Pencarian:
OpenSSH sering digunakan untuk mengakses komputer seperti [[Komputer peladen|peladen]] dari jarak jauh, terkadang melalui jaringan internet yang tidak aman. Walaupun SSH digunakan di jaringan "aman" seperti [[Jaringan pribadi virtual|VPN]] beberapa panduan berikut mungkin masih tetap relevan. == Mengubah nomor port(a) Secara bawaan peladen OpenSSH menggunakan porta 22 untuk menerima koneksi dari klien. Nomor porta 22 ini memang secara resmi digunakan untuk OpenSSH dan transfer berkas berbasis SSH seperti [[SFTP|SCP dan SFTP]].((Lihat https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml.)) Namun karena itu juga porta 22 ini sering menjadi target //worms//, //script kiddies//, dan upaya //brute force// lainnya. Oleh karena itu disarankan untuk mengubah porta bawaan OpenSSH ke porta acak dengan mengedit ##/etc/ssh/sshd_config##. {{{text Port 34567 }}} Untuk membantu memilih port alternatif yang belum ditetapkan untuk layanan umum, tinjau daftar nomor port TCP dan UDP. Informasi tentang port juga dapat ditemukan secara lokal di ##/etc/services##. Perubahan port dari port default 22 akan mengurangi jumlah entri log yang disebabkan oleh upaya autentikasi otomatis, tetapi tidak akan menghilangkannya. Lihat [[Port Knocking]] untuk informasi terkait. == Kompresi setelah autentikasi Disarankan untuk mengaktifkan kompresi hanya setelah autentikasi. Buka ##/etc/ssh/sshd_config## dan pastikan nilai berikut dikonfigurasi: {{{text Compression delayed }}} == Cegah koneksi tanpa pengawasan Jika pengguna dapat log masuk melalui SSH, seringkali disarankan untuk mengatur interval waktu idle untuk menghindari sesi ssh tanpa pengawasan. Buka ##/etc/ssh/sshd_config## dan pastikan nilai berikut dikonfigurasi: {{{text ClientAliveInterval 300 ClientAliveCountMax 0 }}} == Aktifkan strict mode Dengan menggunakan Strict Mode, Anda dapat memberlakukan beberapa pemeriksaan pada berkas-berkas penting di dalam direktori rumah pengguna yang memiliki hak istimewa dan kepemilikan yang tepat, daemon SSH hanya akan mengizinkan pengguna jarak jauh untuk masuk jika pemeriksaan lolos. Disarankan untuk mengaktifkan mode ketat dengan mengedit berkas ##/etc/ssh/sshd_config## dan mengaktifkan ##StrictModes##: {{{text StrictModes yes }}} == Mengaktifkan Warning Banner Aktifkan Warning Banner dengan memperbaharui ##/etc/ssh/sshd_config## dengan: {{{text Banner /etc/issue }}} Pengaturan ini hanya disarankan pada server yang menghadap intranet. Jika Anda menggunakan banner khusus pada sistem yang berhadapan dengan internet, Anda mengungkapkan beberapa jenis informasi dan cukup mudah untuk sidik jari dan melacak sistem Anda. Sebagai contoh, bayangkan server SSH Anda yang “rawan sidik jari” yang dipublikasikan sebagai simpul tersembunyi. Siapa pun dapat menghubungkan spanduk unik tersebut dengan Anda. == Matikan .rhosts SSH dapat dikonfigurasi untuk meniru perilaku perintah rsh yang sudah usang yang menghormati file ##.rhosts##. Hal ini secara historis tidak aman dan disarankan untuk menonaktifkannya dengan mengedit ##/etc/ssh/sshd_config## dan menonaktifkan ##IgnoreRhosts##. == Matikan Challenge Response Anda juga harus menonaktifkan autentikasi challenge-response, jika versi OpenSSH Anda menggunakan PAM untuk mengautentikasi. Disarankan untuk mengedit ##/etc/ssh/sshd_config## dan menonaktifkan ##ChallengeResponseAuthentication##: {{{text ChallengeResponseAuthentication no }}} == Matikan login jarak jauh dengan kata sandi kosong Anda perlu secara eksplisit melarang login jarak jauh dari akun dengan kata sandi kosong, perbarui ##/etc/ssh/sshd_config## dengan baris berikut: {{{text PermitEmptyPasswords no }}} == Matikan host-based authentication Disarankan untuk menonaktifkan autentikasi berbasis hos, karena autentikasi berbasis ##.rhost## bukan autentikasi yang kokoh. Untuk menonaktifkan autentikasi berbasis host, edit file ##/etc/ssh/sshd_config## dan nonaktifkan ##HostbasedAuthentication##: {{{text HostbasedAuthentication no }}} == Matikan autentikasi berbasis kata sandi Secara //default// SSH dapat menggunakan kunci SSH atau kata sandi untuk menyediakan autentikasi, kata sandi rentan terhadap serangan //[[Wikipedia:brute_force|brute force]]//. Oleh karena itu disarankan untuk menggunakan kunci SSH saja dan menonaktifkan login berbasis kata sandi sepenuhnya. Untuk menghentikan autentikasi berbasis kata sandi, sunting file ##/etc/ssh/sshd_config## dan nonaktifkan ##PasswordAuthentication##: {{{text PasswordAuthentication no }}} == Matikan SSH forwarding Penerusan port melalui SSH (SSH tunneling) menciptakan koneksi yang aman antara komputer lokal dan mesin jarak jauh yang melaluinya layanan dapat diteruskan. Jika tidak menggunakan fitur ini, disarankan untuk menonaktifkan fitur ini dengan menambahkan baris berikut di ##/etc/ssh/sshd_config##: {{{text AllowTcpForwarding no }}} Sebagai alternatif, SSH forwarding juga dapat diaktifkan hanya untuk pengguna tertentu. Sebagai contoh, untuk mengaktifkan SSH forwarding untuk pengguna Alice, tambahkan baris berikut pada ##/etc/ssh/sshd_config##: {{{text AllowTcpForwarding no Match User foobar AllowTcpForwarding yes }}} == Disable TCP Forwarding SSH mendukung “//traffic tunneling//”, yang digunakan untuk meneruskan lalu lintas TCP melalui protokol SSH. Jika tidak menggunakan fitur ini, disarankan untuk menonaktifkannya. Untuk menonaktifkan penerusan TCP, sunting file ##sshd_config## dan nonaktifkan ##AllowTcpForwarding##: {{{text AllowTcpForwarding no }}} <footnotes> ---- [[Kategori Linux]] | [[Kategori Unix]]
Ringkasan:
Ini adalah suntingan remeh-temeh.
Nama pengguna: