Bảo mật luôn là một vấn đề đau đầu với những chuyên gia bảo mật mới vào nghề, hôm này các bạn cùng SecurityBox tìm hiểu 3 cách cấu hình bảo mật Server với SSH nhé
3 cách cấu hình bảo mật Server Linux với SSH
Nếu bạn vẫn chưa cảm thấy thực sự yên tâm với SSH key thì hãy cùng với SecurityBox tham khảo thêm 3 cách cấu hình SSH dưới đây nhé. Cấu hình SSH tốt sẽ giúp gia tăng tính bảo mật, mặc dù vậy hãy tùy theo mỗi trường hợp mà bạn hãy linh động và không cần sử dụng hết toàn bộ những cách dưới đây nhé.
Các bạn hãy chú ý rằng ở trong bài này SecurityBox đều sửa trong tập tin /etc/ssh/sshd_config, sau khi cấu hình bảo mật Server Linux xong hãy khởi động lại SSH bằng lệnh này nhé:
service sshd restart
Cách 1. Đổi cổng SSH
Với cách cấu hình Server Linux này, theo mặc định SSH Server sẽ dùng cổng 22 để có thể tiếp nhận kết nối. Đây cũng là cổng mà những “Scanner” luôn nhắm vào để có thể tấn công “Brute Force”. Bởi vậy, không nên dùng công 22 làm công mặc định mà hãy đổi thành 1 công khác. Ví dụ như 1109. Tuy vậy, bạn cũng cần lưu ý rằng, số mà bạn chọn làm cổng phải bằng hoặc nhỏ hơn 4 chữ số nhé. Đặc biệt phải tránh những cổng khác được sử dụng bởi phần mềm khác để tránh xung đột.
Để đổi cống các bạn tìm #Port 22
Sau đó bỏ comment đi rồi thay số 22 thành số cổng mà bạn muốn dùng Port 1109
>> Xem thêm: Các cách bảo mật Server với từng loại hệ điều hành
Cách 2. Không đăng nhập với user root
User root vẫn luôn là một vấn đề nhạy cảm trong bảo mật, nếu có thể bạn hãy nên dùng một người dùng khác để truy cập và sau đó dùng lệnh “su” để chuyển đổi sang user root.
SecurityBox lưu ý bạn rằng trong việc cấu hình bảo mật Server Linux với SSH, hãy để mật khẩu cho user root trước tiên. Bạn có thể yên tâm rằng nếu bạn có dùng SSH key và không cho phép đăng nhập thông qua mật khẩu thì khi chuyển sang user thì vẫn có thể sử dụng bình thường
Trước tiên bạn hãy tạo 1 user bất kỳ
useradd Securitybox
Sau đặt mật khẩu cho người dùng đó
passwd Securitybox
Rồi kế tiếp đó là cấu hình không cho phép việc đăng nhập đối với user root, hãy mở tập tin /etc/ssh/sshd_config rồi sau đó tìm dòng lệnh
#PermitRootLogin yes
Sau đó đổi thành
PermitRootLogin no
Bước cuối cùng đó là bổ sung đoạn mã dưới đây vào cuối tập tin để chỉ cho phép người dùng Securitybox đăng nhập vào SSH
AllowUsers Securitybox
Kể từ giờ, bạn có thể đăng nhập vào SSH bằng người dùng Securitybox. Nếu bạn muốn đăng nhập vào user root thì bạn phải gõ lệnh “su” rồi nhập mật của user root để có thể chuyển sang user root nhé. Tuy nhiên điểm yếu của cách này đó chính là nó không áp dụng được cho sFTP.
3. Chỉ cho phép đăng nhập vào SSH từ một địa chỉ IP cố định
Đây là cách thứ 3 để cấu hình bảo mật cho Server Linux với SSH. Nếu như bạn đang sử dụng địa chỉ Ip động thì SecurityBox khuyên bạn không nên thử theo cách này. Nếu bạn đang dùng 1 địa chỉ IP tĩnh thì nó rất tốt để có thể chống lại những đăng nhập trái phép. Chỉ cần đoạn mã sau vào là xong:
ListenAddress 123.45.678
Như vây, ngoài các cách cấu hình bảo mật Server Linux với SSH như trên còn một vài cách nữa là sử dụng phần mềm hỗ trợ bảo mật, hãy đón đọc những bài viết tiếp theo trên SecurityBox nhé.