تغییر پورت پیشفرض SSH یکی از سادهترین راههای کاهش حملات به سرور لینوکس است. در این آموزش تغییر پورت SSH و تنظیم فایروال را قدمبهقدم انجام میدهیم.

پروتکل SSH یکی از رایجترین و امنترین روشها برای مدیریت و دسترسی به سرورهای لینوکسی است. با این حال استفاده از پورت پیشفرض SSH یعنی پورت ۲۲ میتواند ریسکهای امنیتی قابل توجهی به همراه داشته باشد. این پورت بسیار شناخته شده است و هدف حملات خودکار و تلاشهای هکرها برای نفوذ قرار میگیرد. به همین دلیل تغییر پورت پیشفرض SSH به یک راهکار موثر برای افزایش امنیت سرورهای مجازی لینوکس (VPS) تبدیل شده است.
ما در این مقاله بهصورت گامبهگام نحوه تغییر پورت SSH در سرور لینوکس را بررسی خواهیم کرد. همچنین در خصوص نکات و تنظیمات امنیتی لازم پس از این تغییر نیز صحبت میکنیم تا سرور شما با بالاترین سطح ایمنی به فعالیت خود ادامه دهد.
چرا باید پورت SSH در سرور مجازی لینوکس را تغییر داد؟
استفاده از پورت پیشفرض SSHیکی از مهمترین دلایلی است که سرورهای لینوکس را در معرض تهدیدهای امنیتی قرار میدهد. از آنجایی که این پورت شناخته شده است، خیلی از هکرها به راحتی آن را اسکن و به آن حمله میکنند. ادامه استفاده از پورت پیشفرض، شانس موفقیت این حملات را افزایش میدهد و میتواند به دسترسی غیرمجاز و اختلال در عملکرد سرور منجر شود.
تغییر پورت SSH هرچند به تنهایی کافی نیست. اما بهعنوان یک اقدام اولیه میتواند مسیر حمله را برای بسیاری از هکرها مسدود و سطح امنیتی سرور را به شکل قابل توجهی ارتقا دهد. این اقدام، یکی از سادهترین ولی موثرترین راهکارها برای تقویت امنیت سرور مجازی لینوکس محسوب میشود.
از چه پورتی به جای SSH در سرور مجازی لینوکس استفاده کنیم؟
تغییر پورت پیشفرض به پورتی که کمتر شناخته شده است، علاوه بر اینکه شانس شناسایی را کاهش میدهد از تداخل با سایر سرویسها نیز جلوگیری میکند. در ادامه به برخی از پورتهای معروف در قالب یک جدول اشاره میکنیم.
پورتهای معرفی پورت نوع سرویس پورت نوع سرویس ۲۲۲۲ جایگزین SSH ۴۹۱۵۲ جایگزین SSH ۵۰۰۰۰ جایگزین SSH ۶۰۰۰۰ جایگزین SSH ۶۵۵۳۵ جایگزین SSH 20 FTP 22 SSH 23 Telnet server
قبل از انتخاب پورت به این نکته توجه کنید که پورت موردنظر در سیستم یا شبکه شما توسط سرویس دیگری اشغال نشده باشد. در ضمن استفاده از پورتهایی در محدوده بالا (بالای ۴۹۱۵۲) معمولا امنتر است، چرا که کمتر در فهرست پورتهای استاندارد دیده میشوند.
تغییر پورت SSH در سرور مجازی لینوکس
برای تغییر پورت SSH در سرور مجازی لینوکس روشهای زیادی وجود دارد که در ادامه به معروفترین و سادهترین آنها اشاره میکنیم.
تغییر پورت SSH با کمک ویرایشگر متن
یکی از رایجترین و سادهترین روشها برای تغییر پورت SSH در سرور لینوکس، کمک گرفتن از ویرایشگر متن است. این روش نیازمند دسترسی ریشه (root) به سرور بوده و از طریق ویرایش فایل پیکربندی SSH انجام میشود. برای انجام این کار باید فایل مورد نظر با نام sshd_config را در مسیر /etc/ssh/ قرار دارد. برای تغییر پورت SSH به این روش کافیست تا:
- از ویرایشگرهایی مانند nano یا vi استفاده کنید و فایل sshd_config را باز کنید. برای انجام این کار کد دستوری زیر را وارد کنید.
sudo nano sshd_config
- بعد از اجرای دستور به دنبال خطی با عنوان Port 22 بگردید و بعد از پیدا کردن آن را از حالت کامنت خارج کنید. برای خارج کردن کافیست تا علامت # در ابتدای خط را پاک کنید.
- اکنون عدد ۲۲ را پاک کنید و آن را با پورت دلخواه خود جایگزین کنید.
- . بهتر است پورت انتخابی عددی بزرگتر از ۱۰۲۴ باشد تا با پورتهای سیستمی تداخل نداشته باشد.
- بعد از اینکه تغییرات را اعمال کردید، نوبت به آن رسیده است تا فایل مورد نظر را ذخیره کنید.
- در نهایت با استفاده از دستور زیر مجددا سرویس SSH را راهاندازی کنید.
sudo systemctl restart sshd
- اگر میخواهید بدانید که سرویس به درستی کار میکند، دستور زیر را وارد و صحت عملکرد را بررسی کنید.
systemctl status sshd
اضافه کردن پورت SSH جدید به فایروال
پس از تغییر پورت SSH در فایل پیکربندی ضروری است که پورت جدید در تنظیمات فایروال نیز باز شود. در غیر این صورت ارتباط SSH با سرور قطع خواهد شد. نحوه اضافه کردن پورت به فایروال بسته به توزیع لینوکس و نوع فایروال متفاوت است.
اضافه کردن پورت جدید به سیستم عامل Ubuntu
در سیستمعاملهایی مانند Ubuntu که از ufw استفاده میکنند، میتوان از دستور sudo ufw allow برای اضافه کردن پورت جدید استفاده کرد. بعد از وارد کردن پورت جدید میتوانید با استفاده از دستور sudo ufw reload تنظیمات را بهروزرسانی کنید. برای مثال اگر بخواهید پورت 50000 را اضافه کنید، باید دستور را به شکل sudo ufw allow 50000 وارد کنید و تنظیمات را بهروز رسانی کنید.
اضافه کردن پورت جدید به سیستم عامل Ubuntu
در توزیعهایی مانند CentOS که از firewalld بهره میبرند، باید از دستورهای زیر استفاده شود:
sudo firewall-cmd --add-port=50000/tcp –permanents sudo firewall-cmd --reload
این دستورات باعث میشوند پورت جدید بهصورت دائمی در فایروال ثبت شده و ارتباط SSH حفظ شود. در ادامه میتوانید از دستور ss -altnp4 | grep sshd استفاده و فعال بودن پورت را بررسی کنید.
پیکربندی امنیتی بعد از تغییر پورت SSH در سرور لینوکس
پس از تغییر پورت پیشفرض SSH در سرور لینوکس، لازم است برخی اقدامات امنیتی تکمیلی را انجام دهید تا از حملات احتمالی جلوگیری شود. تغییر پورت تنها بخشی از افزایش امنیت است و بدون این تنظیمات جانبی، تاثیر چندان زیادی نخواهد داشت. مهمترین نکات امنیتی پس از این تغییر پورت SSH در سرور لینوکس عبارتند از:
نقش فایروال در امنیت پورت جدید
یکی از اصلیترین ابزارهای دفاعی در برابر حملات شبکهای، فایروال است. بعد از تغییر پورت SSH لازم است فایروال سرور طوری پیکربندی شود که فقط به پورت جدید اجازه ارتباط بدهد. همچنین باید اطمینان حاصل شود که پورت قبلی (مثلا ۲۲) بسته شده باشد. این اقدام باعث میشود هکرها نتوانند از طریق پورتهای شناخته شده اقدام به اسکن و نفوذ کنند.
توصیههای امنیتی برای پورت جدید
برای افزایش امنیت پورت جدید SSH رعایت موارد زیر بسیار مهم است:
- همانطور که گفته شد، پورت قبلی باید در تنظیمات فایروال غیرفعال شود تا امکان استفاده مجدد از آن نباشد.
- از ابزارهایی مانند Fail2ban یا قابلیتهای فایروال برای مسدود کردن IPهایی که چند بار موفق به ورود نشدهاند، استفاده کنید.
- اگر تنها تعداد مشخصی از آدرسهای IP باید به SSH دسترسی داشته باشند، فایروال را طوری تنظیم کنید که فقط این IPها اجازه اتصال داشته باشند.
- توصیه میشود ورود با رمز عبور غیرفعال شده و بهجای آن از کلیدهای SSH برای احراز هویت استفاده شود.
نحوه اطمینان از امنیت پورت جدید SSH
پس از تغییر پورت پیشفرض SSH در سرور لینوکس، بررسی امنیت این پورت جدید موضوعی حیاتی است. بدون اطمینان از تنظیمات صحیح و ایمن بودن مسیر ارتباطی، همچنان احتمال نفوذ یا سوء استفاده وجود دارد. برای ارزیابی امنیت پورت SSH جدید و شناسایی ضعفهای احتمالی آن باید مراحل زیر را انجام دهید.
ارزیابی اولیه امنیت پورت SSH جدید
برای ارزیابی اولیه امنیت پورت SSH جدید باید:
- اسکن پورت با ابزارهای شبکه: یکی از گامهای اولیه برای بررسی امنیت، استفاده از ابزارهایی مانند Nmap است. این ابزار به شما این امکان را میدهد تا وضعیت پورت جدید را اسکن کنید. با کمک این ابزار میتوان مشخص کرد که آیا این پورت برای عموم باز است یا فقط آیپیهای مشخصی اجازه دسترسی دارند. با کمک Nmap میتوان بررسی کرد که پورت ناخواستهای باز نمانده باشد.
- تست عملکرد اتصال: با استفاده از کلاینتهایی مانند PuTTY میتوانید اتصال به سرور را آزمایش کنید. این مرحله نشان میدهد که آیا پورت به درستی کار میکند و محدودیتهای لازم روی آن اعمال شدهاند یا خیر.
- بررسی تنظیمات فایروال: اطمینان حاصل کنید که پورت جدید تنها برای آدرسهای مورد اعتماد باز باشد و در دسترسی به پورت ۲۲ کاملا مسدود شده باشد. تنظیم دقیق فایروال از ورود ترافیک مشکوک جلوگیری میکند.
شناسایی ضعفها با ابزارهای امنیتی
برای تست امنیت میتوانید از روشهای زیر استفاده کنید:
- بررسی فایلهای لاگ: مشاهده لاگهای SSH به شما کمک میکند، تلاشهای ناموفق برای ورود یا آدرسهایی که تلاش به اتصال داشتهاند را شناسایی کنید. وجود الگوهای مشکوک میتواند زنگ خطری برای حملات احتمالی باشد.
- کمک گرفتن از ابزارهای تست نفوذ: ابزارهایی نظیر Metasploit یا Nessus امکانات پیشرفتهای برای شبیهسازی حملات مختلف دارند. با اجرای این تستها، میتوانید نقاط ضعف پیکربندی SSH یا تنظیمات فایروال را شناسایی و رفع کنید.
- شبیهسازی حملات بروت فورس: برای آزمایش قدرت پسورد و سیاستهای امنیتی، حملات محدود بروت فورس (Brute Force) میتواند مفید باشد. اگر سیستم بتواند این حملات را تشخیص داده و مسدود کند، نشانهای از امنیت مناسب است.
سخن پایانی
تغییر پورت SSH در سرور مجازی لینوکس یکی از سادهترین اما موثرترین گامها برای تقویت امنیت سرور است. در این راهنما مرحله به مرحله روشهای انجام این تغییر را بررسی کردیم و توضیح دادیم که چرا خروج از پورت پیشفرض ۲۲ میتواند مانعی در برابر بسیاری از حملات خودکار و بروت فورس (Brute Force) باشد. البته به یاد داشته باشید که تغییر پورت به تنهایی برای امنیت سرور کافی نیست. شما بعد از تغییر پورت باید تنظیمات امنیتی مکملی مانند پیکربندی دقیق فایروال و غیره را نیز اعمال کنید.
اگر برای تغییر پورت SSH در سرور مجازی لینوکس سوال، مشکل یا نقطه نظری دارید، موضوع را با ما در بخش دیدگاهها به اشتراک بگذارید.
سوالات متداول
چرا باید پورت SSH را از مقدار پیشفرض تغییر داد؟
استفاده از پورت پیشفرض باعث میشود، سرور به راحتی توسط ابزارهای خودکار شناسایی و هدف حملات بروت فورس قرار بگیرد. با تغییر پورت میتوان این دست حملات را کاهش داد و امنیت کلی سرور را افزایش داد.
آیا فقط تغییر پورت برای امنیت SSH کافی است؟
خیر. این تغییر تنها یکی از قدمهای اولیه برای افزایش امنیت است. برای امنیت بیشتر استفاده از احراز هویت کلید عمومی، غیرفعال کردن لاگین با رمز عبور و محدود کردن IPهای مجاز پیشنهاد میشود.
بعد از تغییر پورت SSH باید چه تنظیماتی انجام شود؟
باید فایروال را طوری تنظیم کنید که دسترسی به پورت جدید باز و دسترسی به پورت ۲۲ بسته باشد. همچنین، اطمینان حاصل کنید که ابزارها و اسکریپتهای مدیریتی بهروزرسانی شدهاند تا با پورت جدید کار کنند.
آیا با تغییر SSH عملکرد سرویسهای مختل میشود؟
تغییر پورت SSH نباید منجر به ایجاد اختلال در سرویسهای دیگر شود. اگر پورت جدید را به درستی انتخاب کنید، معمولا هیچ اختلالی در سرویسهای دیگر به وجود نخواهد آمد.
در پایان اگر هنوز سرور مناسبی برای کارتان ندارید یا سرور فعلیتان جوابگو نیست، پیشنهاد میکنیم نگاهی به پلنهای سرور مجازی پارس ابر بیندازید؛ تحویل آنی است و دسترسی روت کامل دارید تا تنظیماتی مثل همین تغییر پورت را آزادانه انجام دهید.



