tăng cường bảo mật server cơ bản

Bảo mật Server

Bảo mật server: Khi bạn triển khai hệ thống Server bạn sẽ quan tâm tới bảo mật cho hệ thống của bạn, dưới đây là bước đầy tiên để bảo mật sau khi bạn cài Server.

Update cho hệ thống của bạn thường xuyên.

Giữ server và các software của bạn luôn cập nhật mới nhất, là biện pháp  bảo mật lớn nhất bạn có thể làm cho bất cứ hệ điều hành nào.

Cập nhật phần mềm thường xuyên từ các bản vá lỗi để fix các bug nhỏ, trong hệ thống

Tự động cập nhật hệ thống

Đối với một quản trị hệ thống vấn đề tự động các thao tác sẽ giảm tải thời gian và công sức khá lớn cho người quản trị. bạn có thể xem hướng dẫn cập  nhật tại link sau:

Bảo mật Server bằng cách Thêm tài khoản người dùng giới hạn.

Để tăng cường bảo mật cho server Chúng tôi khuyên bạn nên tạo thêm các tài khoản người dùng giới hạn để sử dụng thông thường , khi cần sử dụng tới quyền root bạn có thể sử dụng theo sudo.

Để thêm user,  trước tiên bạn đăng nhập vào server thông qua ssh.

CentOS / Fedora

1: Tạo user mới bạn thực hiện theo lệnh sau ( thay new_user thành user và pass cho user mới)

useradd new_user && passwd new_user

2: Thêm user vào nhóm “wheel" để sử dụng được sudo

usermod -aG wheel new_user

Ubuntu

1: tạo user mới, trong quá trình tạo bạn sẽ được yêu cầu nhập pass cho user mới.

adduser new_user

2: Thêm user vào group sudo.

adduser example_user sudo

Debian

1: Mặc định Debian không hỗ trợ sudo, bạn có thể install nó thông qua apt-get.

apt-get install sudo

2: Tạo user mới.

adduser new_user

3: Thêm user mới tạo vào group sudo.

adduser example_user sudo

Sau Khi tạo xong bạn có thể thoát phiên làm việc hiện tại, và đăng nhập vào server với tài khoản mới tạo.

Tạo Key SSH

SSH key là gì? SSH key là một cách để xác thực với một máy chủ SSH mà không cần mật khẩu.

SH key bao gồm một cặp khóa công khai (public key) và khóa riêng tư (private key) và nó sử dụng giao thức xác thực challenge-response mà trong đó một bên trình bày một câu hỏi (“challenge”) và một bên khác phải cung cấp một câu trả lời hợp lệ (“response”) được chứng thực.

Ưu điểm của việc sử dụng SSH key là không cần phải nhập mật khẩu cho mỗi lần xác thực và bạn cũng không phải gửi mật khẩu qua mạng. Sử dụng SSH key là bảo mật hơn so với mật khẩu, vì nó khó khăn hơn để đoán hoặc đánh cắp.

Để tạo SSH Key bạn làm theo hướng dẫn tại link sau.

Tạo SSH key bằng PuTTYgen

SSH Daemon Options

  1. Disallow root logins over SSH.

Không cho phép đăng nhập bằng tài khoản root, để tăng cường bảo mật server bạn có thể đăng nhập bằng user giới hạn sau đó sử dụng sudo để truy cập quyền root. để thao tác bạn tìm file /etc/ssh/sshd_config sau đó tìm dòng PermitRootLogin và sửa như sau

PermitRootLogin no
  1. Disable SSH password authentication

Sau khi tạo key SSH theo hướng dẫn ở trên bạn có thể tắt đăng nhập sử dụng password, bắt buộc đăng nhập bằng key để tăng cường bảo mật, để làm điều này bạn tìm file sshd_config và sửa dòng PasswordAuthentication thành no hoặc add thêm dòng này vào, nội dung thêm như sau:

/etc/ssh/sshd_config

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Sau khi sửa file trên để các sửa đổi có tác dụng bạn cần restart dịch vụ ssh.
đối với CentOS 7, Debian 8, Fedora, Ubuntu 15.10+

sudo systemctl restart sshd

đối với CentOS 6, Debian 7, Ubuntu 14.04

sudo service ssh restart

Use Fail2Ban for SSH Login Protection

Fail2Ban là ứng dụng sẽ khóa các IP đăng nhập sai vào server

bạn có thể đọc hướng dẫn dẫn tại link sau để cài đặt và cấu hình Fail2ban Securing Your Server with Fail2ban.