Ở phần 1 mình đã hướng dẫn sử dụng SSH Key thay thế cho mật khẩu để tăng cường bảo mật cho giao thức SSH trước các nguy cơ Brute Force Attack. Nhưng nếu bạn vẫn chưa thực sự yên tâm với SSH Key thì có thể tham khảo thêm một số cách cấu hình SSH để gia tăng sự bảo mật, tuy nhiên tùy theo trường hợp nên bạn có thể không cần áp dụng hết tất cả các cách trong bài này.
Tất cả các cách trong bài này đều sửa trong file /etc/ssh/sshd_config, sau khi sửa xong hãy khởi động lại SSH bằng lệnh:
service sshd restart
1. Đổi port SSH
Mặc định SSH Server sẽ sử dụng cổng 22 để tiếp nhận kết nối, và đây cũng là cổng mà các scanner luôn nhắm vào để tấn công brute force. Do vậy, đừng nên sử dụng cổng 22 mặc định mà hãy đổi sang một cổng khác, chẳng hạn như 1109. Cũng lưu ý rằng, số cổng phải nhỏ hơn hoặc bằng 4 chữ số và không nên xung đột với các cổng khác đã được sử dụng bởi phần mềm khác.
Để đổi cổng SSH, bạn tìm:
#Port 22
Bỏ comment đi và thay số 22 thành số cổng mà bạn muốn sử dụng
Port 1109
2. Không đăng nhập bằng user root
User root luôn rất nhạy cảm nên nếu có thể, bạn hãy sử dụng một user khác để đăng nhập và sau đó sử dụng lệnh su để đổi sang user root.
Lưu ý: Hãy đặt mật khẩu cho user root trước. Yên tâm là dù bạn có sử dụng SSH Key và không cho phép login bằng mật khẩu nhưng khi chuyển user thì vẫn dùng bình thường.
Đầu tiên là tạo một user bất kỳ.
useradd thachpham
Và thiết lập mật khẩu cho user này:
passwd thachpham
Nếu bạn muốn sử dụng SSH Key cho user này, hãy đăng nhập vào máy chủ với user vừa tạo và tạo SSH Key như bài này.
Kế tiếp là cấu hình không cho phép đăng nhập với user root, bằng cách mở file /etc/ssh/sshd_config rồi tìm:
#PermitRootLogin yes
Sửa thành
PermitRootLogin no
Cuối cùng là chèn thêm đoạn sau vào cuối file để chỉ cho phép user thachpham được phép đăng nhập vào SSH:
AllowUsers thachpham
Và kể từ bây giờ trở đi bạn cứ đăng nhập vô SSH bằng user thachpham nhưng gõ lệnh su rồi nhập mật khẩu của root để chuyển sang user root. Nhược điểm là cách này không áp dụng cho sFTP.
3. Chỉ cho phép đăng nhập SSH từ một IP cố định
Nếu bạn sử dụng IP động thì đừng nên thử cách này, còn nếu bạn có 1 IP tĩnh thì nó rất tốt để chống lại các đăng nhập bất hợp pháp. Chỉ cần chèn đoạn sau vào:
ListenAddress 123.45.678
Lời kết
Ngoài việc cấu hình như vậy còn có một số cách khác nữa là dùng một công cụ để hỗ trợ bảo mật nhưng mình sẽ tiếp tục nói về các công cụ ở đó với các bài sau nhé.