VPS Linux an toàn

Trong thời đại kỹ thuật số, bảo mật Linux Virtual Private Server (VPS) của bạn
là rất quan trọng để bảo vệ dữ liệu và cơ sở hạ tầng của bạn. Hướng dẫn
toàn diện này khám phá các cách để bảo vệ Linux VPS của bạn chống lại
cyber threats.

Giữ Hệ Thống Của Bạn An Toàn
Updated

Một trong những khía cạnh quan trọng nhất để bảo mật Linux VPS của bạn là
đảm bảo hệ thống của bạn luôn cập nhật. Phần mềm lỗi thời có thể
chứa các lỗ hổng mà những kẻ xấu có thể tận dụng. Dưới đây là cách thực hiện:
do it:

Sử Dụng Trình Quản Lý Gói

Hầu hết các bản phân phối Linux đều cung cấp trình quản lý gói. Chẳng hạn, nếu
bạn sử dụng hệ thống dựa trên Debian, bạn có thể chạy các lệnh sau
để cập nhật và nâng cấp các gói:

sudo apt update
sudo apt upgrade

Nếu bạn sử dụng hệ thống CentOS, hãy dùng yum:

sudo yum update

Set Up Automatic
Updates

Thiết Lập Cập Nhật Tự Động với unattended-upgrades trên
Các Hệ Thống Dựa Trên Debian:

Trên các hệ thống dựa trên Debian như Ubuntu, bạn có thể sử dụng
gói unattended-upgrades để tự động hóa quá trình cập nhật.

1. Cài đặt unattended-upgrades:

sudo apt install unattended-upgrades

2. Cấu hình các cài đặt cập nhật tự động. Chỉnh sửa cấu hình
   file:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

3. Bật tự động cập nhật cho các gói liên quan đến bảo mật:

Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
    "${distro_id}:${distro_codename}-updates";
    "${distro_id}:${distro_codename}-proposed";
    "${distro_id}:${distro_codename}-backports";
};

4. Bật và khởi động dịch vụ unattended-upgrades:

sudo dpkg-reconfigure -plow unattended-upgrades

This command will prompt you to confirm the changes. Select “Yes” to
bật cập nhật tự động.

Thiết lập cập nhật tự động với yum-cron trên
CentOS:

Trên CentOS, bạn có thể dùng yum-cron để cập nhật tự động:

1. Cài đặt yum-cron:

sudo yum install yum-cron

2. Khởi động và bật dịch vụ yum-cron:

sudo systemctl enable yum-cron
sudo systemctl start yum-cron

Use
Mật khẩu mạnh và Khóa SSH để xác thực an toàn

Bảo mật Linux VPS yêu cầu sử dụng các phương pháp xác thực mạnh.
Dù bạn kết nối từ máy khách Linux hay Windows, đây là cách thực hiện
sử dụng mật khẩu mạnh và khóa SSH hiệu quả:

Using Strong
Passwords

Khi tạo tài khoản người dùng trên VPS, hãy đảm bảo rằng mật khẩu là
phức tạp, kết hợp chữ hoa và chữ thường, số và ký tự đặc biệt
ký tự. Tránh dùng mật khẩu dễ đoán.

Sử dụng khóa SSH
Authentication

Dành cho khách hàng Linux:

1. Để tạo cặp khóa SSH trên máy khách Linux của bạn, hãy sử dụng ssh-keygen
   command:

ssh-keygen -t rsa -b 2048

Theo mặc định, khóa công khai sẽ được lưu trữ tại ~/.ssh/id_rsa.pub.

2. Sao chép khóa công khai của bạn đến VPS:

ssh-copy-id user@your_server_ip

3. Tắt đăng nhập dựa trên mật khẩu SSH trên VPS trong máy chủ SSH
   tệp cấu hình (/etc/ssh/sshd_config):

PasswordAuthentication no

Cho khách hàng Windows:

1. Trên Windows, sử dụng PowerShell để có chức năng tương tự:

ssh-keygen

2. Sao chép khóa công khai của bạn vào VPS bằng PowerShell. Thay thế
   IP-ADDRESS-OR-FQDN với máy chủ từ xa của bạn
   address:

type $env:USERPROFILE\.ssh\id_rsa.pub | ssh root@{IP-ADDRESS-OR-FQDN} "cat >> .ssh/authorized_keys"

3. Tắt đăng nhập dựa trên mật khẩu SSH trên VPS trong máy chủ SSH
   tệp cấu hình (/etc/ssh/sshd_config):

PasswordAuthentication no

Implement a Firewall

Bảo vệ Linux VPS của bạn bằng cách thiết lập tường lửa để kiểm soát
lưu lượng truy cập đến và đi. Dưới đây là cách triển khai tường lửa để
enhance security:

Sử dụng ufw (Uncomplicated Firewall) trên Debian/Ubuntu hoặc
firewalld on CentOS:

1. Cài đặt công cụ quản lý tường lửa nếu chưa được cài đặt.

Đối với ufw trên Debian/Ubuntu:

sudo apt install ufw

Đối với firewalld trên CentOS:

sudo yum install firewalld

2. Thêm quy tắc cho phép SSH trước khi bật tường lửa để tránh bị
   locked out:

Đối với ufw trên Debian/Ubuntu:

sudo ufw allow OpenSSH

Đối với firewalld trên CentOS:

sudo firewall-cmd --permanent --add-service=ssh

3. Bật tường lửa và đặt quy tắc mặc định:

Đối với ufw trên Debian/Ubuntu:

sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing

Đối với firewalld trên CentOS:

sudo systemctl start firewalld
sudo systemctl enable firewalld

4. Tải lại tường lửa để các thay đổi có hiệu lực.

Đối với ufw trên Debian/Ubuntu:

sudo ufw reload

Đối với firewalld trên CentOS:

sudo systemctl reload firewalld

Vô hiệu hóa đăng nhập Root

Bảo vệ Linux VPS của bạn bằng cách hạn chế quyền truy cập root. Dưới đây là cách
vô hiệu hóa đăng nhập root để bảo mật nâng cao:

1. Tạo người dùng mới: Đăng nhập vào VPS của bạn với tư cách là người dùng root. Sau đó tạo
   một tài khoản người dùng mới với các quyền sudo. Thay newuser bằng tên
   desired username:

adduser newuser
usermod -aG sudo newuser

2. Tạo thư mục .ssh, tệp authorized_keys và đặt quyền cho
   người dùng mới:

mkdir -p /home/newuser/.ssh
touch /home/newuser/.ssh/authorized_keys
chmod 600 /home/newuser/.ssh/authorized_keys
chown -R newuser:newuser /home/newuser/.ssh

3. Đảm bảo tạo và sao chép khóa công khai vào
   VPS.

4. Đăng nhập với tư cách là người dùng mới.

5. Ngắt kết nối khỏi VPS (nếu bạn đang kết nối với tư cách là root) và đăng nhập
   lại bằng tài khoản người dùng mới. Điều này đảm bảo bạn có thể thực hiện
   các tác vụ quản trị bằng sudo.

6. Chỉnh sửa cấu hình SSH:

Mở tệp cấu hình máy chủ SSH trên VPS của bạn. Tệp này thường
nằm tại /etc/ssh/sshd_config:

sudo nano /etc/ssh/sshd_config

Tìm dòng có ghi PermitRootLogin và đặt nó thành no:

PermitRootLogin no

Lưu tệp và thoát trình soạn thảo.

7. Khởi động lại Dịch vụ SSH:

Sau khi thực hiện thay đổi này, bạn nên khởi động lại dịch vụ SSH để
áp dụng cài đặt mới:

On Debian/Ubuntu:

sudo systemctl restart ssh

On CentOS:

sudo systemctl restart sshd

Harden SSH
Configuration

Bảo mật Linux VPS của bạn liên quan đến việc tăng cường cấu hình SSH
để bảo vệ tốt hơn và đảm bảo các quy tắc UFW được cập nhật
đầy đủ. Dưới đây là cách tăng cường cài đặt SSH và cập nhật UFW:
rules:

1. Cho phép Cổng SSH Mới trong UFW:

Nếu bạn đang sử dụng UFW (Uncomplicated Firewall), trước tiên hãy cho phép cổng SSH mới
trước khi thay đổi cổng mặc định:

# Allow the new SSH port (e.g., 2222)
sudo ufw allow 2222/tcp

2. Xóa OpenSSH khỏi Quy tắc UFW:

Sau khi thay đổi cổng SSH, bạn nên xóa dịch vụ OpenSSH cũ
(cổng mặc định 22) khỏi các quy tắc UFW để đảm bảo rằng chỉ có cổng SSH mới
được cho phép:

# Remove the old OpenSSH service (default port 22)
sudo ufw delete allow OpenSSH

3. Thay đổi Cổng SSH:

Theo mặc định, SSH sử dụng cổng 22. Thay đổi cổng mặc định có thể bổ sung một
lớp bảo mật bằng cách khiến các bot tự động khó tìm thấy
máy chủ SSH của bạn hơn.

Mở tệp cấu hình máy chủ SSH:

sudo nano /etc/ssh/sshd_config

Tìm dòng đọc Port 22 và thay đổi số cổng thành một
cổng khác chưa sử dụng, ví dụ: 2222:

Port 2222

4. Bật Xác thực lại Khóa:

Bạn có thể đặt giới hạn thời gian để xác thực lại khóa nhằm bảo mật thêm
phiên SSH của bạn. Điều này có nghĩa là nếu bạn để phiên SSH của mình
không được giám sát, nó sẽ tự động hết hạn sau một khoảng thời gian nhất định.

Thêm hoặc chỉnh sửa các dòng sau trong tệp cấu hình máy chủ SSH
rồi lưu nó:

ClientAliveInterval 300
ClientAliveCountMax 2

5. Tải lại các quy tắc UFW và dịch vụ SSH:

sudo ufw reload
sudo systemctl restart ssh

6. Sau khi thực hiện các thay đổi cần thiết, bạn có thể thiết lập kết nối SSH mới
   bằng lệnh sau:

ssh -p <new_port> user@your_server_ip

Implement Fail2Ban

Bảo mật Linux VPS của bạn liên quan đến việc bảo vệ nó khỏi các cuộc tấn công đăng nhập bằng vũ lực
và các hoạt động độc hại khác. Fail2Ban là một công cụ hữu ích
cho mục đích này. Dưới đây là cách triển khai Fail2Ban:

1. Install Fail2Ban:

Bắt đầu bằng cách cập nhật danh sách gói của bạn để đảm bảo bạn có phiên bản mới nhất
available packages:

Đối với các hệ thống dựa trên Debian (ví dụ: Ubuntu):

sudo apt update

For CentOS:

sudo yum update

Install Fail2Ban:

Đối với các hệ thống dựa trên Debian:

sudo apt install fail2ban

For CentOS:

sudo yum install fail2ban

2. Configure Fail2Ban:

Tệp cấu hình chính của Fail2Ban được đặt tại
/etc/fail2ban/jail.conf. Bạn có thể tạo một tệp ghi đè
file at /etc/fail2ban/jail.local to customize settings
mà không cần chỉnh sửa cấu hình mặc định. Mở tệp này:

sudo nano /etc/fail2ban/jail.local

Thêm cấu hình sau để cấm các địa chỉ IP trong 10 phút
(600 giây) sau sáu lần đăng nhập thất bại. Điều chỉnh các tham số nếu cần
needed:

[sshd]
enabled = true
maxretry = 6
findtime = 600
bantime = 600

Lưu tệp và thoát trình soạn thảo.

3. Bắt đầu và kích hoạt Fail2Ban:

Khởi động Fail2Ban và kích hoạt nó để tự động khởi động:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

4. Check Fail2Ban Status:

Bạn có thể kiểm tra trạng thái của Fail2Ban để đảm bảo nó hoạt động như
expected:

sudo fail2ban-client status

Bạn sẽ thấy nó đang giám sát dịch vụ SSH.

6 phương pháp thiết yếu được thảo luận ở đây cung cấp một tầng bảo vệ vững chắc
chống lại các lỗ hổng tiềm ẩn. Bằng cách giữ hệ thống của bạn cập nhật,
sử dụng xác thực mạnh, cấu hình tường lửa, tăng cường bảo mật SSH,
và triển khai Fail2Ban, bạn bảo vệ VPS của bạn và duy trì sự yên tâm
tâm trong thế giới luôn kết nối. Nếu bạn có bất kỳ câu hỏi nào, vui lòng
liên hệ với đội hỗ trợ của chúng tôi qua submitting a
ticket.