Bảo mật SSH

Posted onAuthorTrung Truc Tran2 Comments

Bảo mật SSH

Làm việc với server linux lẽ dĩ nhiên bạn phải thao tác qua dòng lệnh thông qua SSH (Secure shell). Cái tên nó đã bao gồm chữ secure – bảo mật tuy nhiên để có được bảo mật bạn phải cấu hình, tùy chỉnh lại, mặc định thì không bảo mật tí nào.

Trước khi đến với phần tùy chỉnh SSH mình sẽ hướng dẫn trước các bước thủ tục.

Đổi mật khẩu root:

Khi các bạn mua VPS thì các hãng sẽ gởi email chứa tài khoản đăng nhập cho VPS, thường là root và một mật khẩu được tạo sẵn. Tốt nhất là bạn nên đổi mật khẩu lại sao cho vừa đảm bảo dễ nhớ và mức độ an toàn cao so với dãy ký tự chẳng có ý nghĩa gì.

Một mật khẩu an toàn chứa nhiều (tốt nhất là dài hơn 10) ký tự bao gồm chữ in hoa, chữ thường, số và ký tự đặc biệt.

Tạo mật khẩu an toàn

Để đổi mật khẩu root bạn cần đăng nhập ssh vào vps với tài khoản và mật khẩu được cấp

Chạy lệnh

passwd

để tiến hành đổi mật khẩu tài khoản root

0-Secure-CentOS-VPS-Change-root-password

VPS mới cài nên cũng chưa có công cụ gì, mình cài thêm 2 công cụ thường dùng là nano và wget

nano giúp chỉnh sửa tập tin, chức năng tương tự vi/vim có sẵn nhưng sử dụng dễ dàng hơn

wget giúp tải tập tin từ Internet về máy.

Gõ lệnh

yum install nano wget

để tiến hành cài đặt. Ảnh dưới do mình đã cài đặt sẵn nên máy báo đã cài.

1-Secure-CentOS-VPS-Install-Nano-WGET

Để server vận hành ổn định nhất thì chúng ta phải luôn luôn cập nhật các gói tin mới nhất.

Gõ lệnh

yum update

để tiến hành cập nhật server

2-Secure-CentOS-VPS-Yum-Update

Tạo user:

Sau khi đã cập nhật xong chúng ta tiến hành tạo 1 tài khoản, tài khoản này đóng vai trò trung gian để kết nối SSH tới VPS linux trước khi sử dụng tài khoản root.

Để tạo tài khoản gõ lệnh

useradd taikhoanmuontao

trong bài mình tạo tài khoản monitor

và đổi mật khẩu cho tài khoản vừa tạo, gõ lệnh

passwd taikhoandatao

3-Secure-CentOS-VPS-Add new user

Bảo mật SSH:

Sau khi hoàn tất các bước trên chúng ta tiến hành thiết lập bảo mật cho SSH

Gõ lệnh

nano /etc/ssh/sshd_config

4-Secure-CentOS-VPS-SSH-1

Đổi port SSH

Port mặc định của SSH là 22, do là mặc định nên hacker sẽ quét dựa theo cổng này để tấn công brute-force, tất nhiên là họ có công cụ làm tự động, do vậy đổi port giúp giảm nguy cơ bị tấn công rất nhiều.

Trong ảnh dưới mình bỏ chọn dấu # và sửa port mặc định 22 thành port 2200

4-Secure-CentOS-VPS-SSH-2

ListenAddress: Nếu bạn muốn chỉ cho phép truy cập SSH từ một địa chỉ IP cố định nào đó thì có thể thay đổi giá trị này.

4-Secure-CentOS-VPS-SSH-3

Thay đổi tham số SSH

MaxAuthTries: cho phép tối đa bao nhiêu lần đăng nhập không thành công.
MaxSession: cho phép tối đa bao nhiêu phiên (session) truy nhập SSH

4-Secure-CentOS-VPS-SSH-4

Không cho phép tài khoản root trực tiếp đăng nhập ssh

Bỏ chọn dấu # đầu dòng và sửa giá trị PermitRootLogin thành no

4-Secure-CentOS-VPS-SSH-5

Bạn thêm tham số AllowUsers để cho phép tài khoản nào có thể truy cập SSH

Như ảnh dưới là cho phép tài khoản monitor (đã tạo ở bước trên) đăng nhập ssh

4-Secure-CentOS-VPS-SSH-6

Sau khi đã hoàn tất cấu hình các tham số SSH, chạy lệnh dưới để tải các tham số

service sshd reload

4-Secure-CentOS-VPS-SSH-7

Mặc định tường lửa (IPTABLES) cho phép ssh theo port 22, tuy nhiên do chúng ta đã đổi port 22 thành port khác, do đó cần cấu hình tường lửa để cho phép SSH theo port mới.

Các bạn có thể truy cập đến thư mục /etc/sysconfig

Và chỉnh sửa file iptables

nano /etc/sysconfig/iptables

5-Secure-CentOS-VPS-ConfigFirewall-1

Sửa port 22 thành port đã đổi

Ctrl + X để thoát và chọn Y (Yes) để lưu file

5-Secure-CentOS-VPS-ConfigFirewall-2

Chạy lệnh

service iptables reload

để tải lại các tham số mới

và lệnh

service iptables status

để xem trạng thái hoạt động của firewall, các bạn có thể thấy port 2200 như mình đã cấu hình

5-Secure-CentOS-VPS-ConfigFirewall-3

Leave a Reply