Cách bảo mật VPS Linux | 20 Cách Bảo Mật Máy Chủ VPS

Máy chủ VPS Linux cung cấp khả năng bảo mật tốt hơn các hệ thống Windows thông qua Mô hình bảo mật Linux tích hợp sẵn của chúng. Tuy nhiên, không có hệ thống nào có khả năng chống đạn. Tin tặc tích cực quét hàng triệu máy chủ hàng ngày, tìm kiếm lỗ hổng để khai thác dữ liệu nhạy cảm hoặc sử dụng máy chủ để tấn công quy mô lớn.

Học cách bảo mật máy chủ Linux yêu cầu cấu hình có chủ ý. Các bản cài đặt VPS mới đi kèm với cài đặt mặc định ưu tiên khả năng truy cập hơn là bảo mật. Hiểu cách bảo mật việc triển khai máy chủ Linux giúp bảo vệ khỏi các mối đe dọa ngày càng gia tăng trong khi vẫn duy trì chức năng hệ thống. Hướng dẫn này chỉ cho bạn 20 bước cần thiết để bảo mật cơ sở hạ tầng máy chủ Linux và biến hệ thống dễ bị tổn thương của bạn thành pháo đài đẩy lùi các cuộc tấn công thông thường.

VPS Linux là gì?

VPS Linux (Máy chủ riêng ảo) chạy trên nền tảng đám mây với các tài nguyên chuyên dụng tách biệt với những người dùng khác. Không giống như dịch vụ lưu trữ chia sẻ trong đó một tài khoản bị xâm nhập có thể ảnh hưởng đến những tài khoản khác, dịch vụ lưu trữ VPS an toàn sẽ cô lập môi trường của bạn. Tuy nhiên, những kẻ tấn công vẫn nhắm mục tiêu vào các máy chủ VPS không bảo mật để đánh cắp dữ liệu, cài đặt phần mềm độc hại hoặc tiến hành các cuộc tấn công nhằm vào các hệ thống khác.

Khi bạn đặt hàng mua VPS Linux hosting, hệ điều hành được cài đặt sẵn với các cài đặt cơ bản. Các cấu hình mặc định này ưu tiên tính dễ sử dụng hơn là bảo mật, khiến máy chủ của bạn gặp phải các cuộc tấn công tự động nhằm quét các lỗ hổng phổ biến. Việc triển khai dữ liệu đám mây bảo mật với máy chủ VPS đòi hỏi các biện pháp chủ động ngoài cài đặt cơ bản.

Tại sao bạn nên bảo mật VPS Linux của mình

 

Các máy chủ không bảo mật sẽ trở thành mục tiêu trong vòng vài giờ sau khi trực tuyến. Các tổ chức hiện nay phải đối mặt với một trung bình 1.876 cuộc tấn công mạng mỗi tuần, tăng 75% so với năm trước. Hiểu cách bảo mật cơ sở hạ tầng máy chủ Linux sẽ bảo vệ khỏi các mối đe dọa liên tục có thể làm tổn hại hệ thống của bạn.

Khía cạnh nguy hiểm nhất là các cuộc tấn công phức tạp thường không bị phát hiện. Những kẻ tấn công có thể truy cập dữ liệu của bạn, theo dõi thông tin liên lạc hoặc sử dụng tài nguyên máy chủ của bạn mà không có dấu hiệu xâm nhập rõ ràng. Lưu trữ VPS bảo mật yêu cầu các biện pháp chủ động vì những kẻ tấn công không thông báo sự hiện diện của chúng – vào thời điểm bạn nhận thấy hoạt động bất thường, thiệt hại đáng kể có thể đã xảy ra.

Mô hình bảo mật Linux (LSM)

Linux bao gồm các tính năng bảo mật tích hợp nhằm từ chối truy cập trái phép vào các thành phần hệ thống quan trọng. Mô hình bảo mật Linux có sơ đồ cho thấy cách các biện pháp kiểm soát truy cập bảo vệ tệp, quy trình và hoạt động tương tác của người dùng. Điều này tạo ra nhiều lớp bảo mật khiến việc khai thác trở nên khó khăn hơn so với các hệ điều hành khác.

Tuy nhiên, LSM không thể ngăn chặn các cuộc tấn công do cấu hình kém, mật khẩu yếu hoặc phần mềm lỗi thời. Chúng cung cấp nền tảng về cách bảo mật máy chủ Linux nhưng yêu cầu triển khai phù hợp để có hiệu quả. Lưu trữ VPS Ubuntu và các bản phân phối Linux khác.

20 cách bảo mật VPS Linux

Các biện pháp bảo mật này tiến triển từ những thay đổi cấu hình cơ bản đến hệ thống giám sát nâng cao. Nắm vững cách bảo mật môi trường máy chủ Linux đòi hỏi phải triển khai các bước này một cách có hệ thống để xây dựng một máy chủ Linux an toàn chống lại các vectơ tấn công phổ biến.

Mỗi kỹ thuật giải quyết các lỗ hổng cụ thể mà kẻ tấn công thường khai thác. Các phương pháp này bao gồm từ cấu hình cơ bản mà mọi máy chủ cần đến các hệ thống giám sát tinh vi để phát hiện mối đe dọa nâng cao. Một số biện pháp cung cấp sự bảo vệ ngay lập tức trong khi những biện pháp khác tạo ra khả năng phục hồi an ninh lâu dài. Vấn đề thứ tự thực hiện – các bước tăng cường cơ bản nên đi trước các công cụ giám sát nâng cao. Cùng với nhau, 20 chiến lược này tạo ra các lớp bảo mật chồng chéo giúp giảm đáng kể bề mặt tấn công của máy chủ của bạn.

1. Luôn cập nhật phần mềm

Phần mềm lỗi thời chứa các lỗ hổng bảo mật đã biết mà kẻ tấn công khai thác. Các nhà phát triển phần mềm thường xuyên phát hành các bản vá sửa các lỗ hổng này, biến các bản cập nhật thành tuyến phòng thủ đầu tiên của bạn để bảo mật hệ thống máy chủ Linux.

Định cấu hình cập nhật tự động cho các bản vá bảo mật quan trọng:

# Ubuntu/Debian

sudo apt update && sudo apt upgrade -y

# CentOS/RHEL  

sudo yum update -y

Thiết lập thông báo qua email về các bản cập nhật có sẵn để luôn được thông báo về các bản vá bảo mật yêu cầu xem xét thủ công.

2. Vô hiệu hóa đăng nhập root

Mỗi máy chủ Linux đều bao gồm một tài khoản người dùng “root” với quyền truy cập hệ thống không giới hạn. Vì tin tặc biết tài khoản này luôn tồn tại nên chúng nhắm mục tiêu vào nó bằng cuộc tấn công vũ phu để đoán mật khẩu và giành quyền kiểm soát máy chủ hoàn chỉnh.

Tạo người dùng quản trị mới trước khi vô hiệu hóa quyền truy cập root:

# Create new user

sudo adduser adminuser

sudo usermod -aG sudo adminuser

# Disable root login in SSH configuration

sudo nano /etc/ssh/sshd_config

# Change: PermitRootLogin no

sudo systemctl restart sshd

Điều này buộc kẻ tấn công phải đoán cả tên người dùng và mật khẩu, tăng cường tính bảo mật đáng kể.

3. Tạo cặp khóa SSH

Đăng nhập dựa trên mật khẩu, đặc biệt nếu mật khẩu yếu, có thể là một lỗ hổng. Xác thực khóa SSH cung cấp giải pháp thay thế an toàn hơn. Bằng cách sử dụng khóa mật mã thay vì mật khẩu, bạn đang đảm bảo phương thức xác thực mạnh mẽ hơn và khó bị bẻ khóa hơn.

Biện pháp bảo mật này đặc biệt quan trọng vì thông tin xác thực bị đánh cắp đóng vai trò là vectơ tấn công ban đầu trong 24% các vụ vi phạm dữ liệu theo nghiên cứu bảo mật. Các cuộc tấn công này mất nhiều thời gian hơn để phát hiện và ngăn chặn hơn bất kỳ phương pháp nào khác, vì vậy việc ngăn chặn thông qua khóa SSH là điều cần thiết.

Tạo cặp khóa SSH để xác thực an toàn:

ssh-keygen -t rsa -b 4096

ssh-copy-id username@server-ip

Khóa SSH có thể dài tới 4096 bit, khiến chúng an toàn hơn gấp nhiều lần so với cả những mật khẩu phức tạp.

4. Kích hoạt xác thực hai yếu tố

Xác thực hai yếu tố thêm bước xác minh thứ hai ngoài mật khẩu. Ngay cả khi kẻ tấn công lấy được mật khẩu của bạn, chúng cũng không thể truy cập vào máy chủ của bạn nếu không có yếu tố xác thực thứ hai.

Cài đặt và định cấu hình xác thực hai yếu tố:

sudo apt install libpam-google-authenticator

google-authenticator

Định cấu hình ứng dụng xác thực di động của bạn để tạo mã dựa trên thời gian để truy cập máy chủ.

5. Thay đổi cổng SSH

Cổng SSH mặc định (22) liên tục nhận được các nỗ lực tấn công từ các công cụ quét tự động. Việc thay đổi sang cổng tùy chỉnh sẽ giảm khả năng tiếp xúc với các cuộc tấn công tự động này. Cho rằng Chi phí trung bình toàn cầu của một vụ vi phạm dữ liệu lên tới 4,88 triệu USD vào năm 2024, ngay cả các biện pháp bảo mật đơn giản như thay đổi cổng cũng mang lại khả năng bảo vệ có giá trị trước các mối đe dọa tự động.

Đối với hầu hết các bản phân phối Linux:

sudo nano /etc/ssh/sshd_config

# Find: #Port 22

# Change to: Port 2222 (choose a port between 1024-65535)

sudo systemctl restart sshd

Đối với Ubuntu 23.04 và các phiên bản mới hơn:

sudo nano /lib/systemd/system/ssh.socket

# Update ListenStream=2222

sudo systemctl daemon-reload

sudo systemctl restart ssh.service

Quan trọng: Kiểm tra cổng mới trước khi đóng phiên hiện tại của bạn:

# Test connection in a new terminal

ssh username@server-ip -p 2222

Cập nhật quy tắc tường lửa của bạn để cho phép cổng mới:

sudo ufw allow 2222

sudo ufw delete allow 22  # Remove old rule after testing

Hãy nhớ chỉ định cổng mới khi kết nối: tên người dùng ssh@server-ip -p 2222

6. Vô hiệu hóa các cổng mạng và IPv6 không sử dụng

Cổng mạng mở cung cấp điểm vào cho kẻ tấn công. Mỗi dịch vụ đang chạy đều tạo ra các lỗ hổng tiềm ẩn, vì vậy hãy vô hiệu hóa các dịch vụ không cần thiết và các cổng liên quan của chúng.

Xem các cổng hiện đang mở:

sudo netstat -tulpn

# Alternative command

sudo ss -tulpn

Sử dụng iptables để quản lý các quy tắc tường lửa và đóng các cổng không cần thiết.

Vô hiệu hóa IPv6 nếu không cần thiết:

sudo nano /etc/sysctl.conf

# Add these lines:

net.ipv6.conf.all.disable_ipv6 = 1

net.ipv6.conf.default.disable_ipv6 = 1

net.ipv6.conf.lo.disable_ipv6 = 1

# Apply changes

sudo sysctl -p

# Verify IPv6 is disabled

cat /proc/sys/net/ipv6/conf/all/disable_ipv6

# Should return 1

Cập nhật cấu hình mạng (tìm tệp netplan thực tế của bạn):

# Find netplan configuration files

ls /etc/netplan/

# Edit your specific configuration file

sudo nano /etc/netplan/[your-config-file].yaml

# Comment out IPv6 configuration lines

sudo netplan apply

7. Cấu hình tường lửa

Tường lửa kiểm soát lưu lượng mạng nào có thể đến máy chủ của bạn. Chúng chặn các kết nối trái phép trong khi cho phép lưu lượng truy cập hợp pháp thông qua các cổng được chỉ định.

Thiết lập UFW nhanh:

sudo ufw default deny incoming

sudo ufw default allow outgoing

sudo ufw allow ssh

sudo ufw enable

Các quy tắc tường lửa cần thiết:

Mục đích	Yêu cầu	Kết quả
Cho phép HTTP	sudo ufw cho phép 80	Cho phép lưu lượng truy cập web
Cho phép HTTPS	sudo ufw cho phép 443	Lưu lượng truy cập web an toàn
Cho phép cổng SSH tùy chỉnh	sudo ufw cho phép 2222	SSH trên cổng tùy chỉnh
Chặn IP cụ thể	sudo ufw từ chối từ 192.168.1.100	IP bị chặn hoàn toàn

Kiểm tra trạng thái tường lửa:

sudo ufw status verbose

Cấu hình này chặn tất cả lưu lượng truy cập đến ngoại trừ kết nối SSH.

8. Cài đặt ứng dụng chống phần mềm độc hại và chống vi-rút

Các hệ thống Linux có thể bị nhiễm phần mềm độc hại đánh cắp dữ liệu, khai thác tiền điện tử hoặc cung cấp quyền truy cập cửa sau cho kẻ tấn công. Phần mềm chống phần mềm độc hại phát hiện và loại bỏ các mối đe dọa này trước khi chúng xâm phạm hệ thống của bạn.

Cài đặt ClamAV để quét virus toàn diện:

sudo apt install clamav clamav-daemon clamav-freshclam

sudo freshclam

sudo systemctl enable clamav-freshclam

sudo systemctl start clamav-freshclam

Chạy quét thủ công trên các thư mục quan trọng:

sudo clamscan -r /home --infected --remove --bell

sudo clamscan -r /var/www --infected --remove

Để tăng cường khả năng bảo vệ, hãy cài đặt Maldet cùng với ClamAV:

# Verify URL availability before downloading

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

tar -xzf maldetect-current.tar.gz

cd maldetect-*

sudo ./install.sh

# Note: Always verify download URLs from official sources before use

Lên lịch quét tự động hàng ngày bằng cron:

# Add to crontab: Daily scan at 2 AM

0 2 * * * /usr/bin/clamscan -r /home --quiet --infected --remove

9. Cài đặt máy quét Rootkit

Rootkit là các chương trình độc hại ẩn sâu bên trong hệ điều hành, thường không bị phần mềm chống vi-rút tiêu chuẩn phát hiện. Chúng có thể cung cấp cho kẻ tấn công quyền truy cập liên tục vào hệ thống của bạn trong khi vẫn vô hình trước các phương pháp phát hiện thông thường.

Cài đặt và cấu hình Chkrootkit để phát hiện rootkit:

sudo apt install chkrootkit

sudo chkrootkit | grep INFECTED

Cài đặt RKHunter để bảo vệ rootkit bổ sung:

sudo apt install rkhunter

sudo rkhunter --update

sudo rkhunter --propupd

sudo rkhunter --check

Tạo quét rootkit tự động hàng tuần:

# Add to crontab: Weekly rootkit scan every Sunday at 3 AM

0 3 * * 0 /usr/bin/rkhunter --cronjob --update --quiet

0 4 * * 0 /usr/bin/chkrootkit | grep INFECTED > /var/log/chkrootkit.log

Nếu phát hiện rootkit, hãy cách ly máy chủ ngay lập tức và xem xét việc cài đặt lại hệ điều hành hoàn chỉnh, vì rootkit có thể cực kỳ khó loại bỏ hoàn toàn trong khi vẫn đảm bảo tính toàn vẹn của hệ thống.

10. Sử dụng Fail2Ban để ngăn chặn xâm nhập

Fail2Ban giám sát các lần đăng nhập và tự động chặn các địa chỉ IP có hành vi nguy hiểm, chẳng hạn như các lần đăng nhập thất bại nhiều lần.

Cài đặt nhanh:

sudo apt install fail2ban

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

sudo nano /etc/fail2ban/jail.local

Cài đặt bảo vệ SSH cần thiết:

[sshd]

enabled = true

port = ssh

maxretry = 3

bantime = 3600

findtime = 600

Giá trị cấu hình chính:

Cài đặt	Giá trị	Nghĩa
thử tối đa	3	Những nỗ lực thất bại trước khi bị cấm
ban giờ	3600	Thời gian cấm (1 giờ)
thời gian tìm thấy	600	Khoảng thời gian (10 phút)

Bắt đầu và kích hoạt:

sudo systemctl start fail2ban

sudo systemctl enable fail2ban

Kiểm tra IP bị cấm:

sudo fail2ban-client status sshd

11. Bật SELinux

Linux được tăng cường bảo mật (SELinux) cung cấp các biện pháp kiểm soát truy cập bắt buộc nhằm hạn chế những gì chương trình có thể thực hiện, ngay cả khi chúng bị xâm phạm. Nó tạo ra một lớp bảo mật bổ sung ngoài các quyền Linux tiêu chuẩn.

Kiểm tra và kích hoạt SELinux:

sestatus

sudo setenforce enforcing

Các chính sách của SELinux ngăn chặn các ứng dụng bị xâm nhập truy cập vào tài nguyên hệ thống trái phép. Thực hiện theo những điều này hướng dẫn ngắn để tận dụng tối đa SELinux để có cấu hình tối ưu.

12. Bảo vệ tệp, thư mục và email

Mã hóa các tệp nhạy cảm để bảo vệ chúng khỏi bị truy cập trái phép, ngay cả khi kẻ tấn công giành được quyền truy cập hệ thống. Điều này rất cần thiết cho cấu hình Linux của máy chủ tệp an toàn xử lý dữ liệu nhạy cảm.

Sử dụng GPG để mã hóa tập tin:

gpg --cipher-algo AES256 --compress-algo 1 --s2k-mode 3 --s2k-digest-algo SHA512 --s2k-count 65536 --symmetric filename

Đặt quyền truy cập tệp thích hợp để hạn chế quyền truy cập:

chmod 600 sensitive-file    # Owner read/write only

chmod 700 private-directory # Owner access only

13. Sao lưu thường xuyên

Sao lưu thường xuyên đảm bảo bạn có thể khôi phục sau sự cố bảo mật, lỗi phần cứng hoặc vô tình mất dữ liệu. Sao lưu tự động giúp giảm nguy cơ lỗi do con người và tạo thành một thành phần quan trọng trong chiến lược lưu trữ VPS an toàn.

Tạo tập lệnh sao lưu tự động:

#!/bin/bash

tar -czf /backup/$(date +%Y%m%d)-system.tar.gz /home /etc /var/log

Lưu trữ các bản sao lưu ở nhiều vị trí, bao gồm cả bộ nhớ ngoài trang web, tuân theo quy tắc sao lưu 3-2-1.

14. Tạo phân vùng đĩa

Việc phân vùng ổ đĩa sẽ tách các tệp hệ thống khỏi dữ liệu người dùng, hạn chế thiệt hại nếu một phân vùng bị xâm phạm. Nó cũng ngăn chặn việc cạn kiệt dung lượng ổ đĩa ở một khu vực ảnh hưởng đến toàn bộ hệ thống.

Sơ đồ phân vùng được đề xuất:

/khởi động     – 500MB   (tệp khởi động)

/         – 20GB    (tệp hệ thống)

/trang chủ     – 50GB    (dữ liệu người dùng)

/var      – 10GB    (nhật ký và cơ sở dữ liệu)

/tmp      – 2GB     (tệp tạm thời)

tráo đổi      – 2GB     (bộ nhớ ảo)

Gắn kết các phân vùng tạm thời với các hạn chế về bảo mật:

# Add to /etc/fstab for permanent mounting

echo "tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev,size=2G 0 0" >> /etc/fstab

echo "tmpfs /var/tmp tmpfs defaults,noexec,nosuid,nodev,size=1G 0 0" >> /etc/fstab

# Nộp đơn ngay

sudo mount -a

Xác minh bảo mật phân vùng:

mount | grep -E "(noexec|nosuid|nodev)"

df -h  # Check disk usage by partition

các noexec tùy chọn ngăn các tệp thực thi độc hại chạy, nosuid vô hiệu hóa các bit ID người dùng được đặt và gật đầu ngăn chặn việc tạo tập tin thiết bị trong các thư mục tạm thời.

15. Giám sát nhật ký máy chủ

Nhật ký máy chủ ghi lại mọi hoạt động của hệ thống, đưa ra các dấu hiệu cảnh báo sớm về sự cố bảo mật. Giám sát nhật ký thường xuyên giúp xác định các mẫu bất thường trước khi chúng trở thành mối đe dọa nghiêm trọng.

Nhật ký chính để theo dõi:

Tệp nhật ký	Mục đích	Yêu cầu
/var/log/auth.log (Debian/Ubuntu)<br>/var/log/an toàn (CentOS/RHEL)	Số lần đăng nhập	đuôi sudo -f /var/log/auth.log<br>đuôi sudo -f /var/log/secure
/var/log/syslog (Debian/Ubuntu)<br>/var/log/tin nhắn (CentOS/RHEL)	Thông báo hệ thống	đuôi sudo -f /var/log/syslog<br>đuôi sudo -f /var/log/tin nhắn
/var/log/apache2/access.log (Debian/Ubuntu)<br>/var/log/httpd/access_log (CentOS/RHEL)	Lưu lượng truy cập web	đuôi sudo -f /var/log/apache2/access.log<br>đuôi sudo -f /var/log/httpd/access_log
/var/log/fail2ban.log	IP bị chặn	đuôi sudo -f /var/log/fail2ban.log

Lệnh phân tích nhật ký nhanh:

# Failed login attempts (adjust path for your distribution)

sudo grep "Failed password" /var/log/auth.log | tail -10

# Successful logins

sudo grep "Accepted" /var/log/auth.log | tail -10

# Large file transfers (adjust path for your web server)

sudo awk '{print $10}' /var/log/apache2/access.log | sort -n | tail -10

Giám sát nhật ký tự động:

# Install logwatch for daily summaries

sudo apt install logwatch

sudo logwatch --detail Med --mailto [email protected] --service All

Thiết lập xoay vòng nhật ký để ngăn các tệp nhật ký tiêu tốn quá nhiều dung lượng ổ đĩa.

16. Sử dụng mật khẩu mạnh

Mật khẩu mạnh chống lại các cuộc tấn công vũ phu và tấn công từ điển. Mật khẩu yếu có thể bị bẻ khóa trong vài phút bằng sức mạnh tính toán hiện đại.

Yêu cầu về mật khẩu:

• Tối thiểu 12 ký tự
• Kết hợp chữ hoa, chữ thường, số và ký hiệu
• Không có từ điển hoặc thông tin cá nhân
• Duy nhất cho mỗi tài khoản

Sử dụng trình quản lý mật khẩu để tạo và lưu trữ mật khẩu phức tạp một cách an toàn. Kết hợp với mô hình bảo mật Linux khác với các nguyên tắc sơ đồ, mật khẩu mạnh tạo thành nhiều lớp phòng thủ bảo vệ khỏi sự truy cập trái phép.

17. Thích SFTP hơn FTP

FTP tiêu chuẩn truyền dữ liệu và thông tin xác thực ở dạng văn bản thuần túy, khiến những kẻ nghe trộm mạng có thể nhìn thấy chúng. SFTP mã hóa tất cả việc truyền dữ liệu, bảo vệ thông tin nhạy cảm và hỗ trợ kiến ​​trúc Linux của máy chủ tệp an toàn.

Định cấu hình quyền truy cập chỉ SFTP:

sudo nano /etc/ssh/sshd_config

# Add: Subsystem sftp internal-sftp

Vô hiệu hóa các dịch vụ FTP tiêu chuẩn để loại bỏ rủi ro bảo mật:

sudo systemctl disable vsftpd

sudo systemctl stop vsftpd

18. Kích hoạt tính năng tự động cập nhật CMS

Hệ thống quản lý nội dung (WordPress, Drupal, Joomla) thường xuyên phát hành các bản vá bảo mật. Việc bật cập nhật tự động đảm bảo các lỗ hổng nghiêm trọng được vá kịp thời.

Đối với WordPress, thêm vào wp-config.php:

define('WP_AUTO_UPDATE_CORE', true);

add_filter('auto_update_plugin', '__return_true');

add_filter('auto_update_theme', '__return_true');

Giám sát nhật ký cập nhật để đảm bảo tính tương thích và chức năng.

19. Vô hiệu hóa tải lên FTP ẩn danh

FTP ẩn danh cho phép mọi người tải tệp lên máy chủ của bạn mà không cần xác thực. Điều này có thể dẫn đến việc máy chủ của bạn lưu trữ nội dung bất hợp pháp, phần mềm độc hại hoặc trở thành điểm phân phối cho các cuộc tấn công.

Định cấu hình vsftpd để yêu cầu xác thực:

sudo nano /etc/vsftpd.conf

# Vô hiệu hóa quyền truy cập ẩn danh

anonymous_enable=NO

# Kích hoạt xác thực người dùng cục bộ

local_enable=YES

write_enable=YES

local_umask=022

# Hạn chế người dùng vào thư mục chính của họ

chroot_local_user=YES

allow_writeable_chroot=YES

# Cài đặt bảo mật

ssl_enable=YES

ssl_tlsv1=YES

ssl_sslv2=NO

ssl_sslv3=NO

Khởi động lại dịch vụ FTP:

sudo systemctl restart vsftpd

sudo systemctl enable vsftpd

Tạo tài khoản người dùng FTP với quyền hạn chế:

sudo adduser ftpuser

sudo usermod -d /var/ftp/uploads ftpuser

sudo chown ftpuser:ftpuser /var/ftp/uploads

sudo chmod 755 /var/ftp/uploads

Giám sát nhật ký truy cập FTP để phát hiện hoạt động đáng ngờ:

sudo tail -f /var/log/vsftpd.log

20. Cấu hình bảo vệ Brute Force

Triển khai nhiều lớp bảo vệ bạo lực ngoài Fail2Ban để chống lại các cuộc tấn công tự động tinh vi.

Cấu hình các biện pháp bảo vệ bổ sung:

# Limit SSH connection attempts

sudo nano /etc/ssh/sshd_config

# Add: MaxAuthTries 3

# Add: ClientAliveInterval 300

# Add: ClientAliveCountMax 2

Sử dụng các công cụ như DenyHosts cùng với Fail2Ban để bảo vệ toàn diện.

Phần kết luận

Bảo mật VPS Linux yêu cầu triển khai nhiều lớp bảo vệ, từ thay đổi cấu hình cơ bản đến hệ thống giám sát nâng cao. Bắt đầu với các biện pháp bảo mật cơ bản (cập nhật phần mềm, cấu hình tường lửa, tăng cường SSH) trước khi thêm các công cụ phức tạp như phát hiện xâm nhập và giám sát tự động.

Một máy chủ Linux an toàn yêu cầu bảo trì liên tục chứ không phải cấu hình một lần. Thường xuyên xem lại nhật ký, cập nhật phần mềm và điều chỉnh các biện pháp bảo mật khi các mối đe dọa phát triển. Việc đầu tư vào cấu hình bảo mật phù hợp sẽ ngăn chặn các hành vi vi phạm dữ liệu tốn kém và duy trì độ tin cậy của hệ thống.

Hãy nhớ rằng các biện pháp bảo mật này phối hợp với nhau – không có kỹ thuật đơn lẻ nào có thể bảo vệ hoàn toàn. Việc triển khai tất cả 20 chiến lược sẽ tạo ra các lớp bảo mật chồng chéo giúp giảm đáng kể khả năng dễ bị tổn thương của máy chủ trước các cuộc tấn công thông thường. Cho dù bạn cần cấu hình Linux của máy chủ tệp bảo mật hay bảo vệ lưu trữ VPS được bảo mật chung, các bước cơ bản này đều cung cấp khả năng bảo mật thiết yếu.

Câu hỏi thường gặp

Tôi nên cập nhật VPS Linux của mình bao lâu một lần?

Cập nhật các bản vá bảo mật quan trọng ngay lập tức. Lên lịch cập nhật toàn bộ hệ thống hàng tuần.

Việc thay đổi cổng SSH có thực sự cần thiết?

Đúng. Việc thay đổi cổng SSH giúp giảm hơn 90% các nỗ lực tấn công tự động.

Tôi có thể thực hiện tất cả 20 biện pháp bảo mật cùng một lúc không?

Trước tiên hãy bắt đầu với các biện pháp từ 1 đến 10, sau đó dần dần triển khai các kỹ thuật nâng cao để ngăn ngừa xung đột cấu hình.

Làm cách nào để biết máy chủ của tôi có bị xâm phạm hay không?

Theo dõi nhật ký để phát hiện hoạt động bất thường, kiểm tra các tiến trình đang chạy và thường xuyên xem xét các kết nối mạng.

Tôi nên làm gì nếu bị khóa sau khi thực hiện các biện pháp bảo mật này?

Luôn kiểm tra cấu hình trước khi đăng xuất. Luôn mở các phiên SSH dự phòng và sử dụng quyền truy cập bảng điều khiển của nhà cung cấp dịch vụ lưu trữ của bạn.

Những biện pháp bảo mật này có đủ cho các máy chủ sản xuất không?

Những điều này cung cấp một nền tảng vững chắc. Môi trường sản xuất có thể yêu cầu giám sát bổ sung, kiểm tra tuân thủ và các công cụ bảo mật chuyên dụng.