9 Cách Bảo Mật Server Căn Bản Dành Cho Người Quản Lý Cloud Server
Có rất nhiều cách thức để bảo mật cho server từ căn bản cho đến nâng cao. Bài viết dưới đây sẽ liệt kê một số cách tăng tính bảo mật của cPanel và Web Host Manager (WHM) dành cho những người quản lý cloud server hoặc dedicated server (chủ yếu trên nền tảng Linux) đang trong quá trình tìm hiểu hoặc còn ít kinh nghiệm.
MỤC LỤC:
Tất cả các tính năng đó·dành cho những người quản lý cloud server hoặc dedicated server (chủ yếu trên nền tảng Linux) đang trong quá trình tìm hiểu hoặc còn ít kinh nghiệm.
1. Sử dụng mật khẩu an toàn
Mật khẩu không an toàn là mối đe doạ bảo mật thường gặp nhất. Sử dụng mật khẩu an toàn là điều kiện tiên quyết nếu bạn muốn duy trì tính an toàn và bảo mật cho server của mình. Chỉnh sửa file /etc/login.defs để cấu hình nhiều tuỳ chọn mật khẩu trên hệ thống của bạn.
Về tổng thể thì 1 mật khẩu an toàn sẽ bao gồm ít nhất 8 kí tự có kèm cả số và chữ. Tuyệt đối đừng nên sử dụng mật khẩu có chứa các từ nằm trong từ điển hoặc những ngày tháng phổ biến. Nếu cảm thấy không chắc chắn về độ an toàn của một mật khẩu, bạn có thể kiểm tra nó với JTR cracker. Ngoài ra, bạn cũng có thể cài đặt các công cụ như pam_passwdqc để đo độ mạnh của mật khẩu.
Sử dụng mật khẩu an toàn
2. Bảo mật SSH
Để tăng độ bảo mật, bạn nên chuyển truy cập SSH sang một cổng khác nhằm ngăn chặn những người thiếu kiến thức về server có thể truy cập vào cổng SSH này của bạn. Để tuỳ chỉnh cổng mà SSH chạy, bạn cần chỉnh sửa file /etc/ssh/sshd_config.
Khi thực hiện, tốt nhất bạn nên sử dụng 1 cổng có số thứ tự nhỏ hơn 1024 và chưa được dùng cho dịch vụ nào khác. Lí do cho việc này là vì các cổng được sử dụng là cổng “đặc quyền”, chỉ có các root user mới có thể liên kết với chúng.
Cổng từ 1024 trở lên là cổng “không đặc quyền” và bất cứ ai cũng có thể dùng được. Chú ý là phải luôn sử dụng SSHv2, vì SSHv1 không an toàn. Thêm nữa, bạn cần chuyển dòng #Protocol 2,1 trong file /etc/ssh/sshd_config sang Protocol 2.
3. Bảo mật Apache
Con đường nhanh chóng và dễ dàng nhất để truy cập một web cloud server đó chính là thông qua các ứng dụng trên web server này. Do đó bạn cần bảo mật cài đặt Apache. Một trong những công cụ tốt nhất để giúp ngăn chặn việc sử dụng Apache vào các mục đích xấu đó chính là ModSecurity™. Trong cPanel & WHM phiên bản 11.46 trở lên, bạn có thể dùng các giao diện sau đây để quản lý ModSecurity:
- Giao diện WHM’s ModSecurity™ Configuration (Home >> Security Center >> ModSecurity™ Configuration)
- Giao diện WHM’s ModSecurity™ Tools (Home >> Security Center >> ModSecurity™ Tools)
Khi biên soạn Apache, bạn nên kèm theo suEXEC để đảm bảo tất cả ứng dụng CGI và script chạy đúng dưới quyền của người dùng đã đăng kí. Phương pháp này còn cho phép truy cập tới vị trí của những script có mục đích xấu và kẻ “chủ mưu” ra chúng. Đồng thời, nó cũng giúp đảm bảo quyền hạn và các thiết lập điều khiển trong môi trường server của bạn.
Một lời khuyên dành cho bạn là nên biên soạn Apache và PHP với suPHP. suPHP sẽ bắt tất cả các PHP script chạy đúng dưới quyền của người sở hữu script đó. Điều này giúp bạn biết được chủ sở hữu của tất cả các PHP script đang chạy trên server của mình và truy cập được đến vị trí của các script có mục đích xấu. Để biên soạn Apache và PHP với suPHP, bạn cần tích vào tuỳ chọn suPHP option trong giao diện WHM’s EasyApache (Home >> Software >> EasyApache (Apache Update)) hoặc chạy script /scripts/easyapache từ bảng điều khiển (command line).
4. Gia cố hệ thống (phân vùng /tmp)
Bạn nên gắn một phân vùng /tmp riêng rẽ với tuỳ chọn nosuid. Tùy chọn này sẽ ép một tiến trình chạy với các đặc quyền của người thi hành nó. Bạn cũng cần phải gắn thư mục /tmp với noexec sau khi cài cPanel và WHM. Chạy script /scripts/securetmp để gắn phân vùng /tmp sang một file tạm thời nhằm mục đích dự phòng.
Nếu bạn không muốn chạy script /scripts/securetmp trên server của mình, hãy tạo file /var/cpanel/version/securetmp_disabled. Để thực hiện điều này, hãy chạy dòng lệnh sau: touch /var/cpanel/version/securetmp_disabled. File này sẽ giúp đảm bảo rằng script không thể chạy trên cloud server của bạn. Tuy nhiên bạn không nên vô hiệu hoá script /scripts/securetmp.
5. Hạn chế các trình biên soạn hệ thống
Trình biên soạn C và C++ sẽ không cần thiết với hầu hết người dùng. Vì vậy, bạn nên tắt các trình biên soạn với người dùng không nằm trong nhóm biên soạn thông qua file /etc/group. Để có thể thực hiện điều này thông qua WHM, bạn cần sử dụng giao diện WHM’s Compiler Access (Home>>Security Center>>Compiler Access). Nếu muốn tắt bằng command line thì hãy chạy lệnh sau với quyền root: /scripts/compilers off.
6. Bật tường lửa
Để nâng cao mức độ bảo mật, bạn có thể cài đặt tường lửa nhằm giới hạn các truy cập đến server của mình hoặc tháo gỡ các phần mềm không dùng đến trên hệ thống. Trước khi xoá các service hay daemon không cần thiết, bạn có thể bật tường lửa để ngăn các truy cập không mong muốn.
Bật tường lửa để ngăn các truy cập không mong muốn
7. Tắt service và daemon không dùng đến
Mọi service hay daemon có khả năng kết nối đến server của bạn đều có thể bị các hacker lợi dụng. Để hạn chế nguy cơ bị tấn công, hãy tắt những service hoặc daemon mà bạn không sử dụng thông qua giao diện WHM’s Service Manager (Home >> Service Configuration >> Service Manager).
8. Cập nhật thường xuyên
Một điều quan trọng để tăng tính bảo mật cho server đó là bạn cần sử dụng các phần mềm với phiên bản mới nhất và ổn định nhất trên hệ thống của mình để có thể đảm bảo các lỗ hổng bảo mật trong những phiên bản cũ trước đó đã được vá lại. Các thành phần sau đây sẽ luôn cần cập nhật:
- Kernel
- Các phần mềm hệ thống
- Ứng dụng người dùng (bulletin boards, CMS, blog engines,…) (có thể cập nhật toàn bộ cài đặt cPAddon trong giao diện WHM’s Manage cPAddons Site Software (Home >> cPanel >> Manage cPAddons Site Software)
- cPanel & WHM (có thể đặt cập nhật tự động trong giao diện WHM’s Update Preferences (Home >> Server Configuration >> Update Preferences))
9. Giám sát hệ thống
Những điều mà bạn luôn cần phải biết đó là lúc nào có người dùng mới tạo tài khoản, các phần mềm đang chạy trên cloud server của mình là gì và tất cả mọi thứ liên quan đến nó. Bạn cần chạy các lệnh sau thường xuyên để đảm bảo hệ thống đang hoạt động đúng theo những gì bạn muốn:
- netstat –anp: Kiểm tra các cổng, chương trình mà bạn không cài đặt hoặc cho phép hoạt động.
- find / \( -type f -o -type d \) -perm /o+w 2>/dev/null | egrep -v ‘/(proc|sys)’ > world_writable.txt: Kiểm tra file world_writable.txt để tìm những nơi mà hacker có thể giấu file trên hệ thống của bạn.
- ls /var/log/: Nhiều log khác nhau trên hệ thống của bạn có thể là tài nguyên giá trị. Kiểm tra các log hệ thống, log Apache, log mail và các log khác thường xuyên để đảm bảo hệ thống hoạt động như mong muốn.
- find / -nouser -o -nogroup >> no_owner.txt: Kiểm tra file no_owner để xem tất cả các file không có người dùng hay nhóm nào liên kết với.
Trên đây là 9 cách bảo mật server căn bản dành cho người quản lý cloud server. Hy vọng bài viết sẽ đem đến những kiến thức có ích cho bạn.
Nguồn: Mắt Bão