Nội dung
Hướng dẫn đổi Port SSH Linux để hạn chế brute force attack.
Thuật ngữ được sử dụng trong bài viết.
- Port: Cổng
- Passwd: Mật khẩu
I. Tổng quan
Xin chào tất cả các bạn, chào mừng các bạn đã quay trở lại với trang hướng dẫn AZDIGI. Ở bài viết hôm nay mình xin chia sẻ đến bạn một bài viết ngắn về cách thức đổi PORT SSH. Tuy bài này không quá xa lạ đối với các bạn đã quen thuộc về Linux nhưng đối với những người mới tiếp cận thì việc đầu tiên quản trị vào hệ thống Linux bạn hãy đổi port SSH ngay để an toàn, và hạn chế brute force attack.
Ở hệ thống Linux mặc định port ssh truy cập vào server là 22. Nhưng với port này thì rất dễ bị tấn công khai thác. Do đó việc đổi port và đặt passwd phức tạp là điều tất yếu để bạn quản lý máy chủ an toàn.
II. Đổi Port SSH Linux
Để đổi Port SSH Linux bạn thực hiện các bước như sau.
Bước 1: Truy cập vào máy chủ thông qua giao thức SSH
Việc đầu tiên bạn hãy SSH lại vào máy chủ của bạn với port mặc định ban đầu là 22
đã nhé. Sau khi đã ssh vào được bạn hãy thực hiện tiếp các bước sau.
Bước 2: Kiểm tra Port SSH
Để kiểm tra port ssh hiện tại bạn có thể sử dụng netstat để kiểm tra các port đang lắng nghe.
netstat -nltp | grep sshd
Như ảnh ở dưới thì máy chủ mình port ssh là 22
và mình sẽ thay đổi bằng một port khác.
Bước 3: Thay đổi PORT SSH
File cấu hình ssh có tên là sshd_config
và nằm tại đường dẫn /etc/ssh/sshd_config
. Bạn hãy mở file này lên bằng lệnh vi
vim
hoặc nano
tuỳ thuộc vào nhu cầu sử dụng. Mình sẽ sử dụng lệnh vi
để chỉnh sửa file.
vi /etc/ssh/sshd_config
Khi đã mở được file lên bạn tìm đến dòng #Port 22
sau đó bỏ dấu #
và sửa số 22
thành port mà bạn mong muốn. Ở đây mình chọn port ssh là 2020 và mình sẽ nhập vào là 2020
Lưu ý: Bạn không thể đổi sang port mà dịch vụ khác đang sử dụng. Ví dụ như “80, 21,23,53..”
Khi đã thay đổi xong bạn hãy khoan đóng cửa sổ này mà hãy mở port ssh trên hệ thống firewall.
Bước 4: Mở port firewall
Vì mỗi máy chủ bạn sẽ sử dụng một ứng dụng firewall khác nhau. Do đó bạn hãy tuỳ chọn các ứng dụng tương ứng bên dưới để mở port nhé.
- Đối với máy chủ sử dụng Firewalld
Nếu bạn sử dụng firewalld hãy mở port và reload với lệnh sau.
sudo firewall-cmd --permanent --zone=public --add-port=2020 sudo firewall-cmd --reload/tcp
- Đối với máy chủ sử dụng ufw (UIbuntu/Debian)
Nếu bạn sử dụng ufw hãy nhập vào lệnh sau để đổi port
sudo ufw allow 2020/tcp
- Đối với máy chủ sử dụng iptables
Với iptables bạn hãy nhập tuần tự các lệnh sau để mở port, khởi động và kiểm tra port vừa mở.
iptables -I INPUT -p tcp -m tcp --dport 22 -j ACCEPT service iptables restart iptables -L -n
- Đối với máy chủ cài đặt CSF
CSF (ConfigServer & Firewall) là hệ thống tường lửa phổ biến nhất. Và để mở port thì bạn thực hiện tuần tự như sau. Mở file cấu hình csf.conf
bằng lệnh sau.
vi /etc/csf/csf.conf
Khi đã mở file cấu hình lên bạn hãy tìm đến dòng TCP_IN
và thêm port vào nhé. Các port sẽ cách nhau bằng dấu phẩy
,
# Allow incoming TCP ports TCP_IN = “20,21,22,25,26,53,80,110,143,443,465,587,993,995,2020” # Allow outgoing TCP ports TCP_OUT = “20,21,22,25,26,37,43,53,80,110,113,443,465,873,2020”
Sau khi đã chỉnh sửa file csf.conf
bạn thực hiện khởi động lại csf để áp dụng thay đổi nhé. Bạn sử dụng lệnh csf -r
để khởi động lại.
Bước 4: Khởi động lại dịch vụ SSH
Bạn hãy chắc chắn đã mở port vừa thay đổi vào hệ thống tường lửa, để đảm bảo khi khởi động lại sshd thì hoạt động. Nếu không thì bạn sẽ không ssh vào được nữa nếu đã đóng session cũ. Với trường hợp này thì chỉ khi VNC vào máy chủ bạn mới thực hiện lại được.
systemctl restart sshd
Sau khi khỏi động lại dịch vụ sshd
bạn hãy netstat lên và kiểm tra lại nhé.
IV. Tổng kết
Như vậy mình vừa hướng dẫn thực hiện xong các bước thay đổi port sshd để bảo mật hệ thống máy chủ. Nhưng với cách đổi port vẫn chưa phải là an toàn tuyệt đối. Với bài viết sau mình sẽ hướng dẫn bạn bảo mật server một cách an toàn nhất.
Nếu các bạn cần hỗ trợ các bạn có thể liên hệ bộ phận hỗ trợ theo các cách bên dưới:
- Hotline 247: 028 888 24768 (Ext 0)
- Ticket/Email: Bạn dùng email đăng ký dịch vụ gửi trực tiếp về: support@azdigi.com.