12 mẹo giúp tăng cường bảo mật Server Linux cực hiệu quả

Dưới đây là 12 mẹo giúp tăng cường bảo mật Server Linux cực kỳ hữu hiệu đảm bảo an toàn cho hệ thống khỏi nguy cơ bị kẻ xấu tấn công và ăn cắp thông tin.

Cập nhật lại hệ thống thường xuyên

Việc thường xuyên update những bản vá bảo mật mới nhất cho hệ thống giúp ích rất nhiều trong việc tăng cường bảo mật Web server trong Linux. Server Linux khi đó sẽ dược nâng cấp với các tính năng mới, vá lại những lỗ hổng và sửa lỗi hoàn chỉnh hơn. Khi đó, các hacker sẽ có lợi dụng các lỗi để xâm nhập và tấn công dữ liệu hơn.

Để cập nhật Server, bạn cần sử dụng những câu lệnh sau:

# yum update

# yum check-update

Thiết lập tường lửa và sử dụng phần mềm quản trị Hosting

Đây là việc làm cực kỳ cần thiết giúp tăng cường bảo mật Server Linux mà các nhà quản trị web không thể bỏ qua.

• Tường lửa

Tường lửa (Firewall) là công cụ quan trọng để bảo mật website, là bước phòng thủ đầu tiên quyết định hệ thống của bạn có chống lại được những kẻ tấn công hay không.'

Tường lửa giúp lọc lưu lượng từ các nguồn truy cập nguy hiểm để chúng không thể phá hoại hệ thống như hacker hay sự tấn công của một số loại virus. Hay theo dõi và phân tích các nguồn lưu lượng truy cập; từ đó quyết định xem nên làm gì với những nguồn truy cập đáng ngờ. Một vài ứng dụng tường lửa có thể tích hợp cho hệ thống server linux của bạn: FirewallD, IPtables,…

• Sử dụng phần mềm quản trị web Hosting

Hosting Control Panel là phần mềm quản trị web hosting thiết yếu trên các máy chủ Linux và Windows, là công cụ cung cấp cho chúng ta khả năng quản lý tập trung, có các chức năng như quản lý email accounts, file management functions, FTP accounts, create backups,…

Hiện có rất nhiều Hosting Control Panel, tuy nhiên thích hợp nhất với Linux phải kể đến phần mềm Plesk. Nó không chỉ giúp máy tính chạy liên tục mọi lúc mà còn giữ cho Server hoạt động ổn định, tránh bị mã độc tấn công.

Theo mặc định, cấu hình của Plesk có những chính sách và quy định riêng. Những chính sách này có phạm vi rộng khắp, ảnh hưởng đến tất cả các kết nối với máy chủ. Vì thế, Plesk có khả năng chặn đứng mọi xâm phạm từ bên ngoài đến hệ thống. Không những vậy, vài dịch vụ Plesk riêng lẻ còn có những quy tắc với phạm vi hẹp hơn như SMTP hoặc MySQL giúp chi phối những liên kết từ ngoài muốn tiến vào hệ thống. Do đó, dữ liệu trên Server Linux được bảo vệ an toàn hơn.

• Để cài đặt tường lửa và Plesk, bạn có thể thực hiện các bước sau:

Bước 1: Vào mục Công cụ & Cài đặt → Chọn Tường lửa trong phần bảo mật.

Bước 2: Bật tính năng Quản lý tường lửa cho nút bên cạnh chuyển màu xanh.

Bước 3: Nhấp vào Sửa đổi tường lửa Plesk → Chọn những sửa đổi mà bạn muốn, bật nút xanh. Chẳng hạn như, bật từ chối các kết nối bên ngoài đến hệ thống.

Bước 4: Click Áp dụng để hoàn tất thao tác.

Hạn chế lỗ hổng bảo mật, loại bỏ các gói dữ liệu không cần thiết

Hệ điều hành Linux nói riêng và tất cả các hệ điều hành điều chúng luôn đi kèm rất nhiều gói dữ liệu khác bên trong. Nhưng có một thực tế đó là hầu hết bạn sẽ không bao giờ sử dụng đến chúng. Vì vậy, những gói dịch vụ này nghiễm nhiên trở thành một cầu nối thuận lợi cho các vị khách không mời mà tới. Do đó, hãy kiểm tra thật kĩ càng và cẩn thận để có thể loại bỏ những thứ không cần thiết giúp hệ thống chạy mượt mà hơn. Đây cũng chính là một trong những cách hạn chế lỗ hổng bảo mật Web server trong Linux.

Để xem lại tất cả các phần mềm đã cài đặt và xóa bỏ những gói không mong muốn, bạn có thể sử dụng trình quản lý gói RPM như yum, apt-get hoặc dpkg.

# yum list installed

# yum list packageName

# yum remove packageName

Hoặc

# dpkg –list

# dpkg –info packageName

# apt-get remove packageName

Sử dụng Kernel Care để nâng cấp thường xuyên, tự động vá lỗi phiên bản cũ

KernelCare chính thức ra mắt vào tháng 5/2014 và đến nay được xem là trợ thủ đắc lực nhất của IT giúp bảo vệ thống thống lưu trữ dữ liệu an toàn trên nền tảng Linux.

Với sự trợ giúp của KernelCare, mọi quá trình khởi động rắc rối và tốn thời gian đều được đơn giản hóa. Phần mềm này hỗ trợ cập nhật tự động hệ thống bảo mật của máy chủ Linux đầy đủ và an toàn mà không cần phải khởi động lại. Ngay khi có bản update mới, nó có thể tự tải về và cùng lúc đó máy chủ nhanh chóng update ngay, hoàn toàn không mất thời gian cài đặt hay tắt máy như nhiều hệ điều hành khác.

Có thể nói, KernelCare chính là hệ thống chăm sóc toàn diện giúp Linux hoàn hảo, nổi bật về tính bảo mật. Nó không những vá được lỗ hổng lỗi trong Server mà còn có tốc độ phát hiện và phòng vệ rất cao nhờ tính năng 4 tiếng kiểm tra 1 lần.

Không sử dụng lại mật khẩu cũ

Mật khẩu cũ là một trong những điểm yếu đầy nguy cơ mà tin tặc có thể lợi dụng để tấn công vào máy tính của bạn. Do đó, cần hạn chế sử dụng password cũ. Trong khi đó, với sự đa dạng của bảng chữ cái và ký tự, bạn có thể thỏa sức sáng tạo những mật khẩu mới và phong phú hơn. Vì vậy chẳng có lý do gì để bạn phải sử dụng đi sử dụng lại mật khẩu cũ cả.

Việc tăng cường bảo mật Server Linux sẽ thật hữu ích nếu bạn ngăn chặn được việc này trước. Các mật khẩu sẽ được lưu trữ tại /etc/pam.d/system-auth, file này chỉ có thể truy cập trong chế độ PAM.

Mở file ‘etc/pam.d/system-auth’ trong RHEL/CentOS/Fedora:

# vi etc /pam.d/systerm-auth

Thêm dòng lệnh sau vào mục ‘auth’:

auth sufficient pam_unix.so likeauth nullok

Mở file ‘etc/pam.d/common-password’ trong Ubuntu/Debian/Linux Mint:

# vi etc /pam.d/common-password

Thêm dòng lệnh sau vào mục ‘password’ để ngăn người dùng sử dụng 1 trong 5 mật khẩu gần nhất của mình:

password sufficient pam_unix.so nullok use_authtok md5 shadow remember=5

Nếu người dùng muốn sử dụng lại mật khẩu nào trong bất kỳ 5 mật khẩu được sử dụng gần nhất, họ sẽ nhận được thông báo: “Password has been already used. Choose another.”

Đặt mật khẩu mạnh

Đặt mật khẩu mạnh là điều vô cùng cần thiết giúp củng cố hàng rảo bảo vệ cho hệ thống Server Linux, tránh khỏi các công cụ tấn công từ hacker như dò phá mật khẩu, tiên đoán mật khẩu.

Mật khẩu mạnh phải đảm bảo các yếu tố:

• Tối thiểu 8 ký tự, tối đa 15 ký tự
• Bao gồm chữ in hoa, chữ thường, số và ký tự đặc biệt.
• Nên là duy nhất, không dùng chung với các tài khoản khác.
• Không nên mang ý nghĩa đi kèm như số điện thoại, ngày sinh, tên địa danh....
• Không sử dụng tên riêng.
• Không sử dụng các dãy số dễ đoán như: 113, 115, 12345678...

Sử dụng Module Cracklib (PAM) sẽ buộc người dùng phải sử dụng cho mình những mật khẩu mạnh và an toàn hơn. Hãy thêm những dòng sau bằng một trình biên soạn:

# vi etc /pam.d/systerm-auth

Và thêm dòng sau (lcredit,ucredit, dcredit hay ocredit tương ứng với chữ thường, chữ hoa, chữ số và các ký tự khác) :

/lib/security/$ÍA/pam_cracklist.so retry = 3 minlen=8 lcredit =-1 ucredit=-2 dcredit=-2 ocredit=-1

Dùng cấu hình bảo mật SSH

Cấu hình SSH được mặc định sử dụng port 22 để kết nối. Điều này vô tình tạo điều kiện cho tin tặc dễ dàng tấn công hệ thống. Vì vậy, thay đổi port SSH là việc làm vô cùng cần thiết đối với IT. Bên cạnh đó, bạn nên giới hạn đăng nhập bằng key vào Server. Việc thực hiện sẽ khá phức tạp và cần nhiều lệnh nhưng hiệu quả bảo mật Server Linux sẽ cao hơn.

Để tiến hành thay đổi port SSH trên Server Linux, bạn mở file /etc/ssh/sshd_config và sửa các dòng sau:

Port 2020

PubkeyAuthentication yes

PasswordAuthentication no

Sau đó, tiến hành thực hiện thêm bước Public key lên Server Linux là hoàn thành.

Tiếp tục khởi động lại dịch vụ SSH bằng lệnh:

# /etc/init.d/ssh restart hoặc # systemctl restart sshd.service.

Liên tục giữ kết nối hiện tại và mở thêm một kết nối mới, rồi sử dụng key tới Server với port 2020 để kiểm tra.

Xem thêm: Hướng dẫn chi tiết cách thay đổi port SSH trên Linux

Hạn chế các dịch vụ FTP, Telnet và Rlogin/ Rsh trên Linux

Tại sao nên hạn chế các dịch vụ FTP, Telnet và Rlogin/ Rsh trên Linux? Bởi chỉ với một gói Sniffer, bất cứ ai cũng có thể nhận được tên người dùng, mật khẩu, lệnh FTP, Telnet và Ssh và các tệp từ hệ thống của bạn truyền đến nếu sử dụng cùng một mạng.

Ngoài ra, bạn cũng nên sử dụng OpenSSH, SFTP hoặc FTPS (FTP qua SSL), bổ sung mã hóa SSL hoặc TLS vào FTP nữa.

Chỉ với mã lệnh sau, mọi người đều xóa được NIS, Rsh và các dịch vụ lỗi lạc hậu, không an toàn khác một cách nhanh chóng:

• Đối với hệ điều hành thường:

yum erase inetd xinetd ypserv tftp-server telnet-server rsh-serve

• Đối với hệ điều hành Debian/ Ubuntu Linux

$ sudo apt-get –purge remove xinetd nis yp-tools tftpd atftpd tftpd-hpa telnetd rsh-server rsh-redone-server

Bảo mật nâng cao với SELinux

SELinux (Security-Enhanced Linux) là một mô đun bảo mật ở nhân của Linux. Nó cung cấp cơ chế hỗ trợ các chính sách bảo mật kiểm soát truy cập (access control), gồm các điều khiển truy nhập bắt buộc theo quy định Bộ Quốc phòng Hoa Kỳ (MAC).

Sử dụng thêm SELinux và các phần mở rộng bảo mật Linux khác để tạo thêm một lá chắn an toàn cho hệ thống  Server Linux. Chúng sẽ tăng cường bảo mật cho hệ thống ở mức cao hơn với nhiều chính sách bảo đảm an ninh hữu hiệu.

Khóa tài khoản người dùng sau khi đăng nhập thất bại

Hiện nay, hệ điều hành Linux đã được nghiên cứu và phát triển lệnh Faillog. Lệnh này cho phép bạn truy xuất các tài khoản đã từng đăng nhập thất bại trước đó. IT hoàn toàn có thể sử dụng tính năng này để phát hiện và khóa ngay những tài khoản từng đăng nhập vào hệ thống máy chủ. Faillog sẽ hiển thị đầy đủ các bản ghi, thậm chí có chế độ giới hạn lỗi đăng nhập.

Lưu ý: Sau khi đã kích hoạt chế độ khóa tài khoản này, nếu muốn mở lại, bạn dùng lệnh:

faillog -r -u userName

Hoặc, tham khảo ngay những bộ lệnh password để khóa và mở sau:

• Khóa account Linux: passwd -l userName.
• Mở tài khoản Linux: passwd -u userName.

Không dùng nhiều dịch vụ khác nhau trên cùng một Server

Việc sử dụng nhiều dịch vụ khác nhau trên cùng một Server sẽ khiến bạn dễ bị xâm phạm bảo mật thông tin hơn. Ví dụ, bạn sử dụng hàng loạt dịch vụ trên cùng một server như Email, Web, Database, File Sharing và khi một trong những dịch vụ này xuất hiện lỗ hổng bảo mật, tin tặc sẽ dễ dàng khai thác, chiếm quyền sở hữu thông tin của những dịch vụ khác trên Server này.

Vì vậy, bạn nên cân nhắc việc dịch chuyển từ Server vật lý lên Cloud Server. Điều này làm tăng khả năng đảm bảo an toàn dữ liệu khi chạy các dịch vụ khác nhau trên mỗi Cloud Server riêng biệt.

Thuê Cloud Server giá rẻ, Cloud Server theo giờ TẠI ĐÂY

Thường xuyên kiểm tra các cổng dịch vụ đang chờ kết nối

Cần kiểm tra thường xuyên là loại bỏ các cổng dịch vụ đang chờ kết nối không cần thiết trong Server. Điều này không chỉ giúp tăng hiệu năng cho máy tính hoạt động trơn tru hơn mà còn giúp giảm thiểu tối đa các lỗ hổng bảo mật.

Để thực hiện, bạn có thể sử dụng câu lệnh ‘netstat’ để xem tất cả các cổng đang mở và các chương trình có kết nối mạng. Sau đó, tiến hành rà soát, nếu có phát hiện phải nhanh chóng dùng lệnh ‘chkconfig’ để tắt các dịch vụ đó đi.

Trên đây là 12 mẹo bảo mật Server Linux cực hiệu quả giúp kiểm soát, quản lý và bảo vệ dữ liệu hệ thống an toàn. Chúc bạn thành công với những bí mẹo, bí quyết này nhé!