Hướng Dẫn Tăng Bảo Mật Server Linux Cực Đơn Giản Chỉ 7 Bước

Tăng bảo mật server Linux là việc cần làm để đảm bảo an toàn cho hệ thống của bạn tránh khỏi những nguy cơ xấu về an toàn mạng và bảo mật thông tin. Bài viết này BKNS sẽ hướng dẫn bạn tăng bảo mật server Linux cực đơn giản chỉ với 7 bước nhé!

Không sử dụng lại mật khẩu cũ và đặt mật khẩu mạnh, an toàn

Mật khẩu được coi như ổ khóa trực tiếp bảo vệ máy chủ an toàn khỏi kẻ xấu. Vì vậy người dùng cần đặc biệt chú ý đến mật khẩu server.

Có nhiều người dùng có thói quen sử dụng lại những mật khẩu đã cũ để tiện ghi nhớ và dễ mò lại. Nhưng đây chính là nhược điểm lớn mà hacker có thể lợi dụng để tấn công vào máy tính của bạn. Vì vậy, bạn nên chú ý hạn chế sử dụng mật khẩu cũ.

Bạn cũng có thể kiểm soát các mật khẩu đã sử dụng bằng cách lưu trữ chúng tại file. File này chỉ có thể truy cập trong chế độ PAM.

Mở file etc/pam.d/system-auth trong RHEL/CentOS/Fedora:

# vi etc /pam.d/systerm-auth

Thêm dòng lệnh sau vào mục auth:

auth sufficient pam_unix.so likeauth nullok

Mở file etc/pam.d/common-password trong Ubuntu/Debian/Linux Mint:

# vi etc /pam.d/common-password

Thêm dòng lệnh sau vào mục password để ngăn người dùng sử dụng 1 trong 5 mật khẩu gần nhất của mình:

password sufficient pam_unix.so nullok use_authtok md5 shadow remember=5

Nếu người dùng muốn sử dụng lại mật khẩu nào trong bất kỳ 5 mật khẩu được sử dụng gần nhất, họ sẽ nhận được thông báo Password has been already used. Choose another.

Bên cạnh việc tránh sử dụng những mật khẩu cũ, người dùng cũng cần sáng tạo mật khẩu dài tối thiểu 10 ký tự, bao gồm cả chữ, số, ký tự đặc biệt, chữ hoa và chữ thường. Đồng thời cũng tránh dùng một mật khẩu cho nhiều ứng dụng.

Để kích hoạt bảo mật nâng cao, bạn có thể cân nhắc kết hợp sử dụng một số trình quản lý mật khẩu khác cho hệ thống Linux để thêm yếu tố như tạo mật khẩu ngẫu nhiên, xác thực hai yếu tố, lưu trữ mật khẩu đám mây…

Sử dụng khóa SSH để tăng bảo mật server Linux

Để tăng bảo mật server Linux mạnh mẽ hơn, người dùng có thể tham khảo sử dụng các cặp khóa SSH hoặc Secure Sell vì chúng có thể chống lại các cuộc tấn công brute force (kiểu tấn công bằng cách thử các chuỗi mật khẩu có thể để tìm ra mật khẩu đúng).

Trên thực tế, cặp khóa SSH không thân thiện với người dùng, không phải ai cũng hiểu được bản chất, vai trò và thành phần của nó. Tuy nhiên chúng tôi vẫn khuyến khích người dùng sử dụng vì nó thực sự an toàn hơn so với mật khẩu thông thường.

Để tạo khóa SSH, bạn thực hiện nhập lệnh sau vào cửa sổ Terminal:

$ ssh-keygen -t rsa

Chọn vị trí file mà bạn muốn lưu khóa:

Enter file location in which to save the key (/home/youruser/.ssh/id_rsa):

Cách tốt nhất là bạn nên chọn một thiết bị cục bộ để lưu trữ khóa, giảm các lỗ hổng bảo mật, tránh nguy cơ máy chủ bị tấn công vật lý.

Cài đặt Fail2Ban để quét các tệp nhật ký

Fail2Ban là một phần mềm ngăn chặn xâm nhập, thay đổi các quy tắc của tường lửa và cấm bất kỳ địa chỉ nào cố gắng đăng nhập vào hệ thống. Fail2Ban được sử dụng rất rộng rãi để xác định và giải quyết các lỗi xác thực.

Đồng thời nó có cho phép cảnh báo qua email, giúp người dùng nhanh chóng hạn chế các cuộc tấn công brute force hay các cuộc tấn công khác.

Để cài đặt Fail2Ban cho các hệ điều hành, bạn có thể tham khảo:

• CentOS 7

yum install fail2ban

• Debian

apt-get install fail2ban

Để bật hỗ trợ qua email:

• CentOS 7

yum install sendmail

• Debian

apt-get install sendmail-bin sendmail

Cập nhật máy chủ Linux thường xuyên

Việc cập nhật máy chủ Linux thường xuyên là việc cần được thực hiện định kỳ. Điều này giúp hệ thống máy chủ update các tính năng mới, tăng cường bảo mật, sửa lỗi và những lỗ hổng bảo mật mới được phát hiện một cách hiệu quả.

Khi đó, máy chủ Linux sẽ hạn chế được tình trạng tin tặc lợi dụng lỗi để tấn công dữ liệu hơn. Để hiển thị các bản cập nhật cần xem xét, thực hiện lệnh:

$ sudo apt update

Thiết lập Tự động cập nhật

Tùy theo hệ điều hành bạn sử dụng, bạn có thể chọn bật cập nhật tự động cho server Linux bằng cách:

Người dùng GNOME

1. Mở System Menu
2. Chọn Administration
3. Điều hướng đến Update Manager và chọn Settings
4. Mở update
5. Điều hướng đến Install security updates setting 

Người dùng Debian

Người dùng Debian có thể chọn cài đặt bản cập nhật không cần giám sát. Như vậy thì hệ thống của bạn sẽ luôn được cập nhật mà không cần can thiệp thủ công quá nhiều.

Cài đặt gói:

sudo apt-get install unattended-upgrades

Kích hoạt gói:

$ sudo dpkg-reconfigure --priority=low unattended-upgrades

Kích hoạt tường lửa

Tường lửa (Firewall) như một tấm khiên phòng thủ đầu tiên, đóng vai trò quyết định hệ thống máy chủ của bạn có thể chống lại cuộc tấn công của hacker hay không. Vai trò của tường lửa là lọc lưu lượng từ các nguồn truy cập nguy hiểm để chúng không thể đi qua và tấn công hệ thống.

Để kích hoạt tường lửa tăng bảo mật server Linux, bạn có thể sử dụng Tường lửa không phức tạp (Uncomplicated Firewall – UFW). Cách cài đặt rất đơn giản, bạn gõ dòng lệnh sau:

$ sudo apt install ufw

UFW được cấu hình để từ chối tất cả các kết nối đến và đi, đảm bảo mọi kết nối bên ngoài đến sẽ không kết nối với máy chủ của bạn.

Sau khi cài đặt, bạn cần bật SSH, HTTP và HTTPS bằng lệnh sau:

$ sudo ufw allow ssh

$ sudo ufw allow HTTP

$ sudo ufw allow HTTPS

Bạn cũng có thể bật và tắt UFW bằng lệnh:

$ sudo ufw enable

$ sudo ufw disable

Bạn cũng có thể kiểm tra danh sách các dịch vụ được phép hoặc bị từ chối bằng lệnh:

$ sudo ufw status

Hạn chế các dịch vụ, gói dữ liệu không cần thiết trên server

Hầu hết các hệ điều hành của các máy chủ luôn đi kèm với rất nhiều dịch vụ kết nối mạng của riêng chúng. Và chắc chắn bạn sẽ không thể sử dụng hết tất cả những phần mềm đó. Vì vậy nếu để lại thì đây sẽ là con đường để hacker có thể đi vào hệ thống của bạn.

Do đó, người dùng cần kiểm tra thật kỹ những phần mềm này. Những thứ không cần thiết thì nên cân nhắc xóa bỏ để bảo mật hệ thống tốt hơn. Để xem lại các phần mềm đang tồn tại trong hệ thống, bạn thực hiện chạy lệnh:

$ sudo ss -aptu

Lưu ý: Kết quả hiển thị từ lệnh này sẽ khác nhau tùy thuộc vào hệ điều hành bạn sử dụng.

Ngoài ra, bạn có thể thực hiện xóa dịch vụ bằng cách nhập dòng lệnh:

• Đối với Debian/Ubuntu:

$ sudo apt purge <service_name>

• Đối với Red Hat/CentOS:

$ sudo yum remove <service_nam>

Để xác minh chéo, hãy chạy lệnh ss -atup để kiểm tra xem các phần mềm đã bị xóa hay chưa.

Tổng kết

Như vậy bài viết trên BKNS đã hướng dẫn bạn tăng bảo mật server Linux cực đơn giản chỉ với 7 bước. Hy vọng rằng những thông tin trên đã ít nhiều hỗ trợ cho bạn trong quá trình sử dụng và bảo mật server Linux. Chúc bạn thành công! Hãy truy cập website BKNS để cập nhật nhiều thông tin, ưu đãi, khuyến mại mới nhất nhé!