Bảo mật luôn là một nhiệm vụ đầy khó khăn với các quản trị viên. Hôm nay SecurityBox sẽ gửi đến bạn các mẹo để bảo mật Server Linux.
Tuyển tập các mẹo bảo mật Server Linux
Đa phần mọi người cho rằng hệ thống bảo mật Linux đã được cài đặt sẵn ngay từ ban đầu và người dùng sẽ chẳng phải thay đổi nhiều. Tuy vậy, Server Linux cũng có nhiều loại hình bảo mật đặc trưng cho nhiều trường hợp khác nhau. Việc chọn lựa chế độ thích hợp sẽ có thể giúp cho tính an toàn của hệ thống được nâng cao. Linux rất khó để có để điều khiển tuy vậy nó lại có khá nhiều tùy chính linh hoạt và phù hợp.
1. Bảo vệ hệ thống vật lý
Mẹo bảo mật Server Linux đầu tiên SecurityBox muốn gửi đến bạn đó là loại trừ những nguy cơ hệ thống BIOS với đĩa CD hay DVD hoặc những thiết bị bên ngoài. Hãy nên đặt mật khẩu cho BIOS, GRUB để có thể ngăn chặn toàn bộ những kết nối các thiết bị vật lý bên ngoài với hệ thống.
2. Phân vùng ổ cứng
Theo SecurityBox, phân chia dữ liệu không chỉ giúp việc sắp xếp dữ liệu một cách hợp lý hơn mà còn làm cho dữ liệu trở nên an toàn hơn khi có sự cố bất chợt xảy ra. Lúc đó, chỉ dữ liệu ở trong những phân vùng gặp sự cố bị ảnh hưởng và không ảnh hưởng gì đến những dữ liệu ở phân vùng khác.
- Giảm những gói dữ liệu không cần thiết và hạn chế lỗ hổng bảo mật
Bạn đã từng sử dụng toàn bộ những gói dịch vụ? Theo SecurityBox, để bảo mật Server Linux tốt hơn bạn hãy các gói dịch vụ không cần thiết để có thể tránh được nguy cơ bị tấn công thông qua những lỗ hổng ở những gói dịch vụ đó. Hãy nên kiểm tra xem có những gói dịch vụ nào không cần thiết thì hãy gỡ chúng đi.
4.Kiểm tra những cổng kết nối mạng
Với dòng lệnh “netstat” bạn có thể kiểm tra được toàn bộ những cổng kết nối đang mở và những chương trình đang liên kết ra bên ngoài.
5. Dùng Secure Shell
Với những giao thức cũ như Telnet, rlogin chỉ dùng các text để truyền tin, không có cơ chế nào để mã hóa thông tin. Như vậy thật không tốt cho việc bảo mật Server Linux, giải pháp cho vấn đề này chính là dùng Secure Shell. Đây là giao thức an toàn hơn cả bởi vì nó sẽ mã hóa những dữ liệu trước khi chúng được truyền đi trong quá trình giao tiếp giữa người sử dụng với Server.
Xem nhiều: Checklist bảo mật hệ thống đầy đủ
6. Cập nhật định kỳ hệ thống
Luôn luôn phải nhớ hệ thống của bạn được cập nhật định kỳ những bản vá, bản sửa lỗi và nâng cấp hệ thống sớm nhất có thể. Điều này là cơ bản trong bảo mật hệ thống Server Linux.
7. Khóa Cronjobs
Khóa Cron là điều SecurityBox khuyến cáo người sử dụng Linux nên dùng bởi Cron có khả năng tự làm việc độc lập, tuy vậy nó cũng có thể cho phép người sử dụng có thể điều khiển nó khi cần. Việc điều khiển này khá đơn giản có thể điều khiển qua những tập tin có địa chỉ “/etc/cron.allow” hay “etc/cron.deny”. Bổ sung tên của người dùng vào “cron. deny” nếu như không muốn họ thay đổi cron, ngược lại nếu muốn người dùng sử dụng cron thì dùng “cron.allow”.
8. Tắt USB stick
Có phải bạn đã từng nhiều lần xảy ra chuyện ta muốn giới hạn người dùng kết nối với hệ thống thông qua USB để tránh tình trạng đánh cắp dữ liệu. Để bảo mật Server Linux, hãy tạo một tập tin “/etc/modprobe.d/no-usb” và bổ sung các dòng lệnh dưới đây để hệ thống không nhận USB nữa
install usb-storage /bin/true |
- Dùng SELinux
SELinux(hệ thống bảo mật nâng cao) là một cơ chế bảo mật Server Linux cung cấp ở vùng nhân. Tắt SELinux đồng nghĩa với loại bỏ cơ chế này ra khỏi hệ thống. Hãy cân nhắc trước khi bạn muốn tắt nó đi. Nếu hệ thống của bạn đang cần kết nối với Internet thì sẽ xuất hiện chế độ truy cập là public(công khai)
Hệ thống bảo mật nâng cao có 3 chế độ điều khiển như sau.
- Enforcing: Chế độ thường, khởi động SELinux và để nó có toàn quyền hoạt động tự do.
- Permissive: Ở chế độ này, SELinux sẽ phải các báo cáo và cảnh cáo đến người dùng trước các hoạt động. Chế độ này vô cùng hữu dụng ở trong trường hợp chuẩn đoán và giải quyết sự cố nếu nó xảy ra.
- Disable: Tắt hệ thống bảo mật nâng cao này đi.
Trên đây chỉ là một trong số nhỏ những mẹo giúp bảo mật Server Linux mà SecurityBox tổng hợp cho bạn đọc. Hãy chú ý truy cập SecurityBox blog để cập nhật thêm những mẹo, những bí quyết mới nhé.