- فهم مخاطر تكوين SSH الافتراضي
- اعتبارات هامة قبل البدء
- الخطوة 1: اختر منفذًا آمنًا وغير مستخدم
- الخطوة 2: تعديل ملف تكوين SSH
- الخطوة 3: تكوين الجدار الناري
- الخطوة 4: تحديث SELinux (إذا كان ممكّنًا)
- الخطوة 5: إعادة تشغيل خدمة SSH
- الخطوة 6: اختبار المنفذ الجديد
- الخطوة 7: تعطيل المنفذ الافتراضي 22
- التحقق من التغيير
- ممارسات أمان إضافية
- إدارة البنية التحتية بذكاء
- الأخطاء الشائعة لتجنبها
- الخاتمة
نظرًا لأن هذا المنفذ معروف بشكل عام، فإنه يتعرض باستمرار للهجوم من قبل الروبوتات الآلية التي تحاول هجمات القوة الغاشمة. على الرغم من أن تغيير منفذ SSH ليس حلاً أمنيًا كاملاً، إلا أنه خطوة أولى فعالة للغاية في تقليل سطح الهجوم والضوضاء.
في هذا الدليل المفصل، سنغطي ليس فقط كيفية تغيير منفذ SSH، ولكن أيضًا لماذا هذا مهم، والفخاخ المحتملة وأفضل الممارسات للحفاظ على بيئة خادم آمنة.
فهم مخاطر تكوين SSH الافتراضي
معظم المهاجمين لا يستهدفون الخوادم يدويًا. يستخدمون سكريبتات آلية تفحص نطاقات IP بحثًا عن المنفذ 22 المفتوح. بمجرد العثور عليه، يحاولون:
• حشو بيانات الاعتماد (محاولة مجموعات اسم المستخدم/كلمة المرور المسربة) • محاولات تسجيل الدخول بالقوة الغاشمة • استغلال التكوينات الضعيفة
حتى الخادم الافتراضي الصغير يمكن أن يتلقى مئات أو آلاف محاولات تسجيل الدخول يوميًا.
تغيير منفذ SSH يساعد عن طريق:
• جعل الخادم أقل وضوحًا للفحوصات الآلية • تقليل البريد العشوائي في السجلات وحمل النظام • العمل كرادع أساسي ولكنه فعال
اعتبارات هامة قبل البدء
قبل إجراء أي تغييرات، ضع في اعتبارك ما يلي:
• احتفظ دائمًا بجلسة SSH نشطة أثناء التكوين • تأكد من أن لديك وصول إلى وحدة التحكم (عبر لوحة الاستضافة) في حالة حدوث خطأ ما • استخدم مفاتيح SSH إذا أمكن، لتجنب الإغلاق • تحقق من قواعد الجدار الناري قبل إعادة تشغيل SSH
إدارة خادم Linux غالبًا ما تأتي مع أسئلة، خاصة عندما يتعلق الأمر بتكوينات الأمان مثل SSH. إذا شعرت يومًا بالضياع أو أردت رؤى من العالم الحقيقي، يمكنك دائمًا طرح أسئلتك مباشرة في مساحات المجتمع الخاصة بـ PlusClouds والتواصل مع مطورين ومسؤولي أنظمة آخرين.
Community
Further questions? Ask our team
الخطوة 1: اختر منفذًا آمنًا وغير مستخدم
يمكن لـ SSH العمل على أي منفذ بين 1024–65535 (منافذ غير مميزة).
نصائح لاختيار منفذ:
• تجنب المنافذ المستخدمة بشكل شائع (مثل 8080، 3306، بدائل 443) • اختر شيئًا عشوائيًا ولكنه سهل التذكر • أمثلة على المنافذ: 2222، 22022، 48291
للتحقق من أن المنفذ غير مستخدم:
sudo ss -tuln | grep
إذا لم يظهر أي مخرجات، فمن المحتمل أن يكون المنفذ متاحًا.
الخطوة 2: تعديل ملف تكوين SSH
ملف تكوين خادم SSH موجود في: /etc/ssh/sshd_config
افتحه باستخدام محرر نصوص: sudo nano /etc/ssh/sshd_config
تحديد توجيه المنفذ
ابحث عن هذا السطر: #Port 22
• قم بإلغاء التعليق عليه (إزالة #) • استبدل 22 بالمنفذ الذي اخترته
مثال: Port 2222
اختياري: ربط SSH بعنوان IP محدد (متقدم)
يمكنك تأمين SSH بشكل أكبر عن طريق ربطه بعنوان IP محدد: ListenAddress 192.168.1.10
هذا مفيد في الشبكات الخاصة أو الداخلية.
الخطوة 3: تكوين الجدار الناري
هذه هي الخطوة الأكثر أهمية. إذا نسيتها، فقد تفقد الوصول إلى الخادم الخاص بك. بالنسبة لـ UFW (أوبونتو / ديبيان)
السماح للمنفذ الجديد: sudo ufw allow 2222/tcp
تحقق من القواعد: sudo ufw status
بالنسبة لـ firewalld (CentOS / RHEL / AlmaLinux)
sudo firewall-cmd --permanent --add-port=2222/tcp sudo firewall-cmd --reload
بالنسبة لـ iptables (المستخدمين المتقدمين) sudo iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
الخطوة 4: تحديث SELinux (إذا كان ممكّنًا)
على الأنظمة التي تحتوي على SELinux (مثل CentOS، RHEL)، يتم تقييد SSH إلى المنافذ المحددة مسبقًا. للسماح بمنفذ جديد: sudo semanage port -a -t ssh_port_t -p tcp 2222
إذا لم يكن semanage مثبتًا: sudo yum install policycoreutils-python-utils
الخطوة 5: إعادة تشغيل خدمة SSH
تطبيق التغييرات: sudo systemctl restart sshd
أو في بعض الأنظمة: sudo service ssh restart
الخطوة 6: اختبار المنفذ الجديد (خطوة حرجة)
قبل إغلاق جلستك الحالية، افتح محطة جديدة واختبر: ssh -p 2222 username@your_server_ip
إذا فشل الاتصال:
• أعد التحقق من قواعد الجدار الناري • تحقق من صحة تكوين SSH • استخدم وصول وحدة التحكم للخادم لإصلاح المشكلات
الخطوة 7: تعطيل المنفذ الافتراضي 22 (اختياري ولكنه موصى به)
بمجرد أن يعمل المنفذ الجديد:
UFW: sudo ufw delete allow 22/tcp
firewalld: sudo firewall-cmd --permanent --remove-port=22/tcp sudo firewall-cmd --reload
التحقق من التغيير
يمكنك التأكد من أن SSH يستمع على المنفذ الجديد: sudo ss -tuln | grep ssh
أو: sudo netstat -tulnp | grep ssh
ممارسات أمان إضافية
تغيير المنفذ هو مجرد طبقة واحدة. لأمان أقوى:
1. تعطيل تسجيل الدخول كجذر
PermitRootLogin no
2. استخدام مصادقة مفتاح SSH
تعطيل كلمات المرور تمامًا: PasswordAuthentication no
3. تثبيت Fail2Ban
يقوم تلقائيًا بحظر محاولات تسجيل الدخول المتكررة: sudo apt install fail2ban
4. تقييد وصول المستخدم
AllowUsers yourusername
5. تفعيل المصادقة الثنائية (2FA)
يضيف طبقة إضافية من الحماية لتسجيل الدخول.
إدارة البنية التحتية بذكاء
بينما يعد تكوين SSH وقواعد الجدار الناري يدويًا معرفة أساسية، فإن إدارة خوادم متعددة بهذه الطريقة يمكن أن تصبح معقدة وتستغرق وقتًا طويلًا، خاصة مع نمو مشاريعك.
هذا هو المكان الذي تأتي فيه منصات مثل Plusclouds. مع بنية تحتية سحابية قابلة للتوسع، ونشر تلقائي، وأدوات إدارة مركزية، تتيح لك Plusclouds:
• نشر خوادم افتراضية آمنة بسرعة • إدارة إعدادات الجدار الناري والشبكة من لوحة واحدة • توسيع البنية التحتية الخاصة بك دون عبء يدوي • التركيز على التطوير بدلاً من تكوين الخادم المتكرر
من خلال الجمع بين ممارسات الأمان العملية مثل تقوية SSH مع منصات إدارة السحابة الحديثة، يمكنك تحقيق الكفاءة والأمان على نطاق واسع.
الأخطاء الشائعة لتجنبها
• نسيان فتح المنفذ الجديد في الجدار الناري • إعادة تشغيل SSH قبل التحقق من التكوين • إغلاق الجلسة النشطة مبكرًا • اختيار منفذ مستخدم بالفعل • تجاهل قيود SELinux
الخاتمة
تغيير منفذ SSH هو خطوة بسيطة لكنها مؤثرة نحو تحسين أمان الخادم الخاص بك. على الرغم من أنه لا يقضي على التهديدات تمامًا، إلا أنه يقلل بشكل كبير من الهجمات الآلية والضوضاء غير الضرورية.
عند الجمع بين:
• مصادقة مفتاح SSH • تكوين الجدار الناري المناسب • أدوات منع التسلل
... فإنه يشكل جزءًا من استراتيجية أمان قوية ومتعددة الطبقات.
سواء كنت تدير VPS واحدًا أو تقوم بالتوسع عبر بيئات متعددة، فإن فهم وتطبيق هذه الممارسات سيساعدك في الحفاظ على بنية تحتية آمنة وموثوقة.
