Kiểm Tra User Nào Đang SSH Vào Server: Hướng Dẫn Chi Tiết

Khi quản lý một server, việc đảm bảo an ninh và theo dõi hoạt động của người dùng là vô cùng quan trọng. Một trong những thao tác cơ bản nhưng cần thiết là Kiểm Tra User Nào đang Ssh vào server. Bài viết này sẽ cung cấp một hướng dẫn chi tiết, dễ hiểu, giúp bạn thực hiện việc này một cách hiệu quả, đồng thời cung cấp thông tin bổ sung về bảo mật SSH.

Tại Sao Cần Kiểm Tra User Đang SSH?

Việc theo dõi ai đang truy cập server qua SSH mang lại nhiều lợi ích quan trọng:

  • Phát hiện truy cập trái phép: Giúp bạn nhanh chóng xác định và ngăn chặn các hành vi xâm nhập từ những người không được ủy quyền.
  • Giám sát hoạt động của người dùng: Biết được ai đang làm gì trên server, từ đó đánh giá hiệu quả làm việc và phát hiện các hoạt động đáng ngờ.
  • Kiểm tra và khắc phục sự cố: Khi có sự cố xảy ra, việc biết ai đang truy cập có thể giúp bạn xác định nguyên nhân và khắc phục nhanh chóng hơn.
  • Tuân thủ quy định: Nhiều tổ chức yêu cầu ghi lại thông tin truy cập để đảm bảo tuân thủ các quy định về an ninh và bảo mật.

Các Cách Kiểm Tra User Đang SSH

Có nhiều cách để kiểm tra user nào đang SSH vào server, tùy thuộc vào hệ điều hành và các công cụ bạn sử dụng. Dưới đây là một số phương pháp phổ biến nhất:

1. Sử Dụng Lệnh w

Lệnh w là một công cụ đơn giản nhưng hữu ích để xem ai đang đăng nhập vào hệ thống và họ đang làm gì.

Cách sử dụng:

Mở terminal và gõ lệnh w:

w

Kết quả:

Kết quả sẽ hiển thị thông tin về những người dùng đang đăng nhập, bao gồm:

  • USER: Tên người dùng
  • TTY: Terminal đang sử dụng
  • FROM: Địa chỉ IP từ đó người dùng đăng nhập
  • LOGIN: Thời gian đăng nhập
  • IDLE: Thời gian người dùng không hoạt động
  • JCPU: Thời gian CPU sử dụng bởi tất cả các tiến trình gắn liền với terminal
  • PCPU: Thời gian CPU sử dụng bởi tiến trình hiện tại
  • WHAT: Lệnh đang được thực thi

Ví dụ:

USER     TTY      FROM             LOGIN.   IDLE   JCPU   PCPU WHAT
user1    pts/0    192.168.1.10     10:00   2m     0.10s  0.05s bash
user2    pts/1    192.168.1.12     10:15   1s     0.05s  0.01s top

Trong ví dụ này, user1 đang đăng nhập từ địa chỉ IP 192.168.1.10 và đang chạy lệnh bash, còn user2 đang đăng nhập từ 192.168.1.12 và đang chạy lệnh top.

2. Sử Dụng Lệnh who

Lệnh who tương tự như w, nhưng cung cấp thông tin ít chi tiết hơn. Nó chủ yếu hiển thị tên người dùng, terminal và thời gian đăng nhập.

Cách sử dụng:

Mở terminal và gõ lệnh who:

who

Kết quả:

Kết quả sẽ hiển thị thông tin cơ bản về những người dùng đang đăng nhập.

Ví dụ:

user1    pts/0    2024-10-27 10:00 (192.168.1.10)
user2    pts/1    2024-10-27 10:15 (192.168.1.12)

3. Sử Dụng Lệnh last

Lệnh last hiển thị danh sách các lần đăng nhập gần đây, bao gồm cả những lần đăng nhập đã kết thúc. Điều này có thể hữu ích để theo dõi lịch sử truy cập.

Cách sử dụng:

Mở terminal và gõ lệnh last:

last

Kết quả:

Kết quả sẽ hiển thị một danh sách dài các lần đăng nhập và đăng xuất, bao gồm tên người dùng, terminal, địa chỉ IP và thời gian.

Lọc kết quả:

Bạn có thể lọc kết quả để chỉ hiển thị các lần đăng nhập SSH bằng cách sử dụng lệnh grep:

last | grep sshd

Ví dụ:

user1    ssh:pts/0    192.168.1.10     Sun Oct 27 10:00 - 10:30  (00:30)
user2    ssh:pts/1    192.168.1.12     Sun Oct 27 10:15 - 11:00  (00:45)

4. Kiểm Tra File /var/log/auth.log (hoặc /var/log/secure trên CentOS/RHEL)

File log này ghi lại thông tin về các hoạt động liên quan đến xác thực, bao gồm cả các lần đăng nhập SSH.

Cách sử dụng:

Mở terminal và sử dụng lệnh grep để tìm kiếm các dòng liên quan đến SSH:

grep "Accepted password for" /var/log/auth.log

(hoặc trên CentOS/RHEL)

grep "Accepted password for" /var/log/secure

Kết quả:

Kết quả sẽ hiển thị các dòng log cho biết người dùng nào đã đăng nhập thành công qua SSH, cùng với địa chỉ IP và thời gian.

Ví dụ:

Oct 27 10:00:00 server sshd[1234]: Accepted password for user1 from 192.168.1.10 port 50000 ssh2
Oct 27 10:15:00 server sshd[5678]: Accepted password for user2 from 192.168.1.12 port 50001 ssh2

Lưu ý:

  • Bạn cần quyền sudo để xem nội dung của file log này.
  • File log có thể rất lớn, vì vậy bạn có thể sử dụng các công cụ như less hoặc tail để xem từng phần hoặc chỉ xem các dòng mới nhất.

5. Sử Dụng Lệnh netstat hoặc ss

Các lệnh netstatss hiển thị thông tin về các kết nối mạng đang hoạt động. Bạn có thể sử dụng chúng để tìm kiếm các kết nối SSH và xác định địa chỉ IP của người dùng.

Cách sử dụng:

Mở terminal và gõ lệnh sau:

netstat -tnpa | grep ":22"

(hoặc sử dụng lệnh ss – thường nhanh hơn và hiệu quả hơn)

ss -tlnp | grep ":22"

Kết quả:

Kết quả sẽ hiển thị danh sách các kết nối đang hoạt động trên cổng 22 (cổng mặc định cho SSH), bao gồm địa chỉ IP của máy khách và máy chủ.

Ví dụ:

tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1234/sshd
tcp        0      0 192.168.1.100:22        192.168.1.10:50000      ESTABLISHED 5678/sshd: user1
tcp        0      0 192.168.1.100:22        192.168.1.12:50001      ESTABLISHED 9012/sshd: user2

Trong ví dụ này, có hai kết nối SSH đang hoạt động: một từ địa chỉ IP 192.168.1.10 và một từ 192.168.1.12. Bạn có thể sử dụng lệnh w hoặc who để xác định người dùng nào đang sử dụng các kết nối này.

Lưu ý:

  • Nếu bạn đã thay đổi cổng SSH mặc định, hãy thay thế :22 bằng số cổng bạn đã sử dụng.
  • Bạn cần quyền sudo để xem thông tin chi tiết về các tiến trình.

Bảo Mật SSH: Các Biện Pháp Tăng Cường An Ninh

Việc kiểm tra user nào đang SSH chỉ là một phần của việc bảo mật SSH. Để tăng cường an ninh cho server, bạn nên áp dụng thêm các biện pháp sau:

  • Sử dụng SSH Key: Thay vì sử dụng mật khẩu, hãy sử dụng SSH key để xác thực. Điều này an toàn hơn nhiều vì SSH key khó bị bẻ khóa hơn mật khẩu. Bạn có thể tìm hiểu thêm về ssh key không hoạt động để biết cách khắc phục sự cố thường gặp.
  • Disable Password Authentication: Sau khi thiết lập SSH key, hãy tắt xác thực bằng mật khẩu để ngăn chặn các cuộc tấn công brute-force. Xem hướng dẫn cách disable password ssh để biết thêm chi tiết.
  • Thay đổi cổng SSH mặc định: Thay đổi cổng SSH mặc định từ 22 sang một cổng khác (ví dụ: 2222) để giảm thiểu nguy cơ bị tấn công tự động.
  • Sử dụng Firewall: Cấu hình firewall để chỉ cho phép các địa chỉ IP được phép truy cập vào cổng SSH.
  • Bật 2FA (Two-Factor Authentication): Thêm một lớp bảo mật nữa bằng cách yêu cầu người dùng nhập mã xác thực từ điện thoại hoặc thiết bị khác sau khi nhập mật khẩu (hoặc sử dụng SSH key). Tìm hiểu thêm về bảo mật ssh bằng 2 lớp xác thực.
  • Theo dõi log SSH: Thường xuyên kiểm tra file /var/log/auth.log (hoặc /var/log/secure) để phát hiện các hoạt động đáng ngờ.
  • Cập nhật SSH: Đảm bảo rằng phần mềm SSH của bạn luôn được cập nhật lên phiên bản mới nhất để vá các lỗ hổng bảo mật.
  • Giới hạn quyền truy cập: Chỉ cấp quyền truy cập cần thiết cho người dùng. Tránh cấp quyền root cho tất cả mọi người. Nếu cần SSH vào server với quyền root, bạn có thể sử dụng ssh vào server bằng user khác root và sau đó chuyển sang quyền root.

“Bảo mật là một quá trình liên tục, không phải là một sản phẩm. Việc thường xuyên kiểm tra và cập nhật các biện pháp bảo mật là vô cùng quan trọng để bảo vệ hệ thống của bạn khỏi các mối đe dọa ngày càng tinh vi.” – Ông Nguyễn Văn An, Chuyên gia An ninh Mạng Cao cấp tại Cybersafe Việt Nam

Sử dụng rsync qua SSH

Nếu bạn cần truyền tải dữ liệu giữa các server một cách an toàn, hãy sử dụng rsync qua SSH. Điều này đảm bảo rằng dữ liệu của bạn được mã hóa trong quá trình truyền tải. Bạn có thể tìm hiểu thêm về rsync qua ssh giữa 2 server để biết cách thực hiện.

Các Câu Hỏi Thường Gặp (FAQ)

  • Làm thế nào để biết địa chỉ IP của người dùng đang SSH vào server?

    Sử dụng lệnh w, who, last, netstat hoặc ss (như đã trình bày ở trên) để xem thông tin về các kết nối SSH đang hoạt động, bao gồm cả địa chỉ IP của người dùng.

  • Tại sao tôi không thể xem file /var/log/auth.log?

    Bạn cần quyền sudo để xem nội dung của file log này. Hãy thử sử dụng lệnh sudo cat /var/log/auth.log hoặc sudo less /var/log/auth.log.

  • Làm thế nào để ngăn chặn người dùng truy cập SSH vào server của tôi?

    Có nhiều cách để chặn truy cập SSH, bao gồm: sử dụng firewall để chặn địa chỉ IP của người dùng, vô hiệu hóa tài khoản người dùng hoặc thay đổi cấu hình SSH để chỉ cho phép một số người dùng nhất định truy cập.

  • Làm thế nào để biết ai đã đăng nhập vào server của tôi trong quá khứ?

    Sử dụng lệnh last để xem danh sách các lần đăng nhập gần đây. Bạn có thể lọc kết quả bằng lệnh grep để chỉ hiển thị các lần đăng nhập SSH.

  • Tôi có nên thay đổi cổng SSH mặc định không?

    Thay đổi cổng SSH mặc định có thể giúp giảm thiểu nguy cơ bị tấn công tự động. Tuy nhiên, điều này không phải là một giải pháp hoàn hảo và bạn vẫn cần áp dụng các biện pháp bảo mật khác.

  • Làm thế nào để bảo vệ server của tôi khỏi các cuộc tấn công brute-force vào SSH?

    Sử dụng SSH key thay vì mật khẩu, tắt xác thực bằng mật khẩu và sử dụng fail2ban để tự động chặn các địa chỉ IP cố gắng đăng nhập thất bại nhiều lần.

  • Có công cụ nào tự động theo dõi và báo cáo về các hoạt động SSH không?

    Có nhiều công cụ giám sát và báo cáo bảo mật có thể giúp bạn theo dõi các hoạt động SSH, chẳng hạn như OSSEC, Tripwire và fail2ban.

“Việc hiểu rõ cách thức SSH hoạt động và các biện pháp bảo mật cần thiết là yếu tố then chốt để bảo vệ server của bạn khỏi các cuộc tấn công mạng. Đừng chủ quan và luôn cập nhật kiến thức của bạn.” – Bà Lê Thị Mai, Giám đốc Trung tâm An ninh Mạng, Đại học Bách khoa Hà Nội

Kết Luận

Việc kiểm tra user nào đang SSH vào server là một bước quan trọng để đảm bảo an ninh và theo dõi hoạt động của người dùng. Bằng cách sử dụng các lệnh và phương pháp được trình bày trong bài viết này, bạn có thể dễ dàng xác định ai đang truy cập server của mình và thực hiện các biện pháp cần thiết để bảo vệ hệ thống. Đừng quên kết hợp với các biện pháp bảo mật SSH khác để tăng cường an ninh một cách toàn diện. Hy vọng bài viết này đã cung cấp cho bạn những thông tin hữu ích và giúp bạn quản lý server của mình một cách an toàn và hiệu quả hơn.