Tingkat kesulitan: pemula hingga menengah
Berlaku untuk: Seluruh distro Linux, dan sistem operasi UNIX lainnya.

server SSH (secure shell) sudah sangat lazim dipakai di kalangan sysadmin dan kru devops. Namun banyak orang yang masih meninggalkan setting server SSH dalam keadaan default, sehingga sangat rentan terhadap serangan bruteforce. Oleh karena itu, saya menganjurkan panduan best practice untuk mengamankan SSH server.Konfigurasi server SSH terdapat pada /etc/ssh/sshd_config. Anda dapat mengeditnya menggunakan editor favorit anda, boleh nano atau vim.

# vim /etc/ssh/sshd_config
  1. Ganti ListenPort ke port lain. Contoh:
    ListenPort 2351

    Pengalaman pribadi menunjukkan bahwa hanya dengan mengganti ListenPort ke port bukan default, sudah sangat mengurangi kemungkinan serangan bruteforce pada server SSH

  2. Mematikan login menggunakan akun root (pastikan anda sudah memiliki akun administrator lain selain root sebelum melakukan langkah ini) dengan menambahkan atau mengubah directive PermitRootLogin
    PermitRootLogin no
  3. Mematikan fasilitas X11 forwarding (jika komputer yang di-remote adalah server tanpa GUI)
    X11Forwarding no
  4. Mematikan otentikasi menggunakan password. Setting pada langkah ini adalah setting yang sifatnya paranoid, gunakan jika diperlukan.
    ## PERHATIAN!!! sebaiknya anda sudah menyiapkan keypair untuk login 
    ## ke server SSH sebelum melakukan setting ini agar anda dapat login ke 
    ## server dan tidak terkunci dari luar
    PasswordAuthentication no
    RSAAuthentication yes
    PubkeyAuthentication yes
    PermitEmptyPassword no
    
  5. Setting berikut ini hanya untuk optimasi dan tambahan pengamanan
    ## mematikan fasilitas hostname lookup untuk pencatatan last login (ini hanya optimasi)
    UseDNS no
    ## ini hanya untuk FreeBSD, walaupun opsi ini juga tersedia di BlankOn 
    ## dan distro berbasis Debian yang lain.
    ## INFO: default setting pada FreeBSD menambahkan string tambahan untuk 
    ## identifikasi versi SSH. dengan mengosongkan setting ini akan
    ## mempersulit deteksi sistem operasi server yang anda gunakan. (TIDAK BERLAKU UNTUK LINUX)
    VersionAddendum

Sesudah editing selesai, simpan file tersebut lalu restartlah server SSH dengan perintah service ssh restart

The following two tabs change content below.
Just a simple sysadmin with advanced UNIX proficiency.

Latest posts by benben159 (see all)

3 thoughts on “Mengamankan SSH Server

  1. Kalo boleh saya tambahkan :

    1. Opsi SFTP biasanya juga saya nonaktifkan.
    opsi ini diaktifkan sewaktu2 saja ketika memang butuh, karena kadang kala user bisa upload exploit ke server via sftp.

    2. AllowUsers untuk restriksi user tertentu yang boleh login

Leave a Reply

Your email address will not be published. Required fields are marked *