VPS

Hướng dẫn bảo mật SSH VPS toàn tập từ cơ bản đến nâng cao

Đăng vào bởi Mỹ Y

Bảo mật SSH VPS là một trong những yếu tố quan trọng nhất để đảm bảo an toàn cho máy chủ của bạn trước các cuộc tấn công mạng ngày càng tinh vi. Dù bạn là lập trình viên, quản trị hệ thống hay người mới sử dụng VPS, việc hiểu và triển khai bảo mật SSH (Secure Shell) đúng cách sẽ giúp ngăn chặn nguy cơ bị xâm nhập, đánh cắp dữ liệu hoặc chiếm quyền điều khiển máy chủ. Trong bài viết này, InterData sẽ hướng dẫn bạn toàn tập về cách bảo mật SSH VPS hiệu quả, giúp tăng cường lớp phòng thủ cho hệ thống.

Bảo mật SSH VPS là gì?

Bảo mật SSH VPS là quá trình bảo vệ kênh kết nối giữa người dùng và máy chủ ảo (VPS) sử dụng giao thức SSH (Secure Shell) nhằm ngăn chặn các mối đe dọa từ bên ngoài như tấn công dò mật khẩu (brute force), nghe lén hoặc truy cập trái phép. SSH là cách thức an toàn để đăng nhập và quản lý VPS thay vì dùng mật khẩu truyền thống.

Bảo mật SSH VPS là gì
Bảo mật SSH VPS là gì?

Một số điểm chính của bảo mật SSH VPS gồm:

  • Sử dụng SSH Key thay thế mật khẩu: SSH Key giống như vân tay độc nhất để xác thực, sử dụng mã hóa mạnh, rất khó bị phá vỡ hoặc giả mạo.
  • Thay đổi cổng mặc định của SSH (22) để giảm rủi ro bị tấn công tự động.
  • Sử dụng mật khẩu mạnh hoặc tắt đăng nhập mật khẩu nếu dùng SSH Key.
  • Kích hoạt tường lửa (firewall) chỉ cho phép truy cập cổng cần thiết.
  • Sử dụng các biện pháp bổ sung như hạn chế truy cập theo IP, bảo mật đa lớp (2FA).
  • Quản lý quyền user, hạn chế quyền root.

SSH VPS bảo mật là bảo vệ “cánh cửa” an ninh giúp người dùng quản trị VPS an toàn hơn, tránh nguy cơ mất kiểm soát hệ thống do tin tặc lợi dụng lỗ hổng bảo mật SSH thông thường bằng mật khẩu yếu hoặc cổng mặc định dễ dò tìm.

Bảo mật SSH VPS là tổng hợp các kỹ thuật và thiết lập nhằm đảm bảo rằng chỉ người dùng được phép mới truy cập được VPS qua giao thức SSH, bằng cách sử dụng các phương pháp hiện đại như SSH Key, đổi cổng, firewall… để giảm thiểu nguy cơ bị tấn công mạng.

Tại sao cần bảo mật SSH cho VPS?

Cần bảo mật SSH cho VPS vì đây là điểm truy cập quan trọng nhất vào hệ thống VPS, nếu không được bảo vệ đúng cách dễ bị hacker tấn công, gây ra hậu quả nghiêm trọng như mất dữ liệu, bị chiếm quyền điều khiển hoặc gián đoạn dịch vụ. Cụ thể:

  • SSH thường dùng để quản lý VPS từ xa, nếu mật khẩu yếu hoặc dùng cổng mặc định dễ bị tấn công dò mật khẩu (Brute Force) và các cuộc xâm nhập trái phép.
  • Bảo mật SSH bằng cách sử dụng SSH Key thay cho mật khẩu giúp ngăn chặn việc đoán mật khẩu và lộ thông tin đăng nhập vì SSH Key dùng mã hóa rất mạnh, an toàn hơn nhiều mật khẩu thông thường.
  • Thay đổi cổng SSH mặc định (22), tắt đăng nhập root qua SSH, hạn chế truy cập theo IP hay bật tường lửa đều là biện pháp quan trọng để giảm khả năng tấn công và tăng an toàn cho VPS.
  • Bảo mật SSH giúp tránh ảnh hưởng xấu đến dữ liệu, ổn định hệ thống, bảo vệ danh tiếng doanh nghiệp và duy trì quyền kiểm soát VPS.

Bảo mật SSH là thiết yếu để bảo vệ cửa ngõ kết nối quan trọng vào VPS, giúp ngăn chặn truy cập trái phép và giữ an toàn cho dữ liệu, dịch vụ trên máy chủ ảo.

Tại sao cần bảo mật SSH cho VPS
Tại sao cần bảo mật SSH cho VPS?

Các tệp cấu hình SSH quan trọng cần biết trên Linux

Khi triển khai OpenSSH trên Linux, bạn cần lưu ý đến một số tệp cấu hình sau:

  • Cổng SSH mặc định: TCP – 22
  • /etc/ssh/sshd_config: tệp cấu hình của dịch vụ OpenSSH Server.
  • /etc/ssh/ssh_config: tệp cấu hình OpenSSH Client.
  • ~/.ssh/: thư mục chứa các tệp cấu hình SSH dành riêng cho từng user trên Linux.
  • /etc/nologin: nếu tệp này tồn tại, hệ thống sẽ từ chối mọi kết nối SSH từ các user khác (ngoại trừ root). Tệp này thường được dùng trong tình huống khẩn cấp khi cần cách ly hệ thống nhanh chóng.

Lưu ý quan trọng:

  • Bạn cần có quyền user root để chỉnh sửa cấu hình SSH Server khi thiết lập bảo mật.
  • Toàn bộ các bước cấu hình bảo mật SSH phía dưới sẽ được thực hiện thông qua việc chỉnh sửa tệp /etc/ssh/sshd_config trên Linux.

16+ Cách bảo mật SSH cho VPS an toàn tuyệt đối

1. Chỉ sử dụng giao thức SSH phiên bản 2

Phiên bản SSH-1 hiện đã lỗi thời và tồn tại nhiều lỗ hổng bảo mật, đặc biệt là nguy cơ tấn công man-in-the-middle. Do đó, bạn nên cấu hình để chỉ dùng SSH phiên bản 2.

Trên hầu hết hệ điều hành hiện nay, SSH mặc định là phiên bản 2, nhưng một số bản Linux cũ vẫn hỗ trợ cả hai phiên bản.

# Protocol 2

2. Vô hiệu hóa đăng nhập bằng mật khẩu rỗng

Không cho phép user đăng nhập SSH mà không có mật khẩu là điều bắt buộc để tránh rủi ro bảo mật nghiêm trọng.

# PermitEmptyPasswords no

3. Thay đổi cổng SSH mặc định (Port 22)

Cổng SSH mặc định là 22, nhưng vì đây là port phổ biến, các hacker thường scan tự động để tấn công.

Bạn nên đổi sang port khác (ví dụ 8022) để hạn chế rủi ro.

# Port 8022

Nếu VPS có nhiều địa chỉ IP, bạn nên chỉ định cụ thể IP nào cho phép SSH lắng nghe kết nối, điều này giúp tăng cường bảo mật.

# ListenAddress 192.168.1.123
Cách bảo mật SSH cho VPS an toàn
Cách bảo mật SSH cho VPS an toàn

4. Tắt đăng nhập bằng tài khoản root

Không nên cho phép đăng nhập SSH trực tiếp bằng user root.

Thay vào đó, hãy tạo một user thường và dùng sudo hoặc su khi cần quyền root.

# PermitRootLogin no

5. Bật chế độ kiểm tra quyền StrictModes

Tùy chọn này buộc SSH phải kiểm tra quyền truy cập (permission) của thư mục $HOME, .ssh và file authorized_keys.

Nếu bỏ qua, SSH có thể bị truy cập trái phép.

# StrictModes yes

6. Giới hạn số lần đăng nhập sai

Để tránh tấn công brute force, hãy giới hạn số lần nhập sai mật khẩu (ví dụ 3 lần).

# MaxAuthTries 3

7. Kích hoạt xác thực hai lớp (Google Authenticator)

Cài đặt Google Authenticator giúp bổ sung lớp bảo mật thứ hai: sau khi nhập mật khẩu, người dùng cần nhập mã xác thực trên điện thoại. Cách này giúp ngăn chặn việc truy cập trái phép hiệu quả hơn.

8. Vô hiệu hóa đăng nhập bằng ~/.rhosts

Tính năng “rlogin” qua port 22 đã quá cũ và tiềm ẩn nhiều lỗ hổng.

Nếu trong file ~/.rhosts có danh sách user và host, các user này có thể truy cập hệ thống mà không cần mật khẩu.

Hãy tắt ngay tùy chọn này để tăng bảo mật.

# IgnoreRhosts yes
# RhostsRSAAuthentication no

9. Tự động ngắt kết nối khi user không hoạt động

Thiết lập thời gian timeout để SSH Server tự động ngắt kết nối khi người dùng không tương tác trong khoảng thời gian nhất định (ví dụ 5 phút).

# ClientAliveInterval 300
# ClientAliveCountMax 0

10. Đặt mật khẩu mạnh và khó đoán

Nếu bạn vẫn sử dụng đăng nhập SSH bằng mật khẩu, hãy đảm bảo:

  • Dài trên 8 ký tự.
  • Có chữ hoa, chữ thường, số và ký tự đặc biệt.
  • Không dùng từ dễ đoán hoặc phổ biến.

Ví dụ: sshbC3yuq57@S

11. Giới hạn thời gian nhập thông tin đăng nhập

Thiết lập khoảng thời gian (ví dụ 120 giây) để người dùng hoàn tất quá trình đăng nhập. Nếu vượt quá thời gian này, kết nối SSH sẽ bị tự động ngắt.

# LoginGraceTime 120

12. Tắt hiển thị log đăng nhập lần gần nhất

Nếu bạn không muốn hiển thị thông tin “Last login” khi truy cập SSH, hãy tắt tùy chọn này:

# PrintLastLog no

13. Dùng SSH Key thay vì mật khẩu

Đăng nhập bằng SSH Key là phương pháp bảo mật tốt nhất hiện nay. Nếu vẫn dùng mật khẩu, bạn có thể bị mất quyền truy cập VPS nếu mật khẩu bị lộ hoặc bị tấn công brute force.

Hãy tắt xác thực mật khẩu và chỉ bật xác thực SSH Key:

# PubkeyAuthentication yes
# PasswordAuthentication no

14. Giới hạn user hoặc group được phép đăng nhập SSH

Bạn có thể cho phép hoặc từ chối SSH cho từng user hoặc group cụ thể.

Cho phép:

# AllowUsers user1 user2
# AllowGroups group1

Từ chối:

# DenyUsers user3 user4
# DenyGroups guest

15. Sử dụng Firewall CSF để bảo vệ VPS

CSF (ConfigServer Security & Firewall) là tường lửa phần mềm mạnh mẽ, dễ cấu hình, có thể chống DDoS, DoS và giới hạn IP truy cập SSH.

CSF hoạt động tốt trên các nền tảng như cPanel, DirectAdmin, CWP,…

16. Cài đặt Fail2Ban để chặn IP độc hại

Fail2Ban thường được dùng cùng iptables để tự động chặn IP có hành vi đáng ngờ (như dò mật khẩu). Công cụ này cũng có thể bảo vệ các hệ thống tổng đài như Asterisk, Freeswitch, giúp chống tấn công SIP, DoS hoặc DDoS.

Nếu bạn chưa tự tin trong việc thiết lập và bảo mật SSH cho VPS, hãy lựa chọn dịch vụ VPS an toàn – hiệu năng cao tại InterData. Hệ thống của InterData được trang bị chống DDoS, tường lửa đa lớp, ổ cứng NVMe tốc độ cao và đội ngũ kỹ thuật hỗ trợ 24/7, giúp bạn vận hành máy chủ ổn định, bảo mật và đạt hiệu suất tối đa.

Gợi ý các công cụ hỗ trợ bảo mật SSH VPS

Các công cụ hỗ trợ bảo mật SSH VPS phổ biến và hiệu quả bao gồm:

  • SSH Key: Đây là công cụ quan trọng nhất để thay thế mật khẩu, sử dụng cặp khóa công khai (public key) và khóa riêng (private key) giúp mã hóa bất đối xứng, tăng cường xác thực mạnh mẽ và ngăn chặn tấn công dò mật khẩu.
  • PuTTY: Phần mềm client SSH phổ biến trên Windows, hỗ trợ kết nối an toàn đến VPS, quản lý phiên làm việc, và cấu hình bảo mật kết nối SSH.
  • Xshell: Một công cụ mạnh mẽ giúp đăng nhập và quản lý VPS an toàn, hỗ trợ nhiều tính năng bảo mật cao cấp và quản lý phiên SSH hiệu quả.
  • Firewall (ví dụ CSF – ConfigServer Security & Firewall): Công cụ tường lửa mềm giúp quản lý các cổng mở, hạn chế truy cập trái phép thông qua cổng SSH và bảo vệ VPS khỏi các cuộc tấn công mạng.
  • Công cụ cấu hình SSH server: Cho phép tắt đăng nhập mật khẩu, chỉ cho phép xác thực bằng SSH Key, thay đổi cổng SSH mặc định, giới hạn quyền user truy cập, cấu hình timeout đăng nhập là các biện pháp bảo mật quan trọng được thực hiện qua file sshd_config.

Những công cụ này phối hợp tạo thành hệ thống bảo mật SSH hiệu quả cho VPS, bảo vệ tối đa quyền truy cập và ngăn ngừa các nguy cơ bảo mật từ mạng Internet.

Bảo mật SSH VPS không chỉ là thao tác kỹ thuật, mà là bước nền tảng để đảm bảo an toàn cho toàn bộ hệ thống máy chủ. Chỉ cần một lỗ hổng nhỏ trong cấu hình SSH, kẻ xấu có thể dễ dàng xâm nhập, đánh cắp dữ liệu hoặc chiếm quyền điều khiển VPS.

Vì vậy, việc thiết lập và duy trì các biện pháp bảo mật SSH như đổi port mặc định, tắt root login, sử dụng SSH key, giới hạn quyền truy cập hay bật xác thực hai lớp là điều bắt buộc với mọi quản trị viên hệ thống.

Mỹ Y

Nguyễn Thị Mỹ Y tốt nghiệp chuyên ngành Marketing Thương mại với hơn 4 năm kinh nghiệm trong lĩnh vực Content về Công nghệ và Phần mềm. Hiện tôi đang đảm nhiệm vị trí Digital Marketing tại InterData – đơn vị cung cấp giải pháp công nghệ lưu trữ hàng đầu tại Việt Nam, nơi tôi có cơ hội làm việc cùng các chuyên gia trong ngành. Trong công việc, tôi tham gia phát triển nội dung về phần mềm mã nguồn mở, ứng dụng và các giải pháp công nghệ hữu ích. Đồng thời, tôi luôn chủ động tham gia workshop, khóa đào tạo và cập nhật xu hướng mới nhằm nâng cao chuyên môn, với mong muốn góp phần chia sẻ kiến thức và thúc đẩy sự phát triển của cộng đồng công nghệ tại Việt Nam. Các bài viết được đăng trên blog của InterData đã được các chuyên viên kỹ thuật kiểm duyệt trước khi đăng.