Thứ ba, 28/07/2020 | 00:00 GMT+7

Làm thế nào để quản lý OpenSSH trên Ubuntu 18.04

Server Linux thường được quản lý từ xa bằng SSH bằng cách kết nối với server OpenSSH , đây là phần mềm server SSH mặc định được sử dụng trong Ubuntu, Debian, CentOS, FreeBSD và hầu hết các hệ thống dựa trên Linux / BSD khác.

Server OpenSSH là phía server của SSH, còn gọi là SSH daemon hoặc sshd . Bạn có thể kết nối với server OpenSSH bằng ứng dụng client OpenSSH — lệnh ssh . Bạn có thể tìm hiểu thêm về mô hình client - server SSH trong SSH Essentials: Làm việc với Server , Máy khách và Khóa SSH . Bảo mật đúng cách server OpenSSH của bạn là rất quan trọng, vì nó hoạt động như cửa trước hoặc lối vào server của bạn.

Trong hướng dẫn này, bạn sẽ củng cố server OpenSSH của bạn bằng cách sử dụng các tùy chọn cấu hình khác nhau đảm bảo rằng truy cập từ xa vào server của bạn càng an toàn càng tốt.

Yêu cầu

Để hoàn thành hướng dẫn này, bạn cần :

Khi bạn đã chuẩn bị xong, hãy đăng nhập vào server của bạn với quyền là user không phải root của bạn để bắt đầu.

Bước 1 - Củng cố chung

Trong bước đầu tiên này, bạn sẽ triển khai một số cấu hình cứng ban đầu để cải thiện tính bảo mật tổng thể của server SSH của bạn .

Cấu hình cứng chính xác phù hợp nhất cho server của bạn phụ thuộc nhiều vào mô hình mối đe dọa và ngưỡng rủi ro của bạn . Tuy nhiên, cấu hình bạn sẽ sử dụng trong bước này là cấu hình bảo mật chung sẽ phù hợp với phần lớn các server .

Nhiều cấu hình cứng cho OpenSSH mà bạn triển khai bằng cách sử dụng file cấu hình server OpenSSH tiêu chuẩn, được đặt tại /etc/ssh/sshd_config . Trước khi tiếp tục với hướng dẫn này, bạn nên tạo một bản backup của file cấu hình hiện có của bạn , để bạn có thể khôi phục nó trong trường hợp không may xảy ra sự cố.

Backup file bằng lệnh sau:

  • sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

Thao tác này sẽ lưu một bản backup của file vào /etc/ssh/sshd_config.bak .

Trước khi chỉnh sửa file cấu hình của bạn , bạn có thể xem lại các tùy chọn hiện được đặt. Để thực hiện việc này, hãy chạy lệnh sau:

  • sudo sshd -T

Thao tác này sẽ chạy server OpenSSH ở chế độ kiểm tra mở rộng, sẽ xác thực file cấu hình đầy đủ và in ra các giá trị cấu hình hiệu quả.

Đến đây bạn có thể mở file cấu hình bằng editor yêu thích của bạn để bắt đầu thực hiện các biện pháp củng cố ban đầu:

  • sudo nano /etc/ssh/sshd_config

Lưu ý: Tệp cấu hình server OpenSSH bao gồm nhiều tùy chọn và cấu hình mặc định. Tùy thuộc vào cấu hình server hiện tại của bạn, một số tùy chọn tăng cường được đề xuất có thể đã được cài đặt .

Khi chỉnh sửa file cấu hình của bạn, một số tùy chọn có thể được comment theo mặc định bằng cách sử dụng một ký tự băm ( # ) ở đầu dòng. Để chỉnh sửa các tùy chọn này hoặc nhận dạng tùy chọn đã comment , bạn cần bỏ ghi chú chúng bằng cách xóa băm.

Trước hết, hãy tắt đăng nhập qua SSH với quyền là user gốc bằng cách đặt tùy chọn sau:

sshd_config
PermitRootLogin no 

Điều này rất có lợi, vì nó sẽ ngăn kẻ tấn công tiềm năng đăng nhập trực tiếp với quyền root. Nó cũng khuyến khích các phương pháp bảo mật hoạt động tốt, chẳng hạn như hoạt động như một user không có quyền và chỉ sử dụng sudo để nâng cao quyền khi thực sự cần thiết.

Tiếp theo, bạn có thể giới hạn số lần xác thực tối đa cho một phiên đăng nhập cụ thể bằng cách cấu hình như sau:

sshd_config
MaxAuthTries 3 

Giá trị tiêu chuẩn là 3 có thể chấp nhận được đối với hầu hết các cài đặt , nhưng bạn có thể cần đặt giá trị này cao hơn hoặc thấp hơn tùy thuộc vào ngưỡng rủi ro của bạn .

Nếu được yêu cầu, bạn cũng có thể đặt thời gian gia hạn đăng nhập giảm xuống, là lượng thời gian user phải hoàn tất xác thực sau khi kết nối ban đầu với server SSH của bạn:

sshd_config
LoginGraceTime 20 

Tệp cấu hình chỉ định giá trị này trong vài giây.

Đặt giá trị này thành giá trị thấp hơn sẽ giúp ngăn chặn một số cuộc tấn công từ chối dịch vụ nhất định trong đó nhiều phiên xác thực được giữ mở trong một khoảng thời gian dài.

Nếu bạn đã cấu hình SSH key để xác thực, thay vì sử dụng password , hãy tắt xác thực password SSH để ngăn password user bị rò rỉ cho phép kẻ tấn công đăng nhập:

sshd_config
PasswordAuthentication no 

Là một biện pháp tăng cường hơn nữa liên quan đến password , bạn cũng có thể cần tắt xác thực với password trống. Điều này sẽ ngăn đăng nhập nếu password của user được đặt thành giá trị trống hoặc trống:

sshd_config
PermitEmptyPasswords no 

Trong phần lớn các trường hợp sử dụng, SSH sẽ được cấu hình với xác thực public key là phương thức xác thực đang sử dụng duy nhất. Tuy nhiên, server OpenSSH cũng hỗ trợ nhiều phương pháp xác thực khác, một số phương thức được bật theo mặc định. Nếu những điều này không bắt buộc, bạn có thể tắt chúng để giảm thêm bề mặt tấn công của server SSH của bạn:

sshd_config
ChallengeResponseAuthentication no KerberosAuthentication no GSSAPIAuthentication no 

Nếu bạn muốn biết thêm về một số phương pháp xác thực bổ sung có sẵn trong SSH, bạn có thể cần xem lại các tài nguyên sau:

Chuyển tiếp X11 cho phép hiển thị các ứng dụng đồ họa từ xa qua kết nối SSH, nhưng điều này hiếm khi được sử dụng trong thực tế. Bạn nên tắt nó nếu nó không cần thiết trên server của bạn:

sshd_config
X11Forwarding no 

Server OpenSSH cho phép kết nối các client để chuyển các biến môi trường tùy chỉnh, nghĩa là đặt $PATH hoặc cấu hình cài đặt terminal . Tuy nhiên, giống như chuyển tiếp X11, chúng không được sử dụng phổ biến, vì vậy có thể bị tắt trong hầu hết các trường hợp:

sshd_config
PermitUserEnvironment no 

Nếu bạn quyết định cấu hình tùy chọn này, bạn cũng nên đảm bảo comment bất kỳ tham chiếu nào đến AcceptEnv bằng cách thêm dấu thăng ( # ) vào đầu dòng.

Tiếp theo, bạn có thể vô hiệu hóa một số tùy chọn khác liên quan đến tunnel và chuyển tiếp nếu bạn không sử dụng chúng trên server của bạn :

sshd_config
AllowAgentForwarding no AllowTcpForwarding no PermitTunnel no 

Cuối cùng, bạn có thể tắt biểu ngữ SSH dài dòng được bật theo mặc định, vì nó hiển thị nhiều thông tin khác nhau về hệ thống của bạn, chẳng hạn như version hệ điều hành:

sshd_config
DebianBanner no 

Lưu ý tùy chọn này rất có thể sẽ không có trong file cấu hình, vì vậy bạn có thể cần phải thêm nó theo cách thủ công. Lưu và thoát khỏi file khi bạn đã hoàn tất.

Bây giờ xác thực cú pháp của cấu hình mới của bạn bằng cách chạy sshd ở chế độ thử nghiệm:

  • sudo sshd -t

Nếu file cấu hình của bạn có cú pháp hợp lệ, sẽ không có kết quả . Trong trường hợp có lỗi cú pháp, sẽ có một kết quả mô tả sự cố.

Sau khi hài lòng với file cấu hình của bạn , bạn có thể reload sshd để áp dụng cài đặt mới:

  • sudo service sshd reload

Trong bước này, bạn đã hoàn thành một số quá trình củng cố chung cho file cấu hình server OpenSSH của bạn . Tiếp theo, bạn sẽ triển khai danh sách cho phép địa chỉ IP để hạn chế hơn nữa những người có thể đăng nhập vào server của bạn.

Bước 2 - Triển khai danh sách cho phép địa chỉ IP

Bạn có thể sử dụng danh sách cho phép địa chỉ IP để giới hạn user được phép đăng nhập vào server của bạn trên cơ sở mỗi địa chỉ IP. Trong bước này, bạn sẽ cấu hình danh sách cho phép IP cho server OpenSSH của bạn .

Trong nhiều trường hợp, bạn sẽ chỉ đăng nhập vào server của bạn từ một số lượng nhỏ các địa chỉ IP đã biết, tin cậy . Ví dụ: kết nối internet gia đình của bạn, thiết bị VPN của công ty hoặc hộp nhảy tĩnh hoặc server pháo đài trong trung tâm dữ liệu.

Bằng cách triển khai danh sách cho phép địa chỉ IP, bạn có thể đảm bảo mọi người sẽ chỉ có thể đăng nhập từ một trong các địa chỉ IP đã được phê duyệt trước, giảm đáng kể nguy cơ vi phạm trong trường hợp private key và / hoặc password của bạn bị lộ.

Lưu ý: Hãy cẩn thận trong việc xác định các địa chỉ IP chính xác để thêm vào danh sách cho phép của bạn và đảm bảo đây không phải là các địa chỉ động hoặc động có thể thường xuyên thay đổi, chẳng hạn như thường thấy với các nhà cung cấp dịch vụ internet tiêu dùng.

Bạn có thể xác định địa chỉ IP mà bạn hiện đang kết nối với server của bạn bằng cách sử dụng lệnh w :

  • w

Điều này sẽ xuất ra một cái gì đó tương tự như sau:

Output
14:11:48 up 2 days, 12:25, 1 user, load average: 0.00, 0.00, 0.00 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT your_username pts/0 203.0.113.1 12:24 1.00s 0.20s 0.00s w

Định vị account user của bạn trong danh sách và ghi chú địa chỉ IP kết nối. Ở đây ta sử dụng IP mẫu là 203.0.113.1

Để bắt đầu triển khai danh sách cho phép địa chỉ IP của bạn, hãy mở file cấu hình server OpenSSH trong editor yêu thích của bạn:

  • sudo nano /etc/ssh/sshd_config

Bạn có thể triển khai danh sách cho phép địa chỉ IP bằng cách sử dụng chỉ thị cấu hình AllowUsers , chỉ thị này hạn chế xác thực user dựa trên tên user và / hoặc địa chỉ IP.

Yêu cầu và cài đặt hệ thống của bạn sẽ xác cấu hình cụ thể nào là thích hợp nhất. Các ví dụ sau sẽ giúp bạn xác định cái phù hợp nhất:

  • Hạn chế tất cả user ở một địa chỉ IP cụ thể:
AllowUsers *@203.0.113.1 
AllowUsers *@203.0.113.0/24 
  • Hạn chế tất cả user trong một dải địa chỉ IP cụ thể (sử dụng ký tự đại diện):
AllowUsers *@203.0.113.* 
  • Hạn chế tất cả user ở nhiều địa chỉ IP và dải ô cụ thể:
AllowUsers *@203.0.113.1 *@203.0.113.2 *@192.0.2.0/24 *@172.16.*.1 
  • Không cho phép tất cả user ngoại trừ những user có tên từ các địa chỉ IP cụ thể:
AllowUsers sammy@203.0.113.1 alex@203.0.113.2<^> 
  • Hạn chế một user cụ thể ở một địa chỉ IP cụ thể, trong khi tiếp tục cho phép tất cả user khác đăng nhập mà không có giới hạn:
Match User ashley   AllowUsers ashley@203.0.113.1 

Cảnh báo: Trong file cấu hình OpenSSH, tất cả các cấu hình trong khối Match sẽ chỉ áp dụng cho các kết nối phù hợp với tiêu chí, dù thụt lề hoặc ngắt dòng. Điều này nghĩa là bạn phải cẩn thận và đảm bảo các cấu hình dự định áp dụng trên phạm vi global không vô tình bị đưa vào khối Match . Bạn nên đặt tất cả các khối Match ở cuối / cuối file cấu hình của bạn để tránh điều này.

Khi bạn đã hoàn thành cấu hình của bạn , hãy thêm cấu hình vào cuối file cấu hình server OpenSSH của bạn:

sshd_config
AllowUsers *@203.0.113.1 

Lưu file , sau đó tiến hành kiểm tra cú pháp cấu hình của bạn:

  • sudo sshd -t

Nếu không có lỗi nào được báo cáo, bạn có thể reload server OpenSSH để áp dụng cấu hình của bạn :

  • sudo service sshd reload

Trong bước này, bạn đã triển khai danh sách cho phép địa chỉ IP trên server OpenSSH của bạn . Tiếp theo, bạn sẽ giới hạn shell của user để giới hạn các lệnh mà họ được phép sử dụng.

Bước 3 - Hạn chế vỏ của user

Trong bước này, bạn sẽ xem xét các tùy chọn khác nhau để hạn chế shell của user SSH.

Ngoài việc cung cấp quyền truy cập shell từ xa, SSH cũng rất tuyệt vời để truyền file và dữ liệu khác, chẳng hạn như qua SFTP. Tuy nhiên, không phải lúc nào bạn cũng có thể cần cấp toàn quyền truy cập shell cho user khi họ chỉ cần có thể thực hiện truyền file .

Có nhiều cấu hình trong server OpenSSH mà bạn có thể sử dụng để hạn chế môi trường shell của những user cụ thể. Ví dụ: trong hướng dẫn này, ta sẽ sử dụng chúng để tạo user chỉ SFTP.

Thứ nhất, bạn có thể sử dụng shell /usr/sbin/nologin để tắt thông tin đăng nhập tương tác cho một số account user nhất định, trong khi vẫn cho phép các phiên không tương tác hoạt động, như truyền file , đào tunnel , v.v.

Để tạo user mới với shell nologin , hãy sử dụng lệnh sau:

  • sudo adduser --shell /usr/sbin/nologin alex

Ngoài ra, bạn có thể thay đổi shell của một user hiện tại thành nologin :

  • sudo usermod --shell /usr/sbin/nologin sammy

Nếu sau đó bạn cố đăng nhập tương tác với quyền là một trong những user này, yêu cầu sẽ bị từ chối:

  • sudo su alex

Điều này sẽ xuất ra một cái gì đó tương tự như thông báo sau:

Output
This account is currently not available.

Mặc dù có thông báo từ chối trên các lần đăng nhập tương tác, các hành động khác như chuyển file vẫn sẽ được cho phép.

Tiếp theo, bạn nên kết hợp việc sử dụng shell nologin với một số tùy chọn cấu hình bổ sung để hạn chế hơn nữa các account user có liên quan.

Bắt đầu bằng cách mở lại file cấu hình server OpenSSH trong editor yêu thích của bạn:

  • sudo nano /etc/ssh/sshd_config

Có hai tùy chọn cấu hình mà bạn có thể triển khai cùng nhau để tạo account user chỉ SFTP bị giới hạn chặt chẽ: ForceCommand internal-sftpChrootDirectory .

Tùy chọn ForceCommand trong server OpenSSH buộc user thực hiện một lệnh cụ thể khi đăng nhập. Điều này có thể hữu ích cho một số giao tiếp giữa máy với máy hoặc để chạy một cách cưỡng bức một chương trình cụ thể.

Tuy nhiên, trong trường hợp này, lệnh internal-sftp đặc biệt hữu ích. Đây là một chức năng đặc biệt của server OpenSSH chạy trình SFTP tại chỗ cơ bản mà không yêu cầu các file hệ thống hoặc cấu hình hỗ trợ nào.

Điều này lý tưởng nên được kết hợp với tùy chọn ChrootDirectory , tùy chọn này sẽ overrides / thay đổi folder root được nhận thức cho một user cụ thể, về cơ bản giới hạn họ trong một folder cụ thể trên hệ thống.

Thêm phần cấu hình sau vào file cấu hình server OpenSSH của bạn cho phần này:

sshd_config
Match User alex   ForceCommand internal-sftp   ChrootDirectory /home/alex/ 

Cảnh báo: Như đã lưu ý trong Bước 2, trong file cấu hình OpenSSH, tất cả các cấu hình trong khối Match sẽ chỉ áp dụng cho các kết nối phù hợp với tiêu chí, dù thụt lề hoặc ngắt dòng. Điều này nghĩa là bạn phải cẩn thận và đảm bảo các cấu hình dự định áp dụng trên phạm vi global không vô tình bị đưa vào khối Match . Bạn nên đặt tất cả các khối Match ở cuối / cuối file cấu hình của bạn để tránh điều này.

Lưu file cấu hình của bạn, sau đó kiểm tra lại cấu hình của bạn:

  • sudo sshd -t

Nếu không có lỗi, bạn có thể áp dụng cấu hình của bạn :

  • sudo service sshd reload

Điều này đã tạo ra một cấu hình mạnh mẽ cho user alex , nơi đăng nhập tương tác bị vô hiệu hóa và tất cả hoạt động SFTP bị hạn chế trong folder chính của user . Từ quan điểm của user , folder root của hệ thống, tức là / , là folder chính của họ và họ sẽ không thể truy cập hệ thống file để truy cập các khu vực khác.

Bạn đã thực hiện các nologin vỏ cho một người sử dụng và sau đó tạo ra một cấu hình để hạn chế SFTP truy cập vào một folder cụ thể.

Bước 4 - Củng cố nâng cao

Trong bước cuối cùng này, bạn sẽ thực hiện nhiều biện pháp tăng cường bổ sung khác nhau đảm bảo quyền truy cập vào server SSH của bạn càng an toàn càng tốt.

Một tính năng ít được biết đến hơn của server OpenSSH là khả năng áp đặt các hạn chế trên cơ sở mỗi khóa, đó là các hạn chế chỉ áp dụng cho các public key cụ thể có trong file .ssh/authorized_keys . Điều này đặc biệt hữu ích để kiểm soát quyền truy cập cho các phiên máy với máy, cũng như cung cấp khả năng cho user không phải sudo kiểm soát các giới hạn cho account user của họ.

Bạn cũng có thể áp dụng hầu hết các hạn chế này ở phạm vi hệ thống hoặc cấp user , tuy nhiên vẫn có lợi khi triển khai chúng ở cấp khóa, để cung cấp khả năng bảo vệ chuyên sâu và bổ sung dự phòng trong trường hợp ngẫu nhiên trên toàn hệ thống lỗi cấu hình.

Lưu ý: Bạn chỉ có thể triển khai các cấu hình bảo mật bổ sung này nếu đang sử dụng xác thực public key SSH. Nếu bạn chỉ sử dụng xác thực password hoặc có cài đặt phức tạp hơn như tổ chức phát hành certificate SSH, rất tiếc là chúng sẽ không thể sử dụng được.

Bắt đầu bằng cách mở file .ssh/authorized_keys của bạn trong editor yêu thích của bạn:

  • nano ~/.ssh/authorized_keys

Lưu ý: Vì các cấu hình này áp dụng trên cơ sở từng khóa, nên bạn cần chỉnh sửa từng private key lẻ trong từng file authorized_keys riêng lẻ mà bạn muốn chúng áp dụng cho tất cả user trên hệ thống. Thông thường bạn sẽ chỉ cần chỉnh sửa một khóa / file , nhưng điều này đáng xem xét nếu bạn có một hệ thống nhiều user phức tạp.

Khi bạn đã mở file authorized_keys của bạn , bạn sẽ thấy rằng mỗi dòng chứa một public key SSH, rất có thể sẽ bắt đầu bằng thông tin như ssh-rsa AAAB... Các tùy chọn cấu hình bổ sung có thể được thêm vào đầu dòng và những tùy chọn này sẽ chỉ áp dụng cho các xác thực thành công đối với public key cụ thể đó.

Các tùy chọn hạn chế sau có sẵn:

  • no-agent-forwarding : Tắt chuyển tiếp đại lý SSH.
  • no-port-forwarding : Tắt chuyển tiếp cổng SSH.
  • no-pty : Vô hiệu hóa khả năng cấp phát tty (tức là bắt đầu một shell ).
  • no-user-rc : Ngăn chặn việc thực thi file ~/.ssh/rc .
  • no-X11-forwarding : Tắt chuyển tiếp màn hình X11.

Bạn có thể áp dụng những điều này để tắt các tính năng SSH cụ thể cho các khóa cụ thể. Ví dụ: để tắt chuyển tiếp tác nhân và chuyển tiếp X11 cho một khóa, bạn sẽ sử dụng cấu hình sau:

~ / .ssh / allow_keys
no-agent-forwarding,no-X11-forwarding ssh-rsa AAAB... 

Theo mặc định, các cấu hình này hoạt động bằng cách sử dụng phương pháp luận “cho phép theo mặc định, chặn theo ngoại lệ”; tuy nhiên, cũng có thể sử dụng "chặn theo mặc định, cho phép theo ngoại lệ", thường được ưu tiên hơn đảm bảo an ninh.

Bạn có thể làm điều này bằng cách sử dụng tùy chọn restrict , tùy chọn này sẽ ngầm từ chối tất cả các tính năng SSH cho khóa cụ thể, yêu cầu chúng chỉ được bật lại rõ ràng khi thực sự cần thiết. Bạn có thể chạy lại tính năng sử dụng cùng một cấu hình tùy chọn được mô tả trước đó trong hướng dẫn này, nhưng nếu không có sự no- tiền tố.

Ví dụ: để tắt tất cả các tính năng SSH cho một khóa cụ thể, ngoài tính năng chuyển tiếp màn hình X11, bạn có thể sử dụng cấu hình sau:

~ / .ssh / allow_keys
restrict,X11-forwarding ssh-rsa AAAB... 

Bạn cũng có thể cần xem xét sử dụng tùy chọn command , tương tự như tùy chọn ForceCommand được mô tả trong Bước 3. Điều này không mang lại lợi ích trực tiếp nếu bạn đã sử dụng ForceCommand , nhưng nó là cách tốt để bảo vệ chuyên sâu có nó tại chỗ, chỉ trong trường hợp không chắc rằng file cấu hình server OpenSSH chính của bạn bị overrides , chỉnh sửa, v.v.

Ví dụ: để buộc user xác thực với một khóa cụ thể để thực thi một lệnh cụ thể khi đăng nhập, bạn có thể thêm cấu hình sau:

~ / .ssh / allow_keys
command="top" ssh-rsa AAAB... 

Cảnh báo: Tùy chọn cấu hình command hoạt động hoàn toàn như một phương pháp bảo vệ chuyên sâu và không nên chỉ dựa vào để hạn chế hoạt động của user SSH, vì có nhiều cách để overrides hoặc bỏ qua tùy thuộc vào môi trường của bạn. Thay vào đó, bạn nên sử dụng cấu hình song song với các điều khiển khác được mô tả trong bài viết này.

Cuối cùng, để sử dụng tốt nhất các hạn chế cho mỗi khóa cho user chỉ SFTP mà bạn đã tạo ở Bước 3, bạn có thể sử dụng cấu hình sau:

~ / .ssh / allow_keys
restrict,command="false" ssh-rsa AAAB... 

Tùy chọn restrict sẽ vô hiệu hóa tất cả quyền truy cập tương tác và tùy chọn command="false" hoạt động như một tuyến phòng thủ thứ hai trong trường hợp tùy chọn ForceCommand hoặc shell nologin bị lỗi.

Lưu file để áp dụng cấu hình. Điều này sẽ có hiệu lực ngay lập tức đối với tất cả các lần đăng nhập mới, vì vậy bạn không cần phải reload OpenSSH theo cách thủ công.

Trong bước cuối cùng này, bạn đã triển khai một số biện pháp tăng cường nâng cao bổ sung cho server OpenSSH bằng cách sử dụng các tùy chọn tùy chỉnh trong (các) file .ssh/authorized_keys của bạn .

Kết luận

Trong bài viết này, bạn đã xem xét cấu hình server OpenSSH của bạn và thực hiện các biện pháp tăng cường khác nhau để giúp bảo mật server của bạn.

Điều này sẽ làm giảm bề mặt tấn công tổng thể của server của bạn bằng cách vô hiệu hóa các tính năng không sử dụng và khóa quyền truy cập của những user cụ thể.

Bạn có thể cần xem lại các trang hướng dẫn sử dụng cho server OpenSSHtệp cấu hình liên quan của nó, để xác định bất kỳ chỉnh sửa nào có thể có thêm mà bạn muốn thực hiện.


Tags:

Các tin liên quan

Cách sử dụng Discord Webhooks để nhận thông báo về trạng thái trang web của bạn trên Server
2020-07-27
Cách cài đặt Discourse trên Ubuntu 18.04
2020-07-14
Cách cài đặt Discourse trên Ubuntu 20.04
2020-07-14
Cách thiết lập máy tính từ xa với X2Go trên Ubuntu 20.04
2020-07-14
Cách tập trung log với Journald trên Ubuntu 20.04
2020-07-10
Cách cài đặt và cấu hình Drone trên Ubuntu 20.04
2020-07-09
Cách thiết lập Mattermost trên Ubuntu 18.04
2020-07-07
Cách cài đặt Jenkins trên Ubuntu 20.04
2020-07-03
Cách cài đặt và cấu hình Zabbix để giám sát an toàn server từ xa trên Ubuntu 20.04
2020-06-30
Cách thiết lập ứng dụng Node.js để sản xuất trên Ubuntu 20.04
2020-06-30