آموزش تغییر پورت SSH در لینوکس برای افزایش امنیت سرور

یکی از مهم‌ترین راهکارهای افزایش امنیت سرورهای لینوکسی، تغییر پورت SSH است. بسیاری از حملات خودکار و brute force روی پورت پیش‌فرض SSH انجام می‌شوند و همین موضوع می‌تواند امنیت سرور شما را به خطر بیندازد. در این مقاله، به صورت کامل و مرحله به مرحله نحوه تغییر پورت SSH را آموزش می‌دهیم تا بتوانید با انجام این کار ساده، امنیت سرور خود را به شکل قابل توجهی افزایش دهید.

SSH اگر عکس بود

پیش‌نیازهای تغییر پورت SSH در لینوکس

برای تغییر پورت SSH در لینوکس، ابتدا باید دسترسی به کاربر Root یا یک کاربر با سطح دسترسی sudo داشته باشید. بدون این دسترسی‌ها، امکان ویرایش فایل‌های سیستمی و انجام تغییرات لازم وجود نخواهد داشت. همچنین آشنایی اولیه با محیط خط فرمان لینوکس می‌تواند روند کار را برای شما ساده‌تر کند.

یکی دیگر از پیش‌نیازهای مهم، بررسی وضعیت فایروال سرور است. قبل از اعمال هرگونه تغییر، مطمئن شوید که پورت جدید مورد نظر شما در فایروال باز است تا پس از تغییر پورت، ارتباط با سرور قطع نشود. این موضوع به‌ویژه برای سرورهایی که از راه دور مدیریت می‌شوند، اهمیت زیادی دارد.

در نهایت، همیشه توصیه می‌شود قبل از ویرایش فایل‌های کانفیگ، از آن‌ها بکاپ تهیه کنید. این کار باعث می‌شود در صورت بروز هرگونه مشکل، بتوانید به راحتی تنظیمات قبلی را بازگردانید و از قطع دسترسی به سرور جلوگیری کنید. رعایت این پیش‌نیازها، فرآیند تغییر پورت SSH را ایمن‌تر و بدون دردسر خواهد کرد.

تغییر پورت SSH

برای شروع، ابتدا باید فایل تنظیمات SSH را ویرایش کنید. این فایل معمولاً با نام sshd_config در مسیر /etc/ssh/ قرار دارد. با استفاده از یک ویرایشگر متنی مانند nano یا vi، فایل را باز کنید و به دنبال خطی بگردید که با عبارت Port شروع می‌شود. اگر این خط کامنت شده است، علامت # را حذف کرده و پورت جدید مورد نظر خود را وارد کنید.

انتخاب پورت مناسب اهمیت زیادی دارد. سعی کنید پورتی را انتخاب کنید که در محدوده 1024 تا 65535 باشد و با سرویس‌های دیگر تداخل نداشته باشد. بهتر است از پورت‌هایی که معمولاً توسط سرویس‌های رایج استفاده می‌شوند، اجتناب کنید تا از بروز مشکلات احتمالی جلوگیری شود.

پس از ذخیره تغییرات، باید سرویس SSH را ریستارت کنید تا تنظیمات جدید اعمال شوند. این کار معمولاً با دستور systemctl restart sshd یا service ssh restart انجام می‌شود. حتماً قبل از بستن ارتباط فعلی، یک ترمینال جدید باز کرده و با پورت جدید تست کنید تا مطمئن شوید همه چیز به درستی کار می‌کند.

تغییر پورت SSH در توزیع‌های مختلف لینوکس

تغییر پورت SSH در Ubuntu و Debian

برای تغییر پورت SSH در توزیع‌های مبتنی بر دبیان مانند Ubuntu و Debian، ابتدا باید فایل تنظیمات SSH را ویرایش کنید. این فایل معمولاً در مسیر /etc/ssh/sshd_config قرار دارد. با استفاده از دستور زیر می‌توانید فایل را باز کنید:

sudo nano /etc/ssh/sshd_config

در این فایل، خطی که با Port شروع می‌شود را پیدا کنید و عدد مورد نظر خود را به عنوان پورت جدید وارد کنید (مثلاً Port 2222). اگر این خط کامنت شده است (علامت # دارد)، آن را حذف کنید. پس از ذخیره تغییرات، باید سرویس SSH را ریستارت کنید تا تنظیمات جدید اعمال شوند:

sudo systemctl restart ssh

قبل از بستن ترمینال، حتماً اتصال به سرور با پورت جدید را تست کنید تا دسترسی شما قطع نشود.

تغییر پورت SSH در CentOS، RHEL و Fedora

در توزیع‌های مبتنی بر Red Hat مانند CentOS، RHEL و Fedora نیز مراحل تقریباً مشابه است. ابتدا فایل تنظیمات SSH را با یک ویرایشگر متنی باز کنید:

sudo vi /etc/ssh/sshd_config

در اینجا نیز مقدار پورت را تغییر دهید یا خط مربوط به Port را از حالت کامنت خارج کرده و عدد دلخواه را وارد کنید.

در صفحه ای که مشابه زیر باز خواهد شد، از روی کیبورد دکمه ی Insert را کلیک نمایید.

سپس #Port 22 را به Port xxxx تغییر دهید که xxxx پورت مورد نظر شما میباشد.

با کلیک بر Esc و نوشتن :wq تغییرات را ذخیره نمایید.

پس از ذخیره فایل، سرویس SSH را با دستور زیر ریستارت کنید:

sudo systemctl restart sshd

همانند قبل، حتماً پیش از قطع اتصال، عملکرد پورت جدید را بررسی کنید.

دستور نصب ویرایشگر nano

در سیستم عامل debian و اوبنتو:

sudo apt-get install nano

در سیستم عامل CentOS/RHEL:

yum install nano

افزودن پورت جدید به فایروال

پس از تغییر پورت SSH، لازم است پورت جدید را در فایروال سرور باز کنید تا بتوانید از راه دور به سرور متصل شوید. بسته به نوع فایروال مورد استفاده، دستورات متفاوت است.

باز کردن پورت جدید در UFW (Ubuntu/Debian)

اگر از UFW استفاده می‌کنید، با دستور زیر پورت جدید را باز کنید:

sudo ufw allow xxxx/tcp

سپس وضعیت فایروال را بررسی کنید تا مطمئن شوید پورت جدید باز است:

sudo ufw status

باز کردن پورت جدید در firewalld (CentOS/RHEL/Fedora)

در سرورهایی که از firewalld استفاده می‌کنند، دستور زیر را اجرا کنید:

sudo firewall-cmd --permanent --add-port=xxxx/tcp
sudo firewall-cmd --reload

با این دستورات، پورت 2222 برای ارتباطات SSH باز می‌شود. شما می‌توانید به جای 2222 هر پورتی که انتخاب کرده‌اید را قرار دهید.

باز کردن پورت جدید در iptables (همه توزیع‌ها)

اگر از iptables استفاده می‌کنید، دستور زیر را وارد کنید:

sudo iptables -A INPUT -p tcp --dport xxxx -j ACCEPT
sudo service iptables save
sudo service iptables restart

نکته: در دستورات بالا بجای پورت از کلمه xxxx استفاده شده که این کلمه را به پورتی که تغییر دادید جایگزین کنید.

چرا باید پورت SSH را تغییر دهیم؟

امنیت سرور یکی از مهم‌ترین دغدغه‌های مدیران وب و سرور است. یکی از راه‌های ساده اما مؤثر برای افزایش امنیت، تغییر پورت SSH از مقدار پیش‌فرض 22 به یک عدد دیگر است. بسیاری از حملات خودکار و اسکریپت‌های هک، سرورهایی را هدف قرار می‌دهند که SSH آن‌ها روی پورت پیش‌فرض فعال باشد.

وقتی پورت SSH را تغییر می‌دهید، عملاً دسترسی مهاجمان به سرور را دشوارتر می‌کنید. این کار به عنوان یک لایه امنیتی اضافه عمل می‌کند و باعث می‌شود ابزارهای اتوماتیک نتوانند به راحتی سرور شما را پیدا کنند. اگرچه این کار به تنهایی امنیت کامل ایجاد نمی‌کند، اما می‌تواند حملات بی‌هدف و گسترده را تا حد زیادی کاهش دهد.

علاوه بر این، تغییر پورت SSH می‌تواند به شما کمک کند تا لاگ‌های سرور را بهتر مدیریت کنید. با کاهش تعداد تلاش‌های ناموفق ورود، تشخیص فعالیت‌های مشکوک راحت‌تر خواهد بود. در نتیجه، تغییر پورت SSH یک اقدام پیشگیرانه و هوشمندانه برای هر مدیر سروری محسوب می‌شود.

افزایش امنیت SSH پس از تغییر پورت

تغییر پورت SSH تنها یکی از اقدامات امنیتی است و باید در کنار سایر راهکارها استفاده شود. یکی از بهترین روش‌ها، فعال‌سازی احراز هویت با کلید SSH و غیرفعال کردن ورود با رمز عبور است. این کار باعث می‌شود حتی اگر کسی پورت جدید را پیدا کند، نتواند به راحتی وارد سرور شود.

محدود کردن دسترسی به SSH فقط برای آی‌پی‌های خاص یکی دیگر از راهکارهای مؤثر است. با این کار فقط کاربران یا سرورهای مشخص شده قادر به اتصال به SSH خواهند بود و سایر درخواست‌ها رد می‌شوند. این تنظیمات را می‌توانید در فایروال یا فایل hosts.allow انجام دهید.

در نهایت، مانیتورینگ لاگ‌های SSH به شما کمک می‌کند تا ورودهای مشکوک یا تلاش‌های ناموفق را شناسایی کنید. با بررسی منظم لاگ‌ها می‌توانید به سرعت نسبت به تهدیدات احتمالی واکنش نشان دهید و امنیت سرور خود را در سطح بالاتری حفظ کنید.

جمع‌بندی

تغییر پورت SSH یکی از روش‌های ابتدایی اما مؤثر برای محافظت از سرور در برابر حملات احتمالی است. با تغییر پورت پیش‌فرض، دسترسی غیرمجاز به سرور خود را دشوارتر می‌کنید و یک لایه امنیتی بیشتر ایجاد خواهید کرد. توصیه می‌شود علاوه بر تغییر پورت SSH، سایر اقدامات امنیتی مانند استفاده از کلیدهای SSH و محدود کردن دسترسی را نیز در نظر داشته باشید تا امنیت سرور شما به حداکثر برسد.