SSH là cổng quản trị quan trọng nhất trên Linux server. Nếu cấu hình mặc định quá lỏng, bot brute-force có thể tấn công liên tục cả ngày. Bài này tổng hợp checklist hardening SSH dễ áp dụng cho production nhỏ-vừa.
1) Tắt đăng nhập root trực tiếp
PermitRootLogin no2) Bắt buộc SSH key, tắt password nếu có thể
PasswordAuthentication no
PubkeyAuthentication yes3) Giới hạn user được phép SSH
AllowUsers adminops deploy4) Kết hợp Fail2ban + firewall
- UFW limit cổng SSH
- Fail2ban jail cho sshd
5) Giảm bề mặt tấn công bằng timeout hợp lý
LoginGraceTime 30
MaxAuthTries 3
ClientAliveInterval 300
ClientAliveCountMax 2Quy trình áp dụng an toàn
- Mở 2 phiên SSH song song trước khi reload
- Test config bằng
sshd -t - Reload nhẹ thay vì restart cứng
sudo sshd -t
sudo systemctl reload sshKết luận
SSH hardening không mất nhiều thời gian nhưng giảm rủi ro cực lớn. Chỉ cần áp dụng checklist trên, server của anh sẽ an toàn hơn rõ rệt trước brute-force và truy cập trái phép.