Cấu Hình SSH chuẩn bảo mật cho VPS Linux Server

SSH là giao thức gần như bắt buộc khi quản trị VPS hoặc Linux Server. Chỉ cần có IP server và tài khoản đăng nhập, bạn có thể điều khiển máy chủ từ xa thông qua Terminal hoặc PuTTY. Tuy nhiên, rất nhiều người mới dùng VPS vẫn cấu hình SSH sai cách. Hậu quả thường gặp là bị brute force liên tục, lộ tài khoản root hoặc thậm chí tự khóa chính mình khỏi server.

Nếu bạn đang tìm cách cấu hình SSH đúng chuẩn, bài viết này sẽ hướng dẫn toàn bộ quy trình từ cài đặt, đổi port, bật SSH Key đến tối ưu bảo mật và xử lý lỗi phổ biến. Nội dung phù hợp cho cả người mới dùng VPS lẫn quản trị viên cần hardening hệ thống Linux Server.

Tổng quan về SSH và tầm quan trọng của việc cấu hình chuẩn 

Trong quản trị máy chủ (Server), bảo mật luôn là ưu tiên sống còn. Để kết nối và điều khiển Server từ xa một cách an toàn, quản trị viên bắt buộc phải sử dụng giao thức SSH. Tuy nhiên, chỉ cài đặt thôi là chưa đủ; việc cấu hình SSH chuẩn mới là “chìa khóa” thực sự giúp bạn thu hẹp bề mặt tấn công và chặn đứng các rủi ro an ninh mạng.

Giao thức SSH (Secure Shell) là gì?

SSH (Secure Shell) là một giao thức mạng mật mã chuyên dụng, được thiết kế để tạo ra một “đường hầm” kết nối an toàn tuyệt đối giữa máy tính cá nhân (Client) và máy chủ (Server) thông qua môi trường Internet đầy rủi ro.

Điểm làm nên sức mạnh phòng thủ của SSH nằm ở cơ chế mã hóa dữ liệu đa lớp:

• Xác thực an toàn (Handshake): Giao thức sử dụng mã hóa bất đối xứng (Public/Private Key) để xác minh chính xác danh tính của Client và Server, loại bỏ hoàn toàn nguy cơ kết nối nhầm vào máy chủ giả mạo.
• Mã hóa toàn bộ dữ liệu: Ngay khi kết nối thành công, mọi luồng thông tin (từ các dòng lệnh bạn gõ đến file dữ liệu tải lên) đều được mã hóa đối xứng. Dù hacker có đánh chặn được gói tin (tấn công Man-in-the-Middle), chúng cũng chỉ thu về những chuỗi ký tự hỗn độn, không thể giải mã.
• Bảo toàn tính toàn vẹn: Thuật toán Hashing đảm bảo dữ liệu truyền đi không bị hao hụt, chỉnh sửa hay làm sai lệch bởi bất kỳ bên thứ ba nào.

Tại sao cần tối ưu file cấu hình sshd_config trên Server?

Mọi hệ thống Linux khi chạy dịch vụ SSH đều sử dụng một file cấu hình mặc định mang tên sshd_config. Sai lầm chí mạng của nhiều quản trị viên là giữ nguyên các thiết lập gốc này, vô tình biến Server thành “miếng mồi ngon” cho tin tặc.

Dưới đây là những lý do cốt lõi buộc bạn phải tối ưu file sshd_config ngay hôm nay:

• Chặn đứng thảm họa tấn công Brute Force: Mặc định, SSH mở cửa ở Port 22. Các mạng lưới Botnet toàn cầu liên tục rà quét Port này và dùng tool tự động dò mật khẩu (Brute Force) hàng triệu lần mỗi phút. Việc tối ưu cấu hình (đổi Port mặc định, giới hạn số lần đăng nhập sai) sẽ lập tức bẻ gãy phương thức tấn công nguy hiểm nhất này.
• Vô hiệu hóa quyền tối cao (Root Login): Tài khoản root nắm quyền sinh sát toàn bộ hệ thống. Mặc định, SSH thường cho phép đăng nhập trực tiếp bằng tài khoản này. Việc chỉnh sửa sshd_config để chặn Root Login giúp ngăn ngừa nguy cơ hacker thâu tóm Server chỉ qua một lần đoán trúng mật khẩu, buộc người dùng phải qua một bước xác thực trung gian.

Ép buộc xác thực bằng SSH Key: Cấu hình chuẩn sẽ loại bỏ hoàn toàn phương thức đăng nhập bằng mật khẩu truyền thống (vốn dễ bị đánh cắp hoặc đoán mò) để chuyển sang dùng SSH Key. Chuỗi mã hóa dài hàng nghìn bit này đưa hàng rào bảo mật lên mức tối đa, khiến mọi nỗ lực dò pass của hacker trở nên hoàn toàn vô vọng

2. Các bước cấu hình SSH

2.1 Các bước mở phiên SSH trên R1

Bước 1: Tạo Username và Password cho User đăng nhập vào Router

R1(config)#username abc password ha

(Username: abc và Password là ha)

Bước 2: Cấu hình IP Domain-name

R1(config)#ip domain-name abc.com

Bước 3: Mã hóa dữ liệu bằng RSA bạn cần tạo cặp khóa Public/Private

R1(config)#crypto key generate rsa

(Mặc định 512 bit và tối đa là 2048 bit)

Bước 4: Bật tính năng SSH, dùng SSH version2

R1(config)#ip ssh version 2

Bước 5: Cấu hình tùy chọn (số lần nhập Username và Password sai)

R1(config)#ip ssh authentication-retries 3

Bước 6: Cấu hình tùy chọn (thời gian chờ nhập Username và Password)

R1(config)#ip ssh time-out 100

Bước 7: Nhập các lệnh sau (từ RO SSH đến R1)

R1(config)#line vty 0 4

R1(config-line)#transport input ssh {áp SSH vào VTY}

R1(config-line)# login local

Router#ssh –v [version] –l [username] –c [encryption] –m [hashing] [ip]

Bước 8: Nhập Password được yêu cầu

2.2 Các bước cấu hình SSH trên R1

R1#configure terminal

R1(config)# username abc password abc

R1(config)#ip domain name abc.com

R1(config)#crypto key generate rsa general-keys modulus 1024

R1(config)# ip ssh version 2

R1(config)# ip ssh authentication-retries 3

R1(config)# ip ssh time-out 100

R1(config)# line vty 0 4

R1(config-line)# transport input ssh

R1(config-line)# login local

R1(config-line)# exit

2.3 Các bước cấu hình SSH trên R2

R2#configure terminal

R2(config)# username abc123 password abc123

R2(config)#ip domain name bcd.com

R2(config)#crypto key generate rsa general-keys modulus 1024

R2(config)# ip ssh version 2

R2(config)# ip ssh authentication-retries 3

R2(config)# ip ssh time-out 100

R2(config)# line vty 0 4

R2(config-line)# transport input ssh

R2(config-line)# login local

R2(config-line)# exit

• Từ PC sử dụng Putty để kết nối đến R1 => Nhập IP của R1 => Click vào Open
• Chấp nhận Key được tạo bởi thuận toán RSA để kết nối SSH
• Nhập Username và Password
• Kết nối từ R1 đến R2

R1#ssh -l ngocdai123 –v 2 12.0.0.2

Trên đây, BKNS đã chia sẻ với bạn cách cấu hình SSH. Nếu chưa thực hiện thành công, hãy để lại bình luận bên dưới bài viết để chúng tôi kịp thời giải đáp. BKNS không ngại chia sẻ với bạn về dịch vụ công nghệ thông tin, hãy cho chúng tôi biết những thắc mắc của bạn bằng cách để lại bình luận bên dưới. Ghé thăm website https://www.bkns.vn/ thường xuyên để không bỏ lỡ những bài chia sẻ hữu ích khác nhé!