🚀 TrueNAS – P18: Bảo Mật TrueNAS Với Xác Thực MFA (Google Authenticator) – Full Configuration Tutorial

Bảo mật là yếu tố sống còn đối với bất kỳ hệ thống lưu trữ nào, đặc biệt là TrueNAS – nơi chứa dữ liệu quan trọng như backup, VM storage và tài liệu nội bộ.

Chỉ sử dụng mật khẩu là không đủ. Nếu mật khẩu bị lộ hoặc bị brute-force, toàn bộ hệ thống có thể bị xâm nhập.

Trong bài hướng dẫn này, chúng ta sẽ cấu hình Xác thực MFA TrueNAS (Multi-Factor Authentication) bằng Google Authenticator để bảo vệ:

• 🔐 Giao diện Web TrueNAS (GUI)

• 🔐 Truy cập dòng lệnh qua SSH

Sau khi hoàn tất, mỗi lần đăng nhập sẽ yêu cầu mã OTP từ điện thoại – tăng cường bảo mật lên một cấp độ hoàn toàn khác.

Hướng dẫn áp dụng cho:

• ✅ TrueNAS CORE

• ✅ TrueNAS SCALE

• ✅ Home Lab

• ✅ Doanh nghiệp SMB

• ✅ Môi trường Production

🔎 Vì Sao Cần Xác Thực MFA TrueNAS?

TrueNAS thường lưu trữ:

• Dữ liệu backup

• Máy ảo

• File doanh nghiệp

• Tài liệu nội bộ quan trọng

Nếu không bật Xác thực MFA TrueNAS:

• ❌ Mật khẩu bị lộ có thể dẫn đến mất dữ liệu

• ❌ SSH có thể bị brute-force

• ❌ Tài khoản admin có thể bị chiếm quyền

Khi bật MFA:

• ✅ Yêu cầu mật khẩu + mã OTP

• ✅ Ngăn chặn truy cập trái phép

• ✅ Bảo vệ hệ thống kể cả khi password bị lộ

• ✅ Đáp ứng tiêu chuẩn bảo mật hiện đại

🧩 1️⃣ Enable Two-Factor Authentication Globally (Bảo Vệ GUI)

• Meaning:

→ Enables MFA for the entire TrueNAS web interface (GUI).
→ When you log in via a browser, you will have to enter your password and an OTP code from your phone (Google Authenticator, etc.).

• Application:

→ Used for administrators to log in and manage TrueNAS.

Khi bật tùy chọn này:

• Mỗi lần đăng nhập Web UI

• Phải nhập Username

• Nhập Password

• Nhập mã OTP từ Google Authenticator

Điều này đảm bảo rằng chỉ có người sở hữu thiết bị xác thực mới có thể đăng nhập.

🧩 2️⃣ Enable Two-Factor Authentication for SSH

• Meaning:

→ Enables MFA for SSH connections to TrueNAS.
→ When you use Putty, MobaXterm, or a terminal to SSH into TrueNAS, you will have to enter an OTP code in addition to your password.

• Application:

→ Used to protect TrueNAS command-line access via SSH, preventing hacking even if your password is compromised.

SSH thường là mục tiêu tấn công phổ biến. Khi bật Xác thực MFA TrueNAS cho SSH, kể cả khi hacker biết mật khẩu, họ vẫn không thể truy cập nếu không có mã OTP.

📱 3️⃣ Cấu Hình Google Authenticator

Sau khi bật các tùy chọn MFA trong TrueNAS:

Next, use the Google Authenticator app on your phone to scan this code and set up initial authentication.

Thực hiện:

• Mở Google Authenticator trên điện thoại

• Scan mã QR được hiển thị

• Ứng dụng sẽ tạo mã OTP 6 chữ số

• Nhập mã để xác nhận

Sau khi hoàn tất bước này, cấu hình 2FA đã được kích hoạt thành công.

🔐 Sau Khi Kích Hoạt MFA

The 2FA setup is complete. From now on, each login will require Google App Auth verification. You must enter the code from the app to log in.

Điều này có nghĩa:

• 🔒 Mỗi lần login GUI cần OTP

• 🔒 Mỗi lần SSH cần OTP

• 🔒 Không thể đăng nhập nếu thiếu mã xác thực

• 🔒 Mã thay đổi mỗi 30 giây

Ngay cả khi mật khẩu bị lộ, hệ thống vẫn được bảo vệ.

⚙️ Best Practices Khi Triển Khai MFA

Để hệ thống an toàn tối đa:

• ✅ Bật MFA cho cả GUI và SSH

• ✅ Đặt mật khẩu mạnh cho tài khoản admin

• ✅ Bảo vệ điện thoại bằng PIN hoặc sinh trắc học

• ✅ Không chia sẻ tài khoản admin

• ✅ Không tắt MFA trong môi trường production

Với hệ thống lưu trữ quan trọng, Xác thực MFA TrueNAS nên được bật mặc định.

❌ Những Lỗi Thường Gặp

1️⃣ Chỉ bật MFA cho GUI

→ SSH vẫn có thể bị tấn công

2️⃣ Làm mất quyền truy cập Authenticator

→ Cần quản lý thiết bị xác thực cẩn thận

3️⃣ Dùng chung tài khoản admin

→ Khó kiểm soát truy cập

4️⃣ Tắt MFA vì “bất tiện”

→ Làm giảm mức độ bảo mật hệ thống

🏁 Kết Luận

Sau khi hoàn tất cấu hình Xác thực MFA TrueNAS:

• ✔️ GUI được bảo vệ bằng OTP

• ✔️ SSH được bảo mật nâng cao

• ✔️ Loại bỏ đăng nhập chỉ bằng mật khẩu

• ✔️ Phù hợp môi trường production

• ✔️ Đáp ứng tiêu chuẩn bảo mật hiện đại

Xác thực MFA TrueNAS là một trong những bước hardening quan trọng nhất khi triển khai hệ thống NAS chuyên nghiệp.

Bảo mật không phải tùy chọn – đó là yêu cầu bắt buộc.