Bảo mật VPS Linux

Tác giả Network Engineer, T.Một 29, 2021, 10:30:31 SÁNG

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Bảo mật VPS Linux


Máy chủ VPS Linux có lợi thế của chúng. Trên thực tế, Linux VPS an toàn hơn nhiều so với các hệ điều hành khác như Windows vì mô hình bảo mật của Linux (LSM). Nhưng chúng không hoàn hảo, và chắc chắn không thể bất khả xâm phạm. Trong bài đăng này, mình sẽ giới thiệu cho các bạn 20 cách bạn có thể bảo mật VPS của mình và bảo vệ nó khỏi tin tặc.

Bảo mật mặc định của Linux khá tốt và tốt hơn hầu hết các đối thủ cạnh tranh, nhưng nó vẫn có những điểm yếu.

Mình biết rằng máy chủ tốt duy nhất là máy chủ an toàn và vì vậy mình đã tổng hợp các mẹo hàng đầu để bảo mật máy chủ Linux VPS để bạn có thể ngăn chặn tin tặc trước khi chúng xâm phạm trang web của bạn và truy cập vào dữ liệu nhạy cảm.

Những kỹ thuật này không cần tốn nhiều thời gian và công sức, nhưng cần có kinh nghiệm quản trị nhất định.

Nếu bạn cần bất kỳ trợ giúp nào, đừng ngại liên hệ - mình sẽ sẵn lòng trợ giúp.

Hãy bắt đầu, đây là 20 cách để giữ an toàn cho VPS của bạn.

1. Tắt thông tin đăng nhập root.

Bạn muốn có một VPS an toàn? Vậy thì bạn không bao giờ nên đăng nhập với tư cách là người dùng root.

Theo mặc định, mọi VPS Linux đều có "root" làm tên người dùng, và do đó, tin tặc cố gắng tấn công Brute Force để bẻ khóa mật khẩu và giành quyền truy cập. Việc vô hiệu hóa thông tin đăng nhập từ tên người dùng "root" sẽ bổ sung thêm một lớp bảo mật khác, vì nó ngăn tin tặc chỉ đoán thông tin đăng nhập người dùng của bạn.

Thay vì đăng nhập với tư cách người dùng root, bạn sẽ cần tạo một tên người dùng khác và sử dụng lệnh "sudo" để thực hiện các lệnh cấp root.

Sudo là một quyền truy cập đặc biệt có thể được cấp cho người dùng được ủy quyền để họ có thể chạy các lệnh quản trị và nó loại bỏ nhu cầu truy cập root.

Đảm bảo tạo người dùng không phải root của bạn và cung cấp cho người đó các mức ủy quyền thích hợp trước khi bạn vô hiệu hóa tài khoản "root".

Khi bạn đã sẵn sàng, hãy tiếp tục bằng cách mở /etc/ssh/sshd_confignano hoặc vi và tìm thông số "PermitRootLogin".

Theo mặc định, điều này sẽ nói "yes". Thay đổi nó thành "no" và lưu các thay đổi.

2. Thay đổi cổng SSH.

Rất khó để mọi người hack SSH khi họ không thể tìm thấy nó. Thay đổi số cổng SSH có thể ngăn các tập lệnh độc hại kết nối trực tiếp với cổng mặc định (22).

Để làm điều này, bạn cần phải mở /etc/ssh/sshd_config và thay đổi cài đặt thích hợp.

Đảm bảo kiểm tra kỹ xem số cổng đã chọn có đang được sử dụng bởi bất kỳ dịch vụ nào khác hay không - bạn sẽ không muốn tạo ra xung đột.

3. Luôn cập nhật các phần mềm trên máy chủ.

Không khó để cập nhật phần mềm máy chủ của bạn.

Bạn có thể chỉ cần sử dụng trình quản lý gói rpm/yum (CentOS/RHEL) hoặc apt-get (Ubuntu/Debian) để nâng cấp lên các phiên bản mới hơn của phần mềm, mô-đun và thành phần đã cài đặt.

Bạn thậm chí có thể cấu hình hệ điều hành để gửi thông báo cập nhật gói yum qua email. Điều này giúp bạn dễ dàng theo dõi những gì đang thay đổi. Và, nếu bạn hài lòng với việc tự động hóa tác vụ, bạn có thể thiết lập cronjob để thay mặt bạn áp dụng tất cả các bản cập nhật bảo mật có sẵn.

Nếu bạn đang sử dụng một bảng điều khiển, chẳng hạn như Plesk hoặc cPanel, thì bạn cũng cần phải cập nhật bảng điều khiển đó. Hầu hết các bảng điều khiển có thể được đặt để tự động cập nhật và cPanel sử dụng EasyApache cho hầu hết các bản cập nhật gói.

Cuối cùng, bạn sẽ muốn áp dụng các bản vá bảo mật càng nhanh càng tốt. Càng chờ lâu, bạn càng có nhiều khả năng không chống chọi được với một cuộc tấn công ác ý.

4. Tắt các cổng mạng không sử dụng.

Các cổng mạng mở và các dịch vụ mạng không sử dụng là mục tiêu dễ dàng cho tin tặc và bạn sẽ muốn bảo vệ mình khỏi bị khai thác.

Sử dụng lệnh "netstat" để xem tất cả các cổng mạng hiện đang mở và các dịch vụ liên quan của chúng.


Cân nhắc thiết lập "iptables" để đóng tất cả các cổng đang mở hoặc sử dụng lệnh "chkconfig" để tắt các dịch vụ không mong muốn. Và nếu bạn sử dụng tường lửa như CSF, bạn thậm chí có thể tự động hóa các quy tắc iptables.

5. Loại bỏ các mô-đun/gói không mong muốn.

Không chắc rằng bạn sẽ cần tất cả các gói và dịch vụ đi kèm với bản phân phối Linux của mình. Mỗi dịch vụ mà bạn xóa đều bớt đi một điểm yếu đáng lo ngại, vì vậy hãy đảm bảo rằng bạn chỉ đang chạy các dịch vụ mà bạn thực sự đang sử dụng. Và nếu bạn không sử dụng nó thì hãy cho nó vào thủng rác.


Trên hết, hãy tránh cài đặt phần mềm, gói và dịch vụ không cần thiết để giảm thiểu các mối đe dọa tiềm ẩn. Nó cũng có tác dụng phụ là hợp lý hóa hiệu suất máy chủ của bạn.

6. Tắt IPv6.

IPv6 có một số lợi thế so với IPv4, nhưng không chắc rằng bạn đang sử dụng nó - rất ít người sử dụng. Nếu bạn không sử dụng IPv6 thì hãy vô hiệu hóa nó.


Nhưng nó được sử dụng bởi tin tặc, những người thường gửi lưu lượng độc hại qua IPv6 và việc để giao thức mở có thể khiến bạn bị khai thác tiềm năng. Để khắc phục sự cố, hãy chỉnh sửa /etc/sysconfig/network và cập nhật cài đặt để chúng ta vô hiệu hoá IPV6 NETWORKING_ IPV6 = noIPV6INIT = no.

7. Sử dụng mã hóa GnuPG.

Tin tặc thường nhắm mục tiêu dữ liệu khi dữ liệu được truyền qua mạng. Đó là lý do tại sao điều quan trọng là phải mã hóa các đường truyền tới máy chủ của bạn bằng mật khẩu, khóa và chứng chỉ. Một công cụ phổ biến là GnuPG, một hệ thống xác thực dựa trên khóa được sử dụng để mã hóa thông tin liên lạc. Nó sử dụng "khóa công khai" chỉ có thể được giải mã bằng "khóa riêng tư" chỉ dành cho người nhận dự kiến.

8. Có chính sách mật khẩu mạnh.

Mật khẩu yếu luôn và sẽ luôn là một trong những mối đe dọa lớn nhất đối với bảo mật. Không cho phép tài khoản người dùng có các trường mật khẩu trống hoặc sử dụng các mật khẩu đơn giản như "123456", "password", "qwerty123" hoặc "trustno1".

Bạn có thể tăng cường bảo mật bằng cách yêu cầu tất cả mật khẩu phải kết hợp chữ thường và chữ hoa, để tránh sử dụng các từ trong từ điển và bao gồm số và ký hiệu. Bật tính năng lão hóa mật khẩu để buộc người dùng thay đổi mật khẩu cũ định kỳ và xem xét hạn chế sử dụng lại mật khẩu trước đó.

Cũng sử dụng lệnh "faillog" để đặt giới hạn đăng nhập thất bại và khóa tài khoản người dùng sau nhiều lần thất bại để bảo vệ hệ thống của bạn khỏi các cuộc tấn công Brute Force.

9. Cấu hình tường lửa.

Nói một cách đơn giản, bạn cần có tường lửa nếu muốn có một VPS thực sự an toàn.

May mắn thay, có rất nhiều để lựa chọn. NetFilter là một tường lửa được tích hợp với Kernel Linux và bạn có thể cấu hình nó để lọc ra những lưu lượng không mong muốn. Với sự trợ giúp của NetFilter và iptables, bạn có thể chống lại các cuộc tấn công từ chối dịch vụ (DDos) phân tán.

Thiết lập tường lửa là không đủ. Đảm bảo rằng nó được định cấu hình đúng cách.

TCPWrapper là một ứng dụng hữu ích khác, một hệ thống danh sách kiểm soát truy cập (ACL) dựa trên máy chủ được sử dụng để lọc truy cập mạng cho các chương trình khác nhau. Nó cung cấp xác minh tên máy chủ, ghi nhật ký tiêu chuẩn và bảo vệ chống giả mạo, tất cả đều có thể giúp tăng cường bảo mật của bạn.

Các tường lửa phổ biến khác bao gồm CSF và APF, cả hai đều cung cấp các plugin cho các bảng phổ biến như cPanel và Plesk.

10. Sử dụng phân vùng đĩa.

Để tăng cường bảo mật, bạn nên phân vùng ổ đĩa của mình để giữ các tập tinhệ điều hành tránh xa tập tinngười dùng, tập tintmp và các chương trình của bên thứ ba. Bạn cũng có thể vô hiệu hóa quyền truy cập SUID / SGID (nosuid) và vô hiệu hóa việc thực thi mã nhị phân (noexec) trên phân vùng hệ điều hành.

11. Cấu hình /boot chỉ đọc.

Trên các máy chủ Linux, tất cả các tập tindành riêng cho Kernel được lưu trữ bên trong thư mục "/boot".

Nhưng cấp độ truy cập mặc định cho thư mục là "đọc-ghi". Để ngăn chặn việc sửa đổi trái phép các tập tinkhởi động - vốn rất quan trọng đối với sự vận hành trơn tru của máy chủ thì bạn nên thay đổi cấp độ truy cập thành "chỉ đọc".

Để thực hiện việc này, chỉ cần chỉnh sửa tập tin/etc/fstab và thêm mặc định LABEL =/boot/boot ext2, ro 1 2 vào dưới cùng. Và, nếu bạn cần thực hiện các thay đổi đối với Kernel trong tương lai, bạn chỉ cần hoàn nguyên về chế độ "đọc-ghi". Sau đó, bạn có thể thực hiện các thay đổi của mình và đặt nó trở lại "chỉ đọc" khi bạn hoàn thành.

12. Sử dụng SFTP thay vì FTP.

Giao thức truyền tập tin(FTP) đã lỗi thời và không còn an toàn, ngay cả khi sử dụng các kết nối được mã hóa "FTP qua TLS" (FTPS).

Cả FTP và FTPS vẫn dễ bị đánh cắp gói, khi một chương trình máy tính chặn và ghi lại lưu lượng truy cập qua mạng của bạn. FTP hoàn toàn "rõ ràng" và việc truyền tập tin FTPS cũng "rõ ràng", có nghĩa là chỉ các thông tin đăng nhập được mã hóa.

SFTP là "FTP qua SSH" (còn được gọi là "FTP an toàn") và nó mã hóa hoàn toàn tất cả dữ liệu, bao gồm cả thông tin xác thực và tập tin đang được chuyển.

13. Sử dụng tường lửa.

Tường lửa của bạn là người gác cổng cho phép hoặc từ chối quyền truy cập vào máy chủ và đó là tuyến phòng thủ đầu tiên của bạn chống lại tin tặc.

Cài đặt và cấu hình tường lửa phải là một trong những điều đầu tiên bạn làm khi thiết lập và bảo mật VPS hoặc máy chủ vật lý bare mental.

14. Cài đặt phần mềm antimalware/antivirus.

Công việc chính của tường lửa là từ chối truy cập vào bất kỳ nguồn lưu lượng độc hại nào đã biết và nó hoạt động hiệu quả như tuyến phòng thủ đầu tiên của bạn. Nhưng không có tường lửa nào chống lại được sự đánh lừa và phần mềm có hại vẫn có thể lọt qua, đó là lý do tại sao bạn cần bảo vệ mình hơn nữa.

Quá nhiều quản trị viên máy chủ mới làm quen không cài đặt được phần mềm chống phần mềm độc hại và đó là một sai lầm. Lý do phổ biến nhất cho điều này không phải là sự lười biếng mà thực ra là vì họ không muốn chi tiền cho phần mềm bảo mật.

Theo quy luật, các giải pháp trả phí thường là tốt nhất, vì dòng doanh thu của họ cho phép họ thuê các nhà nghiên cứu và lập trình viên tài năng, những người có thể giúp phần mềm luôn phù hợp.

Nhưng nếu ngân sách là một lựa chọn thì bạn nên xem xét một số lựa chọn thay thế miễn phí.

ClamAV và Maldet là hai ứng dụng mã nguồn mở có thể quét máy chủ của bạn và xác định các mối đe dọa tiềm ẩn. Đó là lý do tại sao mình cài đặt cả hai như một phần của quá trình tăng cường bảo mật VPS cho khách hàng lưu trữ được quản lý của mình.

15. Bật cập nhật tự động CMS.

Tin tặc liên tục cố gắng tìm ra các lỗ hổng bảo mật, đặc biệt là trong hệ thống quản lý nội dung (CMS) trên trang web của bạn. Các nhà cung cấp CMS phổ biến bao gồm Joomla, Drupal và WordPress, cung cấp gần 20% web.

Hầu hết các nhà phát triển CMS thường xuyên phát hành các bản sửa lỗi bảo mật cũng như các tính năng mới.

Nhiều hơn nữa cho phép bạn tự động cập nhật CMS để bản sửa lỗi được áp dụng ngay sau khi phiên bản mới được phát hành. WordPress đã muộn với trò chơi với các bản cập nhật tự động và nếu bạn đang chạy một trang web cũ hơn thì nó có thể bị tắt theo mặc định. Đảm bảo kiểm tra cài đặt và bật tự động cập nhật nếu có thể.

Hãy nhớ rằng nội dung trang web của bạn là trách nhiệm của bạn chứ không phải của máy chủ lưu trữ. Bạn phải đảm bảo rằng nó được cập nhật thường xuyên và bạn cũng nên sao lưu thường xuyên.

16. Bật cPHulk trong WHM.

Ngoài việc cung cấp tường lửa, cPanel cũng có tính năng chống lại tấn công Brute Force với "cPHulk".

Tường lửa không phải là sai lầm và lưu lượng truy cập "tốt" đi qua có thể trở nên xấu. Những kết quả cảnh báo giả này là do cài đặt của tường lửa và có thể cần phải điều chỉnh để cung cấp khả năng bảo vệ bổ sung.

Trong khi đó, cPHulk hoạt động giống như một bức tường lửa thứ cấp, ngăn chặn các cuộc tấn công Brute Force (từ những nỗ lực lặp lại để đoán mật khẩu) trên máy chủ.

Mình thường thấy rằng cPHulk chặn khả năng đăng nhập trước và tường lửa sau đó bắt kịp theo, cấm toàn bộ kết nối trên địa chỉ IP. Để bật tính năng này, bạn cần phải truy cập Trung tâm Bảo mật WHM và chọn cPHulk Brute Force Protection. Đây là một bước khác trong quy trình tăng cường bảo mật mà mình sử dụng trên máy chủ chuyên dụng và VPS được quản lý của mình.

17. Ngăn chặn tải lên qua tài khoản FTP ẩn danh.

cPanel và Plesk đều vô hiệu hóa tải lên qua tài khoản FTP ẩn danh theo mặc định nhưng các thiết lập khác có thể được kích hoạt trước.

Cho phép người dùng ẩn danh tải lên qua FTP là một rủi ro bảo mật lớn, vì nó cho phép bất kỳ ai tải lên bất kỳ thứ gì họ muốn lên máy chủ web của bạn. Như bạn có thể tưởng tượng, nó không được khuyến khích, nó giống như giao chìa khóa của bạn cho một tên trộm.

Để tắt tải lên ẩn danh, hãy chỉnh sửa cài đặt cấu hình FTP của máy chủ của bạn.

18. Cài đặt trình quét rootkit.

Một trong những phần mềm độc hại nguy hiểm nhất là rootkit.

Nó tồn tại ở cấp hệ điều hành (OS), bên dưới phần mềm bảo mật thông thường khác và nó có thể cho phép truy cập không bị phát hiện vào máy chủ. May mắn thay, bạn có thể sử dụng "chrootkit", một công cụ mã nguồn mở, để tìm xem máy chủ của bạn có bị nhiễm hay không. Nhưng rootkit không phải lúc nào cũng dễ dàng gỡ bỏ và cách tốt nhất để khắc phục sự cố thường là cài đặt lại hệ điều hành.

19. Hãy sao lưu thường xuyên.

Quá nhiều người quên thực hiện sao lưu thường xuyên và sau đó họ hối hận khi có sự cố xảy ra và họ không có bản sao dữ liệu của mình. Cho dù bạn có cẩn thận đến đâu và cho dù máy chủ của bạn có bảo mật đến đâu, thì luôn có khả năng xảy ra sự cố.

Đừng chấp nhận những rủi ro không cần thiết khi không thực hiện sao lưu và cũng đừng dựa vào máy chủ của bạn để làm điều đó. Bạn nên tự mình thực hiện các bản sao lưu, ngay cả khi nhà cung cấp dịch vụ lưu trữ nói rằng họ thay mặt bạn. Lưu trữ các bản sao của nó ở các vị trí khác nhau và cân nhắc sử dụng đám mây để bản sao lưu của bạn có thể được truy cập từ mọi nơi.

Hầu hết các nhà cung cấp đều có các bản sao lưu được quản lý miễn phí cho tất cả khách hàng nhưng mình vẫn khuyên nên lưu trữ bản sao lưu của riêng bạn như một biện pháp phòng ngừa bổ sung. Bạn không bao giờ có thể có quá nhiều bản sao lưu.

20. Sử dụng mật khẩu mạnh.

Mình biết mình đã nói điều này. Nhưng một chính sách mật khẩu mạnh là hoàn toàn quan trọng và vì vậy nó luôn đáng được lặp lại. Mật khẩu kém vẫn là mối đe dọa số một đối với bảo mật. Và điều tương tự cũng áp dụng cho việc bảo mật các máy chủ Windows.

Giao thức mật khẩu thường bị hiểu nhầm. Độ phức tạp là quan trọng, nhưng độ dài cũng vậy. Mặc dù sử dụng hỗn hợp các chữ cái viết hoa và viết thường, số và các ký tự đặc biệt là một ý tưởng hay, nhưng bạn cũng nên làm cho nó càng dài càng tốt.

Thông báo điều này với người dùng của bạn và thực hiện các bước để bảo mật máy chủ của bạn ở cấp quản trị. cPanel và Plesk đều có thể được cấu hình để thực thi việc sử dụng mật khẩu mạnh và chúng cũng có thể đặt mật khẩu tự động hết hạn.

Cách đặt mật khẩu mạnh: Bạn vẫn không chắc liệu mật khẩu của mình có đủ mạnh hay không? Dưới đây là một số mẹo hàng đầu của mình để tạo mật khẩu an toàn.

  • Làm cho chúng dài và đáng nhớ
  • Tránh các từ trong từ điển (ví dụ: "xanh lục")
  • Tránh thay thế số đơn giản (ví dụ: "hell0")
  • Tránh mọi tham chiếu văn hóa đại chúng (ví dụ: "ncc1701")
  • Nhằm mục đích khiến ai đó không thể đoán được
  • Không bao giờ sử dụng cùng một mật khẩu hai lần
  • Thông tin đăng nhập root (Linux) hoặc RDP (Windows) của bạn phải có mật khẩu duy nhất của riêng nó.

Để có kết quả tốt nhất, hãy nhớ thay đổi mật khẩu của bạn thường xuyên và sử dụng các mật khẩu khác nhau cho các trang web khác nhau. Đừng bao giờ viết nó ra, và đừng bao giờ chia sẻ nó với người khác.

21. Phần kết luận.

Các lỗ hổng trong cơ sở hạ tầng máy chủ web có thể rất nghiêm trọng. Nó giống như bơi trong nước có cá mập với một vết cắt chảy máu.

Có hàng triệu tin tặc trên khắp thế giới, làm việc suốt ngày đêm để phát hiện ra ngay cả những điểm yếu bảo mật nhỏ nhất trong VPS của bạn. Điều quan trọng là bạn phải bảo vệ VPS của mình trước các mối đe dọa tiềm ẩn vì càng sớm càng tốt, tin tặc sẽ đến tìm bạn.

Đặc biệt, các trang web thương mại điện tử và công ty đang trở thành mục tiêu hàng đầu của các tin tặc. Mặc dù hầu hết các công ty đều có các biện pháp bảo mật cơ bản nhưng chúng thường không hiệu quả và dễ bị thâm nhập.