Chuyển tới nội dung chính
Cập nhật lần cuối:

SSH Key

SSH Key xác thực bằng cặp khóa mã hóa (public key / private key) — an toàn hơn mật khẩu vì không thể brute-force và không lộ qua mạng. Khi tạo máy ảo Linux, chọn SSH Key thay vì đặt mật khẩu để giảm bề mặt tấn công.

So sánh SSH Key và mật khẩu

SSH KeyMật khẩu
Bảo mậtCao — khó brute-forceThấp hơn — dễ bị đoán
Tự động hóaTốt — CI/CD, scriptCần lưu plain hoặc nhập tay
Quản lý nhiều máyMột key cho nhiều máyMỗi máy một mật khẩu
Khôi phục khi mấtMất private key = mất truy cậpCó thể reset

Tạo SSH Key trên Portal

Bước 1. Mở trang SSH Key

Vào Cloud Server → SSH Key và bấm + Tạo SSH Key.

Trang danh sách SSH Key với nút Tạo SSH Key

Bước 2. Đặt tên và (tùy chọn) dán Public Key

  • Tên — đặt tên gợi nhớ (ví dụ laptop-ola, ci-deployer).
  • Public Key (tùy chọn) — dán nội dung public key đã có sẵn (định dạng ssh-rsa AAAA... hoặc ssh-ed25519 AAAA...).

Bấm Tạo.

Form tạo SSH Key với tên và public key

Hệ thống tự sinh key

Nếu không nhập Public Key, hệ thống tự tạo cặp key và gửi Private Key qua email đăng ký. Lưu private key ngay vào nơi an toàn (~/.ssh/, password manager) — LANIT không lưu lại private key sau khi gửi.

Tạo SSH Key trên máy local

Khuyến nghị tự sinh key trên máy bạn và chỉ upload public key lên Portal.

Linux / macOS

ssh-keygen -t ed25519 -C "your-email@example.com"
# Hoặc dùng RSA 4096-bit nếu cần tương thích cao:
# ssh-keygen -t rsa -b 4096 -C "your-email@example.com"

cat ~/.ssh/id_ed25519.pub   # Public key — dán lên Portal

Windows (PowerShell)

ssh-keygen -t ed25519 -C "your-email@example.com"
Get-Content $HOME\.ssh\id_ed25519.pub

Dán nội dung public key vào ô Public Keybước trên.

Dùng SSH Key để đăng nhập máy ảo

Sau khi gán SSH Key khi tạo máy ảo, kết nối từ máy local:

ssh -i ~/.ssh/id_ed25519 <user>@<ip-may-ao>
# user mặc định: ubuntu, centos, almalinux, rocky, root tùy image

Xem chi tiết tại SSH/RDP.

Quản lý SSH Key

Trang Cloud Server → SSH Key hỗ trợ các thao tác:

  • Sao chép Public Key — dùng cho hệ thống khác.
  • Đổi tên — cập nhật tên gợi nhớ.
  • Xóa — xóa key không còn dùng.

Menu thao tác trên SSH Key

Xóa key trên Portal không thu hồi quyền truy cập đã cấp

Xóa SSH Key trên Portal không xóa public key đã được copy vào ~/.ssh/authorized_keys của các máy ảo đã tạo trước đó. Máy ảo vẫn chấp nhận private key tương ứng.

Để thu hồi thực sự, SSH vào từng máy ảo và xóa dòng tương ứng trong ~/.ssh/authorized_keys.

Khuyến nghị bảo mật

  • Dùng ed25519 thay cho RSA khi có thể (ngắn hơn, an toàn hơn).
  • Đặt passphrase cho private key.
  • Lưu private key trong ~/.ssh/ với quyền 600.
  • Mỗi người, mỗi vai trò một SSH Key riêng — dễ revoke khi cần.
  • Không commit private key lên Git.