Giới Hạn Số Phiên SSH Đồng Thời: Bảo Mật Server Hiệu Quả

SSH (Secure Shell) là một giao thức mạng quan trọng cho phép quản trị viên truy cập và điều khiển máy chủ từ xa một cách an toàn. Tuy nhiên, việc không kiểm soát số lượng phiên SSH đồng thời có thể tạo ra lỗ hổng bảo mật, khiến server của bạn dễ bị tấn công. Bài viết này sẽ đi sâu vào tầm quan trọng của việc Giới Hạn Số Phiên Ssh đồng Thời, cách thực hiện và các phương pháp bảo mật SSH khác để bảo vệ hệ thống của bạn một cách toàn diện.

Tại Sao Cần Giới Hạn Số Phiên SSH Đồng Thời?

Việc giới hạn số phiên SSH đồng thời là một biện pháp phòng ngừa quan trọng vì nhiều lý do:

• Ngăn chặn tấn công Brute-Force: Kẻ tấn công có thể cố gắng đoán mật khẩu SSH bằng cách thử hàng loạt các tổ hợp khác nhau. Nếu không có giới hạn, chúng có thể mở hàng trăm hoặc thậm chí hàng nghìn phiên SSH đồng thời, tăng đáng kể khả năng xâm nhập thành công.
• Giảm thiểu rủi ro từ tài khoản bị xâm nhập: Nếu một tài khoản người dùng bị xâm nhập, kẻ tấn công có thể sử dụng nó để mở nhiều phiên SSH, thực hiện các hành vi độc hại như cài đặt phần mềm độc hại hoặc đánh cắp dữ liệu. Giới hạn số phiên giúp hạn chế thiệt hại tiềm tàng.
• Chống lại tấn công từ chối dịch vụ (DoS): Kẻ tấn công có thể khai thác SSH để làm quá tải server bằng cách mở quá nhiều phiên đồng thời, khiến server không thể đáp ứng các yêu cầu hợp lệ từ người dùng khác. Điều này có thể dẫn đến gián đoạn dịch vụ và gây tổn thất cho doanh nghiệp.
• Cải thiện hiệu suất hệ thống: Mỗi phiên SSH đều tiêu tốn tài nguyên hệ thống như CPU và bộ nhớ. Việc giới hạn số phiên giúp giảm tải cho server, cải thiện hiệu suất tổng thể và đảm bảo rằng tài nguyên được sử dụng hiệu quả.
• Tuân thủ các quy định bảo mật: Nhiều tiêu chuẩn và quy định bảo mật yêu cầu các tổ chức phải thực hiện các biện pháp kiểm soát truy cập chặt chẽ, bao gồm cả việc giới hạn số phiên SSH đồng thời.

“Trong thế giới an ninh mạng đầy rẫy rủi ro, việc giới hạn số phiên SSH đồng thời không chỉ là một biện pháp bảo mật, mà còn là một nền tảng vững chắc để xây dựng hệ thống phòng thủ toàn diện. Nó giúp chúng ta kiểm soát chặt chẽ hơn quyền truy cập và giảm thiểu nguy cơ bị tấn công từ bên ngoài,” Kỹ sư bảo mật Nguyễn Văn An, chuyên gia tại Cybersafe VN, chia sẻ.

Cách Giới Hạn Số Phiên SSH Đồng Thời trên Linux

Có nhiều cách để giới hạn số phiên SSH đồng thời trên hệ thống Linux. Dưới đây là một số phương pháp phổ biến:

1. Sử dụng MaxSessions trong sshd_config

Đây là phương pháp đơn giản và hiệu quả nhất. Bạn có thể chỉnh sửa file cấu hình SSH server (/etc/ssh/sshd_config) để giới hạn số phiên SSH tối đa cho mỗi kết nối.

Bước 1: Mở file sshd_config bằng trình soạn thảo văn bản với quyền root:

sudo nano /etc/ssh/sshd_config

Bước 2: Tìm dòng sau (hoặc thêm vào nếu chưa có):

MaxSessions 10

Bước 3: Thay đổi giá trị 10 thành số phiên SSH tối đa bạn muốn cho phép. Ví dụ, để giới hạn thành 5 phiên, bạn sẽ có:

MaxSessions 5

Bước 4: Lưu file và khởi động lại SSH server để các thay đổi có hiệu lực:

sudo systemctl restart sshd

Tham số MaxSessions quy định số lượng kênh (session) tối đa được phép trên một kết nối TCP. Điều này khác với số lượng kết nối đồng thời từ một địa chỉ IP cụ thể.

2. Sử dụng MaxStartups trong sshd_config

Tham số MaxStartups kiểm soát số lượng kết nối SSH chưa được xác thực đồng thời mà server sẽ chấp nhận. Nó giúp ngăn chặn các cuộc tấn công từ chối dịch vụ (DoS) bằng cách hạn chế số lượng kết nối đang chờ xác thực.

Bước 1: Mở file sshd_config bằng trình soạn thảo văn bản với quyền root:

sudo nano /etc/ssh/sshd_config

Bước 2: Tìm dòng sau (hoặc thêm vào nếu chưa có):

MaxStartups 10:30:60

Bước 3: Điều chỉnh giá trị MaxStartups. Cú pháp của tham số này là start:rate:full.

• start: Số lượng kết nối chưa xác thực tối đa mà server sẽ chấp nhận trước khi bắt đầu sử dụng rate.
• rate: Tỷ lệ (phần trăm) các kết nối mới sẽ bị từ chối khi số lượng kết nối chưa xác thực vượt quá start.
• full: Số lượng kết nối chưa xác thực tối đa tuyệt đối mà server sẽ chấp nhận. Khi đạt đến con số này, tất cả các kết nối mới sẽ bị từ chối.

Ví dụ, MaxStartups 10:30:60 có nghĩa là:

• Server sẽ chấp nhận tối đa 10 kết nối chưa xác thực.
• Khi số lượng kết nối chưa xác thực vượt quá 10, server sẽ từ chối 30% các kết nối mới.
• Server sẽ không chấp nhận quá 60 kết nối chưa xác thực.

Bước 4: Lưu file và khởi động lại SSH server để các thay đổi có hiệu lực:

sudo systemctl restart sshd

3. Sử dụng Limit trong pam.d/sshd

PAM (Pluggable Authentication Modules) là một hệ thống linh hoạt cho phép bạn tùy chỉnh cách xác thực người dùng trên hệ thống Linux. Bạn có thể sử dụng PAM để giới hạn số phiên SSH đồng thời cho mỗi người dùng.

Bước 1: Mở file cấu hình PAM cho SSH (/etc/pam.d/sshd) bằng trình soạn thảo văn bản với quyền root:

sudo nano /etc/pam.d/sshd

Bước 2: Thêm dòng sau vào file (thường là ở đầu file):

session    required     pam_limits.so

Bước 3: Mở file /etc/security/limits.conf bằng trình soạn thảo văn bản với quyền root:

sudo nano /etc/security/limits.conf

Bước 4: Thêm các dòng sau vào cuối file để giới hạn số phiên SSH cho một người dùng cụ thể hoặc cho tất cả người dùng:

• Giới hạn cho một người dùng cụ thể (ví dụ, john):

john        soft    maxlogins     5
john        hard    maxlogins     5

• Giới hạn cho tất cả người dùng:

*           soft    maxlogins     5
*           hard    maxlogins     5

Trong đó:

• soft: Giới hạn mềm, người dùng có thể vượt quá giới hạn này.
• hard: Giới hạn cứng, người dùng không thể vượt quá giới hạn này.
• maxlogins: Số phiên đăng nhập tối đa được phép.

Bước 5: Lưu các file và khởi động lại SSH server:

sudo systemctl restart sshd

Lưu ý: Phương pháp này có thể không hoạt động trên tất cả các hệ thống Linux tùy thuộc vào cấu hình PAM.

“Sử dụng PAM để giới hạn số phiên SSH đồng thời mang lại sự linh hoạt cao, cho phép chúng ta áp dụng các chính sách khác nhau cho từng người dùng hoặc nhóm người dùng. Điều này đặc biệt hữu ích trong các môi trường doanh nghiệp lớn, nơi có nhiều vai trò và quyền hạn khác nhau,” Ông Trần Đức Mạnh, chuyên gia tư vấn bảo mật tại FPT Security, nhận xét.

4. Sử dụng Firewall (ví dụ, iptables hoặc firewalld)

Bạn có thể sử dụng firewall để giới hạn số lượng kết nối SSH đồng thời từ một địa chỉ IP cụ thể. Điều này có thể giúp ngăn chặn các cuộc tấn công brute-force từ một nguồn duy nhất.

Ví dụ với iptables:

iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 5 -j REJECT --reject-with tcp-reset

Lệnh này sẽ từ chối bất kỳ kết nối SSH nào (port 22) từ một địa chỉ IP nếu địa chỉ đó đã có hơn 5 kết nối đồng thời.

Ví dụ với firewalld:

firewall-cmd --add-rich-rule='rule family="ipv4" port port="22" protocol="tcp" source address="0.0.0.0/0" limit value="5/m" reject' --permanent
firewall-cmd --reload

Lệnh này sẽ giới hạn số lượng kết nối SSH từ bất kỳ địa chỉ IP nào xuống 5 kết nối mỗi phút.

Lưu ý: Cấu hình firewall có thể phức tạp và yêu cầu kiến thức chuyên môn. Hãy cẩn thận khi thực hiện các thay đổi và đảm bảo rằng bạn hiểu rõ tác động của chúng.

Các Biện Pháp Bảo Mật SSH Bổ Sung

Ngoài việc giới hạn số phiên SSH đồng thời, bạn nên thực hiện các biện pháp bảo mật SSH bổ sung sau để bảo vệ hệ thống của mình một cách toàn diện:

• Sử dụng xác thực khóa công khai: Thay vì sử dụng mật khẩu, hãy sử dụng xác thực khóa công khai. Phương pháp này an toàn hơn nhiều vì nó dựa trên cặp khóa mật mã thay vì mật khẩu dễ đoán. Tìm hiểu thêm về sử dụng ssh tunnel là gì.
• Vô hiệu hóa đăng nhập root qua SSH: Không cho phép người dùng root đăng nhập trực tiếp qua SSH. Thay vào đó, yêu cầu người dùng đăng nhập bằng tài khoản thông thường và sau đó sử dụng sudo để thực hiện các tác vụ quản trị. Tham khảo cấu hình ssh root login no.
• Thay đổi cổng SSH mặc định: Thay đổi cổng SSH mặc định (22) thành một cổng khác ít được biết đến hơn. Điều này có thể giúp giảm số lượng các cuộc tấn công tự động nhắm mục tiêu vào cổng 22.
• Sử dụng Fail2ban: Fail2ban là một công cụ giúp bảo vệ server khỏi các cuộc tấn công brute-force bằng cách tự động chặn các địa chỉ IP có quá nhiều lần đăng nhập thất bại. Tìm hiểu cách cài đặt fail2ban trên ubuntu.
• Sử dụng tường lửa (Firewall): Cấu hình tường lửa để chỉ cho phép kết nối SSH từ các địa chỉ IP hoặc mạng đáng tin cậy.
• Cập nhật SSH server thường xuyên: Đảm bảo rằng bạn luôn sử dụng phiên bản SSH server mới nhất để vá các lỗ hổng bảo mật đã biết.
• Theo dõi nhật ký SSH: Thường xuyên kiểm tra nhật ký SSH để phát hiện các hoạt động đáng ngờ.
• Sử dụng mật khẩu mạnh: Nếu bạn vẫn phải sử dụng mật khẩu, hãy đảm bảo rằng chúng đủ mạnh và phức tạp, bao gồm cả chữ hoa, chữ thường, số và ký tự đặc biệt.
• Áp dụng best practices bảo mật ssh để tăng cường lớp phòng thủ.

“Bảo mật SSH không phải là một nhiệm vụ một lần mà là một quá trình liên tục. Chúng ta cần thường xuyên đánh giá và cập nhật các biện pháp bảo mật để đối phó với các mối đe dọa mới nổi,” Bà Lê Thị Hương, chuyên gia về an ninh hệ thống tại Bkav, nhấn mạnh.

Kiểm Tra Số Lượng Phiên SSH Hiện Tại

Để kiểm tra số lượng phiên SSH hiện tại trên server, bạn có thể sử dụng các lệnh sau:

• who: Lệnh này hiển thị danh sách tất cả người dùng hiện đang đăng nhập vào hệ thống.

who

• w: Lệnh này hiển thị thông tin chi tiết hơn về những người dùng đang đăng nhập, bao gồm cả thời gian đăng nhập và các tiến trình họ đang chạy.

w

• netstat hoặc ss: Các lệnh này cho phép bạn xem các kết nối mạng đang hoạt động, bao gồm cả các kết nối SSH.

netstat -nat | grep ':22 ' | grep ESTABLISHED | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

Hoặc sử dụng ss:

ss -t state established '( dport = :ssh )' | awk '{print $5}' | cut -d':' -f1 | sort | uniq -c | sort -nr

Các lệnh này sẽ hiển thị số lượng kết nối SSH đồng thời từ mỗi địa chỉ IP.

• Kiểm tra user nào đang ssh để quản lý phiên đăng nhập hiệu quả.

FAQ về Giới Hạn Số Phiên SSH Đồng Thời

1. Tại sao tôi cần giới hạn số phiên SSH đồng thời?

Việc giới hạn số phiên SSH đồng thời giúp ngăn chặn các cuộc tấn công brute-force, giảm thiểu rủi ro từ tài khoản bị xâm nhập, chống lại tấn công từ chối dịch vụ (DoS), cải thiện hiệu suất hệ thống và tuân thủ các quy định bảo mật.

2. Làm thế nào để giới hạn số phiên SSH đồng thời trên Linux?

Bạn có thể sử dụng MaxSessions hoặc MaxStartups trong /etc/ssh/sshd_config, sử dụng Limit trong /etc/pam.d/sshd, hoặc sử dụng firewall (ví dụ, iptables hoặc firewalld).

3. MaxSessions và MaxStartups khác nhau như thế nào?

MaxSessions giới hạn số lượng kênh (session) tối đa được phép trên một kết nối TCP đã được xác thực. MaxStartups giới hạn số lượng kết nối SSH chưa được xác thực đồng thời mà server sẽ chấp nhận.

4. Tôi có thể giới hạn số phiên SSH cho từng người dùng không?

Có, bạn có thể sử dụng PAM (Pluggable Authentication Modules) để giới hạn số phiên SSH đồng thời cho mỗi người dùng.

5. Giới hạn số phiên SSH có ảnh hưởng đến hiệu suất hệ thống không?

Có, việc giới hạn số phiên SSH giúp giảm tải cho server, cải thiện hiệu suất tổng thể và đảm bảo rằng tài nguyên được sử dụng hiệu quả.

6. Tôi nên đặt giới hạn số phiên SSH là bao nhiêu?

Số lượng phiên SSH tối đa nên được đặt tùy thuộc vào nhu cầu của bạn và khả năng của server. Hãy bắt đầu với một con số nhỏ (ví dụ, 5 hoặc 10) và điều chỉnh khi cần thiết.

7. Tôi có cần thực hiện các biện pháp bảo mật SSH khác ngoài việc giới hạn số phiên đồng thời không?

Có, bạn nên thực hiện các biện pháp bảo mật SSH bổ sung như sử dụng xác thực khóa công khai, vô hiệu hóa đăng nhập root qua SSH, thay đổi cổng SSH mặc định, sử dụng Fail2ban và tường lửa, cập nhật SSH server thường xuyên, theo dõi nhật ký SSH và sử dụng mật khẩu mạnh.

Kết luận

Giới hạn số phiên SSH đồng thời là một biện pháp bảo mật quan trọng để bảo vệ server của bạn khỏi các cuộc tấn công và khai thác. Bằng cách kết hợp việc giới hạn số phiên với các biện pháp bảo mật SSH khác, bạn có thể tăng cường đáng kể khả năng phòng thủ của hệ thống và đảm bảo an toàn cho dữ liệu và dịch vụ của mình. Hãy nhớ rằng, bảo mật là một quá trình liên tục, và việc thường xuyên đánh giá và cập nhật các biện pháp bảo mật là rất quan trọng để đối phó với các mối đe dọa mới nổi. Hãy áp dụng ngay hôm nay để bảo vệ hệ thống của bạn một cách toàn diện và hiệu quả nhất, và đừng quên tìm hiểu thêm về sử dụng ssh tunnel là gì để tăng cường bảo mật cho kết nối SSH của bạn.