Cách Đổi Port SSH CentOS: Bảo Mật Máy Chủ Của Bạn

SSH (Secure Shell) là giao thức không thể thiếu để quản lý máy chủ CentOS từ xa. Tuy nhiên, port mặc định của SSH là 22 lại là mục tiêu tấn công hàng đầu của tin tặc. Việc đổi port SSH CentOS là một biện pháp bảo mật đơn giản nhưng hiệu quả, giúp giảm thiểu nguy cơ bị tấn công dò mật khẩu (brute-force attack) và tăng cường an ninh cho hệ thống. Trong bài viết này, Mekong WIKI sẽ hướng dẫn bạn chi tiết cách thực hiện, kèm theo những lưu ý quan trọng để đảm bảo quá trình diễn ra suôn sẻ và an toàn.

Tại Sao Cần Đổi Port SSH Trên CentOS?

Port 22 là “cánh cửa” mặc định mà SSH sử dụng để giao tiếp. Do đó, kẻ tấn công thường nhắm vào port này để dò mật khẩu và xâm nhập trái phép. Thay đổi port mặc định là một hình thức “bảo mật thông qua sự mơ hồ” (security through obscurity). Mặc dù không phải là giải pháp duy nhất, nhưng nó giúp:

  • Giảm nguy cơ tấn công brute-force: Tin tặc thường quét các dải IP để tìm các máy chủ mở port 22. Khi bạn đổi port, máy chủ của bạn sẽ “ẩn mình” tốt hơn.
  • Giảm tải cho hệ thống: Ít kết nối cố gắng truy cập vào port SSH mặc định đồng nghĩa với việc giảm tải cho máy chủ.
  • Thêm một lớp bảo mật: Mặc dù không hoàn toàn ngăn chặn được các cuộc tấn công có chủ đích, việc đổi port SSH sẽ làm tăng độ khó cho kẻ tấn công.

“Việc đổi port SSH cũng giống như việc thay ổ khóa cho ngôi nhà của bạn,” kỹ sư bảo mật mạng Nguyễn Văn An, một chuyên gia với hơn 10 năm kinh nghiệm trong lĩnh vực bảo mật máy chủ, chia sẻ. “Nó không đảm bảo ngôi nhà của bạn sẽ không bao giờ bị đột nhập, nhưng nó sẽ khiến kẻ trộm phải tốn nhiều công sức hơn, và có thể khiến chúng từ bỏ ý định.”

Các Bước Chi Tiết Để Đổi Port SSH CentOS

Dưới đây là hướng dẫn chi tiết từng bước để bạn có thể dễ dàng đổi port SSH CentOS một cách an toàn và hiệu quả:

Bước 1: Chọn Port Mới

Chọn một port số lớn hơn 1024 (vì các port từ 0-1023 thường được dành cho các dịch vụ hệ thống) và chưa được sử dụng bởi bất kỳ ứng dụng nào khác. Bạn có thể chọn bất kỳ số nào bạn thích, ví dụ: 2222, 3389, 5000. Hãy đảm bảo rằng bạn ghi nhớ port này, vì bạn sẽ cần nó để kết nối SSH trong tương lai.

Bước 2: Chỉnh Sửa File Cấu Hình SSH (sshd_config)

  1. Sử dụng trình soạn thảo văn bản yêu thích của bạn (ví dụ: vi, nano) để mở file cấu hình SSH:

    sudo vi /etc/ssh/sshd_config

  2. Tìm dòng có nội dung #Port 22. Bỏ dấu # ở đầu dòng để bỏ comment và thay đổi số 22 thành port bạn đã chọn. Ví dụ:

    Port 2222

    Nếu dòng Port 22 không tồn tại, bạn có thể thêm dòng Port 2222 vào file cấu hình.

    Lưu ý quan trọng: Thêm một dòng Port khác để nghe trên cả port 22 và port mới, cho phép bạn kiểm tra port mới hoạt động trước khi tắt port 22. Điều này giúp tránh tình trạng mất kết nối nếu cấu hình port mới không thành công.

    Port 22
Port 2222

  3. Lưu file và đóng trình soạn thảo.

Bước 3: Cấu Hình Firewall

Firewall là “người gác cổng” bảo vệ máy chủ của bạn. Bạn cần cho phép lưu lượng truy cập đến port SSH mới thông qua firewall. Cách thực hiện tùy thuộc vào loại firewall bạn đang sử dụng (firewalld hoặc iptables).

Sử Dụng Firewalld (CentOS 7 trở lên):

  1. Mở port mới trên firewalld:

    sudo firewall-cmd --permanent --add-port=2222/tcp

    Thay 2222 bằng port bạn đã chọn.

  2. Tắt port SSH mặc định (22) (tùy chọn, sau khi xác nhận port mới hoạt động):

    sudo firewall-cmd --permanent --remove-port=22/tcp

  3. Khởi động lại firewalld để áp dụng thay đổi:

    sudo firewall-cmd --reload

Sử Dụng Iptables (CentOS 6 trở xuống hoặc cấu hình thủ công):

  1. Mở port mới trên iptables:

    sudo iptables -A INPUT -p tcp --dport 2222 -j ACCEPT

    Thay 2222 bằng port bạn đã chọn.

  2. Lưu cấu hình iptables:

    sudo service iptables save

  3. Khởi động lại dịch vụ iptables:

    sudo service iptables restart

Quan trọng: Nếu bạn sử dụng một hệ thống firewall khác (ví dụ: AWS Security Groups, Google Cloud Firewall), bạn cần cấu hình tương ứng để cho phép lưu lượng truy cập đến port SSH mới. Để hiểu rõ hơn về chặn ssh brute force bằng firewall, bạn có thể tham khảo thêm.

Bước 4: Khởi Động Lại Dịch Vụ SSH

Để các thay đổi có hiệu lực, bạn cần khởi động lại dịch vụ SSH:

sudo systemctl restart sshd

Bước 5: Kiểm Tra Kết Nối

Sau khi khởi động lại dịch vụ SSH, hãy thử kết nối đến máy chủ của bạn bằng port mới. Sử dụng lệnh sau:

ssh user@server_ip -p 2222

Thay user bằng tên người dùng của bạn, server_ip bằng địa chỉ IP của máy chủ, và 2222 bằng port bạn đã chọn.

Nếu bạn kết nối thành công, điều đó có nghĩa là bạn đã đổi port SSH CentOS thành công. Nếu không, hãy kiểm tra lại các bước trên và đảm bảo rằng bạn đã cấu hình firewall chính xác.

“Đừng vội vàng tắt port 22 ngay sau khi đổi port SSH,” ông Lê Minh Đức, một chuyên gia bảo mật hệ thống với 5 năm kinh nghiệm, khuyên. “Hãy giữ cả hai port hoạt động trong một thời gian ngắn để đảm bảo rằng bạn có thể kết nối thành công bằng port mới. Sau khi bạn đã chắc chắn mọi thứ hoạt động tốt, bạn có thể tắt port 22 để tăng cường bảo mật.”

Bước 6: (Tùy Chọn) Tắt Port SSH Mặc Định (22)

Sau khi bạn đã xác nhận rằng bạn có thể kết nối thành công bằng port SSH mới, bạn có thể tắt port SSH mặc định (22) để tăng cường bảo mật.

  1. Chỉnh sửa file cấu hình SSH (sshd_config):

    sudo vi /etc/ssh/sshd_config

    Comment dòng Port 22 bằng cách thêm dấu # ở đầu dòng:

    #Port 22
Port 2222

  2. Lưu file và đóng trình soạn thảo.

  3. Khởi động lại dịch vụ SSH:

    sudo systemctl restart sshd

  4. Cấu hình Firewall (nếu chưa thực hiện ở Bước 3):

    • Firewalld:

      sudo firewall-cmd --permanent --remove-port=22/tcp
sudo firewall-cmd --reload

    • Iptables:

      sudo iptables -D INPUT -p tcp --dport 22 -j ACCEPT
sudo service iptables save
sudo service iptables restart

Những Lưu Ý Quan Trọng Khi Đổi Port SSH

  • Sao lưu file cấu hình: Trước khi thực hiện bất kỳ thay đổi nào, hãy sao lưu file /etc/ssh/sshd_config để có thể khôi phục lại nếu có sự cố xảy ra.

  • Kiểm tra kỹ lưỡng: Sau khi thay đổi port SSH, hãy kiểm tra kỹ lưỡng kết nối từ nhiều nguồn khác nhau để đảm bảo rằng bạn có thể truy cập vào máy chủ từ bất kỳ đâu.

  • Ghi nhớ port mới: Ghi lại port SSH mới ở một nơi an toàn để bạn không quên nó.

  • Cập nhật tài liệu: Nếu bạn có bất kỳ tài liệu nào đề cập đến port SSH mặc định, hãy cập nhật chúng để phản ánh port mới.

  • Sử dụng SSH Key: Việc sử dụng SSH Key thay vì mật khẩu là một biện pháp bảo mật mạnh mẽ hơn nhiều. Hãy cân nhắc sử dụng SSH Key để tăng cường an ninh cho máy chủ của bạn.

  • Theo dõi nhật ký: Thường xuyên kiểm tra nhật ký SSH để phát hiện các hoạt động đáng ngờ.

  • Cân nhắc sử dụng Fail2ban: Fail2ban là một công cụ giúp tự động chặn các địa chỉ IP cố gắng truy cập SSH nhiều lần không thành công. Bạn có thể tham khảo thêm về kiểm tra user nào đang ssh để tăng cường bảo mật.

Câu Hỏi Thường Gặp Về Đổi Port SSH CentOS

  • Tôi có thể sử dụng port nào cho SSH?

    Bạn nên sử dụng các port từ 1024 đến 65535, tránh các port đã được gán cho các dịch vụ khác.

  • Điều gì xảy ra nếu tôi chọn một port đã được sử dụng?

    Dịch vụ SSH sẽ không thể khởi động hoặc sẽ báo lỗi. Bạn cần chọn một port khác chưa được sử dụng.

  • Tôi có cần khởi động lại máy chủ sau khi đổi port SSH?

    Không, bạn chỉ cần khởi động lại dịch vụ SSH.

  • Tôi có thể đổi port SSH về port mặc định (22) không?

    Có, bạn có thể đổi port SSH về port mặc định (22) bằng cách thực hiện lại các bước trên và thay đổi port trong file cấu hình về 22.

  • Tại sao tôi vẫn không thể kết nối sau khi đổi port SSH?

    Hãy kiểm tra kỹ lưỡng các bước trên, đặc biệt là cấu hình firewall. Đảm bảo rằng bạn đã mở port mới trên firewall và khởi động lại dịch vụ SSH.

  • Đổi port SSH có thực sự hiệu quả?

    Đổi port SSH là một biện pháp bảo mật đơn giản nhưng hiệu quả, giúp giảm thiểu nguy cơ bị tấn công brute-force. Tuy nhiên, nó không phải là giải pháp duy nhất. Bạn nên kết hợp nó với các biện pháp bảo mật khác, chẳng hạn như sử dụng SSH Key và Fail2ban.

  • Có cách nào để tìm hiểu xem ai đang cố gắng kết nối vào port SSH của tôi không?

    Bạn có thể kiểm tra nhật ký SSH để xem các kết nối đến và đi. Nhật ký SSH thường được lưu trữ tại /var/log/secure hoặc /var/log/auth.log.

Kết Luận

Việc đổi port SSH CentOS là một bước đơn giản nhưng quan trọng để tăng cường bảo mật cho máy chủ của bạn. Bằng cách làm theo hướng dẫn chi tiết trong bài viết này, bạn có thể dễ dàng thực hiện thay đổi này và bảo vệ hệ thống của mình khỏi các cuộc tấn công không mong muốn. Hãy nhớ rằng, bảo mật là một quá trình liên tục, và việc đổi port SSH chỉ là một phần trong bức tranh tổng thể. Đừng quên tìm hiểu thêm về ssh vào server bằng user khác root để nâng cao kiến thức quản trị máy chủ của bạn. Hãy thực hiện các biện pháp bảo mật khác để đảm bảo an toàn cho dữ liệu và hệ thống của bạn.