Mục lục
Hệ điều hành là một sự cân bằng
Xẩy dựng một hệ điều hành cân bằng giữa nhiều mục đích thực sự là một điều khó khăn, bạn sẽ cần phải đáp ứng đầy đủ yêu cầu của người dùng và khả năng truy cập cấu hình và bảo trì của đội ngũ quản trị viên. Nếu bạn làm cho hệ thống của bạn quá an toàn, thì một sysadmin mới học sẽ không thể làm việc với chúng, khi đó họ sẽ bỏ sang học một bản phân phối đơn giản hơn. Vì vậy thực sự không có gì ngạc nhiên khi hầu hết Linux Distro chỉ đi kèm một mức độ bảo mật vừa phải và có những tuỳ chọn thêm để “khoá” chúng lại nhằm gia tăng độ bảo mật hơn. Ngày nay bạn có thể tuỳ chỉnh ngay ở trên giao diện bộ cài đặt, hoặc bắt đầu từ một bộ cài cơ sở đi kèm rất ít dịch vụ và gói khong cần thiết
Đã có thời gian những điều nói trên không đúng. Bạn có thể tưởng tượng Password đã được mã hoá bằng hashes, nhưng được lưu trữ trong file /etc/passwd cho bẩt kì ai đọc chúng. Quản trị hệ thống được thực hiện thông qua Telent. SSH còn không được bật theo mặc định. Hoàn toàn cũng không có tường lửa trên máy chủ. Đây là câu chuyện của 20 năm trước, ngày nay thì hệ thống nào cũng có thiết đặt gần tương tự như tôi vừa nói ở đoạn trên
system “hardening?” là gì?
system “hardening?” là những hành động giúp cho hệ thống an toàn hơn cũng như trở thành một mục tiêu khó khăn hơn với kẻ xấu. Thử tượng tượng bạn có một hàng rào gỗ để bảo vệ phần sân của bạn, những con người có đạo đức sẽ biết rằng bạn không muốn người lạ vào khoảng sân của bạn nhưng một đứa trẻ có thể trèo qua chúng và giẫm nát hoa trong sân của bạn, vì ranh giới mong manh bạn lập ra cũng chẳng có gì quá khó khăn với chúng
system “hardening?” hoạt động như việc bạn thay hàng rào gỗ bằng hàng rào sắt cao 3m, ừ thì ai muốn vẫn có cách trèo qua nó, nhưng những đứa trẻ sẽ không trèo qua nữa vì việc này hơi rắc rối với chúng
Bảo mật không phải hoàn toàn là không thể pháp vỡ, chúng chỉ đủ an toàn để khó bị đột nhập, trong khi đó hệ thống của bạn cũng phải đủ “mở” để vận hành mọi dịch vụ của bạn. Một máy chủ web bảo mật tới mức bạn không thể vận hành một website trên đó là một ý tưởng tồi. Nó giống như hàng rào sắt nhưng không có cổng
Một số bí kíp để tăng cường bảo mật
Dưới đây không phải là một hướng dẫn từng bước một, hãy cân nhắc trước khi áp dụng bất cứ điều gì dưới đây vào hệ thống của bạn
Loại bỏ giao diện đồ hoạ GUI
Bạn đang chạy một máy trạm? Hoặc một chiếc máy chủ? Máy chủ không cần GUI. Nó chỉ là một thứ thừa thãi đang chiếm dụng ổ đĩa và CPU của bạn. Tuy nhiên có một số, dù rất ít ứng dụng cần phải có giao diện đồ hoạ để chạy. Nếu bạn không cần nó, tốt nhất là bỏ đi đừng cài GUI vào làm gì cho nặng
Tắt các dịch vụ không cần thiết
Sử dụng câu lệnh netstat hay ss để xem các dịch vụ đang hoạt động trên máy của bạn, sẽ có những thứ bạn chẳng bao giờ xài tới như Telnet (Đã có SSH làm thay rồi), hay Mail Transfer Agent (MTA) hoặc dịch vụ in ấn CUPS. Tắt chúng đi vừa tiết kiệm tài nguyên, vừa giúp hệ thống bạn an toàn hơn vì đôi khi chúng tồn tại lỗ hổng mà bạn không hề biết
Quyền truy cập của người dùng
Sử dụng câu lệnh sudo thật cẩn thận mỗi khi bạn cần quyền root, quản lí nhóm sudoer thật tốt và tốt nhất là không ai nên có password root. Bạn nên cấm user root login trực tiếp hoặc chuyển sang Login bằng Keys. Điều này giúp hệ thống bảo mật tốt hơn và tránh khỏi các cuộc tấn công dò quét
Tường lửa ngay trên VPS
Tốt hơn hết nếu nhà cung cấp VPS của bạn không có một hệ thống tường lửa đủ tốt thì bạn có thể nên cấu hình hệ thống tường lửa trên ngay chính VPS của bạn, hãy học và cấu hình thuần thục các rule. Tốt hơn là chỉ mở các Port thật sự cần thiết, tuyệt đối không mở tất cả các port. Bạn có thể đổi port các dịch vụ phổ biến như SSH (22); RDP (3389)
Các giao thức an toàn
Không có lí do để không mã hoá traffic đi và tới hệ thống quả bạn. Bạn có thể mã hoá TLS/HTTPS miễn phí hoàn toàn sử dụng Let’s Encrypt. Và luôn luôn quản trị server qua SSH. Mỗi khi bạn tự đặt ra câu hỏi. Cái này có nên được mã hoá không? Câu trả lời luôn là CÓ
Ghi nhớ
Hãy ghi nhớ rằng bảo mật là sự cân bằng giữa khả năng truy cập, sự tiện dụng và sự bảo vệ. Nếu bạn đi quá xa vào bất cứ lĩnh vực nào trong ba lĩnh vực trên, sự cân bằng sẽ bị mất và bạn chắc chắn sẽ gặp sự cố
Giải pháp
Cách Phòng Chống DDoS Cho Website, VPS, và Server Hiệu Quả
Các cuộc tấn công DDoS (Distributed Denial of Service) là một mối đe dọa lớn [...]
Chưa được phân loại portal portal cloudzone Về Portal
Mã đăng nhập Portal Cloudzone là gì? 3 cách lấy mã đăng nhập
Ngày nay, khi công nghệ số phát triển mạnh mẽ, việc bảo mật thông tin [...]
Cloud hosting Blog
So sánh Cloud Hosting cPanel, DirectAdmin và Plesk
Khi lựa chọn dịch vụ Cloud Hosting để lưu trữ website hoặc ứng dụng, một [...]
Cloud VPS
[2024] Kinh Nghiệm Chọn VPS Treo Game Không Lo Gián Đoạn
Với sự phát triển nhanh chóng của các trò chơi trực tuyến, việc duy trì [...]
Blog
Tuyển Đại lý dịch vụ Cloud – Chiết khấu đến 35%
Cloudzone tuyển đại lý dịch vụ Cloud, Data Center với lợi nhuận không giới hạn, [...]
Blog Giải pháp
Mã Độc Là Gì? Cách Phòng Chống Mã Độc Hiệu Quả Cho Máy Chủ 2024
Trong thế giới kỹ thuật số ngày nay, bảo mật máy chủ là một yếu [...]