Thông thường, người dùng đăng nhập SSH trên Linux qua tài khoản và mật khẩu đã được cung cấp. Phương thức xác thực này nếu không giới hạn số lần đăng nhập sai thì có thể bị tấn công dò tìm mật khẩu bằng các cuộc tấn công như Brute Force hay Dictionary. Do đó, sử dụng SSH Key sẽ bảo mật hơn rất nhiều so với phương thức đăng nhập dùng mật khẩu truyền thống. Để thực hiện xác thực này cần có hai tệp là Public Key (khóa công khai) và Private Key (khóa bí mật).
Trên máy chủ SSH Linux, tạo các khóa xác thực bao gồm Public Key (id_rsa.pub) và Private Key (id_rsa) với cú pháp như sau: ssh-keygen -t rsa (Hình 1). Trong đó, RSA là giao thức được dùng để tạo khóa với khóa mặc định là 2048 bit. Chú ý rằng, SSH Key có thể tăng độ khó bằng cách tăng kích thước thuật toán RSA và dùng PassPhrase. Tiếp đó, cần phải sao chép Public Key từ máy chủ SSH Linux sang các máy cần truy cập từ xa (remote) trong hệ thống. Trong phạm vi của bài viết sẽ hướng dẫn trên Linux với nền tảng Centos 7, thực hiện câu lệnh sau để sao chép Public Key sang máy remote: ssh-copy-id remote_username@ remote_IP (Hình 1). Trong trường hợp này địa chỉ máy cần truy cập remote là 192.168.30.134, hệ thống sẽ yêu cầu nhập mật khẩu của máy tính này.
Hình 1. Tạo khóa xác thực và sao chép sang máy cần remote
Để cấu hình chặn SSH xác thực bằng mật khẩu và chỉ cho phép SSH với Key, chỉnh sửa tệp “vi /etc/ssh/sshd_config” trên máy remote với tham số PubkeyAuthentication chuyển thành yes và PasswordAuthentication chuyển thành no (Hình 2). Chú ý, để áp dụng các thay đổi cấu hình SSH cần khởi động lại dịch vụ SSH với câu lệnh: systemctl restart sshd.
Hình 2. Xác thực bằng SSH Key
Việc giới hạn số lần đăng nhập sai có thể giúp tăng cường khả năng phòng chống các hình thức tấn công Brute Force hay Dictionary. Ngoài ra, cũng cần giới hạn số lượng phiên SSH cần thiết cùng lúc trên máy chủ và thiết lập thời gian tự động thoát phiên nếu cần thiết. Vào tệp “vi/ etc/ssh/sshd_config” và sửa các thông số như Hình 3:
Hình 3. Giới hạn đăng nhập và phiên SSH
Trong đó: MaxAuthTries là số lần tối đa đăng nhập tối đa, MaxSessions xác định số phiên mở tối đa cho mỗi kết nối, ClientAliveInterval để thiết lập thời gian chờ (tính bằng giây), nếu phiên SSH không hoạt động, nó sẽ bị chấm dứt.
Root là quyền cao nhất trên Linux, nếu tin tặc chiếm được quyền tài khoản này thì sẽ thực hiện được toàn bộ thao tác trên hệ thống. Do đó, cần phải tăng cường bảo mật bằng cách không cho phép SSH lên máy remote bằng tài khoản đặc quyền Root. Vào tệp “vi/ etc/ssh/sshd_config” và sửa tham số PermitRootLogin trong phần #Authentication thành no (Hình 4).
Trong trường hợp hệ thống có nhiều tài khoản thì nên cấu hình cho phép các máy chủ được phép SSH cụ thể bằng tài khoản nào. Ngoài ra, nếu chặn toàn bộ máy chủ SSH bằng tài khoản Root nhưng cũng có thể thiết lập ngoại lệ những địa chỉ IP nào được phép SSH bằng Root. Vào tệp “vi/ etc/ssh/sshd_config”, cũng trong phần cấu hình #Authentication, thêm tham số AllowUsers (Hình 4) và thiết lập những tài khoản và địa chỉ IP được phép SSH.
Hình 4. Chặn tài khoản Root và cho phép tài khoản đăng nhập
Thông thường, vì một lý do nào đó hoặc để thuận tiện, các quản trị viên hệ thống có thể tạo ra các tài khoản không có mật khẩu. Tuy nhiên, những tài khoản này nếu không được kiểm soát chặt chẽ hoặc xóa thì rất có thể sẽ bị tin tặc lợi dụng để Bypass đăng nhập SSH, điều đó khá nguy hiểm. Do vậy, cần phải ngăn chặn SSH đối với các tài khoản không mật khẩu này. Vào tệp “vi/etc/ssh/sshd_config”, sửa tham số PermitEmptyPasswords thành no (Hình 5).
Hình 5. Không cho phép đăng nhập với tài khoản không có mật khẩu
Brute Force là phương thức tấn công “bẻ khóa mật khẩu” thường được các tin tặc sử dụng bởi tính đơn giản và khả năng thành công cao. Để theo dõi mối đe dọa này, quản trị viên có thể thông qua các tệp tin log tại thư mục /var/log/secure (chú ý secure có thể tồn tại ở định dạng ngày tháng).
- Kiểm tra những lần cố gắng đăng nhập SSH thành công từ Root, sử dụng câu lệnh: cat /var/log/ secure | grep 'session opened for user root' (Hình 6).
Hình 6. Kiểm tra log đăng nhập SSH thành công với tài khoản Root
- Kiểm tra tài khoản SSH được ủy quyền với mật khẩu đăng nhập không thành công, sử dụng câu lệnh: cat /var/log/secure | grep -v invalid | grep 'Failed password' (Hình 7).
Hình 7. Kiểm tra log sai mật khẩu đăng nhập
- Kiểm tra nỗ lực đăng nhập SSH từ những tài khoản không tồn tại hoặc không được phép remote, sử dụng câu lệnh: cat /var/log/secure | grep 'Invalid user' và cat /var/log/secure | grep 'user NOT in sudoers'.
Quản trị viên có thể kết hợp việc giám sát thông qua tệp ghi log và sử dụng Audit Report để thống kê chi tiết về các sự kiện liên quan trong hệ thống, ví dụ như số lần thay đổi cấu hình, thay đổi tài khoản và vai trò hay xác thực không thành công (Hình 8),.. Đây là những thông tin quan trọng cần được kiểm soát chặt chẽ. Thông thường, công cụ này sẽ được cài đặt mặc định trên các hệ thống Linux. Nếu chưa được cài đặt, sử dụng câu lệnh: yum -y install audit để cài đặt, sau đó sử dụng aureport để hiển thị thống kê.
Hình 8. Giám sát đăng nhập thông qua công cụ Audit Report
Cổng mặc định thông dụng là 22, do đó để đảm bảo an toàn SSH trên hệ thống, cần phải thay đổi thành một cổng khác. Bên cạnh đó, mặc định IP lắng nghe ở địa chỉ 0.0.0.0 (tức là mọi dải địa chỉ IP). Quản trị viên cũng cần phải thay đổi cấu hình này để xác định những địa chỉ IP mà SSH sẽ lắng nghe kết nối đến. Vào tệp “vi/ etc/ssh/sshd_config” và chỉnh sửa các tham số Port và ListenAddress (Hình 9).
Hình 9. Thay đổi cổng và IP SSH mặc định
Ngoài việc cấu hình các thông số đã được giới thiệu, để chủ động trong việc bảo mật OpenSSH được hiệu quả hơn, quản trị viên nên định kỳ kiểm tra phiên bản của OpenSSH thường xuyên để tránh nguy cơ bị khai thác các lỗ hổng bảo mật (có thể tồn tại) ở phiên bản cũ.
Sự thông dụng của OpenSSH trên Linux và những tính năng của nó giúp cho quản trị viên thực hiện các thao tác quản lý hệ thống được thuận tiện và dễ dàng hơn. Tuy nhiên, nếu không được cấu hình cẩn trọng có thể dẫn đến những nguy cơ bị xâm nhập thông qua SSH. Chính vì vậy, chủ động thiết lập chặt chẽ một số trường thông tin nhạy cảm dễ bị tấn công là hành động cần thiết nhằm tăng cường bảo mật SSH, từ đó đảm bảo hệ thống được an toàn hơn.
Hồng Đạt
08:27 | 22/01/2016
10:00 | 10/04/2024
13:00 | 20/09/2023
10:00 | 08/05/2024
15:00 | 13/10/2023
10:00 | 05/02/2024
Trong thời đại công nghệ số hiện nay, thiết bị bảo mật đóng vai trò rất quan trọng trong việc bảo vệ các thông tin và dữ liệu nhạy cảm. Tuy nhiên, sự tiến bộ của công nghệ cũng đặt ra các thách thức về an toàn thông tin, trong đó tấn công can thiệp vật lý trái phép thiết bị bảo mật là một trong những mối đe dọa tiềm tàng và gây rủi ro cao. Bài báo này sẽ giới thiệu về các phương pháp tấn công vật lý và một số giải pháp phòng chống tấn công phần cứng cho thiết bị bảo mật.
09:00 | 27/12/2023
Với sự phát triển mạnh mẽ của công nghệ thông tin hiện nay, các ứng dụng giải trí, nhắn tin, gọi điện đang dần trở nên phổ biến. Những dịch vụ truyền thông được cung cấp trực tiếp đến người xem thông qua Internet (Over The Top - OTT) trở thành một trong những mục tiêu bị tin tặc tấn công nhiều nhất. Bài báo đưa ra thực trạng sử dụng dịch vụ ứng dụng OTT tại Việt Nam và những thách thức trong công tác bảo đảm an ninh, an toàn thông tin trên các thiết bị di động và dữ liệu cá nhân trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho dữ liệu cá nhân người dùng ứng dụng OTT trên nền tảng Internet trong thời gian tới.
10:00 | 22/09/2023
Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.
10:00 | 10/07/2023
Khi mạng viễn thông triển khai 5G trên toàn cầu, các nhà khai thác mạng di động ảo, nhà cung cấp dịch vụ truyền thông và các nhà cung cấp hạ tầng mạng đều đóng vai trò quan trọng trong việc thiết kế, triển khai và duy trì mạng 5G. Không giống như các thế hệ trước, nơi các nhà khai thác di động có quyền truy cập và kiểm soát trực tiếp các thành phần hệ thống, các nhà khai thác di động 5G đang dần mất toàn quyền quản lý bảo mật và quyền riêng tư.
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
16:00 | 04/08/2024
Có rất nhiều khái niệm về Zero Trust nhưng bạn đã thực sự hiểu về nó? Bài báo này sẽ đưa ra khái niệm dễ hiểu sự hình thành của thuật ngữ Zero Trust, các tác nhân, khu vực cần triển khai Zero Trust...
13:00 | 13/08/2024