Trang chủ » Quản trị mạng » 10 cách tăng bảo mật cho vps linux

10 cách tăng bảo mật cho vps linux

1794 Lượt xem

I. Giới thiệu

Bạn đang sử dụng VPS linux và bạn thường xuyên bị tấn công như ddos, dò password root, password admin, bị tấn công thông qua các port thông dụng, cũng như bị hack toàn bộ VPS thông từ các lổ hổng của hệ điều hành và nhiều cách tấn công khác mà chúng ta chưa biết đến.

Hôm nay mình xin hướng dẫn một số cách nhằm tăng cường bảo mật cho VPS linux nhằm hạn chế một phần những hacker không chuyên, và hạn chế mức thấp nhất VPS của bạn bị tấn công. Nhưng các bạn cũng biết trên môi trường internet thì không có gì là an toàn tuyệt đối, cả hệ thống của CIA của mỹ cũng bị tấn công huống chi là một VPS nhỏ bé của chúng ta.

Bài viết của mình chỉ nhằm mục đích hạn chế chứ không nói là an toàn tuyệt đối, và mình chỉ hướng dẫn một cách cơ bản cho tất cả các bạn, nếu các bạn nào có những cách nào tốt và hay thì command phía dưới để mình có thể học hỏi và update cho bài viết của mình.

II. Hướng dẫn

Vấn đề 1: Password

Đây là vấn đề ngàn năm mà gần như ai một lần trong đời cũng bị dính chưởng. Có nhiều bạn nghĩ việc sử dụng VPS hay Server như một máy tính local bình thường và sẽ không ai rãnh mà hack VPS của bạn. Đó là một quan niệm sai làm chết người. Gần như goi là hại mình hai luôn hàng xóm, đôi lúc hại luôn cả đồng bào. Với password trên máy local thì bạn có thể đặt gì tuỳ thích (Nhưng mình cũng khuyến cáo bạn đặt password mạnh cỡ nào thì hacker ngồi vào máy bạn thì coi như xong phim) . Còn trên Internet thì Hacker không ngồi trực tiếp vào máy bạn thì nó sẽ tìm cách gián tiếp để tiếp cận máy bạn. Và cách đầu tiên mà các hacker thường làm là do password. Những con cừu non sẽ dính chưởng với cách đặt password đơn giản : 123456, 123456789, ngày tháng năm sinh, các ký tự đơn giản mà có thể nhanh chóng dò ra một cách dễ dàng. Nếu bạn có VPS thì bạn có thể thử đặt password “123456” mình đảm bảo trong vòng 5 đến 30 phút là bạn không vào được VPS của bạn nữa. (Không tin bạn có thể thử)

Giải quyết vấn đề :

0. Đặt password phức tạp

1. Độ dài password trên 8 ký tự

2. Có ký tự Hoa, ký tự số, ký tự đặt biệt, và cách đặt password càng random càng tốt.

Ví dụ : R2eF@H&J<P+?X`y4 -> với password này bạn chấp cả hệ thống lớn nhất thế giới cũng dò không nổi

Bạn có thể vào đây để tạo password mà ngay cả bạn cũng nhớ không nổi: http://passwordsgenerator.net/

 

Vấn đề 2: Các User mặc định

Với các user mặt định sau : root, admin, nobody, administrator, operator, webmaster, support, info, postmaster, manager, test, user, oracle, … thì khả năng dò password sẽ đi được nữa chặn đường trong việc dò password ở vấn đề 1.

Bạn có thể thấy được qua các hình ảnh cụ thể sau mà các hệ thống dò pass của hacker thường sử dụng:

11-23-2015 9-15-18 AM

11-23-2015 9-15-38 AM

11-23-2015 9-15-55 AM

Giải quyết vấn đề :

Đổi các user mặc định trên thành các user khác có độ khó hơn, tên bạn gái bạn, tên người xa lạ với bạn, thần tượng của bạn … -> Cách bạn thay đổi thì tuỳ vào từng dịch vụ của bạn, nếu bạn muốn thay user root thì bạn có thể tham khảo trên các trang web khác hoặc mình sẽ update một bài viết liên quan đến việc thay đổi user root. “Xem bài hướng dẫn thay đổi user root” [Đang update]

 

Vấn đề 3: Port

Đối với các bạn quản trị mạng thì port là là một từ khoá gần như ai cũng hiểu. Nên mình không nhắc lại vấn đề này. Đối với các port thông dụng như là 80 http, 8080 https, 21 ftp, 22 ssh, 53 dns ,3306 myssqld … thì gần như ai cũng biết và các port này thường được mở, tuy nhiên với những port không cần mở mà lại mở thì đó là vấn đề. Thường thì Firewall sẽ đảm nhận vấn đề này, nhưng vì trong phần này mình không nói về firewall nên mình không đi sâu hơn. Để kiểm tra VPS hay server của bạn đang có những port nào đang mở thì bạn có các cách kiểm tra sau:

Kiểm tra thông qua internet: http://mxtoolbox.com/PortScan.aspx

11-26-2015 3-40-07 PM

Kiểm tra trên chính server:

với câu lệnh netstart -anlt

Ngoài ra để hiểu rõ thêm về lệnh netstart bạn có thể tham khảo link sau :http://giaotrinhhay.com/huong-dan-doc-hieu-lenh-netstat-tren-linux/

11-26-2015 3-42-21 PM

 

Giải quyết vấn đề :

Bạn kiểm tra tuần tự các dịch vụ mà server của bạn đang hoạt động, để biết dịch vụ nào sử dụng port nào, và các port nào đang sử dụng mà được mở. Nếu bạn đã sử dụng firewall thì bạn kiểm tra lại việc cấu hình cho đúng là được, port nào đang mở thì chặn port đó, port nào cần mở thì mở port đó. Thông qua firewall. Thường thì trên linux có Iptable, là một services khá tốt. Nếu không bạn có thể sử dụng các firewall khác như là : CSF -> bạn có thể tham khảo link sau : http://giaotrinhhay.com/huong-dan-cai-dat-csf-configserver-security-firewall-tren-centos-6/ hoặc PfSense hoặc IPcop … [Đang update]

 

Vấn đề 4: Services

Dịch vụ chạy trên linux cũng rất nhiều, nếu ta vô tài cài đặt một trong các dịch vụ mà có lỗi bảo mật hoặc bảo mật không tốt thì hacker sẽ dùng những lỗi trên thông qua dịch vụ để hack vps của chúng ta, ví dụ như lỗi Openssl  hoặc Heartbleed. Nên việc lựa chọn dịch vụ nào hoạt động trên VPS hoặc server là điều cần được quan tâm. Để check trên server của bạn đang có dịch vụ nào hoạt động ta kiểm tra như sau:

Công cụ internet: [Đang cập nhật]

Kiểm tra trực tiếp trên Server/vps :

 service –status-all | grep ‘running’

11-26-2015 4-02-55 PM

 

Giải quyết vấn đề :

Sau khi đã kiểm tra các dịch vụ và bạn cần biết các dịch vụ nào cần thiết và không cần thiết. Nếu dịch vụ đó không hoạt động bạn có thể stop dịch vụ đó đi hoặc gở bỏ dịch vụ đó luôn. Lưu ý : việc gỡ bỏ dịch vụ có thể ảnh hưởng đến hoạt động của hệ thống, nên việc đầu tiên bạn cần backup lại những dữ liệu quan trọng, tốt hơn nữa thì backup cả VPS hoặc server sau đó stop dịch vụ và kiểm tra một thời gian và cuối cùng là xoá luôn.

Vấn đề 5: SSH, telnet

Sự khác biệt giữa SSH và telnet là một cái bảo mật kém một cái bảo mật tốt hơn. Hiện tại thì gần như ai cũng quản trị VPS linux hoặc server linux của mình thông qua SSH. Nhưng thường thì bạn sẽ sử dụng user được cấp từ nhà cung cấp hoặc bạn tự xây dựng trên server. Và thường cũng sẽ có những trường hợp bạn bị hack trên máy tính local dẫn đến VPS và server của bạn bị hack. Nên để đảm bảo về vấn đề kết nối và tránh các trường hợp như trên thì thường ta sẽ sử dụng SSH key để kết nối. Vừa an toàn vừa đảm bảo bạn sẽ không bị lộ password vì không có password để lộ.

Giải quyết vấn đề :

Có 2 cách cho vấn đề kết nối từ máy tính của bạn đến VPS hoặc server :

Cách 1 : Đổi port dịch vụ ssh từ 22 sang một port nào khác, tăng khả năng password cao, cài đặt các phần mềm hạn chế virus trên máy tính local để tránh tình trạng bị hackpass.

Cách 2 : Sử dụng KEY SSH và lưu trữ file key ở một nơi an toàn nào đó. [ bài viết sẽ được update ]

 

Các bạn đón xem phần 2 nhé !

Vấn đề 6: Lổ hổng bảo mật

Vấn đề 7: Phân quyền

Vấn đề 8: Mã hoá và không mã hoá

Vấn đề 9: Chính sách

Vấn đề 10: Bảo mật nhiều lớp