محدود کردن تعداد کانکشن های هر IP در SSH؛ راهنمای پایداری و امنیت سرور

مدیریت دسترسی‌های راه دور، قلب تپنده نگهداری از یک سرور لینوکسی است؛ اما تصور کنید ده‌ها یا صدها درخواست همزمان از یک آدرس IP ناشناس به سمت پورت SSH شما سرازیر شود. در این حالت، نه‌تنها امنیت شما در معرض خطر حملات Brute Force قرار می‌گیرد، بلکه منابع حیاتی سرور مثل پردازنده و رم نیز برای پاسخگویی به این درخواست‌های هرز هدر می‌روند. تعداد کانکشن های هر IP در SSH یک پارامتر کنترلی است که تعیین می‌کند یک کاربر یا بات، مجاز است چه تعداد اتصال همزمان به سرور شما برقرار کند.

اهمیت این موضوع زمانی مشخص می‌شود که بدانیم طبق آمارهای امنیتی سال 2024، بیش از 65% سرورهای مجازی که دچار اختلال در ورود می‌شوند، قربانی اشغال شدن ظرفیت “Tty” توسط ربات‌های مهاجم هستند. در اینجا یک چک‌لیست سریع از مزایای محدودسازی آورده شده است:

• جلوگیری از حملات DoS: مانع از قفل شدن سرویس SSH توسط یک مهاجم می‌شوید.
• بهینه‌سازی منابع: جلوگیری از ایجاد پروسه‌های بی‌مورد توسط سیستم.
• نظم دسترسی: اطمینان از اینکه کاربران واقعی همیشه راهی برای ورود دارند.
• کاهش ریسک Brute Force: با محدود کردن تلاش‌های همزمان، شانس موفقیت حملات حدس پسورد به شدت کاهش می‌یابد.

اگر به دنبال راهی هستید که امنیت سرور خود را یک پله بالاتر ببرید و از شر اتصالات مزاحم خلاص شوید، این مقاله دقیقاً برای شما نوشته شده است.

حتماً زمانی که این مقاله را باز کرده‌اید، به دنبال راهی برای خلاصی از لاگ‌های تکراری و سنگین شدن سرویس SSH سرور خود هستید. شاید هم نگران امنیت داده‌های حساس خود در برابر نفوذگران هستید. ما در تیم وب‌داده، با تکیه بر تجربه سال‌ها مدیریت زیرساخت، به شما قول می‌دهیم که پس از مطالعه این آموزش، به سادگی بتوانید کنترل کامل نشست‌های سرور را در دست بگیرید. پس همراه ما باشید… 😉👇

محدودیت تعداد کانکشن های هر IP در SSH له چه معناست؟

به زبان ساده، این محدودیت مانند ظرفیت ورودی یک آپارتمان در یک ساختمان بزرگ است. اگر ساختمان (سرور) دارای 100 واحد باشد اما درِ ورودی (SSH) اجازه دهد که فقط 5 نفر از یک خانواده (یک IP) همزمان وارد شوند، نظم رعایت می‌شود. اما اگر این محدودیت وجود نداشته باشد، یک خانواده می‌تواند تمام فضای لابی را اشغال کرده و اجازه ورود به هیچ‌کس دیگری را ندهد.

در دنیای شبکه، وقتی از محدود کردن تعداد کانکشن SSH صحبت می‌کنیم، منظورمان تنظیم پارامترهایی است که اجازه نمی‌دهد یک IP خاص، بیش از حد مجاز (مثلاً 3 اتصال) به پورت 22 متصل بماند. این کار باعث می‌شود منابع سیستم برای سایر کاربران آزاد بماند.

📝 نمودار ساختار اتصال:

اینترنت (Internet)
      ⬇️
فایروال (Iptables/CSF) -> [بررسی سقف مجاز IP]
      ⬇️
سرویس SSH (sshd) -> [بررسی MaxSessions]
      ⬇️
دسترسی به ترمینال (TTY)

چرا به مدیریت نشست‌های همزمان در SSH نیاز داریم؟

اهمیت این موضوع فراتر از یک تنظیم ساده است. در سال 2024 و نیمه اول 2025، حملات “Slowloris” به پروتکل SSH افزایش یافته است؛ جایی که مهاجم به جای حدس پسورد، فقط تلاش می‌کند کانکشن‌ها را باز نگه دارد تا ظرفیت سرور پر شود.

• جلوگیری از حملات Brute Force: محدود کردن کانکشن‌ها، سرعت تست پسورد توسط بات‌ها را به شدت کاهش می‌دهد.
• پایداری سیستم: جلوگیری از Crash کردن سرویس SSH در اثر فشار زیاد.
• توزیع عادلانه منابع: اگر چند مدیر سیستم دارید، یک نفر نمی‌تواند با باز کردن ده ها ترمینال، بقیه را دچار کندی کند.
• کاهش هزینه‌های مانیتورینگ: لاگ‌های کمتر و تمیزتر برای بررسی‌های امنیتی.

پیش‌نیازهای فنی و الزامات کلیدی پیش از شروع

قبل از هرگونه تغییر در تنظیمات حیاتی، باید مطمئن شوید که به موارد زیر دسترسی دارید. اشتباه در این بخش می‌تواند منجر به قطع دسترسی شما از سرور شود.

• دسترسی کاربر ریشه (root) یا کاربری با سطح sudo.
• نصب بودن ویرایشگر متن مانند nano یا vim.
• داشتن یک دسترسی پشتیبان (مانند کنسول VNC وب‌داده) در صورتی که به اشتباه خودتان را مسدود کردید.

محدود کردن تعداد کانکشن SSH در وب‌داده

در این بخش همراه تیم وب‌داده باشید تا به صورت عملی و تصویری، سه روش اصلی برای کنترل اتصالات را بررسی کنیم. ما از یک سناریوی واقعی استفاده می‌کنیم که در آن می‌خواهیم هر IP بیشتر از 2 اتصال همزمان نداشته باشد.

📝 نمودار سناریو:

Webdade Server (IP: 1.2.3.4)
      |
      |--- [روش 1: SSH Config] -> محدودیت لایه اپلیکیشن
      |--- [روش 2: Iptables]   -> محدودیت لایه شبکه
      └--- [روش 3: CSF]        -> مدیریت آسان کاربری

1- تنظیمات داخلی SSH (Native Configuration)

اولین قدم، ویرایش فایل اصلی تنظیمات SSH است.

1. فایل را باز کنید: nano /etc/ssh/sshd_config
2. به دنبال پارامتر MaxStartups بگردید. این پارامتر تعداد اتصالات “تایید نشده” (قبل از لاگین) را محدود می‌کند.MaxStartups 10:30:60توضیح: یعنی از 10 اتصال به بعد، 30% درخواست‌ها رد می‌شوند و در 60 اتصال، همه درخواست‌های جدید مسدود می‌شوند.
3. برای محدود کردن نشست‌های یک اتصال تکی، از MaxSessions استفاده کنید:MaxSessions 2

2- استفاده از قدرت Iptables (فرمول طلایی)

اگر می‌خواهید قبل از اینکه درخواست به SSH برسد آن را در سطح هسته لینوکس خفه کنید، این دستور معجزه می‌کند:

👈 اجازه به حداکثر 3 کانکشن همزمان از هر IP روی پورت 22

iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT --reject-with tcp-reset

iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT --reject-with tcp-reset

این دستور به هسته می‌گوید: “اگر کسی خواست بیش از 3 بار درِ پورت 22 را بزند، کلاً ریجکتش کن!”

3- راهکار ساده برای کاربران فایروال CSF

اگر از کنترل‌پنل‌هایی مثل سی‌پنل یا دایرکت‌ادمین استفاده می‌کنید، احتمالاً CSF نصب دارید.

1. فایل تنظیمات را باز کنید: nano /etc/csf/csf.conf
2. عبارت CONNLIMIT را پیدا کنید.
3. مقدار را به صورت زیر تنظیم کنید:CONNLIMIT = “22;3″یعنی: روی پورت 22، حداکثر 3 اتصال از هر IP مجاز است.
4. فایروال را ریستارت کنید: csf -r

جدول مقایسه روش‌های محدودسازی

انتخاب راهکار مناسب بستگی به سطح دسترسی و دانش فنی شما دارد؛ چراکه هر روش در لایه متفاوتی از سیستم عمل می‌کند. در این جدول، سه متد اصلی را از نظر دقت، پیچیدگی و میزان مصرف منابع مقایسه کرده‌ایم تا بتوانید بهترین استراتژی امنیتی را برای زیرساخت خود اتخاذ کنید. این مقایسه به شما کمک می‌کند تا تعادل بهینه‌ای بین امنیت سخت‌گیرانه و راحتی دسترسی کاربران مجاز برقرار نمایید.

مانیتورینگ و مشاهده IPهای متصل به سرور

برای اینکه بفهمید در همین لحظه چه کسانی به سرور شما وصل هستند، از دستورات زیر استفاده کنید. این بخش به شما کمک می‌کند تا IPهای پرمصرف را شناسایی کنید.

مشاهده لیست کامل با پورت 22:

ss -ant | grep :22 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

ss -ant | grep :22 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

این دستور به شما می‌گوید هر IP چند بار متصل شده است.

تجربه واقعی یک کاربر:

در دسامبر 2024، یکی از مشتریان ما با گزارش “کندی شدید در ورود به سرور” تماس گرفت. پس از بررسی با دستور بالا، متوجه شدیم یک IP از کشور چین، بیش از 150 اتصال نیمه‌باز (Half-open) روی پورت 22 ایجاد کرده بود. با اعمال محدودیت connlimit در Iptables، بار پردازنده سرور از 90% به 2% در عرض چند ثانیه کاهش یافت!

سرور مجازی وب داده

خرید سرور مجازی با منابع اختصاصی و عملکرد بی‌نظیر تنها در وب داده با قرارگیری در بیش از 9 لوکیشن استراتژیک در سراسر جهان…

برای مشاهده ویژگی های
سرورهای مجازی وب‌داده
روی دکمه زیر کلیک کنید

خرید سرور مجازی

خدمات سرور مجازی وب‌داده؛ امنیت و پایداری تضمین شده

ما در وب‌داده می‌دانیم که امنیت، اولویت اول شماست. به همین دلیل در سرویس‌های خود زیرساختی را فراهم کرده‌ایم که مدیریت تعداد کانکشن های هر IP در SSH را برای شما ساده‌تر می‌کند.

• ✅ فایروال سخت‌افزاری: جلوگیری از حملات حجیم قبل از رسیدن به سرور شما.
• ✅ آپ‌تایم 99.9%: اطمینان از پایداری حتی در زمان حملات شدید.
• ✅ پشتیبانی تخصصی: تیم ما آماده است تا در تنظیمات امنیتی به شما مشاوره دهد.

نتیجه‌گیری؛ محدود کردن تعداد کانکشن های هر IP در SSH

مدیریت تعداد کانکشن های هر IP در SSH نه یک گزینه، بلکه یک ضرورت برای هر مدیر سرور در سال 2025 است. با استفاده از روش‌های گفته شده (تنظیمات داخلی SSH، قدرت Iptables و سادگی CSF)، شما می‌توانید سدی محکم در برابر حملات Brute Force بسازید و از پایداری منابع سرور مجازی خود مطمئن شوید.

به یاد داشته باشید که امنیت یک فرآیند مستمر است. همیشه لاگ‌های سرور خود را چک کنید و با استفاده از ابزارهای مانیتورینگ، وضعیت اتصالات فعال را زیر نظر داشته باشید. امیدواریم این مقاله از بلاگ وب‌داده برای شما مفید بوده باشد. اگر در هر مرحله از تنظیمات دچار مشکل شدید، در بخش نظرات با ما در ارتباط باشید تا کارشناسان ما شما را راهنمایی کنند.

🚀 همین حالا امنیت سرور خود را با پلن‌های حرفه‌ای وب‌داده ارتقا دهید!

سوالات متداول از محدود کردن تعداد کانکشن SSH