--- title: "SSH Client - Server (Security & Simplicity)" description: Berbagi trik untuk sedikit lebih memperketat akses SSH dengan men-disable root akses SSH, mengubah port default dan menggunakan public dan private key. summary: Berbagi trik untuk sedikit lebih memperketat akses SSH dengan men-disable root akses SSH, mengubah port default dan menggunakan public dan private key. # linkTitle: date: 2012-05-17T17:09:21+07:00 lastmod: draft: false noindex: false # comments: false nav_weight: 1000 series: # - Tutorial categories: - SysAdmin - Security tags: - Linux - SSH images: authors: - ditatompel --- Bagi para **System Administrator**, sebagai pengganti **Telnet** penggunaan **SSH** pasti sudah merupakan makanan sehari-hari yang banyak digunakan untuk mengakses sistem berbasis **Linux/Unix**. Meskipun password yang dikirim ke server sudah dienkripsi dan tidak berbentuk _plaintext_ lagi, installasi [OpenSSH](https://www.openssh.com/) secara default dirasa kurang aman. Kali ini saya ingin berbagi trik yang sebenarnya sudah umum, untuk sedikit lebih memperketat akses SSH. Yaitu men-_disable_ akses SSH untuk _user_ `root`, menggunakan **public dan private key**, sampai mengubah _port default_. Selain itu saya juga ingin sedikit berbagi trik agar proses memanage server(s) menjadi lebih mudah dan simple. Pada diskusi kali ini dibutuhkan (atau saya menggunakan) : - Client PC : **Linux** dengan _desktop environment_ **KDE** `4.8`. - Server SSH (Remote PC) : Linux dengan IP `202.150.169.245`. - Mengerti sedikit dasar Linux CLI seperti `chmod`, `ssh`, `groupadd`, `useradd`. - Mampu menggunakan text editor seperti `vi`/`vim`/`nano`/`pico`, dll. - dan setumpuk kesabaran yang ditumis dengan rasa keingintahuan (yang ini lupakan). ## Disable Akses root Melalui SSH `Root` _user_ adalah user yang pasti ada pada sistem Unix/Unix-Like, jika kita tidak mendisable user tersebut, maka akan mempermudah pentester melakukan serangan bruteforce. Sebelum mendisable akses `root`, tentu saja kita perlu membuat 1 user baru yang mempunyai hak untuk menggunakan _service_ SSH dan masuk ke dalam list `sudoers`. 1. Akses ssh server menggunakan _user_ `root` terlebih dahulu. ```bash ssh root@202.150.169.245 ``` 2. setelah masuk server SSH, buat user dan _group_ baru. (Silahkan lihat `man useradd` untuk lebih jelas) ```bash groupadd ditatompel useradd -s /bin/bash -d /home/ditatompel -g ditatompel -G root -m ditatompel ``` 3. Set password user tersebut dengan perintah `passwd ditatompel`. ![Create User](create-user.png#center) 4. Lalu tambahkan user `ditatompel` ke list `sudoers`. Edit file `/etc/sudoers` dan tambahkan permission untuk user baru tersebut: ```plain ditatompel ALL=(ALL) ALL ``` 5. Kemudian edit file `/etc/ssh/sshd_config` dan tambah / edit konfigurasi berikut : ```plain PermitRootLogin no AllowUsers ditatompel ``` 6. Restart SSH _daemon_ ```bash service sshd restart #(Untuk CentOS dkk) /etc/init.d/ssh restart #(untuk Debian) /etc/rc.d/sshd restart #(FreeBSD, Arch, Gentoo, dkk) ``` > _**Note** : Setelah restart, pastikan akses SSH yang sedang berjalan / terkoneksi tidak putus / di close supaya kita masih memiliki akses dan dapat mengedit konfigurasi jika terjadi kesalahan._ 7. Coba akses SSH server menggunakan user yang tadi baru saja kita buat, yaitu `ditatompel`. ```bash ssh ditatompel@202.150.169.245 ``` ## Ubah Port Default SSH (Optional) Mengubah port default SSH (`22`) dapat menghindari _bruteforcer ababail_ yg cuma ambil script dari internet karena kebanyakan script _bruteforce_ SSH defaultnya melakukan brute ke port `22`. **NOTE** : Jika firewall server aktif, kita perlu membuka akses ke port yang baru, misalnya jika kita menggunakan `iptables`: ```bash iptables -A INPUT -p tcp --dport 1337 -j ACCEPT iptables save service iptables restart ``` - Ingat, jangan menutup koneksi SSH awal yang sudah terhubung untuk menghindari hal2 yang tidak diinginkan. Kemudian, untuk mengubah port, edit file `/etc/ssh/sshd_config` dan tambah / edit konfigurasi berikut : ```plain Port 1337 ``` kemudian restart SSH daemon. Seperti yang kita lihat, SSH daemon melakukan listen di port `1337`. Untuk memastikannya bisa menggunakan perintah `netstat`. ```bash netstat -plnt ``` Terakhir, selalu test lagi apakah server kita bisa diakses. ## Gunakan Public dan Private Key 1. Buat dulu _keypair_ untuk SSH client dan SSH server dengan menggunakan `ssh-keygen`. ```bash ssh-keygen -b 4048 -f serverLama-169-245 -t rsa -C "ditatompel@serverLama-169-245" ``` Maka ia akan membuat file bernama `serverLama-169-245` dan `serverLama-169-245.pub` dimana : `serverLama-169-245` adalah **private key** kita, dan `serverLama-169-245.pub` adalah **public key** yang nantinya diletakan letakkan di server kita. 2. Pindahkan ke 2 file tersebut ke folder `~/.ssh` dan ubah file permissionnya menjadi `600`. ```bash mv serverLama-169-245 serverLama-169-245.pub ~/.ssh/ find ~/.ssh/ -type f -exec chmod 600 {} + ``` ![SSH-keygen](sshkeygen.jpg#center) 3. Pada komputer server dengan user yang baru kita buat tadi (`ditatompel`) buat _hidden folder_ `.ssh` pada *home dir*nya dan ubah folder permissionnya menjadi `700`. ```bash mkdir ~/.ssh; chmod 700 ~/.ssh ``` 4. Copy **public key** yang tadi kita buat ke folder `~/.ssh` pada remote PC (_SSH Server_) dengan nama `authorized_keys` dan file permission `600` (untuk meng*copy file* tersebut bisa menggunakan `sftp` / `scp`) : Contoh : ```bash cd ~/.ssh sftp -P 1337 ditatompel@202.150.169.245 ``` ```plain sftp> put serverLama-169-245.pub /home/ditatompel/.ssh/authorized_keys sftp> chmod 600 /home/ditatompel/.ssh/authorized_keys ``` ![SFTP](sftp.png#center) 5. Setelah itu, edit lagi file `/etc/ssh/sshd_config` dan tambah / edit konfigurasi berikut supaya user tidak dapat mengakses shell meskipun ia mengetahui passwordnya dan wajib menggunakan private key: ```plain PasswordAuthentication no ``` 6. Restart SSH _daemon_ dan coba lagi akses SSH server dengan menggunakan command : ```bash ssh -i ~/.ssh/serverLama-169-245 -p 1337 ditatompel@202.150.169.245 ``` ![SSH pass](ssh-pass.png#center) ## Memanage Server Menggunakan FISH Protocol Ni bagian yang saya suka dan yang sebenernya pingin saya share, mungkin aja ada beberapa yang belum tau. **FISH** (_Files transferred over Shell protocol_) adalah sebuah protokol jaringan yang menggunakan **Secure Shell (SSH)** atau **Remote Shell (RSH)** untuk mentransfer file antara komputer kita dan komputer server semudah membuka2 folder / mengedit file di komputer kita. Saya menggunakan **Dolphin** yang sudah menjadi bawaan **KDE**. Selain Dolphin, KDE user juga bisa menggunakan `Konqueror` untuk menggunakan protokol FISH. (Untuk **Gnome** - **Nautilus** saya kurang tahu, mungkin yang lain bisa menambahkan dimari) Caranya tinggal klik pada _breadcrumb_ navigasi folder dan ketikan `{protokol}{user}@{server}:{port}/{folder}` kemudian tekan enter. misalnya : ```plain fish://ditatompel@202.150.169.245:1337/var/www/path/to/folder/you/want/to/access/ ``` ![Fish protocol](fish.png#center) setelah itu kita akan dipromot untuk memasukan password SSH kita. Tapi ada permasalahan yang dihadapi, protokol FISH pada Dolphin / Konqueror tidak secara langsung tahu jika kita menggunakan public dan private key untuk mengakses server. Maka dari itu kita dapat memanfaatkan fitur **ssh config** (lokasinya ada di `~/.ssh/config` untuk konfigurasi per user, atau `/etc/ssh/sshd_config` untuk _system wide_). Untuk konfigurasi tiap user, biasanya belum terdapat file `~/.ssh/config`, maka dari itu kita perlu buat dulu file tersebut dengan menambahkan konfigurasi `IdentityFile` supaya program yang kita gunakan tau bahwa kita harus menggunakan **private key** SSH kita : ```plain IdentityFile /home/dit/.ssh/serverlama-169-245 ``` Lalu bagaimana jika kita memiliki banyak server dan banyak **private key** untuk masing2 server? Yuk mari kita baca lanjutannya. ## Trik Konfigurasi ~/.ssh/config Untuk para system administrator yang ngurusin banyak server yang mengharuskan tiap server memiliki akses login yang berbeda,pasti bakal susah mengingat port, password, user, dll. Belum lagi untuk inget akses aplikasi yang ada pada server2 tersebut. Maka dari itu kita bisa manfaatin fitur ssh config yang memungkinkan kita mengakses shell hanya dengan mengingat IP server dan passpharsenya saja. Berikut ini contoh konfigurasi SSH untuk identitas multi server : ```plain Host 202.150.169.245 Hostname 202.150.169.245 User ditatompel Port 1337 IdentityFile /home/dit/.ssh/serverlama-169-245 Host xxx.xx.xx.xxx HostName xxx.xx.xx.xxx User ditakeren Port 12345 IdentityFile /home/dit/.ssh/blahblah1 Host xxx.xxx.xxx.xx Hostname xxx.xxx.xxx.xx User ditacakep Port 23213 IdentityFile /home/dit/.ssh/blahblah2 # dan seterusnya ``` ![~/.ssh/config](ssh-config.png#center) Dengan begitu kita dapat menggunakan command SSH hanya dengan : ```bash ssh 202.150.169.245 ``` atau dengan menambahkannya ke folder _network_ dengan mengakses **Network** > **Add Network Folder** kemudian isi informasi remote PC (SSH server) yang dibutuhkan. ![Fish Protocol](fish-protocol1.png#center) Mungkin sekian dulu dari saya, silahkan bagi teman2 yang ingin menambahkan / mengkoreksi, saya akan sangat menghargai. Referensi: - [http://linux.die.net/man/5/ssh_config](http://linux.die.net/man/5/ssh_config). - [http://kb.mediatemple.net/questions/1625/Using+an+SSH+Config+File](http://kb.mediatemple.net/questions/1625/Using+an+SSH+Config+File).