10 Nguyên Tắc Cần Thiết Để Bảo Mật Server Linux Trong Môi Trường Production

Hệ thống bảo mật Linux không dừng lại việc cài đặt phần mềm hay tường lửa, mà quan trọng hơn là xây dựng thói quen quản trị an toàn , giúp hệ thống vận hành ổn định và giảm thiểu tối đa rủi ro bị tấn công.
Dưới đây là 10 nguyên tắc thực tế nên được áp dụng cho mọi máy chủ trong môi trường sản xuất.

1. SSH dịch vụ bảo mật

SSH là cổng truy cập chính vào hệ thống, vì vậy cần được bảo vệ cẩn thận.

Các biện pháp khuyến nghị:

• Tắt quyền đăng nhập trực tiếp bằng root trong file /etc/ssh/sshd_config:

  PermitRootLogin no


• Sử dụng khóa SSH thay vì mật khẩu:

  ssh-copy-id admin_user@192.168.1.10


• Thay đổi cổng mặc định 22 sang cổng khác (ví dụ 2222).

• Giới hạn IP được phép truy cập SSH bằng tường lửa:

  ufw allow from 118.70.15.99 to any port 2222


• Chỉ xác định người dùng được phép SSH:

  AllowUsers devops_admin service_account


2. Quản lý quyền sudo an toàn

Sudo là công cụ rất mạnh, nhưng nếu cấu hình sai có thể gây ra hậu quả nghiêm trọng.
Nguyên tắc quản lý:

• Chỉ cấp quyền sudo đầy đủ cho tài khoản quản trị.

• Ghi log tất cả các lệnh được thực thi qua sudo.

• Với người dùng đặc biệt, chỉ cấp quyền cho các lệnh cụ thể:

  app_runner ALL=(ALL) NOPASSWD: /usr/bin/tail -f /var/log/my_app/activity.log


3. Quản lý tài khoản người dùng

Các tài khoản không còn được sử dụng có thể gây nguy hiểm cho việc ẩn ẩn bảo mật.
Cần thực hiện định kỳ:

• Xóa tài khoản và thư mục gốc của người dùng cũ:

  userdel -r old_user


• Kiểm tra hiện tại người dùng danh sách:

  cat /etc/passwd | cut -d: -f1


• Use group để quản lý quyền thay vì phân công trực tiếp cho từng người.

4. Cấu hình tường lửa

Tường lửa là lớp bảo vệ đầu tiên chống lại quyền truy cập trái phép.
Nguyên tắc: chặn tất cả, chỉ cho phép các dịch vụ cần thiết.

Ví dụ với UFW:

5. Ngăn chặn tấn công mật khẩu với Faillock

Cấu hình Faillock để khóa tài khoản sau một số sai sót đăng nhập liên tiếp:

Tài khoản sẽ bị khóa 15 phút nếu nhập sai mật khẩu 3 lần.

6. Áp dụng chính sách mật khẩu mạnh (PAM)

Thiết lập quy tắc phức tạp mật khẩu trong /etc/pam.d/common-password:

Mật khẩu phải dài tối thiểu 14 ký tự, có chữ hoa, chữ thường, số và ký tự đặc biệt.

7. Quản lý vòng đời mật khẩu

Buộc người dùng thay đổi mật khẩu bất kỳ trợ giúp nào để hiển thị thông tin cơ sở.
Cấu hình trong /etc/login.defs:

Mật khẩu hết hạn sau 60 ngày và hệ thống sẽ cảnh báo trước 7 ngày.

8. Giới hạn truy cập Internet từ máy chủ

Không phải máy chủ nào cũng cần truy cập Internet toàn phần.
Giới hạn lưu lượng truy cập ra ngoài giúp giảm nguy cơ tấn công.
Ví dụ:

9. Kích hoạt nhật ký và hệ thống giám sát

Ghi nhật ký tất cả các lệnh sudo trong /etc/sudoers:

Sau đó gửi log về hệ thống quản lý tập trung (ELK Stack, Graylog, vv) để giám sát và cảnh báo.

10. Triển khai xác thực hai yếu tố (2FA)

Thêm lớp bảo mật OTP khi đăng nhập SSH bằng libpam-google-authenticator .
2FA giúp ngăn chặn truy cập trái phép ngay khi mật khẩu được tiết lộ.

Kết luận

Hệ thống bảo mật không phải thực hiện một lần mà là quy trình liên tục cần được duy trì và kiểm tra thường xuyên.
Việc áp dụng các nguyên tắc trên sẽ giúp hệ thống Linux sản xuất được an toàn, ổn định và chắc chắn trước các nguy cơ tấn công.

Nếu bạn muốn tìm hiểu sâu hơn về quản trị hệ thống Linux chuyên nghiệp , hãy tham khảo khóa học thực hành tại PNH:
 Khóa học Linux System Admin  – Học Linux ở đâu tốt nhất?

Fanpage: Học viện đào tạo quản trị mạng PNH

Hotline/Zalo: 0906 289 618 (PNH CENTRE)

Hotline/Zalo: 0904 508 838 (PNH Academy)

Điạ chỉ: P301, tầng 03 tòa nhà DETECH, số 8A Tôn Thất Thuyết, Hà Nội