Dasar Primer untuk Mengamankan SSH

(Super Secure) Secure Shell Disederhanakan

Pertukaran Kunci Penting untuk Secure SSH
Pertukaran Kunci Penting untuk Secure SSH

Mari kita hadapi itu, mengamankan Secure Shell (Atau SSHdapat membingungkan seperti plot film Primer. Tapi, seperti filmnya, itu sepadan dengan usaha. Meskipun Anda dapat menemukan file panduan lengkap tentang secure secure shell online, kami akan memberi Anda gambaran umum tentang beberapa praktik terbaik yang perlu Anda ikuti jika Anda benar-benar ingin aman saat menggunakan SSH. Anda mungkin terkejut betapa mudahnya mendengarkan jika tidak diatur dengan benar.

Praktik Terbaik untuk Mengamankan SSH

Berikut ini adalah ringkasan dari hal-hal utama yang ingin Anda pertimbangkan dengan hati-hati jika Anda menggunakan SSH dan ingin tetap aman dan terlindungi.

  • Pertukaran Kunci - Pada dasarnya, Anda akan ingin menggunakan: Diffie-Hellman atau Elliptic Curve Diffie-Hellman untuk melakukan pertukaran kunci. Ini karena keduanya memberikan kerahasiaan, yang membuat orang lebih sulit untuk mengintip. Seperti yang mungkin Anda ketahui, OpenSSH saat ini mendukung 8 protokol pertukaran kunci. Yang ingin Anda gunakan adalah kurva25519-sha256: ECDH selesai Curve25519 dengan SHA2 OR diffie-hellman-grup-pertukaran-sha256: Kustom DH dengan SHA2.
  • Otentikasi Server - Anda dapat menggunakan empat algoritma kunci publik untuk otentikasi server. Dari keempatnya, taruhan terbaik Anda (untuk keamanan) adalah menggunakan RSA dengan SHA1 untuk kebutuhan otentikasi server Anda. Triknya adalah memastikan Anda menonaktifkan algoritme kunci publik yang TIDAK akan Anda gunakan. Ini mudah ditangani dengan beberapa perintah. Pastikan file init Anda tidak memuat ulang kunci yang tidak ingin Anda gunakan.
  • Otentikasi Klien - Setelah Anda mengatur sesuatu yang lebih aman, Anda ingin memastikan Anda menonaktifkan otentikasi kata sandi, yang rentan terhadap serangan brute force. Jauh lebih baik menggunakan otentikasi kunci publik - seperti di sisi server. Pilihan lainnya adalah dengan menggunakan OTP (kata sandi sekali pakai) untuk mempersulit orang jahat mengintip koneksi data aman Anda untuk mencoba mempelajari lebih lanjut tentang Anda.
  • Otentikasi Pengguna - Ini adalah aspek penting dalam menyiapkan server untuk menerima koneksi SSH yang benar-benar aman. Pada dasarnya, Anda ingin membuat daftar putih pengguna yang diizinkan. Melakukan ini akan memblokir siapa pun yang tidak ada dalam daftar bahkan untuk mencoba masuk. Jika Anda memiliki banyak pengguna yang akan terhubung ke server melalui SSH, Anda akan ingin menggunakan AllowGroups daripada AllowUser, tetapi ini masih relatif mudah untuk disiapkan.
  • Cipher simetris - Jika menyangkut cipher simetris, Anda memiliki beberapa algoritme yang tersedia. Sekali lagi, terserah Anda untuk memilih yang terbaik demi keamanan. Dalam kasus ini, Anda akan ingin menggunakan chacha20-poly1305@openssh.com, aes256-gcm@openssh.com, aes128-gcm@openssh.com, aes256-ctr, aes192-ctr, dan aes128-ctr.
  • Kode Otentikasi Pesan - Jika Anda menggunakan mode penyandian AE, Anda tidak perlu khawatir tentang MAC karena sudah disertakan. Di sisi lain, jika Anda memilih rute CTR, Anda akan ingin menggunakan MAC untuk menandai setiap pesan. Encrypt-then-MAC adalah satu-satunya metode yang harus digunakan jika Anda ingin memastikan bahwa Anda seaman mungkin saat menggunakan SSH.
  • Analisis Lalu Lintas - Last but not least, Anda akan ingin menggunakan Layanan tersembunyi Tor untuk server SSH Anda. Dengan menggunakan ini, Anda akan mempersulit orang jahat dengan menambahkan lapisan perlindungan lagi. Jika Anda tidak menggunakan LAN, pastikan untuk mematikannya.

Setelah selesai memeriksa dan mengubah semua hal di atas, Anda akan ingin menjalankannya ssh -v untuk memeriksa perubahan yang Anda buat pada sistem Anda. Perintah sederhana itu akan mencantumkan semua algoritme yang Anda putuskan untuk digunakan sehingga Anda dapat dengan mudah memeriksa ulang pekerjaan Anda.

Juga, Perketat Sistem Anda!

Ini adalah tips yang bagus untuk Apa pun server yang terhubung ke internet, tetapi juga sangat berguna untuk memastikan koneksi SSH Anda seaman mungkin.

  • Instal hanya perangkat lunak yang diperlukan. Lebih banyak kode sama dengan lebih banyak peluang untuk bug dan eksploitasi yang dapat digunakan oleh peretas jahat.
  • penggunaan FOSS (Perangkat Lunak Bebas / Sumber Terbuka) bila memungkinkan untuk memastikan Anda memiliki akses ke kode sumber. Ini akan memungkinkan Anda untuk memeriksa sendiri kode tersebut.
  • Perbarui perangkat lunak Anda sesering mungkin. Ini akan membantu Anda menghindari masalah yang diketahui dapat dimanfaatkan oleh orang jahat.

Seperti yang disebutkan, tip di atas adalah hal-hal yang harus Anda lakukan terlepas dari apakah Anda mencoba mengamankan koneksi SSH ke server atau tidak.

Takeaway SSL

Kesimpulan SSL adalah bahwa meskipun sesuatu memiliki kata "aman" atau "keamanan" dalam namanya, itu tidak berarti itu akan sekeras mungkin terhadap serangan jika Anda tidak mengaturnya dengan benar. Jika Anda bertanggung jawab atas sebuah server dan sering menggunakan SSH untuk menyambungkannya (atau mengizinkan orang lain), Anda pasti ingin meluangkan waktu untuk mengaturnya dengan benar untuk memastikan Anda mendapatkan keamanan maksimum.

Di SSL.com, kami percaya dalam membuat Praktik Terbaik SSL semudah dipahami dan diimplementasikan sebaik mungkin.

Chris Kemmerer

Semua Tulisan

Artikel terkait

Lihat Semua Artikel
Facebook Youtube Twitter Github

Berlangganan Newsletter SSL.com

Apa itu SSL /TLS?

Putar Video

Berlangganan Newsletter SSL.com

Jangan lewatkan artikel baru dan pembaruan dari SSL.com

Tetap Terinformasi dan Aman

SSL.com adalah pemimpin global dalam keamanan siber, PKI dan sertifikat digital. Daftar untuk menerima berita industri terkini, tips, dan pengumuman produk dari SSL.com.

Kami sangat menantikan tanggapan Anda

Ikuti survei kami dan beri tahu kami pendapat Anda tentang pembelian terakhir Anda.

Ikuti Survei