Tăng Cường Bảo Mật Máy Chủ Linux Nâng Cao

Giới Thiệu

Trong môi trường công nghệ hiện đại, việc bảo mật máy chủ Linux là ưu tiên hàng đầu để chống lại các mối đe dọa mạng ngày càng tinh vi. Hardening không chỉ đơn thuần là cài đặt tường lửa hay cập nhật phần mềm, mà còn bao gồm việc áp dụng các cấu hình sâu hơn ở cấp độ hệ điều hành, dịch vụ và giám sát. Bài viết này sẽ hướng dẫn bạn các kỹ thuật nâng cao để tăng cường bảo mật cho máy chủ Linux, giúp hệ thống của bạn vững chắc hơn trước các cuộc tấn công.

📋 Thời gian: 60 phút | Độ khó: Nâng cao

Yêu Cầu

Để thực hiện các bước trong hướng dẫn này, bạn cần:

Quyền truy cập root hoặc tài khoản có quyền sudo trên máy chủ Linux.
Kiến thức cơ bản về dòng lệnh Linux (CLI).
Một máy chủ Linux đang hoạt động (ví dụ: Ubuntu, CentOS, Debian, RHEL).
Kết nối internet để tải xuống các gói cần thiết.

Các Bước Thực Hiện

Bước 1: Hardening Kernel và Tham số Hệ thống (sysctl)

Kernel là trái tim của hệ điều hành. Việc tinh chỉnh các tham số kernel thông qua sysctl có thể cải thiện đáng kể khả năng phòng thủ của hệ thống. Chúng ta sẽ cấu hình các tùy chọn để chống lại các cuộc tấn công mạng phổ biến, tăng cường bảo mật bộ nhớ và hạn chế thông tin nhạy cảm.

⚠️ Lưu ý: Thử nghiệm các thay đổi sysctl trên môi trường kiểm thử trước khi áp dụng vào sản xuất, vì một số tùy chọn có thể ảnh hưởng đến hiệu suất hoặc chức năng của ứng dụng.

# Mở file cấu hình sysctl
sudo nano /etc/sysctl.conf

# Thêm hoặc chỉnh sửa các dòng sau vào cuối file:

# Ngăn chặn các cuộc tấn công IP spoofing bằng cách bật Reverse Path Filtering
# Giá trị 1: Kiểm tra nghiêm ngặt (strict mode)
# Giá trị 2: Kiểm tra lỏng lẻo (loose mode) - thường dùng cho môi trường phức tạp
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Tắt tính năng chấp nhận gói tin định tuyến nguồn (source routing),
# thường được dùng trong các cuộc tấn công
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# Tắt chuyển tiếp gói tin IPv4 nếu máy chủ không phải là router
net.ipv4.ip_forward = 0
net.ipv6.conf.all.forwarding = 0

# Bật bảo vệ chống lại SYN-flood attacks
net.ipv4.tcp_syncookies = 1

# Ngăn chặn các gói tin ICMP redirect
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0

# Ngăn chặn việc ghi đè các tùy chọn định tuyến ICMP
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# Tăng cường ngẫu nhiên hóa không gian địa chỉ bộ nhớ (ASLR)
# Giá trị 1: Ngẫu nhiên hóa một phần
# Giá trị 2: Ngẫu nhiên hóa toàn bộ (khuyến nghị cho bảo mật cao)
kernel.randomize_va_space = 2

# Hạn chế truy cập thông tin kernel trong dmesg (ngăn chặn rò rỉ thông tin)
kernel.dmesg_restrict = 1

# Ngăn chặn việc tạo core dump cho các chương trình setuid/setgid
# Điều này giúp ngăn chặn kẻ tấn công có được thông tin nhạy cảm từ các chương trình này
fs.suid_dumpable = 0

# Hạn chế khả năng ptrace (debug) các tiến trình không thuộc sở hữu của người dùng
# Điều này chống lại các kỹ thuật tiêm mã và khai thác lỗ hổng
kernel.yama.ptrace_scope = 1

# Lưu và thoát khỏi nano (Ctrl+X, Y, Enter)

# Áp dụng các thay đổi ngay lập tức
sudo sysctl -p

✅ Các tham số kernel đã được cập nhật, tăng cường khả năng phòng thủ của hệ thống ở cấp độ thấp.

Bước 2: Tăng cường bảo mật Filesystem và Quyền truy cập

Bảo mật filesystem là rất quan trọng để ngăn chặn việc thực thi mã độc và truy cập trái phép vào các tệp nhạy cảm.

# 💡 Mẹo: Luôn sao lưu file cấu hình trước khi chỉnh sửa.
# sudo cp /etc/fstab /etc/fstab.bak

# Chỉnh sửa /etc/fstab để áp dụng các tùy chọn mount bảo mật
sudo nano /etc/fstab

# Đối với các phân vùng không chứa hệ điều hành hoặc dữ liệu cần thực thi,
# thêm các tùy chọn sau vào dòng mount tương ứng:

# Ví dụ cho phân vùng /tmp (nếu có phân vùng riêng cho /tmp)
# UUID=xxxx-xxxx /tmp ext4 defaults,noexec,nodev,nosuid 0 2

# Ví dụ cho phân vùng /var/tmp
# UUID=xxxx-xxxx /var/tmp ext4 defaults,noexec,nodev,nosuid 0 2

# Ví dụ cho phân vùng /dev/shm
# tmpfs /dev/shm tmpfs defaults,noexec,nodev,nosuid 0 0

# Giải thích các tùy chọn:
# noexec: Ngăn chặn thực thi các file nhị phân trên phân vùng này.
# nodev: Ngăn chặn sử dụng các thiết bị đặc biệt trên phân vùng này.
# nosuid: Ngăn chặn bit setuid/setgid hoạt động trên phân vùng này.

# Sau khi chỉnh sửa, lưu và thoát.
# Áp dụng các thay đổi bằng cách remount các phân vùng hoặc khởi động lại hệ thống.
# sudo mount -o remount,noexec,nodev,nosuid /tmp
# sudo mount -o remount,noexec,nodev,nosuid /var/tmp
# sudo mount -o remount,noexec,nodev,nosuid /dev/shm

# Thiết lập umask mặc định chặt chẽ hơn
# umask 027 (user: rw-, group: r--, others: ---) hoặc 077 (user: rw-, group: ---, others: ---)
# Thêm vào /etc/profile và /etc/bash.bashrc (hoặc các file shell profile tương ứng)
echo "umask 027" | sudo tee -a /etc/profile /etc/bash.bashrc

# Sử dụng chattr để bảo vệ các file quan trọng khỏi bị sửa đổi hoặc xóa
# Ví dụ: bảo vệ file cấu hình sshd
sudo chattr +i /etc/ssh/sshd_config
# Để sửa file, bạn cần gỡ bỏ thuộc tính immutable:
# sudo chattr -i /etc/ssh/sshd_config

✅ Các tùy chọn mount và quyền truy cập đã được thắt chặt, giảm thiểu rủi ro từ việc thực thi mã độc và sửa đổi file trái phép.

Bước 3: Bảo mật SSH và Dịch vụ Mạng

SSH là cửa ngõ chính để quản lý máy chủ từ xa. Việc bảo mật SSH là cực kỳ quan trọng. Ngoài ra, chúng ta sẽ cấu hình Fail2ban để chống lại các cuộc tấn công brute-force và TCP Wrappers để kiểm soát quyền truy cập dịch vụ.

# Cấu hình SSH Daemon (sshd)
sudo nano /etc/ssh/sshd_config

# Thay đổi các dòng sau hoặc thêm vào nếu chưa có:

# Chỉ cho phép đăng nhập bằng khóa SSH, vô hiệu hóa mật khẩu
PasswordAuthentication no
ChallengeResponseAuthentication no

# Vô hiệu hóa đăng nhập root trực tiếp
PermitRootLogin no

# Thay đổi cổng SSH mặc định (ví dụ: từ 22 sang 2222)
Port 2222

# Chỉ cho phép các người dùng cụ thể đăng nhập qua SSH
# Ví dụ: AllowUsers user1 user2
# AllowGroups sshusers (nếu bạn có nhóm người dùng SSH riêng)
# AllowUsers <your_username>

# Tắt X11 forwarding nếu không cần thiết
X11Forwarding no

# Tắt GSSAPI authentication nếu không dùng
GSSAPIAuthentication no

# Giới hạn thời gian sống của phiên SSH
ClientAliveInterval 300 # 5 phút
ClientAliveCountMax 2   # Sau 2 lần không phản hồi, ngắt kết nối

# Sau khi chỉnh sửa, lưu và thoát.
# Khởi động lại dịch vụ SSH để áp dụng thay đổi
sudo systemctl restart sshd

# ⚠️ Quan trọng: Đảm bảo bạn có thể đăng nhập bằng khóa SSH và cổng mới trước khi đóng phiên hiện tại.
# Mở một cửa sổ terminal mới và thử đăng nhập: ssh -p 2222 <your_username>@<your_server_ip>


# Cài đặt và cấu hình Fail2ban
# Fail2ban sẽ tự động chặn các địa chỉ IP có hành vi đáng ngờ (ví dụ: đăng nhập SSH sai nhiều lần)
sudo apt update && sudo apt install fail2ban -y # Debian/Ubuntu
# Hoặc: sudo yum install epel-release -y && sudo yum install fail2ban -y # CentOS/RHEL

# Tạo file cấu hình local để tránh bị ghi đè khi cập nhật
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

# Trong file jail.local, tìm và chỉnh sửa các dòng sau:
# Bật fail2ban
enabled = true

# Thời gian cấm IP (ví dụ: 1 giờ = 3600 giây)
bantime = 3600

# Số lần thử sai trước khi cấm
maxretry = 3

# Thời gian tìm kiếm các lỗi (ví dụ: 10 phút = 600 giây)
findtime = 600

# Bật bảo vệ SSH (jail.d/sshd.conf đã có sẵn, chỉ cần đảm bảo enabled = true)
[sshd]
enabled = true
port = ssh,<your_new_ssh_port> # Đảm bảo cổng này khớp với cổng SSH của bạn
logpath = %(sshd_log)s
backend = %(sshd_backend)s

# Lưu và thoát.
# Khởi động và bật Fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# Cấu hình TCP Wrappers (chỉ áp dụng cho các dịch vụ hỗ trợ TCP Wrappers)
# Kiểm soát quyền truy cập dựa trên địa chỉ IP
# Cho phép SSH từ một dải IP cụ thể
sudo nano /etc/hosts.allow
# Thêm:
sshd: 192.168.1.0/24 10.0.0.5

# Từ chối tất cả các kết nối SSH khác
sudo nano /etc/hosts.deny
# Thêm:
sshd: ALL

# 💡 Mẹo: Luôn đặt hosts.allow trước hosts.deny.
# Đảm bảo bạn có thể truy cập từ các IP được phép trước khi từ chối ALL.

✅ SSH đã đư�ực bảo mật hơn, Fail2ban đang hoạt động và TCP Wrappers giới hạn quyền truy cập dịch vụ.

Bước 4: Giám sát và Ghi nhật ký với Auditd

auditd là một công cụ mạnh mẽ để theo dõi và ghi lại các sự kiện bảo mật quan trọng trên hệ thống. Nó giúp bạn phát hiện các hoạt động đáng ngờ, vi phạm chính sách và cố gắng truy cập trái phép.

# Cài đặt Auditd
sudo apt update && sudo apt install auditd audispd-plugins -y # Debian/Ubuntu
# Hoặc: sudo yum install audit -y # CentOS/RHEL

# Kiểm tra trạng thái của Auditd
sudo systemctl status auditd

# Cấu hình các quy tắc Auditd
# Các quy tắc được lưu trong /etc/audit/rules.d/*.rules
# ⚠️ Luôn sao lưu file gốc trước khi chỉnh sửa
# sudo cp /etc/audit/audit.rules /etc/audit/audit.rules.bak

# Tạo một file quy tắc tùy chỉnh
sudo nano /etc/audit/rules.d/custom.rules

# Thêm các quy tắc sau vào file custom.rules:

# Giám sát các thay đổi đối với file cấu hình quan trọng
-w /etc/passwd -p wa -k passwd_changes
-w /etc/shadow -p wa -k shadow_changes
-w /etc/group -p wa -k group_changes
-w /etc/gshadow -p wa -k gshadow_changes
-w /etc/sudoers -p wa -k sudoers_changes
-w /etc/ssh/sshd_config -p wa -k ssh_config_changes
-w /etc/fstab -p wa -k fstab_changes

# Giám sát việc tạo, xóa, thay đổi quyền thực thi file
-a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b32 -S chmod -S fchmod -S fchmodat -F auid>=1000 -F auid!=4294967295 -k perm_mod
-a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate -F auid>=1000 -F auid!=4294967295 -k file_access
-a always,exit -F arch=b32 -S creat -S open -S openat -S truncate -S ftruncate -F auid>=1000 -F auid!=4294967295 -k file_access

# Giám sát các lệnh sudo
-w /usr/bin/sudo -p x -k sudo_commands

# Giám sát các thay đổi về module kernel
-w /lib/modules -p wa -k kernel_modules

# Đảm bảo auditd không bị dừng hoặc các quy tắc bị sửa đổi
-w /etc/audit/audit.rules -p wa -k audit_rules_changes
-w /etc/audit/rules.d -p wa -k audit_rules_changes
-w /sbin/auditctl -p x -k audit_tools

# Quy tắc bất biến (không cho phép thay đổi các quy tắc này khi auditd đang chạy)
-e 2

# Lưu và thoát khỏi nano.

# Khởi động lại Auditd để áp dụng các quy tắc mới
sudo systemctl restart auditd

# Kiểm tra các quy tắc đã được tải
sudo auditctl -l

# Xem các sự kiện đã ghi lại
# sudo ausearch -k passwd_changes
# sudo aureport -ts start_time -te end_time --summary

✅ auditd đã được cấu hình để giám sát các hoạt động quan trọng, cung cấp nhật ký chi tiết cho việc phân tích bảo mật.

Bước 5: Triển khai SELinux hoặc AppArmor

SELinux (Security-Enhanced Linux) và AppArmor là các hệ thống kiểm soát truy cập bắt buộc (Mandatory Access Control - MAC) giúp tăng cường bảo mật bằng cách hạn chế các chương trình và người dùng chỉ được thực hiện những hành động cần thiết.

💡 Mẹo: SELinux thường được sử dụng trên CentOS/RHEL/Fedora, trong khi AppArmor phổ biến trên Ubuntu/Debian. Bạn chỉ cần chọn một trong hai tùy thuộc vào bản phân phối Linux của mình.

Đối với SELinux (CentOS/RHEL/Fedora):

# Kiểm tra trạng thái SELinux
sestatus

# SELinux có 3 chế độ:
# - Enforcing: Bật và thực thi các chính sách bảo mật.
# - Permissive: Bật nhưng chỉ ghi lại cảnh báo, không chặn hành động.
# - Disabled: Tắt hoàn toàn.

# Nếu SELinux đang ở chế độ Permissive, bạn có thể chuyển sang Enforcing:
sudo setenforce 1

# Để thay đổi vĩnh viễn (sau khi đã kiểm tra kỹ lưỡng và giải quyết các vấn đề):
sudo nano /etc/selinux/config
# Thay đổi dòng:
# SELINUX=permissive
# thành:
SELINUX=enforcing
# Lưu và thoát. Khởi động lại hệ thống để áp dụng thay đổi vĩnh viễn.

# Khắc phục lỗi SELinux:
# Nếu gặp vấn đề khi SELinux ở chế độ enforcing, bạn có thể xem các lỗi trong log:
# sudo tail -f /var/log/audit/audit.log | grep AVC
# sudo journalctl -t audit -f
# Hoặc sử dụng công cụ 'sealert' để phân tích và đề xuất giải pháp:
# sudo yum install setroubleshoot-server -y # Cài đặt
# sudo sealert -a /var/log/audit/audit.log

Đối với AppArmor (Ubuntu/Debian):

# Kiểm tra trạng thái AppArmor
sudo apparmor_status

# AppArmor hiển thị các profile đang ở chế độ "enforce" hoặc "complain" (tương tự permissive)

# Để chuyển một profile sang chế độ enforce (ví dụ: profile cho Nginx)
# sudo aa-enforce /etc/apparmor.d/usr.sbin.nginx

# Để chuyển một profile sang chế độ complain (tức là permissive để debug)
# sudo aa-complain /etc/apparmor.d/usr.sbin.nginx

# Để tạo profile mới hoặc chỉnh sửa profile hiện có, bạn cần kiến thức chuyên sâu hơn.
# Công cụ 'aa-genprof' có thể giúp tạo profile dựa trên hoạt động của ứng dụng:
# sudo aa-genprof <path_to_executable>

✅ SELinux hoặc AppArmor đã được cấu hình để tăng cường kiểm soát truy cập, hạn chế phạm vi hoạt động của các tiến trình.

Troubleshooting

Không thể SSH sau khi hardening:
- ⚠️ Kiểm tra lại /etc/ssh/sshd_config (đặc biệt là Port, PermitRootLogin, PasswordAuthentication, AllowUsers).
- ⚠️ Đảm bảo tường lửa (firewall, ví dụ: ufw hoặc firewalld) cho phép cổng SSH mới.
- 💡 Nếu bạn bị khóa hoàn toàn, truy cập qua console vật lý hoặc giao diện quản lý máy ảo để sửa lỗi.
Dịch vụ không hoạt động sau khi cấu hình sysctl hoặc SELinux/AppArmor:
- ⚠️ Kiểm tra log hệ thống (journalctl -xe, /var/log/syslog, /var/log/messages).
- 💡 Đối với sysctl, thử comment các dòng bạn mới thêm và sudo sysctl -p để xác định dòng nào gây lỗi.
- 💡 Đối với SELinux, chuyển sang chế độ permissive (sudo setenforce 0) để xem lỗi có biến mất không. Nếu có, hãy phân tích log SELinux để tạo các quy tắc cho phép.
- 💡 Đối với AppArmor, chuyển profile của dịch vụ sang chế độ complain để debug.
Fail2ban không chặn IP:
- ⚠️ Kiểm tra xem dịch vụ fail2ban có đang chạy không (sudo systemctl status fail2ban).
- ⚠️ Kiểm tra log của fail2ban (sudo tail -f /var/log/fail2ban.log) để xem nó có phát hiện lỗi không.
- ⚠️ Đảm bảo logpath và port trong cấu hình jail.local khớp với dịch vụ của bạn.

Kết Luận

Hardening máy chủ Linux là một quá trình liên tục và đa lớp, không phải là một nhiệm vụ một lần. Bằng cách áp dụng các kỹ thuật nâng cao như hardening kernel, thắt chặt filesystem, bảo mật SSH, triển khai auditd và sử dụng các hệ thống MAC như SELinux/AppArmor, bạn đã tăng cường đáng kể khả năng phòng thủ của máy chủ.

Best practices:

Cập nhật thường xuyên: Luôn giữ hệ điều hành và tất cả phần mềm ở phiên bản mới nhất để vá các lỗ hổng bảo mật.
Nguyên tắc ít đặc quyền nhất (Least Privilege): Chỉ cấp cho người dùng và dịch vụ những quyền hạn tối thiểu cần thiết để thực hiện công việc của họ.
Sao lưu định kỳ: Luôn có kế hoạch sao lưu và phục hồi dữ liệu để đối phó với các sự cố bất ngờ.
Kiểm tra bảo mật định kỳ: Thực hiện các cu�ực kiểm tra bảo mật, quét lỗ hổng và đánh giá cấu hình để đảm bảo hệ thống luôn được bảo vệ.
Giám sát liên tục: Sử dụng các công cụ giám sát log và SIEM để phát hiện sớm các hoạt động đáng ngờ.

Việc đầu tư thời gian vào hardening máy chủ sẽ mang lại sự an tâm và bảo vệ tài sản số của bạn khỏi các mối đe dọa ngày càng tăng.

Giới Thiệu​

Yêu Cầu​

Các Bước Thực Hiện​

Bước 1: Hardening Kernel và Tham số Hệ thống (sysctl)​

Bước 2: Tăng cường bảo mật Filesystem và Quyền truy cập​

Bước 3: Bảo mật SSH và Dịch vụ Mạng​

Bước 4: Giám sát và Ghi nhật ký với Auditd​

Bước 5: Triển khai SELinux hoặc AppArmor​

Troubleshooting​

Kết Luận​