Posted inSecurity

Checklist Tăng Cường Bảo Mật Máy Chủ Linux: Ngăn Chặn Sự Cố An Ninh Lúc 2 Giờ Sáng

Security tutorial - IT technology blog
Security tutorial - IT technology blog

Table of Contents

Cuộc Gọi Pager Lúc 2 Giờ Sáng: Một Vấn Đề Thực Tế

Đã 2 giờ sáng. Máy nhắn tin của bạn réo lên, rung bần bật trên tủ đầu giường. Bạn giật mình tỉnh giấc, tim đập thình thịch, một cảm giác sợ hãi lạnh lẽo bao trùm. Một máy chủ sản xuất quan trọng đã ngừng hoạt động, hoặc tệ hơn, đã bị xâm nhập. Vi phạm dữ liệu, lây nhiễm phần mềm độc hại, truy cập trái phép – đây không chỉ là những dòng tít trên báo; chúng là những cơn ác mộng khiến các chuyên gia IT phải trằn trọc thâu đêm. Tôi vẫn nhớ cảm giác quặn thắt khi lần đầu phát hiện một vụ xâm nhập máy chủ.

Đó là 2 giờ sáng, trang web của một khách hàng đang phát tán phần mềm độc hại, và trái tim tôi như chùng xuống. Chúng tôi đã truy tìm nguyên nhân và phát hiện ra đó là do một mật khẩu yếu trên một tài khoản quản trị đã bị lãng quên. Kể từ ngày đó, việc tạo ra các mật khẩu phức tạp, ngẫu nhiên thực sự trở thành một nguyên tắc bất di bất dịch đối với tôi. Thành thật mà nói, tôi luôn dùng toolcraft.app/vi/tools/security/password-generator để tạo mật khẩu máy chủ — nó chạy hoàn toàn trên trình duyệt, vì vậy không có dữ liệu nào được gửi qua mạng. Bước nhỏ này có thể tạo ra sự khác biệt lớn. Trải nghiệm này không chỉ là một câu chuyện; đó là một lời nhắc nhở rõ ràng rằng các đối tượng tấn công liên tục quét internet, dò tìm bất kỳ điểm yếu nào, điển hình là tấn công Brute-Force.

Chúng ta làm việc không mệt mỏi để xây dựng các ứng dụng mạnh mẽ và triển khai chúng trên cơ sở hạ tầng có vẻ ổn định. Tuy nhiên, chỉ một sơ suất nhỏ cũng có thể phá hỏng hàng tháng trời nỗ lực, dẫn đến thiệt hại về uy tín, tổn thất tài chính và vô số giờ ứng phó sự cố. Câu hỏi không phải là liệu máy chủ của bạn có bị tấn công hay không, mà là khi nào. Thách thức thực sự nằm ở việc đảm bảo chúng được chuẩn bị đầy đủ.

Phân Tích Nguyên Nhân Gốc Rễ: Vì Sao Máy Chủ Dễ Bị Tấn Công

Khi bạn đối mặt với một máy chủ bị xâm nhập lúc 2 giờ sáng, trọng tâm tức thì của bạn là giảm thiểu thiệt hại. Nhưng một khi mọi việc lắng xuống, việc hiểu làm thế nào nó xảy ra trở thành nhiệm vụ quan trọng. Hầu hết các vụ xâm nhập máy chủ không bắt nguồn từ các lỗ hổng zero-day tinh vi. Thay vào đó, chúng thường là kết quả của những thất bại cơ bản trong vệ sinh bảo mật. Những vấn đề này thường bị bỏ qua, mặc dù chúng rất dễ khắc phục, tương tự như các lỗ hổng Web phổ biếnOWASP Top 10 đã chỉ ra.

Các Yếu Tố Dẫn Đến Lỗ Hổng Phổ Biến:

  • Thông Tin Đăng Nhập Yếu hoặc Mặc Định: Đây là điểm vào yêu thích của kẻ tấn công. Mật khẩu mặc định hoặc dễ đoán là một lời mời công khai. Trong sự cố lúc 2 giờ sáng của tôi, chính xác là vậy – một tài khoản admin với mật khẩu đáng lẽ phải được thay đổi từ nhiều năm trước.
  • Phần Mềm Chưa Vá Lỗi: Mọi phần mềm đều có những lỗ hổng không thể tránh khỏi. Các nhà cung cấp phát hành bản vá, nhưng nếu bạn không áp dụng chúng kịp thời, bạn đang để lại một cánh cửa rộng mở cho kẻ tấn công.
  • Các Dịch Vụ Không Cần Thiết Đang Chạy: Nhiều hệ điều hành đi kèm với các dịch vụ được bật theo mặc định mà bạn không cần cho ứng dụng của mình. Mỗi dịch vụ đang chạy làm tăng bề mặt tấn công tiềm năng của bạn.
  • Cổng Mạng Mở: Hãy coi máy chủ như một pháo đài, với các cổng của nó là những cánh cổng. Để các cổng không cần thiết mở toang (ví dụ: để lộ cổng cơ sở dữ liệu trực tiếp ra internet) là một sai lầm nghiêm trọng.
  • Quyền Hạn Không Đầy Đủ: Quyền hạn tệp hoặc thư mục quá rộng có thể cho phép kẻ tấn công giành được chỗ đứng để leo thang đặc quyền hoặc truy cập dữ liệu nhạy cảm mà chúng không nên có.
  • Thiếu Giám Sát và Ghi Nhật Ký: Nếu bạn không ghi nhật ký hoạt động hệ thống hoặc không chủ động giám sát các nhật ký đó, bạn sẽ không hề hay biết về một cuộc xâm nhập cho đến khi quá muộn – thường là khi hệ thống đã bị xâm phạm hoàn toàn.
  • Quản Lý Tài Khoản Người Dùng Kém: Các tài khoản người dùng cũ, tài khoản dùng chung hoặc người dùng có đặc quyền quá mức đều là những lỗ hổng bảo mật đáng kể.

Những nguyên nhân gốc rễ này không hề xa lạ. Chúng là trọng tâm hàng ngày của những người kiểm thử xâm nhập và những kẻ tấn công độc hại. Bỏ qua chúng giống như để cửa trước nhà bạn không khóa trong một khu dân cư có tỷ lệ tội phạm cao.

So Sánh Giải Pháp: Tăng Cường Bảo Mật Thủ Công và Tự Động

Khi đối mặt với một môi trường máy chủ dễ bị tấn công, làm thế nào để bạn bảo vệ nó? Có hai phương pháp chính, mỗi phương pháp có những ưu điểm và thách thức riêng:

Tăng Cường Bảo Mật Thủ Công:

Phương pháp này bao gồm việc đăng nhập vào từng máy chủ và tỉ mỉ áp dụng các cấu hình bảo mật bằng tay. Đối với một máy chủ duy nhất, điều này có vẻ khả thi. Bạn xem qua một checklist, thực hiện các lệnh và xác minh các thay đổi. Việc kiểm soát trực tiếp có thể trấn an, và nó mang lại sự hiểu biết sâu sắc về từng thay đổi cấu hình.

  • Ưu điểm: Kiểm soát hoàn toàn, kinh nghiệm học hỏi sâu sắc, chi phí thiết lập ban đầu thấp cho một máy chủ duy nhất.
  • Nhược điểm: Rất dễ xảy ra lỗi, không nhất quán giữa nhiều máy chủ, không thể mở rộng quy mô, khó kiểm tra và cực kỳ tốn thời gian. Hãy tưởng tượng việc lặp lại hàng trăm bước trên hàng chục máy chủ – khả năng xảy ra lỗi của con người tăng vọt, dẫn đến các lỗ hổng bảo mật.

Tăng Cường Bảo Mật Tự Động Với Các Công Cụ Quản Lý Cấu Hình:

Các công cụ như Ansible, Puppet, Chef hoặc SaltStack cho phép bạn định nghĩa trạng thái mong muốn của máy chủ bằng code. Bạn viết các playbook hoặc manifest chỉ định cách các dịch vụ nên được cấu hình, người dùng được quản lý và tường lửa được thiết lập. Các công cụ này sau đó đảm bảo tất cả máy chủ của bạn tuân thủ nhất quán trạng thái đã định nghĩa này.

  • Ưu điểm: Tính nhất quán trên toàn bộ cơ sở hạ tầng, khả năng mở rộng, giảm lỗi con người, hoạt động bất biến (chạy script nhiều lần cho cùng một kết quả), dễ kiểm tra hơn và phản ứng sự cố nhanh hơn (bạn có thể nhanh chóng áp dụng lại các cấu hình).
  • Nhược điểm: Đường cong học tập ban đầu cao hơn, yêu cầu thiết lập và duy trì cơ sở hạ tầng quản lý cấu hình.

Mặc dù các công cụ tự động là tiêu chuẩn vàng cho các môi trường lớn hơn, nhiều tổ chức, đặc biệt là những nơi có số lượng máy chủ nhỏ hơn, vẫn phụ thuộc nhiều vào các quy trình thủ công. Những quy trình này thường được hướng dẫn bởi các checklist nội bộ.

Ngay cả với tự động hóa, việc hiểu các bước thủ công cơ bản là rất quan trọng để khắc phục sự cố và viết cấu hình hiệu quả. Để tăng cường bảo mật tức thì và hiểu rõ các khái niệm, việc tập trung vào các bước thực hành, trực tiếp trong một checklist sẽ cung cấp giải pháp dễ tiếp cận và có tác động nhất.

Phương Pháp Tốt Nhất: Checklist Tăng Cường Bảo Mật Máy Chủ Linux Chủ Động

Cách phòng thủ tốt nhất chống lại cuộc gọi pager lúc 2 giờ sáng là một tư thế bảo mật mạnh mẽ, chủ động. Điều này có nghĩa là tăng cường bảo mật máy chủ Linux của bạn một cách có hệ thống chống lại các mối đe dọa phổ biến. Sau đây là một checklist thực tế mà bạn có thể triển khai ngay hôm nay, tập trung vào các nguyên tắc bảo mật cốt lõi bao gồm hầu hết các lỗ hổng trong thế giới thực.

1. Thiết Lập Ban Đầu và Quản Lý Người Dùng

Các bước này rất quan trọng ngay sau khi cài đặt, trước khi đưa máy chủ của bạn ra internet. Luôn tránh làm việc trực tiếp với quyền root.

Tạo Người Dùng Không Phải Root Với Đặc Quyền Sudo:

Hoạt động như một người dùng thông thường và sử dụng sudo cho các tác vụ quản trị sẽ giảm thiểu rủi ro gây hư hại hệ thống do vô ý. Nó cũng giới hạn tác động nếu phiên làm việc của bạn bị xâm nhập.


# Tạo người dùng mới (thay thế 'youruser' bằng tên người dùng mong muốn của bạn)
sudo adduser youruser

# Thêm người dùng vào nhóm sudo (trên các hệ thống Debian/Ubuntu)
sudo usermod -aG sudo youruser

# Hoặc, trên các hệ thống RHEL/CentOS:
sudo usermod -aG wheel youruser

Đăng xuất khỏi quyền root và đăng nhập lại với tư cách youruser. Từ giờ trở đi, hãy sử dụng sudo cho các lệnh yêu cầu đặc quyền.

Cấu Hình Mật Khẩu Mạnh và Chính Sách Mật Khẩu:

Mật khẩu yếu là một lỗ hổng bảo mật lớn. Do đó, việc thực thi các chính sách mật khẩu mạnh là rất cần thiết. Như tôi đã đề cập trước đó, việc tạo ra các mật khẩu phức tạp, ngẫu nhiên thực sự trở thành một nguyên tắc bất di bất dịch đối với tôi sau một sự cố cụ thể lúc 2 giờ sáng. Tôi luôn dùng toolcraft.app/vi/tools/security/password-generator để tạo mật khẩu máy chủ; nó chạy hoàn toàn trong trình duyệt, vì vậy không có dữ liệu nào được gửi qua mạng. Triển khai các công cụ để thực thi độ phức tạp và thời hạn sử dụng.


# Chỉnh sửa cấu hình PAM để tăng độ phức tạp của mật khẩu (ví dụ Debian/Ubuntu)
sudo nano /etc/pam.d/common-password

# Tìm dòng tương tự 'password requisite pam_pwquality.so retry=3' và thêm:
# minlen=12 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root

# Ví dụ cho các hệ thống RHEL/CentOS sử dụng /etc/security/pwquality.conf:
sudo nano /etc/security/pwquality.conf
# minlen = 12
# minclass = 3
# dcredit = -1
# ucredit = -1
# lcredit = -1
# ocredit = -1

Cấu hình này thực thi độ dài tối thiểu (ví dụ: 12 ký tự) và yêu cầu kết hợp các loại ký tự (chữ hoa, chữ thường, số, ký tự đặc biệt).

Vô Hiệu Hóa Các Tài Khoản Không Sử Dụng:

Xem xét các tài khoản hệ thống và vô hiệu hóa bất kỳ tài khoản nào không cần thiết. Điều này làm giảm các điểm vào tiềm năng cho kẻ tấn công.


# Liệt kê tất cả người dùng
cat /etc/passwd

# Để vô hiệu hóa một tài khoản (ví dụ: 'guest')
sudo usermod -L guest

# Để khóa mật khẩu của một tài khoản
sudo passwd -l guest

2. Giữ Hệ Thống Luôn Được Cập Nhật

Các lỗ hổng phần mềm được phát hiện hàng ngày. Do đó, việc luôn cập nhật là tuyến phòng thủ đầu tiên và quan trọng nhất của bạn.

Thường Xuyên Cập Nhật Tất Cả Phần Mềm:

Bước này là bắt buộc. Lên lịch cập nhật thường xuyên cho hệ điều hành và tất cả các gói đã cài đặt của bạn. Ví dụ, nhiều tổ chức đặt mục tiêu chu kỳ vá lỗi hàng tháng.


# Đối với các hệ thống dựa trên Debian/Ubuntu:
sudo apt update && sudo apt upgrade -y
sudo apt autoremove -y

# Đối với các hệ thống dựa trên RHEL/CentOS:
sudo dnf update -y

Bật Tự Động Cập Nhật Bảo Mật:

Đối với các bản vá bảo mật quan trọng, việc bật cập nhật tự động có thể ngăn chặn các lỗ hổng đã biết giành được chỗ đứng trước khi bạn áp dụng bản cập nhật thủ công. Điều này đặc biệt hữu ích cho các máy chủ không được giám sát 24/7.


# Đối với các hệ thống dựa trên Debian/Ubuntu (cài đặt nếu chưa có):
sudo apt install unattended-upgrades

# Bật và cấu hình (làm theo hướng dẫn hoặc chỉnh sửa /etc/apt/apt.conf.d/50unattended-upgrades)
sudo dpkg-reconfigure --priority=low unattended-upgrades

3. Cấu Hình Tường Lửa Mạnh Mẽ

Tường lửa đóng vai trò là lớp phòng thủ biên của máy chủ. Mục đích của nó là chỉ cho phép lưu lượng truy cập thực sự cần thiết, chặn mọi thứ khác.

Sử Dụng UFW (Uncomplicated Firewall) trên Debian/Ubuntu:

UFW đơn giản hóa đáng kể việc quản lý tường lửa. Hãy bật nó lên và chỉ cho phép các dịch vụ cần thiết. Ví dụ, hầu hết các máy chủ web cần mở cổng 80 và 443.


# Mặc định từ chối tất cả lưu lượng truy cập đến, cho phép tất cả lưu lượng truy cập đi
sudo ufw default deny incoming
sudo ufw default allow outgoing

# Cho phép SSH (thường là cổng 22, nhưng hãy cân nhắc thay đổi nó sang một cổng không chuẩn như 2222)
sudo ufw allow ssh

# Cho phép HTTP (cổng 80) và HTTPS (cổng 443) cho các máy chủ web
sudo ufw allow http
sudo ufw allow https

# Bật tường lửa
sudo ufw enable

# Kiểm tra trạng thái của nó
sudo ufw status verbose

Sử Dụng Firewalld trên RHEL/CentOS:

Firewalld cung cấp một công cụ quản lý tường lửa động, phân loại các kết nối mạng thành các vùng (zone). Điều này cho phép kiểm soát chi tiết hơn các quy tắc lưu lượng truy cập.


# Khởi động và bật firewalld
sudo systemctl start firewalld
sudo systemctl enable firewalld

# Thêm các dịch vụ cần thiết (ví dụ: SSH, HTTP, HTTPS) vào vùng public
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https

# Tải lại firewalld để áp dụng thay đổi
sudo firewall-cmd --reload

# Liệt kê các quy tắc đang hoạt động để xác minh cấu hình của bạn
sudo firewall-cmd --list-all

4. Vô Hiệu Hóa Các Dịch Vụ Không Cần Thiết

Mỗi dịch vụ đang chạy tiêu tốn tài nguyên và có khả năng tạo ra lỗ hổng. Nếu bạn không thực sự cần một dịch vụ, tốt nhất là vô hiệu hóa nó. Điều này giảm thiểu bề mặt tấn công của bạn.


# Liệt kê tất cả các dịch vụ đang chạy
sudo systemctl list-units --type=service --state=running

# Để vô hiệu hóa một dịch vụ (ví dụ: 'cups' nếu không cần cho việc in ấn trên máy chủ)
sudo systemctl stop cups
sudo systemctl disable cups

Xem xét danh sách cẩn thận và nghiên cứu bất kỳ dịch vụ nào bạn không chắc chắn trước khi vô hiệu hóa chúng. Một nguyên tắc chung là: nếu bạn không biết nó làm gì, hãy vô hiệu hóa nó và xem liệu có bất kỳ lỗi nào xảy ra trong môi trường thử nghiệm trước không.

5. Bảo Mật Quyền Tệp và Thư Mục

Quyền hạn không đúng là một con đường phổ biến để leo thang đặc quyền hoặc truy cập dữ liệu trái phép. Các quyền hạn được cấu hình không chính xác thường bị khai thác trong các cuộc tấn công.

Nguyên Tắc Đặc Quyền Tối Thiểu:

Các tệp và thư mục chỉ nên được đọc, ghi hoặc thực thi bởi những người dùng và nhóm thực sự cần truy cập. Tuân thủ nguyên tắc này là nền tảng cho bảo mật.

  • 644 cho các tệp thông thường (chủ sở hữu đọc/ghi, nhóm đọc, những người khác đọc).
  • 755 cho các thư mục (chủ sở hữu đọc/ghi/thực thi, nhóm đọc/thực thi, những người khác đọc/thực thi).
  • Đối với các tệp cực kỳ nhạy cảm (ví dụ: khóa SSH riêng), hãy sử dụng 600 (chủ sở hữu chỉ đọc/ghi).

# Ví dụ: Đặt quyền cho thư mục gốc của máy chủ web (ví dụ: cho Apache hoặc Nginx)
sudo chmod -R 755 /var/www/html
sudo chown -R www-data:www-data /var/www/html

# Ví dụ: Bảo mật một tệp cấu hình nhạy cảm
sudo chmod 600 /etc/someapp/config.ini
sudo chown root:root /etc/someapp/config.ini

6. Triển Khai Ghi Nhật Ký và Kiểm Toán

Nếu một sự cố xảy ra, nhật ký chi tiết là tài sản quý giá nhất của bạn để phân tích pháp y và hiểu điều gì đã xảy ra. Nếu không có nhật ký đầy đủ, các cuộc điều tra trở nên khó khăn hơn đáng kể, nếu không muốn nói là không thể.

Cấu Hình Ghi Nhật Ký Hệ Thống (rsyslog/syslog-ng):

Đảm bảo các nhật ký quan trọng được thu thập, xoay vòng và lưu giữ. Cân nhắc gửi nhật ký đến một hệ thống quản lý nhật ký tập trung như ELK Stack hoặc Splunk để phân tích dễ dàng hơn và lưu trữ dài hạn.


# Xem lại cấu hình rsyslog để đảm bảo ghi nhật ký đúng cách
cat /etc/rsyslog.conf

# Đảm bảo nhật ký đang được gửi đến các tệp thích hợp. Ví dụ, tất cả các tin nhắn liên quan đến xác thực:
# auth,authpriv.*                 /var/log/auth.log

Sử Dụng Auditd để Giám Sát Lời Gọi Hệ Thống:

auditd cung cấp kiểm toán chi tiết các lời gọi hệ thống, mang lại cái nhìn sâu sắc về những gì đang xảy ra trên máy chủ của bạn ở cấp độ thấp. Điều này có thể phát hiện các hoạt động đáng ngờ có thể bỏ qua các cơ chế ghi nhật ký khác.


# Cài đặt auditd
sudo apt install auditd # Debian/Ubuntu
sudo dnf install audit # RHEL/CentOS

# Khởi động và bật dịch vụ auditd
sudo systemctl start auditd
sudo systemctl enable auditd

# Thêm các quy tắc cơ bản (ví dụ: theo dõi các thay đổi đối với các tệp hệ thống nhạy cảm)
sudo auditctl -w /etc/passwd -p wa -k passwd_changes
sudo auditctl -w /etc/shadow -p wa -k shadow_changes

# Xem nhật ký kiểm toán cho các sự kiện cụ thể (ví dụ: thay đổi mật khẩu)
sudo ausearch -k passwd_changes

7. Tăng Cường Bảo Mật Tham Số Kernel (sysctl)

Kernel Linux có thể được điều chỉnh tinh vi để tăng cường bảo mật, đặc biệt chống lại các cuộc tấn công dựa trên mạng khác nhau. Những sửa đổi này liên quan đến việc điều chỉnh các tham số kernel.

Áp Dụng Tăng Cường sysctl Được Khuyến Nghị:

Sửa đổi /etc/sysctl.conf để áp dụng các cài đặt bảo mật cấp kernel. Những thay đổi này sẽ duy trì sau khi khởi động lại, cung cấp một lớp phòng thủ nền tảng.


# Mở /etc/sysctl.conf để chỉnh sửa
sudo nano /etc/sysctl.conf

# Thêm hoặc bỏ chú thích các dòng này để tăng cường bảo mật:
# Tắt IPv6 nếu không sử dụng (tùy chọn, nhưng giảm bề mặt tấn công nếu không cần thiết)
# net.ipv6.conf.all.disable_ipv6 = 1
# net.ipv6.conf.default.disable_ipv6 = 1

# Bảo vệ chống lại các cuộc tấn công SYN flood (một kỹ thuật DoS phổ biến)
net.ipv4.tcp_syncookies = 1

# Bỏ qua các yêu cầu phát sóng ICMP để ngăn chặn việc trinh sát mạng
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Tắt định tuyến nguồn để ngăn chặn các cuộc tấn công giả mạo IP
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# Bật dấu thời gian TCP; điều này có thể giúp chống lại một số cuộc tấn công dự đoán số thứ tự
net.ipv4.tcp_timestamps = 1

# Ngẫu nhiên hóa bố cục vùng bộ nhớ ảo (Address Space Layout Randomization - ASLR)
kernel.randomize_va_space = 2

# Ngăn chặn giả mạo IP bằng cách bật lọc đường dẫn ngược
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Áp dụng các thay đổi ngay lập tức mà không cần khởi động lại
sudo sysctl -p

8. Triển Khai SELinux hoặc AppArmor

Đây là các hệ thống kiểm soát truy cập bắt buộc (MAC). Chúng bổ sung một lớp bảo mật ngoài kiểm soát truy cập tùy ý (DAC) truyền thống, hạn chế những gì các tiến trình có thể làm, ngay cả khi chúng bị xâm phạm.

Bật và Cấu Hình MAC:

Mặc dù cấu hình của chúng có thể phức tạp, việc bật chúng ở chế độ thực thi mang lại lợi ích bảo mật đáng kể. Chúng đóng vai trò là tuyến phòng thủ cuối cùng bằng cách hạn buộc thiệt hại mà một ứng dụng bị xâm phạm có thể gây ra.

  • SELinux (RHEL/CentOS): Thường được bật theo mặc định. Đảm bảo nó được đặt ở chế độ thực thi.
  • AppArmor (Debian/Ubuntu): Thường được cài đặt theo mặc định. Tải các cấu hình cho các dịch vụ quan trọng như Nginx hoặc Apache.

# Đối với SELinux (RHEL/CentOS) - Kiểm tra trạng thái hiện tại của nó
sestatus

# Để đặt chế độ thực thi (yêu cầu khởi động lại để thay đổi vĩnh viễn, hoặc sử dụng 'setenforce 1' cho hiệu ứng tạm thời):
sudo nano /etc/selinux/config
# Thay đổi 'SELINUX=permissive' hoặc 'SELINUX=disabled' thành:
# SELINUX=enforcing

# Đối với AppArmor (Debian/Ubuntu) - Kiểm tra trạng thái của nó
sudo aa-status

# Để tải một cấu hình (ví dụ: cho Nginx, giả sử có cấu hình tồn tại hoặc bạn tạo một cái mới)
sudo aa-enforce /etc/apparmor.d/usr.sbin.nginx

Giữ Pager Lúc 2 Giờ Sáng Yên Lặng

Tăng cường bảo mật máy chủ Linux không phải là một nhiệm vụ một lần; đó là một quá trình liên tục. Bối cảnh mối đe dọa không ngừng phát triển, và các thực hành bảo mật của bạn phải phát triển theo. Bằng cách triển khai có hệ thống checklist này, bạn không chỉ phản ứng với các sự cố tiềm ẩn.

Bạn đang chủ động xây dựng một hệ thống phòng thủ kiên cường, giảm đáng kể bề mặt tấn công của mình. Đó là về việc đảm bảo rằng khi 2 giờ sáng đến, máy chủ của bạn vẫn vững chắc, và máy nhắn tin của bạn vẫn yên bình. Sự an tâm đó thực sự vô giá.

Share:
Tags: