Linux SSH Güvenlik ve Port Değiştirme

Güvenlik için sunucularda SSH portunun değiştirilmesi çok önemlidir. Port değiştirmek için

nano /etc/ssh/sshd_config

komutuyla dosyayı açıp Port 22 olan standart portu istediğimiz portla değiştiriyoruz

Seçeceğimiz portun 1024 ten büyük 60000 ten de küçük olması tavsiye edilir. Port seçmeden önce

netstat -an | grep <portnumber>

ile kontrolü sağlanarak kullanımda olmayan bir port olduğundan emin olabiliriz.

service sshd restart

komutuyla sshd servisini yeniden başlatıyoruz ve bir sonraki SSH bağlantısınız yeni belirlediğimiz port üzerinden yapıyoruz.


Port değiştime işlemimiz burada bitiyor fakat sunucumuzu daha etkili bir şekilde koruyabilmek için;

Uzak sunucuya statik ip ile bağlanıyorsak Firewalldan SSH portunu sadece bu ip için etkinleştirebiliriz.

Sabit ip adresine sahip bir VPN hizmeti satın alarak onun üzerinden bağlantı kurabiliriz.

Parola kullanmak yerine Key-Based Authentication etkinleştirip parolayı devre dışı bırakarak ile güvenliğimiz arttırabiliriz.

Yada aşağıdaki çok fazla kullanılmayan fakat çok daha etkili yöntemlerden birini seçebiliriz:

Port knocking

Port Knocking – Port Tetikleme


SSH için 2 faktörlü kimlik doğrulama

Çok basit olarak kurulumunu gerçekleştirebileceğiniz buradaki 2FA python scripti ile SMS ten daha güvenli olarak kabul edilebilecek Zaman-Tabanlı Tek seferlik şifre algoritmasını (OTP) algoritmasını kullanarak, 2FA ile güvenliği üst düzeye çıkarbilirsiniz.

https://github.com/kerk12/ssh_totp

$ git clone https://github.com/kerk12/ssh_totp.git
$ pip install -r requirements.txt
$ ./setup.sh
$ service ssh restart
$ sshtotp --enable

Kurulum bu kadar basit kurulum sonunda şöyle bir çıktı gelecektir:

TOTP Authentication enabled. Your secret key is: UOFZ67S5WXJOTGAP
You can add the above key to your authenticator app.
We recommend using Google Authenticator or FreeOTP.

Uyarılar!

  • Secret key’i bir yere hard copy olarak saklayın ve kaybetmeyin yoksa sistemi recovey modda açıp 2FA devre dışı bırakmanız gerekecektir.
  • Sistemin saatini kontrol edinin, sıkıntı çıkaması için ikinci bir ssh bağlantısı ile ilk bağlantıyı kapatmadan giriş yapabildiğinize emin olun eğer giriş yapamadıysanız açık olan bağlantıdan sistemi devre dışı bırakın!

Bir cevap yazın