[13 CÁCH] Bảo mật SSH tốt nhất hiện nay

05/02/2020 10:38 | Lượt xem : 520

Bảo mật SSH bằng cách nào? Câu trả lời chi tiết nhất sẽ có trong bài viết dưới đây của vData.

Bảo mật SSH bằng cách nào?

Mục lục [hide]

1. Bảo mật SSH bằng cách chỉ dùng giao thức SSH phiên bản 2

Giao thức SSH phiên bản 1 đã không còn an toàn bởi lẽ nó đã tồn tạ nhiều lỗ hổng bảo mật. Vì vậy, sử dụng giao thức SSH phiên bản 2 là một trong những cách bảo mật tốt nhất. Dịch vụ SSH hiện nay được mặc định phiên bản 2 nhưng trên một số OS cũ hỗ trợ cả phiên bản 1 và phiên bản 2.

2. Bảo mật SSH bằng cách không dùng mật khẩu rỗng

Không dùng mật khẩu rỗng cũng là cách bảo mật. Nếu các đăng nhập SSH vào hệ thống sử dụng mật khẩu rỗng sẽ cực kỳ nguy hiểm.

3. Bảo mật SSH bằng cách thay đổi cổng SSH và giới hạn IP

Theo quy định chung trên toàn thế giới thì cổng 22 là cổng mặc định cho dịch vụ SSH. Vì đây là cổng phổ biến nên rất dễ bị kẻ xấu dò tìm mật khẩu và đăng nhập SSH vào hệ thống của bạn. Do đó, việc bảo mật bằng cách thay đổi cổng SSH và giới hạn IP là việc làm quan trọng.

4. Bảo mật SSH bằng cách không đăng nhập bằng User Root

Bạn nên tạo một User khác và cấu hình hoạt động sudo hay su để chuyển từ User thường sang User Root để sử dụng.

5. Bảo mật SSH bằng cách tắt chức năng đăng nhập của File ~/.rhosts

Đây là hình thức đăng nhập qua cổng 22 đã cũ, tồn tại rất nhiều rủi ro về bảo mật. Trường hợp User và Host được chỉ định cấu hình theo format cụ thể trong File ~/.rhosts thì các User trong File này sẽ tự động đăng nhập mà không cần cung cấp mật khẩu để vào hệ thống Linux. Vì vậy, hãy tắt ngay chức năng đăng nhập này đi nhé!

6. Cấu hình thời gian ngắt kết nối SSH khi User không hoạt động

Bạn nên quy định thời gian Timeout mà một kết nối SSH đến máy chủ Linux không nhận được tương tác nào trên Terminal SSH. Máy chủ SSH sẽ tự ngắt kết nối SSh từ các User không tương tác SSH nếu quá thời gian quy định.

7. Bảo mật SSH bằng cách dùng mật khẩu phức tạp

Bạn nên tạo mật khẩu phức tạp, độ khó cao nếu vẫn đăng nhập SSH vào Linux bằng mật khẩu. Tránh sử dụng mật khẩu dễ nhớ, dễ tìm vì có thể nằm trong từ điển mật khẩu của kẻ xấu. Tiêu chí mật khẩu an toàn tối thiểu đó là:

Trên 8 ký tự
Có ký tự in hoa, ký tự đặc biệt, ký tự số
Đặt mật khẩu càng ngẫu nhiên càng tốt

8. Cấu hình thời gian Timeout khi User không đăng nhập thành công

Cách này tức là, quy định thời gian cụ thể mà một kết nối SSH đợi hoạt động đăng nhập User thành công (VD: 120 giây). Khi đăng nhập không thành công sẽ thực hiện việc ngắt kết nối SSH tới máy chủ.

9. Bảo mật SSH bằng cách tắt chứng thực mật khẩu

Tắt chứng thực mật khẩu và sử dụng chứng thực SSH Key để tăng hiệu quả bảo mật. Dùng SSH Key được khuyến khích sử dụng khi đăng nhập VPS hay máy chủ Cloud. Bạn cũng nên dùng SSH Key để xác thực các kết nối an toàn từ bên ngoài vào.

10. Bảo mật SSH bằng cách từ chối hoặc cho phép kết nối SSH

Để từ chối hay cho phép kết nối SSH đối với một nhóm hay một số User cụ thể trên Linux bạn có thể dùng một số cú pháp sau:

AllowUsers user1 user2

AllowGroups quantrivien

DenyUsers user1 user2

DenyGroups uploader

11. Bảo mật SSH bằng cách để chế độ “StrictModes”

Dịch vụ SSH sẽ được chỉ định phải kiểm tra thông tin của thư mục $HOME User, File Authorized _key và thư mục .ssh với chế độ StrictModes. Dịch vụ SSH sẽ không thể kiểm tra cấu hình khi bạn đăng nhập VPS hay Cloud server.

12. Bảo mật SSH bằng cách để số lần tối đa đăng nhập sai

Nên giới hạn số lần tối đa mà một User được nhập mật khẩu sai khi đăng nhập vào hệ thống Linux. Khi đăng nhập quá số lần quy định, SSH sẽ ngắt kết nối của User đó. VD: MaxAuthTries 3

13. Tắt Log khi đăng nhập SSH lần cuối

Ngay sau khi đăng nhập SSH lần cuối bạn nên tắt Log. Chỉ cần thay đổi nội dung cấu hình tại mục “PrintLastLog” là là bạn đã tắt Log thành công.

Trên đây là 13 cách bảo mật SSH. Hy vọng, đây là những thông tin hữu ích đối với bạn. Để lại comment dưới bài đăng nếu bạn còn băn khoăn bất cứ vấn đề gì. Đừng quên truy cập vdata.vn thường xuyên để cập nhật thêm nhiều bài chia sẻ hữu ích khác về dịch vụ thiết kế, quảng cáo và lưu trữ website nhé!

>> Bạn có biết: