Bảo mật tài khoản quản lý Cloud VPS là việc hết sức quan trọng mang tính sống còn với những ai dùng VPS. Dù bạn có cấu hình bảo mật trên VPS kiểu gì đi chăng nữa nếu hacker có được tài khoản quản lý VPS thì chỉ với một click chuột thôi toàn bộ hệ thống máy chủ VPS của bạn đi tong.
Bài này mình sẽ hướng dẫn các gia tăng bảo mật tài khoản VPS với Two Factor Authentication, đây là dịch vụ bảo vệ tài khoản với hai lớp xác thực mật khẩu còn được biết đến với tên gọi OTP (One Time Password). Nó giống với dịch vụ gửi mật khẩu qua SMS trên Gmail vậy.
Hướng dẫn này áp dụng cho các tài khoản VPS được đăng ký tại Linode, Vultr, DigitalOcean.
1. Các bước chuẩn bị
- Bạn cần có smartphone
- Cài ứng dụng Google Authenticator của Google
Ở đây mình dùng IPhone, với các dòng điện thoại chạy Androi, Blacberry bạn cài ứng dụng rồi làm tương tự nhé.
2. Cách thức hoạt động của Two Factor Authentication.
Two Factor Authentication hoạt động như nào ?
Khi truy cập vào tài khoản quản lý VPS trên Linode, Vultr, DigitalOcean bạn sẽ phải nhập mật khẩu vẫn dùng hàng ngày để login vào website của nhà cung cấp VPS, đây là lớp thứ nhất.
Tiếp sau đó nó sẽ yêu cầu bạn nhập authentication code. Đây là mật khẩu gồm 6 số được sinh ra ngâu nhiên trên ứng dụng Google Authenticator, cứ sau 30s bạn không sử dụng mật khẩu này ứng dụng lại tự sinh ra mật khẩu mới, đây là lớp thứ hai.
Sau khi nhập Authentication Code để xác thực bạn sẽ đăng nhập được vào giao diện quản trị VPS và làm việc như bình thường. Từ giờ khi đi bất cứ đâu bạn nhớ luôn mang theo điện thoại bên mình nhé:)
3. Cài Two Factor Authentication trên Linode
Bạn đăng nhập bằng tài khoản của bạn như bình thường chọn my profile
Chọn tiếp Password & Authentication -> Enable Two-Factor Authentication
Bạn mở ứng dụng Google Authenticator lên chọn BẮT ĐẦU THIẾT LẬP
Chọn tiếp Quét mã vách và đưa điện thoại vào trước màn hình vi tính
Ứng dụng sẽ quét QR Code để lấy số Generated token, rồi nhập vào như hình sau
Bạn ấn tiếp Confirm my token, and enable two-factor auth!
Linode sẽ gửi mail thông báo cài đặt thành công, từ giờ tài khoản quản lý VPS của bạn bắt buộc phải xác thực qua 2 lớp rồi.
4. Cài Two Factor Authentication trên Vultr
Kích hoạt tính năng bảo mật 2 lớp trên Vultr có khác một chút so với Linode. Bạn truy cập tài khoản như bình thường, chọn menu Account -> Authentication -> Manage Two Factor Auth.
Chọn TOTP/Google Auth (Recommended), nhập Description bất kỳ rồi chọn Add
Bạn tiếp tục dùng ứng dụng quyét QR Code rồi ấn Continue
Nhập mật khẩu sinh ra từ ứng dụng rồi ấn Enable để hoàn tất.
Thế là xong, giờ bạn thử thoát ra và đăng nhập lại xem sao nhé.
5. Cài Two Factor Authentication trên DigitalOcean
Cơ chế bảo vệ hai lớp trên DigitalOcean có khác 2 nhà cung cấp VPS bên trên một chút về cách cài đặt. Các bước làm như sau, đăng nhập tài khoản DigitalOcean -> Setting -> Security.
Chọn tiếp Enable 2-factor authentication, bạn sẽ được yêu cầu chọn location và số điện thoại để nhận SMS -> Submit.
Digital Ocean sẽ gửi cho bạn SMS để xác nhận số điện thoại.
Bạn nhập code để xác thực số điện thoại, sau đó mở ứng dụng trên điện thoai để scan QR Code lấy số PIN như làm với Vultr và Linode. Được mã PIN nhập vào rồi ấn Submit để hoàn tất cài đặt.
Ngoài ra bạn cần Backup Methor Enable lên để thêm số điện thoại nhận SMS phòng trường hợp bị mất điện thoại vẫn có thể đăng nhập được vào tài khoản của DigitalOcean.
6. Kết bài
Như vậy mình đã hướng dẫn cách cài đặt mật khẩu hai lớp để bảo vệ tài khoản VPS.
Nhìn chung mình đánh giá giải pháp Two Factor Authentication của Linode, DigitalOcean tốt hơn nó đảm bảo cho dù bạn có hỏng điện thoại thì vẫn login vào tài khoản bình thường nhờ Scratch Code và SMS. Vultr thì phải contact với support bằng mail mở tài khoản nên không tiện lắm.
Giờ bạn có thể gối cao đầu mà ngủ rồi, nhớ theo dõi blog của mình nhé.
Cảm ơn bạn rất dễ làm nhưng mình chưa hình dung là khi đổi máy điện thoại, cái QR code kia nó có còn nhận điện thoại mới nữa không hay bắt xài điện thoại cũ nhỉ, thực sự chưa hiểu cơ chế của nó
Đổi điện thoại bạn phải add thêm một cái QR Code nữa cho điện thoại mới chứ, mỗi điện thoại một QR code khác nhau.
Vậy trong trường hợp mất điện thoại thì làm sao vào được VPS account nữa bạn?
Tùy việc bạn dùng VPS của nhà cung cấp nào.
– Linode bạn có thể dùng Scratch Code để vào tài khoản khi bị mất điện thoại.
– DigitalOcean cung cấp thêm cho bạn tính năng send SMS để phòng mất điện thoại, bạn phải khai báo số điện thoại dự phòng cho nó. Hoặc làm lại SIM nếu bạn dùng số bị mất đăng ký với nó.
– Vultr thì chỉ có cách gửi email contact thôi.
Mình xài Vultr bạn ạ, hay có thể dùng 2 chiếc điện thoại để quét mã code rồi phòng khi một chiếc mất thì xài chiếc kia log in được ko nhỉ?
Được bạn nhé
mình bị mất mã cấp 2 của vultr. bây giờ muốn lấy lại thì phải làm sao? tất cả những gì liên quan đến tài khoản đó mình đều còn trừ mã cấp 2
Trong trường hợp điện thoại bị hỏng không mở app Google Authenticator để lấy được mật khẩu cấp 2 bạn chỉ còn cách dùng mail đăng ký tài khoản ở Vultr để contact thôi.
Mình cài đặt 2 tầng google authenticator cho amazon aws và vultr. Nhưng bây giờ bị mất tài khoản ko biết sao vào được tài khoản vps. Cái thứ 2 mình hỏi bạn khi sử dụng google authenticator, nếu người khác biết mật khẩu google thì họ có thể dùng tài khoản google authenticator trên đtdđ của họ mà lấy các mã 2 tầng của mình.
Câu hỏi 1: Vultr mình không thấy có mật khẩu dự phòng như linode, trong trường hợp bị mất hoặc hỏng điện thoại không lấy được OTP bạn dùng mail đăng ký gửi yêu cầu đến bộ phận support thôi.
Mẹo: bạn có thể tạo 2 QR Code cài ứng dụng trên 2 điện thoại khác nhau.
Câu hỏi 2: Google authenticator là ứng dụng được google phát triển riêng không liên quan gì đến tài khoản Gmail.