Salah satu langkah pengerasan SSH dasar adalah menonaktifkan login SSH berbasis kata sandi.
Anda tahu bahwa Anda dapat menggunakan ssh dengan root atau kata sandi akun lain untuk login dari jarak jauh ke server Linux.
Tetapi ini menimbulkan risiko keamanan karena sejumlah besar bot selalu mencoba masuk ke sistem Anda dengan kata sandi acak. Ini disebut serangan brute force.
Anda tidak percaya saya? Anda dapat memeriksa login di server Linux Anda. Anda akan terkejut melihat begitu banyak upaya yang gagal di server Anda.
[email protected]:~# lastb | tail
root ssh:notty 49.235.87.213 Wed Apr 1 06:25 - 06:25 (00:00)
root ssh:notty 95.128.137.176 Wed Apr 1 06:25 - 06:25 (00:00)
aw ssh:notty 36.108.175.68 Wed Apr 1 06:25 - 06:25 (00:00)
aw ssh:notty 36.108.175.68 Wed Apr 1 06:25 - 06:25 (00:00)
fx ssh:notty 113.88.164.53 Wed Apr 1 06:25 - 06:25 (00:00)
fx ssh:notty 113.88.164.53 Wed Apr 1 06:25 - 06:25 (00:00)
root ssh:notty 112.215.113.10 Wed Apr 1 06:25 - 06:25 (00:00)
root ssh:notty 152.32.173.74 Wed Apr 1 06:25 - 06:25 (00:00)
Inilah sebabnya mengapa Anda harus menggunakan kata sandi yang kuat. Cara yang tepat untuk mengatasinya adalah dengan menggunakan alat seperti fail2ban. Cara lain adalah dengan menonaktifkan otentikasi berbasis kata sandi sehingga tidak ada yang dapat terhubung melalui kata sandi masuk.
Dengan cara ini, hanya sistem yang memiliki kunci ssh publik yang ditambahkan ke server (disebut otentikasi berbasis kunci) yang dapat terhubung ke server. Baca tentang menyiapkan konfigurasi ssh.
Nonaktifkan otentikasi kata sandi SSH
Sebelum melakukannya, Anda harus mengingat hal-hal berikut:
- Pastikan untuk membuat pasangan kunci ssh di komputer pribadi/kantor Anda dan tambahkan kunci SSH publik ini ke server sehingga setidaknya Anda bisa masuk ke server.
- Menonaktifkan otentikasi berbasis kata sandi berarti Anda tidak dapat melakukan ssh ke server Anda dari komputer acak.
- Anda tidak boleh kehilangan kunci ssh Anda. Jika Anda memformat komputer pribadi dan kehilangan kunci ssh, Anda tidak akan pernah dapat mengakses server.
- Jika Anda terkunci, Anda tidak akan pernah dapat mengakses server Anda.
Beberapa penyedia server cloud seperti Linode dan UpCloud menyediakan konsol VNC yang masih dapat membantu Anda.
Hanya nonaktifkan otentikasi SSH berbasis kata sandi jika Anda terbiasa dengan SSH dan konsep sysadmin lainnya. Anda juga harus tahu cara menggunakan editor teks berbasis terminal seperti Vim atau Nano.
Oke. Jadi sekarang Anda tahu risiko yang terkait dengan menonaktifkan login SSH melalui kata sandi. Mari kita lihat bagaimana melakukannya.
Login sebagai root ke server Linux Anda menggunakan otentikasi berbasis kunci. Gunakan editor seperti Nano atau Vim untuk mengedit file berikut:
/etc/ssh/sshd_config
Temukan baris berikut:
PasswordAuthentication yes
Dan ubah menjadi:
PasswordAuthentication no
Jika ada # (berarti dikomentari) di awal baris itu, hapus.
Simpan file setelah melakukan perubahan ini dan mulai ulang layanan SSH menggunakan perintah ini:
systemctl restart ssh
Itu dia. Anda telah berhasil menonaktifkan otentikasi berbasis kata sandi di SSH.
Pertanyaan dan saran selalu diterima.