Sau khi thuê VPS, một trong những lời khuyên phổ biến nhất mà bạn nhận được từ các “đàn anh” đi trước là: “Nhớ đổi port SSH đi nhé!”.
Vậy cổng (port) SSH là gì? Việc đổi nó từ số mặc định (22) sang một số khác có thực sự giúp VPS của bạn trở thành “pháo đài bất khả xâm phạm” trước các hacker? Hãy cùng tìm hiểu sự thật trong bài viết này.
1. Port SSH là gì và tại sao botnet lại thích nó?
- SSH (Secure Shell) là giao thức giúp bạn kết nối và điều khiển VPS từ xa (như đã nhắc ở bài trước).
- Port (Cổng) giống như những cánh cửa của một ngôi nhà. Một VPS có đến 65.535 cánh cửa. Theo quy ước quốc tế, dịch vụ SSH luôn mở sẵn ở cửa số 22.
Vì ai cũng biết “chìa khóa” điều khiển VPS nằm ở cửa số 22, các hacker thường viết ra những con bot (phần mềm tự động) đi dò tìm hàng triệu địa chỉ IP trên mạng. Nếu thấy cửa số 22 đang mở, chúng sẽ liên tục thử hàng ngàn mật khẩu khác nhau (Brute-force attack) như: admin/123456, root/root, root/password… để tìm cách đột nhập.
2. Lợi ích của việc đổi Port SSH
Nếu bạn đổi port SSH từ 22 sang một số ngẫu nhiên nào đó (ví dụ: 8822 hay 22045), bạn sẽ có hai lợi ích chính:
- Giảm thiểu “tiếng ồn” và rác log: Các con bot tự động thường rất “lười”. Chúng chỉ gõ cửa số 22. Nếu thấy đóng, chúng sẽ bỏ đi sang nhà khác. Việc đổi port giúp bạn tránh được 99% các cuộc tấn công dò mật khẩu tự động này.
- Tiết kiệm tài nguyên cho VPS: Khi có bot liên tục thử mật khẩu, VPS của bạn phải tốn một phần nhỏ CPU và RAM để xử lý việc “từ chối” chúng. Đổi port giúp server thảnh thơi hơn.
3. Sự thật phũ phàng: Đổi port KHÔNG ngăn được Hacker thực thụ
Trong ngành bảo mật, việc đổi port được gọi là “Security by obscurity” (Bảo mật bằng cách che giấu).
Hãy tưởng tượng: Bạn dời cánh cửa chính từ mặt tiền (port 22) ra phía sau nhà (port 8822) rồi giấu sau bụi cây.
- Những tên trộm vặt đi ngang đường (bot tự động) sẽ không thấy và bỏ qua.
- Nhưng, một tên trộm chuyên nghiệp (hacker có chủ đích) khi nhắm vào nhà bạn, hắn sẽ đi vòng quanh, rọi đèn pin soi từng cm (sử dụng các công cụ quét cổng như Nmap). Chỉ mất vài phút, hắn sẽ phát hiện ra cửa SSH của bạn đang nằm ở số
8822.
👉 Kết luận: Đổi port SSH giống như một màng lọc bụi chứ không phải là một tấm khiên chống đạn. Nó dọn dẹp các mối đe dọa “rác”, nhưng không bảo vệ bạn khỏi các cuộc tấn công có chủ đích.
4. Hướng dẫn thực hành: Cách đổi port SSH an toàn (Từng bước)
Nếu bạn quyết định đổi port, hãy làm theo các bước dưới đây.
⚠️ LƯU Ý QUAN TRỌNG: Trong suốt quá trình này, tuyệt đối không được đóng cửa sổ Terminal (cửa sổ dòng lệnh) hiện tại. Chỉ đóng nó khi bạn đã mở một cửa sổ khác và đăng nhập thành công bằng port mới!
Bước 1: Mở file cấu hình SSH
Kết nối vào VPS của bạn, sau đó gõ lệnh sau để mở file cấu hình bằng trình soạn thảo vim:
sudo vi /etc/ssh/sshd_configBước 2: Thay đổi số Port
Trong màn hình soạn thảo, dùng phím mũi tên kéo xuống tìm dòng có chữ: #Port 22 Hãy xóa dấu thăng # ở đầu đi (để kích hoạt lệnh) và sửa số 22 thành một con số ngẫu nhiên từ 1024 đến 65535. Ví dụ mình chọn 2222: Port 2222 (Sau khi sửa xong, nhấn Ctrl + O -> Enter để lưu, sau đó Ctrl + X để thoát).
Bước 3: Mở tường lửa (Firewall) cho Port mới
Đây là bước cực kỳ quan trọng. Nếu quên bước này, VPS sẽ chặn port mới và bạn sẽ tự “khóa” mình ở ngoài. Nếu bạn đang dùng Ubuntu (sử dụng UFW), hãy gõ lệnh:
sudo ufw allow 2222/tcp(Thay 2222 bằng port bạn đã chọn ở Bước 2).
Bước 4: Khởi động lại dịch vụ SSH
Để hệ thống nhận diện cấu hình mới, bạn cần khởi động lại SSH:
sudo systemctl restart ssh(Trên CentOS/RedHat, lệnh sẽ là sudo systemctl restart sshd).
Bước 5: Kiểm tra kết quả (Test)
Để nguyên cửa sổ hiện tại. Mở thêm một cửa sổ Terminal/PuTTY mới và thử kết nối lại với VPS bằng port mới:
ssh -p 2222 root@địa_chỉ_ip_của_bạnNếu đăng nhập thành công, xin chúc mừng! Bạn đã đổi port SSH an toàn. Lúc này bạn có thể đóng cửa sổ cũ lại.
5. Vậy làm sao để bảo mật VPS “Đúng chuẩn” ngoài việc đổi port?
Để thực sự an toàn, bạn không nên chỉ dựa vào việc đổi port. Hãy áp dụng ngay 3 “ổ khóa” vững chắc sau:
🔑 Ổ khóa 1: Sử dụng SSH Key thay vì Password (Quan trọng nhất)
Mật khẩu dù dài đến đâu cũng có nguy cơ bị lộ hoặc bị dò ra. SSH Key là một cặp chìa khóa mật mã cực kỳ phức tạp được tạo ra giữa máy tính cá nhân của bạn và VPS. Khi cài đặt SSH Key, bạn cấu hình cho VPS từ chối hoàn toàn việc nhập mật khẩu. Không có chìa khóa riêng lưu trên máy bạn, hacker có biết cổng SSH cũng đành bất lực.
SSH Là Gì? Tại Sao Nên Dùng Private Key Thay Vì Mật Khẩu Để Bảo Mật VPS?:
Xem bài viết
🛡️ Ổ khóa 2: Vô hiệu hóa quyền đăng nhập Root (Disable Root Login)
Tài khoản root là tài khoản có quyền lực tối cao nhất trên VPS. Bất kỳ ai cũng biết tài khoản này tồn tại. Cách an toàn là: Tạo một tài khoản người dùng bình thường (ví dụ: nguoidung1), cho phép đăng nhập SSH bằng tài khoản này. Sau khi vào được VPS, bạn mới dùng lệnh sudo (và nhập mật khẩu) để mượn quyền root thực hiện các cài đặt. Sau đó, hãy tắt hẳn quyền đăng nhập trực tiếp của root.
🚨 Ổ khóa 3: Cài đặt Fail2Ban (Bảo vệ chủ động)
Fail2Ban là một phần mềm “bảo vệ cổng”. Nó sẽ âm thầm theo dõi log (nhật ký) của máy chủ. Bạn có thể thiết lập luật: “Nếu ai đó nhập sai mật khẩu quá 5 lần trong vòng 10 phút, lập tức chặn (block) địa chỉ IP của kẻ đó trong vòng 24 giờ, hoặc chặn vĩnh viễn”. Đây là khắc tinh của mọi cuộc tấn công Brute-force.
Tóm tắt lại: Có nên đổi Port SSH không?
Câu trả lời là CÓ. Bạn vẫn nên đổi port SSH để server đỡ bị botnet làm phiền và làm sạch file log của hệ thống.
Tuy nhiên, đừng bao giờ nghĩ rằng đổi port là đã an toàn tuyệt đối. Công thức bảo mật tốt nhất cho một người mới quản trị VPS là: Đổi Port SSH + Sử dụng SSH Key + Cài đặt Fail2Ban. Chúc bạn quản trị VPS an toàn và hiệu quả!
