Cập nhật 12 phương pháp tối ưu bảo mật hệ thống Server Linux
Server Linux là hệ điều hành chuyên dụng nhẹ, có thiết kế giao diện đẹp, tính bảo mật cao. Tuy nhiên, không phải ai cũng biết giải pháp hiệu quả để tăng cường sự bảo mật đó.
Trong bối cảnh đầy phức tạp của lĩnh vực công nghệ thông tin, việc đảm bảo an toàn cho cơ sở dữ liệu cũng như Server là vô cùng cần thiết. Điều này giúp hệ thống tránh được nhiều nguy cơ bị kẻ xấu tấn công, ăn cắp thông tin. Linux mặc dù là hệ điều hành máy chủ thông dụng, phổ biến được ưa chuộng. Nhưng cũng chính vì vậy mà rất dễ dẫn đến những nguy cơ về bảo mật. Bởi hiện nay, tin tặc đang hướng mục tiêu đến nguồn dữ liệu quan trọng trên nền tảng này. Chúng gây ảnh hưởng tiêu cực và tạo nên nhiều khó khăn cho quản trị viên.
Bài viết hôm nay, ODS giới thiệu đến bạn 12 bí kíp cực kỳ hữu hiệu. Giúp bạn nhanh chóng bảo vệ và tăng cường bảo mật cho Server Linux.
Thường xuyên cập nhật lại hệ thống
Luôn cập nhật những bản vá bảo mật mới nhất cho hệ thống sẽ giúp ích rất nhiều trong việc tăng cường bảo mật cho Cloud Server Linux. Khi đó, Server sẽ được nâng cấp tính năng mới, vá lại những lỗ hỏng và sửa lỗi hoàn chỉnh, nâng cấp phần nhân hệ thống ngay lập tức. Từ đó, hệ thống trở nên hoàn thiện. Các hacker khó có khả năng lợi dụng các lỗi để xâm nhập, tấn công dữ liệu. Sử dụng những lệnh sau để cập nhật Server:
# yum update
# yum check-update
Thiết lập tường lửa và sử dụng phần mềm quản trị Hosting
Việc thiết lập tường lửa và sử dụng phần mềm quản trị web Hosting sẽ mang lại hiệu quả bảo mật cho các nhà quản trị.
Thiết lập tường lửa
Tường lửa (Firewall) chính là công cụ hỗ trợ đắc lực cho công cuộc bảo mật. Đây chính là bước phòng thủ đầu tiên quyết định hệ thống của bạn có chống lại được kẻ tấn công hay không.
Với những ứng dụng tường lửa này, cơ sở thông tin mà bạn truy cập sẽ được bảo đảm an toàn tối ưu. Chúng lọc truy cập mạng hiệu quả, tiến hành xác minh tên máy chủ, đăng nhập tiêu chuẩn và tránh giả mạo. Một vài ứng dụng tường lửa có thể tích hợp cho hệ thống server linux của bạn: FirewallD, IPtables,…
Sử dụng phần mềm quản trị web Hositng
Trong tất cả các phần mềm hosting control panel, thì Plesk được đánh giá là thích hợp đến 90% với Linux. Chúng không những đóng vai trò để cho máy tính chạy liên tục mọi lúc. Mà còn chịu trách nhiệm giữ cho Server hoạt động ổn định, không bị tấn công bởi mã độc.
Theo mặc định, cấu hình của Plesk có những chính sách và quy định riêng. Những chính sách này có phạm vi rộng khắp, ảnh hưởng đến tất cả các kết nối với máy chủ. Vì thế, Plesk có khả năng chặn đứng mọi xâm phạm từ bên ngoài đến hệ thống.
Theo đó, bạn có thể thực hiện việc này thông qua các bước sau:
- Bước 1: Vào mục Công cụ & Cài đặt → Chọn Tường lửa trong phần bảo mật.
- Bước 2: Bật tính năng Quản lý tường lửa cho nút bên cạnh chuyển màu xanh.
- Bước 3: Nhấp vào Sửa đổi tường lửa Plesk → Chọn những sửa đổi mà bạn muốn, bật nút xanh. Chẳng hạn như, bật từ chối các kết nối bên ngoài đến hệ thống.
- Bước 4: Click Áp dụng để hoàn tất thao tác.
Ngoài ra, vài dịch vụ Plesk riêng lẻ còn có các quy tắc với phạm vi hẹp hơn như SMTP hoặc MySQL. Có tác dụng chi phối những liên kết từ ngoài muốn tiến vào hệ thống. Từ đó, bảo vệ dữ liệu trên Server Linux an toàn hơn.
Hạn chế lỗ hổng bảo mật, giảm bớt các gói dữ liệu không cần thiết
Mọi hệ điều hành, trong đó có cả Linux đều đi kèm với rất nhiều thứ khác bên trong. Tuy nhiên, thực tế bạn không bao giờ sử dụng đến chúng. Bởi, tất cả mọi gói dịch vụ này của Server Linux đều có tiềm năng trở thành điểm lợi dụng của các vị khách không mời. Do đó, hãy xem xét, kiểm tra để loại bỏ bớt những thứ mà bạn chẳng có nhu cầu dùng đến.
Sử dụng trình quản lý gói RPM như yum, apt-get hoặc dpkg để xem lại tất cả các phần mềm đã cài đặt trên hệ thống và xóa tất cả các gói không mong muốn:
# yum list installed
# yum list packageName
# yum remove packageName
Hoặc
# dpkg –list
# dpkg –info packageName
# apt-get remove packageName
Khi không còn các chướng ngại vô nghĩa, hệ thống của bạn cũng sẽ hoạt động mượt mà hơn. Đây cũng chính là một trong những cách hạn chế lỗ hổng an ninh, bảo mật tuyệt vời nhất.
Cần sử dụng Kernel Care để nâng cấp thường xuyên, tự động vá lỗi phiên bản cũ
Kernel Care chính là hệ thống chăm sóc toàn diện, giúp Linux hoàn hảo, nổi bật về tính bảo mật. Chúng không chỉ có thể vá được lỗ hổng lỗi trong Server mà còn có tốc độ phát hiện, phòng vệ rất cao. Nhờ có tính năng liên tục kiểm tra cứ 4 tiếng 1 lần, Kernel Care cho bạn một hệ thống hoàn toàn không độc hại, không thể xâm nhập.
Chưa kể, Kernel có cả tính năng đặc biệt là vẫn có thể vá lỗi trực tiếp trên hệ điều hành Linux mà không cần phải khởi động máy chủ gì cả. Vì vậy, bạn rất nên sử dụng Kernel Care để chúng phát huy hết công dụng của mình vào hệ thống.
Xin nhấn mạnh lại 1 lần nữa sự tiện lợi ở Kernel Care đó là luôn chạy các phiên bản mới nhất. Nó có thể tự tải về ngay khi có bản cập nhật mới, đồng thời máy chủ nhanh chóng update ngay, hoàn toàn không mất thời gian cài đặt hay tắt máy như nhiều hệ điều hành khác. Nên bạn đang sử dụng hệ điều hành Linux thì cứ yên tâm để hạt nhân Kernel bảo vệ hệ thống nhé!
Tham khảo thêm: dịch vụ Server Linux được tích hợp Kernel Care tại ODS
Không sử dụng lại mật khẩu cũ
Mật khẩu cũ chính là điểm yếu đầy nguy cơ mà tin tặc có thể lợi dụng tiến vào máy tính của bạn. Vì vậy, cần hạn chế đến mức tối đa sử dụng đi sử dụng lại password đã cũ. Trong khi với bảng chữ cái, ký tự đặc biệt đa dạng, phong phú để bạn tha hồ sáng tạo. Tại sao phải dùng lại mật khẩu cũ để kẻ xấu có cơ hội tấn công?
Việc tăng cường bảo mật cho Server Linux sẽ thật hữu ích nếu bạn ngăn chặn được việc này trước. Các mật khẩu sẽ được lưu trữ tại /etc/pam.d/system-auth, file này chỉ có thể truy cập trong chế độ PAM.
- Mở file ‘etc/pam.d/system-auth’ trong RHEL/CentOS/Fedora:
# vi etc /pam.d/systerm-auth
- Thêm dòng lệnh sau vào mục ‘auth’:
auth sufficient pam_unix.so likeauth nullok
- Mở file ‘etc/pam.d/common-password’ trong Ubuntu/Debian/Linux Mint:
# vi etc /pam.d/common-password
- Thêm dòng lệnh sau vào mục ‘password’ để ngăn người dùng sử dụng 1 trong 5 mật khẩu gần nhất của mình:
password sufficient pam_unix.so nullok use_authtok md5 shadow remember=5
Nếu người dùng muốn sử dụng lại mật khẩu nào trong bất kỳ 5 mật khẩu được sử dụng gần nhất, họ sẽ nhận được thông báo: “Password has been already used. Choose another.”
Dùng cấu hình bảo mật SSH
Cấu hình SSH được mặc định sử dụng port 22 để kết nối. Điều này vô tình tào điều kiện cho tin tặc dễ dàng tấn công hệ thống. Vì vậy, thay đổi port SSH là việc làm vô cùng cần thiết đối với IT. Bên cạnh đó, bạn nên giới hạn đăng nhập bằng key vào Server. Việc thực hiện sẽ khá phức tạp và cần nhiều lệnh. Nhưng hiệu quả bảo mật mà nó mang lại sẽ khiến bạn hài lòng.
Để tiến hành thay đổi port SSH trên Server Linux, bạn mở file /etc/ssh/sshd_config và sửa các dòng sau:
- Port 2020
- PubkeyAuthentication yes
- PasswordAuthentication no
Sau đó, tiến hành thực hiện thêm bước Public key lên Server Linux là hoàn thành.
Tiếp tục khởi động lại dịch vụ SSH bằng lệnh: # /etc/init.d/ssh restart hoặc # systemctl restart sshd.service.
Liên tục giữ kết nối hiện tại và mở thêm một kết nối mới, rồi sử dụng key tới Server với port 2020 để kiểm tra.
Đặt mật khẩu mạnh
Lựa chọn mật khẩu mạnh vô cùng cần thiết, giúp củng cố hàng rào bảo vệ cho hệ thống Server Linux. Thực tế, nhiều người vẫn không biết mật khẩu mạnh là như thế nào. Bạn cứ chọn dòng Password với đầy đủ chữ, số, ký tự thật phức tạp là được. Có thể chúng khó nhớ và bạn không thực sự thích thú với nó. Song đây là cách để bạn loại bỏ kẻ thù khỏi những thông tin quan trọng của bạn đấy.
Sử dụng Module Cracklib (PAM) sẽ buộc người dùng phải sử dụng cho mình những mật khẩu mạnh và an toàn hơn. Hãy thêm những dòng sau bằng một trình biên soạn:
# vi etc /pam.d/systerm-auth
Và thêm dòng sau (lcredit,ucredit, dcredit hay ocredit tương ứng với chữ thường, chữ hoa, chữ số và các ký tự khác) :
/lib/security/$ÍA/pam_cracklist.so retry = 3 minlen=8 lcredit =-1 ucredit=-2 dcredit=-2 ocredit=-1
Thường xuyên kiểm tra các cổng dịch vụ đang chờ kết nối
Cũng giống như việc loại bỏ những gói dữ liệu, dịch vụ không cần thiết trong Server. Bạn nên thường xuyên kiểm tra, giảm thiểu tối đa các cổng dịch vụ chưa từng dùng đến. Cách này cũng góp phần tăng hiệu năng cho máy tính hoạt động tốt hơn, trơn tru hơn. Đồng thời, giảm thiểu xảy ra các lỗ hổng dẫn dắt “sói vào nhà”.
Để thực hiện, bạn có thể sử dụng câu lệnh ‘netstat’ để xem tất cả các cổng đang mở và các chương trình có kết nối mạng. Sau đó, tiến hành rà soát, nếu có phát hiện phải nhanh chóng dùng lệnh ‘chkconfig’ để tắt các dịch vụ đó đi.
Không nên dùng nhiều dịch vụ khác nhau trên cùng một Server
Sử dụng nhiều dịch vụ mạng khác nhau trên cùng một máy chủ vật lý hoặc VPS sẽ khiến bạn đối mặt với nhiều nguy cơ bị xâm phạm thông tin bảo mật. Ví dụ cụ thể, bạn đang sử dụng các dịch vụ gồm: Web, Database, Email và File Sharing và chúng đều được chạy trên cùng một Server. Khi một trong các dịch vụ này có lỗ hổng bảo mật, kẻ tấn công sẽ dễ dàng khai thác và chiếm quyền sở hữu toàn bộ thông tin của các dịch vụ còn lại trên Server này.
Vì vậy, bạn nên cân nhắc việc dịch chuyển từ Server vật lý lên Cloud Server. Điều này làm tăng khả năng đảm bảo an toàn dữ liệu khi chạy các dịch vụ khác nhau trên mỗi Cloud Server riêng biệt.
Hạn chế các dịch vụ FTP, Telnet và Rlogin/ Rsh trên Linux
Chỉ với một gói Sniffer, bất cứ ai cũng có thể nhận được tên người dùng, mật khẩu, lệnh FTP, Telnet và Ssh và các tệp từ hệ thống của bạn truyền đến nếu sử dụng cùng một mạng. Do đó, cần có sự chuẩn bị, hạn chế tối thiểu việc dùng các dịch vụ này trên hệ điều hành Linux. Ngoài ra, bạn cũng nên vận dụng giải pháp sử dụng OpenSSH, SFTP hoặc FTPS (FTP qua SSL), bổ sung mã hóa SSL hoặc TLS vào FTP nữa.
Chỉ với mã lệnh sau, mọi người đều xóa được NIS, Rsh và các dịch vụ lỗi lạc hậu khác nhanh chóng:
- Đối với hệ điều hành thường: yum erase inetd xinetd ypserv tftp-server telnet-server rsh-serve
- Với hệ điều hành Debian/ Ubuntu Linux, hãy thử lệnh: $ sudo apt-get –purge remove xinetd nis yp-tools tftpd atftpd tftpd-hpa telnetd rsh-server rsh-redone-server để xóa các dịch vụ không an toàn trên.
Bảo mật nâng cao với SELinux
SELinux (Security-Enhanced Linux) là một mô đun bảo mật ở nhân của Linux. Nó cung cấp cơ chế hỗ trợ các chính sách bảo mật kiểm soát truy cập (access control), gồm các điều khiển truy nhập bắt buộc theo quy định Bộ Quốc phòng Hoa Kỳ (MAC).
Sử dụng thêm SELinux và các phần mở rộng bảo mật Linux khác để tạo thêm một lá chắn an toàn cho hệ thống Server Linux. Chúng sẽ tăng cường bảo mật cho hệ thống ở mức cao hơn với nhiều chính sách bảo đảm an ninh hữu hiệu.
Khóa tài khoản người dùng sau khi đăng nhập thất bại
Hiện nay, hệ điều hành Linux đã được nghiên cứu và phát triển lệnh Faillog. Lệnh này cho phép bạn truy xuất các tài khoản đã từng đăng nhập thất bại trước đó. IT hoàn toàn có thể sử dụng tính năng này để phát hiện và khóa ngay những tài khoản từng đăng nhập vào hệ thống máy chủ. Faillog sẽ hiển thị đầy đủ các bản ghi, thậm chí có chế độ giới hạn lỗi đăng nhập. Vì vậy, bạn hãy thường xuyên dùng đến cách này để nâng cao sự bảo mật cho hệ thống.
Lưu ý, sau khi đã kích hoạt chế độ khóa tài khoản này, nếu muốn mở lại, bạn dùng lệnh: faillog -r -u userName
Hoặc, tham khảo ngay những bộ lệnh password để khóa và mở sau:
- Khóa account Linux: passwd -l userName.
- Mở tài khoản Linux: passwd -u userName.
Tạm kết
Để tăng cường bảo mật cho Server Linux hiệu quả nhất, lời khuyên dành bạn là nên áp dụng ngay những phương pháp trên từ khi mới khởi tạo Server. Có như vậy, mới có thể kiểm soát, quản lý chặt chẽ nhất, đảm bảo một hệ thống an toàn tuyệt đối.
Nếu như không chuyên về kĩ thuật bạn có thể nhờ đến các nhà cung cấp dịch vụ Cloud Server uy tín. Khi đó bạn sẽ được nhà cung cấp quản trị kỹ thuật trọn gói và hỗ trợ. ODS là một trong các nhà cung cấp dịch vụ cho thuê Cloud Server chất lượng.
Chúc các bạn thành công trong việc bảo vệ dữ liệu của công ty với những cách vừa giới thiệu nhé!