Linux từ lâu đã nổi tiếng về bảo mật do tính tối nghĩa. Người dùng có lợi thế là họ không phải là mục tiêu chính của tin tặc và không phải lo lắng. Thực tế này không còn hợp lệ nữa và trong năm 2017 và 2018, chúng tôi đã chứng kiến nhiều nhóm tin tặc khai thác các lỗi và trục trặc của Linux, tìm ra những cách phức tạp để cài đặt phần mềm độc hại, vi rút, rootkit, v.v.
Do gần đây có vô số khai thác, phần mềm độc hại và những thứ tồi tệ khác gây hại cho người dùng Linux, cộng đồng nguồn mở đã phản hồi bằng cách cải thiện các tính năng bảo mật. Tuy nhiên, điều đó là chưa đủ và nếu bạn đang chạy Linux trên máy chủ của mình, bạn nên xem qua danh sách của chúng tôi và tìm hiểu các cách cải thiện bảo mật máy chủ Linux của mình.
1. Sử dụng SELinux
SELinux, còn được gọi là Linux được tăng cường bảo mật, là một công cụ bảo mật được tích hợp trong nhân Linux. Sau khi được bật, nó có thể dễ dàng thực thi chính sách bảo mật mà bạn chọn, điều cần thiết cho một máy chủ Linux mạnh mẽ.
Nhiều hệ điều hành máy chủ dựa trên RedHat đi kèm với SELinux và được cấu hình với các giá trị mặc định khá tốt. Điều đó nói rằng, không phải mọi hệ điều hành đều hỗ trợ SELinux theo mặc định, vì vậy chúng tôi sẽ chỉ cho bạn cách kích hoạt nó.
Lưu ý: Các gói Snap yêu cầu AppArmor, một giải pháp thay thế cho SELinux. Nếu bạn chọn sử dụng SELinux, bạn có thể không sử dụng được Snaps trên một số hệ điều hành Linux.
CentOS/Rhel
CentOS và RedHat Enterprise Linux đi kèm với hệ thống bảo mật SELinux. Nó được cấu hình sẵn để bảo mật tốt nên không cần hướng dẫn gì thêm.
máy chủ Ubuntu
Kể từ Karmic Koala, Ubuntu đã làm cho việc kích hoạt công cụ bảo mật SELinux trở nên rất dễ dàng. Để cấu hình nó, nhập các lệnh sau.
sudo apt install selinux
Debian
Tương tự như Ubuntu, Debian giúp thiết lập SELinux rất dễ dàng. Để làm điều này, nhập các lệnh sau.
sudo apt-get install selinux-basics selinux-policy-default auditd
Khi quá trình cài đặt SELinux trên Debian hoàn tất, hãy xem mục nhập Wiki trong phần mềm. Nó bao gồm rất nhiều thông tin cần thiết để sử dụng nó trong hệ điều hành.
Sổ tay SELinux
Khi bạn đã thiết lập và chạy SELinux, hãy tự giúp mình và đọc hướng dẫn sử dụng SELinux. Tìm hiểu làm thế nào nó hoạt động. Máy chủ của bạn sẽ cảm ơn bạn!
Để truy cập hướng dẫn sử dụng SELinux, hãy nhập lệnh sau trong phiên cuối.
man selinux
2. Vô hiệu hóa tài khoản root
Một trong những điều thông minh nhất bạn có thể làm để bảo mật máy chủ Linux của mình là vô hiệu hóa tài khoản Root và chỉ sử dụng các đặc quyền của Sudoer để thực hiện các tác vụ hệ thống. Bằng cách vô hiệu hóa quyền truy cập vào tài khoản này, bạn sẽ có thể đảm bảo rằng những kẻ xấu không thể có toàn quyền truy cập vào các tệp hệ thống, cài đặt phần mềm có vấn đề (chẳng hạn như phần mềm độc hại), v.v.
Khóa tài khoản Root trên Linux rất dễ dàng và thực tế là trong nhiều hệ điều hành máy chủ Linux (như Ubuntu), nó đã bị vô hiệu hóa để đề phòng. Để biết thêm thông tin về việc vô hiệu hóa quyền truy cập root, hãy xem hướng dẫn này. Trong đó, chúng tôi cho bạn biết mọi thứ về cách chặn tài khoản root.
3. Bảo mật máy chủ SSH
SSH thường là một điểm yếu lớn trên nhiều máy chủ Linux, vì nhiều quản trị viên Linux thích sử dụng cài đặt SSH mặc định vì dễ dàng làm cho chúng hoạt động hơn là dành thời gian khóa mọi thứ.
Thực hiện các bước nhỏ để bảo mật máy chủ SSH của bạn trên Linux có thể giảm thiểu một lượng lớn người dùng trái phép, tấn công bằng phần mềm độc hại, đánh cắp dữ liệu, v.v.
Trước đây, tôi đã viết một bài chuyên sâu trên newsblog.pl về cách bảo mật máy chủ Linux SSH. Để biết thêm thông tin về cách chặn máy chủ SSH, vui lòng tham khảo bài đăng này.
4. Luôn cài đặt các bản cập nhật
Đây có vẻ là một câu hỏi hiển nhiên, nhưng bạn sẽ ngạc nhiên khi biết bao nhiêu nhà khai thác máy chủ Linux từ chối cập nhật hệ thống của họ. Lựa chọn này là dễ hiểu vì bất kỳ bản cập nhật nào cũng có thể phá vỡ các ứng dụng đang chạy, nhưng bằng cách chọn tránh cập nhật hệ thống của mình, bạn đang bỏ lỡ các bản vá bảo mật khắc phục các lỗi khai thác và lỗi mà tin tặc sử dụng để đột nhập vào hệ thống Linux.
Đúng là việc nâng cấp trên máy chủ Linux sản xuất khó chịu hơn rất nhiều so với trên máy tính để bàn. Thực tế đơn giản là bạn không thể dừng mọi thứ để cài đặt các bản vá lỗi. Để khắc phục sự cố này, hãy cân nhắc đặt lịch cập nhật theo lịch trình.
Để rõ ràng, không có khoa học thiết lập về lịch trình cập nhật. Chúng có thể khác nhau tùy thuộc vào trường hợp sử dụng của bạn, nhưng tốt nhất bạn nên cài đặt các bản vá hàng tuần hoặc hai tuần một lần để bảo mật tối đa.
6. Không có kho phần mềm của bên thứ ba
Điều tuyệt vời khi sử dụng Linux là nếu bạn cần một chương trình, miễn là bạn đang sử dụng đúng bản phân phối, thì sẽ có kho lưu trữ phần mềm của bên thứ ba. Vấn đề là nhiều kho phần mềm trong số này có thể làm hỏng hệ thống của bạn và phần mềm độc hại thường xuyên xuất hiện trong đó. Thực tế là nếu bạn sử dụng bản cài đặt Linux phụ thuộc vào phần mềm từ các nguồn bên thứ ba chưa được xác minh, bạn sẽ gặp sự cố.
Nếu bạn cần truy cập phần mềm mà hệ điều hành Linux không phân phối theo mặc định, hãy bỏ qua kho phần mềm của bên thứ ba cho các gói Snap. Có hàng tá ứng dụng máy chủ trong cửa hàng. Quan trọng nhất, mỗi ứng dụng trên cửa hàng Snap đều trải qua các cuộc kiểm tra bảo mật thường xuyên.
Bạn muốn biết thêm về Snap? Hãy xem bài đăng của chúng tôi về chủ đề này để tìm hiểu cách bạn có thể làm điều đó trên máy chủ Linux của mình!
7. Sử dụng tường lửa
Trên máy chủ, có một Tường lửa hiệu quả là tất cả. Nếu bạn có thiết lập này, bạn sẽ tránh được rất nhiều kẻ xâm nhập phiền phức mà nếu không bạn sẽ tiếp xúc. Mặt khác, nếu bạn không thiết lập một hệ thống tường lửa hiệu quả, máy chủ Linux của bạn sẽ bị ảnh hưởng nghiêm trọng.
Có một số giải pháp tường lửa khác nhau trên Linux. Với ý nghĩ đó, một số dễ hiểu hơn những cái khác. Cho đến nay, một trong những tường lửa Linux đơn giản nhất (và hiệu quả nhất) là FirewallD
Lưu ý: Để sử dụng FirewallD, bạn phải sử dụng hệ điều hành máy chủ có hệ thống khởi tạo SystemD.
Để bật FirewallD, trước tiên bạn phải cài đặt nó. Khởi chạy một cửa sổ đầu cuối và nhập các lệnh tương ứng với hệ điều hành Linux của bạn.
máy chủ Ubuntu
sudo systemctl disable ufw sudo systemctl stop ufw sudo apt install firewalld
Debian
sudo apt-get install firewalld
CentOS/Rhel
sudo yum install firewalld
Sau khi cài đặt phần mềm trên hệ thống của bạn, hãy kích hoạt nó bằng Systemd.
sudo systemctl enable firewalld sudo systemctl start firewalld
Đăng kí
Các vấn đề bảo mật ngày càng trở nên phổ biến trên các máy chủ Linux. Thật không may, khi Linux ngày càng trở nên phổ biến hơn trong không gian doanh nghiệp, những vấn đề này sẽ chỉ trở nên phổ biến hơn. Nếu làm theo các mẹo bảo mật trong danh sách này, bạn sẽ có thể ngăn chặn hầu hết các cuộc tấn công này.
