خمس نصائح فعّالة لتأمين خادم SSH على أوبونتو

هل الوصول إلى خادم أوبونتو الخاص بك عبر SSH آمن بما فيه الكفاية؟

يُعدّ تأمين الوصول عبر SSH من أهم الخطوات الأساسية لأي خادم لينكس، خاصةً عند استضافته لخدمات بالغة الأهمية مثل مواقع الويب، وقواعد البيانات، وخوادم التداول، أو وحدات معالجة الرسومات (GPU). في هذا الدليل، سنستعرض خمسة حلول عملية وتقنية لـ تأمين SSH على أوبونتو يتضمن هذا الدليل تعليمات عملية، وأمثلة على التكوين، ونصائح قابلة للتكيف مع سيناريوهات التداول، والألعاب، والذكاء الاصطناعي، واستضافة المواقع الإلكترونية.

نظرة عامة والأهداف

يهدف هذا الدليل إلى تقديم خمس نقاط رئيسية تجمع بين مبادئ السرية، نطاق هجوم مخفّض، الكشف عن الاختراقات والاستجابة لها وزيادة الاستدامة أغلفة.

• استبدال المصادقة بـ مفتاح SSH بدلاً من كلمة المرور
• تقييد الوصول (المنفذ، المستخدم، عنوان IP)
• تطبيق أدوات الحماية مثل Fail2Ban و UFW/iptables
• المراقبة والتدقيق (السجلات، sshd -T(أدوات المراجعة)
• استخدم المصادقة الثنائية أو أساليب Bastion/Jumphost

1) استخدم مفاتيح SSH قوية وقم بتعطيل كلمات المرور

استخدام مفاتيح SSH بدلاً من كلمة المرور، يوفر هذا النظام مقاومة لهجمات التخمين العشوائي ويسهل إدارة الوصول. مفاتيح جديدة مثل ed25519 يوصى بها بشكل خاص إذا كنت بحاجة إلى التوافق مع الأنظمة القديمة. RSA 4096 يستخدم.

إنشاء مفتاح آمن على جهاز العميل:

ssh-keygen -t ed25519 -a 100 -o -f ~/.ssh/id_ed25519 -C "user@host"

أو (للتوافق):

ssh-keygen -t rsa -b 4096 -o -a 100 -f ~/.ssh/id_rsa -C "user@host"

نقل المفتاح إلى الخادم:

ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server

مثال على الإعدادات المهمة في ملف /etc/ssh/sshd_config:

PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

تحميل إعدادات SSH:

sudo systemctl reload sshd

مثال لسيناريو عقدة وحدة معالجة الرسومات (الذكاء الاصطناعي)

يُوصى به لخوادم وحدة معالجة الرسومات المستخدمة من قبل فرق التعلم الآلي/الذكاء الاصطناعي مجموعات الوصول أنشئ مفتاحًا فريدًا لكل مستخدم وأصدره. استخدم نظام ملفات مشفرًا لمجلد المفتاح وقم بتمكينه. AppArmor (أو SELinux إذا كان متاحًا) يوصى به أيضًا.

2) تقييد الوصول: المنفذ، والمستخدمون، والعناوين، ومجموعات المستخدمين المسموح بها/مجموعات المجموعات المسموح بها

خفض مستوى الوصول أو سطح الهجوم يقلل من محاولات الاختراق. وتشمل الأساليب الشائعة تغيير المنافذ، وتقييد المستخدمين، والقيود القائمة على عناوين IP.

تغيير المنفذ الافتراضي:

Port 2222

تقييد المستخدمين أو المجموعات:

AllowUsers deploy [email protected]/24
# or
AllowGroups sshusers

التقييد القائم على عنوان IP باستخدام UFW:

sudo ufw allow from 203.0.113.5 to any port 2222 proto tcp

تعطيل الميزات عالية الخطورة:

AllowTcpForwarding no
X11Forwarding no
PermitTunnel no

تقليل الوقت والجهد المبذولين في محاولات تسجيل الدخول الفاشلة:

LoginGraceTime 30
MaxAuthTries 3
MaxSessions 2

3) منع الهجمات العنيفة وإدارة الهجمات: Fail2Ban وUFW وAnti-DDoS

تُعدّ الهجمات الآلية وهجمات القوة الغاشمة شائعة؛ أدوات مثل Fail2Ban ويمكن لجدران الحماية على مستوى المضيف حظر حركة المرور الضارة. كما يُنصح باستخدام خدمات مكافحة هجمات DDoS للتصدي لهجمات الطبقة الرابعة والطبقة السابعة.

تثبيت وتكوين برنامج Fail2Ban:

sudo apt install fail2ban
# create /etc/fail2ban/jail.d/sshd.local with:
[sshd]
enabled = true
port = 2222
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600

تكوين جدار الحماية الأساسي باستخدام UFW:

sudo apt install ufw
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp
sudo ufw allow 80,443/tcp
sudo ufw enable

إذا كنت بحاجة إلى حماية أقوى من طبقة الشبكة، فاستخدم خدمة مكافحة هجمات DDoS استخدم خدمات شركتنا. يمكن دمج خوادمنا المضادة لهجمات DDoS مع شبكات BGP/Anycast وCDN لإيقاف حركة المرور الضارة على حافة الشبكة.

مقارنة المواقع وتأثيرها على الأمن

في أكثر من 85 موقعًا عالميًا للشركة، تتميز بعض مراكز البيانات بميزات شبكية متطورة مثل جدران الحماية الطرفية، وبروتوكول BGP، وأنظمة الحماية من هجمات DDoS المعتمدة على الأجهزة. بالنسبة للخوادم التجارية أو ذات الأهمية الأمنية العالية، من الضروري اختيار موقع يدعم أنظمة الحماية من هجمات DDoS ويتمتع بمسار شبكي قصير إلى الأسواق المالية (مثل لندن، وفرانكفورت، ونيويورك، وسنغافورة، وطوكيو).

4) المراقبة والتدقيق واكتشاف الاختراقات

يُعدّ معرفة من اتصل بالخادم وما هي المحاولات الفاشلة أمراً بالغ الأهمية. وتساعد السجلات وأدوات التدقيق في اكتشاف الاختراقات بسرعة.

أوامر مفيدة للتحقق:

sshd -T
ss -tulpn | grep ssh
sudo tail -n 200 /var/log/auth.log
last -a

لتحليل السجلات، يمكنك استخدام rsyslog، سجل المراقبة أو استخدم خدمات تسجيل مركزية (مثل Elasticsearch/Graylog). ومن الأدوات المفيدة الأخرى ما يلي: تدقيق SSH و لينيس وأنظمة كشف ومنع التسلل مثل أمن الأنظمة أو الميركات نعم، هم كذلك.

5) المصادقة الثنائية، والحصن، وإدارة الوصول (PAM، 2FA)

تُتيح إضافة طبقة ثانية من المصادقة للمهاجم منع الوصول في حال سرقة المفتاح أو اختراق الحساب. تشمل الخيارات استخدام تطبيق Google Authenticator (PAM)، وخدمات المصادقة متعددة العوامل للمؤسسات، واستخدام Bastion/Jumphost.

قم بتثبيت تطبيق Google Authenticator PAM:

sudo apt install libpam-google-authenticator
# then run for each user:
google-authenticator

تهيئة PAM و sshd:

# add to /etc/pam.d/sshd
auth required pam_google_authenticator.so

# in /etc/ssh/sshd_config
ChallengeResponseAuthentication yes
UsePAM yes

بالنسبة للمؤسسات، استخدام خدمات المصادقة متعددة العوامل مثل ثنائي أو أوكتا يوصى أيضاً بوضع مضيف الحصن بفضل المصادقة الثنائية، والتسجيل المركزي، وسياسات إدارة الهوية والوصول الموحدة، يُعد هذا النهج الأفضل للفرق الكبيرة.

نصائح عملية لإدارة المفاتيح والدورات

يعد التدوير الدوري للمفاتيح وإزالة المفاتيح غير النشطة واستخدام إدارة الهوية (LDAP/AD/SSO) للتحكم المركزي أمراً ضرورياً للحفاظ على الأمن.

مثال مقترح لتكوين sshd_config

يوضح المثال التالي الإعدادات الموصى بها (قد يلزم إجراء تعديلات إضافية بناءً على احتياجاتك الخاصة):

Protocol 2
Port 2222
PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM yes
X11Forwarding no
AllowTcpForwarding no
ClientAliveInterval 300
ClientAliveCountMax 2
LogLevel VERBOSE
AllowUsers deploy [email protected]

نصائح إضافية وعملية لحالات محددة

التجار: استخدم خادمًا افتراضيًا خاصًا مخصصًا للتداول في موقع قريب من منصات التداول، وقم بقياس أوقات الاستجابة باستخدام أدوات الشبكة، واحرص على إبقاء اتصال SSH مفتوحًا فقط من عناوين IP محددة. استخدم تقنيات الحماية من هجمات DDoS وبروتوكول BGP.

لعبة: لألعاب VPS، استغل المواقع ذات زمن الاستجابة المنخفض والشبكات الخاصة. تحكم في الوصول الإداري من خلال Bastion.

الذكاء الاصطناعي والرسم: حدد خوادم وحدة معالجة الرسومات في مواقع خاصة بالذكاء الاصطناعي، وقم بتقييد الوصول إلى SSH باستخدام المفاتيح والمصادقة الثنائية، واستخدم AllowGroups للفرق المختلفة.

خادم الويب ووردبريس: استخدم مفاتيح SSH للمسؤولين، وبروتوكول SFTP الآمن لتحميل المحتوى، ونظام CI/CD مع مفاتيح نشر SSH.

معلومات عن الخدمات والبنية التحتية

شركة خدمات في أكثر من 85 موقعًا عالميًا العروض: أنواع مختلفة من خوادم VPS للتداول والألعاب، وخوادم سحابية عالية الأداء، وخوادم رسومات (GPU)، وخوادم مضادة لهجمات DDoS، وخدمات الاستضافة والنطاقات، وشبكة توصيل المحتوى (CDN)، وشبكة مدعومة ببروتوكول BGP.

• بالنسبة للخدمات العامة، استخدم موقعًا مزودًا بتقنية الحماية من هجمات DDoS.
• للوصول الآمن، يُنصح باستخدام Bastion على شبكة خاصة والوصول إليه عبر VPN أو عنوان IP ثابت.
• اختر خوادم وحدة معالجة الرسومات في مواقع مخصصة للذكاء الاصطناعي للحصول على أقل زمن استجابة.
• لحماية طبقة التطبيق، قم بتضمين شبكة توصيل المحتوى (CDN) وجدار حماية تطبيقات الويب (WAF) إلى جانب تدابير الأمان الأخرى.

ملخص وقائمة التحقق من التنفيذ السريع

قائمة تحقق من عشر خطوات لتنفيذ ما سبق:

1. إنشاء واستخدام مفتاح SSH آمن (ed25519 أو RSA4096)
2. إلغاء التفعيل مصادقة كلمة المرور و تصريح تسجيل الدخول الجذري
3. قم بتغيير منفذ SSH الافتراضي وتقييد الأذونات الإضافية
4. تثبيت Fail2Ban والتكوين UFW/iptables
5. تقييد استخدام عناوين IP السماح للمستخدمين/السماح للمجموعات
6. تفعيل تسجيل الأحداث وإرسال السجلات إلى الخدمة المركزية
7. قم بتطبيق المصادقة الثنائية أو المصادقة متعددة العوامل للوصول إلى البيانات الحساسة
8. استخدام Bastion/Jumphost للوصول عن بعد
9. تحقق من الإعدادات باستخدام sshd -T وأدوات التدقيق
10. افحص المفاتيح بشكل دوري، وأزل المفاتيح القديمة، وقم بتدوير المفاتيح.

الأسئلة الشائعة