Cân bằng giữa bảo mật và tiện dụng trong Linux

Hệ thống của các bạn buộc phải bảo mật và an toàn, nhưng nó cũng phải phục vụ được đủ những tính năng bạn yêu cầu. Sau đây là một số kinh nghiệm để bạn có được sự cân bằng đó

Mạng Internet có rất nhiều người muốn phá hoại hệ thống của bạn. Một số người trong đó chỉ là tò mò nhưng một số người khác lại đang cố gắng ăn cắp data của bạn và xem công ty bạn rơi vào khủng hoảng. Cho dù động cơ của họ là gì, công việc của một sysadmin như bạn là ngăng chặn chúng ra khỏi máy chủ của bạn. Nếu bạn đang dùng Linux thì đây thực sự là một bài viết dành cho bạn. Tôi sẽ đưa cho bạn vài lí do tại sao bạn cần cải thiện hệ thống của mình cũng như có những thay đổi nâng cao khác

Hệ điều hành là một sự cân bằng

Xẩy dựng một hệ điều hành cân bằng giữa nhiều mục đích thực sự là một điều khó khăn, bạn sẽ cần phải đáp ứng đầy đủ yêu cầu của người dùng và khả năng truy cập cấu hình và bảo trì của đội ngũ quản trị viên. Nếu bạn làm cho hệ thống của bạn quá an toàn, thì một sysadmin mới học sẽ không thể làm việc với chúng, khi đó họ sẽ bỏ sang học một bản phân phối đơn giản hơn. Vì vậy thực sự không có gì ngạc nhiên khi hầu hết Linux Distro chỉ đi kèm một mức độ bảo mật vừa phải và có những tuỳ chọn thêm để “khoá” chúng lại nhằm gia tăng độ bảo mật hơn. Ngày nay bạn có thể tuỳ chỉnh ngay ở trên giao diện bộ cài đặt, hoặc bắt đầu từ một bộ cài cơ sở đi kèm rất ít dịch vụ và gói khong cần thiết

Đã có thời gian những điều nói trên không đúng. Bạn có thể tưởng tượng Password đã được mã hoá bằng hashes, nhưng được lưu trữ trong file /etc/passwd cho bẩt kì ai đọc chúng. Quản trị hệ thống được thực hiện thông qua Telent. SSH còn không được bật theo mặc định. Hoàn toàn cũng không có tường lửa trên máy chủ. Đây là câu chuyện của 20 năm trước, ngày nay thì hệ thống nào cũng có thiết đặt gần tương tự như tôi vừa nói ở đoạn trên

system “hardening?” là gì?

system “hardening?” là những hành động giúp cho hệ thống an toàn hơn cũng như trở thành một mục tiêu khó khăn hơn với kẻ xấu. Thử tượng tượng bạn có một hàng rào gỗ để bảo vệ phần sân của bạn, những con người có đạo đức sẽ biết rằng bạn không muốn người lạ vào khoảng sân của bạn nhưng một đứa trẻ có thể trèo qua chúng và giẫm nát hoa trong sân của bạn, vì ranh giới mong manh bạn lập ra cũng chẳng có gì quá khó khăn với chúng

system “hardening?” hoạt động như việc bạn thay hàng rào gỗ bằng hàng rào sắt cao 3m, ừ thì ai muốn vẫn có cách trèo qua nó, nhưng những đứa trẻ sẽ không trèo qua nữa vì việc này hơi rắc rối với chúng

Bảo mật không phải hoàn toàn là không thể pháp vỡ, chúng chỉ đủ an toàn để khó bị đột nhập, trong khi đó hệ thống của bạn cũng phải đủ “mở” để vận hành mọi dịch vụ của bạn. Một máy chủ web bảo mật tới mức bạn không thể vận hành một website trên đó là một ý tưởng tồi. Nó giống như hàng rào sắt nhưng không có cổng

Một số bí kíp để tăng cường bảo mật

Dưới đây không phải là một hướng dẫn từng bước một, hãy cân nhắc trước khi áp dụng bất cứ điều gì dưới đây vào hệ thống của bạn

Loại bỏ giao diện đồ hoạ GUI

Bạn đang chạy một máy trạm? Hoặc một chiếc máy chủ? Máy chủ không cần GUI. Nó chỉ là một thứ thừa thãi đang chiếm dụng ổ đĩa và CPU của bạn. Tuy nhiên có một số, dù rất ít ứng dụng cần phải có giao diện đồ hoạ để chạy. Nếu bạn không cần nó, tốt nhất là bỏ đi đừng cài GUI vào làm gì cho nặng

Tắt các dịch vụ không cần thiết

Sử dụng câu lệnh netstat hay ss để xem các dịch vụ đang hoạt động trên máy của bạn, sẽ có những thứ bạn chẳng bao giờ xài tới như Telnet (Đã có SSH làm thay rồi), hay Mail Transfer Agent (MTA) hoặc dịch vụ in ấn CUPS. Tắt chúng đi vừa tiết kiệm tài nguyên, vừa giúp hệ thống bạn an toàn hơn vì đôi khi chúng tồn tại lỗ hổng mà bạn không hề biết

Quyền truy cập của người dùng

Sử dụng câu lệnh sudo thật cẩn thận mỗi khi bạn cần quyền root, quản lí nhóm sudoer thật tốt và tốt nhất là không ai nên có password root. Bạn nên cấm user root login trực tiếp hoặc chuyển sang Login bằng Keys. Điều này giúp hệ thống bảo mật tốt hơn và tránh khỏi các cuộc tấn công dò quét

Tường lửa ngay trên VPS

Tốt hơn hết nếu nhà cung cấp VPS của bạn không có một hệ thống tường lửa đủ tốt thì bạn có thể nên cấu hình hệ thống tường lửa trên ngay chính VPS của bạn, hãy học và cấu hình thuần thục các rule. Tốt hơn là chỉ mở các Port thật sự cần thiết, tuyệt đối không mở tất cả các port. Bạn có thể đổi port các dịch vụ phổ biến như SSH (22); RDP (3389)

Các giao thức an toàn

Không có lí do để không mã hoá traffic đi và tới hệ thống quả bạn. Bạn có thể mã hoá TLS/HTTPS miễn phí hoàn toàn sử dụng Let’s Encrypt. Và luôn luôn quản trị server qua SSH. Mỗi khi bạn tự đặt ra câu hỏi. Cái này có nên được mã hoá không? Câu trả lời luôn là CÓ

Ghi nhớ

Hãy ghi nhớ rằng bảo mật là sự cân bằng giữa khả năng truy cập, sự tiện dụng và sự bảo vệ. Nếu bạn đi quá xa vào bất cứ lĩnh vực nào trong ba lĩnh vực trên, sự cân bằng sẽ bị mất và bạn chắc chắn sẽ gặp sự cố

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *