1. Đổi port SSH
Mặc định SSH Server sẽ sử dụng cổng 22 để tiếp nhận kết nối, và đây cũng là cổng mà các scanner luôn nhắm vào để tấn công brute force. Do vậy, đừng nên sử dụng cổng 22 mặc định mà hãy đổi sang một cổng khác, chẳng hạn như 1109. Cũng lưu ý rằng, số cổng phải nhỏ hơn hoặc bằng 4 chữ số và không nên xung đột với các cổng khác đã được sử dụng bởi phần mềm khác.
Để đổi cổng SSH, bạn tìm:
01
| #Port 22 |
Bỏ comment đi và thay số 22 thành số cổng mà bạn muốn sử dụng
01
| Port 1109 |
2. Không đăng nhập bằng user root
User root luôn rất nhạy cảm nên nếu có thể, bạn hãy sử dụng một user khác để đăng nhập và sau đó sử dụng lệnh su để đổi sang user root.
Lưu ý: Hãy đặt mật khẩu cho user root trước. Yên tâm là dù bạn có sử dụng SSH Key và không cho phép login bằng mật khẩu nhưng khi chuyển user thì vẫn dùng bình thường.
Đầu tiên là tạo một user bất kỳ.
01
| useradd thachpham |
Và thiết lập mật khẩu cho user này:
01
| passwd thachpham |
Nếu bạn muốn sử dụng SSH Key cho user này, hãy đăng nhập vào máy chủ với user vừa tạo và tạo SSH Key như bài này.
Kế tiếp là cấu hình không cho phép đăng nhập với user root, bằng cách mở file /etc/ssh/sshd_config rồi tìm:
01
| #PermitRootLogin yes |
Sửa thành
01
| PermitRootLogin no |
Cuối cùng là chèn thêm đoạn sau vào cuối file để chỉ cho phép user thachpham được phép đăng nhập vào SSH:
01
| AllowUsers thachpham |
Và kể từ bây giờ trở đi bạn cứ đăng nhập vô SSH bằng user thachpham nhưng gõ lệnh su rồi nhập mật khẩu của root để chuyển sang user root. Nhược điểm là cách này không áp dụng cho sFTP.
3. Chỉ cho phép đăng nhập SSH từ một IP cố định
Nếu bạn sử dụng IP động thì đừng nên thử cách này, còn nếu bạn có 1 IP tĩnh thì nó rất tốt để chống lại các đăng nhập bất hợp pháp. Chỉ cần chèn đoạn sau vào:
01
| ListenAddress 123.45.678 |
Lời kết
Ngoài việc cấu hình như vậy còn có một số cách khác nữa là dùng một công cụ để hỗ trợ bảo mật nhưng mình sẽ tiếp tục nói về các công cụ ở đó với các bài sau nhé.
Không có nhận xét nào:
Đăng nhận xét