1. Khái niệm SSH
SSH (tiếng Anh: Secure Shell) là giao thức mạng dùng để thiết lập kết nối mạng một cách bảo mật. SSH hoạt động trong mô hình TCP/IP ở tầng thứ 4. SSH cho phép người sử dụng chỉnh sửa và kiểm soát server từ xa nhưng vẫn đảm bảo an toàn. Nhằm ngăn chặn các hiện tượng nghe trộm, đánh cắp thông tin trên đường truyền. Đây là điều mà các giao thức trước đó như rlogin, telnet không đáp ứng được. Các công cụ SSH phổ biến như chương trình PuTTY, Bitvise SSH, OpenSSH… Nó cung cấp cho người dùng giao diện thân thiện để thiết lập một kết nối mạng được mã hóa, tạo kết nối an toàn cho người dùng.
SSH làm việc với 3 bước đơn giản:
- Bước 1: Định danh host – xác định định danh của hệ thống tham gia phiên làm việc SSH.
- Bước 2: Mã hoá – thiết lập kênh làm việc mã hoá.
- Bước 3: Chứng thực – xác thực người sử dụng có quyền đăng nhập hệ thống.
Nếu bạn chưa biết các lệnh cơ bản của SSH thì hãy tham khảo bài viết này nhé: Các lệnh cơ bản của SSH
2. Hướng dẫn sử dụng phần mềm PuTTY
PuTTY là phần mềm cho phép kết nối đến máy chủ qua giao thức SSH để thực hiện điều khiển VPS/Server Linux bằng dòng lệnh (command line). Để sử dụng PuTTY bạn cần download phần mềm này về máy tính. Bạn có thể tải trực tiếp từ trang chủ bản cài đặt hoặc bản dùng ngay.
Link download: https://the.earth.li/~sgtatham/putty/latest/x86/putty.exe
2.1 Cài đặt chương trình PuTTY
2.2 Nhập thông tin
Sau khi cài đặt xong chương trình PuTTY, bạn nhập những thông tin sau vào giao diện hiện ra:
- Hostname/IP Address: nhập IP hoặc Hostname của Server.
- Port: mặc định là cổng 22.
- Connection Type : SSH
– Mục Saved Session: bạn có thể lưu lại các kết nối để lần sau không phải nhập lại các thông tin. Sau đó điền tên session vào ô Saved
– Vào Session và chọn Save. Nếu đã lưu thành công thì bạn chỉ cần chọn vào tên session sau đó chọn Load để tạo kết nối.
2.3. Cửa sổ thông báo hiện ra
Ở lần kết nối đầu tiên bạn sẽ nhận được thông báo như hình bên dưới. Chọn Yes để tiếp tục.
2.4. Nhập username và password.
Bạn cần nhập username và password để đăng nhập vào server. Chú ý dùng Enter sau mỗi lần nhập username/password. Password sẽ không được hiển thị ra khi nhập nên cần nhập chính xác rồi sau đó mới Enter.
Tại cửa sổ commandline bạn có thể sử dụng các lệnh để cấu hình cho server.
2.5. Một vài mẹo nhỏ khi sử dụng PuTTY.
- Bôi đen một đoạn tức là copy nội dung của đoạn đó vào clipboard (tương đương với Ctrl + C)
- Chuột phải vào PuTTY tức là Paste nội dung đã được copy lên PuTTY (tương đương với Ctrl + V)
3. Hướng dẫn tạo kết nối dùng Private key
Đối với máy chủ sử dụng phương thức xác thực tài khoản bằng Private key. Sau khi đã nhập thông tin HostName (hoặc IP Address) bạn cần chọn mục Connection =>SSH => Auth bên phần Category. Sau đó chọn file Private key. Click open để tạo kết nối.
4. Cách cấu hình cho dịch vụ SSH.
4.1. Cấu hình chỉ cho SSH bằng key
Việc truy cập ssh bằng mật khẩu rất nguy hiểm, nên người quản trị thường chỉ muốn cho phép ssh bằng key. Để làm việc này cần mở file:
/etc/ssh/sshd_config
Hãy chắc chắn rằng có 2 dòng sau
PubKeyAuthentication yes
AuthorizedkeysFile .ssh/authorized_keys
Sau đó bạn tìm dòng:
PasswordAuthentication yes
Bạn cần đổi Yes thành No.
Sau đó bạn restart lại dịch vụ /etc/init.d/ssh restart
Lưu ý: nên để = yes, sau khi cấu hình SSH public key và private key thành công thì mới chuyển lại về thành = no
4.2. Cấu hình chỉ cho phép một số người dùng được quyền SSH
Vì lí do bảo mật bạn có thể không cho user root có quyền ssh bằng cách mở file /etc/ssh/sshd_config rồi tìm dòng sau và đổi Yes thành No.
PermitRootLogin yes
Nếu bạn muốn cho user bất kì nào đó có quyền ssh thì chỉ cần thêm dòng:
AllowUsers user1 user2
Sau đó bạn restart lại dịch vụ /etc/init.d/ssh restart
4.3. Cấu hình thay đổi port SSH
Mặc định SSH sử dụng cổng 22 để kết nối, hacker có thể lợi dụng cái này để tấn công vào server. Vì thế bạn có thể bảo mật server của mình hơn bằng cách thay đổi port ssh.
Bạn mở file /etc/ssh/sshd_config và tìm dòng có ghi:
Port 22
Sau đó thay đổi số cổng và khởi động lại dịch vụ SSH bằng lệnh:
/etc/init.d/ssh restart
4.4. Cấu hình chỉ cho phép kết nối ssh từ một số host nhất định.
Bạn có thẻ xem danh sách các host bị cấm ssh được lưu trong file /etc/host.deny. Ví dụ bạn có file /etc/host.deny có nội dung như sau:
sshd: ALL
/etc/host.allow
sshd: 192.168.1.2
thì chỉ có host 192.168.1.2 mới có quyền truy cập ssh còn các host khác sẽ bị cấm truy cập.
Ngoài ra bạn có thể tham khảo thêm một số các cấu hình cho dịch vụ ssh tại http://man.openbsd.org/cgi-bin/man.cgi/OpenBSD-current/man5/sshd_config.5