Hướng dẫn nâng cấp bảo mật khi thuê máy chủ ảo

30/09/2021

Bảo mật cho máy chủ ảo là một trong những vấn đề rất được quan tâm khi thuê máy chủ ảo. Hacker sẽ tận dụng bất sơ hở nào trong bảo mật để đưa nhưng phần mềm độc hại vào máy chủ của bạn. Một khi bị xâm nhập các dữ liệu quan trọng có thế sẽ bị đánh cắp. Dưới đây sẽ là một số cách giúp nâng cấp bảo mật khi thuê máy chủ ảo.

  1. Luôn cập nhật

Không cập nhật hệ điều hành (HĐH) mới nhất trên máy chủ của bạn là cách dễ nhất để vô tình cấp quyền truy cập cho Hackers. Cho dù máy chủ của bạn chạy Windows hay Linux, bạn sẽ muốn nhấp vào nút cập nhật. Các bản cập nhật hệ điều hành thường bao gồm các bản vá cho các lỗi bảo mật mà bạn thậm chí còn chưa biết là nó đã tồn tại. Nếu bạn không cài đặt HĐH mới, lỗ hổng sẽ tiếp tục tồn tại trên máy chủ ảo của bạn và nhà cung cấp HĐH của bạn sẽ không chịu trách nhiệm nếu xảy ra tấn công.

Chỉ cài đặt bản cập nhật mới thôi là chưa đủ; bạn cũng phải đảm bảo rằng bạn áp dụng tất cả các bản vá bảo mật do nhà cung cấp hệ điều hành của bạn đề xuất. Nếu bạn chỉ cập nhật các khía cạnh hiệu suất của hệ điều hành nhưng bạn không cập nhật các bản vá, máy chủ ảo của bạn vẫn sẽ không được bảo vệ đầy đủ.

Bạn nên gắn một phân vùng /tmp riêng với tùy chọn nosuid. Điều này sẽ ép một tiến trình chạy với các đặc quyền của người thi hành nó. Sau khi cài cPanel và WHM bạn cũng cần phải gắn thư mục /tmp với noexec. Ngoài ra, cần gắn phân vùng /tmp sang một File tạm thời để chạy script /scripts/secure tmp nhằm mục đích dự phòng.

Nếu không muốn chạy Script /scripts/secure tmp, bạn có thể tạo File /var/cpanel/version/secure tmp disabled. Để thực hiện điều này, hãy chạy dòng lệnh sau: touch /var/cpanel/version/securetmp_disabled. File này giúp Script không thể chạy trên máy chủ ảo của bạn. Nhưng bạn không nên vô hiệu hóa Script /scripts/securetmp.

  1. Thay đổi mật khẩu SSH mặc định

SSH được sử dụng như là hình thức để đăng nhập vào máy chủ ảo từ xa. Nếu không tuân theo các quy định bảo mật an toàn thì rất có thể bạn sẽ vô tình biến mình trở thành nạn nhân của các cuộc tấn công mạng khi đăng nhập vào máy chủ ảo bằng hình thức SSH. Brute-Force Attack (tấn công dò tìm mật khẩu) chính là điển hình cho mối nguy hại này. Người dùng thường có thói quen sử dụng các mật khẩu đơn giản và dễ nhớ. Bằng một số thủ thuật, hacker có thể dò tìm được những mật khẩu đó và truy cập vào máy chủ ảo của bạn. Vì vậy bạn nên thay đổi mật khẩu đăng nhập mặc định của SSH để đảm bảo an toàn cho máy chủ ảo của mình.

Bảo mật SSH là một cách để bảo vệ máy chủ ảo.  Bạn nên chuyển truy cập SSH sang một cổng khác để tăng tính bảo mật. Để tùy chỉnh cổng mà SSH chạy, hãy chỉnh sửa file /etc/ssh/sshd_config. Tốt hơn hết, bạn nên sử dụng 1 cổng có số thứ tự nhỏ hơn 1024 và chưa được sử dụng cho dịch vụ nào khác. Bởi vì các cổng được sử dụng chỉ có các Root User mới có thể liên kết với chúng.

Cổng từ 1024 trở lên là cổng mà bất cứ ai cũng có thể dùng được. Chú ý là phải luôn sử dụng SSHv2, vì SSHv1 không an toàn. Thêm nữa, bạn cần chuyển dòng #Protocol 2,1 trong file /etc/ssh/sshd_config sang Protocol 2.

  1. Tạo tường lửa cho máy chủ ảo

Hãy chắc chắn máy chủ ảo của bạn đã có tường lửa để giám sát lưu lượng truy cập đến và đi từ máy vật lý, nhưng điều quan trọng vẫn là bạn phải theo dõi các hoạt động của máy chủ ảo của mình. Tường lửa đóng vai trò như một sự kiểm tra và cân bằng để đảm bảo rằng lưu lượng truy cập từ máy ảo này đến máy ảo khác an toàn và để đảm bảo rằng lưu lượng truy cập từ máy ảo đến hệ sinh thái kỹ thuật số rộng lớn của công ty bạn không nằm ngoài các nguyên tắc bảo mật của bạn.

Tường lửa cũng đóng vai trò như một bản ghi có thể giúp bạn xác định các vi phạm đã xảy ra như thế nào và trên các máy chủ ảo nào. Tường lửa sẽ ghi nhật ký và giám sát lưu lượng giữa các máy ảo, giữa máy chủ lưu trữ và máy chủ ảo, và giữa máy chủ ảo với internet của công ty. Việc giám sát này sẽ giúp bạn tiến hành kiểm tra dễ hơn nếu thảm họa xảy ra.

Bạn có thể sử dụng các tưởng lửa ở phiên bản miễn phí nhằm tối ưu chi phí cho máy chủ ảo. Cài đặt tường lửa miễn phí ConfigServer (CSF) là một trong những gợi ý bạn có thể xem xét.

  1. Giới hạn quyền truy cập và các ứng dụng không cần thiết

Máy chủ ảo của bạn cũng giống như bất kỳ công cụ kỹ thuật số nào khác: nó có mật khẩu và bạn có thể chia sẻ quyền truy cập với người khác. Cũng giống như bạn làm với email cá nhân của mình, điều quan trọng là bạn phải thường xuyên thay đổi mật khẩu máy chủ ảo của mình và bạn giới hạn người có quyền truy cập vào máy. Để đảm bảo an toàn hơn nữa, hãy thay đổi mật khẩu mặc định của bạn, xóa tài khoản của những nhân viên bị sa thải và giữ một danh sách về những người có thể truy cập vào máy chủ ảo và những khả năng họ có.

Máy chủ ảo của bạn không phải là iPhone của bạn. Bạn không muốn tải xuống ứng dụng và để chúng hoạt động cho dù bạn có sử dụng chúng hay không. Đây là một cách chắc chắn để cung cấp cho tin tặc quyền truy cập vào dữ liệu của bạn. Bạn nên liên tục theo dõi ứng dụng nào đang chạy trên máy chủ của mình, ai đã thêm ứng dụng và hoạt động trong ứng dụng đó. Nếu có các ứng dụng đang chạy trên máy chủ mà bạn không cần, hãy xóa chúng. Càng ít phần mềm chạy trên máy chủ ảo của bạn, bạn càng ít có khả năng bị tấn công.

  1. Giám sát tốc độ và băng thông

Nếu bạn đột nhiên nhận thấy lưu lượng truy cập tăng đột biến hoặc nếu tốc độ chạy của bạn giảm đáng kể, có thể đã đến lúc bạn phải hoảng sợ. Đây có thể là một dấu hiệu cho thấy một cuộc tấn công từ chối dịch vụ (DOS) đang xảy ra. Đây có thể là thảm họa đối với các công ty yêu cầu thời gian hoạt động liên tục, vì các cuộc tấn công DoS và DDoS thường vô hiệu hóa và ngăn các máy ảo và mạng hoạt động bình thường.

Hi vọng bào viết này sẽ giúp các bạn có thêm những kiến thức bổ ích và hỗ trợ các bạn trong việc bảo vệ máy chủ ảo của mình. Ngoài ra, nếu bạn đang cần tìm một dịch vụ máy chủ ảo uy tín hãy liên hệ ngay với VNSO để được tư vấn và hỗ trợ.