- فهم مخاطر التكوين الافتراضي لـ SSH
- اعتبارات هامة قبل البدء
- الخطوة 1: اختر منفذًا آمنًا وغير مستخدم
- الخطوة 2: تعديل ملف تكوين SSH
- الخطوة 3: تكوين جدار الحماية
- الخطوة 4: تحديث SELinux (إذا كان مفعلاً)
- الخطوة 5: إعادة تشغيل خدمة SSH
- الخطوة 6: اختبار المنفذ الجديد
- الخطوة 7: تعطيل المنفذ الافتراضي 22
- التحقق من التغيير
- أفضل الممارسات الأمنية الإضافية
- إدارة البنية التحتية بذكاء
- الأخطاء الشائعة التي يجب تجنبها
- الخاتمة
نظرًا لأن هذا المنفذ معروف عالميًا، فإنه يكون مستهدفًا باستمرار من قبل الروبوتات الآلية التي تقوم بهجمات القوة الغاشمة. تغيير منفذ SSH ليس حلاً أمنيًا كاملاً، لكنه خطوة أولى فعالة للغاية في تقليل سطح الهجوم والضوضاء.
في هذا الدليل التفصيلي، لن نناقش فقط كيفية تغيير منفذ SSH، بل أيضًا لماذا هو مهم، والفخاخ المحتملة، وأفضل الممارسات لتأمين بيئة الخادم.
فهم مخاطر التكوين الافتراضي لـ SSH
معظم المهاجمين لا يستهدفون الخوادم يدويًا. يستخدمون سكربتات آلية تقوم بمسح نطاقات IP والبحث عن المنفذ 22 المفتوح. عند العثور عليه، يبدأون في المحاولة:
• تعبئة بيانات الاعتماد (تجريب مجموعات اسم المستخدم/كلمة المرور المسربة) • محاولات تسجيل الدخول بالقوة الغاشمة • استغلال التكوينات الضعيفة
حتى الخادم الافتراضي الصغير يمكن أن يتلقى مئات أو آلاف محاولات تسجيل الدخول يوميًا.
تغيير منفذ SSH يساعد في:
• جعل الخادم أقل وضوحًا للفحص الآلي • تقليل رسائل السجل وحمل النظام • العمل كرادع بسيط لكنه فعال
اعتبارات هامة قبل البدء
قبل إجراء أي تغييرات، ضع في اعتبارك ما يلي:
• احتفظ دائمًا بجلسة SSH نشطة أثناء التكوين • تأكد من أن لديك وصول إلى وحدة التحكم (عبر لوحة الاستضافة) في حالة حدوث خطأ ما • استخدم مفاتيح SSH إن أمكن، لتجنب الإغلاق • تحقق من قواعد جدار الحماية قبل إعادة تشغيل SSH
إدارة خادم Linux غالبًا ما تأتي مع أسئلة، خاصة عندما يتعلق الأمر بتكوينات الأمان مثل SSH. إذا شعرت يومًا بالتعثر أو رغبت في الحصول على رؤى من العالم الحقيقي، يمكنك دائمًا طرح أسئلتك مباشرة في مساحات المجتمع الخاصة بـ PlusClouds والتواصل مع مطورين ومسؤولي أنظمة آخرين.
Community
Further questions? Ask our team
الخطوة 1: اختر منفذًا آمنًا وغير مستخدم
يمكن تشغيل SSH على أي منفذ بين 1024–65535 (المنافذ غير المميزة).
نصائح لاختيار منفذ:
• تجنب المنافذ المستخدمة بشكل شائع (مثل 8080، 3306، بدائل 443) • اختر شيئًا عشوائيًا لكن يمكن تذكره • أمثلة على المنافذ: 2222، 22022، 48291
للتحقق من أن المنفذ غير مستخدم:
sudo ss -tuln | grep
إذا لم يظهر أي ناتج، فالمنفذ متاح على الأرجح.
الخطوة 2: تعديل ملف تكوين SSH
يقع ملف تكوين خادم SSH في: /etc/ssh/sshd_config
افتحه باستخدام محرر نصوص: sudo nano /etc/ssh/sshd_config
حدد توجيه المنفذ
ابحث عن هذا السطر: #Port 22
• قم بإلغاء التعليق عليه (إزالة #) • استبدل 22 بالمنفذ الذي اخترته
مثال: Port 2222
اختياري: ربط SSH بعنوان IP محدد (متقدم)
يمكنك تأمين SSH بشكل أكبر عن طريق ربطه بعنوان IP محدد: ListenAddress 192.168.1.10
هذا مفيد في الشبكات الخاصة أو الداخلية.
الخطوة 3: تكوين جدار الحماية
هذه هي الخطوة الأكثر أهمية. إذا نسيتها، قد تفقد الوصول إلى الخادم الخاص بك. بالنسبة لـ UFW (أوبونتو / ديبيان)
السماح للمنفذ الجديد: sudo ufw allow 2222/tcp
تحقق من القواعد: sudo ufw status
بالنسبة لـ firewalld (CentOS / RHEL / AlmaLinux)
sudo firewall-cmd --permanent --add-port=2222/tcp sudo firewall-cmd --reload
بالنسبة لـ iptables (المستخدمين المتقدمين) sudo iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
الخطوة 4: تحديث SELinux (إذا كان مفعلاً)
في الأنظمة التي تحتوي على SELinux (مثل CentOS، RHEL)، يتم تقييد SSH إلى المنافذ المحددة مسبقًا. للسماح بمنفذ جديد: sudo semanage port -a -t ssh_port_t -p tcp 2222
إذا لم يكن semanage مثبتًا: sudo yum install policycoreutils-python-utils
الخطوة 5: إعادة تشغيل خدمة SSH
تطبيق التغييرات: sudo systemctl restart sshd
أو في بعض الأنظمة: sudo service ssh restart
الخطوة 6: اختبار المنفذ الجديد (خطوة حاسمة)
قبل إغلاق جلستك الحالية، افتح نافذة طرفية جديدة واختبر: ssh -p 2222 username@your_server_ip
إذا فشل الاتصال:
• أعد التحقق من قواعد جدار الحماية • تحقق من صحة تكوين SSH • استخدم وصول وحدة التحكم للخادم لإصلاح المشكلات
الخطوة 7: تعطيل المنفذ الافتراضي 22 (اختياري لكن موصى به)
بمجرد أن يعمل المنفذ الجديد:
UFW: sudo ufw delete allow 22/tcp
firewalld: sudo firewall-cmd --permanent --remove-port=22/tcp sudo firewall-cmd --reload
التحقق من التغيير
يمكنك التأكد من أن SSH يستمع على المنفذ الجديد: sudo ss -tuln | grep ssh
أو: sudo netstat -tulnp | grep ssh
أفضل الممارسات الأمنية الإضافية
تغيير المنفذ هو مجرد طبقة واحدة. للحصول على أمان أقوى:
1. تعطيل تسجيل الدخول كـ Root
PermitRootLogin no
2. استخدام مصادقة مفتاح SSH
تعطيل كلمات المرور تمامًا: PasswordAuthentication no
3. تثبيت Fail2Ban
يقوم بحظر محاولات تسجيل الدخول المتكررة تلقائيًا: sudo apt install fail2ban
4. تقييد وصول المستخدم
AllowUsers yourusername
5. تمكين المصادقة الثنائية (2FA)
يضيف طبقة إضافية من الحماية لتسجيل الدخول.
إدارة البنية التحتية بذكاء
بينما يُعتبر تكوين SSH وقواعد جدار الحماية يدويًا معرفة أساسية، فإن إدارة خوادم متعددة بهذه الطريقة يمكن أن تصبح معقدة وتستغرق وقتًا طويلاً، خاصة مع نمو مشاريعك.
هذا هو المكان الذي تأتي فيه منصات مثل Plusclouds. مع بنية تحتية سحابية قابلة للتوسع، ونشر تلقائي، وأدوات إدارة مركزية، تتيح لك Plusclouds:
• نشر خوادم افتراضية آمنة بسرعة • إدارة إعدادات الجدار الناري والشبكة من لوحة واحدة • توسيع بنيتك التحتية دون عبء يدوي • التركيز على التطوير بدلاً من تكوين الخادم المتكرر
من خلال الجمع بين ممارسات الأمان العملية مثل تعزيز SSH مع منصات إدارة السحابة الحديثة، يمكنك تحقيق الكفاءة والأمان على نطاق واسع.
الأخطاء الشائعة التي يجب تجنبها
• نسيان فتح المنفذ الجديد في الجدار الناري • إعادة تشغيل SSH قبل التحقق من التكوين • إغلاق الجلسة النشطة في وقت مبكر جدًا • اختيار منفذ مستخدم بالفعل • تجاهل قيود SELinux
الخاتمة
تغيير منفذ SSH هو خطوة بسيطة لكنها مؤثرة نحو تحسين أمان الخادم الخاص بك. بينما لا تقضي على التهديدات تمامًا، فإنها تقلل بشكل كبير من الهجمات الآلية والضوضاء غير الضرورية.
عند دمجها مع:
• مصادقة مفتاح SSH • تكوين جدار ناري مناسب • أدوات منع التسلل
... فإنها تشكل جزءًا من استراتيجية أمان قوية ومتعددة الطبقات.
سواء كنت تدير VPS واحدًا أو تتوسع عبر بيئات متعددة، فإن فهم وتطبيق هذه الممارسات سيساعدك في الحفاظ على بنية تحتية آمنة وموثوقة.
