Chuyển tới nội dung chính

Chặn Địa Chỉ IP Truy Cập DirectAdmin

Giới Thiệu

Trong thế giới máy chủ web, việc bảo vệ bảng điều khiển (control panel) như DirectAdmin khỏi các truy cập trái phép là vô cùng quan trọng. Các cuộc tấn công brute-force, quét cổng hoặc đơn giản là những nỗ lực đăng nhập không mong muốn từ các địa chỉ IP độc hại có thể gây ra nhiều rủi ro bảo mật và làm giảm hiệu sut máy chủ của bạn. Việc chủ động chặn các địa chỉ IP đáng ngờ là một biện pháp hiệu quả để tăng cường an ninh cho DirectAdmin nói riêng và toàn bộ máy chủ của bạn nói chung.

Bài viết này sẽ hướng dẫn bạn cách chặn địa chỉ IP truy cập DirectAdmin một cách hiệu quả, chủ yếu thông qua việc sử dụng ConfigServer Security & Firewall (CSF/LFD) – một tường lửa phổ biến trên các máy chủ Linux – và cấu hình trực tiếp trong DirectAdmin.

📋 Thời gian: 15 phút | Độ khó: Trung bình

Yêu Cầu

Để thực hiện theo hướng dẫn này, bạn cần có:

  • Quyền truy cập root SSH vào máy chủ Linux của bạn.
  • DirectAdmin đã được cài đặt và hoạt động.
  • CSF/LFD (ConfigServer Security & Firewall) đã được cài đặt (phương pháp khuyến nghị). Nếu chưa có, bạn có thể tham khảo hướng dẫn cài đặt CSF/LFD.
  • Kiến thức cơ bản về các lệnh Linux và chỉnh sửa file cấu hình qua SSH.

Các Bước Thực Hiện

Bước 1: Xác định Địa Chỉ IP Cần Chặn

Trước khi chặn, bạn cần biết địa chỉ IP nào đang gây ra vấn đề. Các địa chỉ IP đáng ngờ thường xuất hiện trong các file log của hệ thống khi cố gắng đăng nhập thất bại nhiều lần hoặc thực hiện các hành vi bất thường.

Bạn có thể kiểm tra các file log sau:

  • Log đăng nhập của DirectAdmin: /var/log/directadmin/login.log
  • Log xác thực hệ thống chung: /var/log/auth.log hoặc /var/log/secure (trên CentOS/RHEL)
# Xem 100 dòng cuối cùng của log DirectAdmin để tìm các lần đăng nhập thất bại
tail -n 100 /var/log/directadmin/login.log | grep "Failed login"

# Xem log xác thực hệ thống để tìm các nỗ lực đăng nhập SSH thất bại
# Trên Debian/Ubuntu:
grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | head -n 10

# Trên CentOS/RHEL:
grep "Failed password" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | head -n 10

💡 Mẹo: Ghi lại các địa chỉ IP xuất hiện nhiều lần hoặc có hành vi đáng ngờ.

Bước 2: Chặn Địa Chỉ IP bằng CSF/LFD

CSF/LFD là một tường lửa mạnh mẽ và dễ sử dụng, cho phép bạn chặn IP một cách hiệu quả và vĩnh viễn. Đây là phương pháp được khuyến nghị nhất.

Phương pháp 2.1: Sử dụng lệnh csf

Đây là cách nhanh nhất để chặn một IP cụ thể.

# Chặn một địa chỉ IP cụ thể ngay lập tức
# Thay 'DIA_CHI_IP_CAN_CHAN' bằng IP bạn muốn chặn, ví dụ: 192.168.1.100
csf -d DIA_CHI_IP_CAN_CHAN

# Để chặn và thêm vào danh sách đen vĩnh viễn (khuyến nghị cho các IP độc hại)
# Lệnh này sẽ thêm IP vào /etc/csf/csf.deny
csf -dr DIA_CHI_IP_CAN_CHAN

✅ Khi lệnh được thực thi, CSF sẽ tự động cập nhật quy tắc tường lửa và IP đó sẽ bị chặn.

Phương pháp 2.2: Chỉnh sửa file csf.deny trực tiếp

Bạn cũng có thể chỉnh sửa file csf.deny để thêm hoặc xóa các địa chỉ IP bị chặn.

# Mở file csf.deny bằng trình soạn thảo vi
vi /etc/csf/csf.deny

Thêm địa chỉ IP cần chặn vào một dòng mới trong file. Bạn có thể thêm comment để dễ quản lý.

# Ví dụ:
# 192.168.1.100 # IP độc hại cố gắng đăng nhập DirectAdmin
# 203.0.113.50 # IP từ quốc gia không mong muốn

Sau khi thêm IP, lưu file và khởi động lại CSF để các thay đổi có hiệu lực.

# Khởi động lại CSF
csf -r

✅ Kiểm tra lại trạng thái CSF để đảm bảo không có lỗi: csf -l

Bước 3: Chặn Địa Chỉ IP qua Cấu Hình DirectAdmin (ip_blacklist)

DirectAdmin có một tùy chọn cấu hình nội bộ gọi là ip_blacklist cho phép bạn chặn các IP cụ thể ngay tại cấp độ DirectAdmin. Phương pháp này hữu ích nếu bạn muốn DirectAdmin tự xử lý việc chặn các IP cụ thể khi chúng cố gắng truy cập cổng 2222, không phụ thuộc vào CSF.

# Mở file cấu hình chính của DirectAdmin
vi /usr/local/directadmin/conf/directadmin.conf

Tìm dòng ip_blacklist. Nếu không có, bạn có thể thêm vào cuối file. Thêm hoặc chỉnh sửa dòng này với các địa chỉ IP bạn muốn chặn, phân cách bằng dấu hai chấm (:).

# Ví dụ: Chặn 192.168.1.100 và 203.0.113.50
ip_blacklist=192.168.1.100:203.0.113.50

⚠️ Lưu ý: Nếu đã có các IP khác trong ip_blacklist, hãy thêm IP mới vào cuối chuỗi, đảm bảo mỗi IP được phân cách bằng dấu hai chấm.

Sau khi chỉnh sửa, lưu file và khởi động lại dịch vụ DirectAdmin để áp dụng thay đổi.

# Khởi động lại DirectAdmin
systemctl restart directadmin
# Hoặc trên các hệ thống cũ hơn:
/etc/init.d/directadmin restart

✅ Sau khi khởi động lại, DirectAdmin sẽ không cho phép các IP trong danh sách ip_blacklist truy cập giao diện của nó.

Troubleshooting

⚠️ Chặn nhầm Địa Chỉ IP của Chính Mình

Đây là lỗi phổ biến nhất. Nếu bạn vô tình chặn IP của mình, bạn sẽ mất quyền truy cập SSH và DirectAdmin.

  • Cách xử lý: Nếu có thể, truy cập máy chủ qua console (VNC, KVM) từ nhà cung cấp dịch vụ.
    • Mở file /etc/csf/csf.deny và xóa dòng IP của bạn.
    • Hoặc sử dụng lệnh csf -dr DIA_CHI_IP_CUA_BAN để gỡ chặn.
    • Khởi động lại CSF: csf -r.
  • Phòng ngừa: Luôn thêm IP của bạn vào csf.allow để đảm bảo bạn không bao giờ bị chặn: 
    csf -a DIA_CHI_IP_CUA_BAN
    csf -r

⚠️ IP vẫn truy cập được sau khi chặn

  • Kiểm tra lại lệnh: Đảm bảo bạn đã nhập đúng IP và đúng lệnh.
  • Khởi động lại dịch vụ: Chắc chắn rằng bạn đã khởi động lại CSF (csf -r) hoặc DirectAdmin (systemctl restart directadmin) sau khi thực hiện thay đổi.
  • Kiểm tra các tường lửa khác: Nếu bạn có nhiều lớp tường lửa (ví dụ: tường lửa của nhà cung cấp dịch vụ cloud, FirewallD, iptables thủ công), hãy đảm bảo không có quy tắc nào ưu tiên hơn hoặc cho phép IP đó.
  • IP nguồn thay đổi: Kẻ tấn công có thể sử dụng VPN hoặc proxy để thay đổi IP nguồn. Bạn cần theo dõi log liên tục và chặn các IP mới.

⚠️ Lỗi khi khởi động lại CSF hoặc DirectAdmin

  • Kiểm tra cú pháp: Khi chỉnh sửa file cấu hình thủ công, một lỗi cú pháp nhỏ cũng có thể khiến dịch vụ không khởi động được.
    • Đối với CSF, kiểm tra log /var/log/lfd.log.
    • Đối với DirectAdmin, kiểm tra log /var/log/directadmin/error.log hoặc journalctl -xe để tìm chi tiết lỗi.
  • Khôi phục file cấu hình: Nếu không thể sửa lỗi, bạn có thể khôi phục phiên bản trước của file cấu hình (nếu có backup) và thử lại.

Kết Luận

Việc chặn địa chỉ IP truy cập DirectAdmin là một bước quan trọng để tăng cường bảo mật cho máy chủ của bạn. Bằng cách chủ động xác định và ngăn chặn các IP độc hại, bạn có thể giảm thiểu nguy cơ bị tấn công brute-force, truy cập trái phép và các mối đe dọa khác.

Best Practices:

  • Thường xuyên kiểm tra log: Giám sát các file log là chìa khóa để phát hiện sớm các hoạt động đáng ngờ.
  • Không chặn nhầm: Luôn cẩn thận khi chặn IP và cân nhắc thêm IP của bạn vào danh sách cho phép (csf.allow).
  • Kết hợp nhiều lớp bảo mật: Chặn IP chỉ là một phần của chiến lược bảo mật toàn diện. Hãy kết hợp nó với mật khẩu mạnh, xác thực hai yếu tố (2FA), cập nhật hệ thống và DirectAdmin thường xuyên để đạt hiệu quả bảo mật tối đa.
  • Sử dụng CSF/LFD: CSF/LFD không chỉ chặn IP mà còn cung cấp nhiều tính năng bảo mật khác như phát hiện brute-force tự động, kiểm tra các lỗ hổng, v.v. Hãy tận dụng tối đa công cụ này.

Chúc bạn thành công trong việc bảo vệ máy chủ DirectAdmin của mình!

Xem thêm: