Checklist Triển Khai Linux Server Sản Xuất Hiệu Quả

Giới Thiệu

Triển khai một máy chủ Linux cho môi trường sản xuất (production) không chỉ đơn thuần là cài đặt hệ điều hành và các ứng dụng. Để đảm bảo tính ổn định, bảo mật và hiệu suất tối ưu, việc tuân thủ một checklist toàn diện là cực kỳ quan trọng. Checklist này sẽ giúp bạn hệ thống hóa quy trình, giảm thiểu rủi ro và xây dựng một nền tảng vững chắc cho các ứng dụng của mình. Từ cấu hình bảo mật đến tối ưu hiệu suất và kế hoạch dự phòng, mỗi bước đều đóng vai trò thiết yếu trong việc vận hành một server sản xuất đáng tin cậy.

📋 Thời gian: 60 phút | Độ khó: Trung bình

Yêu Cầu

Để thực hiện checklist này, bạn cần có:

Kiến thức cơ bản về Linux command line.
Quyền truy cập root hoặc người dùng có quyền sudo trên server Linux của bạn.
Kết nối SSH ổn định đến server.
Kế hoạch rõ ràng về tài nguyên (CPU, RAM, Disk) và cấu hình mạng mong muốn cho server.
Một bản cài đặt Linux server (ví dụ: Ubuntu Server, CentOS Stream, Debian) đã sẵn sàng để cấu hình.

Các Bước Thực Hiện

Bước 1: Chuẩn Bị Hệ Thống Cơ Bản

Bước đầu tiên là đảm bảo hệ thống cơ bản được cập nhật và cài đặt các công cụ thiết yếu.

# Cập nhật tất cả các gói phần mềm lên phiên bản mới nhất
# Đối với Debian/Ubuntu:
sudo apt update && sudo apt upgrade -y

# Đối với CentOS/RHEL/Fedora:
# sudo dnf update -y

# Cài đặt các công cụ cơ bản thường dùng
sudo apt install curl wget git htop net-tools vim -y

# Thiết lập múi giờ chính xác cho server
# Thay 'Asia/Ho_Chi_Minh' bằng múi giờ phù hợp với vị trí của bạn
sudo timedatectl set-timezone Asia/Ho_Chi_Minh

# Kiểm tra lại múi giờ
timedatectl

✅ Đảm bảo hệ thống luôn được cập nhật để vá các lỗ hổng bảo mật và tận dụng các tính năng mới nhất.

Bước 2: Cấu Hình Bảo Mật Cơ Bản

Bảo mật là ưu tiên hàng đầu cho bất kỳ server sản xuất nào.

# Tạo một người dùng mới không phải root và cấp quyền sudo
# Thay 'ten_nguoi_dung_admin' bằng tên người dùng bạn muốn
sudo adduser ten_nguoi_dung_admin
sudo usermod -aG sudo ten_nguoi_dung_admin

# Cấu hình SSH để tăng cường bảo mật
# Mở file cấu hình SSH
sudo vim /etc/ssh/sshd_config

# Tìm và chỉnh sửa các dòng sau:
# Vô hiệu hóa đăng nhập bằng tài khoản root
# PermitRootLogin no

# Vô hiệu hóa xác thực bằng mật khẩu (khuyến nghị khi sử dụng SSH key)
# PasswordAuthentication no

# Chỉ cho phép người dùng cụ thể đăng nhập qua SSH
# AllowUsers ten_nguoi_dung_admin

# Thay đổi cổng SSH mặc định từ 22 sang một số khác (ví dụ: 2222) để giảm tấn công tự động
# Port 2222

# Sau khi chỉnh sửa, lưu và thoát (Esc -> :wq)
# Khởi động lại dịch vụ SSH để áp dụng thay đổi
sudo systemctl restart sshd

# 💡 Tip: Luôn cấu hình xác thực bằng SSH key thay vì mật khẩu để tăng cường bảo mật.
# Đảm bảo bạn có thể đăng nhập bằng SSH key với người dùng mới trước khi vô hiệu hóa PasswordAuthentication.

# Cấu hình Firewall (sử dụng UFW trên Debian/Ubuntu)
# Kích hoạt UFW
sudo ufw enable

# Cho phép truy cập SSH qua cổng đã cấu hình (ví dụ: 2222)
sudo ufw allow 2222/tcp

# Cho phép truy cập HTTP và HTTPS (nếu server chạy web)
sudo ufw allow http
sudo ufw allow https

# Thiết lập chính sách mặc định từ chối tất cả các kết nối đến không được phép
sudo ufw default deny incoming

# Kiểm tra trạng thái firewall
sudo ufw status verbose

# Cài đặt Fail2ban để chống lại các cuộc tấn công brute-force
sudo apt install fail2ban -y

# Kích hoạt và kiểm tra trạng thái Fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
sudo systemctl status fail2ban

⚠️ Luôn kiểm tra kỹ cấu hình SSH sau khi thay đổi, đặc biệt là PermitRootLogin và PasswordAuthentication, để tránh bị khóa khỏi server.

Bước 3: Cấu Hình Mạng và DNS

Đảm bảo server có cấu hình mạng và phân giải tên miền chính xác.

# Kiểm tra cấu hình địa chỉ IP và các giao diện mạng
ip a
ip r

# Cấu hình hostname cho server
# Thay 'ten_server_ban' bằng tên hostname mong muốn
sudo hostnamectl set-hostname ten_server_ban

# Kiểm tra hostname
hostname

# Cấu hình DNS resolver (thường được cấu hình tự động, nhưng có thể cần tùy chỉnh)
# Mở file resolv.conf
sudo vim /etc/resolv.conf

# Đảm bảo có ít nhất một nameserver đáng tin cậy (ví dụ: Google DNS, Cloudflare DNS)
# nameserver 8.8.8.8
# nameserver 1.1.1.1

Bước 4: Tối Ưu Hiệu Suất và Giám Sát

Để server hoạt động ổn định và hiệu quả, việc giám sát và tối ưu là cần thiết.

# Cài đặt công cụ giám sát hiệu suất
# htop là một công cụ giám sát tiến trình tương tác
sudo apt install htop -y

# glances là một công cụ giám sát hệ thống đa năng
sudo apt install glances -y

# Cài đặt Prometheus Node Exporter để thu thập metrics (tùy chọn, cho hệ thống giám sát lớn hơn)
# sudo apt install prometheus-node-exporter -y
# sudo systemctl enable prometheus-node-exporter
# sudo systemctl start prometheus-node-exporter

# Cấu hình Swap Space (nếu server có ít RAM hoặc cần xử lý tải nặng)
# Kiểm tra xem swap đã tồn tại chưa
# swapon --show

# Nếu chưa có, tạo file swap 2GB (thay 2G bằng kích thước mong muốn)
sudo fallocate -l 2G /swapfile
sudo chmod 600 /swapfile
sudo mkswap /swapfile
sudo swapon /swapfile

# Thêm swap vào /etc/fstab để tự động kích hoạt khi khởi động
echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab

# Điều chỉnh swappiness (ví dụ: 10 để ưu tiên RAM hơn swap)
sudo sysctl vm.swappiness=10
echo 'vm.swappiness=10' | sudo tee -a /etc/sysctl.conf

# Điều chỉnh vfs_cache_pressure (ví dụ: 50 để giữ lại nhiều inode và dentry cache hơn)
sudo sysctl vm.vfs_cache_pressure=50
echo 'vm.vfs_cache_pressure=50' | sudo tee -a /etc/sysctl.conf

# Áp dụng các thay đổi sysctl ngay lập tức
sudo sysctl -p

💡 Theo dõi hiệu suất server thường xuyên giúp bạn phát hiện sớm các vấn đề và tối ưu tài nguyên.

Bước 5: Cấu Hình Backup và Recovery

Một kế hoạch backup và recovery vững chắc là không thể thiếu.

# Lên kế hoạch backup:
# - Xác định dữ liệu quan trọng cần backup (cơ sở dữ liệu, file cấu hình, mã nguồn).
# - Quyết định tần suất backup (hàng ngày, hàng tuần).
# - Chọn nơi lưu trữ backup (remote server, S3, cloud storage).
# - Xác định chiến lược phục hồi (RTO, RPO).

# Cài đặt công cụ backup (ví dụ: rsync để đồng bộ file, borgbackup cho backup mã hóa)
sudo apt install rsync -y
# sudo apt install borgbackup -y

# Ví dụ lệnh rsync đơn giản để backup một thư mục (chưa tự động hóa)
# rsync -avz --delete /duong/dan/data/ nguoi_dung@server_backup:/duong/dan/backup/

# ⚠️ Luôn kiểm tra khả năng phục hồi từ backup định kỳ để đảm bảo chúng hoạt động.

Bước 6: Kiểm Tra và Ghi Chú

Trước khi đưa server vào hoạt động, hãy kiểm tra lại và ghi chép đầy đủ.

# Kiểm tra trạng thái của các dịch vụ quan trọng (web server, database, SSH, firewall)
sudo systemctl status apache2   # hoặc nginx
sudo systemctl status mysql     # hoặc postgresql
sudo systemctl status sshd
sudo ufw status

# Kiểm tra log hệ thống để tìm lỗi tiềm ẩn
sudo journalctl -xe

# Ghi chú tất cả các thông tin quan trọng:
# - Tên người dùng và mật khẩu (nếu không dùng key)
# - SSH key (public và private key)
# - Cổng SSH đã thay đổi
# - Địa chỉ IP và hostname
# - Cấu hình firewall
# - Vị trí các file cấu hình quan trọng
# - Kế hoạch backup và cách phục hồi

✅ Việc ghi chép cẩn thận sẽ giúp ích rất nhiều cho việc quản lý và xử lý sự cố sau này.

Troubleshooting

Không SSH được sau khi đổi cấu hình SSH:
- ⚠️ Nguyên nhân: Có thể do sai cú pháp trong /etc/ssh/sshd_config, chặn người dùng hiện tại hoặc cổng SSH bị đổi mà firewall chưa mở.
- Cách xử lý: Nếu có quyền truy cập console ảo (qua nhà cung cấp cloud hoặc KVM), hãy đăng nhập và kiểm tra lại file /etc/ssh/sshd_config. Khôi phục về cấu hình cũ hoặc sửa lỗi. Sau đó, sudo systemctl restart sshd. Đảm bảo cổng SSH mới được mở trên firewall.
Dịch vụ không chạy sau khi khởi động lại:
- Nguyên nhân: Lỗi cấu hình, thiếu tài nguyên, hoặc dịch vụ chưa được kích hoạt để tự khởi động cùng hệ thống.
- Cách xử lý: Dùng sudo systemctl status ten_dich_vu để xem trạng thái và log lỗi cụ thể. Dùng sudo journalctl -xe để xem log hệ thống chi tiết hơn. Đảm bảo dịch vụ được enable để tự khởi động: sudo systemctl enable ten_dich_vu.
Firewall chặn truy cập ứng dụng của tôi:
- Nguyên nhân: Bạn chưa mở cổng cần thiết trên firewall cho ứng dụng của mình.
- Cách xử lý: Kiểm tra trạng thái firewall bằng sudo ufw status (UFW) hoặc sudo firewall-cmd --list-all (firewalld). Thêm quy tắc cho phép truy cập cổng ứng dụng của bạn: sudo ufw allow <port>/tcp hoặc sudo firewall-cmd --add-port=<port>/tcp --permanent && sudo firewall-cmd --reload.

Kết Luận

Việc tuân thủ một checklist triển khai server sản xuất không chỉ là một thực hành tốt mà còn là yếu tố then chốt để đảm bảo sự thành công và ổn định của hệ thống. Bằng cách thực hiện các bước từ chuẩn bị cơ bản, cấu hình bảo mật, tối ưu hiệu suất đến thiết lập backup, bạn đã xây dựng một nền tảng vững chắc cho môi trường sản xuất của mình.

Best practices cần nhớ:

Luôn cập nhật: Đảm bảo hệ thống và các ứng dụng luôn được cập nhật để bảo mật và hiệu suất tối ưu.
Nguyên tắc ít đặc quyền nhất (Least Privilege): Chỉ cấp các quyền cần thiết cho người dùng và dịch vụ.
Giám sát liên tục: Sử dụng các công cụ giám sát để theo dõi hiệu suất và phát hiện sớm các vấn đề.
Kiểm tra backup thường xuyên: Đừng đợi đến khi thảm họa xảy ra mới phát hiện backup không hoạt động.
Ghi chép đầy đủ: Tài liệu hóa mọi cấu hình và thay đổi để dễ dàng quản lý và xử lý sự cố.

Với checklist này, bạn đã sẵn sàng triển khai và vận hành server Linux sản xuất một cách tự tin và hiệu quả.

Giới Thiệu​

Yêu Cầu​

Các Bước Thực Hiện​

Bước 1: Chuẩn Bị Hệ Thống Cơ Bản​

Bước 2: Cấu Hình Bảo Mật Cơ Bản​

Bước 3: Cấu Hình Mạng và DNS​

Bước 4: Tối Ưu Hiệu Suất và Giám Sát​

Bước 5: Cấu Hình Backup và Recovery​

Bước 6: Kiểm Tra và Ghi Chú​

Troubleshooting​

Kết Luận​