غیرفعال کردن root ssh و اضافه کردن کاربر wheel

ایمن‌سازی سرور لینوکس بلافاصله پس از خرید، اولین و حیاتی‌ترین قدم برای هر مدیر سرور یا صاحب کسب‌وکار اینترنتی است؛ حتماً زمانی که این مقاله را باز کرده‌اید، به دنبال راهی هستید تا جلوی نفوذهای ناخواسته به قلب تپنده سرویس خود را بگیرید. ورود مستقیم با کاربری root در پروتکل SSH، دقیقاً مانند این است که کلید اصلی ساختمان خود را زیر پادری رها کنید؛ چرا که هکرها و ربات‌های مخرب دقیقاً می‌دانند که نام کاربری مدیریت سرور شما چیست و تنها نیمی از مسیر (یافتن رمز عبور) را پیش رو دارند.

در سال 2025، آمارهای امنیتی نشان می‌دهد که بیش از 90% حملات خودکار (Brute-force) بر روی پورت 22، نام کاربری root را هدف قرار می‌دهند؛ بنابراین، غیرفعال کردن ورود روت در SSH نه یک انتخاب، بلکه یک ضرورت فنی برای حفظ بقای دیتای شماست. ما در این مقاله به شما یاد می‌دهیم که چطور یک «درب پشتی ایمن» بسازید و سپس درب اصلی را به روی غریبه‌ها ببندید.

حتماً تا به حال برایتان پیش آمده که نگران امنیت داده‌های حساس خود باشید؛ ما در این راهنمای جامع، قدم به قدم کنار شما هستیم تا با هم یک لایه دفاعی نفوذناپذیر ایجاد کنیم. پس همراه ما باشید… 😉👇

گروه Wheel و دسترسی Sudo چیست؟

در دنیای لینوکس، “Wheel” یک گروه کاربری خاص در سیستم‌عامل‌های خانواده Red Hat (مثل CentOS و AlmaLinux) است که به اعضای خود اجازه می‌دهد دستورات را با سطح دسترسی روت اجرا کنند؛ نام این گروه از عبارت “Big Wheel” به معنای فرد بانفوذ و مهم گرفته شده است. در مقابل، در خانواده دبیان و اوبونتو، این نقش را گروهی به نام “Sudo” بر عهده دارد که دقیقاً همان کارایی را برای مدیریت سیستم فراهم می‌کند.

ساختار دسترسی در لینوکس را می‌توانید مثل یک برج مسکونی تصور کنید:

اینترنت (ورودی کل ساختمان)
⬇️
دیوار آتش (لابی و نگهبانی)
⬇️
پروتکل SSH (درب ورودی واحدها)
[کاربر عادی] ───┐
├─▶ [دسترسی محدود]
[کاربر Wheel] ──┤
└─▶ [اجرای دستورات حساس با SUDO]

چرا به غیرفعال کردن ورود روت در SSH نیاز داریم؟

اهمیت این موضوع زمانی مشخص می‌شود که بدانید ربات‌های هکر در هر ثانیه هزاران بار تلاش می‌کنند تا با نام کاربری روت وارد سرورهای متصل به اینترنت شوند. با مسدود کردن این دسترسی، شما عملاً اولین سد دفاعی را چنان محکم می‌کنید که هکر حتی اگر رمز عبور شما را داشته باشد، چون نام کاربری دقیق را نمی‌داند (چون شما از یک نام کاربری اختصاصی استفاده می‌کنید)، ناکام می‌ماند.

جلوگیری از حملات Brute Force: وقتی روت غیرفعال باشد، هکرها باید هر دو پارامتر “نام کاربری” و “رمز عبور” را حدس بزنند که احتمال موفقیت آن‌ها را به نزدیک صفر می‌رساند.

✅ رعایت اصل Least Privilege: این اصل می‌گوید هر کاربر باید فقط به اندازه‌ای که نیاز دارد دسترسی داشته باشد؛ شما فقط زمانی که نیاز به کار مدیریتی دارید از قدرت روت استفاده می‌کنید.

✅ ردیابی فعالیت‌ها (Accountability): اگر چندین ادمین دارید، با استفاده از یوزرهای مجزا در گروه Wheel، مسئولیت هر تغییر کاملاً شفاف خواهد بود.

پیش‌نیازها و شرایط قبل از شروع

قبل از اینکه بخواهید تغییرات را اعمال کنید، باید مطمئن شوید که سرور شما آماده است و دسترسی جایگزین دارید؛ هیچ‌چیز بدتر از این نیست که درب اصلی را ببندید و کلید درب پشتی را هم نداشته باشید!

• دسترسی فعلی به سرور با یوزر root.
• یک سیستم‌عامل لینوکس (CentOS, AlmaLinux, Ubuntu, or Debian).
• نصب بودن بسته sudo در سیستم‌عامل (که معمولاً به صورت پیش‌فرض نصب است).

آموزش گام‌به‌گام ایمن‌سازی SSH و غیرفعال کردن ورود روت

در این بخش همراه تیم وب‌داده باشید تا به صورت عملی و با دستورات استاندارد، امنیت سرور خود را ارتقا دهیم؛ ما این آموزش را برای هر دو خانواده بزرگ لینوکس آماده کرده‌ایم.

🔸 سناریو عملی: ما ابتدا یک کاربر به نام webdade_admin می‌سازیم، او را به گروه مدیریتی اضافه می‌کنیم و سپس ورود روت را مسدود می‌کنیم.

گام 1: ساخت کاربر جدی با دایرکتوری home

ابتدا باید کاربری بسازید که قرار است از این به بعد با آن وارد سرور شوید؛ این کاربر در ابتدا یک کاربر عادی است و قدرت تخریبی ندارد.

برای CentOS / AlmaLinux / RHEL:

useradd -m -s /bin/bash webdade_admin

useradd -m -s /bin/bash webdade_admin

تعیین رمز عبور برای کاربر جدید

passwd webdade_admin

passwd webdade_admin

برای Ubuntu / Debian:

ساخت کاربر جدید (به صورت interactive)

adduser webdade_admin

adduser webdade_admin

👈 (پس از اجرای دستور passwd یا adduser، از شما خواسته می‌شود رمز عبور را وارد و تکرار کنید؛ به یاد داشته باشید که هنگام تایپ، کاراکترها نمایش داده نمی‌شوند.)

گام 2: اضافه کردن کاربر به گروه Wheel یا Sudo

حالا باید به این کاربر اجازه دهیم تا در صورت نیاز، دستورات مدیریتی را اجرا کند؛ تفاوت گروه wheel و sudo در لینوکس در اینجا ظاهر می‌شود.

برای CentOS / AlmaLinux / RHEL:

usermod -aG wheel webdade_admin

usermod -aG wheel webdade_admin

برای Ubuntu / Debian:

usermod -aG sudo webdade_admin

usermod -aG sudo webdade_admin

◀️ بررسی دسترسی: با دستور groups webdade_admin مطمئن شوید که کاربر عضو گروه مورد نظر شده است.

گام 3: تست دسترسی کاربر جدید (بسیار مهم)

قبل از هر کاری، باید مطمئن شوید که کاربر جدید شما می‌تواند از sudo استفاده کند؛ برای این کار دستور زیر را بزنید:

su - webdade_admin
sudo whoami

su - webdade_admin
sudo whoami

اگر خروجی دستور root بود، تبریک می‌گوییم! کاربر جدید شما به درستی پیکربندی شده است.

گام 4: غیرفعال کردن ورود روت در SSH

حالا وقت آن است که به فایل اصلی تنظیمات SSH برویم و ورود روت را مسدود کنیم؛ این فایل در مسیر /etc/ssh/sshd_config قرار دارد.

• فایل را با یک ویرایشگر باز کنید:

sudo nano /etc/ssh/sshd_config

sudo nano /etc/ssh/sshd_config

• به دنبال عبارت PermitRootLogin بگردید؛ احتمالاً مقدار آن yes است یا با علامت # کامنت شده است. آن را به شکل زیر تغییر دهید:

PermitRootLogin no

PermitRootLogin no

• فایل را ذخیره کنید (در Nano با Ctrl+O و سپس Enter و در نهایت Ctrl+X).

• سرویس SSH را ریستارت کنید تا تغییرات اعمال شود:

sudo systemctl restart sshd

sudo systemctl restart sshd

مقایسه روش‌های ورود به سرور

تجربه واقعی از یک نفوذ ناکام

در اواخر سال 2024، یکی از مشتریان وب‌داده که به تازگی سرور خود را تهیه کرده بود، متوجه لاگ‌های عجیبی در فایل /var/log/auth.log شد؛ ربات‌های مخرب در حال اجرای بیش از 10,000 تلاش برای ورود با یوزر root در هر ساعت بودند.

خوشبختانه، این مشتری بلافاصله پس از خرید، طبق آموزش‌های ما غیرفعال کردن ورود روت در SSH را انجام داده بود؛ نتیجه؟ تمام 10,000 تلاش هکرها با خطای “Permission Denied” مواجه شد، بدون اینکه حتی رمز عبور روت تست شود. این تجربه واقعی نشان می‌دهد که یک تغییر ساده 3 دقیقه‌ای، چطور می‌تواند از خسارت‌های چند هزار دلاری جلوگیری کند.

عیب‌یابی: اگر دسترسی من قطع شد چه کنم؟

بسیاری از کاربران نگران هستند که بعد از تغییر تنظیمات SSH، دیگر نتوانند وارد سرور شوند؛ اگر این اتفاق افتاد:

• از کنسول VNC استفاده کنید: تمام ارائه دهندگان معتبر مثل وب‌داده، یک کنسول تحت وب دارند که بدون نیاز به SSH و مستقیماً به محیط ترمینال سرور وصل می‌شود.
• بررسی فایل Config: ممکن است یک غلط املایی در عبارت PermitRootLogin داشته باشید.
• وضعیت فایروال: مطمئن شوید فایروال سرور (UFW یا Firewalld) دسترسی کاربر جدید را مسدود نکرده باشد.

سرور مجازی وب داده

VPS وب داده با حضور قدرتمند در بیش از 9 لوکیشن استراتژیک در سراسر جهان…

برای مشاهده موقعیت‌های
سرور های مجازی وب‌داده
روی دکمه زیر کلیک کنید

خرید سرور مجازی

خدمات سرور مجازی وب‌داده؛ امنیت از لحظه اول

ما در وب‌داده معتقدیم که امنیت نباید یک دغدغه باشد؛ به همین دلیل سرورهای ما با بالاترین استانداردهای سخت‌افزاری و نرم‌افزاری ارائه می‌شوند.

• ✅ ارائه کنسول مدیریت پیشرفته برای بازیابی دسترسی.
• ✅ امکان نصب خودکار سیستم‌عامل با تنظیمات بهینه.
• ✅ پشتیبانی 24 ساعته توسط متخصصین لینوکس.

نتیجه‌گیری: ایمنی سرور لینوکس، آرامش خاطر شما

ایمن‌سازی دسترسی SSH به سرور از طریق غیرفعال کردن ورود مستقیم روت و استفاده از گروه Wheel، یکی از هوشمندانه‌ترین کارهایی است که هر مدیر سیستم انجام می‌دهد؛ این کار نه تنها ریسک نفوذ را به حداقل می‌رساند، بلکه به مدیریت بهتر و حرفه‌ای‌تر سرور شما نیز کمک می‌کند.

در این مقاله آموختیم که چطور با چند دستور ساده، یک کاربر جدید بسازیم، به او قدرت مدیریتی بدهیم و در نهایت درب اصلی سرور را به روی حملات خودکار ببندیم. به خاطر داشته باشید که امنیت یک فرآیند مداوم است و این فقط اولین قدم بود.

🚀🔒 امیدوارم این مقاله از بلاگ وب‌داده برای شما مفید بوده باشد؛ در صورتی که سوالی داشتید یا در هر مرحله از آموزش با مشکلی مواجه شدید، می‌توانید در بخش نظرات با ما در ارتباط باشید تا کارشناسان ما شما را راهنمایی کنند.

سوالات متداول از غیرفعال کردن root ssh و اضافه کردن کاربر wheel