Tin tức và phân tích của tất cả các thiết bị di động

3 các cách để bảo mật máy chủ SSH của bạn trên Linux

SSH thật tuyệt vời vì nó cho phép chúng tôi có quyền truy cập đầu cuối vào các máy tính và máy chủ Linux khác qua mạng và thậm chí cả Internet! Tuy nhiên, tuyệt vời như công nghệ này, có một số vấn đề bảo mật rõ ràng khiến nó không an toàn khi sử dụng. Nếu bạn là người dùng bình thường thì không cần cài đặt các công cụ bảo mật SSH phức tạp. Thay vào đó, hãy cân nhắc làm theo các bước cơ bản sau để bảo mật máy chủ SSH của bạn trên Linux.

Thay đổi cổng kết nối mặc định

Cho đến nay, cách nhanh nhất và dễ dàng nhất để bảo mật máy chủ SSH của bạn là thay đổi cổng bạn sử dụng. Theo mặc định, máy chủ SSH chạy trên cổng 22. Để thay đổi điều này, hãy mở một cửa sổ đầu cuối. Trong cửa sổ đầu cuối, SSH tới PC từ xa đang lưu trữ máy chủ SSH.

ssh [email protected]

Sau khi đăng nhập, chuyển từ người dùng bình thường sang root. Nếu bạn có tài khoản Root, đăng nhập bằng su là một lựa chọn tốt. Nếu không, bạn cần truy cập sudo.

su -

hoặc

sudo -s

Bây giờ bạn đã có quyền truy cập root, hãy mở tệp cấu hình SSH trong Nano.

nano /etc/ssh/sshd_config

Cuộn qua tệp cấu hình “Cổng 22”. Bỏ dấu # nếu có, sau đó đổi “22” thành số khác. Thông thường, một cổng lớn hơn 100 hoặc thậm chí một cổng trong phạm vi 1000 là đủ. Sau khi thay đổi số cổng, hãy nhấn Ctrl + O để lưu các thay đổi. Sau đó, đóng trình chỉnh sửa bằng cách nhấn Ctrl + X.

Chỉnh sửa tệp cấu hình sẽ không ngay lập tức chuyển máy chủ SSH sang sử dụng đúng cổng. Thay vào đó, bạn phải khởi động lại dịch vụ theo cách thủ công.

systemctl restart sshd

Chạy lệnh systemctl sẽ khởi động lại trình nền SSH và áp dụng các cài đặt mới. Nếu khởi động lại daemon không thành công, một tùy chọn khác là khởi động lại máy chủ SSH:

reboot

Sau khi khởi động lại daemon (hoặc máy), SSH sẽ không khả dụng qua cổng 22. Do đó, kết nối qua SSH yêu cầu bạn chỉ định cổng theo cách thủ công.

Lưu ý: nhớ thay “1234” bằng port set trong file cấu hình SSH.

ssh -p 1234 [email protected]

Vô hiệu hóa mật khẩu đăng nhập

Một cách tuyệt vời khác để bảo mật máy chủ SSH của bạn là xóa mật khẩu đăng nhập và thay vào đó chuyển sang đăng nhập bằng khóa SSH. Sử dụng lộ trình khóa SSH sẽ tạo vòng tin cậy giữa máy chủ SSH và các máy từ xa có khóa của bạn. Đó là một tệp mật khẩu được mã hóa rất khó bẻ khóa.

Định cấu hình bằng khóa SSH trên máy chủ. Sau khi định cấu hình các khóa, hãy mở một thiết bị đầu cuối và mở tệp cấu hình SSH.

su -

hoặc

sudo -s

Sau đó mở cấu hình trong Nano bằng:

nano /etc/ssh/sshd_config

Theo mặc định, máy chủ SSH hỗ trợ xác thực mật khẩu người dùng. Nếu bạn có mật khẩu an toàn thì không sao, nhưng khóa SSH được mã hóa trên các máy tính đáng tin cậy sẽ nhanh hơn, thuận tiện hơn và an toàn hơn. Để hoàn tất quá trình chuyển đổi sang “đăng nhập không cần mật khẩu”, hãy tham khảo tệp cấu hình SSH. Bên trong tệp này, cuộn xuống và tìm mục “Xác thực mật khẩu”.

Xóa biểu tượng # phía trước “Xác thực mật khẩu” và đảm bảo rằng nó có từ “không” ở phía trước. Nếu mọi thứ đều ổn, hãy lưu các thay đổi vào cấu hình SSH bằng cách nhấn Ctrl + O trên bàn phím.

Sau khi lưu cấu hình, hãy đóng Nano bằng Ctrl + X và khởi động lại SSHD để áp dụng các thay đổi.

systemctl restart sshd

Nếu bạn không sử dụng systemd, hãy thử khởi động lại SSH bằng lệnh này:

service ssh restart

Lần tới khi máy từ xa cố gắng đăng nhập vào máy chủ SSH đó, nó sẽ kiểm tra các khóa chính xác và cho phép chúng vào mà không cần mật khẩu.

Vô hiệu hóa tài khoản chính

Vô hiệu hóa tài khoản chính trên máy chủ SSH là một cách để giảm thiểu thiệt hại có thể xảy ra khi người dùng trái phép giành quyền truy cập qua SSH. Để vô hiệu hóa tài khoản Root, cần có ít nhất một người dùng trên máy chủ SSH có thể lấy quyền root thông qua sudo. Điều này sẽ đảm bảo rằng bạn vẫn có thể truy cập cấp hệ thống nếu cần mà không cần mật khẩu gốc.

Lưu ý: đảm bảo người dùng có thể truy cập root thông qua sudo có mật khẩu an toàn hoặc việc vô hiệu hóa tài khoản siêu người dùng là vô nghĩa.

Để vô hiệu hóa quyền root, hãy nâng cấp thiết bị đầu cuối lên đặc quyền siêu người dùng:

sudo -s

Sử dụng sudo -s bỏ qua nhu cầu đăng nhập bằng su và thay vào đó cấp Shell gốc thông qua sudoers. Bây giờ trình bao có quyền truy cập siêu người dùng, hãy chạy lệnh mật khẩu và băm tài khoản Root bằng –lock.

passwd --lock root

Chạy lệnh trên sẽ mã hóa mật khẩu Root, vì vậy đăng nhập su là không thể. Kể từ bây giờ, người dùng chỉ có thể truy cập qua SSH với tư cách là người dùng cục bộ và sau đó chuyển sang tài khoản Root với đặc quyền sudo.

Mục lục