Bảo mật VPS – Những việc cần làm ngay sau khi khởi tạo

Hôm rồi con VPS của mình bị thanh niên rãnh nào hack để tấn công một server khác, sau đó mình nhận được một mớ email từ bọn VPS provider doạ xoá account. Quá bực mới search Google “How to protect VPS”, hôm nay tổng hợp lại tại đây. Hi vọng không ai đạp shit sau mình.

Dưới đây là những bước vô cùng cơ bản, sơ đẳng và rất dễ thực hiện, bạn phải làm ngay sau khi tạo VPS.
Mình ví dụ trên VPS của Vultr, OS: Ubuntu 14.04, Localhost: OSX Yosemite.

1. Đăng nhập bằng tài khoản non-root

Có bạn hỏi: Tại sao phải dùng non-root? Sao không dùng luôn root cho khoẻ? Tạo account khác chi cho lằng nhằng?

Xin hỏi lại tại sao phải dùng root? Có phải tất cả chương trình đều cần dùng root đâu? Một chương trình không cần dùng root mà chạy với quyền root thì có tốt không?

Sau khi trả lời những câu hỏi trên thì hãy tạo ngay một account non-root.

Hãy đặt mọi thứ vào đúng vị trí của nó, cuộc đời bạn tự nhiên tươi đẹp :))

Thêm user vào sudo group

Account mới tạo nên chưa có thông tin pub key nên khi connect yêu cầu nhập password.

Hỏi: Phải làm sao để không cần nhập password khi ssh connect?
Trả lời: Tất nhiên là phải upload pub key từ localhost lên.

Cài ssh-copy-id trên localhost

Đưa pub key lên VPS

2. Đổi default ssh port

Đổi

thành

Port này bạn tự chọn, mình chọn 4111 để ví dụ.
Xong reload ssh

Connect lại thử bằng port mặc định

Tất nhiên là không được, port đổi rồi mà.

Thử port mới

OK, connect được vào remote rồi.

3. Bật firewall

Trước khi bật firewall thì nhớ phải thêm rule để mở port ssh 4111 đã nhé.

Xong enable firewall

4. Không cho phép ping

Ping thử cái chơi

Giờ không cho ping nữa, mở file rule

Tìm dòng này

sửa thành

Reload firewall

Ping lại bằng niềm tin thử :))

5. Khoá tài khoản root, không cho login bằng password

non-root account rồi, khoá ngay root. Làm thêm một bước nữa là disable login bằng password, dùng ssh key bảo mật hơn mà.

  • Khoá root, tìm

sửa thành

  • Disable passwork login, tìm

sửa thành

Nhớ uncomment :))

Reload ssh service

Xong!

5. Rút gọn lệnh ssh

Cái này không biết đặt title là gì, mần luôn “Rút gọn lệnh ssh”.
Khi connect tới remote host, dùng lệnh như này:

Dài lê thê, gõ mệt, chừ phải rút gọn lại thành

Phê chưa?! Thằng nào đi ngang liếc màn hình cũng không biết bạn đang connect tới ssh bằng port nào, dùng account nào. Config ngay nào. À cái này config trên localhost nhé.

Thêm vào một bộ

Quá dễ đúng không?

Thử connect phát nào

Quá phê!

xxx. Bật ngay bảo mật 2 lớp Two Factor Auth

Cái này ngoài lề tí, nó liên quan tới account VPS của bạn. Nhiều bạn không thích dùng vì lằng nhằng, mất thời gian nhập code. Bảo mật quan trọng hơn bạn ơi. Hầu như thằng VPS provider nào cũng có chức năng bảo mật này, có nhiều phương thức để lấy mã login như SMS hoặc ứng dụng sinh mã ngẫu nhiên như Authy hoặc Authenticator của Google.

Tham khảo:

https://www.digitalocean.com/community/tutorials/initial-server-setup-with-ubuntu-14-04

https://www.digitalocean.com/community/tutorials/how-to-add-and-delete-users-on-an-ubuntu-14-04-vps

http://www.thegeekstuff.com/2008/11/3-steps-to-perform-ssh-login-without-password-using-ssh-keygen-ssh-copy-id/

https://www.digitalocean.com/community/tutorials/how-to-setup-a-firewall-with-ufw-on-an-ubuntu-and-debian-cloud-server

Spread the love
  •  
  •  
  •  
  •  
  •  

Leave a Reply

Be the First to Comment!

Notify of
avatar