Ngay sau khi bạn tạo VPS, bạn cần phải thực hiện số biện pháp bảo mật cho giao thức SSH.
Bài viết này mình sẽ hướng dẫn bạn một số cách SSH an toàn.
Lưu ý: Khi thực hiện thay đổi bên dưới, bạn nhớ giữ session đang làm việc. Mở session mới và test lại xem OK chưa. Nếu có lỗi bạn vẫn giữ được session cũ để thiết lập lại như cũ.
1. Đổi Port SSH
Mặc định bạn kết nối SSH tới server sử dụng cổng 22. Đây là cổng mà ai cũng biết nên bạn cần phải đổi cổng ngay.
Kết nối SSH với server với tài khoản root sử dụng MobaXTerm.
Sau đó bạn mở file /etc/ssh/sshd_config với Moba Editor. Tìm dòng sau #Port 22. Bỏ comment và sử dụng cổng bạn muốn. Số cổng phải nhỏ hơn hoặc bằng 4 chữ số. Cổng bạn định chuyển không nên xung đột với các cổng khác.
Ví dụ bạn thay đổi như sau:
Port 1304

Đổi xong chạy lệnh sau để tải lại file cấu hình:
service sshd restart
2. Kết nối SSH với SSH Key
Tiếp theo bạn không nên kết nối SSH qua xác thực mật khẩu. Thay vào đó hãy sử dụng kết nối SSH bằng SSH Key như hướng dẫn này.
3. Không đăng nhập với tài khoản root
Sử dụng tài khoản root không mang tính bảo mật cao.
Thay vào đó bạn nên tạo một user khác. Khi cần chuyển sang tài khoản root bạn sử dụng lệnh su - , hoặc thêm sudo trước câu lệnh cần thẩm quyền root.
Đầu tiên bạn tạo tạo một user mới với câu lệnh sau: (thay example_user bằng tên user của bạn)
CentOS
useradd example_user && passwd example_user
Sau đó bổ sung user mới vào group wheel. Đây là group có quyền chạy lệnh sudo:
usermod -aG wheel example_user
Bạn cần kiểm tra lại file /etc/sudoers bỏ comment ở dòng này
#%wheel ALL=(ALL) ALL

Ubuntu:
adduser example_user
Bạn sẽ được hỏi mật khẩu cho user bạn thêm với câu lệnh trên.
Sau đó bổ sung user vào group sudo với lệnh sau:
adduser example_user sudo
Tiếp theo bạn không cho phép kết nối với tài khoản root.
Mở file /etc/ssh/sshd_config thay đổi #PermitRootLogin yes thành PermitRootLogin no.
Rồi bổ sung thêm dòng sau vào cuối file.
AllowUsers example_user
Bạn chỉ cho phép user bạn vừa tạo kết nối SSH.
Tải lại file cấu hình ssh với lệnh sau:
service sshd restart
Đừng đóng kết nối hiện tại. Bây giờ mở bạn mở tab kết nối với MobaXTerm sử dụng thông tin kết nối là user bạn vừa tạo.
Sau khi kết nối thành công, bạn thử lệnh sudo xem có thành công hay không. Có một cách kiểm tra: bạn sử dụng chính câu lệnh restart sshd. Câu lệnh này phải chạy với quyền root. Nếu bạn chạy user không root. Bạn cần phải nâng cấp quyền với sudo như sau:
sudo service sshd restart
Đó là những cách giúp bạn kết nối SSH an toàn hơn.
Yêu thích viết blog.