Cara mengamankan server OpenSSH — Secure Shell (SSH) banyak digunakan oleh administrator jaringan untuk mengontrol web dan berbagai jenis server remote lainnya. Tampilan command berbasis UNIX dan protokol dapat juga digunakna untuk tunnel traffic, transfer file, mount remote sistem file dan banyak lagi. OpenSSH adalah seperrangkat program komputer yang menyediakan sesi komunikasi terenkripsi melalui jaringan komputer menggunakna protokol SSH. Sederhananya, itu merupakan alternatif open source untuk software hak akses Secure Shell yang ditawarkan oleh SSH Communications Security.

ssh openssh

SSH (Foto:daha.net)

Berikut ini adalah 5 tips untuk mengamankan OpenSSH server Anda.

1. Merubah port default SSH

Anda bisa lakukan dengan cara berikut:

# nano /etc/ssh/sshd_config
Port 2222

Sekarang, ketika melakuakan koneksi SSH secara remote:

# ssh -p 2222 root@192.168.1x.1xx

2. Mamatikan akses root default melalui SSH

Gunakan akun apapun yang bukan root untuk SSH dan kemudian berpindah (su–) menuju akun root. Berikut ini bagaimana hal tersebut bisa dilakukan:

# nano /etc/ssh/sshd_config
PermitRootLogin no

3. Mematikan password berbasis authentication

Sebaliknya gunakan public/private key pair saja. Beriktu adalah cara yang dapat Anda lakukan:

# nano /etc/ssh/sshd_config
PasswordAuthentication no

4. Mengizinkan/Menolak akses beberapa user/Groups

SSH server akan memungkinkan semua pengguna untuk login ke server secara default. Anda tentu dapat mengubah itu dengan cara ini.

-Allow specific User:

# nano /etc/ssh/sshd_config
AllowUsers sks xyz

-Deny Specific User:

# nano /etc/ssh/sshd_config
DenyUsers sks xyz

-Allow Specific Groups:

# nano /etc/ssh/sshd_config
AllowGroups sks xyz

-Deny Specific Groups:

# nano /etc/ssh/sshd_config
DenyGroups sks xyz

5. Membatasi SSH dari tampilan jaringan tertentu

Sangat berguna untuk server yang memiliki satu interface yang terhubung langsung ke internet dan komputer lain di LAN. Berikut ini yang bisa Anda lakukan:

# nano /etc/ssh/sshd_config
ListenAddress 192.168.10.100
ListenAddress 127.0.0.1