- فهم مخاطر تكوين SSH الافتراضي
- اعتبارات هامة قبل البدء
- الخطوة 1: اختر منفذًا آمنًا وغير مستخدم
- الخطوة 2: تعديل ملف تكوين SSH
- الخطوة 3: تكوين الجدار الناري
- الخطوة 4: تحديث SELinux (إذا كان مُمكّنًا)
- الخطوة 5: إعادة تشغيل خدمة SSH
- الخطوة 6: اختبار المنفذ الجديد
- الخطوة 7: تعطيل المنفذ الافتراضي 22
- التحقق من التغيير
- أفضل ممارسات الأمان الإضافية
- إدارة البنية التحتية بطريقة ذكية
- الأخطاء الشائعة التي يجب تجنبها
- الخاتمة
نظرًا لأن هذا المنفذ معروف عالميًا، فإنه مستهدف باستمرار من قبل الروبوتات الآلية التي تحاول هجمات القوة الغاشمة. في حين أن تغيير منفذ SSH ليس حلاً أمنيًا كاملاً، إلا أنه خطوة أولى فعالة للغاية في تقليل سطح الهجوم والضوضاء.
في هذا الدليل المفصل، سنغطي ليس فقط كيفية تغيير منفذ SSH، ولكن أيضًا لماذا هو مهم، والمزالق المحتملة، وأفضل الممارسات للحفاظ على بيئة خادم آمنة.
فهم مخاطر تكوين SSH الافتراضي
معظم المهاجمين لا يستهدفون الخوادم يدويًا. إنهم يستخدمون سكربتات آلية تقوم بمسح نطاقات IP بحثًا عن المنفذ 22 المفتوح. بمجرد العثور عليه، يحاولون:
• حشو بيانات الاعتماد (محاولة استخدام مجموعات اسم المستخدم/كلمة المرور المسربة) • محاولات تسجيل الدخول بالقوة الغاشمة • استغلال التكوينات الضعيفة
حتى الخادم الافتراضي الصغير يمكن أن يتلقى مئات أو آلاف محاولات تسجيل الدخول يوميًا.
يساعد تغيير منفذ SSH في:
• جعل الخادم أقل وضوحًا لعمليات المسح الآلية • تقليل البريد العشوائي في السجلات وحمل النظام • العمل كرادع أساسي ولكنه فعال
اعتبارات هامة قبل البدء
قبل إجراء أي تغييرات، ضع في اعتبارك ما يلي:
• احتفظ دائمًا بجلسة SSH نشطة أثناء التكوين • تأكد من أن لديك وصول إلى وحدة التحكم (عبر لوحة الاستضافة) في حالة حدوث خطأ ما • استخدم مفاتيح SSH إن أمكن، لتجنب الإغلاق • تحقق من قواعد الجدار الناري قبل إعادة تشغيل SSH
غالبًا ما تأتي إدارة خادم لينكس مع أسئلة، خاصة عندما يتعلق الأمر بتكوينات الأمان مثل SSH. إذا شعرت يومًا بالتعثر أو أردت رؤى من العالم الحقيقي، يمكنك دائمًا طرح أسئلتك مباشرة في مساحات المجتمع الخاصة بـ PlusClouds والتواصل مع مطورين ومسؤولي أنظمة آخرين.
Community
Further questions? Ask our team
الخطوة 1: اختر منفذًا آمنًا وغير مستخدم
يمكن تشغيل SSH على أي منفذ بين 1024–65535 (المنافذ غير المميزة).
نصائح لاختيار المنفذ:
• تجنب المنافذ المستخدمة بشكل شائع (مثل 8080، 3306، بدائل 443) • اختر شيئًا عشوائيًا ولكنه سهل التذكر • أمثلة على المنافذ: 2222، 22022، 48291
للتحقق من أن المنفذ غير مستخدم:
sudo ss -tuln | grep
إذا لم يظهر أي مخرجات، فمن المحتمل أن يكون المنفذ متاحًا.
الخطوة 2: تعديل ملف تكوين SSH
يقع ملف تكوين خادم SSH في: /etc/ssh/sshd_config
افتحه باستخدام محرر نصوص: sudo nano /etc/ssh/sshd_config
حدد توجيه المنفذ
ابحث عن هذا السطر: #Port 22
• قم بإلغاء التعليق عليه (إزالة #) • استبدل 22 بالمنفذ الذي اخترته
مثال: Port 2222
اختياري: ربط SSH بعنوان IP محدد (متقدم)
يمكنك زيادة أمان SSH عن طريق ربطه بعنوان IP محدد: ListenAddress 192.168.1.10
هذا مفيد في الشبكات الخاصة أو الداخلية.
الخطوة 3: تكوين الجدار الناري
هذه هي الخطوة الأكثر أهمية. إذا نسيتها، قد تفقد الوصول إلى الخادم الخاص بك. بالنسبة لـ UFW (أوبونتو / ديبيان)
السماح بالمنفذ الجديد: sudo ufw allow 2222/tcp
تحقق من القواعد: sudo ufw status
بالنسبة لـ firewalld (CentOS / RHEL / AlmaLinux)
sudo firewall-cmd --permanent --add-port=2222/tcp sudo firewall-cmd --reload
بالنسبة لـ iptables (المستخدمين المتقدمين) sudo iptables -A INPUT -p tcp --dport 2222 -j ACCEPT
الخطوة 4: تحديث SELinux (إذا كان مُمكّنًا)
على الأنظمة التي تحتوي على SELinux (مثل CentOS، RHEL)، يتم تقييد SSH على المنافذ المحددة مسبقًا. للسماح بمنفذ جديد: sudo semanage port -a -t ssh_port_t -p tcp 2222
إذا لم يكن semanage مثبتًا: sudo yum install policycoreutils-python-utils
الخطوة 5: إعادة تشغيل خدمة SSH
تطبيق التغييرات: sudo systemctl restart sshd
أو على بعض الأنظمة: sudo service ssh restart
الخطوة 6: اختبار المنفذ الجديد (خطوة حرجة)
قبل إغلاق الجلسة الحالية، افتح نافذة طرفية جديدة واختبر: ssh -p 2222 username@your_server_ip
إذا فشل الاتصال:
• أعد التحقق من قواعد الجدار الناري • تحقق من صحة تكوين SSH • استخدم وصول وحدة التحكم إلى الخادم لإصلاح المشكلات
الخطوة 7: تعطيل المنفذ الافتراضي 22 (اختياري ولكنه موصى به)
بمجرد عمل المنفذ الجديد:
UFW: sudo ufw delete allow 22/tcp
firewalld: sudo firewall-cmd --permanent --remove-port=22/tcp sudo firewall-cmd --reload
التحقق من التغيير
يمكنك التأكد من أن SSH يستمع على المنفذ الجديد: sudo ss -tuln | grep ssh
أو: sudo netstat -tulnp | grep ssh
أفضل ممارسات الأمان الإضافية
تغيير المنفذ هو مجرد طبقة واحدة. لأمان أقوى:
1. تعطيل تسجيل الدخول كجذر
PermitRootLogin no
2. استخدام مصادقة مفتاح SSH
تعطيل كلمات المرور بالكامل: PasswordAuthentication no
3. تثبيت Fail2Ban
يمنع تلقائيًا محاولات تسجيل الدخول المتكررة: sudo apt install fail2ban
4. تقييد وصول المستخدمين
AllowUsers yourusername
5. تمكين المصادقة الثنائية (2FA)
يضيف طبقة إضافية من الحماية لتسجيل الدخول.
إدارة البنية التحتية بطريقة ذكية
بينما يعد تكوين SSH وقواعد الجدار الناري يدويًا معرفة أساسية، فإن إدارة خوادم متعددة بهذه الطريقة يمكن أن تصبح معقدة وتستغرق وقتًا طويلاً، خاصة مع نمو مشاريعك.
هنا تأتي منصات مثل Plusclouds. مع بنية تحتية سحابية قابلة للتوسع، ونشر تلقائي، وأدوات إدارة مركزية، تتيح لك Plusclouds:
• نشر خوادم افتراضية آمنة بسرعة • إدارة إعدادات الجدار الناري والشبكة من لوحة واحدة • توسيع البنية التحتية الخاصة بك دون عبء يدوي • التركيز على التطوير بدلاً من تكوين الخادم المتكرر
من خلال الجمع بين ممارسات الأمان العملية مثل تعزيز SSH مع منصات إدارة السحابة الحديثة، يمكنك تحقيق الكفاءة والأمان على نطاق واسع.
الأخطاء الشائعة التي يجب تجنبها
• نسيان فتح المنفذ الجديد في الجدار الناري • إعادة تشغيل SSH قبل التحقق من التكوين • إغلاق الجلسة النشطة مبكرًا • اختيار منفذ قيد الاستخدام بالفعل • تجاهل قيود SELinux
الخاتمة
تغيير منفذ SSH هو خطوة بسيطة لكنها مؤثرة نحو تحسين أمان الخادم الخاص بك. بينما لا يقضي على التهديدات تمامًا، فإنه يقلل بشكل كبير من الهجمات الآلية والضوضاء غير الضرورية.
عند دمجه مع:
• مصادقة مفتاح SSH • تكوين جدار ناري مناسب • أدوات منع التسلل
... فإنه يشكل جزءًا من استراتيجية أمان قوية ومتعددة الطبقات.
سواء كنت تدير VPS واحدًا أو توسع عبر بيئات متعددة، فإن فهم وتطبيق هذه الممارسات سيساعدك في الحفاظ على بنية تحتية آمنة وموثوقة.
