Chào anh em, Việc nhận một con VPS mới tinh với quyền root thật sự rất “phê”. Nhưng cùng với quyền lực là trách nhiệm. Một VPS không được bảo mật ban đầu cũng giống như một ngôi nhà không khóa cửa, rất dễ bị kẻ xấu dòm ngó. Dưới đây là checklist những việc mình luôn làm ngay sau khi khởi tạo một VPS Linux mới (Ubuntu/Debian/CentOS) để tăng cường bảo mật. Mời anh em tham khảo và bổ sung. [ ] 1. Thay đổi mật khẩu root Việc đầu tiên và quan trọng nhất. Nhà cung cấp thường cấp một mật khẩu ngẫu nhiên, hãy đổi nó ngay lập tức. Lệnh: passwd [ ] 2. Tạo một người dùng mới với quyền sudo Sử dụng tài khoản root cho các công việc hàng ngày là cực kỳ nguy hiểm. Hãy tạo một tài khoản người dùng thường và cấp cho nó quyền sudo. Lệnh: adduser [ten_user] và usermod -aG sudo [ten_user] (trên Ubuntu/Debian) hoặc usermod -aG wheel [ten_user] (trên CentOS). [ ] 3. Vô hiệu hóa đăng nhập bằng root qua SSH Đây là bước cực kỳ quan trọng để chống lại các cuộc tấn công brute-force nhắm vào tài khoản root. Cách làm: Mở file /etc/ssh/sshd_config, tìm dòng PermitRootLogin và sửa thành PermitRootLogin no. Sau đó khởi động lại dịch vụ SSH. [ ] 4. Thay đổi cổng SSH mặc định (Port 22) Hầu hết các bot tấn công tự động đều quét cổng 22. Việc đổi sang một cổng khác (ví dụ: 2222) sẽ giúp bạn “né” được phần lớn các cuộc tấn công này. Cách làm: Trong file /etc/ssh/sshd_config, tìm dòng #Port 22 và sửa thành Port [so_cong_moi]. [ ] 5. Cấu hình tường lửa (Firewall) Một bức tường lửa sẽ chặn tất cả các kết nối không mong muốn. UFW (Uncomplicated Firewall) là một lựa chọn rất dễ sử dụng trên Ubuntu/Debian. Các lệnh cơ bản: ufw allow [so_cong_moi]/tcp (Mở cổng SSH mới) ufw allow http ufw allow https ufw enable (Kích hoạt tường lửa) [ ] 6. Cài đặt Fail2Ban Fail2Ban sẽ tự động theo dõi log file và chặn các địa chỉ IP có dấu hiệu tấn công brute-force (ví dụ: đăng nhập sai quá nhiều lần). Đây là một công cụ cực kỳ hữu ích. Trên đây là 6 bước cơ bản nhất. Anh em có kinh nghiệm hay tip nào khác để gia cố thêm cho VPS của mình không? Cùng chia sẻ nhé!

Checklist bảo mật cơ bản cho VPS Linux ngay sau khi cài đặt

nguyencongphuong

Chào anh em,

Việc nhận một con VPS mới tinh với quyền root thật sự rất “phê”. Nhưng cùng với quyền lực là trách nhiệm. Một VPS không được bảo mật ban đầu cũng giống như một ngôi nhà không khóa cửa, rất dễ bị kẻ xấu dòm ngó.

Dưới đây là checklist những việc mình luôn làm ngay sau khi khởi tạo một VPS Linux mới (Ubuntu/Debian/CentOS) để tăng cường bảo mật. Mời anh em tham khảo và bổ sung.

[ ] 1. Thay đổi mật khẩu root

Việc đầu tiên và quan trọng nhất. Nhà cung cấp thường cấp một mật khẩu ngẫu nhiên, hãy đổi nó ngay lập tức.
Lệnh: passwd

[ ] 2. Tạo một người dùng mới với quyền sudo

Sử dụng tài khoản root cho các công việc hàng ngày là cực kỳ nguy hiểm. Hãy tạo một tài khoản người dùng thường và cấp cho nó quyền sudo.
Lệnh: adduser [ten_user] và usermod -aG sudo [ten_user] (trên Ubuntu/Debian) hoặc usermod -aG wheel [ten_user] (trên CentOS).

[ ] 3. Vô hiệu hóa đăng nhập bằng root qua SSH

Đây là bước cực kỳ quan trọng để chống lại các cuộc tấn công brute-force nhắm vào tài khoản root.
Cách làm: Mở file /etc/ssh/sshd_config, tìm dòng PermitRootLogin và sửa thành PermitRootLogin no. Sau đó khởi động lại dịch vụ SSH.

[ ] 4. Thay đổi cổng SSH mặc định (Port 22)

Hầu hết các bot tấn công tự động đều quét cổng 22. Việc đổi sang một cổng khác (ví dụ: 2222) sẽ giúp bạn “né” được phần lớn các cuộc tấn công này.
Cách làm: Trong file /etc/ssh/sshd_config, tìm dòng #Port 22 và sửa thành Port [so_cong_moi].

[ ] 5. Cấu hình tường lửa (Firewall)

Một bức tường lửa sẽ chặn tất cả các kết nối không mong muốn. UFW (Uncomplicated Firewall) là một lựa chọn rất dễ sử dụng trên Ubuntu/Debian.
Các lệnh cơ bản:
ufw allow [so_cong_moi]/tcp (Mở cổng SSH mới)
ufw allow http
ufw allow https
ufw enable (Kích hoạt tường lửa)

[ ] 6. Cài đặt Fail2Ban

Fail2Ban sẽ tự động theo dõi log file và chặn các địa chỉ IP có dấu hiệu tấn công brute-force (ví dụ: đăng nhập sai quá nhiều lần). Đây là một công cụ cực kỳ hữu ích.

Trên đây là 6 bước cơ bản nhất. Anh em có kinh nghiệm hay tip nào khác để gia cố thêm cho VPS của mình không? Cùng chia sẻ nhé!