts by benben159 (see all)
- Otentikasi Kunci Publik pada SSH - 7 Des 2014
- Mengamankan SSH Server - 29 Nov 2014
Kalo boleh saya tambahkan :
1. Opsi SFTP biasanya juga saya nonaktifkan.
opsi ini diaktifkan sewaktu2 saja ketika memang butuh, karena kadang kala user bisa upload exploit ke server via sftp.
2. AllowUsers untuk restriksi user tertentu yang boleh login
AllowUsers bisa, AllowGroup juga bisa 🙂
Pingback: Otentikasi Kunci Publik pada SSH | Panduan BlankOn Linux