Các con đường khai thác truy cập trái phép thông qua

giao thức SSH

Khai thác qua Man-in-the-
CVE Middle

Sử dụng khóa
Brute Force SSH đã bị
chiếm đoạt
SSH
Thông qua
Zero-Day
máy chủ
 Khuyến nghị khắc phục

1. Ngắt kết nối và xác minh

7. Giám sát và ghi nhật ký

2. Thay đổi mật khẩu

8. Hợp tác với chuyên gia bảo mật

3. Kiểm tra và xử lý tổn hại

9. Huấn luyện người dùng

4. Phân tích nguyên nhân 10. Sử dụng các IDS,IPS

5. Cập nhật phần mềm và bản vá

11. Tắt đăng nhập SSH bằng mật
khẩu

6. Tăng cường bảo mật SSH

 Tăng cường bảo mật SSH

Tăng cường bảo mật SSH: Cấu hình lại máy chủ SSH để tăng cường bảo mật, bao gồm việc sử dụng khóa
SSH thay vì mật khẩu, giới hạn quyền truy cập và sử dụng cơ chế bảo mật như TOTP (Time-based One-Time
Password) hoặc MFA (Multi-Factor Authentication).

1. Sử dụng khóa SSH thay vì mật khẩu

Tạo cặp khóa SSH trên máy tính của người dùng:
ssh-keygen -t rsa -b 4096
Lệnh này tạo ra một cặp khóa SSH RSA với độ dài 4096 bit.
Sao chép khóa công khai (public key) đến máy chủ SSH:
ssh-copy-id user@hostname
2. Giới hạn quyền truy cập
Mở tệp cấu hình SSH để chỉnh sửa:sudo nano /etc/ssh/sshd_config
Sử dụng các tùy chọn AllowUsers, AllowGroups, DenyUsers, DenyGroups để chỉ
định người dùng hoặc nhóm được phép hoặc bị từ chối truy cập vào máy chủ SSH.
• AllowUsers: Xác định danh sách các người dùng được phép truy cập vào máy chủ SSH. Chỉ các
người dùng được liệt kê trong danh sách này mới có thể đăng nhập qua SSH.

• AllowGroups: Xác định danh sách các nhóm người dùng được phép truy cập vào máy chủ SSH.
Chỉ các người dùng thuộc các nhóm được liệt kê trong danh sách này mới có thể đăng nhập qua
SSH.

• DenyUsers: Xác định danh sách các người dùng bị từ chối truy cập vào máy chủ SSH. Các người
dùng được liệt kê trong danh sách này sẽ không thể đăng nhập qua SSH.

• DenyGroups: Xác định danh sách các nhóm người dùng bị từ chối truy cập vào máy chủ SSH. Các
người dùng thuộc các nhóm được liệt kê trong danh sách này sẽ không thể đăng nhập qua SSH.
 3.Sử dụng cơ chế bảo mật như TOTP hoặc MFA

Cài đặt và cấu hình một phần mềm TOTP như Google Authenticator hoặc Authy trên máy chủ
và máy tính của người dùng theo hướng dẫn của nhà cung cấp.
Mở tệp cấu hình SSH để chỉnh sửa:
sudo nano /etc/ssh/sshd_config
Bật và cấu hình việc sử dụng MFA hoặc TOTP cho đăng nhập SSH bằng cách thêm các dòng
sau vào tệp cấu hình:
AuthenticationMethods publickey,keyboard-interactive
 Các con đường khai thác truy cập trái phép thông qua
giao thức FTP
Khai thác qua Man-in-the-
CVE Middle

Brute Force
Thông qua tệp
FTP và thư mục

Zero-Day
 Khuyến nghị khắc phục

Sử dụng cơ chế xác thực mạnh

1. 5. Giáo dục người dùng

2. Sử dụng kết nối FTP bảo mật

6. Giới hạn quyền truy cập

3. Giám sát và kiểm tra đăng nhập

7. Cập nhật và quản lý phần mềm

4. Hạn chế truy cập từ xa

Sử dụng kết nối FTP bảo mật

Đảm bảo rằng máy chủ đã cài đặt vsftpd. Nếu chưa, có thể cài đặt nó thông qua trình quản lý
gói của hệ thống:
sudo apt update
sudo apt install vsftpd

Tạo cặp chứng chỉ SSL/TLS: (certificates) để sử dụng cho FTPS. Sử dụng openssl để tạo
chúng:
sudo openssl req -x509 -nodes -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.key -out
/etc/ssl/certs/vsftpd.crt -days 365
chứng chỉ SSL/TLS sẽ được lưu tại /etc/ssl/certs/vsftpd.crt (chứng chỉ công khai) và
/etc/ssl/private/vsftpd.key (khóa riêng tư).
Mở và chỉnh sửa tệp cấu hình của vsftpd, thường là /etc/vsftpd.conf, với quyền quản trị:
sudo nano /etc/vsftpd.conf
Trong tệp cấu hình, cần bật hỗ trợ SSL/TLS bằng cách thêm hoặc chỉnh sửa các dòng sau:
typescript
ssl_enable=YES
rsa_cert_file=/etc/ssl/certs/vsftpd.crt
rsa_private_key_file=/etc/ssl/private/vsftpd.key
Mở cổng trong tường lửa:

Nếu máy chủ đang chạy tường lửa, hãy chắc chắn rằng cổng FTPS đã được mở. Ví dụ, sử dụng UFW
(Uncomplicated Firewall), mở cổng 990 (implicit SSL) và/hoặc 21 (explicit SSL) như sau:
sudo ufw allow 990/tcp
sudo ufw allow 21/tcp