Một bản cài đặt Linux mặc định thì tiện lợi, chứ không an toàn. Tăng cường bảo mật máy chủ Linux là quá trình giảm bề mặt tấn công của máy chủ và siết chặt cấu hình của nó, để những đợt dò quét không thể tránh khỏi từ internet không tìm thấy điều gì dễ khai thác. Hướng dẫn này trình bày các bước tăng cường quan trọng nhất trong năm 2026, theo một thứ tự ưu tiên hợp lý.
TL;DR
- SSH là bề mặt phơi bày lớn nhất của bạn: hãy dùng xác thực bằng khóa, vô hiệu hóa đăng nhập root và mật khẩu, và giới hạn tốc độ kết nối
- Chạy một tường lửa mặc định từ chối và tắt mọi dịch vụ và cổng bạn không cần
- Giữ hệ thống được vá lỗi tự động, và áp dụng tăng cường kernel và tài khoản
- Dùng SELinux hoặc AppArmor, bật ghi log kiểm toán, và tự đánh giá theo CIS Benchmark dành cho bản phân phối của bạn
1. Khóa chặt SSH
SSH là cách bạn quản trị máy chủ và cũng là cách kẻ tấn công cố gắng xâm nhập. Hãy tăng cường nó trước tiên.
- Dùng xác thực bằng khóa và vô hiệu hóa hoàn toàn xác thực bằng mật khẩu (
PasswordAuthentication no). - Vô hiệu hóa đăng nhập root trực tiếp (
PermitRootLogin no); đăng nhập bằng người dùng thông thường và dùngsudo. - Giới hạn những người dùng nào được phép đăng nhập qua SSH.
- Giới hạn tốc độ và hạn chế các lần thử thất bại lặp lại (ví dụ với
fail2ban) để làm giảm hiệu quả của các cuộc tấn công brute-force. - Giữ SSH ở phiên bản được bảo trì và vô hiệu hóa các thuật toán mã hóa yếu cùng các giao thức cũ.
2. Chạy một tường lửa mặc định từ chối
- Cấu hình tường lửa (
nftables,ufw,firewalldhoặc CSF) để từ chối theo mặc định và chỉ cho phép các cổng bạn thực sự phục vụ. - Phơi bày ở mức tối thiểu: thường là SSH (có giới hạn), HTTP và HTTPS cho một máy chủ web, và không gì khác.
- Giới hạn các cổng quản trị vào các địa chỉ nguồn đã biết hoặc một VPN khi có thể.
3. Giảm thiểu bề mặt tấn công
- Gỡ cài đặt hoặc vô hiệu hóa các dịch vụ và daemon bạn không dùng. Mỗi dịch vụ đang lắng nghe là một điểm xâm nhập tiềm năng.
- Kiểm toán các cổng đang mở (
ss -tulpn) và xác nhận từng cổng là có chủ đích. - Loại bỏ các gói và trình biên dịch không cần thiết khỏi các máy chủ production.
4. Giữ hệ thống được vá lỗi
- Bật cập nhật bảo mật tự động (
unattended-upgradestrên Debian/Ubuntu,dnf-automatictrên các hệ thống họ RHEL). - Theo dõi các ngày kết thúc vòng đời của bản phân phối và nâng cấp trước khi hỗ trợ chấm dứt. Chạy một hệ điều hành không được hỗ trợ là một rủi ro thường trực.
5. Tăng cường tài khoản và truy cập
- Áp dụng chính sách mật khẩu và tài khoản mạnh, và loại bỏ các tài khoản không dùng đến.
- Dùng
sudovới đặc quyền tối thiểu thay vì truy cập root dùng chung, và ghi log việc dùng sudo. - Đặt các giá trị mặc định
umaskhợp lý và khóa chặt quyền trên các tệp nhạy cảm. - Cân nhắc xác thực hai yếu tố cho truy cập quản trị.
6. Áp dụng tăng cường kernel và mạng
- Tinh chỉnh các thiết lập
sysctlđể giảm rủi ro ở tầng mạng (ví dụ vô hiệu hóa IP source routing và ICMP redirect, và bật lọc reverse-path). - Giới hạn truy cập vào log và con trỏ kernel, và bật các biện pháp giảm thiểu khai thác có sẵn.
- Vô hiệu hóa các module kernel và hệ thống tệp không dùng đến.
7. Bật kiểm soát truy cập bắt buộc
- Giữ SELinux (họ RHEL) hoặc AppArmor (Debian/Ubuntu) được bật và ở chế độ enforcing.
- Hãy cưỡng lại cám dỗ vô hiệu hóa nó để “cho mọi thứ chạy được”; thay vào đó, hãy điều chỉnh hoặc viết chính sách. MAC ngăn chặn thiệt hại khi một dịch vụ bị xâm phạm.
8. Ghi log, kiểm toán và toàn vẹn tệp
- Bật daemon kiểm toán của Linux (
auditd) để ghi lại các sự kiện liên quan đến bảo mật. - Tập trung log ra bên ngoài máy chủ để kẻ tấn công không thể đơn giản xóa chúng.
- Triển khai giám sát toàn vẹn tệp (ví dụ AIDE) để phát hiện các thay đổi bất ngờ đối với tệp hệ thống.
- Xem xét log thường xuyên, hoặc đưa chúng vào giám sát và cảnh báo.
9. Đánh giá theo CIS Benchmark
Center for Internet Security (CIS) công bố các chuẩn tăng cường chi tiết, dành riêng cho từng bản phân phối. Hãy dùng CIS Benchmark cho hệ điều hành của bạn như một danh sách kiểm tra khách quan và phân tích khoảng cách; nó biến “chúng tôi nghĩ là đã được tăng cường” thành một đường cơ sở có thể đo lường mà bạn có thể kiểm toán theo thời gian.
Những điểm chính
- Bắt đầu với SSH: chỉ khóa, không đăng nhập root, giới hạn tốc độ.
- Tường lửa mặc định từ chối và loại bỏ mọi dịch vụ bạn không cần.
- Tự động hóa việc vá lỗi và áp dụng tăng cường tài khoản, kernel và MAC (SELinux/AppArmor).
- Bật ghi log kiểm toán và toàn vẹn tệp, và đối chiếu với CIS để làm cho việc tăng cường có thể đo lường được.
Nhận dịch vụ tăng cường bảo mật máy chủ Linux chuyên nghiệp
Tăng cường một máy chủ đơn lẻ bằng tay là khả thi; làm điều đó một cách nhất quán trên toàn bộ hạ tầng, mà không làm hỏng ứng dụng, chính là nơi chuyên môn phát huy giá trị. Dịch vụ tăng cường bảo mật máy chủ Linux bao gồm khóa SSH, kiến trúc tường lửa, tinh chỉnh kernel, chính sách SELinux/AppArmor, phân tích khoảng cách CIS và một runbook bảo trì. Để có hướng dẫn tập trung vào tường lửa, hướng dẫn bảo mật máy chủ Linux với CSF , tuy cũ hơn nhưng vẫn hữu ích, trình bày sâu về ConfigServer Security & Firewall.
Câu hỏi thường gặp (FAQ)
Bước tăng cường bảo mật Linux quan trọng nhất là gì? Khóa chặt SSH: dùng xác thực bằng khóa, vô hiệu hóa đăng nhập bằng mật khẩu và đăng nhập root trực tiếp, và giới hạn tốc độ các lần thử thất bại. SSH là điểm xâm nhập bị tấn công phổ biến nhất trên một máy chủ hướng ra internet.
Tôi có nên vô hiệu hóa SELinux hoặc AppArmor để khắc phục sự cố không? Không. Vô hiệu hóa kiểm soát truy cập bắt buộc sẽ loại bỏ một lớp ngăn chặn quan trọng. Thay vào đó, hãy điều chỉnh hoặc viết chính sách để cho phép hành vi hợp lệ. Giữ nó ở chế độ enforcing sẽ giới hạn thiệt hại nếu một dịch vụ bị xâm phạm.
CIS Benchmark là gì? Một tiêu chuẩn tăng cường chi tiết, dành riêng cho từng bản phân phối, do Center for Internet Security công bố. Nó cung cấp cho bạn một danh sách kiểm tra khách quan để cấu hình theo và để kiểm toán máy chủ của bạn theo thời gian, biến việc tăng cường thành điều có thể đo lường.
Tôi có còn cần tường lửa nếu nhà cung cấp của tôi có tường lửa mạng không? Có, hãy dùng cả hai. Một tường lửa dựa trên máy chủ, mặc định từ chối, bảo vệ máy chủ ngay cả khi các kiểm soát mạng bị cấu hình sai hoặc bị vượt qua, và nó thực thi nguyên tắc chỉ phơi bày những cổng bạn thực sự phục vụ.
Nên rà soát một máy chủ đã tăng cường bao lâu một lần? Thường xuyên, vì cấu hình bị trôi lệch và các lỗ hổng mới xuất hiện. Hãy kiểm tra lại theo đường cơ sở CIS của bạn sau những thay đổi đáng kể và theo một lịch định kỳ, và giữ bật cập nhật bảo mật tự động trong khoảng thời gian giữa các lần.
Bình luận