Blog, Tin Tức

10 biện pháp tăng cường bảo mật cho SSH Login

Posted on by Nguyễn Anh Kiệt
05
Th10

SSH Login là hình thức đăng nhập có thể nói là phổ biến nhất khi bạn mua VPS Linux tại Cloudzone. Tuy nhiên hình thức này luôn phải đối mặt với hiện tượng dò quét chiếm quyền sở hữu Server. Hôm nay chúng ta sẽ cùng tìm hiểu về 10 biện pháp tăng cường bảo mật cho SSH Login

1. Đặt Password phức tạp

Bạn hãy sử dụng một trình tạo Password để tạo ra một Password thực sự phức tạp và mạnh mẽ. Đừng dùng những password quá đơn giản hoặc có liên quan tới cá nhân bạn. Password mạnh mẽ bạn nên có độ dài 16-18 kí tự, bao gồm chữ hoa, chữ thường, chữ số và kí tự đặc biệt. Password nên được tạo ra ngẫu nhiên và được lưu trữ cẩn thận. Lưu ý, hãy dùng những trình tạo password offline là tốt nhất để tránh chúng bị lưu trữ vào từ điển

2. Cấu hình Idle Timeout Interval

Mở file cấu hình SSH tại /etc/ssh/sshd_config và thêm vào hai dòng
ClientAliveInterval 360
ClientAliveCountMax 0

Điều này có nghĩa là sau 360 giây (6 phút) mà không có tác động gì thì user sẽ tự động bị logout

3. Tắt chế độ Password trống

Mở file cấu hình SSH tại /etc/ssh/sshd_config và thêm vào dòng
PermitEmptyPasswords no

Điều này sẽ chống việc login SSH từ các user không có Password

4. Chỉ định những user nào được phép SSH

Mở file cấu hình SSH tại /etc/ssh/sshd_config và thêm vào dòng
AllowUsers user1 user2
Điều này sẽ chỉ cho phép user1user2 được phép SSH vào server. Sau khi sửa xong bạn cần khởi chạy lại SSH bằng cách gõ lệnh
service sshd restart

5. Cấm user root login SSH

Mở file cấu hình SSH tại /etc/ssh/sshd_config và tìm tới dòng
#PermitRootLogin
sau đó sửa lại thành
PermitRootLogin no
Sau khi sửa xong bạn cần khởi chạy lại SSH bằng cách gõ lệnh
service sshd restart

6. Chỉ dùng SSH Protocol 2

SSH hỗ trợ chúng ta kết nối qua cả Protocol 1 và 2. Tuy nhiên Protocol 1 cũ và kém an toàn hơn, do vậy chúng ta nên tắt Protocol 1 đi
Mở file cấu hình SSH tại /etc/ssh/sshd_config và tìm tới dòng
#Protocol 2, 1
Sau đó sửa lại thành
Protocol 2
Sau khi sửa xong bạn cần khởi chạy lại SSH bằng cách gõ lệnh
service sshd restart

7. Đổi SSH Port

Lưu ý, khi đổi Port SSH bạn cần đảm bảo port đó đã được mở để tránh việc đổi xong không connect được vào server
Mở file cấu hình SSH tại /etc/ssh/sshd_config và tìm tới dòng
Port 22
Sau đó sửa lại thành
Port 6969 (Trong đó 6969 là port bạn muốn đổi sang. Nằm trong khoảng từ 1-65535)
Sau khi sửa xong bạn cần khởi chạy lại SSH bằng cách gõ lệnh
service sshd restart

8. Chỉ cho phép một IP nào đó login vào SSH

Cách này chỉ hướng dẫn mang tính tham khảo và sử dụng iptables do IP ở Việt Nam là IP Động nên nếu IP bị đổi thì bạn sẽ không login được vào SSH
iptables -A INPUT -p tcp -s IP của bạn --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name ssh –rsource
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent ! --rcheck --seconds 90 --hitcount 3 --name ssh --rsource -j ACCEPT

9. Sử dụng xác thực hai bước bằng Google Authenciator

Bạn có thể đọc bài hướng dẫn cấu hình của CloudZone tại đây

10. Login thông qua Public/Private Keys

Bạn có thể tham khảo các bài viết về hướng dẫn login thông qua Public/Private Keys tại đây. Khi đó chúng ta hoàn toàn không cần tới Password nữa và sẽ không bị lo bị dò quét
Tuy nhiên chúng ta cần lưu Private Keys cẩn thận vì files này như là một chìa khoá và nếu để mất file này thì chúng ta không thể Connect tới Server
Hướng dẫn tạo SSH key và sử dụng key để login vào VPS Linux (CentOS 7)
 

Nguyễn Anh Kiệt