Thủ Thuật
Hướng dẫn bảo mật Server căn bản dành cho người quản lý Cloud Server
441 02/03/2023
Hướng dẫn bảo mật Server căn bản dành cho người quản lý Cloud Server là một tài liệu quan trọng giúp cho các quản lý hệ thống Cloud Server nắm được các kiến thức cơ bản về bảo mật để đảm bảo an toàn và bảo mật cho hệ thống. Điều này rất quan trọng trong bối cảnh hiện nay, khi các cuộc tấn công mạng đang diễn ra ngày càng phức tạp và tinh vi hơn.
Với hướng dẫn bảo mật Server căn bản, các quản lý hệ thống Cloud Server sẽ có được những kiến thức, kỹ năng và công cụ để bảo vệ hệ thống của mình khỏi các mối đe dọa bảo mật, đồng thời nâng cao khả năng phục hồi và khôi phục hệ thống nhanh chóng trong trường hợp xảy ra sự cố bảo mật.
Hãy cùng Máy Chủ Việt khám phá ngay các cách bảo mật Server căn bản dành cho người quản lý Cloud Server.
Dưới đây là cách hướng dẫn bảo mật Server căn bản dành cho người quản lý Cloud Server:
1. Sử dụng mật khẩu an toàn
Mật khẩu là điểm yếu thường gặp trong bảo mật server. Vì vậy, để bảo vệ server của bạn, hãy sử dụng mật khẩu an toàn. Điều này đòi hỏi mật khẩu của bạn phải có ít nhất 8 kí tự, bao gồm cả số và chữ cái. Tránh sử dụng các từ thông dụng hoặc ngày tháng phổ biến để làm mật khẩu.
Để kiểm tra tính an toàn của mật khẩu, bạn có thể sử dụng JTR cracker hoặc cài đặt các công cụ như pam_passwdqc để đo độ mạnh của mật khẩu. Bằng cách chỉnh sửa file /etc/login.defs, bạn có thể cấu hình các tuỳ chọn mật khẩu để tăng tính an toàn cho hệ thống của bạn. Với các biện pháp bảo mật mật khẩu đúng cách, bạn có thể yên tâm sử dụng server của mình một cách an toàn và bảo mật.
2. Bảo mật SSH
Để tăng độ bảo mật, bạn nên chuyển truy cập SSH sang một cổng khác nhằm ngăn chặn những người thiếu kiến thức về server có thể truy cập vào cổng SSH này của bạn. Để tuỳ chỉnh cổng mà SSH chạy, bạn cần chỉnh sửa file /etc/ssh/sshd_config.
Khi thực hiện, tốt nhất bạn nên sử dụng 1 cổng có số thứ tự nhỏ hơn 1024 và chưa được dùng cho dịch vụ nào khác. Lí do cho việc này là vì các cổng được sử dụng là cổng “đặc quyền”, chỉ có các root user mới có thể liên kết với chúng.
Cổng từ 1024 trở lên là cổng “không đặc quyền” và bất cứ ai cũng có thể dùng được. Chú ý là phải luôn sử dụng SSHv2, vì SSHv1 không an toàn. Thêm nữa, bạn cần chuyển dòng #Protocol 2,1 trong file /etc/ssh/sshd_config sang Protocol 2.
3. Bảo mật Apache
Con đường nhanh chóng và dễ dàng nhất để truy cập một web cloud server đó chính là thông qua các ứng dụng trên web server này. Do đó bạn cần bảo mật cài đặt Apache. Một trong những công cụ tốt nhất để giúp ngăn chặn việc sử dụng Apache vào các mục đích xấu đó chính là ModSecurity™. Trong cPanel & WHM phiên bản 11.46 trở lên, bạn có thể dùng các giao diện sau đây để quản lý ModSecurity:
- Giao diện WHM’s ModSecurity™ Configuration (Home >> Security Center >> ModSecurity™ Configuration)
- Giao diện WHM’s ModSecurity™ Tools (Home >> Security Center >> ModSecurity™ Tools)
Khi biên soạn Apache, bạn nên kèm theo suEXEC để đảm bảo tất cả ứng dụng CGI và script chạy đúng dưới quyền của người dùng đã đăng kí. Phương pháp này còn cho phép truy cập tới vị trí của những script có mục đích xấu và kẻ “chủ mưu” ra chúng. Đồng thời, nó cũng giúp đảm bảo quyền hạn và các thiết lập điều khiển trong môi trường server của bạn.
Một lời khuyên dành cho bạn là nên biên soạn Apache và PHP với suPHP. suPHP sẽ bắt tất cả các PHP script chạy đúng dưới quyền của người sở hữu script đó. Điều này giúp bạn biết được chủ sở hữu của tất cả các PHP script đang chạy trên server của mình và truy cập được đến vị trí của các script có mục đích xấu. Để biên soạn Apache và PHP với suPHP, bạn cần tích vào tuỳ chọn suPHP option trong giao diện WHM’s EasyApache (Home >> Software >> EasyApache (Apache Update)) hoặc chạy script /scripts/easyapache từ bảng điều khiển (command line).
4. Gia cố hệ thống (phân vùng /tmp)
Bạn nên gắn một phân vùng /tmp riêng rẽ với tuỳ chọn nosuid. Tùy chọn này sẽ ép một tiến trình chạy với các đặc quyền của người thi hành nó. Bạn cũng cần phải gắn thư mục /tmp với noexec sau khi cài cPanel và WHM. Chạy script /scripts/securetmp để gắn phân vùng /tmp sang một file tạm thời nhằm mục đích dự phòng.
Nếu bạn không muốn chạy script /scripts/securetmp trên server của mình, hãy tạo file /var/cpanel/version/securetmp_disabled. Để thực hiện điều này, hãy chạy dòng lệnh sau: touch /var/cpanel/version/securetmp_disabled. File này sẽ giúp đảm bảo rằng script không thể chạy trên cloud server của bạn. Tuy nhiên bạn không nên vô hiệu hoá script /scripts/securetmp.
5. Hạn chế các trình biên soạn hệ thống
Trình biên soạn C và C++ sẽ không cần thiết với hầu hết người dùng. Vì vậy, bạn nên tắt các trình biên soạn với người dùng không nằm trong nhóm biên soạn thông qua file /etc/group. Để có thể thực hiện điều này thông qua WHM, bạn cần sử dụng giao diện WHM’s Compiler Access (Home>>Security Center>>Compiler Access). Nếu muốn tắt bằng command line thì hãy chạy lệnh sau với quyền root: /scripts/compilers off.
6. Bật tường lửa
Bên cạnh việc sử dụng mật khẩu an toàn, cài đặt tường lửa và tháo gỡ phần mềm không cần thiết cũng là những biện pháp quan trọng trong việc bảo mật server. Tường lửa là một phần mềm giúp giới hạn các truy cập đến server của bạn, đảm bảo rằng chỉ những người được phép mới có thể truy cập vào hệ thống. Ngoài ra, bạn cũng có thể tháo gỡ các phần mềm không dùng đến trên hệ thống, giảm thiểu các lỗ hổng bảo mật có thể được khai thác.
Trước khi thực hiện tháo gỡ các service hay daemon không cần thiết, bạn nên bật tường lửa để đảm bảo rằng không có các truy cập không mong muốn đến server của bạn. Bên cạnh đó, cũng cần lưu ý rằng việc tháo gỡ một số phần mềm có thể ảnh hưởng đến hoạt động của hệ thống, vì vậy cần thực hiện cẩn thận và xác định các phần mềm không cần thiết trước khi tiến hành tháo gỡ.
8. Cập nhật thường xuyên
Một điều quan trọng để tăng tính bảo mật cho server đó là bạn cần sử dụng các phần mềm với phiên bản mới nhất và ổn định nhất trên hệ thống của mình để có thể đảm bảo các lỗ hổng bảo mật trong những phiên bản cũ trước đó đã được vá lại. Các thành phần sau đây sẽ luôn cần cập nhật:
- Kernel
- Các phần mềm hệ thống
- Ứng dụng người dùng (bulletin boards, CMS, blog engines,…) (có thể cập nhật toàn bộ cài đặt cPAddon trong giao diện WHM’s Manage cPAddons Site Software (Home >> cPanel >> Manage cPAddons Site Software)
- cPanel & WHM (có thể đặt cập nhật tự động trong giao diện WHM’s Update Preferences (Home >> Server Configuration >> Update Preferences))
9. Giám sát hệ thống
Những điều mà bạn luôn cần phải biết đó là lúc nào có người dùng mới tạo tài khoản, các phần mềm đang chạy trên cloud server của mình là gì và tất cả mọi thứ liên quan đến nó. Bạn cần chạy các lệnh sau thường xuyên để đảm bảo hệ thống đang hoạt động đúng theo những gì bạn muốn:
- netstat –anp: Kiểm tra các cổng, chương trình mà bạn không cài đặt hoặc cho phép hoạt động.
- find / \( -type f -o -type d \) -perm /o+w 2>/dev/null | egrep -v ‘/(proc|sys)’ > world_writable.txt: Kiểm tra file world_writable.txt để tìm những nơi mà hacker có thể giấu file trên hệ thống của bạn.
- ls /var/log/: Nhiều log khác nhau trên hệ thống của bạn có thể là tài nguyên giá trị. Kiểm tra các log hệ thống, log Apache, log mail và các log khác thường xuyên để đảm bảo hệ thống hoạt động như mong muốn.
- find / -nouser -o -nogroup >> no_owner.txt: Kiểm tra file no_owner để xem tất cả các file không có người dùng hay nhóm nào liên kết với.
Kết luận
Trên đây là 9 cách bảo mật server căn bản dành cho người quản lý cloud server. Hy vọng bài viết sẽ đem đến những kiến thức có ích cho bạn.
>> > Một số thủ thuật khác dành cho máy chủ server: