VPS

Hướng dẫn nâng cấp Kernel LT và đổi Port SSH trên CentOS 7

Tác giả: Tâm Nguyễn

Ngày đăng: 19-04-2026

Hướng dẫn nâng cấp Kernel LT và đổi Port SSH trên CentOS 7

Tóm tắt nhanh (Quick Answer)

Để cài đặt Kernel LT (5.4) trên CentOS 7 sau EOL, bạn cần tải trực tiếp file RPM từ kho lưu trữ và cài đặt bằng yum localinstall. Khi đổi port SSH (ví dụ: 12212), ngoài việc sửa file sshd_config, bạn bắt buộc phải mở port trên Firewalld và cấp phép cho cổng mới trong SELinux bằng lệnh semanage.

Mặc định CentOS 7 sử dụng phiên bản Kernel 3.10 khá cũ, điều này có thể gây hạn chế khi bạn muốn chạy các công nghệ mới như Docker hay tối ưu hóa hiệu năng mạng. Cùng với việc hệ điều hành này đã End-of-Life (EOL), các kho lưu trữ (repo) mặc định đã ngừng hoạt động, khiến việc nâng cấp trở nên khó khăn. Bài viết này sẽ hướng dẫn bạn cách cài đặt Kernel Long-Term (LT) bản 5.x thủ công và cấu hình đổi port SSH để tăng cường bảo mật cho VPS Linux.

1. Hướng dẫn cài đặt Kernel LT 5.4 thủ công

Vì các kho YUM trực tuyến của ELRepo dành cho CentOS 7 đã bị gỡ bỏ, chúng ta sẽ tải trực tiếp gói .rpm từ máy chủ lưu trữ (archive) và cài đặt cục bộ.

Bước 1: Tải gói Kernel RPM

Truy cập vào thư mục tạm và sử dụng lệnh wget để tải gói cài đặt Kernel LT cùng gói Devel (nếu cần build module).

DOWNLOAD KERNEL RPM

cd /tmp
wget https://mirrors.viethosting.com/centos/kernel-lt/kernel-lt-5.4.278-1.el7.elrepo.x86_64.rpm
wget https://mirrors.viethosting.com/centos/kernel-lt/kernel-lt-devel-5.4.278-1.el7.elrepo.x86_64.rpm

Bước 2: Cài đặt bằng YUM Localinstall
Sử dụng YUM để cài đặt file vừa tải. Lệnh này sẽ tự động giải quyết các thư viện phụ thuộc còn thiếu.
INSTALL KERNEL LOCALLY
```
sudo yum localinstall -y kernel-lt-5.4.278-1.el7.elrepo.x86_64.rpm
sudo yum localinstall -y kernel-lt-devel-5.4.278-1.el7.elrepo.x86_64.rpm
```

2. Thiết lập Kernel mới làm mặc định (GRUB2)

Sau khi cài đặt xong, hệ thống vẫn boot bằng Kernel 3.x cũ. Bạn cần chỉ định cho GRUB2 ưu tiên Kernel bản 5.x.

CONFIGURE GRUB2

# Kiểm tra thứ tự Kernel (Kernel mới thường ở vị trí số 0)
awk -F\' '$1=="menuentry " {print i++ " : " $2}' /etc/grub2.cfg

# Đặt Kernel số 0 làm mặc định
sudo grub2-set-default 0

# Cập nhật lại cấu hình GRUB và khởi động lại
sudo grub2-mkconfig -o /boot/grub2/grub.cfg
sudo reboot

Sau khi máy chủ khởi động lên, hãy chạy lệnh uname -a để xác nhận hệ thống đã nhận bản Kernel 5.x.

3. Cách cấu hình và đổi Custom Port SSH (12212)

Đổi port SSH từ 22 sang một port tùy chỉnh (ví dụ: 12212) giúp hạn chế rủi ro bị quét dò mật khẩu (brute-force). Trên CentOS 7, bạn phải vượt qua 2 rào cản là Firewalld và SELinux.

Bước 1: Sửa port trong SSHD Config
Mở file cấu hình SSH và đổi port (hoặc thêm dòng Port 12212).
EDIT SSHD CONFIG
```
sudo sed -i 's/#Port 22/Port 12212/g' /etc/ssh/sshd_config
```

Bước 2: Cho phép Port 12212 qua Firewalld

Mở port mới trên tường lửa và tải lại quy tắc.

CONFIGURE FIREWALLD

sudo firewall-cmd --permanent --zone=public --add-port=12212/tcp
sudo firewall-cmd --reload
sudo firewall-cmd --zone=public --list-ports

Bước 3: Gắn thẻ Port mới cho SELinux

SELinux mặc định chỉ cho phép SSH chạy trên port 22. Bạn cần cài đặt công cụ quản lý và khai báo port 12212.

CONFIGURE SELINUX

# Cài đặt công cụ semanage nếu chưa có
sudo yum install policycoreutils-python -y

# Thêm port 12212 vào rule của SSH
sudo semanage port -a -t ssh_port_t -p tcp 12212

# Khởi động lại dịch vụ SSH
sudo systemctl restart sshd

Lưu ý: Hãy mở một cửa sổ Terminal mới và thử kết nối qua port 12212 trước khi đóng hoàn toàn phiên làm việc hiện tại để tránh bị khóa ngoài máy chủ.

4. Cảnh báo bảo mật: Máy chủ CentOS 7 EOL

Rủi ro an ninh mạng tiềm ẩn

Dù bạn đã cập nhật Kernel và đổi port SSH, hệ điều hành CentOS 7 đã chính thức bị ngừng hỗ trợ từ 30/06/2024. Các lỗ hổng hệ thống mới sẽ không bao giờ được vá lỗi. Máy chủ của bạn đang trở thành mục tiêu dễ dàng cho các cuộc tấn công khai thác (exploit).

Lời khuyên tốt nhất lúc này là hãy lên kế hoạch di chuyển (migrate) hệ thống của bạn sang các nền tảng kế nhiệm hiện đại và an toàn hơn như AlmaLinux 8/9, Rocky Linux, hoặc Ubuntu LTS.

5. Kết luận

Việc nâng cấp Kernel LT 5.x giúp hệ thống CentOS 7 cũ tương thích tốt hơn với các ứng dụng hiện đại, kết hợp cùng việc đổi port SSH giúp gia tăng một lớp bảo vệ tĩnh. Tuy nhiên, đây chỉ là giải pháp tạm thời trong lúc bạn chuẩn bị cho một cuộc di chuyển toàn diện sang hệ điều hành mới.

Tối ưu và bảo mật máy chủ của bạn ngay hôm nay!

Hệ điều hành EOL đem lại rủi ro lớn cho doanh nghiệp. Tại VietHosting, chúng tôi cung cấp hạ tầng KVM VPS thế hệ mới hỗ trợ sẵn AlmaLinux/Rocky Linux, cùng dịch vụ Quản trị máy chủ giúp bạn nâng cấp hạ tầng an toàn, không gián đoạn dịch vụ.

Khám phá KVM VPS mới Cần hỗ trợ chuyển đổi?