Bảo Mật VPS: Hướng Dẫn Toàn Diện Cho Người Mới
Server VPS trực tiếp kết nối internet sẽ bị bot và hacker quét liên tục - thường chỉ vài phút sau khi được kích hoạt. Không bảo mật đúng cách, server của bạn có thể bị xâm nhập trong vòng vài giờ. Hướng dẫn này cung cấp các bước bảo mật cần thiết để bảo vệ VPS Linux khỏi các cuộc tấn công phổ biến nhất.
Need this done for your project?
We implement, you ship. Async, documented, done in days.
Mối Đe Dọa Phổ Biến Với VPS Linux
Trước khi bảo mật, cần hiểu những gì đang tấn công server của bạn:
SSH Brute Force: Bot tự động thử hàng nghìn mật khẩu mỗi giờ. Đây là tấn công phổ biến nhất và dễ phòng thủ nhất bằng SSH key authentication.
Port Scanning: Hacker quét toàn bộ internet để tìm server có port mở và phần mềm lỗi thời. Luôn cập nhật phần mềm và đóng port không cần thiết.
Khai thác lỗ hổng phần mềm: Ứng dụng lỗi thời (WordPress cũ, PHP cũ) thường có lỗ hổng bảo mật đã biết. Hacker dùng script tự động để tìm và khai thác.
Cryptojacking: Sau khi xâm nhập, nhiều hacker cài phần mềm đào tiền điện tử âm thầm sử dụng tài nguyên server của bạn. CPU tăng đột biến là dấu hiệu cảnh báo.
Bảo Mật SSH: Lớp Phòng Thủ Đầu Tiên
SSH là cổng vào server - bảo mật nó là ưu tiên số một:
Dùng SSH key thay mật khẩu: Key pair ed25519 không thể brute force. Sau khi cài key, tắt hoàn toàn đăng nhập bằng mật khẩu trong /etc/ssh/sshd_config:PasswordAuthentication no
PermitRootLogin no
Đổi port SSH: Thay port 22 mặc định sang port khác (ví dụ 2299) giảm đáng kể số lượng bot tự động scan:Port 2299
Nhớ cập nhật firewall: ufw allow 2299/tcp
Fail2ban: Tự động ban IP sau 5 lần đăng nhập sai:apt install fail2ban
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Sửa jail.local: maxretry = 5, bantime = 3600
Firewall và Giới Hạn Network
Chỉ mở port thực sự cần thiết:
ufw default deny incoming
ufw default allow outgoing
ufw allow 2299/tcp # SSH port tùy chỉnh
ufw allow 80/tcp # HTTP
ufw allow 443/tcp # HTTPS
ufw enable
Kiểm tra port nào đang mở:ss -tlnp
Rate limiting cho HTTP: Trong cấu hình Nginx, giới hạn request để chống DDoS cơ bản:limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
limit_req zone=api burst=20 nodelay;
Kiểm tra log thường xuyên:journalctl -u sshd --since "1 hour ago"
fail2ban-client status sshd
Monitoring và Cập Nhật Tự Động
Cập nhật bảo mật tự động:apt install unattended-upgrades
dpkg-reconfigure -plow unattended-upgrades
Chọn "Yes" để tự động áp dụng cập nhật bảo mật. Giảm thiểu rủi ro từ lỗ hổng đã biết mà không cần can thiệp thủ công.
Monitoring đơn giản với htop:htop
Xem CPU, RAM, process đang chạy. CPU tăng đột biến bất thường có thể là dấu hiệu bị cryptojacking.
Kiểm tra kết nối mạng đáng ngờ:ss -tnp | grep ESTABLISHED
Rootkit scanner:apt install rkhunter
rkhunter --update
rkhunter --check
Chạy rkhunter định kỳ (cron job hàng tuần) để phát hiện rootkit và phần mềm độc hại có thể đã cài trên server.
Related Services
Why Anubiz Host
Ready to get started?
Skip the research. Tell us what you need, and we'll scope it, implement it, and hand it back — fully documented and production-ready.