Giới thiệu.

Chào các bạn! Trong bài trước mình đã giới thiệu về SSH server và các sử dụng đơn giản. Hôm nay mình sẽ hướng dẫn các bạn cấu hình bảo mật SSH server.

Chúng ta sẽ gây khó khăn cho các hacker bằng cách:

  • Không cho root đăng nhập thông qua SSH.
  • Thay đổi port mặc định của SSH để tránh dò quét.
  • Sử dụng phương pháp xác thực bằng khóa công khai thay cho user / password.

Và để làm được những điều trên chúng ta cần biết:

  • File cấu hình chính của SSH server nằm ở /etc/ssh/sshd_config.
  • Thư mục lưu các khóa xác thực nằm ở ~/.ssh/.

Thực hiện bảo mật SSH server.

Bước 1: Sử dụng trình soạn thảo bất kỳ vi/vim, nano chỉnh sửa file cấu hình /etc/ssh/sshd_config.

sudo nano /etc/ssh/sshd_config
  • Tại dòng thứ 5 ta thay đổi giá trị Port mặc định là 22, có thể thay là 2222 tùy bạn.
  • Tại dòng thứ 9 ta đảm bảo là đang sử dụng Protocol 2. Vì phiên bản cũ hơn bị lỗi bảo mật.
  • Tại dòng thứ 28 ta set PermitRootLogin no để không cho root kết nối từ SSH.
  • Tại dòng thứ 52 ta bỏ dấu # đầu dòng sau đó cho giá trị PasswordAuthentication no. Để tắt chức năng xác thực bằng mật khẩu.

Bước 2: Ta tiến hành tạo mã khóa bằng cách gõ lệnh:

ssh-keygen -t rsa
  • Ở dòng Enter file in which to save the key bạn để mặc định nhấn enter.
  • Ở dòng Enter passphrase bạn có thể điền ngẫu nhiên gì cũng được hoặc để trống enter luôn.

Bước 3: Ta đổi tên public key từ id_rsa.pub thành authorized_keys và tiến hành chmod 600 cho nó.

Bước 4: Ta copy private key của SSH server về máy Ubuntu Desktop bằng cách mở terminal trên Ubuntu Desktop và gõ lệnh sau:

Bước 5: Restart SSH server bằng lệnh:

sudo systemctl restart ssh

Bước 6: Test thành quả nãy giờ thôi…

Ta thử kết nối SSH theo cách thông thường bằng cách gõ lệnh:

hoang@echip-desktop:~$ ssh 192.168.1.9
ssh: connect to host 192.168.1.9 port 22: Connection refused

Sẽ nhận được lỗi connection refused.

Thử kết nối bằng cách thêm option -p 2222:

hoang@echip-desktop:~$ ssh -p 2222 192.168.1.9

Ta sẽ được login vào thẳng user hoang mà không cần điền mật khẩu nữa.

Ưu điểm.

Những thiết lập trên phần nào khiến cho hacker gặp khó khăn hơn khi cố tình hack server của bạn.

  • Việc thay đổi port mặc định sẽ gây khó khăn cho việc dò quét được cổng kết nối SSH.
  • Thay đổi cơ chế xác thực người dùng từ user / password thành khóa công khai và ngăn user root đăng nhập qua SSH loại trừ khả năng bị đoán mật khẩuBrute Force Attack.

Nhược điểm.

Tuy nhiên nó cũng gây khó khăn cho chính bạn luôn vì từ giờ chỉ ai có cái key id_rsa mới SSH vào server được.

Trong trường hợp:

  • Bạn làm mất cái key id_rsa nằm trong máy Desktop của bạn (lỡ tay xóa, cài lại hệ điều hành…) thì phải chạy lên máy chủ copy lại.
  • Bạn muốn nhờ một người khác cài đặt, thiết lập dùm hệ thống thì phải copy cái key này đưa cho người đó.

Hỏi đáp.

Khóa id_rsa có khả năng bị đánh cắp không?

Trả lời: Có nhưng mà khó và hiếm. Ví dụ như họ ôm được Laptop hoặc Desktop của bạn về thì họ thành công.

Hacker có thể tạo ra khóa id_rsa giống của mình để đăng nhập trái phép không?

Trả lời: Không thể tạo ra 1 file id_rsa có nội dung giống y chang của bạn được.

Khóa id_rsa có nội dung gì?

Trả lời: Bạn có thể xem nội dung file id_rsa bằng lệnh cat.

0 Bình luận

Gửi phản hồi

hoặc

Đăng nhập bằng tài khoản của bạn

hoặc    

Quên thông tin của bạn?

hoặc

Create Account