Với sự phổ biến của điện toán đám mây, ngày càng có nhiều doanh nghiệp và cá nhân lựa chọn triển khai ứng dụng trên máy chủ đám mây. Tuy nhiên, tính bảo mật của các máy chủ đám mây cũng là mối quan tâm ngày càng tăng, đặc biệt là khi đối mặt với các cuộc tấn công mạng ngày càng tinh vi. Để đảm bảo tính bảo mật của máy chủ đám mây, điều quan trọng là phải thực hiện các biện pháp tăng cường thích hợp. Chủ đề này mô tả cách sử dụng đăng nhập khóa SSH và cấu hình tường lửa để cải thiện tính bảo mật của CVM và bảo vệ dữ liệu và ứng dụng của bạn khỏi các mối đe dọa bên ngoài.

1. Đăng nhập khóa SSH: cải thiện tính bảo mật của truy cập từ xa

SSH (Secure Shell) là giao thức đăng nhập từ xa được sử dụng phổ biến nhất cho các máy chủ đám mây, có thể đảm bảo tính bảo mật của việc truyền dữ liệu thông qua mã hóa. Tuy nhiên, các phương thức đăng nhập mật khẩu truyền thống có nguy cơ bị phá vỡ do vũ phu. Vì lý do này, đăng nhập bằng khóa SSH là một phương pháp xác thực an toàn hơn.

1. Đăng nhập khóa SSH là gì?

Đăng nhập khóa SSH dựa trên cơ chế mật mã khóa công khai và người dùng tạo một cặp khóa (khóa công khai và khóa riêng tư). Khóa công khai được đặt trên máy chủ, trong khi khóa riêng được lưu trữ cục bộ trên thiết bị của người dùng. Bằng cách này, chỉ người dùng có khóa riêng tương ứng mới có thể đăng nhập thành công vào máy chủ mà không cần phải nhập mật khẩu.

2. Tại sao nên sử dụng khóa SSH để đăng nhập?

• Ngăn chặn vũ phu: Mật khẩu thường có thể bị bẻ khóa thông qua vũ phu và đăng nhập khóa SSH cải thiện đáng kể tính bảo mật.

• Cải thiện bảo mật xác thực: Các cặp khóa an toàn hơn nhiều so với mật khẩu truyền thống và khóa không thể dễ dàng bị đánh cắp.

• Hỗ trợ tập lệnh tự động hóa: Đăng nhập khóa có thể dễ dàng được sử dụng trong các tập lệnh tự động hóa và quy trình CI / CD để giảm sự can thiệp của con người.

3. Làm cách nào để định cấu hình đăng nhập khóa SSH?

1. Tạo cặp khóa SSH: Tạo một cặp khóa trên thiết bị cục bộ bằng lệnh sau:

   ssh-keygen -t rsa -b 2048

   Điều này tạo ra một tệp khóa công khai và riêng tư, thường được lưu trữ trong thư mục ~/.ssh/.

2. Tải khóa công khai lên máy chủ: Sử dụng lệnh ssh-copy-id để tải khóa công khai lên ECS:

   ssh-copy-id username@server_ip

3. Tắt đăng nhập mật khẩu: Đăng nhập vào máy chủ, chỉnh sửa tệp /etc/ssh/sshd_config và tắt xác thực mật khẩu:

   Mật khẩuXác thực không

   Sau đó khởi động lại dịch vụ SSH:

   sudo systemctl khởi động lại sshd

4. Kiểm tra đăng nhập khóa SSH: Cố gắng đăng nhập vào máy chủ bằng khóa riêng của bạn để đảm bảo bạn có thể đăng nhập thành công:

   ssh -i /đường dẫn/đến/private_key username@server_ip

2. Cấu hình tường lửa: kiểm soát truy cập máy chủ và từ chối lưu lượng độc hại

Tường lửa là một công cụ quan trọng để bảo vệ máy chủ đám mây khỏi các cuộc tấn công bên ngoài và nó có thể ngăn chặn truy cập trái phép bằng cách kiểm soát lưu lượng mạng. Cấu hình tường lửa phù hợp có thể giảm rủi ro bảo mật một cách hiệu quả và ngăn chặn những kẻ tấn công độc hại xâm nhập vào hệ thống.

1. Tại sao việc cấu hình tường lửa lại quan trọng?

• Hạn chế truy cập bên ngoài: Tường lửa có thể ngăn chặn hiệu quả lưu lượng mạng không cần thiết xâm nhập và giảm bề mặt tấn công bằng cách hạn chế các cổng truy cập bên ngoài.

• Cải thiện độ ổn định của hệ thống: Bằng cách lọc ra các yêu cầu mạng không cần thiết, tường lửa có thể cải thiện độ ổn định của máy chủ và giảm gánh nặng không cần thiết.

• Ngăn chặn các cuộc tấn công DDoS: Tường lửa có thể giúp xác định và chặn các cuộc tấn công từ chối dịch vụ phân tán (DDoS), ngăn máy chủ bị quá tải bởi lưu lượng truy cập độc hại.

2. Làm cách nào để định cấu hình tường lửa?

Sau đây sử dụng UFW (Tường lửa không phức tạp) và iptables phổ biến làm ví dụ để mô tả cách cấu hình tường lửa.

1.0 Định cấu hình tường lửa với UFW

1. Cài đặt UFW (nếu chưa được cài đặt):

   sudo apt-get cài đặt ufw

2. Bật UFW và đặt quy tắc mặc định: Đặt quy tắc mặc định để từ chối tất cả lưu lượng truy cập đến và cho phép tất cả lưu lượng truy cập đi:

   sudo ufw mặc định từ chối đến sudo ufw mặc định cho phép gửi đi

3. Cho phép lưu lượng SSH: Nếu bạn đăng nhập bằng khóa SSH, hãy đảm bảo cho phép lưu lượng truy cập cổng SSH (cổng 22 theo mặc định):

   sudo ufw cho phép 22 / tcp

4. Bật tường lửa: Bật tường lửa và làm cho nó có hiệu quả:

   sudo ufw kích hoạt

5. Xem trạng thái tường lửa: Xem trạng thái và quy tắc tường lửa của bạn:

   sudo ufw trạng thái

2.0 Định cấu hình tường lửa bằng iptables

iptables là một công cụ tường lửa mạnh mẽ trên Linux cung cấp khả năng kiểm soát chi tiết lưu lượng mạng thông qua các quy tắc tùy chỉnh.

1. Lưu lượng SSH được phép: Lưu lượng SSH (cổng 22) được phép:

   sudo iptables -A INPUT -p tcp --dport 22 -j CHẤP NHẬN

2. Từ chối tất cả lưu lượng truy cập đến khác: Từ chối tất cả lưu lượng truy cập đến theo mặc định:

   sudo iptables -A ĐẦU VÀO -J THẢ

3. Lưu quy tắc iptables: Sử dụng lệnh sau để lưu quy tắc iptables:

   sudo iptables-save > /etc/iptables/rules.v4

3. Tóm tắt: Đảm bảo bảo vệ nhiều lớp cho ECS

Bằng cách triển khai cấu hình tường lửa và đăng nhập khóa SSH, bạn có thể cải thiện đáng kể tính bảo mật của ECS của mình. Đăng nhập khóa SSH cung cấp phương pháp xác thực an toàn hơn để ngăn chặn các cuộc tấn công brute-force. Mặt khác, tường lửa ngăn chặn những kẻ tấn công độc hại xâm nhập vào hệ thống bằng cách hạn chế lưu lượng mạng và cổng truy cập. Kết hợp với các biện pháp bảo mật khác, chẳng hạn như cập nhật hệ thống thường xuyên, sử dụng mật khẩu mạnh và bật xác thực đa yếu tố, bạn có thể xây dựng một tuyến phòng thủ mạnh mẽ cho máy chủ đám mây của mình để đảm bảo rằng dữ liệu và ứng dụng của bạn luôn được bảo mật.

Không nên bỏ qua việc bảo vệ ECS và việc tăng cường bảo mật phải được tăng cường trong quá trình sử dụng để tránh các rủi ro bảo mật tiềm ẩn.

Nguồn: Máy chủ đám mây Mengfei