SSH (Secure Shell) là gì? Lợi ích, Lệnh & So với Telnet/SSL/TLS

SSH (Secure Shell) là một giao thức mạng mật mã được dùng để thực thi các lệnh trên máy tính từ xa một cách an toàn và bảo mật. Nó giúp bạn quản lý máy chủ, truyền dữ liệu và thực hiện nhiều tác vụ khác mà không lo bị kẻ xấu nghe lén hay đánh cắp thông tin. Cùng InterData tìm hiểu giao thức SSH là gì, cơ chế hoạt động, chức năng chính cho đến những so sánh với Telnet, SSL/TLS chi tiết và hướng dẫn sử dụng cho người mới.

SSH là gì?

SSH (Secure Shell) là một giao thức mạng an toàn, hoạt động trên mô hình Client-Server, giao thức này được thiết kế để tạo ra một kênh giao tiếp bảo mật giữa máy khách và máy chủ, cho phép người dùng điều khiển máy chủ từ xa.

SSH hoạt động bằng cách mã hóa toàn bộ dữ liệu trao đổi trong suốt quá trình kết nối. Điều này giúp ngăn chặn các cuộc tấn công nghe lén (eavesdropping) hoặc giả mạo (spoofing), vốn là những rủi ro phổ biến trên các mạng công cộng.

Thuật ngữ chuyên ngành:

• Client: Thiết bị hoặc phần mềm khởi tạo kết nối SSH (ví dụ: máy tính cá nhân của bạn).
• Server: Máy tính hoặc dịch vụ từ xa đang chờ các kết nối đến (ví dụ: một máy chủ web hoặc máy chủ ảo).

Chức năng chính của SSH

Sức mạnh của SSH không chỉ nằm ở khả năng bảo mật mà còn ở sự đa dụng. Dưới đây là các chức năng chính giúp SSH trở thành công cụ không thể thiếu của các quản trị viên hệ thống và lập trình viên.

Quản lý và điều khiển máy chủ từ xa

Đây là chức năng cơ bản và phổ biến nhất của SSH. Người dùng có thể kết nối đến máy chủ từ bất kỳ đâu trên thế giới và thực thi các lệnh như thể đang ngồi trước màn hình máy chủ. Điều này cho phép bạn:

• Cài đặt và cập nhật phần mềm: Dễ dàng chạy các lệnh như apt-get hoặc yum trên server.
• Cấu hình hệ thống: Chỉnh sửa các tệp cấu hình, quản lý người dùng và quyền truy cập.
• Giám sát hoạt động: Kiểm tra tài nguyên hệ thống (CPU, RAM), xem log file để debug lỗi.

Truyền tải tập tin an toàn (SFTP/SCP)

SSH cung cấp các giao thức con để truyền file một cách bảo mật:

• SFTP (SSH File Transfer Protocol): Một giao thức truyền file có đầy đủ chức năng, tương tự FTP nhưng an toàn hơn. Nó cho phép bạn quản lý, di chuyển và xóa file trên server.
• SCP (Secure Copy Protocol): Một công cụ đơn giản hơn, dùng để sao chép file nhanh chóng giữa các máy chủ.

Tạo đường hầm bảo mật (SSH Tunneling)

SSH Tunneling (còn gọi là Port Forwarding) cho phép bạn chuyển tiếp lưu lượng mạng từ một cổng này sang một cổng khác thông qua một kênh SSH được mã hóa. Tính năng này đặc biệt hữu ích để:

• Truy cập các dịch vụ bị chặn: Ví dụ, bạn có thể truy cập vào một cơ sở dữ liệu nội bộ không có kết nối ra Internet bằng cách tạo một đường hầm SSH từ máy tính của mình.
• Bảo vệ lưu lượng truy cập: Toàn bộ dữ liệu sẽ đi qua kênh SSH được mã hóa, giúp bảo vệ dữ liệu khỏi các mối đe dọa trên mạng công cộng.

Cách hoạt động của giao thức SSH

SSH hoạt động dựa trên cơ chế mã hóa bất đối xứng (asymmetric encryption) và xác thực mạnh mẽ để đảm bảo mọi giao tiếp đều an toàn. Quá trình kết nối bao gồm các bước sau:

Giai đoạn thiết lập kết nối

• Bắt tay (Handshake): Khi SSH client kết nối đến server, hai bên sẽ trao đổi phiên bản giao thức và thuật toán mã hóa để thống nhất cách giao tiếp.
• Trao đổi khóa: Server gửi public key của mình cho client. Client sử dụng key này để xác minh danh tính của server và thiết lập một session key (khóa phiên) tạm thời. Session key này sẽ được sử dụng để mã hóa toàn bộ dữ liệu trao đổi trong suốt phiên làm việc.

Giai đoạn xác thực người dùng

Sau khi kênh bảo mật đã được thiết lập, client sẽ xác thực danh tính của mình với server. Có hai phương pháp xác thực phổ biến:

• Xác thực bằng mật khẩu: Phương pháp đơn giản nhất, người dùng nhập tên và mật khẩu. Tuy nhiên, nó dễ bị tấn công brute-force.
• Xác thực bằng SSH Key: Đây là phương pháp được khuyến khích vì tính bảo mật cao. Người dùng tạo một cặp khóa gồm:
  • Public Key: Lưu trên server, dùng để xác minh.
  • Private Key: Giữ bí mật trên máy client, dùng để giải mã. Khi kết nối, client dùng private key để “ký” một thông điệp và gửi cho server. Server sẽ dùng public key tương ứng để xác minh chữ ký, từ đó biết đó là người dùng hợp lệ.

So sánh SSH và Telnet

Trước khi có SSH, Telnet là giao thức phổ biến để truy cập máy chủ từ xa. Tuy nhiên, Telnet có một nhược điểm chí tử: toàn bộ dữ liệu (bao gồm cả mật khẩu) đều được truyền dưới dạng văn bản thuần túy (plain text) không được mã hóa.

Bảng so sánh chi tiết giữa SSH và Telnet:

Tiêu chí	SSH (Secure Shell)	Telnet
Mức độ bảo mật	Cao. Dữ liệu được mã hóa mạnh mẽ.	Thấp. Dữ liệu truyền dạng văn bản thuần túy.
Mã hóa	Có. Sử dụng các thuật toán mã hóa tiên tiến.	Không. Dễ bị nghe lén.
Xác thực	Mạnh mẽ, hỗ trợ mật khẩu và SSH Key.	Yếu, chỉ dùng mật khẩu.
Cổng mặc định	22	23
Nguy cơ	Thấp, miễn là cấu hình đúng.	Rất cao, dữ liệu nhạy cảm dễ bị lộ.
Ứng dụng	Quản trị server, truyền file bảo mật.	Ít dùng, chỉ trong các mạng nội bộ.

So sánh SSH với SSL/TLS

Secure Shell và SSL/TLS (Secure Sockets Layer/Transport Layer Security) đều là các giao thức mật mã cung cấp kết nối an toàn trên mạng. Tuy nhiên, chúng có những điểm khác biệt quan trọng về mục đích sử dụng, cách thức hoạt động và kiến trúc. Việc hiểu rõ sự khác biệt này giúp bạn lựa chọn đúng giao thức cho từng tình huống cụ thể, tối ưu hiệu quả.

Mục đích sử dụng

Mục đích sử dụng chính là điểm khác biệt lớn nhất. SSH thường được sử dụng để truy cập và quản lý máy chủ từ xa, cũng như truyền tệp tin an toàn (SFTP). Trong khi đó, SSL/TLS thường được sử dụng để bảo mật các kết nối web (HTTPS), email (SMTPS, IMAPS), và các ứng dụng trực tuyến khác bảo vệ trình duyệt web của bạn!

Cách thức hoạt động

Cách thức hoạt động của SSH so với SSL/TLS cũng có sự khác biệt. SSH sử dụng mô hình client-server với xác thực hai chiều (client xác thực server và ngược lại). SSL/TLS ban đầu chỉ xác thực server (server gửi chứng chỉ số cho client). Nhưng hiện nay cũng hỗ trợ xác thực client (client gửi chứng chỉ số cho server). Sự khác biệt này tạo ra các trường hợp sử dụng khác nhau.

Kiến trúc

Về kiến trúc, SSH thường được sử dụng để thiết lập kết nối trực tiếp giữa hai máy tính (client và server). Trong khi đó, SSL/TLS thường được sử dụng trong các ứng dụng web, nơi có nhiều client kết nối đến một server. SSL/TLS thường được tích hợp vào các ứng dụng và giao thức khác (ví dụ: HTTPS, FTPS). Nó không phải là một giao thức độc lập.

Cổng (port)

SSH thường sử dụng cổng 22, trong khi HTTPS (sử dụng SSL/TLS) thường sử dụng cổng 443. Tuy nhiên, các cổng này có thể được thay đổi tùy theo cấu hình của server. Việc thay đổi cổng mặc định có thể giúp tăng cường bảo mật. Bằng cách tránh các cuộc tấn công tự động nhắm vào các cổng phổ biến.

Một số ưu – nhược điểm của SSH

Mặc dù là công cụ mạnh mẽ, Secure Shell cũng có những ưu và nhược điểm riêng.

Ưu điểm

• Bảo mật vượt trội: Đây là điểm mạnh lớn nhất. Việc mã hóa end-to-end giúp bảo vệ dữ liệu khỏi mọi sự can thiệp.
• Tính linh hoạt cao: Hỗ trợ nhiều tính năng như Port Forwarding, SFTP/SCP.
• Xác thực mạnh mẽ: Cơ chế khóa công khai/riêng tư giúp loại bỏ rủi ro từ việc sử dụng mật khẩu yếu.

Nhược điểm

• Phức tạp với người mới: Cấu hình và sử dụng SSH Key có thể gây bỡ ngỡ cho người dùng chưa có kinh nghiệm.
• Phụ thuộc vào quản lý khóa: Nếu private key bị mất hoặc lộ, kẻ xấu có thể truy cập vào server của bạn.
• Nguy cơ từ cấu hình sai: Nếu SSH server không được cấu hình đúng, nó vẫn có thể trở thành mục tiêu tấn công.

Trường hợp nên sử dụng giao thức SSH

Khi nào bạn nên sử dụng SSH? Dưới đây là một số ví dụ thực tế:

• Quản lý máy chủ: Khi bạn cần cài đặt một trang web, cấu hình một cơ sở dữ liệu hay thực hiện bất kỳ thay đổi nào trên server từ xa.
• Phát triển phần mềm: Các lập trình viên thường sử dụng SSH để triển khai ứng dụng, làm việc với Git, hoặc kết nối đến các máy ảo.
• Sao lưu dữ liệu: Sử dụng SFTP hoặc SCP để chuyển các tệp sao lưu quan trọng về máy tính của bạn một cách an toàn.
• Truy cập vào các thiết bị mạng: SSH được dùng để truy cập và cấu hình các thiết bị như router hay switch.

Các ứng dụng khác:

Ngoài ba ứng dụng chính đã nêu, Secure Shell còn có một số ứng dụng khác, ít phổ biến hơn nhưng cũng rất hữu ích:

• X11 Forwarding: Cho phép chạy các ứng dụng đồ họa trên máy chủ từ xa và hiển thị chúng trên máy client.
• SOCKS Proxy: Sử dụng SSH để tạo một proxy SOCKS, giúp ẩn địa chỉ IP và vượt qua các hạn chế mạng.
• VPN đơn giản: Có thể sử dụng SSH để tạo một kết nối VPN đơn giản cho các mục đích cụ thể.
• Sử dụng trong các hệ thống nhúng

Các vấn đề bảo mật thường gặp trong giao thức SSH

1. Mật khẩu yếu

Dùng mật khẩu yếu là một trong những lỗ hổng bảo mật nghiêm trọng nhất, kẻ tấn công có thể thử lần lượt mọi khả năng cho đến khi đoán đúng mật khẩu. Để phòng tránh, hãy đặt mật khẩu mạnh kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt.

2. Tấn công Brute Force

Brute Force là hình thức kẻ tấn công thử tất cả tổ hợp mật khẩu cho đến khi tìm được mật khẩu hợp lệ, giải pháp là giới hạn số lần đăng nhập sai và áp dụng biện pháp bảo vệ như tạo khoảng dừng giữa các lần thử.

3. Nguy cơ tấn công Man-in-the-Middle (MITM)

Trong kiểu tấn công này, kẻ xấu chèn mình vào giữa kết nối giữa client và server để chiếm đoạt dữ liệu nhạy cảm, cách tốt nhất để ngăn chặn là dùng cặp khóa SSH (SSH key pair) thay cho mật khẩu khi xác thực.

4. Lỗ hổng bảo mật ở phiên bản SSH cũ

Những phiên bản SSH cũ thường tồn tại nhiều lỗ hổng bảo mật, chính vì vậy, các phiên bản mới được phát hành để vá các lỗi này. Hãy đảm bảo hệ thống luôn chạy bản SSH mới nhất để tránh nguy cơ bị khai thác.

5. Phương thức xác thực không an toàn

Dùng các cách xác thực kém an toàn như mật khẩu dạng văn bản rõ (plaintext) hoặc xác thực bằng rhosts dễ tạo kẽ hở cho hacker, thay vào đó, hãy dùng các phương thức xác thực mạnh hơn như SSH key pairs hoặc xác thực hai yếu tố (2FA).

Triển khai SSH

Triển khai SSH bao gồm việc cài đặt và cấu hình cả phần mềm SSH client và SSH server trên các máy tính. Để thiết lập một kết nối SSH an toàn. Quá trình này tương đối đơn giản trên hầu hết các hệ điều hành hiện đại. Nhưng đòi hỏi người dùng phải có kiến thức cơ bản về dòng lệnh (command line) và cấu hình hệ thống.

Việc triển khai SSH không chỉ đơn thuần là cài đặt phần mềm. Mà còn bao gồm việc cấu hình các tùy chọn bảo mật để đảm bảo an toàn cho kết nối. Điều này bao gồm việc lựa chọn phương pháp xác thực. Cấu hình tường lửa, và thay đổi các cài đặt mặc định nếu cần thiết. Nó giống như việc bạn không chỉ mua một chiếc khóa, mà còn phải lắp đặt và cài đặt đúng cách.

Cài đặt SSH Client

Trên hầu hết các hệ điều hành dựa trên Unix (Linux, macOS), SSH client thường đã được cài đặt sẵn. Bạn có thể kiểm tra bằng cách mở terminal và gõ lệnh ssh -V. Nếu SSH client chưa được cài đặt, bạn có thể dễ dàng cài đặt thông qua trình quản lý gói của hệ điều hành (ví dụ: apt trên Debian/Ubuntu, yum trên CentOS/RHEL, brew trên macOS).

Trên Windows, bạn có thể sử dụng các ứng dụng SSH client như PuTTY, MobaXterm, hoặc Windows Subsystem for Linux (WSL). PuTTY là một ứng dụng SSH client miễn phí và phổ biến, cung cấp giao diện đồ họa dễ sử dụng. MobaXterm là một ứng dụng terminal đa năng, tích hợp sẵn SSH client và nhiều công cụ khác. WSL cho phép bạn chạy môi trường Linux trực tiếp trên Windows.

Việc cài đặt SSH client thường rất đơn giản. Chỉ cần tải về và cài đặt phần mềm tương ứng, hoặc sử dụng trình quản lý gói của hệ điều hành. Sau khi cài đặt, bạn có thể sử dụng SSH client để kết nối đến các máy chủ SSH từ xa. Bạn chỉ cần biết địa chỉ IP hoặc tên miền của máy chủ, tên người dùng và mật khẩu (hoặc khóa SSH).

Cài đặt SSH Server

Để máy tính của bạn có thể nhận các kết nối SSH từ xa, bạn cần cài đặt và cấu hình SSH server. Trên các hệ điều hành dựa trên Unix, OpenSSH thường được sử dụng làm SSH server. Bạn có thể cài đặt OpenSSH thông qua trình quản lý gói của hệ điều hành. (Ví dụ: sudo apt install openssh-server trên Debian/Ubuntu).

Trên Windows, bạn có thể sử dụng tính năng OpenSSH Server tích hợp sẵn (từ Windows 10 phiên bản 1809 trở lên). Hoặc các phần mềm SSH server của bên thứ ba như freeSSHd hoặc OpenSSH for Windows. Việc cài đặt SSH server trên Windows thường phức tạp hơn so với trên Linux. Nhưng cũng có nhiều hướng dẫn chi tiết trên mạng.

Sau khi cài đặt SSH server, bạn cần cấu hình các tùy chọn bảo mật trong tệp cấu hình của SSH server (thường là /etc/ssh/sshd_config trên Linux). Các tùy chọn quan trọng bao gồm: chọn cổng SSH (Port), vô hiệu hóa đăng nhập root (PermitRootLogin), chọn phương pháp xác thực (PasswordAuthentication, PubkeyAuthentication), và cấu hình tường lửa để cho phép kết nối đến cổng SSH.

Tạo và sử dụng SSH Key

Thay vì sử dụng mật khẩu, bạn nên sử dụng SSH key để xác thực. SSH key an toàn hơn mật khẩu rất nhiều. Để tạo SSH key, bạn có thể sử dụng lệnh ssh-keygen trên terminal. Lệnh này sẽ tạo ra một cặp khóa: khóa riêng tư (private key) và khóa công khai (public key). Bạn cần giữ bí mật khóa riêng tư và đặt khóa công khai lên server.

Sau khi tạo key, bạn cần sao chép khóa công khai lên máy chủ SSH mà bạn muốn truy cập. Bạn có thể sử dụng lệnh ssh-copy-id để thực hiện việc này một cách dễ dàng. Lệnh này sẽ tự động thêm khóa công khai vào tệp ~/.ssh/authorized_keys trên máy chủ. Sau khi hoàn tất, bạn có thể kết nối đến máy chủ mà không cần nhập mật khẩu.

Việc sử dụng SSH key không chỉ tăng cường bảo mật mà còn tiện lợi hơn so với việc sử dụng mật khẩu. Bạn không cần phải nhớ và nhập mật khẩu mỗi khi kết nối. Tuy nhiên, bạn cần bảo vệ khóa riêng tư cẩn thận, vì nếu bị mất, bạn sẽ mất quyền truy cập vào máy chủ. Và nếu bị đánh cắp, kẻ tấn công có thể truy cập trái phép.

Một số lệnh SSH cơ bản

Lệnh SSH không chỉ đơn thuần là ssh. Mà nó còn bao gồm một loạt các lệnh và tùy chọn khác nhau. Cho phép người dùng thực hiện nhiều tác vụ từ xa. Việc nắm vững các lệnh SSH cơ bản là rất quan trọng. Nó giúp quản trị viên hệ thống và người dùng có thể tận dụng tối đa sức mạnh của giao thức này.

Các lệnh SSH cung cấp khả năng kết nối đến máy chủ từ xa. Thực thi lệnh trên máy chủ đó, truyền tệp tin, và thậm chí tạo đường hầm bảo mật. Mỗi lệnh có cú pháp và các tùy chọn riêng. Việc hiểu rõ cú pháp và các tùy chọn này giúp bạn sử dụng SSH một cách hiệu quả và linh hoạt hơn. Giống như việc bạn biết sử dụng các công cụ khác nhau.

Lệnh ssh cơ bản

Lệnh ssh cơ bản nhất có cú pháp: ssh [tùy_chọn] [user@]hostname. Trong đó, user là tên người dùng trên máy chủ từ xa. hostname là địa chỉ IP hoặc tên miền của máy chủ. Nếu bạn không chỉ định user, SSH sẽ sử dụng tên người dùng hiện tại trên máy client. Lệnh này mở một phiên làm việc (session) tương tác trên máy chủ từ xa.

Ví dụ: ssh [email protected] sẽ kết nối đến máy chủ có địa chỉ IP 192.168.1.100 với tên người dùng là user1. Sau khi kết nối thành công, bạn sẽ có thể nhập các lệnh trên máy chủ từ xa như thể bạn đang ngồi trực tiếp trước máy chủ đó. Nó giống như việc bạn điều khiển máy tính từ xa vậy!

Một số tùy chọn thường dùng với lệnh ssh:

• -p [cổng]: Chỉ định cổng SSH (mặc định là 22). Ví dụ: ssh -p 2222 [email protected].
• -i [tệp_khóa]: Chỉ định tệp chứa khóa riêng tư. Ví dụ: ssh -i ~/.ssh/mykey [email protected].
• -X: Bật chuyển tiếp X11 (cho phép chạy ứng dụng đồ họa từ xa).
• -L [cổng_local]:[host_remote]:[cổng_remote]: Tạo đường hầm cục bộ (local port forwarding).
• -R [cổng_remote]:[host_local]:[cổng_local]: Tạo đường hầm từ xa.

Lệnh scp (Secure Copy)

Lệnh scp cho phép sao chép tệp tin giữa máy tính cục bộ và máy chủ từ xa, hoặc giữa hai máy chủ từ xa, một cách an toàn. Nó sử dụng SSH để mã hóa dữ liệu trong quá trình truyền tải. Cú pháp của lệnh scp tương tự như lệnh cp (copy) trong Linux. scp [tùy_chọn] [nguồn] [đích]. Nó giống như việc bạn sao chép file an toàn.

Ví dụ:

• scp [email protected]:/path/to/remote/file.txt /path/to/local/: Tải tệp file.txt từ máy chủ từ xa về máy cục bộ.
• scp /path/to/local/file.txt [email protected]:/path/to/remote/: Tải tệp file.txt từ máy cục bộ lên máy chủ từ xa.
• scp -r [email protected]:/path/to/remote/folder /path/to/local: Tải toàn bộ thư mục từ xa

Lệnh sftp (SSH File Transfer Protocol)

sftp là một giao thức truyền tệp tin an toàn, hoạt động trên nền SSH. Nó cung cấp một giao diện tương tác, tương tự như FTP, cho phép người dùng duyệt, tải lên, tải xuống và quản lý tệp tin trên máy chủ từ xa. Để sử dụng sftp, bạn chỉ cần gõ lệnh sftp [user@]hostname. Sau đó, bạn sẽ được đưa vào một giao diện dòng lệnh tương tự FTP.

Trong giao diện sftp, bạn có thể sử dụng các lệnh như:

• ls: Liệt kê tệp tin và thư mục.
• cd: Thay đổi thư mục.
• get: Tải tệp tin từ máy chủ từ xa về máy cục bộ.
• put: Tải tệp tin từ máy cục bộ lên máy chủ từ xa.
• mkdir: Tạo thư mục mới.
• rm: Xóa tệp tin.
• rmdir: Xóa thư mục.
• pwd: Hiển thị thư mục hiện hành

Lệnh ssh-keygen

ssh-keygen là lệnh dùng để tạo cặp khóa SSH (khóa riêng tư và khóa công khai). Cặp khóa này được sử dụng để xác thực bằng khóa công khai, thay vì mật khẩu. Lệnh này thường được sử dụng với các tùy chọn như:

• -t [loại_khóa]: Chỉ định loại khóa (ví dụ: rsa, ed25519).
• -b [số_bit]: Chỉ định độ dài khóa (ví dụ: 2048, 4096).
• -f [tên_tệp]: Chỉ định tên tệp để lưu khóa.
• -C “comment”: Thêm chú thích vào key

Ví dụ: ssh-keygen -t rsa -b 4096 -f ~/.ssh/mykey sẽ tạo một cặp khóa RSA 4096-bit và lưu vào thư mục ~/.ssh/ với tên mykey (khóa riêng tư) và mykey.pub (khóa công khai).

Lệnh ssh-copy-id

ssh-copy-id là một tiện ích giúp sao chép khóa công khai của bạn lên máy chủ SSH một cách dễ dàng. Nó tự động thêm khóa công khai vào tệp ~/.ssh/authorized_keys trên máy chủ. Cú pháp: ssh-copy-id [user@]hostname. Ví dụ: ssh-copy-id [email protected]. Lệnh này sẽ giúp bạn thiết lập xác thực bằng khóa công khai một cách nhanh chóng.

Hy vọng bài viết này đã giúp bạn có một cái nhìn đầy đủ và chi tiết về SSH. Nắm vững giao thức này không chỉ giúp bạn làm việc hiệu quả hơn mà còn bảo vệ dữ liệu của bạn khỏi các rủi ro an ninh mạng.