Hướng dẫn cấu hình SSH trên Centos – Phần 2

huong-dan-cau-hinh-ssh-tren-centos-logoVNITNEWS gửi bạn đọc bài viết tiếp theo của chuyên mục “Hướng dẫn cấu hình SSH trên Centos Phần 2”. Bài viết sẽ giới thiệu thêm các thủ thuật để nâng cao tính bảo mật trong phiên kết nối SSH.

 

 

 

Hướng dẫn cấu hình SSH trên Centos – Phần 1

7 ) Bật cảnh báo trong Banner

#vi /etc/bannersshhuong-dan-cau-hinh-ssh-tren-centos-phan-2-01

Thêm nội dung cảnh báo :

VD:

Canh bao : Ket noi nay bi han che va dang duoc giam sat!

Tiếp tục truy cập :

#vi /etc/ssh/sshd_config

Banner /etc/bannersshhuong-dan-cau-hinh-ssh-tren-centos-phan-2-02

#service sshd restart

Tiến hành kết nối lại phiên , ta được :huong-dan-cau-hinh-ssh-tren-centos-phan-2-03

8 ) Sử dụng mật khẩu mạnh :

Việc đặt mật khẩu mạnh giúp hạn chế việc bị dò password.

Để tạo thư viện “Random Password” bằng cách :

#vi ./bash_generatehuong-dan-cau-hinh-ssh-tren-centos-phan-2-33

Thêm dòng sau :

genpasswd() {

local l=$1

[ “$l” == “” ] && l=20

tr -dc A-Za-z0-9_ < /dev/urandom | head -c ${l} | xargs

}

Chạy tiếp lệnh thực thi :

#source ./bash_generate

#genpasswdhuong-dan-cau-hinh-ssh-tren-centos-phan-2-04

9 ) Cấu hình SSH Key

Sử dụng 2 cặp khóa là Public Key và Private key. Đây là một phương pháp khá an toàn giúp đảm bảo kết nối SSHhuong-dan-cau-hinh-ssh-tren-centos-phan-2-44

10 ) Disable .rhosts

Tắt kết nối không an toàn qua kết nối RSH trong file sshd_config

IgnoreRhosts yeshuong-dan-cau-hinh-ssh-tren-centos-phan-2-05

11 ) Disabled Host-Based Authentication

Vô hiệu hóa xác thực dựa trên máy chủ

HostbasedAuthentication nohuong-dan-cau-hinh-ssh-tren-centos-phan-2-06

12) Chroot SSHD :

Theo mặc định, user được phép truy cập các thư mục như /etc , /bin…Bạn có thể bảo vệ ssh bằng cách chroot hoặc sử dụng công cụ rssh để hạn chế.

13) Sử dụng TCP Wrappers

TCP Wrappers là một hệ thống host-based Networking ACL, cũng được sử dụng để cấp phép truy cập. Để cấu hình cho phép một số IP truy cập SSH, ta truy cập file /etc/hosts.allow

sshd: 192.168.1.1 172.16.23.12

14 ) Disable Empty Passwords

Vô hiệu hóa truy cập SSH với Pass trống

PermitEmptyPasswords nohuong-dan-cau-hinh-ssh-tren-centos-phan-2-07

15 ) Sử dụng Port Knocking

Là phương pháp giới hạn port truy cập từ phía user

VD: Cấu hình Port Knocking truy cập đến port 50, port này sẽ chỉ được mở khi các request đến từ port 1000,2500,3000 hoặc theo thứ tự nào đó.Khi trình tự được sắp xếp chính xác, port 50 sẽ được mở.

16) Other Options

Thiết lập thêm một số cấu hình sau :

# Turn on privilege separation
UsePrivilegeSeparation yes
# Prevent the use of insecure home directory and key file permissions
StrictModes yes
# Turn on reverse name checking
VerifyReverseMapping yes
# Do you need port forwarding?
AllowTcpForwarding no
X11Forwarding no
# Specifies whether password authentication is allowed. The default is yes.
PasswordAuthentication no

17 ) Tạo mã xác thực bằng Google Authenticator

Khi sử dụng phương pháp này. Kết nối sẽ yêu cầu mã xác minh được lấy từ điện thoại của bạn. Hacker biết user và mật khẩu, nhưng nếu không có mã xác minh thì cũng sẽ không truy cập được

18 ) Sử dụng Wetty

Phương pháp cho phép truy cập Terminal thông qua trình duyệt web. Trình duyệt này yêu cầu phải có SSL để đảm bảo quá trình kết nối không bị nghe lén

19 ) Cấu hình Log cho SSH

SyslogFacility AUTH

LogLevel INFO

Để kiểm tra truy cập của root :

#last | grep root | more

Kiểm tra tất cả user truy cập :

#cat /var/log/secure

User cuối cùng truy cập

#lastlog

20 ) Tắt dịch vụ SSH

Bạn có thể tắt dịch vụ SSH thông qua câu lệnh

#service sshd stop

Việc tắt dịch vụ SSH nên thực hiện khi bạn có tải khoản quản lí VPS hoặc có thể thao tác trực tiếp trên thiết bị, tránh việc khi truy cập từ xa, sau khi tắt sẽ không kết nối được nữa

Ads

https://vnitnews.com

Leave a Reply

Email của bạn sẽ không được hiển thị công khai.