// IP ADDRESS ANDA SAAT INI
Mengambil informasi koneksi…
Cek IP & Reputasi Server →

Begitu VPS kamu online dengan IP publik, dalam hitungan menit log SSH-nya sudah dipenuhi percobaan login dari bot otomatis di seluruh dunia. Ini bukan karena kamu jadi target khusus — bot memindai seluruh internet sepanjang waktu mencari server dengan password lemah atau port terbuka. Kabar baiknya, mengamankan VPS Linux dari serangan otomatis ini cukup dengan empat langkah dasar yang bisa dilakukan dalam 15 menit. Artikel ini memandu dari nol: ganti port SSH, matikan login password, aktifkan firewall UFW, dan pasang fail2ban.

Jangan tunda hardening. VPS yang dibiarkan dengan SSH password di port 22 adalah sasaran empuk — sekali jebol, bisa dipakai untuk spam, serangan, atau penambangan, dan IP-mu bisa masuk blacklist.

Kenapa VPS Baru Langsung Diserang

Internet dipenuhi bot yang terus-menerus memindai rentang IP publik untuk mencari port terbuka — terutama SSH (port 22). Saat menemukan satu, mereka mencoba ribuan kombinasi username/password umum (root/123456, admin/admin, dan seterusnya). Kalau server-mu pakai password lemah atau username default, hanya soal waktu sampai jebol. Pertahanan terbaik bukan satu tembok tinggi, tapi beberapa lapis: kurangi permukaan serangan, hilangkan password sebagai vektor, dan blokir otomatis penyerang yang ngotot.

Langkah 1: Ganti Port SSH Default

Port 22 adalah yang paling sering dipindai. Memindahkannya ke port lain (di atas 1024, idealnya di atas 10000) tidak membuatmu kebal, tapi memangkas drastis noise serangan otomatis. Edit konfigurasi SSH:

CONFIG — /etc/ssh/sshd_config (ganti port)
# ══════════════════════════════════════════
# cekipsaya.com — network intelligence tools
# gratis untuk Indonesia: cek IP, DNS, ping,
# traceroute, blacklist check & more.
# ══════════════════════════════════════════

# Ganti port SSH dari 22 ke port lain (contoh: 22022)
Port 22022

# Matikan login root langsung (pakai user biasa + sudo)
PermitRootLogin no
Setelah edit, JANGAN tutup sesi SSH dulu. Buka koneksi baru di port baru untuk memastikan berhasil sebelum menutup sesi lama — supaya tidak terkunci. Restart SSH: systemctl restart ssh (atau sshd).

Langkah 2: Matikan Login Password, Pakai SSH Key

Ini langkah paling penting. Selama login password masih aktif, brute-force selalu mungkin. Dengan SSH key, login hanya bisa dengan kunci privat yang ada di perangkatmu — brute-force jadi mustahil secara praktis. Buat key di komputermu, salin public key ke server, lalu matikan password di server.

BASH — Setup SSH key
# Di komputer LOKAL: buat key (kalau belum punya)
ssh-keygen -t ed25519

# Salin public key ke server (port baru)
ssh-copy-id -p 22022 user@IP-VPS

# Tes login tanpa password dulu, baru lanjut
Pastikan bisa login dengan key SEBELUM mematikan password. Jangan sampai terkunci.
CONFIG — /etc/ssh/sshd_config (matikan password)
# ══════════════════════════════════════════
# cekipsaya.com — network intelligence tools
# gratis untuk Indonesia: cek IP, DNS, ping,
# traceroute, blacklist check & more.
# ══════════════════════════════════════════

PasswordAuthentication no
PubkeyAuthentication yes
Restart SSH setelahnya. Mulai sekarang login hanya dengan key — vektor brute-force password tertutup total.

Langkah 3: Aktifkan Firewall UFW

UFW (Uncomplicated Firewall) memastikan hanya port yang kamu izinkan yang terbuka — sisanya tertutup. Prinsipnya: tutup semua, buka yang perlu saja (SSH port baru, plus port layananmu).

BASH — Konfigurasi UFW
# Default: tolak masuk, izinkan keluar
ufw default deny incoming
ufw default allow outgoing

# Izinkan SSH (port baru!) — JANGAN lupa atau terkunci
ufw allow 22022/tcp

# Izinkan layananmu (contoh: WireGuard UDP 51820, web 443)
ufw allow 51820/udp
ufw allow 443/tcp

# Aktifkan
ufw enable
ufw status verbose
WAJIB allow port SSH baru SEBELUM ufw enable, kalau tidak kamu akan terkunci dari server. Sesuaikan port layanan dengan kebutuhanmu.

Langkah 4: Pasang fail2ban

fail2ban memantau log dan otomatis memblokir IP yang berkali-kali gagal login dalam waktu singkat. Bahkan dengan SSH key, fail2ban berguna untuk membersihkan noise dan memblokir pemindai yang agresif. Pasang lalu buat konfigurasi jail untuk SSH di port baru.

CONFIG — /etc/fail2ban/jail.local
# ══════════════════════════════════════════
# cekipsaya.com — network intelligence tools
# gratis untuk Indonesia: cek IP, DNS, ping,
# traceroute, blacklist check & more.
# ══════════════════════════════════════════

[DEFAULT]
# Blokir 1 jam setelah 5 kali gagal dalam 10 menit
bantime  = 1h
findtime = 10m
maxretry = 5

[sshd]
enabled = true
port    = 22022
Sesuaikan port dengan port SSH barumu. Install: apt install -y fail2ban. Aktifkan: systemctl enable --now fail2ban.
BASH — Verifikasi fail2ban
# Cek status jail SSH (lihat IP yang sudah diblokir)
fail2ban-client status sshd
Output menampilkan jumlah percobaan gagal dan daftar IP yang sedang di-ban. Kalau angkanya naik, fail2ban bekerja menyaring penyerang.
Studi Kasus: Kasus Nyata: Log SSH dari 0 ke Ribuan dalam Sehari
Seorang pengguna baru menyewa VPS untuk tunnel WireGuard dan membiarkan SSH default di port 22 dengan password. Dalam 24 jam, log auth-nya berisi ribuan percobaan login gagal dari ratusan IP berbeda. Setelah memindahkan SSH ke port tinggi, mematikan login password (pakai key), mengaktifkan UFW, dan memasang fail2ban, noise serangan turun hampir nol — dan yang lolos pun langsung diblokir otomatis. Hardening 15 menit, tenang berbulan-bulan.

FAQ — Pertanyaan yang Sering Ditanyakan

Tidak ideal. fail2ban memblokir penyerang yang ngotot, tapi pertahanan terbaik berlapis: matikan login password (vektor utama), batasi port dengan firewall, dan baru fail2ban sebagai jaring tambahan. Mengandalkan satu lapisan saja berisiko.
Membantu mengurangi noise serangan otomatis secara signifikan karena bot umumnya hanya memindai port 22. Tapi ini bukan keamanan sejati (security by obscurity) — tetap wajib dikombinasikan dengan SSH key dan firewall.
Gunakan konsol/VNC dari panel penyedia VPS untuk masuk langsung tanpa SSH, lalu perbaiki konfigurasi. Karena itu, selalu uji koneksi baru sebelum menutup sesi lama saat mengubah port atau mematikan password.
Tidak. fail2ban sangat ringan — hanya membaca log dan menambah aturan firewall untuk IP bermasalah. Konfigurasi default sudah cukup untuk perlindungan dasar tanpa beban berarti.
Pilih port di atas 1024 yang tidak dipakai layanan lain, idealnya di atas 10000 (misalnya 22022 atau 49222). Hindari port layanan umum. Pastikan port itu juga di-allow di UFW dan didefinisikan di jail fail2ban.
Empat langkah ini menutup vektor serangan utama. Untuk VPS tunnel, tambahkan hanya port yang perlu (UDP WireGuard dan port layanan yang di-forward) di UFW, dan tetap update sistem secara rutin. Lihat panduan VPS + WireGuard untuk konteks lengkap.

Kesimpulan

VPS dengan IP publik mulai diserang bot dalam hitungan menit setelah online. Empat langkah dasar ini menutup mayoritas vektor serangan otomatis: ganti port SSH, matikan login password (pakai SSH key), aktifkan UFW agar hanya port perlu yang terbuka, dan pasang fail2ban untuk memblokir IP yang brute-force otomatis. Hardening ini wajib terutama kalau VPS-mu jadi titik tunnel atau server yang terekspos — lengkapi dengan panduan VPS + WireGuard.

COBA SEKARANG
Cek IP & Reputasi Server
→ Cek IP & Reputasi Server
// ARTIKEL INI MEMBANTU?

Share ke teman yang butuh info ini: