Thông thường, người dùng đăng nhập SSH trên Linux qua tài khoản và mật khẩu đã được cung cấp. Phương thức xác thực này nếu không giới hạn số lần đăng nhập sai thì có thể bị tấn công dò tìm mật khẩu bằng các cuộc tấn công như Brute Force hay Dictionary. Do đó, sử dụng SSH Key sẽ bảo mật hơn rất nhiều so với phương thức đăng nhập dùng mật khẩu truyền thống. Để thực hiện xác thực này cần có hai tệp là Public Key (khóa công khai) và Private Key (khóa bí mật).
Trên máy chủ SSH Linux, tạo các khóa xác thực bao gồm Public Key (id_rsa.pub) và Private Key (id_rsa) với cú pháp như sau: ssh-keygen -t rsa (Hình 1). Trong đó, RSA là giao thức được dùng để tạo khóa với khóa mặc định là 2048 bit. Chú ý rằng, SSH Key có thể tăng độ khó bằng cách tăng kích thước thuật toán RSA và dùng PassPhrase. Tiếp đó, cần phải sao chép Public Key từ máy chủ SSH Linux sang các máy cần truy cập từ xa (remote) trong hệ thống. Trong phạm vi của bài viết sẽ hướng dẫn trên Linux với nền tảng Centos 7, thực hiện câu lệnh sau để sao chép Public Key sang máy remote: ssh-copy-id remote_username@ remote_IP (Hình 1). Trong trường hợp này địa chỉ máy cần truy cập remote là 192.168.30.134, hệ thống sẽ yêu cầu nhập mật khẩu của máy tính này.
Hình 1. Tạo khóa xác thực và sao chép sang máy cần remote
Để cấu hình chặn SSH xác thực bằng mật khẩu và chỉ cho phép SSH với Key, chỉnh sửa tệp “vi /etc/ssh/sshd_config” trên máy remote với tham số PubkeyAuthentication chuyển thành yes và PasswordAuthentication chuyển thành no (Hình 2). Chú ý, để áp dụng các thay đổi cấu hình SSH cần khởi động lại dịch vụ SSH với câu lệnh: systemctl restart sshd.
Hình 2. Xác thực bằng SSH Key
Việc giới hạn số lần đăng nhập sai có thể giúp tăng cường khả năng phòng chống các hình thức tấn công Brute Force hay Dictionary. Ngoài ra, cũng cần giới hạn số lượng phiên SSH cần thiết cùng lúc trên máy chủ và thiết lập thời gian tự động thoát phiên nếu cần thiết. Vào tệp “vi/ etc/ssh/sshd_config” và sửa các thông số như Hình 3:
Hình 3. Giới hạn đăng nhập và phiên SSH
Trong đó: MaxAuthTries là số lần tối đa đăng nhập tối đa, MaxSessions xác định số phiên mở tối đa cho mỗi kết nối, ClientAliveInterval để thiết lập thời gian chờ (tính bằng giây), nếu phiên SSH không hoạt động, nó sẽ bị chấm dứt.
Root là quyền cao nhất trên Linux, nếu tin tặc chiếm được quyền tài khoản này thì sẽ thực hiện được toàn bộ thao tác trên hệ thống. Do đó, cần phải tăng cường bảo mật bằng cách không cho phép SSH lên máy remote bằng tài khoản đặc quyền Root. Vào tệp “vi/ etc/ssh/sshd_config” và sửa tham số PermitRootLogin trong phần #Authentication thành no (Hình 4).
Trong trường hợp hệ thống có nhiều tài khoản thì nên cấu hình cho phép các máy chủ được phép SSH cụ thể bằng tài khoản nào. Ngoài ra, nếu chặn toàn bộ máy chủ SSH bằng tài khoản Root nhưng cũng có thể thiết lập ngoại lệ những địa chỉ IP nào được phép SSH bằng Root. Vào tệp “vi/ etc/ssh/sshd_config”, cũng trong phần cấu hình #Authentication, thêm tham số AllowUsers (Hình 4) và thiết lập những tài khoản và địa chỉ IP được phép SSH.
Hình 4. Chặn tài khoản Root và cho phép tài khoản đăng nhập
Thông thường, vì một lý do nào đó hoặc để thuận tiện, các quản trị viên hệ thống có thể tạo ra các tài khoản không có mật khẩu. Tuy nhiên, những tài khoản này nếu không được kiểm soát chặt chẽ hoặc xóa thì rất có thể sẽ bị tin tặc lợi dụng để Bypass đăng nhập SSH, điều đó khá nguy hiểm. Do vậy, cần phải ngăn chặn SSH đối với các tài khoản không mật khẩu này. Vào tệp “vi/etc/ssh/sshd_config”, sửa tham số PermitEmptyPasswords thành no (Hình 5).
Hình 5. Không cho phép đăng nhập với tài khoản không có mật khẩu
Brute Force là phương thức tấn công “bẻ khóa mật khẩu” thường được các tin tặc sử dụng bởi tính đơn giản và khả năng thành công cao. Để theo dõi mối đe dọa này, quản trị viên có thể thông qua các tệp tin log tại thư mục /var/log/secure (chú ý secure có thể tồn tại ở định dạng ngày tháng).
- Kiểm tra những lần cố gắng đăng nhập SSH thành công từ Root, sử dụng câu lệnh: cat /var/log/ secure | grep 'session opened for user root' (Hình 6).
Hình 6. Kiểm tra log đăng nhập SSH thành công với tài khoản Root
- Kiểm tra tài khoản SSH được ủy quyền với mật khẩu đăng nhập không thành công, sử dụng câu lệnh: cat /var/log/secure | grep -v invalid | grep 'Failed password' (Hình 7).
Hình 7. Kiểm tra log sai mật khẩu đăng nhập
- Kiểm tra nỗ lực đăng nhập SSH từ những tài khoản không tồn tại hoặc không được phép remote, sử dụng câu lệnh: cat /var/log/secure | grep 'Invalid user' và cat /var/log/secure | grep 'user NOT in sudoers'.
Quản trị viên có thể kết hợp việc giám sát thông qua tệp ghi log và sử dụng Audit Report để thống kê chi tiết về các sự kiện liên quan trong hệ thống, ví dụ như số lần thay đổi cấu hình, thay đổi tài khoản và vai trò hay xác thực không thành công (Hình 8),.. Đây là những thông tin quan trọng cần được kiểm soát chặt chẽ. Thông thường, công cụ này sẽ được cài đặt mặc định trên các hệ thống Linux. Nếu chưa được cài đặt, sử dụng câu lệnh: yum -y install audit để cài đặt, sau đó sử dụng aureport để hiển thị thống kê.
Hình 8. Giám sát đăng nhập thông qua công cụ Audit Report
Cổng mặc định thông dụng là 22, do đó để đảm bảo an toàn SSH trên hệ thống, cần phải thay đổi thành một cổng khác. Bên cạnh đó, mặc định IP lắng nghe ở địa chỉ 0.0.0.0 (tức là mọi dải địa chỉ IP). Quản trị viên cũng cần phải thay đổi cấu hình này để xác định những địa chỉ IP mà SSH sẽ lắng nghe kết nối đến. Vào tệp “vi/ etc/ssh/sshd_config” và chỉnh sửa các tham số Port và ListenAddress (Hình 9).
Hình 9. Thay đổi cổng và IP SSH mặc định
Ngoài việc cấu hình các thông số đã được giới thiệu, để chủ động trong việc bảo mật OpenSSH được hiệu quả hơn, quản trị viên nên định kỳ kiểm tra phiên bản của OpenSSH thường xuyên để tránh nguy cơ bị khai thác các lỗ hổng bảo mật (có thể tồn tại) ở phiên bản cũ.
Sự thông dụng của OpenSSH trên Linux và những tính năng của nó giúp cho quản trị viên thực hiện các thao tác quản lý hệ thống được thuận tiện và dễ dàng hơn. Tuy nhiên, nếu không được cấu hình cẩn trọng có thể dẫn đến những nguy cơ bị xâm nhập thông qua SSH. Chính vì vậy, chủ động thiết lập chặt chẽ một số trường thông tin nhạy cảm dễ bị tấn công là hành động cần thiết nhằm tăng cường bảo mật SSH, từ đó đảm bảo hệ thống được an toàn hơn.
Hồng Đạt
08:27 | 22/01/2016
10:00 | 10/04/2024
13:00 | 20/09/2023
15:00 | 13/10/2023
13:00 | 17/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
10:00 | 02/01/2024
Trong hệ mật RSA, mô hình hệ mật, cấu trúc thuật toán của các nguyên thủy mật mã là công khai. Tuy nhiên, việc lựa chọn và sử dụng các tham số cho hệ mật này sao cho an toàn và hiệu quả là một vấn đề đã và đang được nhiều tổ chức quan tâm nghiên cứu. Trong bài viết này, nhóm tác giả đã tổng hợp một số khuyến nghị cho mức an toàn đối với độ dài khóa RSA được Lenstra, Verheul và ECRYPT đề xuất.
10:00 | 26/10/2023
Trong thời gian gần đây, các trường hợp lừa đảo qua mã QR ngày càng nở rộ với các hình thức tinh vi. Bên cạnh hình thức lừa đảo cũ là dán đè mã QR thanh toán tại các cửa hàng khiến tiền chuyển về tài khoản kẻ gian, vừa qua còn xuất hiện các hình thức lừa đảo mới.
13:00 | 09/10/2023
Field-programmable gate array (FPGA) là công nghệ vi mạch tích hợp khả trình có tính ưu việt và mức độ ứng dụng phổ biến nhất trong vòng vài chục năm trở lại đây. Ngoài khả năng tái cấu trúc vi mạch toàn cục, một số FPGA hiện đại còn hỗ trợ tái cấu trúc từng bộ phận riêng lẻ (partial configuration) trong khi vẫn đảm bảo hoạt động bình thường cho các bộ phận khác. Đây là chức năng cho phép ứng dụng có thể tái cấu trúc một phần thiết kế theo yêu cầu mà không cần phải ngừng hệ thống để lập trình lại toàn bộ. Bài viết sẽ giới thiệu một hệ thống tái cấu trúc từng phần được xây dựng trên board phát triển Z-turn Xynq-7020 của Xilinx, từ đó đề xuất một phương pháp tái cấu trúc từng phần trong bài toán an toàn thiết kế phần cứng trên nền công nghệ FPGA.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024