Cách thay đổi cổng SSH trong Linux | Hướng dẫn từng bước nhanh về cổng SSH của bạn

Nếu bạn dự định tăng cường bảo mật cho máy chủ của mình, bạn sẽ cần thay đổi cổng SSH từ giá trị mặc định của nó. Số cổng mặc định là một thực tế được biết đến rộng rãi và điều đó khiến nó trở thành rủi ro bảo mật mà bạn không thể chấp nhận được. Để làm cho quy trình trở nên dễ dàng, chúng tôi cung cấp hướng dẫn từng bước bằng tiếng Anh đơn giản để cho bạn biết cách thay đổi cổng SSH trong Linux. Phần tổng quan chứa một số thông tin cơ bản về giao thức SSH và lý do tại sao nó lại quan trọng đối với bảo mật máy chủ của bạn. Tất nhiên, bạn có thể bỏ qua phần này và chỉ bắt đầu với phần hướng dẫn.

SSH là gì?

các Giao thức Shell an toàn (SSH) là biện pháp bảo mật cung cấp cho bạn và những người dùng khác khả năng kết nối với máy chủ bảo mật qua mạng không bảo mật (như Internet). Điều này trở nên không thể thiếu khi bạn dự định chạy một máy chủ (dù là VPS hay máy chủ chuyên dụng). Bạn phải kết nối với máy chủ từ máy tính xách tay của mình và kết nối đó phải thông qua Internet để đến đó. Rõ ràng, Internet là một môi trường không an toàn, có nghĩa là bạn không thể mất cảnh giác. Đó là lý do tại sao giao thức Secure Shell cũng được trang bị một số công cụ có giá trị giúp thiết lập và duy trì bảo mật máy chủ, bao gồm các công cụ xác thực mật khẩu và khóa. 

Tại sao bảo mật SSH lại quan trọng?

Khi bạn có một máy chủ chuyên dụng hoặc VPS, bạn sẽ được cấp toàn quyền truy cập root vào hệ thống, điều đó có nghĩa là bạn có thể sử dụng giao thức SSH để kết nối từ xa với máy chủ và thực hiện bất kỳ cấu hình nào bạn cần. Mặc dù SSH không hỗ trợ đồ họa và chỉ cung cấp Giao diện dòng lệnh nhưng đây vẫn là phương thức quản trị máy chủ chính. Giống như tất cả các dịch vụ dựa trên mạng, SSH sử dụng số cổng mặc định. Nhưng vì cổng SSH khó thay đổi hơn cổng trong các giao thức khác, như VNC, nên một số người dùng không buồn thay đổi nó. Điều đó có nghĩa là tin tặc và phần mềm độc hại sẽ có nhiều cơ hội hơn để truy cập vào máy chủ của bạn vì chúng biết cổng nào sẽ nhắm mục tiêu. Vì vậy, bạn nên dành thời gian để thay đổi cổng SSH mặc định một lần và mãi mãi, và với hướng dẫn này, bạn có thể thực hiện việc đó một cách nhanh chóng và không cần tốn nhiều công sức. 

Cách thay đổi cổng SSH trong Linux

Trong suốt hướng dẫn, chúng ta sẽ sử dụng Linux Terminal để nhập các lệnh cần thiết. Các ảnh chụp màn hình được lấy từ Fedora Server 34 nhưng hầu hết các lệnh đều hoạt động với tất cả các bản phân phối Linux chính. Khi cần các lệnh dành riêng cho bản phân phối, chúng tôi sẽ cung cấp chúng một cách riêng biệt. Để thực hiện các bước này, bạn cần đăng nhập vào máy chủ của mình bằng VNC hoặc SSH. Sau khi đã giải thích xong, hãy bắt đầu với quy trình thực tế.

Bước 1: Khởi chạy Terminal

Đầu tiên chúng ta cần mở Terminal. Nếu bạn đang sử dụng SSH, bạn sẽ sử dụng thiết bị đầu cuối theo mặc định. Nếu bạn đang sử dụng giao thức máy tính từ xa như VNC, bạn có thể mở Terminal bằng cách nhấn Ctrl+Alt+T hoặc bằng cách tìm kiếm menu ứng dụng trong tất cả các bản phân phối Linux. 

Cũng đọc: Tạo khóa SSH trong Windows 10

Bước 2: Chỉnh sửa tệp cấu hình SSH

Bây giờ, chúng ta sẽ sử dụng soạn thảo văn bản nano. Nano cho phép bạn chỉnh sửa văn bản ngay từ CLI, khiến nó trở thành lựa chọn hoàn hảo cho các kết nối SSH. Nano nên được cài đặt theo mặc định; nếu không, hãy xem phần phụ lục để biết các lệnh cài đặt nó. Chúng tôi sẽ sử dụng trình chỉnh sửa để chỉnh sửa tệp cấu hình SSH: /etc/ssh/sshd_config (bạn có thể sử dụng trình soạn thảo văn bản yêu thích của mình nếu bạn có kết nối máy tính từ xa). Để làm được điều đó, bạn nên nhập lệnh sau:

sudo nano /etc/ssh/sshd_config

Bây giờ, cuộn xuống cho đến khi bạn tìm thấy thuộc tính Port:

Bước 3: (Tùy chọn) Thay đổi cổng SSH để bảo mật

Như bạn có thể thấy, cổng mặc định được đề cập là 22 và # trước khi nó có nghĩa là dòng này là một lời khen ngợi. Để thực hiện bất kỳ thay đổi nào, bạn phải nhớ xóa # để bỏ ghi chú nó. Một số người thích sử dụng cổng SSH 443, cổng này thường được dành riêng cho mã hóa SSL, do đó có thể gây nhầm lẫn cho các tin tặc. Giả sử bạn muốn thay đổi cổng SSH thành 3333; để làm điều đó, hãy thực hiện thay đổi sau:

From:

#Port 22







To:

Port 3333

Một lần nữa, hãy chắc chắn rằng không có # trước từ Cảng. Nhấn Ctrl+O để lưu những thay đổi bạn đã thực hiện và Ctrl+X để thoát khỏi trình soạn thảo. 

Cũng đọc: Telnet so với SSH

Bước 4: Khởi động lại dịch vụ SSHD để hoàn tất các thay đổi

Bạn đã hoàn tất việc định cấu hình cài đặt SSH nhưng để các thay đổi có hiệu lực, bạn phải khởi động lại dịch vụ SSHD phụ trách các kết nối SSH. Để làm được điều đó, hãy nhập lệnh sau:

sudo systemctl reload sshd

Bước 5: Cấu hình tường lửa của bạn

Tuy nhiên, trước khi bắt đầu tận hưởng bảo mật máy chủ nâng cao, bạn nên định cấu hình tường lửa để ngừng chặn cổng SSH mới. Đây là lúc các lệnh dành riêng cho bản phân phối xuất hiện vì tường lửa mặc định được sử dụng bởi các bản phân phối khác nhau. 

Cách thay đổi cổng SSH trong CentOS/RHEL/Fedora

Hầu hết các bản phân phối dựa trên RHEL, như CentOS, đều sử dụng bộ bảo mật có tên SELinux (Linux được tăng cường bảo mật), hoạt động như một tường lửa, cùng nhiều tính năng khác. Tuy nhiên, trước khi tiến xa hơn, trước tiên bạn nên xem liệu SELinux có thực sự được bật hay không. Để làm điều đó, nhập lệnh sau

sudo sestatus

Nếu bạn thấy một cái gì đó như thế này, với dòng đầu tiên đọc Trạng thái SELinux: đã bật thì bạn sẽ phải trải qua các bước sau. Nếu không, bạn có thể bỏ qua bước này và tiếp tục đến bước cuối cùng đây.

Bây giờ chúng ta đã xác định SELinux đã được kích hoạt, chúng ta sẽ sử dụng nước tiểu bưu kiện. Nếu tính năng này bị tắt, bạn có thể sử dụng các hướng dẫn này để bật nhanh SELinux. Sử dụng lệnh sau để thêm cổng bạn đã chọn vào danh sách cổng SSH của SELinux (trong ví dụ này là 3333):

sudo semanage port -a -t ssh_port_t -p tcp 3333

Bây giờ, chúng ta cần yêu cầu tường lửa thêm cổng 3333 vào vùng công cộng của bạn, đây là phạm vi đã đăng ký của số cổng mở:

sudo firewall-cmd --zone=public --add-port=3333/tcp --permanent

Tất cả những gì còn lại bây giờ là khởi động lại dịch vụ tường lửa để các thay đổi có hiệu lực:

sudo firewall-cmd --reload

Đó là việc CentOS thay đổi cổng SSH. Bạn có thể kiểm tra cổng mới bên dưới.

Cũng đọc:  Máy khách SSH tốt nhất cho Windows năm 2022

Cách thay đổi cổng SSH trong Ubuntu/Debian/Kali

Ubuntu và một số bản phân phối dựa trên Debian khác có tường lửa UFW được cài đặt và hoạt động theo mặc định. Điều đó có thể được thực hiện bằng cách sử dụng lệnh sau mà bạn cần nhập vào Terminal giống như lệnh trước:

sudo ufw allow 2222/tcp

Thế là xong việc Ubuntu đổi cổng SSH. Bây giờ chúng ta hãy chuyển sang kiểm tra kết nối với cổng mới.

Kiểm tra cổng SSH mới

 

Bây giờ, để xem liệu mọi thứ có diễn ra như bình thường hay không, chúng tôi sẽ thực hiện kiểm tra nhanh để xem liệu việc chuyển tiếp cổng SSH của chúng tôi có thành công hay không. Nếu bạn đã sử dụng SSH cho đến thời điểm này, trước tiên bạn nên thoát khỏi phiên bằng cách đóng shell. Mở Terminal trên máy khách của bạn và nhập lệnh sau để thiết lập kết nối SSH:

shh 00.00.00.00 -p 3333

Tất nhiên, bạn nên thay thế 00.00.00 với địa chỉ IP chính xác cho máy chủ của bạn mà bạn có thể lấy từ bảng điều khiển trên trang web của nhà cung cấp.

Các biện pháp an ninh khác

Chỉ vậy thôi, tùy theo mục đích tăng cường bảo mật SSH cho máy chủ của bạn, nhưng luôn có nhiều hơn thế. Nhiệm vụ bảo mật của quản trị viên không bao giờ được thực hiện. Vẫn còn những việc phải làm, như vô hiệu hóa quyền truy cập tài khoản root, tạo mật khẩu mạnh hơn, v.v. Tất nhiên, nhà cung cấp dịch vụ lưu trữ đóng vai trò quan trọng nhất trong việc đảm bảo an ninh máy chủ, vì vậy việc chọn đúng nhà cung cấp dịch vụ lưu trữ là rất quan trọng. Đó là lý do tại sao Cloudzy chạy các máy chủ VPS Linux của mình trên các máy chủ cực kỳ an toàn với tường lửa dựa trên phần cứng và AI, tính năng bảo vệ DDoS thông minh và các biện pháp bảo vệ độc quyền khác. Hãy để tâm trí bạn thoải mái và nhận giải pháp VPS Linux an toàn từ Cloudzy Hôm nay.