يساعدك تأمين اتصالات SSH على حماية نظام Linux وبياناته. يحتاج مسؤولو النظام والمستخدمون المنزليون أيضًا إلى تأمين أجهزة الكمبيوتر التي تواجه الإنترنت. فيما يلي 10 طرق سهلة لمساعدتك في تأمين خادم SSH الخاص بك .
بعض الأساسيات حول أمان SSH
يرمز SSH إلى Secure Shell. يسمح بروتوكول SSH أو الأداة البرمجية لمسؤولي النظام والمستخدمين بإجراء اتصالات آمنة بأجهزة الكمبيوتر البعيدة باستخدام هذا البروتوكول.
بروتوكول SSH هو بروتوكول مشفر مصمم لتوفير اتصال آمن عبر شبكة غير آمنة مثل الإنترنت. تم بناء SSH في Linux على النسخة المحمولة من مشروع OpenSSH. يتم تنفيذه في نموذج خادم عميل كلاسيكي مع خادم SSH يقبل الاتصالات من عملاء SSH. يتم استخدام العميل للاتصال بالخادم وعرض الجلسة للمستخدمين البعيدين. يقبل الخادم الاتصال ويبدأ الجلسة.
في تكوينه الافتراضي، سوف "يستمع" خادم SSH للاتصالات الواردة على بروتوكول التحكم في الإرسال (TCP)، المنفذ 22. وبما أن هذا المنفذ موحد وشائع، فهو هدف لتهديدات الجهات الفاعلة والروبوتات الضارة.
تطلق الجهات الفاعلة الضارة برامج الروبوت التي تفحص نطاقات عناوين IP بحثًا عن منافذ مفتوحة. ثم يقوم بعد ذلك بفحص هذه المنافذ بحثًا عن نقاط الضعف القابلة للاستغلال. التفكير بأنني آمن، هناك العديد من الأهداف الأكبر والأفضل مني والتي يمكن للأشرار استهدافها هو أمر خاطئ تمامًا. لا تختار هذه الروبوتات أهدافها بناءً على أي معايير، بل تبحث فقط عن طريقة لاختراق النظام.
سوف تكون ضحية إذا لم تقم بتأمين النظام الخاص بك.
الاحتكاك الأمني
نقطة الاحتكاك الأمني هي أي موقف يتم فيه منع المهمة الرئيسية أو تأخيرها بسبب المتطلبات الأمنية.
يؤدي الاحتكاك الأمني إلى عدم الراحة (على أي مستوى) للمستخدمين والآخرين عند تنفيذ الإجراءات الأمنية. قد يشعر الأشخاص الجدد في أنظمة الكمبيوتر بالقلق بشأن ما إذا كان سيتعين عليهم بالفعل إدخال كلمة مرور في كل مرة يقومون فيها بتسجيل الدخول إلى الكمبيوتر المركزي. بالنسبة لهم، يعد هذا أيضًا شكلاً من أشكال الاحتكاك الأمني.
غالبًا ما يتضمن إدخال التدابير الأمنية شكلاً من أشكال الاحتكاك لبعض الأشخاص. يجب على أصحاب الأعمال دفع ثمن هذه التدابير. قد يتعين على مستخدمي الكمبيوتر تغيير عاداتهم أو تذكر معلومات مصادقة مختلفة، وإضافة خطوات للاتصال بنجاح. وسيكون أمام مسؤولي النظام عمل إضافي للقيام به لتنفيذ الإجراءات الأمنية الجديدة والحفاظ عليها.
يمكن أن يكون تشديد وقفل نظام التشغيل Linux أو Unix سريعًا. التدابير الأمنية هنا عبارة عن مجموعة من الخطوات سهلة المتابعة والتي من شأنها تحسين أمان الكمبيوتر دون الحاجة إلى تطبيقات الطرف الثالث والتدخل العميق لجدار الحماية .
استخدم بروتوكول SSH الإصدار 2
في عام 2006، تم تحديث بروتوكول SSH من الإصدار 1 إلى الإصدار 2. وهذه ترقية مهمة. هناك العديد من التغييرات والتحسينات، خاصة في التشفير والأمان، والإصدار 2 غير متوافق مع الإصدار 1. لمنع الاتصالات من عملاء الإصدار 1، يمكنك تحديد أجهزة الكمبيوتر لقبول الاتصالات من الإصدار 2 فقط.
للقيام بذلك، قم بتحرير الملف /etc/ssh/sshd_config باستخدام الأمر التالي:
sudo gedit /etc/ssh/sshd_config
أضف السطر التالي:
Protocol 2
واحفظ الملف، ثم أعد تشغيل عملية SSH باستخدام الأمر التالي:
sudo systemctl restart sshd
اختبر الإعداد الجديد عمليًا عن طريق التبديل إلى جهاز آخر ومحاولة إدخال SSH إلى جهاز الاختبار. سنستخدم الخيار -1 (البروتوكول 1) لإجبار أمر ssh على استخدام إصدار البروتوكول 1.
ssh -1 dave@howtogeek.local
تم رفض طلب الاتصال. تأكد من أنه لا يزال بإمكانك الاتصال بالبروتوكول 2. وسوف نستخدم -2 (البروتوكول 2) للاختبار.
ssh -2 dave@howtogeek.local
إن حقيقة أن خادم SSH يطلب كلمة مرور هي علامة إيجابية على أنه تم إجراء الاتصال وأنك تتفاعل مع الخادم. سيستخدم عملاء SSH الحديثون البروتوكول 2 بشكل افتراضي، ولا نحتاج إلى تحديد البروتوكول 2 بشرط أن يكون العميل محدثًا.
ssh dave@howtogeek.local
تم قبول الاتصال.
تجنب البوابة 22
المنفذ 22 هو المنفذ القياسي لاتصالات SSH. إذا تم استخدام منفذ مختلف، فإنه يضيف القليل من الأمان من خلال الغموض (STO) إلى نظامك. لا ينبغي أبدًا اعتبار الأمن من خلال الغموض إجراءً أمنيًا حقيقيًا. في الواقع، تقوم بعض روبوتات الهجوم الأكثر ذكاءً بفحص جميع المنافذ المفتوحة وتحديد الخدمة التي تؤديها، بدلاً من الاعتماد على قائمة بحث بسيطة للمنافذ وافتراض أنها تقدم خدمة بشكل طبيعي. لكن استخدام منفذ غير قياسي يمكن أن يساعد في تقليل حركة المرور السيئة على المنفذ 22.
لتكوين منفذ غير قياسي، قم بتحرير ملف تكوين SSH على النحو الوارد أعلاه.
احذف # في بداية سطر المنفذ واستبدل 22 بالرقم الذي تختاره. احفظ ملف التكوين وأعد تشغيل برنامج SSH الخفي.
على جهاز كمبيوتر آخر، سنستخدم الأمر ssh للاتصال بالخادم. يستخدم أمر ssh الافتراضي المنفذ 22:
ssh dave@howtogeek.local
رفض اتصال. حاول مرة أخرى وحدد المنفذ 470 باستخدام خيار –p (المنفذ):
ssh -p 479 dave@howtogeek.local
تم تأكيد الاتصال.
قم بتوصيل عامل التصفية باستخدام أغلفة TCP
تعد أغلفة TCP عبارة عن قائمة تحكم في الوصول سهلة الفهم. يسمح لك برفض الاتصالات والسماح بها بناءً على خصائص طلب الاتصال مثل عنوان IP أو اسم المضيف. يجب استخدام أغلفة TCP مع جدار الحماية الذي تم تكوينه بشكل صحيح وليس بدلاً منه.
تأتي أغلفة TCP مثبتة مسبقًا على أجهزة Ubuntu 18.04 LTS . يجب تثبيته على Manjaro 18.10 وFedora 30.
للتثبيت على فيدورا، استخدم الأمر التالي:
sudo yum install tcp_wrappers
للتثبيت على Manjaro، استخدم هذا الأمر:
sudo pacman -Syu tcp-wrappers
يوجد ملفان مضمنان، ملف واحد يحمل قائمة السماح وملف آخر يحمل قائمة الرفض. قم بتحرير قائمة الرفض باستخدام الأمر التالي:
sudo gedit /etc/hosts.deny
سيفتح الأمر أعلاه محرر gedit مع رفض تحميل الملف فيه.
تحتاج إلى إضافة السطر:
ALL : ALLواحفظ الملف . سيمنع هذا الخط كل الوصول غير المصرح به. الآن، نحن بحاجة إلى منح الأذونات للاتصالات التي تريد قبولها. للقيام بذلك، تحتاج إلى تحرير ملف الأذونات:
sudo gedit /etc/hosts.allow
سيفتح الأمر أعلاه محرر التحرير الذي يحتوي على الملف القابل للتنزيل.
لقد أضفنا اسم البرنامج الخفي SSH، وSSHD، وعنوان IP الخاص بالكمبيوتر الذي يسمح بإجراء الاتصال. احفظ الملف وتأكد من سريان القيود والأذونات.
أولاً، ستحاول الاتصال من جهاز كمبيوتر غير موجود في الملف hosts.allow:
رفض اتصال. سنحاول الاتصال من جهاز بعنوان IP 192.168.4.23:
تم قبول الاتصال.
المثال هنا يسمح لجهاز واحد فقط بالاتصال. تتميز أغلفة TCP بالمرونة الشديدة، فهي تدعم أسماء المضيفين وأحرف البدل وأقنعة الشبكة الفرعية لقبول الاتصالات من نطاقات عناوين IP.
رفض طلبات الاتصال بدون كلمة المرور
على الرغم من أن الأمر ليس جيدًا، إلا أنه يمكن لمسؤولي نظام Linux إنشاء حسابات مستخدمين بدون كلمات مرور. وهذا يعني أنه لا توجد كلمة مرور مطلوبة للاتصالات عن بعد من هذا الحساب. سيتم قبول هذه الاتصالات ولكن لن تتم مصادقتها.
يقبل الإعداد الافتراضي لـ SSH طلبات الاتصال بدون كلمة مرور. يمكننا تغييره بسهولة والتأكد من مصادقة جميع هذه الاتصالات.
تحتاج إلى تحرير ملف تكوين SSH.
قم بالتمرير لأسفل في الملف حتى ترى السطر الذي يقول #PermitEmptyPasswords no . احذف # في بداية السطر واحفظ الملف. أعد تشغيل البرنامج الخفي SSH.
استخدم مفاتيح SSH بدلاً من كلمات المرور
توفر مفاتيح SSH طريقة آمنة لتسجيل الدخول إلى خادم SSH. يمكن اختراق كلمات المرور أو تخمينها أو فرضها بطريقة غاشمة . مفاتيح SSH ليست عرضة لهذه الأنواع من الهجمات.
عند إنشاء مفتاح SSH، يمكنك إنشاء زوج مفاتيح. أحدهما هو المفتاح العام والآخر هو المفتاح الخاص. يتم تثبيت المفتاح العام على الخوادم التي تريد الاتصال بها. يتم الاحتفاظ بالمفتاح الخاص بشكل آمن على جهاز الكمبيوتر الخاص بك.
تسمح مفاتيح SSH بإجراء الاتصالات بدون كلمة مرور، وهي أكثر أمانًا من الاتصالات التي تستخدم مصادقة كلمة المرور.
عند إجراء طلب اتصال، يستخدم الكمبيوتر البعيد نسخة من المفتاح العام لإنشاء رسالة مشفرة يتم إرسالها مرة أخرى إلى الكمبيوتر. نظرًا لأنه مشفر بالمفتاح العام، يمكن للكمبيوتر فك تشفيره باستخدام المفتاح الخاص.
يقوم الكمبيوتر بعد ذلك باستخراج بعض المعلومات من الرسالة وتشفيرها وإرسالها مرة أخرى إلى الخادم. إذا تمكن الخادم من فك تشفيره بنسخة من المفتاح العام. إذا تطابقت المعلومات الموجودة في الرسالة مع ما أرسله لك الخادم، فسيتم تأكيد الاتصال.
هنا، يتم الاتصال بالخادم على 192.168.4.11 بواسطة المستخدم باستخدام مفتاح SSH. لاحظ أنه لا تتم مطالبتهم بإدخال كلمة المرور.
ssh dave@192.168.4.11
تعطيل مصادقة كلمة المرور بشكل كامل
يمكنك تعطيل مصادقة كلمة المرور بشكل كامل إذا كنت تستخدم مفاتيح SSH. نحن بحاجة إلى تحرير ملف التكوين SSH.
قم بالتمرير لأسفل الملف حتى ترى السطر الذي يبدأ بـ #PasswordAuthentication Yes . احذف # في بداية السطر، وقم بتغيير نعم إلى لا واحفظ الملف. أعد تشغيل البرنامج الخفي SSH.
تعطيل إعادة توجيه X11
يسمح إعادة توجيه X11 للمستخدمين عن بعد بتشغيل التطبيقات الرسومية من الخادم الخاص بك عبر جلسة SSH ولكن يمكن استغلالها بسهولة من قبل الجهات الفاعلة السيئة. من الأفضل إيقاف تشغيله عن طريق تحرير ملف تكوين SSH.
قم بالتمرير لأسفل الملف حتى ترى السطر #X11Forwarding no ، واحذف # الموجود في بداية السطر واحفظ الملف. أعد تشغيل البرنامج الخفي SSH.
تعيين قيمة مهلة الخمول
إذا تم إنشاء اتصال SSH بجهاز كمبيوتر ولم يكن هناك أي نشاط عليه لفترة من الوقت، فقد يشكل ذلك خطرًا أمنيًا.
لذلك يجب عليك تعيين حد للمهلة. سيتم قطع اتصال SSH إذا لم يكن هناك أي نشاط خلال المهلة المحددة. مرة أخرى، نحتاج إلى تعديل ملف تكوين SSH.
قم بالتمرير لأسفل الملف حتى ترى السطر الذي يبدأ بـ #ClientAliveInterval 0 . قم بإزالة # في بداية السطر، وقم بتغيير الرقم 0 إلى القيمة التي تريدها. عادةً ما يحددها الأشخاص بـ 300 ثانية، أي 5 دقائق. احفظ الملف وأعد تشغيل برنامج SSH.
تعيين حد لعدد إدخالات كلمة المرور
يمكن أن يساعد تحديد حد لعدد التأكيدات في منع تخمين كلمة المرور وهجمات القوة الغاشمة. بعد العدد المحدد من طلبات المصادقة، سيتم قطع اتصال المستخدم بخادم SSH. افتراضيًا، ليس هناك حد لعدد محاولات كلمة المرور، ولكن يمكنك تحرير ذلك في ملف تكوين SSH.
قم بالتمرير لأسفل الملف حتى ترى السطر الذي يبدأ بـ #MaxAuthTries 0 . تؤدي إزالة # في بداية السطر إلى تغيير الرقم إلى القيمة المطلوبة. يمكنك ضبطه على 3. احفظ الملف عند إجراء التغييرات وأعد تشغيل البرنامج الخفي SSH.
يمكنك اختبار ذلك من خلال محاولة الاتصال وإدخال كلمة المرور الخاطئة.
لاحظ أن رقم MaxAuthTries أكبر من عدد المحاولات المسموح بها للمستخدم. بعد محاولتين فاشلتين، يتم قطع اتصالك، مما يعني أنه تم تعيين MaxAuthTries على 3.
تعطيل تسجيل الدخول الجذر
يُنصح بعدم تسجيل الدخول كجذر، فقط استخدمه كمستخدم عادي على Linux واستخدم Sudo لتنفيذ الإجراءات التي تتطلب أذونات الجذر. يجب عليك أيضًا عدم السماح للجذر بتسجيل الدخول إلى خادم SSH. يُسمح فقط للمستخدمين العاديين بالاتصال. إذا كانوا بحاجة إلى تنفيذ مهمة على المستوى الإداري، فيمكنهم أيضًا استخدام Sudo. إذا كان يجب عليك السماح للمستخدم الجذر بتسجيل الدخول، فيمكنك إجباره على استخدام مفتاح SSH.
قم بتحرير ملف التكوين لتعطيل تسجيل الدخول الجذر.
قم بالتمرير لأسفل الملف حتى ترى السطر الذي يبدأ بـ #PermitRootLogin Banner-password ، ثم قم بحذف # في بداية السطر.
احفظ التغييرات وأعد تشغيل البرنامج الخفي SSH.
اخر خطوة
بالطبع، إذا لم تكن بحاجة إلى تشغيل SSH على جهاز الكمبيوتر الخاص بك، فقم بإيقاف تشغيله باستخدام الأمر التالي:
sudo systemctl stop sshd
sudo systemctl disable sshdأتمنى لك النجاح!
هل ترى إشعار تفعيل Windows 10 في الزاوية اليمنى من الشاشة؟ سترشدك هذه المقالة إلى كيفية حذف إشعار طلب حقوق الطبع والنشر على نظام التشغيل Windows 10.
أصدرت Microsoft مؤخرًا آخر تحديث تراكمي لمستخدمي أجهزة الكمبيوتر التي تعمل بنظام Windows 10 والذي يسمى Build 14393.222. يعمل هذا التحديث الذي تم إصداره لنظام التشغيل Windows 10 بشكل أساسي على إصلاح الأخطاء بناءً على تعليقات المستخدمين وتحسين تجربة أداء نظام التشغيل.
هل لديك أجهزة كمبيوتر على شبكتك المحلية تحتاج إلى وصول خارجي؟ يمكن أن يكون استخدام مضيف أساسي كحارس بوابة لشبكتك حلاً جيدًا.
في بعض الأحيان قد تحتاج إلى حذف سجلات الأحداث القديمة مرة واحدة. في هذا الدليل، سيعرض لك موقع Quantrimang.com 3 طرق لحذف كافة سجلات الأحداث بسرعة في Windows 10 Event Viewer.
إذا كنت تفضل استخدام لوحة مفاتيح كلاسيكية قديمة، مثل IBM Model M، والتي لا تتضمن مفتاح Windows فعليًا، فهناك طريقة سهلة لإضافة المزيد، عن طريق استعارة مفتاح لا تستخدمه كثيرًا.
WindowTop هي أداة لديها القدرة على تعتيم جميع نوافذ التطبيقات والبرامج التي تعمل على أجهزة الكمبيوتر التي تعمل بنظام Windows 10. أو يمكنك استخدام واجهة ذات خلفية داكنة على النوافذ.
لقد ذكرنا في العديد من المقالات السابقة أن البقاء مجهول الهوية عبر الإنترنت أمر في غاية الأهمية. يتم تسريب المعلومات الخاصة كل عام، مما يجعل الأمان عبر الإنترنت ضروريًا بشكل متزايد. وهذا أيضًا هو السبب وراء ضرورة استخدام عناوين IP الافتراضية. فيما يلي، سنتعرف على طرق إنشاء عناوين IP وهمية!
شريط اللغة في نظام التشغيل Windows 8 عبارة عن شريط أدوات لغة مصغر مصمم للعرض تلقائيًا على شاشة سطح المكتب. ومع ذلك، يرغب العديد من الأشخاص في إخفاء شريط اللغة هذا على شريط المهام.
يعد تعظيم سرعة الإنترنت أمرًا ضروريًا لتحسين اتصال الشبكة لديك. يمكنك الحصول على تجربة ترفيه وعمل مثالية باستخدام أجهزة الكمبيوتر وأجهزة التلفزيون المجهزة للإنترنت ووحدات التحكم في الألعاب وما إلى ذلك.
يعد الاتصال اللاسلكي أمرًا ضروريًا اليوم، ولهذا السبب، يعد الأمان اللاسلكي ضروريًا لضمان السلامة في شبكتك الداخلية.
