SSH Key là gì? Hướng dẫn Tạo, Sử dụng và Bảo mật A-Z

SSH Key (Secure Shell Key) là một phương thức xác thực tiên tiến, cho phép bạn kết nối an toàn đến máy chủ từ xa mà không cần sử dụng mật khẩu truyền thống. Thay vào đó, hệ thống sử dụng một cặp khóa: khóa riêng tư (private key) được lưu trữ trên máy tính của bạn và khóa công khai (public key) được đặt trên máy chủ bạn muốn truy cập. Cơ chế này mang lại sự bảo mật và tiện lợi vượt trội.

Cơ chế hoạt động của SSH Key

Cơ chế hoạt động của SSH Key dựa trên nguyên tắc mã hóa bất đối xứng, sử dụng một cặp khóa: khóa riêng tư (private key) trên máy của bạn và khóa công khai (public key) trên máy chủ. Khi bạn kết nối, khóa riêng tư tạo một “chữ ký số”, và máy chủ dùng khóa công khai để xác minh. Nếu khớp, kết nối an toàn được thiết lập.

Hãy hình dung khóa riêng tư như chìa khóa của bạn, còn khóa công khai như ổ khóa trên cửa nhà (server). Chỉ có chìa khóa của bạn mới mở được ổ khóa đó. Khi bạn “tra chìa” (kết nối), hệ thống sẽ kiểm tra xem chìa có khớp với ổ không. Quá trình này diễn ra hoàn toàn tự động và được mã hóa.

Cụ thể, khi bạn bắt đầu kết nối SSH, máy tính của bạn (client) sẽ sử dụng khóa riêng tư để tạo ra một thông điệp đã được mã hóa, gọi là chữ ký số. Thông điệp này được gửi đến máy chủ. Máy chủ sau đó sử dụng khóa công khai tương ứng để giải mã thông điệp. Nếu giải mã thành công, chứng tỏ bạn sở hữu khóa riêng tư hợp lệ.

Quá trình xác thực này diễn ra trong tích tắc và hoàn toàn trong suốt với người dùng. Bạn không cần phải nhập mật khẩu, nhưng hệ thống vẫn đảm bảo được tính bảo mật cao. Đây là điểm khác biệt lớn so với phương thức xác thực bằng mật khẩu truyền thống, vốn dễ bị tấn công “brute-force” (thử tất cả các mật khẩu có thể).

Ví dụ, bạn có thể tưởng tượng việc gửi một bức thư được khóa bằng một chiếc khóa đặc biệt. Chỉ người nhận có chìa khóa phù hợp mới có thể mở được bức thư đó. Tương tự như vậy, SSH Key đảm bảo rằng chỉ có bạn, người sở hữu khóa riêng tư, mới có thể truy cập vào máy chủ. Việc xác thực được thực hiện tự động.

Những lợi ích của SSH Key

SSH Key mang lại nhiều lợi ích vượt trội so với phương pháp xác thực bằng mật khẩu truyền thống, đặc biệt là về bảo mật, tiện lợi và khả năng tự động hóa. Việc chuyển sang sử dụng SSH Key không chỉ giúp tăng cường an ninh cho hệ thống của bạn mà còn giúp công việc quản trị trở nên dễ dàng và hiệu quả hơn.

Bảo mật vượt trội

SSH Key loại bỏ nguy cơ bị tấn công brute-force (dò mật khẩu) – một trong những hình thức tấn công phổ biến nhất. Vì không cần nhập mật khẩu, kẻ tấn công không thể thử hàng loạt mật khẩu để truy cập trái phép vào hệ thống của bạn. Khóa SSH, với độ dài và độ phức tạp cao, gần như không thể bị “bẻ khóa” bằng các phương pháp thông thường.

Thay vì dựa vào một mật khẩu duy nhất, SSH Key sử dụng cặp khóa bất đối xứng. Ngay cả khi kẻ tấn công bằng cách nào đó có được khóa công khai, họ cũng không thể sử dụng nó để truy cập vào hệ thống nếu không có khóa riêng tư. Điều này tạo ra một lớp bảo mật bổ sung, giúp bảo vệ hệ thống của bạn an toàn hơn.

Tiện lợi và nhanh chóng

Với SSH Key, bạn không cần phải nhớ và nhập mật khẩu mỗi khi kết nối đến máy chủ. Điều này đặc biệt hữu ích nếu bạn thường xuyên làm việc với nhiều máy chủ khác nhau. Bạn chỉ cần tạo một cặp khóa, đặt khóa công khai lên các máy chủ, và sau đó có thể truy cập một cách nhanh chóng và dễ dàng.

Hãy tưởng tượng bạn phải quản lý hàng chục máy chủ. Việc nhớ và nhập mật khẩu cho từng máy chủ sẽ rất mất thời gian và dễ gây nhầm lẫn. SSH Key giải quyết vấn đề này một cách triệt để. Bạn chỉ cần xác thực một lần bằng khóa riêng tư, và sau đó có thể truy cập vào tất cả các máy chủ đã được cấu hình.

Tự động hóa các tác vụ

SSH Key là một công cụ hỗ trợ đắc lực cho việc tự động hóa các tác vụ quản trị hệ thống. Bạn có thể sử dụng SSH Key trong các script (kịch bản) để tự động thực hiện các công việc như sao lưu dữ liệu, triển khai ứng dụng, giám sát hệ thống, mà không cần phải nhập mật khẩu thủ công. Điều này giúp tiết kiệm thời gian, công sức.

Ví dụ, bạn có thể viết một script để tự động sao lưu dữ liệu từ máy chủ này sang máy chủ khác hàng đêm. Thay vì phải nhập mật khẩu mỗi lần chạy script, bạn có thể sử dụng SSH Key để xác thực. Điều này không chỉ giúp quá trình sao lưu diễn ra tự động mà còn đảm bảo an toàn cho dữ liệu của bạn.

Quản Lý Truy Cập Hiệu Quả

SSH Key cho phép bạn quản lý quyền truy cập của người dùng vào hệ thống một cách dễ dàng và linh hoạt hơn. Bạn có thể cấp quyền truy cập cho từng người dùng bằng cách thêm khóa công khai của họ vào file authorized_keys trên máy chủ. Khi không cần thiết, bạn có thể dễ dàng thu hồi quyền truy cập bằng cách xóa khóa công khai đó.

Các loại SSH Key

Có nhiều loại SSH Key khác nhau, mỗi loại sử dụng một thuật toán mã hóa riêng. Việc lựa chọn loại khóa phù hợp phụ thuộc vào nhu cầu bảo mật và hiệu suất của bạn. Dưới đây là một số loại SSH Key phổ biến nhất hiện nay, bao gồm: RSA, DSA, ECDSA và Ed25519, với các đặc điểm và khuyến nghị sử dụng riêng.

RSA (Rivest-Shamir-Adleman)

RSA là loại khóa phổ biến nhất và được hỗ trợ rộng rãi nhất trong các hệ thống và ứng dụng. RSA sử dụng thuật toán mã hóa bất đối xứng, dựa trên độ khó của việc phân tích một số nguyên lớn thành các thừa số nguyên tố. RSA thường được sử dụng với độ dài khóa 2048 bit hoặc 4096 bit, cung cấp sự cân bằng giữa bảo mật và hiệu suất.

Tuy nhiên, với sự phát triển của công nghệ, RSA với độ dài khóa ngắn (ví dụ: 1024 bit) không còn được coi là an toàn. Nếu bạn sử dụng RSA, hãy đảm bảo sử dụng độ dài khóa ít nhất 2048 bit, tốt nhất là 4096 bit, để đảm bảo an toàn trước các phương pháp tấn công hiện đại. RSA vẫn là một lựa chọn tốt, quen thuộc.

DSA (Digital Signature Algorithm)

DSA là một tiêu chuẩn cũ hơn, từng được sử dụng rộng rãi. Tuy nhiên, DSA hiện nay không còn được khuyến nghị sử dụng do các vấn đề bảo mật tiềm ẩn. Các phiên bản mới của OpenSSH (một phần mềm SSH phổ biến) thậm chí đã vô hiệu hóa hỗ trợ cho DSA theo mặc định. Bạn nên tránh sử dụng DSA và chuyển sang các loại khóa hiện đại hơn.

ECDSA (Elliptic Curve Digital Signature Algorithm)

ECDSA là một thuật toán mã hóa dựa trên đường cong elliptic. Nó cung cấp mức độ bảo mật tương đương với RSA nhưng với kích thước khóa nhỏ hơn, giúp tăng tốc độ tạo khóa và xác thực. Ví dụ, một khóa ECDSA 256 bit có thể cung cấp mức độ bảo mật tương đương với khóa RSA 3072 bit. Điều này làm ECDSA trở thành lựa chọn.

ECDSA là một lựa chọn tốt nếu bạn cần hiệu suất cao hơn, đặc biệt là trong các môi trường có tài nguyên hạn chế. Tuy nhiên, hãy lưu ý rằng không phải tất cả các hệ thống và ứng dụng đều hỗ trợ ECDSA. Hãy kiểm tra tính tương thích trước khi sử dụng ECDSA để đảm bảo rằng nó được hỗ trợ trên cả máy khách và máy chủ.

Ed25519

Ed25519 là một loại khóa tương đối mới và được coi là một trong những lựa chọn an toàn và hiệu quả nhất hiện nay. Nó cũng dựa trên đường cong elliptic, nhưng sử dụng một đường cong đặc biệt (Curve25519) được thiết kế để tối ưu hóa cả bảo mật và hiệu suất. Ed25519 đang ngày càng trở nên phổ biến và được khuyến nghị sử dụng.

Ed25519 cung cấp tốc độ tạo khóa và xác thực nhanh hơn so với RSA và ECDSA, đồng thời có khả năng chống lại các cuộc tấn công side-channel (tấn công dựa trên thông tin rò rỉ từ quá trình thực thi, ví dụ như thời gian xử lý). Nếu hệ thống của bạn hỗ trợ, Ed25519 là lựa chọn tốt nhất cho SSH Key của bạn.

Cách tạo SSH Key

Việc tạo SSH Key khá đơn giản và có thể thực hiện trên nhiều hệ điều hành khác nhau. Hướng dẫn này sẽ trình bày chi tiết cách tạo SSH key trên Linux/macOS (sử dụng Terminal) và trên Windows (sử dụng PuTTYgen và OpenSSH). Bạn có thể chọn phương pháp phù hợp với hệ điều hành của mình. Quá trình tạo bao gồm các bước chính.

Trước khi bắt đầu, hãy quyết định loại SSH Key bạn muốn tạo (RSA, Ed25519,…). Ed25519 được khuyến nghị vì tính bảo mật và hiệu suất tốt. Sau đó, bạn sẽ sử dụng một công cụ (thường là dòng lệnh) để tạo cặp khóa. Cuối cùng, bạn có thể thêm một passphrase (mật khẩu) để tăng cường bảo mật cho khóa riêng tư của mình.

Tạo SSH Key trên Linux/macOS (sử dụng Terminal)

Trên các hệ điều hành Linux và macOS, bạn sẽ sử dụng Terminal để tạo SSH Key. Terminal là một giao diện dòng lệnh cho phép bạn tương tác trực tiếp với hệ điều hành. Để mở Terminal, trên macOS, bạn có thể tìm kiếm “Terminal” trong Spotlight. Trên Linux, bạn có thể tìm thấy Terminal trong danh sách ứng dụng hoặc sử dụng tổ hợp phím Ctrl+Alt+T.

1. Mở Terminal: Tìm và mở ứng dụng Terminal trên hệ thống của bạn.
2. Sử dụng lệnh ssh-keygen: Đây là lệnh chính để tạo SSH Key. Cú pháp đầy đủ của lệnh là: ssh-keygen -t <loại_khóa> -b <độ_dài_khóa> -C "mô tả"
   • -t: Chỉ định loại khóa. Ví dụ: -t ed25519 hoặc -t rsa.
   • -b: Chỉ định độ dài khóa (bits). Chỉ áp dụng cho RSA. Ví dụ: -b 4096. Với Ed25519, bạn không cần chỉ định độ dài khóa.
   • -C: Thêm mô tả (comment). Ví dụ: -C "my-key-for-server". Mô tả này giúp bạn dễ dàng nhận biết khóa này dùng cho mục đích gì.
3. Ví dụ tạo khóa Ed25519: ssh-keygen -t ed25519 -C "my-ed25519-key" Lệnh này sẽ tạo một khóa Ed25519 với mô tả là “my-ed25519-key”.
4. Ví dụ tạo khóa RSA 4096 bit: ssh-keygen -t rsa -b 4096 -C "my-rsa-4096-key" Lệnh này sẽ tạo một khóa RSA với độ dài 4096 bit và mô tả là “my-rsa-4096-key”.
5. Chọn vị trí lưu khóa: Sau khi chạy lệnh, hệ thống sẽ hỏi bạn muốn lưu khóa ở đâu. Mặc định là ~/.ssh/id_<loại_khóa> (ví dụ: ~/.ssh/id_ed25519). Bạn có thể nhấn Enter để chấp nhận vị trí mặc định, hoặc nhập đường dẫn khác nếu muốn.
6. Nhập passphrase (tùy chọn): Hệ thống sẽ hỏi bạn có muốn nhập passphrase không. Passphrase là một mật khẩu bổ sung để bảo vệ khóa riêng tư. Nếu bạn nhập passphrase, bạn sẽ cần nhập lại passphrase đó mỗi khi sử dụng khóa riêng tư. Nên sử dụng passphrase để tăng cường bảo mật.
7. Hoàn tất: Sau khi hoàn tất, hệ thống sẽ tạo ra hai file:
   • ~/.ssh/id_<loại_khóa>: Đây là khóa riêng tư (private key) của bạn. Hãy giữ bí mật file này.
   • ~/.ssh/id_<loại_khóa>.pub: Đây là khóa công khai (public key) của bạn. Bạn sẽ cần file này để đặt lên server.

Tạo SSH Key trên Windows (sử dụng PuTTYgen)

Trên Windows, bạn có thể sử dụng PuTTYgen, một công cụ đi kèm với bộ phần mềm PuTTY, để tạo SSH Key. PuTTY là một trình khách SSH và Telnet phổ biến trên Windows. Trước hết bạn cần tải và cài đặt phần mềm PuTTY tại trang chủ. Sau khi cài đặt, bạn hãy làm theo hướng dẫn từng bước dưới đây.

1. Mở PuTTYgen: Tìm và mở ứng dụng PuTTYgen trên máy tính của bạn.
2. Chọn loại khóa: Trong phần “Parameters” ở phía dưới cửa sổ, chọn loại khóa bạn muốn tạo. Bạn có thể chọn “RSA” hoặc “ED25519”.
3. Chọn độ dài khóa (cho RSA): Nếu bạn chọn RSA, hãy chọn độ dài khóa trong phần “Number of bits in a generated key”. Khuyến nghị ít nhất là 2048 bit, tốt nhất là 4096 bit. Với Ed25519, bạn không cần chọn độ dài khóa.
4. Nhấp vào “Generate”: Nhấp vào nút “Generate” để bắt đầu quá trình tạo khóa.
5. Di chuyển chuột ngẫu nhiên: PuTTYgen sẽ yêu cầu bạn di chuyển chuột ngẫu nhiên trong vùng trống của cửa sổ. Việc này giúp tạo ra tính ngẫu nhiên cho khóa.
6. Nhập passphrase (tùy chọn): Trong phần “Key passphrase” và “Confirm passphrase”, bạn có thể nhập passphrase để bảo vệ khóa riêng tư. Nên sử dụng passphrase.
7. Thêm mô tả (tùy chọn): Trong phần “Key comment”, bạn có thể thêm mô tả để dễ dàng nhận biết khóa này.
8. Lưu khóa riêng tư: Nhấp vào nút “Save private key” để lưu khóa riêng tư. Chọn một vị trí an toàn và đặt tên file dễ nhớ (ví dụ: my-private-key.ppk). Phần mở rộng .ppk là định dạng khóa riêng của PuTTY.
9. Lưu khóa công khai: Nhấp vào nút “Save public key” để lưu khóa công khai. Bạn có thể đặt tên file tương tự như khóa riêng tư (ví dụ: my-public-key.pub).

Tạo SSH Key trên Windows (sử dụng OpenSSH)

Windows 10 và Windows Server 2019 trở lên đã tích hợp sẵn OpenSSH, cho phép bạn tạo SSH Key trực tiếp từ Command Prompt hoặc PowerShell, tương tự như trên Linux/macOS.

1. Mở Command Prompt hoặc PowerShell: Tìm và mở Command Prompt hoặc PowerShell (nên chạy với quyền Administrator).
2. Sử dụng lệnh ssh-keygen: Cách sử dụng lệnh ssh-keygen hoàn toàn giống như trên Linux/macOS. Bạn có thể tham khảo lại phần hướng dẫn ở trên. Ví dụ: ssh-keygen -t ed25519 -C "my-windows-ssh-key"
3. Các bước còn lại: Các bước còn lại (chọn vị trí lưu khóa, nhập passphrase) hoàn toàn giống như trên Linux/macOS.

Lưu ý quan trọng:

• Khóa riêng tư (.ppk hoặc không có phần mở rộng): Tuyệt đối không chia sẻ file này với bất kỳ ai.
• Khóa công khai (.pub): File này bạn sẽ cần để cấu hình trên server.
• Passphrase: Nếu sử dụng, hãy ghi nhớ passphrase. Mất passphrase đồng nghĩa với việc mất quyền truy cập sử dụng key đó.

Cách sử dụng SSH Key

Sau khi đã tạo SSH Key, bước tiếp theo là sử dụng nó để kết nối đến máy chủ từ xa (remote server). Quá trình này bao gồm hai bước chính: đặt khóa công khai (public key) lên máy chủ và sử dụng khóa riêng tư (private key) trên máy tính của bạn để kết nối. Hướng dẫn này sẽ trình bày chi tiết các bước thực hiện.

Việc sử dụng SSH Key thay vì mật khẩu không chỉ tăng cường bảo mật mà còn tiện lợi hơn rất nhiều. Bạn không cần phải nhớ và nhập mật khẩu mỗi lần kết nối. Tuy nhiên, hãy nhớ rằng việc bảo vệ khóa riêng tư là vô cùng quan trọng. Nếu khóa riêng tư bị lộ, kẻ tấn công có thể truy cập vào tất cả các máy chủ.

Đặt khóa công khai lên máy chủ

Đây là bước quan trọng nhất để có thể sử dụng SSH Key. Bạn cần copy nội dung của file khóa công khai (ví dụ: id_ed25519.pub) và thêm nó vào file ~/.ssh/authorized_keys trên máy chủ mà bạn muốn truy cập. Có một số cách để thực hiện việc này, tùy thuộc vào quyền truy cập và công cụ bạn có.

• Sử dụng lệnh ssh-copy-id (Cách dễ nhất):Nếu bạn có thể truy cập vào máy chủ bằng mật khẩu (ít nhất một lần), bạn có thể sử dụng lệnh ssh-copy-id để tự động copy khóa công khai lên máy chủ. Lệnh này sẽ tự động tạo thư mục ~/.ssh và file authorized_keys nếu chúng chưa tồn tại, đồng thời đặt quyền truy cập chính xác cho file.Cú pháp lệnh: ssh-copy-id -i <đường_dẫn_đến_khóa_công_khai> user@remote_host
  • -i: Chỉ định đường dẫn đến file khóa công khai. Nếu bạn không chỉ định, nó sẽ sử dụng file mặc định (~/.ssh/id_rsa.pub).
  • user: Tên người dùng trên máy chủ.
  • remote_host: Địa chỉ IP hoặc tên miền của máy chủ.

  Ví dụ: ssh-copy-id -i ~/.ssh/id_ed25519.pub [email protected]

  Sau khi chạy lệnh này, bạn sẽ được yêu cầu nhập mật khẩu của người dùng trên máy chủ (lần cuối cùng). Sau đó, khóa công khai sẽ được thêm vào authorized_keys, và bạn có thể kết nối bằng SSH Key từ lần sau.

• Thêm thủ công: Nếu bạn không thể sử dụng ssh-copy-id, bạn có thể thêm khóa công khai vào authorized_keys một cách thủ công.
  1. Copy nội dung khóa công khai: Mở file khóa công khai (ví dụ: id_ed25519.pub) bằng một trình soạn thảo văn bản (text editor) và copy toàn bộ nội dung của nó.
  2. Kết nối đến máy chủ bằng SSH (sử dụng mật khẩu): ssh user@remote_host
  3. Tạo thư mục ~/.ssh (nếu chưa tồn tại): mkdir -p ~/.ssh
  4. Mở file authorized_keys (nếu chưa tồn tại, tạo mới): nano ~/.ssh/authorized_keys (hoặc sử dụng trình soạn thảo văn bản khác như vi).
  5. Dán nội dung khóa công khai vào file authorized_keys: Dán nội dung đã copy ở bước 1 vào file này. Mỗi khóa công khai nên nằm trên một dòng riêng biệt.
  6. Lưu và đóng file: Lưu các thay đổi và đóng trình soạn thảo văn bản.
  7. Đặt quyền truy cập chính xác: chmod 700 ~/.ssh và chmod 600 ~/.ssh/authorized_keys. Điều này rất quan trọng để đảm bảo an toàn. Lệnh trên có nghĩa thư mục .ssh chỉ có user sở hữu mới có quyền đọc, ghi và thực thi. File authorized_keys chỉ có user sở hữu mới có quyền đọc và ghi.

Kết nối đến máy chủ bằng SSH Key

Sau khi đã đặt khóa công khai lên máy chủ, bạn có thể kết nối bằng SSH Key từ máy tính của mình.

1. Mở Terminal (Linux/macOS) hoặc Command Prompt/PowerShell (Windows).
2. Sử dụng lệnh ssh: ssh user@remote_host
   • user: Tên người dùng trên máy chủ.
   • remote_host: Địa chỉ IP hoặc tên miền của máy chủ.

   Ví dụ: ssh [email protected]

3. Nếu khóa riêng tư có passphrase: Hệ thống sẽ yêu cầu bạn nhập passphrase. Nhập passphrase và nhấn Enter.
4. Kết nối thành công: Nếu mọi thứ được cấu hình chính xác, bạn sẽ kết nối thành công đến máy chủ mà không cần nhập mật khẩu.

Sử dụng PuTTY (trên Windows):

Nếu bạn sử dụng PuTTY trên Windows, bạn cần cấu hình PuTTY để sử dụng khóa riêng tư (.ppk) khi kết nối.

1. Mở PuTTY.
2. Trong phần “Connection” -> “SSH” -> “Auth”, nhấp vào nút “Browse” ở phần “Private key file for authentication”.
3. Chọn file khóa riêng tư (.ppk) của bạn.
4. Nhập thông tin kết nối (Host Name, Port).
5. Nhấp Open.
6. Nhập user, nếu có passphrase thì nhập passphrase.

Sử dụng SSH Agent (Tùy chọn):

SSH Agent là một chương trình chạy nền giúp quản lý các khóa riêng tư đã giải mã. Khi bạn thêm khóa riêng tư vào SSH Agent, bạn chỉ cần nhập passphrase một lần, và sau đó có thể kết nối đến các máy chủ khác nhau mà không cần nhập lại passphrase.

• Linux/macOS: Thường đã được tích hợp sẵn. Bạn có thể thêm khóa bằng lệnh ssh-add <đường_dẫn_đến_khóa_riêng_tư>.
• Windows: Có thể sử dụng Pageant (đi kèm với PuTTY) hoặc các công cụ tương tự.

Bảo mật SSH Key

Bảo mật SSH Key là một phần quan trọng trong việc bảo vệ hệ thống của bạn. Mặc dù SSH Key an toàn hơn mật khẩu, nhưng nếu không được bảo vệ đúng cách, khóa riêng tư của bạn có thể bị đánh cắp và sử dụng để truy cập trái phép vào máy chủ. Dưới đây là các biện pháp cần thiết.

Sử dụng Passphrase mạnh

Passphrase là một mật khẩu bổ sung để bảo vệ khóa riêng tư của bạn. Khi tạo SSH Key, bạn nên luôn luôn sử dụng passphrase. Nếu khóa riêng tư bị lộ, kẻ tấn công vẫn cần passphrase để sử dụng nó. Một passphrase mạnh nên dài, phức tạp, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt, và khó đoán.

Hãy coi passphrase như một lớp bảo vệ thứ hai cho khóa riêng tư của bạn. Giống như bạn không sử dụng một mật khẩu yếu cho tài khoản ngân hàng, bạn cũng không nên bỏ qua hoặc sử dụng một passphrase yếu cho SSH Key. Đầu tư một chút thời gian để tạo một passphrase mạnh là rất xứng đáng.

Lưu trữ khóa riêng tư an toàn

Khóa riêng tư (private key) là tài sản quan trọng nhất cần được bảo vệ. Tuyệt đối không chia sẻ khóa riêng tư với bất kỳ ai, kể cả qua email, tin nhắn, hoặc các phương tiện không an toàn khác. Không lưu trữ khóa riêng tư trên các dịch vụ lưu trữ đám mây không đáng tin cậy hoặc các thiết bị dễ bị mất hoặc đánh cắp.

Bạn có thể lưu trữ khóa riêng tư trên một USB drive được mã hóa và cất giữ ở nơi an toàn, hoặc sử dụng một trình quản lý mật khẩu (password manager) uy tín để lưu trữ. Trình quản lý mật khẩu không chỉ giúp bạn lưu trữ khóa riêng tư an toàn mà còn giúp bạn quản lý passphrase một cách dễ dàng.

Giới hạn quyền truy cập

Trên máy chủ, hãy đảm bảo rằng file ~/.ssh/authorized_keys và thư mục ~/.ssh chỉ có quyền truy cập hạn chế. Chỉ có chủ sở hữu (user) mới có quyền đọc và ghi file authorized_keys, và chỉ có chủ sở hữu mới có quyền đọc, ghi và thực thi thư mục ~/.ssh. Sử dụng các lệnh sau: chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys

Sử dụng SSH Agent một cách an toàn

SSH Agent giúp bạn quản lý khóa riêng tư đã giải mã trong bộ nhớ, giúp bạn không cần nhập passphrase nhiều lần. Tuy nhiên, hãy cẩn thận khi sử dụng SSH Agent trên các máy tính không tin cậy hoặc chia sẻ. Nếu máy tính bị xâm nhập, kẻ tấn công có thể sử dụng SSH Agent để truy cập vào các máy chủ khác.

Thu hồi khóa khi cần thiết

Nếu bạn nghi ngờ khóa riêng tư của mình bị lộ, hãy thu hồi khóa ngay lập tức. Xóa khóa công khai khỏi file authorized_keys trên tất cả các máy chủ mà nó được phép truy cập. Sau đó, tạo một cặp khóa mới và thay thế khóa cũ trên tất cả các máy chủ. Việc này tuy tốn công nhưng rất quan trọng.

Cập nhật phần mềm ssh

Luôn cập nhật phần mềm SSH (OpenSSH hoặc PuTTY) lên phiên bản mới nhất. Các bản cập nhật thường bao gồm các bản vá bảo mật để khắc phục các lỗ hổng đã biết. Việc sử dụng phiên bản SSH cũ có thể khiến hệ thống của bạn dễ bị tấn công. Cập nhật phần mềm là việc làm cần thiết.

Giám sát hoạt động đăng nhập

Thường xuyên kiểm tra log đăng nhập SSH (thường nằm trong /var/log/auth.log hoặc /var/log/secure trên Linux) để phát hiện các hoạt động bất thường, chẳng hạn như các lần đăng nhập không thành công từ các địa chỉ IP lạ. Việc giám sát chủ động có thể giúp bạn phát hiện sớm các dấu hiệu của một cuộc tấn công.

SSH Key: Những vấn đề thường gặp

Mặc dù SSH Key mang lại nhiều lợi ích về bảo mật và tiện lợi, nhưng đôi khi bạn có thể gặp phải một số vấn đề trong quá trình sử dụng. Hiểu rõ các vấn đề thường gặp và cách khắc phục sẽ giúp bạn sử dụng SSH Key một cách hiệu quả hơn. Dưới đây là một số lỗi và cách xử lí.

Permission denied (publickey)

Đây là lỗi phổ biến nhất khi sử dụng SSH Key. Lỗi này thường xảy ra khi máy chủ không thể xác thực khóa công khai của bạn. Nguyên nhân có thể là do: khóa công khai chưa được thêm vào file authorized_keys, file authorized_keys hoặc thư mục ~/.ssh có quyền truy cập không chính xác, hoặc sai đường dẫn đến khóa công khai.

Để khắc phục, hãy kiểm tra kỹ xem bạn đã copy chính xác nội dung khóa công khai vào file authorized_keys trên máy chủ chưa. Đảm bảo rằng file authorized_keys có quyền 600 (chmod 600 ~/.ssh/authorized_keys) và thư mục ~/.ssh có quyền 700 (chmod 700 ~/.ssh). Nếu sử dụng ssh-copy-id, hãy kiểm tra xem lệnh có chạy thành công không.

Connection refused

Lỗi này thường xảy ra khi dịch vụ SSH không chạy trên máy chủ, hoặc cổng SSH (mặc định là 22) bị chặn bởi tường lửa. Để khắc phục, hãy đảm bảo rằng dịch vụ SSH đã được cài đặt và đang chạy trên máy chủ. Kiểm tra cấu hình tường lửa để đảm bảo rằng cổng SSH không bị chặn. Bạn có thể telnet để kiểm tra.

Agent admitted failure to sign using the key

Lỗi này thường liên quan đến SSH Agent. SSH Agent là một chương trình giúp quản lý các khóa riêng tư đã giải mã. Lỗi này có thể xảy ra khi SSH Agent không chạy, hoặc khóa riêng tư của bạn chưa được thêm vào Agent. Hãy kiểm tra lại các tiến trình, hoặc thêm lại key.

Để khắc phục, hãy đảm bảo rằng SSH Agent đang chạy. Trên Linux/macOS, bạn có thể kiểm tra bằng lệnh ps aux | grep ssh-agent. Nếu SSH Agent không chạy, bạn có thể khởi động nó bằng lệnh eval "$(ssh-agent -s)". Sau đó, thêm khóa riêng tư vào Agent bằng lệnh ssh-add <đường_dẫn_đến_khóa_riêng_tư>. Trên Windows, bạn có thể sử dụng Pageant.

Quên Passphrase

Nếu bạn quên passphrase của khóa riêng tư, bạn không thể khôi phục lại passphrase đó. Passphrase được sử dụng để mã hóa khóa riêng tư, và không có cách nào để giải mã khóa riêng tư nếu không có passphrase. Cách duy nhất là tạo một cặp SSH Key mới và thay thế khóa cũ trên tất cả các máy chủ.

Mất khóa riêng tư

Nếu bạn mất khóa riêng tư, bạn sẽ mất quyền truy cập vào tất cả các máy chủ sử dụng khóa đó. Đây là lý do tại sao việc bảo vệ khóa riêng tư là vô cùng quan trọng. Nếu bạn có bản sao lưu của khóa riêng tư, bạn có thể khôi phục lại. Nếu không, bạn cần tạo một cặp khóa mới.

Việc hiểu rõ các vấn đề thường gặp và cách khắc phục không chỉ giúp bạn tự tin hơn khi sử dụng SSH Key mà còn giúp bạn xử lý các tình huống khẩn cấp một cách nhanh chóng và hiệu quả. Ghi nhớ các thông tin và hướng dẫn trên giúp bạn làm chủ công nghệ.