- فهم مخاطر تكوين SSH الافتراضي
- اعتبارات هامة قبل البدء
- الخطوة 1: اختر منفذًا آمنًا وغير مستخدم
- الخطوة 2: تعديل ملف تكوين SSH
- الخطوة 3: تكوين الجدار الناري
- الخطوة 4: تحديث SELinux (إذا كان مُمكّنًا)
- الخطوة 5: إعادة تشغيل خدمة SSH
- الخطوة 6: اختبار المنفذ الجديد
- الخطوة 7: تعطيل المنفذ الافتراضي 22
- التحقق من التغيير
- أفضل ممارسات الأمان الإضافية
- إدارة البنية التحتية بطريقة ذكية
- الأخطاء الشائعة التي يجب تجنبها
- الخاتمة
نظرًا لأن هذا المنفذ معروف عالميًا، فإنه مستهدف باستمرار من قبل الروبوتات الآلية التي تحاول هجمات القوة الغاشمة. في حين أن تغيير منفذ SSH ليس حلاً أمنيًا كاملاً، إلا أنه خطوة أولى فعالة للغاية في تقليل سطح الهجوم والضوضاء.
في هذا الدليل المفصل، سنغطي ليس فقط كيفية تغيير منفذ SSH، ولكن أيضًا لماذا هو مهم، والمزالق المحتملة، وأفضل الممارسات للحفاظ على بيئة خادم آمنة.
فهم مخاطر تكوين SSH الافتراضي
معظم المهاجمين لا يستهدفون الخوادم يدويًا. إنهم يستخدمون سكربتات آلية تقوم بمسح نطاقات IP بحثًا عن المنفذ 22 المفتوح. بمجرد العثور عليه، يحاولون:
• حشو بيانات الاعتماد (محاولة استخدام مجموعات اسم المستخدم/كلمة المرور المسربة) • محاولات تسجيل الدخول بالقوة الغاشمة • استغلال التكوينات الضعيفة
حتى الخادم الافتراضي الصغير يمكن أن يتلقى مئات أو آلاف محاولات تسجيل الدخول يوميًا.
تغيير منفذ SSH يساعد في:
• جعل خادمك أقل وضوحًا للفحوصات الآلية • تقليل البريد المزعج في السجلات وحمل النظام • العمل كرادع أساسي ولكنه فعال
الاعتبارات المهمة قبل البدء
قبل إجراء أي تغييرات، ضع في اعتبارك ما يلي:
• احرص دائمًا على إبقاء جلسة SSH نشطة أثناء التكوين • تأكد من أن لديك وصول إلى وحدة التحكم (عبر لوحة الاستضافة) في حالة حدوث خطأ ما • استخدم مفاتيح SSH إن أمكن، لتجنب الإغلاق • تحقق من قواعد الجدار الناري مرتين قبل إعادة تشغيل SSH
إدارة خادم Linux غالبًا ما تأتي مع أسئلة، خاصة عندما يتعلق الأمر بتكوينات الأمان مثل SSH. إذا شعرت يومًا بالتعثر أو رغبت في الحصول على رؤى من العالم الحقيقي، يمكنك دائمًا طرح أسئلتك مباشرة في مساحات المجتمع الخاصة بـ PlusClouds والتواصل مع مطورين ومسؤولي النظام الآخرين.
الخطوة 1: اختر منفذًا آمنًا وغير مستخدم
يمكن تشغيل SSH على أي منفذ بين 1024–65535 (منافذ غير مميزة).
نصائح لاختيار منفذ:
• تجنب المنافذ المستخدمة بشكل شائع (مثل 8080، 3306، بدائل 443) • اختر شيئًا عشوائيًا ولكن يمكن تذكره • أمثلة على المنافذ: 2222، 22022، 48291
للتحقق من أن المنفذ غير مستخدم:
sudo ss -tuln | grep
إذا لم يظهر أي مخرجات، فمن المحتمل أن المنفذ متاح.
الخطوة 2: تعديل ملف تكوين SSH
يقع ملف تكوين خادم SSH في: /etc/ssh/sshd_config
افتحه باستخدام محرر نصوص: sudo nano /etc/ssh/sshd_config
تحديد توجيه المنفذ
ابحث عن هذا السطر: #Port 22
• قم بإلغاء التعليق عليه (إزالة #) • استبدل 22 بالمنفذ الذي اخترته
مثال: Port 2222
اختياري: ربط SSH بعنوان IP محدد (متقدم)
يمكنك تعزيز أمان SSH عن طريق ربطه بعنوان IP محدد: ListenAddress 192.168.1.10
هذا مفيد في الشبكات الخاصة أو الداخلية.
الخطوة 3: تكوين الجدار الناري
هذه هي الخطوة الأكثر أهمية. إذا نسيتها، قد تفقد الوصول إلى الخادم الخاص بك. بالنسبة لـ UFW (أوبونتو / ديبيان)
السماح بالمنفذ الجديد: sudo ufw allow 2222/tcp
تحقق من القواعد: sudo ufw status
بالنسبة لـ firewalld (CentOS / RHEL / AlmaLinux)
sudo firewall-cmd --permanent --add-port=2222/tcp sudo firewall-cmd --reload
بالنسبة لـ iptables (للمستخدمين المتقدمين) sudo iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
الخطوة 4: تحديث SELinux (إذا كان مفعلاً)
في الأنظمة التي تحتوي على SELinux (مثل CentOS، RHEL)، يتم تقييد SSH على المنافذ المعرفة مسبقاً. للسماح بمنفذ جديد: sudo semanage port -a -t ssh_port_t -p tcp 2222
إذا لم يكن semanage مثبتاً: sudo yum install policycoreutils-python-utils
الخطوة 5: إعادة تشغيل خدمة SSH
تطبيق التغييرات: sudo systemctl restart sshd
أو في بعض الأنظمة: sudo service ssh restart
الخطوة 6: اختبار المنفذ الجديد (خطوة حرجة)
قبل إغلاق الجلسة الحالية، افتح نافذة طرفية جديدة واختبر: ssh -p 2222 username@your_server_ip
إذا فشل الاتصال:
• أعد التحقق من قواعد الجدار الناري • تحقق من صحة بناء جملة تكوين SSH • استخدم الوصول إلى وحدة التحكم في الخادم لإصلاح المشكلات
الخطوة 7: تعطيل المنفذ الافتراضي 22 (اختياري ولكنه موصى به)
بمجرد أن يعمل المنفذ الجديد:
UFW: sudo ufw delete allow 22/tcp
firewalld: sudo firewall-cmd --permanent --remove-port=22/tcp sudo firewall-cmd --reload
التحقق من التغيير
يمكنك التأكد من أن SSH يستمع على المنفذ الجديد: sudo ss -tuln | grep ssh
أو: sudo netstat -tulnp | grep ssh
أفضل ممارسات الأمان الإضافية
تغيير المنفذ هو مجرد طبقة واحدة. للحصول على أمان أقوى:
1. تعطيل تسجيل دخول الجذر
PermitRootLogin no
2. استخدام مصادقة مفتاح SSH
تعطيل كلمات المرور تمامًا: PasswordAuthentication no
3. تثبيت Fail2Ban
يقوم تلقائيًا بحظر محاولات تسجيل الدخول المتكررة: sudo apt install fail2ban
4. تقييد وصول المستخدم
AllowUsers yourusername
5. تفعيل المصادقة الثنائية (2FA)
يضيف طبقة إضافية من الحماية لتسجيل الدخول.
إدارة البنية التحتية بطريقة ذكية
بينما يُعد تكوين SSH وقواعد الجدار الناري يدويًا معرفة أساسية، فإن إدارة خوادم متعددة بهذه الطريقة يمكن أن تصبح معقدة وتستغرق وقتًا طويلاً، خاصة مع نمو مشاريعك.
هذا هو المكان الذي تأتي فيه منصات مثل Plusclouds. مع بنية تحتية سحابية قابلة للتوسع، ونشر تلقائي، وأدوات إدارة مركزية، تتيح لك Plusclouds:
• نشر خوادم افتراضية آمنة بسرعة • إدارة إعدادات الجدار الناري والشبكة من لوحة واحدة • توسيع بنيتك التحتية دون عبء يدوي • التركيز على التطوير بدلاً من تكوين الخوادم المتكرر
من خلال الجمع بين ممارسات الأمان العملية مثل تعزيز SSH مع منصات إدارة السحابة الحديثة، يمكنك تحقيق الكفاءة والأمان على نطاق واسع.
الأخطاء الشائعة التي يجب تجنبها
• نسيان فتح المنفذ الجديد في الجدار الناري • إعادة تشغيل SSH قبل التحقق من التكوين • إغلاق الجلسة النشطة مبكرًا • اختيار منفذ قيد الاستخدام بالفعل • تجاهل قيود SELinux
الخاتمة
تغيير منفذ SSH هو خطوة بسيطة ولكنها مؤثرة نحو تحسين أمان الخادم الخاص بك. بينما لا يقضي على التهديدات تمامًا، فإنه يقلل بشكل كبير من الهجمات الآلية والضوضاء غير الضرورية.
عند الجمع بين:
• مصادقة مفتاح SSH • تكوين الجدار الناري بشكل صحيح • أدوات منع التسلل
... فإنه يشكل جزءًا من استراتيجية أمان قوية ومتعددة الطبقات.
سواء كنت تدير VPS واحدًا أو تقوم بالتوسع عبر بيئات متعددة، فإن فهم وتطبيق هذه الممارسات سيساعدك في الحفاظ على بنية تحتية آمنة وموثوقة.
