NỘI DUNG

Hosting tốc độ cao Vietnix - tốc độ tải trang trung bình dưới 1 giây
VPS siêu tốc Vietnix - trải nghiệm mượt mà, ổn định
01/05/2021
Lượt xem

Tổng hợp kiến thức về bảo mật Linux

01/05/2021
24 phút đọc
Lượt xem

Đánh giá

5/5 - (58 bình chọn)

Mặc dù Linux là một nền tảng có độ an toàn cao, nhưng không có nghĩa nó hoàn toàn miễn nhiễm với các rủi ro bảo mật. Do đó, bài viết sau đây sẽ hướng dẫn chi tiết các cách hiệu quả nhất để bảo mật Linux.

Việc nắm được quyền kiểm soát của server Linux sẽ giúp ta dễ dàng thử nghiệm, tận dụng sức mạnh và tính linh hoạt của nền tảng này. Tuy nhiên, quyền kiểm soát lớn đồng nghĩa với trách nhiệm lớn. Admin của server Linux phải theo dõi và đảm bảo hoạt động của các máy được kết nối qua mạng. Từ đó giữ hệ thống luôn được bảo mật và an toàn.

Do đó, bài viết sau đây sẽ định hướng một số giải pháp bảo mật Linux phổ biến nhất. Hãy bắt đầu ngay thôi!

Bảo mật Linux như thế nào cho hiệu quả?
Bảo mật Linux như thế nào cho hiệu quả?

Những cách sau đây sẽ giúp bạn bảo Linux tốt hơn:

  • Chặn truy cập bằng firewall
  • Đăng nhập từ xa an toàn tuyệt đối với SSH
  • Sử dụng Intrusion Detection System để phát hiện entry trái phép
  • Chú ý cập nhật thường xuyên
  • Cẩn thận khi tải các phần mềm bên ngoài
  • Giới hạn các dịch vụ
  • Hãy sử dụng SFTP thay cho FTP
  • Triển khai các Chính sách Bảo mật Người dùng hợp lý
  • Chú ý đến các thiết lập quyền truy cập
  • Kiểm tra malware trên server thường xuyên

Chặn truy cập bằng firewall

Một trong những cách bảo mật Linux đơn giản nhất chính là kích hoạt và cấu hình firewall. Firewall hoạt động như một hàng rào giữa lưu lượng truy cập chung của internet và máy tính của mình. Cụ thể, các firewall này sẽ xem xét cẩn thận các lưu lượng vào và ra. Từ đó quyết định có nên cho phép gửi thông tin hay không.

Kích hoạt firewall để bảo mật Linux
Kích hoạt firewall để bảo mật Linux

Firewall sẽ kiểm tra các lưu lượng dựa trên một bộ quy tắc (rule) được cấu hình sẵn bởi người dùng. Thông thường, một server sẽ chỉ sử dụng một vài port mạng cho các dịch vụ hợp pháp. Các cổng còn lại không được sử dụng, và sẽ được bảo vệ an toàn ở sau firewall. Và firewall sẽ chặn mọi lưu lượng đi đến các cổng này.

Do đó, ta có thể dễ dàng loại bỏ dữ liệu không mong muốn. Thậm chí là cấu hình các điều kiện cho việc sử dụng các dịch vụ.

Hiện nay có khá nhiều giải pháp firewall có sẵn để bảo mật Linux. Cụ thể có thể xem ở dưới đây:

UFW

UFW là viết tắt của Uncomplicated Firewall, được thiết kế để cung cấp khả năng bảo vệ tốt mà không cần các cú pháp phức tạp.

Giống với hầu hết các loại firewall Linux, UFW có bản chất là một front-end. Các UFW có nhiệm vụ kiểm soát Netfilter Firewall có trong Linux kernel. Đây thường là một firewall đơn giản, chủ yếu dành cho những người dùng chưa quen với các giải pháp firewall Linux.

IPTables

Đây chính là giải pháp firewall Linux phổ biến nhất hiện nay. IPTables là một thành phần khác để quản lý Netfilter Firewall có trong Linux kernel. IPTables đã xuất hiện từ hơn 20 năm trước, đồng thời đã trải qua rất nhiều lần kiểm tra bảo mật để được đảm bảo an toàn. Ngoài ra, còn có một phiên bản khác có tên IP6Tables, chuyên dùng để hạn chế IPv6.

IPtable là giải pháp firewall Linux
IPtable là giải pháp firewall Linux

Các cấu hình IPTables cũng rất phổ biến trong việc quản lý các máy và bảo mật Linux. Cú pháp của IPTables tương đối phức tạp, tuy nhiên đây là một công cụ vô cùng mạnh mẽ, sở hữu rất nhiều rule linh hoạt.

IP6Tables

Như đã đề cập ở trên, bên cạnh IPTables thì còn có IP6Tables, dùng để hạn chế các địa chỉ IPv6.

Firewall netfilter ở trong Linux kernel lưu giữ IPv4 và IPv6 ở các table khác nhau. Do đó, chúng được tách biệt hoàn toàn với nhau. Các rule quyết định bước cuối cùng của packet được xác định bởi phiên bản giao thức đang được sử dụng.

Vì vậy, sẽ cần có một bộ rule riêng biệt khi IPv6 được enable. Lệnh IP6Tables có cú pháp tương tự như lệnh IPTables. Vì vậy việc hạn chế các địa chỉ với IP6Tables cũng tương đối đơn giản.

NFTables

Gần đây, có một firewall mới đã được thêm vào Linux kernel, được gọi là NFTables Firewall. Phiên bản này cũng được phát triển bởi chính nhóm tạo ra IPTables. Ngoài ra, nó cũng được kỳ vọng là sẽ thay thế firewall IPTables cũ.

Firewall NFTables triển khai các cú pháp dễ đọc hơn, đồng thời kết hợp khả năng hỗ trợ IPv6 lẫn IPv4 chỉ trong một công cụ duy nhất. Mặc dù kernel của hầu hết các phiên bản Linux đều không đủ mới để có thể triển khai NFTables, nhưng nó sẽ sớm trở nên phổ biến để có thể thay thế người đàn anh của mình.

Đăng nhập từ xa an toàn tuyệt đối với SSH

Một cách khác để bảo mật Linux chính là sử dụng SSH (Secure Shell) khi không có quyền truy cập vào một server cục bộ.

Cụ thể, SSH cung cấp khả năng mã hóa end-to-end, cùng với đó là tunnel các lưu lượng không an toàn qua một kết nối bảo mật, X-fowarding (GUI qua một kết nối mạng), và còn rất cnhiều tiện ích khác. Về cơ bản, khi ta không có quyền truy cập vào kết nối cục bộ hay quản lý out-of-band, thì SSH chính là cách tốt nhất để có thể tương tác với máy.

đăng nhập SSH để bảo vệ Linux
Cách khác có thể sử dụng đăng nhập vào SSH để bảo vệ Linux

Mặc dù bản thân giao thức này đã rất bảo mật, và cũng trải qua nhiều quá trình nghiên cứu, code review khác nhau,… Nhưng các lựa chọn cấu hình có thể tác động tích cực hoặc tiêu cực đến tính bảo mật của dịch vụ. Do đó, ta cần tìm hiểu rõ về cách cấu hình của SSH để bảo mật Linux. Cụ thể như ở dưới đây:

Password và SSH-Key Login

SSH có một mô hình xác thực linh hoạt, cho phép đăng nhập bằng nhiều phương pháp khác nhau. Trong đó, hai phương pháp phổ biến nhất là xác thực bằng password và SSH-key.

Xác thực bằng password chắc hẳn là mô hình “tự nhiên” nhất cho phần lớn người dùng. Nhưng thật ra nó lại không bảo mật bằng SSH-Key. Sở dĩ vì đăng nhập bằng password cho phép kẻ xâm nhập liên tục đoán mật khẩu, cho đến khi tìm ra được tổ hợp chính xác. Đây còn được gọi là brute-forcing. Và nó có thể dễ dàng được tự động hóa bằng các công cụ hiện đại ngày nay.

Bảo mật bằng SSH-Key
Bảo mật bằng SSH-Key

Mặt khác, SSH-key lại hoạt động bằng cách khởi tạo các key pair có tính bảo mật Linux rất cao. Các key pair này được tạo ra dưới dạng một test để xác định danh tính của người dùng. Nó cũng có thể được chia sẻ công khai dễ dàng. Và mục đích sử dụng của nó chỉ là xác thực người dùng và cho phép người dùng truy cập với private key phù hợp. Private key nên được giữ bí mật và chỉ được dùng để thực hiện các test của public key liên quan.

Về cơ bản, ta có thể thêm SSH public key trên server, và nó sẽ cho phép ta đăng nhập với một private key hợp lệ. Các key này cực kỳ phức tạp, nên brute-forcing sẽ không thể làm được gì cả. Hơn nữa, ta có thể thêm các passphrase vào trong key để tăng tính bảo mật.

Sử dụng fail2ban để ban các địa chỉ IP độc hại

Có thêm một cách để tăng tính bảo mật của cấu hình SSH là sử dụng các giải pháp như fail2ban. Cụ thể, fail2ban là một dịch vụ giám sát các log file để xem xét các hệ thống ở xa. Nếu các hệ thống này là người dùng không hợp pháp, fail2ban sẽ tạm thời chặn các lưu lượng truy cập trong tương lai từ các địa chỉ IP được liên kết.

Sử dụng Intrusion Detection System để phát hiện entry trái phép

Một cách quan trọng nữa để bảo mật Linux là triển khai các chiến lược phát hiện những usage trái phép.

Hệ thống IDS (Intrusion Detection System) sẽ lập danh mục các cấu hình và chi tiết của file khi nó đang ở trạng thái bình thường. Sau đó, IDS sẽ so sánh với các trạng thái khác. Từ đó kiểm tra xem file đã bị chỉnh sửa hay cài đặt có bị thay đổi không.

Sau đây là một số hệ thống IDS phổ biến nhất:

Tripwire

Một trong những giải pháp IDS phổ biến nhất chính là Tripwire. Nó có nhiệm vụ biên dịch một cơ sở dữ liệu (CSDL) gồm các file hệ thống. Đồng thời bảo vệ các config file và binary bằng một bộ key. Sau khi cấu hình chi tiết được xác định, các lần chạy tiếp theo sẽ thông báo về bất kỳ thay đổi nào đối với các file được Tripwire giám sát.

Mô hình của chính sách có tính linh hoạt rất cao. Nó cho phép định hình các thuộc tính đặc trưng để có thể phù hợp với môi trường của mình. Sau đó, ta có thể cấu hình Tripwire chạy thông qua một cron job. Hoặc thậm chí nó có thể thông báo qua email về các hoạt động bất thường.

Aide

Có một tùy chọn khác để bảo mật Linux là Aide. Nó cũng tương tự như Tripwire – hoạt động bằng cách xây dựng một CSDL. Sau đó so sánh các trạng thái với nhau và thông báo cho admin khi có lỗi phát sinh.

Để chọn ra giải pháp phù hợp với nhu cầu cá nhân, hãy tìm đọc các tài liệu liên quan đến Tripwire và Aide ở trên Google hoặc trang web chính thức để có được các bản so sánh cụ thể nhất.

Psad

Đối với công cụ Psad, thay vì giám sát các file hệ thống thì nó sẽ theo dõi các file log của firewall. Từ đó nhanh chóng tìm ra các hoạt động độc hại.

Lấy ví dụ, nếu một người dùng cố gắng thăm dò các lỗ hổng tấn công bằng port scan, Psad có thể phát hiện ra hoạt động này. Sau đó tự động thay đổi các rule của firewall để chặn người dùng đó. Ngoài ra, công cụ này cũng cho phép thiết lập nhiều mức độ nguy hiểm khác nhau để giải quyết vấn đề. Psad cũng hỗ trợ chức năng gửi thông báo qua email.

Bro

Bro thật ra là một framework giám sát mạng, có thể được dùng như một IDS. Ngoài ra, Bro còn có thể thu thập số liệu thống kê, kiểm tra sự cố, phát hiện các mẫu,…

Hệ thống của Bro bao gồm hai lớp. Lớp đầu tiên giám sát hoạt động và tạo ra các event. Lớp thứ hai sẽ chạy các event này, được tạo thông qua một framework policy. Framework này sẽ quyết định cách xử lý các traffic. Sau đó, nó có thể tạo ra các cảnh báo, thực hiện các lệnh hệ thống, hoặc chỉ ghi lại các hoạt động,…

RKHunter

Mặc dù về mặt kỹ thuật, RKHunter không phải là một hệ thống IDS. Nhưng nó lại hoạt động trên các rule tương tự như những hệ thống IDS thực thụ. Từ đó cũng có thể phát hiện các rootkit hay malware nhanh chóng.

RKHunter 1
Sử dụng RKHunter để kiểm tra hệ thống trên CSDL

Mặc dù Linux có rất ít virus, nhưng malware và rootkit lại tương đối phổ biến. Chúng có thể xâm nhập vào các box hoặc cho phép truy cập để khai thác dữ liệu. RKHunter sẽ tải xuống danh sách các khai thác đã biết, sau đó kiểm tra hệ thống dựa trên CSDL. Ngoài ra, RKHunter cũng có thể cảnh báo cho admin nếu phát hiện các cài đặt không an toàn trong ứng dụng.

Chú ý cập nhật thường xuyên

Các nhà bảo trì phân phối luôn cố gắng cập nhật các bản vá mới nhất để khắc phục sớm mọi lỗ hổng phần mềm trên hệ thống. Do đó, hãy luôn chú ý đến các bản cập nhật và thường xuyên cài đặt chúng để bảo vệ hệ thống Linux của mình.

Cẩn thận khi tải các phần mềm bên ngoài

Người dùng thường lựa chọn sử dụng các phần mềm từ những repository chính thức và có uy tín. Tuy nhiên, các phần mềm từ những repository ngẫu nhiên và PPA lại thường được duy trì bởi những người hay tổ chức lạ. Do đó sẽ có rủi ro bảo mật rất cao.

Những phần mềm này thường không có rule được thiết lập, chủ yếu là không từ những nguồn không chính thức. Do đó, hãy luôn cân nhắc cẩn thận khi sử dụng các phần mềm bên ngoài.

Giới hạn các dịch vụ

Mục đích chính của server là cung cấp các dịch vụ để mọi người có thể truy cập. Tuy nhiên, ta nên giới hạn các dịch vụ mà ta đang cần và sử dụng trên máy riêng của mình. Bởi vì mỗi dịch vụ được enable chính là một vector rủi ro cho mình. Vì vậy hãy loại bỏ nhiều vector như vậy nhất có thể. Tất nhiên là việc này không được ảnh hưởng đến chức năng cốt lõi.

Nếu đang sử dụng một server headless (không kết nối với monitor) hay không chạy bất kỳ chương trình đồ họa (non-web) nào, hãy disable chúng. Thậm chí, hãy uninstall cả server X-display của mình. Giải pháp này cũng có thể được áp dụng trong nhiều trường hợp khác. Không có máy in? Hãy disable dịch vụ “Ip”. Không chia sẻ mạng Windows? Vậy thì hãy disable dịch vụ “samba”! Khi đó ta có thể loại trừ được phần lớn rủi ro về bảo mật Linux.

Hãy sử dụng SFTP thay cho FTP

Chúng tôi hiểu việc này không hề dễ dàng cho nhiều người. Nhưng ta cần phải biết, FTP vốn dĩ là một giao thức không an toàn. Tất cả xác thực đều được gửi dưới dạng text thuần túy. Do đó, bất kỳ ai theo dõi kết nối giữa server và máy cục bộ để có được thông tin đăng nhập của ta.

Thực tế, có rất ít trường hợp mà ta cần triển khai FTP. Cụ thể, giả sử ta chỉ sử dụng một mirror ẩn danh, public, read-only download. Thì chỉ cần sử dụng FTP là đủ. Ngoài ra, FTP cũng có thể được dùng khi cần chuyển các file giữa hai máy tính. Và hai máy này được đặt sau một firewall có NAT. Lúc đó kết nối hoàn toàn được bảo mật.

Thay thế SFTP cho FTP để an toàn hơn
Thay thế SFTP cho FTP để an toàn hơn

Còn lại, chúng ta nên sử dụng một giải pháp thay thế an toàn hơn như vậy để bảo mật Linux. Bộ SSH có một giao thức thay thế gọi là SFTP, hoạt động tương tự như FTP. Nhưng nó lại có được tính bảo mật tuyệt vời của giao thức SSH.

Khi đó, ta có thể an tâm chuyển các thông tin đến và đi từ server của mình. Bên cạnh đó, hầu hết các FTP client cũng có thể giao tiếp với server SFTP.

Triển khai các Chính sách Bảo mật Người dùng hợp lý

Sau đây là một số giải pháp bảo mật Linux giúp ta quản lý người dùng tốt hơn:

Disable root login

Các root user có thể xuất hiện ở bất cứ đâu trên các hệ thống tương tự như POSIX. Ngoài ra, nó cũng là một tài khoản toàn năng đúng nghĩa. Vì vậy đây cũng là một mục tiêu lý tưởng cho các cuộc tấn công. Do đó, ta nên disable root login nếu đã cấu hình quyền truy cập sudo, hoặc nếu thích sử dụng su command hơn.

Ta có thể disable root login ở xa trong SSH daemon, hoặc disable các login cục bộ. Cụ thể, chỉ cần tạo các hạn chế ở trong file /etc/securety.

Tạo các tài khoản đặc thù

Một cách khác để bảo mật Linux chính là tạo các tài khoản đặc thù cho từng người dùng và dịch vụ. Đồng thời chỉ cấp cho các tài khoản này những quyền tối thiểu để thực hiện các tác vụ. Hãy khóa mọi thứ mà các tài khoản này không cần truy cập.

Đây là một chính sách bảo mật rất quan trọng. Nếu được thiết lập hợp lý, thì khi người dùng hay dịch vụ bị xâm phạm, nó sẽ không dẫn đến hiệu ứng domino cho phép các kẻ tấn công có quyền truy cập vào lượng lớn các hệ thống. Do đó, nó sẽ cách ly được các vấn đề, hạn chế tối đa rủi ro bảo mật.

Bên cạnh đó, ta cũng nên chú ý disable các tài khoản không cần thiết sau khi gỡ các phần mềm, hoặc các user không còn quyền truy cập vào hệ thống nữa.

Chú ý đến các thiết lập quyền truy cập

Việc cân bằng đến các thiết lập truy cập sao cho không ảnh hưởng đến tiến độ công việc, mà cũng không gây rủi ro bảo mật không phải là một việc dễ dàng. Do đó, ta cần phải cẩn thận xem xét trong nhiều tình huống khác nhau.

Vì vậy, luôn suy nghĩ kỹ trước khi đặt quyền truy cập cho bất kỳ thứ gì, đặc biệt là trên internet. Ngoài ra, cần tránh đặt bit SGID hay SUID trong quyền truy cập, trừ khi biết rõ mình đang làm gì.

Cài đặt quyền truy cập với các file sẽ phụ thuộc rất nhiều vào mục đích sử dụng cụ thể. Tuy nhiên, hãy cố gắng thiết lập quyền truy cập càng ít càng tốt. Đây cũng chính là một trong những lĩnh vực khó nhất và dễ hiểu sai nhất.

Kiểm tra malware trên server thường xuyên

Đúng là Linux thường ít bị tấn công bởi malware hơn Windows. Nhưng điều này không có nghĩa là nó hoàn toàn miễn nhiễm với các phần mềm độc hại. Bên cạnh việc triển khai IDS để bảo mật Linux, thì việc scan malware cũng giúp xác định các hoạt động xấu trên máy.

Nâng cao bảo mật Linux với cPanel và WHM

Cách thay đổi SSH Port trong cPanel

SSH (Secure Shell) là một giao thức mạng được mã hóa giúp giữ an toàn cho thông tin xác thực và dữ liệu khi bạn kết nối với shell của server. Server chạy một dịch vụ SSH và client trên thiết bị cục bộ của bạn kết nối với nó. Giao tiếp giữa chúng được mã hóa để những kẻ nghe trộm không thể nhìn thấy dữ liệu nhạy cảm.

Dịch vụ SSH theo truyền thống sẽ lắng nghe các kết nối trên port 22. Ví vậy, các bot nhắm mục tiêu vào cổng đó bằng các cuộc tấn công brute-force cố gắng đoán username và password. Ngay cả khi người dùng chọn password dài và khó đoán. Các cuộc tấn công brute-force có thể tạo ra một số lượng lớn các lần đăng nhập thất bại để gây lãng phí tài nguyên server.

Việc thay đổi số port sẽ làm bối rối các bot không tinh vi. Nếu chúng không tìm thấy port thì chúng sẽ không thể đăng nhập. Linux server có sẵn port 65535 (27). Bạn nên tránh các port từ 0-1023 và thoải mái lựa chọn các port từ khoảng 1024-65535.

Trước khi bắt đầu, hãy đảm bảo định cấu hình firewall của bạn cho phép các kết nối trên port mới. NẾu không nó sẽ chặn các kết nối SSH và bạn sẽ không thể đăng nhập.

Đăng nhập với root bằng SSH và mở file /etc/ssh/sshd_config.

nano /etc/ssh/sshd_config

Tìm dòng có nội dung:

#Port 22

Xóa dấu # ở đầu dòng và thay số 22 thành port mới của bạn.

Port 32356

Lưu và đóng file cấu hình SSH. Cuối cùng, khởi động lại dịch vụ SSH:

/scripts/restart_ssh

Hãy nhớ ghi lại port bạn đã chọn. Lần tới khi đăng nhập vào SSH, hãy chỉ định port đó trong lệnh SSH của bạn:

ssh -p  32356 user@example.com

Hướng dẫn sử dụng SSH Key với root account

Một cách khác để cải thiện bảo mật SSH là tránh đặt password có lợi cho SSH Key. Các SSH KEy sẽ an toàn hơn và nếu đăng nhập bằng password bị vô hiệu hóa, chúng sẽ khiến các cuộc tấn công brute-force không thể thành công được.

Các SSH Key có thanh phần là private key và public key. Public key được lưu trữ trên server và private key được lưu trữ trên client. Chỉ có những người dùng có private key mới có thể đăng nhập vào tài khoản có liên quan. Chúng tôi sẽ tập trung vào việc bảo mật tài khoản gốc bằng SSH key. Những admin của website có thể sử dụng phương pháp tương tự trong cPanel.

Đầu tiên, chúng tôi sẽ tạo SSH key mới để root trong WHM. Đăng nhập vào WHm và điều hương đến Manage Root’s SSH Keys.

  • Nhấp vào Generate New Key.
  • Hoàn thành biểu mẫu với một password mạnh.
  • Nhấp vào Generate key.
bao-mat-linux-voi-cpanel
Tổng hợp kiến thức về bảo mật Linux 15

WHM tạo public và private key mà bạn có thể thấy bằng cách nhấp vào Return to SSH Manager. Tiếp theo, chúng ta cần cấp quyền cho public key để xác thực. Nhấp vào Manage Authorization và sau đó là Authorize.

bao-mat-linux-voi-cpanel
Tổng hợp kiến thức về bảo mật Linux 16

Cuối cùng, private key sẽ được tải xuống và lưu và máy tính cục bộ của bạn. Nhấp và View/Download Key. Copy văn bản từ hộp văn bản phía trên hoặc nếu bạn sử dụng PuTTY trên Windows, trình chuyển đổi sẽ định dạng PuTTY PPK.

bao-mat-linux-voi-cpanel
Tổng hợp kiến thức về bảo mật Linux 17

Bước tiếp theo sẽ khác nhau tùy thuộc vào hệ điều hành và SSH Client của bạn. Nếu bạn sử dụng ứng dụng Microsoft Windows 10 SSH client, hoặc OpenSSH được tích hợp sẵn trên macOS hoặc Linux, bạn nên tạo một file có tên id_rsa.pub và dán dữ liệu private key vào đó. Nếu bạn đã đặt tên khác cho key, bạn có thể sử dụng key đó thay vì id_rsa trong file.

Để đặt private key làm mặc định:

  • Trên Windows, lưu nó vào folder \ Users \ user1 \ .ssh. Trên Linux và macOS, hãy lưu nó trong folder /home/user1/.ssh.
  • Trên Linux và macOS, hãy lưu nó trong folder /home/user1/.ssh.

Thay thế “user1” bằng username của bạn. Bây giờ bạn có thể kết nối với server của mình qua SSH, xác thực sẽ phải dùng key chứ không phải password.

Nếu bạn không muốn đặt private key làm mặc định, hãy lưu nó ở nơi khác và chỉ định key khi đăng nhập.

ssh -p 32356 -i my_public_key user1@example.com

Khi mọi thứ ổn định, root user có thể đăng nhập bằng SSH key hoặc password. Nếu bạn muốn buộc người dùng xác thực bằng key, hãy bật SSH Password Authorization Tweak trong Security Center.

bao-mat-linux-voi-cpanel
Tổng hợp kiến thức về bảo mật Linux 18

Chống lại các cuộc tấn công Brute Force với cPHulk

Chúng ta đã khóa SSH, nhưng có một số chương trình dịch vụ khác có thể nhắm vào bạn làm mục tiêu. Vì vậy, đó là lý do tại sao cPanel&WHM bao gồm cPHulk, một công cụ bảo vệ giúp giám sát các port cPanel, WHM, Mail, FTP và SSH. Bạn sẽ tìm thấy cPHulk trong WHM Security Center. Nếu nó bị vô hiệu hóa, hãy bật nó và truy cập vào giao diện cấu hình.

bao-mat-linux-voi-cpanel
Tổng hợp kiến thức về bảo mật Linux 19

Bạn có thể điều chỉnh một số cài đặt để giám sát IP của người dùng:

  • Giá trị Maximum failures xác định số lần xác thực không thành công trước khi người dùng hoặc IP bị chặn.
  • ‌Brute Force Protection Period xác định được tốc độ hỏng hóc.

Ví dụ: trong hình ảnh này, các IP sẽ bị chặn nếu họ thực hiện hơn 5 lần đăng nhập không thành công trong 15 phút.

bao-mat-linux-voi-cpanel
Tổng hợp kiến thức về bảo mật Linux 20

cPHulk cũng bao gồm whitelist cho các địa chỉ IP và người dùng không bao giờ bị chặn và blacklist dành cho những địa chỉ luôn bị chặn.

Thực hiện theo các phương pháp hay nhất về bảo mật Linux với cPanel Security Advisor

cPanel Security Advisor quét các Linux server để tìm các cấu hình sau có thể gây ra lỗ hổng về bảo mật. Nó tạo ra các cảnh báo cùng với các khuyến nghị kèm theo hướng dẫn giúp admin bảo mật server của họ.

bao-mat-linux-voi-cpanel
Tổng hợp kiến thức về bảo mật Linux 21

Trong hình ảnh này, chúng ta thấy một số cố vấn bảo mật quan trọng liên quan đến Apache, Linux kernel và quét phần mềm độc hại. Đây là những vấn đề bảo mật nghiêm trọng cần được giải quyết ngay lập tức.

Sau bài viết này, chắc hẳn bạn đã hiểu rõ về các phương pháp bảo mật chung có thể dễ dàng triển khai trên Linux. Tất nhiên, quyết định sau cùng vẫn thuộc về các bạn. Hãy cố gắng chọn ra giải pháp tối ưu nhất cho mục đích sử dụng của mình. Từ đó có thể tiến hành bảo mật Linux một cách toàn diện, hiệu quả nhất. Chúc các bạn thành công!

THEO DÕI VÀ CẬP NHẬT CHỦ ĐỀ BẠN QUAN TÂM

Đăng ký ngay để nhận những thông tin mới nhất từ blog của chúng tôi. Đừng bỏ lỡ cơ hội truy cập kiến thức và tin tức hàng ngày

Chọn chủ đề :

Hưng Nguyễn

Kết nối với mình qua

Kết nối với mình qua

Tăng tốc độ website - Nâng tầm giá trị thương hiệu

Tăng tốc tải trang

95 điểm

Nâng cao trải nghiệm người dùng

Tăng 8% tỷ lệ chuyển đổi

Thúc đẩy SEO, Google Ads hiệu quả

Tăng tốc ngay

SẢN PHẨM NỔI BẬT

7 NGÀY DÙNG THỬ HOSTING

NẮM BẮT CƠ HỘI, THÀNH CÔNG DẪN LỐI

Cùng trải nghiệm dịch vụ hosting tốc độ cao được hơn 100,000 khách hàng sử dụng

Chỉ số tăng trưởng

Điểm Desktop

100 (+39)

Điểm Mobile

100 (+67)

Core Web Vitals

Passed

Lĩnh vực

Ecommerce

Chỉ số tăng trưởng

Điểm Desktop

99 (+28)

Điểm Mobile

100 (+50)

Core Web Vitals

Passed

Lĩnh vực

SEO

Chỉ số tăng trưởng

Điểm Desktop

99 (+26)

Điểm Mobile

98 (+59)

Core Web Vitals

Passed

Lĩnh vực

Ecommerce

Chỉ số tăng trưởng

Điểm Desktop

100 (+8)

Điểm Mobile

98 (+35)

Core Web Vitals

Passed

Lĩnh vực

Giáo Dục

Chỉ số tăng trưởng

Điểm Desktop

100 (+61)

Điểm Mobile

100 (+61)

Core Web Vitals

Passed

Lĩnh vực

Giáo Dục

Võ Thiên Tòng

25 Tháng 2 lúc 21:09

·

Mình muốn gửi lời cảm ơn chân thành đến Team Vietnix, anh Hưng Nguyễn, anh Vietnix Trung, em Quốc Huy đã hỗ trợ tối ưu Page Speed Insight (PSI) cho website vanvoiminhhoa.vn của mình.
Biết đến anh Hưng đã lâu nhưng chưa có duyên sử dụng dịch vụ bên anh. Tình cờ thấy được bài Post của anh về việc hỗ trợ tối ưu PSI miễn phí chỉ với vài Slot, thấy AE cmt khá nhiều nên cũng không nghĩ tới lượt mình. Hôm sau đánh liều inbox 1 phen xem sao thì may mắn được đưa vào danh sách. Vài ngày sau được Team Vietnix liên hệ và hỗ trợ.
Kết quả đạt được:
• Điểm xanh lè xanh lét
• Tốc độ tải trang nhanh hơn hẳn
• Các chỉ số cũng được cải thiện đáng kể
• Và mình tin rằng với việc PSI được cải thiện cũng thúc đẩy những thứ khác đi lên theo!
Mình thực sự hài lòng với dịch vụ của Vietnix và muốn giới thiệu đến tất cả mọi người:
• Dịch vụ Wordpress Hosting: Tốc độ nhanh, ổn định, bảo mật cao, hỗ trợ kỹ thuật 24/7. (https://vietnix.vn/wordpress-hosting/)
• Dịch vụ Business Hosting: Dung lượng lớn, phù hợp cho website có lượng truy cập cao, tích hợp nhiều tính năng cao cấp. (https://vietnix.vn/business-hosting/)
Đặc biệt, Vietnix đang có chương trình ưu đãi:
• Giảm giá 20% trọn đời khi nhập code THIENTONG_PAGESPEED tại trang thanh toán (Chu kỳ 12 tháng trở lên)
• Tặng 1 lần tối ưu điểm Page Speed Insight cho 1 website
Cám ơn Vietnix một lần nữa!
#Vietnix #Vanvoiminhhoa #Pagespeedinsight
Trước khi tối ưu
Sau khi tối ưu
Thiện Nguyễn - CEO SEO Dạo

5 Tháng 3 lúc 16:21

·

CORE WEB VITAL YẾU TỐ XẾP HẠNG TÌM KIẾM SEO
Core Web Vitals là một tập hợp các chỉ số đo lường hiệu suất của trang web từ góc độ người dùng, được Google sử dụng để đánh giá trải nghiệm người dùng trên các trang web. Các chỉ số chính bao gồm:
– Largest contentful paint (LCP): Tốc độ render của page. Mục tiêu là dưới 2,5 giây.
– First input delay (FID): Tốc độ phản hồi của website với tương tác của người dùng. Mục tiêu là dưới 100ms.
– Cumulative Layout Shift (CLS): Độ ổn định của bố cục trang. Mục tiêu là dưới 0.1.
Tất cả các chỉ số này đo lường các khía cạnh quan trọng của trải nghiệm người dùng trên trang web. Google đã công bố rằng từ tháng 5 năm 2021, các Core Web Vitals sẽ được sử dụng làm một trong các yếu tố đánh giá trong việc xếp hạng trang web trên kết quả tìm kiếm. Do đó, hiểu và cải thiện các Core Web Vitals là rất quan trọng đối với SEO.
Tóm lại, Core Web Vitals không chỉ giúp cải thiện hiệu suất và xếp hạng trang web trên công cụ tìm kiếm, mà còn cải thiện trải nghiệm của người dùng khi họ truy cập và tương tác với trang website.
P/s: mình đang có gói hỗ trợ đặc biệt cho anh em tối ưu tốc độ bên VIETNIX:
– Giảm 20% lifetime dịch vụ Hosting Business và Hosting Wordpress chu kỳ 12 tháng trở lên.
– Tặng 1 lần tối ưu điểm Page Speed Insight cho 1 website.
Anh em có nhu cầu đăng ký qua bạn Vietnix Trung này nhé và nhập mã SEODAO_PAGESPEED để được ưu đãi nhé.😁
Trước khi tối ưu
Sau khi tối ưu SEO Dạo
Icharm review

5 Tháng 3 lúc 15:43

·

[Mình vừa được hỗ trợ tối ưu page speed website]
Trước khi được tối ưu, web của mình điểm rất thấp, đặc biệt là mobile chỉ có 39. Cơ duyên thế nào lúc lướt face lại va phải chương trình tối ưu pagespeed bên Vietnix.
Sau khi được Trần Hoàng Phúc và team Vietnix hỗ trợ nhiệt tình, điểm web vọt lên 98 99 (như hình bên dưới). Dùng thử web thì thấy quá là mượt, 10 điểm cho team Vietnix.
Nói thật thì mình thật sự ấn tượng về sự nhiệt huyết, tận tâm và rất chuyên nghiệp bên Vietnix.
Anh em có nhu cầu về hosting hay có vấn đề về website như:
1. Web load chậm
2. Khách rời web vì đợi tải nội dung, hình ảnh lâu
3. Hay tất tần tật mọi thứ về website
THÌ LIÊN HỆ NGAY VIETNIX NHÉ!
Và đừng quên dùng pass “ICHARM_PAGESPEED” để được giảm 20% trọn đời hosting business và wp hosting. Quả code này còn được tặng 1 lần tối ưu pagespeed nữa nhé, ưu đãi chắc cũng phải nhất nhì thị trường luôn.
Trước khi tối ưu
Sau khi tối ưu
Hoàng Nguyễn

29 Tháng 2 lúc 17:04

·

Xin chào mọi người! Vừa rồi mình có sử dụng dịch vụ tối ưu website, tăng tốc độ tải trang pagespeed của Vietnix kết quả trên cả tuyệt vời nên mình viết bài này để chia sẻ thông tin với các bạn.
Lý do mình chọn dịch vụ tối ưu tốc độ website của Vietnix:
✅ Đội ngũ chuyên gia giàu kinh nghiệm: Đã tối ưu thành công cho hàng nghìn website trong nhiều lĩnh vực khác nhau. Các bạn nhân viên rất thân thiện, nhiệt tình và chủ động trong quá trình làm việc để cập nhật tiến độ.
✅ Quy trình chuyên nghiệp:
– Kiểm tra và phân tích: Vietnix sử dụng các công cụ tiên tiến để kiểm tra và phân tích tốc độ website của bạn.
– Xác định nguyên nhân: Vietnix xác định nguyên nhân khiến website tải chậm và đưa ra giải pháp tối ưu phù hợp.
– Tối ưu hóa website: Vietnix áp dụng các kỹ thuật tối ưu tiên tiến nhất để tăng tốc độ tải trang.
– Báo cáo kết quả: Vietnix cung cấp báo cáo chi tiết về kết quả tối ưu hóa website.
Công nghệ tiên tiến: Vietnix sử dụng các công nghệ tối ưu mới nhất như LiteSpeed, LSCache, Memcached, Redis, v.v.
✅ Cam kết kết quả: Vietnix cam kết tăng tốc độ website của bạn lên tối thiểu 90%.
✅ Giá cả cạnh tranh: Vietnix cung cấp dịch vụ tối ưu tốc độ website với mức giá cạnh tranh nhất trên thị trường.
📣 Để đăng ký sử dụng dịch vụ tối ưu tốc độ website và các dịch vụ khác như hosting, vps, domain… các bạn có thể đăng ký tại https://portal.vietnix.vn/aff.php?aff=57 hoặc Inbox cho sếp Vietnix Trung nhé.
Các bạn có thể kiểm tra tốc độ trang của mình https://lasan.edu.vn hoặc một vài trang khác đã sử dụng dịch vụ của Vietnix như sau:
https://pagespeed.web.dev/…/https…/v8beqewyt2…
https://pagespeed.web.dev/…/https…/etiohjvtl4…
https://pagespeed.web.dev/…/https…/yczuqpw6d1…
https://pagespeed.web.dev/…/https…/xf9y65kuzk…
https://pagespeed.web.dev/…/https…/fdrsms15en…
https://pagespeed.web.dev/…/https…/s7p9cgzeri…
Trước khi tối ưu
Sau khi tối ưu
Dũng cá xinh

30 Tháng 1 lúc 19:09

·

[Đỉnh]
Em có dùng hosting, vps, cloud vps, cloud server, dedicated server của rất nhiều bên từ trong nước đến nước ngoài để hosting khoảng 2,000+ domain. Mỗi bên đều có ưu nhược khác nhau, nhưng có 1 số bên đặc biệt “bá đạo”, trong đó có: Vietnix!!!!

Lần đầu tiên em được cả CEO Hưng Nguyễn lẫn Master về dev Vietnix Trung của 1 đơn vị hàng đầu liên quan đến Hosting, Server support từ A – Z (từ Zalo, Tele, đến FB và cả Phone)

Em có khá nhiều web dạng Big Data (bài, ảnh, database, data) lên đến hàng trăm Gb. Càng to thì nó càng có nhiều vấn đề về phần phản hồi ban đầu (nhược điểm cố hữu của php wordpress so với nativejs, reactjs, html, headless,…), và anh em Vietnix có nhã ý hỗ trợ xử lý phần Speed Insight này.

Kết quả thực sự kinh ngạc, từ cách trao đổi đến xử lý vấn đề, cut off những cái cần cut off, xử lý rất sâu vấn đề và gợi ý rất nhiều ý tưởng optimize hệ thống!!!! Thực sự quá hài lòng về kết quả cũng như cách tương tác của các đầu tầu bên Vietnix ^^!!!

Nhân cơ duyên được kết nối với những cao thủ của Vietnix, em xin chia sẻ và lan tỏa để nhiều anh em có cơ hội được sử dụng những dịch vụ tốt nhất với giá vô cùng hợp lý!!!!

1 – Với anh em chưa có hosting, em đặc biệt recommend sử dụng hosting bên Vietnix:
– Sử dụng mã DUNGCAXINH_PAGESPEED sẽ được giảm 20% trọn đời (lifetime luôn)
– Áp dụng các gói Hosting Business, Hosting wordpress và reg 1 năm trở lên
– Anh em chưa biết cách reg thì còm men hoặc ib để em hướng dẫn hoặc nhờ các bạn bên Vietnix support từ A – Z

2 – Anh em có hosting rồi và muốn build blog hoặc web = wordpress mà chưa có giao diện thì nhân tiện em đang có tài khoản Premium bên Envato, em sẽ tặng bất kỳ giao diện nào có trên Envato Themes (Link em để dưới còm men) ạ. Cả nhà còm hoặc ib em Themes mà mọi người “chim ưng”, em sẽ cho anh em tải về, up drive và gửi ạ!!! (Chương trình này kéo dài đến ngày 29 tết âm lịch ạ)

3 – BEST NHẤT luôn!!!! Anh em nào mua hosting dùng mã DUNGCAXINH_PAGESPEED sẽ được tối ưu 100 điểm tốc độ cho 1 web (đây là ưu đãi riêng của CEO Hưng Nguyễn dành cho bạn bè của #dungcaxinh ^^) (Giá trị nhất là cái vụ số 3 này anh chị em nhé ^^), cơ hội vàng để move về đơn vị hosting uy tín là đây ^^!!!!

Một lần nữa xin chân thành cám ơn 2 đồng chí em: Hưng Nguyễn và Vietnix Trung đã giải được một bài toán khó cho các trang WP Big data mà anh loay hoay bao lâu nay chưa tìm ra đáp án!!! Chúc Vietnix ngày càng phát triển và có một năm 2024 đại đại thắng nhé ^^ !!!!!
#SEO #Vietnix #dungcaxinh

Trước khi tối ưu
Sau khi tối ưu
Hiếu AI

2 Tháng 2 lúc 21:06

·

UY TÍN – TẬN TÂM – TỐC ĐỘ

3 từ trên là vẫn chưa đủ để nói về quy trình làm việc cực chuyên nghiệp của team Vietnix.Chuyện là mình có con website chính đang có lượt truy cập organic hàng ngày cũng tương đối (hình 1)

Vấn đề là, con site này đang nằm trên hosting dùng chung nên tốc độ load chưa nhanh, tốc độ load chưa nhanh thì trải nghiệm visitor chưa tốt, trải nghiệm visitor chưa tốt thì tỷ lệ chuyển đổi ra đơn hàng kiểu gì thì kiểu cũng sẽ bị ảnh hưởng.

Biết rõ là đang mất tiền nhưng không biết xử lý như lào, nghĩ mà cay.

Đang loay hoay thì vận may nó tới, hôm qua đang lướt phở bò thấy a Nguyễn Việt Dũng đăng bài, rảnh nên thả cái comment hóng hớt, ai ngờ ngoằng phát thấy ông Dũng tạo nhóm với Vietnix Trung luôn.

Ae Vietnix thì siêu tốc độ, lập tức lấy thông tin vào việc, không hỏi han lằng nhằng, không kỳ kèo chốt đơn dù lúc đấy cũng đang đêm muộn.
Sáng hôm sau dậy vẫn còn đang lơ ngơ mở điện thoại check tin nhắn thì đã thấy ae Vietnix báo xong việc, trong khi mình vẫn chưa biết có chuyện gì xảy ra @@.

Được cái bấm thử website thì thấy load siêu nhanh, chưa tới một giây là thông tin các thứ hiện hết. Quá phê, thả con ảnh trước sau (hình 2,3) để ace tiện đối chiếu nhé. Thế này thì mình gửi gắm nốt 15 em website còn lại cho team Vietnix thôi chứ không cần nghĩ ngợi gì nữa. 10/10.

Nên là:

  1. Anh chị em muốn có một con website tốc độ load nhanh như tốc độ trở mặt của nyc – Dùng ngay dịch vụ hosting của Vietnix
  2. Anh chị em có website rồi muốn tìm bên hosting uy tín, chuyên nghiệp hỗ trợ không quản ngày đêm – Liên hệ ngay Vietnix Trung
  3. Anh chị em quan tâm đến trải nghiệm khách hàng, từ những cái nhỏ nhất như tăng tốc độ website – Better call Vietnix Trung

Và đừng quên dùng pass “HIEUAI_PAGESPEED” để được giảm 20% trọn đời hosting business và wp hosting, quả code này còn được tặng 1 lần tối ưu pagespeed nữa nhé, ưu đãi chắc cũng phải nhất nhì thị trường luôn.
#SEO #Vietnix #hieuai

Website
Trước khi tối ưu
Sau khi tối ưu

Chỉ số tăng trưởng

Điểm Desktop

100 (+43)

Điểm Mobile

100 (+74)

Core Web Vitals

Passed

Lĩnh vực

AI