العربية
Domains
Register Domain
Transfer Domain
Developer Friendly 
Enterprise Servers تأمين الوصول عبر SSH (الشل الآمن) أمر أساسي للحفاظ على أمان ونزاهة الخادم الخاص بك. يُستخدم SSH بشكل واسع للوصول عن بُعد إلى الخوادم، وإدارة الملفات، وضمان الاتصال الآمن بين الأنظمة. ومع ذلك، إذا لم يتم تكوينه بشكل صحيح، يمكن أن يصبح SSH نقطة دخول محتملة للمستخدمين غير المصرح لهم، خاصة إذا تم تركه مكشوفًا على الإنترنت.
في هذا الدليل، سوف نرشدك عبر أفضل الممارسات لتأمين الوصول عبر SSH، مما يساعدك على حماية خادمك من الوصول غير المصرح به، والانتهاكات الأمنية، والتهديدات المحتملة. هذا الدليل موجه للمبتدئين ويركز على خطوات بسيطة يمكن لأي شخص اتباعها لتعزيز أمان SSH.
ما هو SSH؟ SSH (الشل الآمن) هو بروتوكول شبكة يسمح للمستخدمين بالوصول الآمن إلى أجهزة الكمبيوتر البعيدة عبر شبكة غير مؤمنة. يُستخدم عادةً لإدارة الخوادم، ونقل الملفات، وتنفيذ الأوامر عن بُعد. يوفر SSH تشفيرًا لعملية المصادقة والبيانات المتبادلة بين العميل والخادم، مما يجعله أداة مفضلة للوصول الآمن عن بُعد.
لماذا من المهم تأمين الوصول عبر SSH؟ على الرغم من أن SSH آمن افتراضيًا، إلا أن التكوين غير الصحيح يمكن أن يعرض خادمك للعديد من المخاطر، بما في ذلك:
-
الوصول غير المصرح به: يمكن أن تؤدي كلمات المرور الضعيفة أو التكوينات الافتراضية إلى جعل خادمك عرضة لمحاولات تسجيل الدخول غير المصرح بها.
-
هجمات القوة الغاشمة: يمكن للمهاجمين استخدام أدوات آلية لتخمين كلمات المرور أو استغلال الثغرات.
-
اختراق البيانات: بدون تشفير أو مصادقة مناسبة، يمكن اعتراض البيانات الحساسة أو سرقتها أثناء النقل.
-
اختراق الخادم بالكامل: إذا تمكن المهاجمون من الحصول على صلاحيات الجذر أو صلاحيات الإدارة، يمكنهم السيطرة الكاملة على الخادم، مما يعرض أمانه ونزاهته للخطر.
يساعد تأمين الوصول عبر SSH في تقليل هذه المخاطر ويضمن أن المستخدمين المصرح لهم فقط يمكنهم الوصول إلى الخادم الخاص بك.
أفضل الممارسات لتأمين الوصول عبر SSH: استخدام طرق مصادقة قوية أساس أمان SSH يبدأ باستخدام مصادقة قوية. هناك طريقتان رئيسيتان للمصادقة:
-
المصادقة بكلمة المرور: على الرغم من أن المصادقة بكلمة المرور مريحة، إلا أنها أقل أمانًا من استخدام مفاتيح SSH. دائمًا استخدم كلمات مرور طويلة ومعقدة يصعب تخمينها. يجب أن تكون كلمة المرور القوية على الأقل 12-16 حرفًا وتحتوي على مزيج من الأحرف الكبيرة والصغيرة، والأرقام، والرموز الخاصة.
-
المصادقة باستخدام مفتاح SSH (موصى بها): مفاتيح SSH أكثر أمانًا بكثير من كلمات المرور. تتكون مفاتيح SSH من مفتاح عام ومفتاح خاص. يتم تخزين المفتاح العام على الخادم، بينما يبقى المفتاح الخاص على جهازك المحلي. فقط من يمتلك المفتاح الخاص يمكنه المصادقة. تلغي المصادقة باستخدام مفاتيح SSH خطر هجمات القوة الغاشمة التي تستهدف كلمات المرور.
تعطيل تسجيل الدخول كمستخدم جذر السماح بتسجيل الدخول المباشر كمستخدم جذر عبر SSH يعد مخاطرة أمنية. إذا تمكن المهاجم من تخمين كلمة مرور الجذر، فسيحصل على السيطرة الكاملة على الخادم. بدلاً من ذلك، قم بتكوين SSH للسماح بتسجيل الدخول باستخدام حساب مستخدم عادي مع صلاحيات مرتفعة (من خلال sudo).
تغيير المنفذ الافتراضي لـ SSH بشكل افتراضي، يعمل SSH على المنفذ 22، مما يجعله هدفًا شائعًا للهجمات. يمكن أن يقلل تغيير منفذ SSH إلى منفذ غير قياسي من احتمالية الهجمات الآلية التي تستهدف المنفذ الافتراضي. على الرغم من أن هذه ليست تدابير أمنية أساسية، إلا أنها قد تكون وسيلة فعالة لتقليل عدد محاولات القوة الغاشمة.
تمكين المصادقة الثنائية (2FA) إضافة المصادقة الثنائية (2FA) توفر طبقة أمان إضافية. حتى إذا تمكن المهاجم من الوصول إلى كلمة المرور أو مفتاح SSH، سيظل بحاجة إلى عامل ثانٍ للمصادقة. قد يكون هذا عبارة عن كلمة مرور لمرة واحدة تعتمد على الوقت (TOTP) يتم توليدها بواسطة تطبيق مثل Google Authenticator أو Authy.
تحديد الوصول عن طريق عنوان IP يمكنك تقييد الوصول عبر SSH إلى الخادم الخاص بك عن طريق السماح فقط لعناوين IP أو نطاقات IP محددة بالاتصال. إذا كنت تعرف العناوين التي ستستخدم للوصول إلى الخادم، يمكنك تكوين جدار الحماية لحظر عناوين IP الأخرى. هذا يجعل من الصعب على المستخدمين غير المصرح لهم الوصول إلى الخادم.
استخدام جدار حماية للتحكم في الوصول عبر SSH يمكن تكوين جدار حماية للسماح بمرور حركة SSH فقط من عناوين IP الموثوقة وحظر أي محاولات أخرى للوصول إلى المنفذ 22 (أو منفذ SSH المخصص). تقدم العديد من مزودي الاستضافة تكوينات جدران حماية مدمجة، ويمكنك أيضًا استخدام جدران حماية قائمة على البرمجيات مثل UFW (جدار حماية بسيط) أو iptables لإدارة الوصول عبر SSH.
مراقبة الوصول إلى SSH والسجلات تتيح لك مراقبة سجلات SSH متابعة محاولات تسجيل الدخول الفاشلة، والسلوك المشبوه، وأي وصول غير مصرح به. يستخدم العديد من مديري الخوادم أدوات مثل Fail2Ban، التي تحظر تلقائيًا عناوين IP بعد عدد معين من محاولات تسجيل الدخول الفاشلة، مما يجعل من الصعب على المهاجمين تنفيذ هجمات القوة الغاشمة للوصول إلى الخادم.
يمكنك مراجعة السجلات لتحديد أي أنماط للوصول غير المصرح به، مثل المحاولات المتكررة لتسجيل الدخول من عناوين IP غير معروفة.
تحديث وصيانة الخادم بانتظام أحد أهم جوانب تأمين أي نظام هو الحفاظ على تحديثه. تأكد من تحديث نظام التشغيل وبرامج SSH بانتظام لإصلاح الثغرات الأمنية. تنشأ العديد من مشكلات الأمان نتيجة لتشغيل برامج قديمة، لذلك تساعد التحديثات المنتظمة في منع الاستغلال.
الأسئلة الشائعة (FAQ): لماذا يجب أن أستخدم مفاتيح SSH بدلاً من كلمات المرور؟ مفاتيح SSH أكثر أمانًا من كلمات المرور لأنها ليست عرضة لهجمات القوة الغاشمة. من الصعب جدًا تخمين أو كسر مفاتيح SSH، خاصة عند مقارنتها بكلمات المرور الضعيفة أو الشائعة. توفر مفاتيح SSH مستوى أعلى من الأمان وتقضي على خطر سرقة كلمات المرور.
كيف يمكنني تعطيل تسجيل الدخول كمستخدم جذر؟ لتعطيل تسجيل الدخول كمستخدم جذر عبر SSH، تحتاج إلى تحرير ملف تكوين SSH (sshd_config). ابحث عن السطر الذي يقول PermitRootLogin واضبطه على no. هذا سيمنع تسجيل الدخول المباشر كمستخدم جذر، وسيحتاج المستخدمون إلى تسجيل الدخول باستخدام حساب عادي واستخدام sudo للمهام الإدارية.
هل من الآمن تغيير المنفذ الافتراضي لـ SSH؟ تغيير المنفذ الافتراضي لـ SSH يمكن أن يساعد في تقليل عدد الهجمات الآلية التي تستهدف الخادم، ولكن يجب عدم الاعتماد عليه كإجراء أمني وحيد. من الأفضل دمج ذلك مع ممارسات أمان أخرى مثل استخدام مفاتيح SSH وتعطيل تسجيل الدخول كمستخدم جذر.
ما هي المصادقة الثنائية (2FA) لـ SSH، ولماذا يجب تمكينها؟ تضيف المصادقة الثنائية (2FA) طبقة أمان إضافية عن طريق طلب نوعين من الهوية قبل منح الوصول. بعد إدخال كلمة المرور أو استخدام مفتاح SSH، يتطلب الأمر رمزًا ثانيًا (عادةً ما يكون كلمة مرور لمرة واحدة) لتسجيل الدخول. هذا يجعل من الصعب للغاية على المهاجمين الوصول، حتى إذا كان لديهم كلمة المرور أو مفتاح SSH.
كيف يمكنني مراقبة الوصول عبر SSH على خادمي؟ يمكنك مراقبة الوصول عبر SSH عن طريق فحص سجلات SSH، والتي تقع عادة في /var/log/auth.log. يمكنك البحث عن محاولات تسجيل الدخول غير المعتادة، أو تسجيل الدخول الفاشل، أو أي نشاط مشبوه آخر. يمكن لأدوات مثل Fail2Ban أتمتة عملية حظر عناوين IP بعد محاولات تسجيل دخول فاشلة متعددة.
تأمين الوصول عبر SSH خطوة أساسية لحماية خادمك من الوصول غير المصرح به والانتهاكات الأمنية المحتملة. باتباع أفضل الممارسات الموضحة في هذا الدليل، مثل استخدام مفاتيح SSH، وتعطيل تسجيل الدخول كمستخدم جذر، وتمكين المصادقة الثنائية، وتحديد الوصول بواسطة عنوان IP، يمكنك تقليل مخاطر اختراق خادمك بشكل كبير. تذكر أن أمان SSH هو عملية مستمرة، وأن مراجعة تكويناتك بانتظام والحفاظ على تحديث برامجك سيضمن أن يبقى خادمك آمنًا.
لمزيد من نصائح إدارة الخوادم والموارد، قم بزيارة Rosseta Ltd.
