7 bước cải thiện bảo mật máy chủ Linux

Chia sẻ kiến thức 11/08/2022

Nếu bạn đang chạy một máy chủ Linux cho bất kỳ mục đích gì, hãy sử dụng các bước tăng cường sau để bảo vệ nó khỏi sự xâm nhập của tin tặc.

Bảo mật máy chủ Linux là vô cùng quan trọng, đặc biệt là với sự sử dụng rộng rãi của nó.  Giống như bất kỳ hệ điều hành nào khác, máy chủ Linux có thể bị rò rỉ dữ liệu. Hãy thực hiện một vài bước cơ bản sau đây để tăng cường bảo mật máy chủ Linux khỏi bị hack và sự cố rò rỉ dữ liệu. 

Bảo mật máy chủ Linux là vô cùng quan trọng, đặc biệt là với sự sử dụng rộng rãi của nó.

Giống như bất kỳ hệ điều hành nào khác, máy chủ Linux có thể bị rò rỉ dữ liệu. Hãy thực hiện một vài bước cơ bản sau đây để tăng cường bảo mật máy chủ Linux khỏi bị hack và sự cố rò rỉ dữ liệu. 

1. Đặt mật khẩu an toàn

Mật khẩu là xương sống của một máy chủ an toàn. Hãy sử dụng mật khẩu có độ dài tối thiểu 10 ký tự và gồm cả chữ và số, ký tự đặc biệt, chữ hoa và chữ thường.

Ngoài ra, tránh dùng lại mật khẩu cho nhiều ứng dụng. Thêm cấu hình đặt hạn cho mật khẩu của bạn, vì không có mật khẩu nào cung cấp bảo mật liên tục.

Để kích hoạt bảo mật nâng cao, hãy tham khảo một số trình quản lý mật khẩu tuyệt vời cho hệ thống Linux. Chúng cung cấp các dịch vụ như:
  • Xác thực hai yếu tố
  • Tạo mật khẩu
  • Lưu trữ mật khẩu đám mây

Một số lựa chọn dành cho bạn là:

Trước khi đi đến bất kỳ một lựa chọn nào, hãy đảm bảo bạn đo lường các yêu cầu của mình và chọn phần mềm nào phù hợp nhất với cấu hình máy chủ của bạn.

2. Bao gồm một cặp khóa SSH

Mật khẩu chỉ là một phần của quá trình bảo mật. Kết hợp quá trình này với các phương pháp đăng nhập mạnh mẽ hơn để bảo mật máy chủ Linux một cách an toàn nhất. Các cặp khóa của Secure Shell hoặc SSH rất khó bị phá bằng brute force (kiểu tấn công hoạt động bằng cách thử tất cả các chuỗi mật khẩu có thể để tìm ra mật khẩu đúng).

Các cặp khóa SSH không thân thiện với người dùng như mật khẩu thông thường, nhưng chúng an toàn hơn. 

Một cặp khóa SSH đại diện cho một mật khẩu 12 ký tự. Trong thực tế, một người bình thường khó hiểu được thành phần thực tế của cặp khóa SSH, nhưng bạn chỉ cần biết rằng nó thực sự cần thiết.

Việc tạo cặp khóa SSH rất đơn giản. Trước tiên, hãy thiết lập khóa SSH bằng cách nhập nội dung sau vào cửa sổ Terminal:

$ ssh-keygen -t rsa 

Chọn điểm đến mà bạn muốn lưu khóa.

Enter file location in which to save the key (/home/youruser/.ssh/id_rsa):

Khi quyết định vị trí lưu, bạn nên đo lường và cân nhắc nguy cơ các máy chủ bị tấn công vật lý. Tốt nhất, bạn nên chọn một thiết bị cục bộ để giảm các lỗ hổng.

3. Cập nhật phần mềm máy chủ thường xuyên

Các máy chủ cập nhật hoạt động tốt khi bạn triển khai các bản vá phần mềm để chống lại các lỗ hổng mới xuất hiện. Nhiều người dùng có thể bỏ qua các bản vá phần mềm này, khiến máy chủ của họ dễ bị tấn công và trở thành mục tiêu dễ dàng cho tin tặc.

Để khắc phục sự cố này, bạn cần cài đặt các bản cập nhật trong máy Linux của mình. Có hai cách để làm điều này.

Dòng lệnh trong terminal

Nhập lệnh bên dưới vào cửa sổ dòng lệnh. Ngay sau khi bạn thực thi, lệnh sẽ bắt đầu hiển thị tất cả thông tin liên quan về các bản cập nhật đang chờ xử lý.

$ sudo apt update 

Trình quản lý cập nhật Ubuntu

Quá trình này hơi khác một chút khi bạn cập nhật bằng Trình quản lý cập nhật Ubuntu. Trong phiên bản 18.04 trở lên, bước đầu tiên là nhấp vào biểu tượng Hiển thị ứng dụng (Show Applications) ở dưới cùng bên trái màn hình.

Từ đó, tìm kiếm Trình quản lý cập nhật (Update Manager) để cài đặt các bản cập nhật.

4. Bật Cập nhật Tự động

Cập nhật tự động là một phần tiếp theo của bước ba. Bạn đang phải vật lộn với vô số các bản cập nhật bảo mật và không kịp theo dõi các bản cập nhật quan trọng này?

Nếu đúng, thì cập nhật tự động chính là giải pháp dành cho bạn. Tùy thuộc vào loại hệ thống, bạn có thể chọn bật cập nhật tự động theo cách sau.

Người dùng GNOME

  1. Mở Menu Hệ thống (System Menu)
  2. Chọn Quản trị (Administration)
  3. Điều hướng đến Trình quản lý cập nhật (Update Manager) và chọn Cài đặt (Settings)
  4. Mở cập nhật (update)
  5. Điều hướng đến cài đặt cài đặt bản cập nhật bảo mật (install security updates setting)

Người dùng Debian

Người dùng Debian có thể chọn cài đặt các bản cập nhật không cần giám sát. Bằng cách này, hệ thống của bạn sẽ luôn được cập nhật mà không cần can thiệp thủ công quá nhiều.

Cài đặt Gói:
sudo apt-get install unattended-upgrades

Kích hoạt gói:

$ sudo dpkg-reconfigure --priority=low unattended-upgrades

5. Loại bỏ các dịch vụ có kết nối với mạng không cần thiết

Tất cả các hệ điều hành máy chủ Linux đều đi kèm với các dịch vụ kết nối với mạng của riêng chúng, trong đó có một số dịch vụ bạn nên xóa.

Chạy các lệnh sau để xem danh sách các dịch vụ như vậy:

$ sudo ss -atpu

Lưu ý: Kết quả đầu ra từ lệnh này sẽ khác nhau, tùy thuộc vào hệ điều hành của bạn.

Bạn có thể xóa dịch vụ không sử dụng, tùy thuộc vào hệ điều hành và trình quản lý gói của bạn.

Debian/Ubuntu:

$ sudo apt purge <service_name>

Red Hat/CentOS:

$ sudo yum remove <service_name>

Để xác minh chéo, hãy chạy lại lệnh ss -atup để kiểm tra xem các dịch vụ đã bị xóa hay chưa.

6. Cài đặt Fail2ban để quét các tệp nhật ký

Máy chủ Linux và các cuộc tấn công brute force luôn đi song hành với nhau. Các cuộc tấn công như vậy thường thành công vì người dùng cuối đã không thực hiện các biện pháp phòng ngừa cần thiết để bảo mật hệ thống.

Fail2ban là một phần mềm ngăn chặn xâm nhập, thay đổi các quy tắc của tường lửa và cấm bất kỳ địa chỉ nào đang cố gắng đăng nhập vào hệ thống. Nó được sử dụng rộng rãi để xác định và giải quyết các lỗi xác thực. Nó đi kèm các cảnh báo qua email, giúp hạn chế các cuộc tấn công độc hại như vậy.

Để cài đặt Fail2ban:

CentOS 7

yum install fail2ban

Debian

apt-get install fail2ban

Để bật hỗ trợ qua email:

CentOS 7

yum install sendmail

Debian

apt-get install sendmail-bin sendmail

7. Kích hoạt tường lửa

Tường lửa là một cách hiệu quả khác để giúp bảo mật máy chủ Linux. Sau khi cài đặt tường lửa, bạn nên bật và định cấu hình tường lửa để cho phép lưu lượng mạng đi qua.

Tường lửa không phức tạp (Uncomplicated Firewall, hay UFW) là một bổ sung bảo mật tốt cho máy chủ Linux. UFW cung cấp một giao diện dễ sử dụng, giúp đơn giản hóa quá trình định cấu hình tường lửa trên hệ thống.

Cài đặt UFW qua dòng lệnh sau:

$ sudo apt install ufw

UFW đã được cấu hình để từ chối tất cả các kết nối đến và đi. Bất kỳ ứng dụng nào trên máy chủ của bạn đều có thể kết nối với internet, nhưng mọi kết nối đến sẽ không kết nối với máy chủ của bạn.

Ở bước đầu tiên sau khi cài đặt, bạn cần bật SSH, HTTP và HTTPS:

$ sudo ufw allow ssh
$ sudo ufw allow HTTP
$ sudo ufw allow HTTPS 

Bạn cũng có thể bật và tắt UFW:

$ sudo ufw enable 
$ sudo ufw disable 

Nếu cần, bạn có thể kiểm tra danh sách các dịch vụ được phép/bị từ chối:

$ sudo ufw status 

Bảo mật máy chủ Linux an toàn

Hãy nhớ rằng, việc tăng cường và duy trì bảo mật máy chủ Linux không phải là hoạt động chỉ diễn ra một lần.

Nó là một quá trình liên tục bắt đầu bằng cách cài đặt các bản cập nhật thường xuyên, bảo vệ máy chủ bằng cách sử dụng tường lửa và mở rộng để gỡ cài đặt tất cả phần mềm không cần thiết. Cuối cùng, nó kết thúc bằng việc tiến hành kiểm tra bảo mật để ngăn chặn tin tặc.

Vân Nguyễn

Dịch từ: https://www.makeuseof.com/improve-your-linux-server-security-with-these-hardening-steps/

Bình luận (
0
)

Bài liên quan

  • Tầng 0, tòa nhà FPT, 17 Duy Tân, Q. Cầu Giấy, Hà Nội
  • info@funix.edu.vn
  • 0782313602 (Zalo, Viber)        

yêu cầu gọi lại

error: Content is protected !!