Home » Server » SSH Server

SecuringSSH

Mengamankan SSH Server

Jika Anda maniak Linux/Unix, semestinya Anda tidak bisa lepas dari koneksi model SSH. Anda bisa mendapatkan remote terminal dari komputer yang jaraknya dari 10 meter sampai lintas benua ;)

Ubah port default SSH :

    Ubah default Port 22 menjadi yang lain. Misal 6789 :) Hal ini akan menurunkan "brute force attack" hampir 95%

    port 6789

Gunakan HANYA protocol 2

    Protocol 2

Listen Address

    Batasi Listen Address sebisa mungkin. Misal Anda HANYA mengakses Server Anda melalui komputer rumah dengan IP:203.164.222.111

    ListenAddress 203.164.222.111

    Atau dari Akses speedy dinamik dari laboratorium komputer

    ListenAddress 165.164.*.*

Kecilkan GraceTime

    LoginGraceTime 30s

Root dilarang akses langsung !

    PermitRootLogin no

Tiga kali gagal di sepak :)

    MaxAuthTries 3

TCP & X11 forwarding? No !

    AllowTcpForwarding no
    X11Forwarding no

Terakhir, jangan lupa restart sshd.

    #/etc/rc.d/rc.sshd restart

Keterangan :

  • Ini penggalan asli isi /etc/ssh/sshd_config

      #LoginGraceTime 2m
      #PermitRootLogin yes
      #StrictModes yes
      #MaxAuthTries 6

    Jika Anda membiarkan tanda # Ada, berarti konfigurasi default yang digunakan. Jadi PermitRootLogin=yes, MaxAuthTries=6, dst.

    Jika ingin MaxAuthTries = 3, maka hilangkan tanda # dan ubah angka 6 menjadi 3.

      MaxAuthTries 3
  • Jika Anda sedang melakukan remote login via ssh, maka saat restart sshd, koneksi Anda tidak akan diputus. Jadi restart sshd tidak akan memutus koneksi para user yang sedang akses via ssh saat itu.
  • Jika Anda ingin tahu serangan terhadap port ssh, biarkan port ssh default 22 :). Anda akan menerima serangan sepanjang hari, sepanjang minggu ! Hehehe
  • Jika terpaksa pakai port 22, dan terpaksa memberi ijin pakai ssh kepada semua user pada server Anda, paksa juga semua user Anda untuk menggunakan nama lengkap. Contoh : paijo_ganteng, michael_d, kris_sakti, dan seterusnya Dari pengamatan saya, bruteforce untuk user name biasanya hanya menggunakan nama tunggal : john, smith, andrew,dst.
  • Jika Anda ingin privacy tiap user dan sistem Anda terjamin, gunakan chrootjail pada Openssh :) Baca tulisan di http://masrifqi.web.id/wp/?p=41
  • Wah...saya ditinggal pergi sama teman2 ke Yogya ikut ILC 2007 hik..hik..