Cấu hình SSH trên hệ thống Linux được quản lý thông qua hai tệp chính: /etc/ssh/ssh_config (dành cho client) và sshd_config (dành cho server). Tài liệu này tập trung vào các thiết lập quan trọng trong sshd_config.

Các tùy chọn cấu hình nổi bật

1. Cổng kết nối

   #Port 2222

   Thiết lập cổng lắng nghe của dịch vụ SSH (mặc định 22). Nên thay đổi sang giá trị khác không phải 22 để tăng cường bảo mật. Có thể khai báo nhiều cổng bằng cách lặp lại dòng Port.
2. Địa chỉ lắng nghe

   ListenAddress 192.168.1.100

   Chỉ định địa chỉ IPv4/IPv6 mà SSH sẽ bind. Nên giới hạn chỉ các địa chỉ IP cần thiết thay vì dùng 0.0.0.0 (tất cả địa chỉ IPv4).
3. Phiên bản giao thức

   Protocol 2

   Bắt buộc sử dụng phiên bản SSH 2 (an toàn hơn phiên bản 1).
4. Khóa máy chủ

   HostKey /etc/ssh/ssh_host_ed25519_key

   Chỉ định đường dẫn tới các cặp khóa dùng xác thực máy chủ. Nên ưu tiên các thuật toán hiện đại như Ed25519.
5. Ghi log hệ thống

   SyslogFacility AUTHPRIV

   Thiết lập kênh log bảo mật. Nhật ký sẽ được lưu tại /var/log/secure.
6. Thời gian chờ đăng nhập

   LoginGraceTime 30s

   Thiết lập khoảng thời gian cho phép hoàn tất kết nối (mặc định 120s). Nên giảm xuống 30-60s để ngăn tấn công brute-force.
7. Chặn đăng nhập root

   PermitRootLogin no

   Tăng cường bảo mật bằng cách cấm đăng nhập trực tiếp tài khoản root.
8. Xác thực bằng mật khẩu

   PasswordAuthentication no

   Tắt xác thực mật khẩu khi sử dụng khóa SSH. Nên kết hợp với PermitEmptyPasswords no để chặn tài khoản trống.
9. Xác thực DNS

   UseDNS no

   Tắt xác thực DNS để tăng tốc độ kết nối nội bộ. Chỉ bật khi cần kiểm tra tên miền người dùng.