SSH menyediakan saluran terenkripsi yang aman antara desktop dan server sehingga dapat menjalankan perintah dan mengelola server tanpa harus secara fisik berada di sana dengan keyboard dan mouse. Meskipun SSH dirancang dengan keamanan di garis depan, manajemen layanan yang buruk dapat menyebabkan server disusupi. Faktanya, salah satu cara paling umum yang menyerang server Linux saat ini adalah melalui serangan brute force SSH.
Otentikasi Berbasis Kunci
Jika ada kelemahan dalam keamanan SSH, biasanya terletak pada otentikasi kata sandi. Banyak server yang telah diretas hanya karena password yang lemah. Ada banyak skrip SSH brute-force aktif yang terus-menerus memindai server baru dan menggunakan kamus yang penuh dengan kata sandi sampai ada yang berfungsi.
Kabar baiknya adalah tidak memerlukan otentikasi password untuk masuk ke server, karena SSH mendukung otentikasi berbasis kunci (key). Dalam pendekatan ini pengguna membuat public key dan private key. Public key kemudian ditempatkan dalam file khusus di server. Saat pengguna masuk, key ini digunakan untuk mengautentikasi pengguna alih-alih kata sandi. Tentu saja lebih nyaman untuk dapat masuk ke server tanpa mengetikkan password setiap saat, meskipun jika menginginkan lapisan keamanan ekstra, Anda juga dapat mengatur frasa sandi pada key tersebut.
Mematikan Login SSH Menggunakan Password
Setelah memiliki SSH Key yang dikonfigurasikan di server, seharusnya dapat masuk tanpa prompt kata sandi, kecuali jika Anda menetapkan frasa sandi untuk key tersebut, dalam hal ini Anda harus mengetiknya. Setelah SSH Key berfungsi, Anda mungkin ingin menonaktifkan otentikasi password SSH sama sekali. Pastikan SSH Key berfungsi terlebih dahulu atau akan terkunci dari server!
Harap jangan lakukan perintah berikut apabila belum berhasil login menggunakan SSH key, karena bisa terblokir dari server. Apabila sudah berhasil maka lanjutkan dengan menonaktifkan fitur login SSH menggunakan password.
Untuk menonaktifkan otentikasi password, edit /etc/ssh/sshd_config
vi /etc/ssh/sshd_configCari baris berikut dan ubah menjadi no
PasswordAuthentication no
UsePAM noSetelah itu jalankan perintah ini untuk mengaktifkan perubahan
service sshd restart