Thứ ba, 04/03/2014 | 00:00 GMT+7

Giới thiệu về Bảo mật VPS Linux của bạn

Kiểm soát server Linux của bạn là cơ hội để thử những điều mới và tận dụng sức mạnh và tính linh hoạt của một nền tảng tuyệt vời. Tuy nhiên, administrator server Linux cũng phải thận trọng với bất kỳ máy nào được kết nối mạng để bảo mật và an toàn.


Có nhiều chủ đề bảo mật khác nhau nằm trong danh mục chung là “Bảo mật Linux” và nhiều ý kiến về mức độ bảo mật thích hợp cho server Linux.

Điều chính cần rút ra từ điều này là bạn sẽ phải tự quyết định những biện pháp bảo vệ an ninh nào là cần thiết. Trước khi làm điều này, bạn nên nhận thức được rủi ro và sự đánh đổi, đồng thời quyết định sự cân bằng giữa khả năng sử dụng và bảo mật phù hợp với bạn.

Bài viết này nhằm giúp định hướng cho bạn một số biện pháp bảo mật phổ biến nhất cần thực hiện trong môi trường server Linux. Đây không phải là danh sách đầy đủ và không bao gồm các cấu hình được đề xuất, nhưng nó sẽ cung cấp các liên kết đến các tài nguyên kỹ hơn và thảo luận tại sao mỗi thành phần lại là một phần quan trọng của nhiều hệ thống.

Chặn quyền truy cập bằng firewall


Một trong những bước đơn giản nhất được đề xuất cho tất cả user là bật và cấu hình firewall . Tường lửa hoạt động như một rào cản giữa lưu lượng truy cập chung của Internet và máy của bạn. Họ xem xét lưu lượng truy cập vào và ra khỏi server của bạn và quyết định xem nó có nên cho phép gửi thông tin hay không.

Họ thực hiện điều này bằng cách kiểm tra lưu lượng truy cập được đề cập dựa trên một tập hợp các luật được cấu hình bởi user . Thông thường, một server sẽ chỉ sử dụng một vài cổng mạng cụ thể cho các dịch vụ hợp lệ . Phần còn lại của các cổng không được sử dụng và cần được bảo vệ an toàn sau một bức firewall , bức firewall sẽ từ chối tất cả lưu lượng dành cho các vị trí này.

Điều này cho phép bạn loại bỏ dữ liệu mà bạn không mong đợi và thậm chí có điều kiện sử dụng các dịch vụ thực của bạn trong một số trường hợp. Luật firewall Sane cung cấp một nền tảng tốt cho an ninh mạng.

Có khá nhiều giải pháp firewall có sẵn. Ta sẽ thảo luận ngắn gọn về một số tùy chọn phổ biến hơn bên dưới.

UFW


UFW là viết tắt của firewall không phức tạp. Mục tiêu của nó là cung cấp khả năng bảo vệ tốt mà không có cú pháp phức tạp của các giải pháp khác.

UFW, cũng như hầu hết các firewall Linux, thực sự là một giao diện user để kiểm soát firewall netfilter có trong nhân Linux. Đây thường là một firewall đơn giản để sử dụng cho những người chưa quen với các giải pháp firewall Linux và nói chung là một lựa chọn tốt.

Bạn có thể tìm hiểu cách bật và cấu hình firewall UFW và tìm hiểu thêm bằng cách nhấp vào liên kết này.

IPTables


Có lẽ giải pháp firewall Linux nổi tiếng nhất là iptables. IPTables là một thành phần khác được sử dụng để quản lý firewall netfilter có trong nhân Linux. Nó đã xuất hiện từ lâu và đã trải qua các cuộc kiểm tra an ninh gắt gao đảm bảo an toàn cho nó. Có một version của iptables được gọi là ip6tables để tạo các hạn chế IPv6.

Bạn có thể sẽ gặp các cấu hình iptables trong thời gian quản lý các máy Linux. Cú pháp có thể phức tạp để nắm bắt lúc đầu, nhưng nó là một công cụ cực kỳ mạnh mẽ có thể được cấu hình với các bộ luật rất linh hoạt.

Bạn có thể tìm hiểu thêm về cách triển khai một số luật firewall iptables trên hệ thống Ubuntu hoặc Debian tại đây hoặc tìm hiểu cách sử dụng iptables trên các bản phân phối dựa trên CentOS / Fedora / RHEL tại đây.

IP6Tables

Như đã đề cập ở trên, iptables được sử dụng để thao tác các bảng có chứa các luật IPv4. Nếu bạn đã bật IPv6 trên server của bạn , bạn cũng cần chú ý đến IPv6 tương đương: ip6tables .

Tường lửa netfilter có trong nhân Linux giữ lưu lượng IPv4 và IPv6 hoàn toàn tách biệt. Chúng được lưu trữ trong các bảng khác nhau. Các luật quyết định số phận cuối cùng của một gói được xác định bởi version giao thức đang được sử dụng.

Điều này nghĩa là gì đối với administrator của server là một bộ luật riêng phải được duy trì khi version 6 được kích hoạt. Lệnh ip6tables chia sẻ cú pháp giống như lệnh iptables , do đó, việc thực hiện cùng một bộ hạn chế trong bảng version 6 thường được thực hiện thẳng. Tuy nhiên, bạn phải đảm bảo trùng với lưu lượng truy cập được hướng đến địa chỉ IPv6 của bạn để điều này hoạt động chính xác.

NFTables


Mặc dù iptables từ lâu đã trở thành tiêu chuẩn cho firewall trong môi trường Linux, một firewall mới có tên nftables gần đây đã được thêm vào nhân Linux. Đây là một dự án của cùng một group tạo ra iptables và cuối cùng dự định sẽ thay thế iptables.

Tường lửa nftables cố gắng triển khai cú pháp dễ đọc hơn so với cú pháp được tìm thấy trước đó là iptables, đồng thời triển khai hỗ trợ IPv4 và IPv6 vào cùng một công cụ. Mặc dù hầu hết các version Linux tại thời điểm này không có nhân đủ mới để triển khai nftables, nhưng nó sẽ sớm trở nên rất phổ biến và bạn nên cố gắng làm quen với cách sử dụng của nó.

Sử dụng SSH để đăng nhập an toàn từ xa


Khi quản lý một server mà bạn không có quyền truy cập local , bạn cần đăng nhập từ xa. Cách tiêu chuẩn, an toàn để thực hiện điều này trên hệ thống Linux là thông qua một giao thức được gọi là SSH, viết tắt của an toàn shell.

SSH cung cấp mã hóa end-to-end, khả năng truyền lưu lượng không an toàn qua kết nối an toàn, chuyển tiếp X (giao diện user đồ họa qua kết nối mạng), v.v. Về cơ bản, nếu bạn không có quyền truy cập vào kết nối local hoặc quản lý ngoài băng tần, SSH sẽ là cách chính để bạn tương tác với máy của bạn .

Mặc dù bản thân giao thức rất an toàn và đã trải qua quá trình nghiên cứu sâu rộng và xem xét mã, các lựa chọn cấu hình của bạn có thể hỗ trợ hoặc cản trở tính bảo mật của dịch vụ. Ta sẽ thảo luận về một số tùy chọn bên dưới.

Mật khẩu và Đăng nhập SSH-Key


SSH có một mô hình xác thực linh hoạt cho phép bạn đăng nhập bằng một số phương pháp khác nhau. Hai lựa chọn phổ biến nhất là xác thực bằng password và SSH key .

Mặc dù xác thực bằng password có lẽ là mô hình tự nhiên nhất đối với hầu hết user , nhưng nó cũng kém an toàn hơn trong hai lựa chọn này.Đăng nhập password cho phép kẻ xâm nhập liên tục đoán password cho đến khi tìm thấy kết hợp thành công. Điều này được gọi là bạo lực và có thể dễ dàng được tự động hóa bởi những kẻ tấn công bằng các công cụ hiện đại.

Mặt khác, SSH key hoạt động bằng cách tạo ra một cặp khóa an toàn. Khóa công khai được tạo như một loại kiểm tra để xác định user . Nó có thể được chia sẻ công khai mà không có vấn đề gì và không thể được sử dụng cho bất kỳ việc gì khác ngoài việc xác định user và cho phép đăng nhập vào user bằng private key phù hợp. Khóa riêng tư phải được giữ bí mật và được sử dụng để vượt qua bài kiểm tra của public key liên quan.

Về cơ bản, bạn có thể thêm SSH key công khai của bạn trên server và nó sẽ cho phép bạn đăng nhập bằng cách sử dụng private key phù hợp. Các phím này rất phức tạp nên việc ép buộc là không thực tế. Hơn nữa, bạn có thể tùy chọn thêm các passphrase (password bảo vệ) dài vào khóa của bạn để tăng thêm tính bảo mật.

Để tìm hiểu thêm về cách sử dụng SSH, hãy nhấp vào đây và xem liên kết này để tìm hiểu cách cài đặt SSH key trên server của bạn .

Triển khai fail2ban để cấm địa chỉ IP độc hại


Một bước sẽ giúp bảo mật chung cho cấu hình SSH của bạn là triển khai một giải pháp như fail2ban. Fail2ban là một dịch vụ giám sát các file log để xác định xem một hệ thống từ xa có khả năng không phải là user hợp lệ hay không và sau đó tạm thời cấm lưu lượng truy cập trong tương lai từ địa chỉ IP được liên kết.

Cài đặt policy fail2ban hợp lý có thể cho phép bạn gắn cờ các máy tính liên tục cố gắng đăng nhập không thành công và thêm các luật firewall để loại bỏ lưu lượng truy cập từ chúng trong một khoảng thời gian nhất định. Đây là một cách dễ gây trở ngại cho các phương pháp vũ phu thường được sử dụng vì họ sẽ phải nghỉ thi đấu khá lâu khi bị cấm. Điều này thường đủ để ngăn cản những nỗ lực vũ phu hơn nữa.

Bạn có thể tìm hiểu cách triển khai policy fail2ban trên Ubuntu tại đây. Ở đây có các hướng dẫn tương tự cho DebianCentOS .

Triển khai Hệ thống phát hiện xâm nhập để phát hiện hành vi xâm nhập trái phép


Một điều quan trọng cần ghi nhớ là phát triển chiến lược phát hiện việc sử dụng trái phép. Bạn có thể có các biện pháp phòng ngừa, nhưng bạn cũng cần biết liệu chúng có thất bại hay không.

Hệ thống phát hiện xâm nhập, còn gọi là IDS, lập danh mục cấu hình và chi tiết file khi ở trạng thái tốt. Sau đó, nó chạy so sánh với các trạng thái đã ghi này để tìm xem các file đã bị thay đổi hoặc cài đặt đã được sửa đổi hay chưa.

Có khá nhiều hệ thống phát hiện xâm nhập. Ta sẽ xem xét một vài điều bên dưới.

Bẫy ưu đãi


Một trong những cách triển khai IDS nổi tiếng nhất là tripwire. Tripwire biên dịch database gồm các file hệ thống và bảo vệ các file cấu hình và file binary của nó bằng một bộ khóa. Sau khi chi tiết cấu hình được chọn và các ngoại lệ được xác định, các lần chạy tiếp theo sẽ thông báo về bất kỳ thay đổi nào đối với các file mà nó giám sát.

Mô hình policy rất linh hoạt, cho phép bạn định hình các thuộc tính của nó phù hợp với môi trường của bạn. Sau đó, bạn có thể cấu hình chạy tripwire thông qua công việc cron và thậm chí triển khai thông báo qua email trong trường hợp có hoạt động bất thường.

Tìm hiểu thêm về cách triển khai tripwire tại đây.

Phụ tá


Một tùy chọn khác cho IDS là Aide. Tương tự như tripwire, Aide hoạt động bằng cách xây dựng database và so sánh trạng thái hệ thống hiện tại với các giá trị tốt đã biết mà nó đã lưu trữ. Khi phát sinh sự khác biệt, nó có thể thông báo cho administrator về vấn đề.

Aide và tripwire đều cung cấp các giải pháp tương tự cho cùng một vấn đề. Hãy xem tài liệu và thử cả hai giải pháp để tìm ra giải pháp bạn thích hơn.

Để biết hướng dẫn vềcách sử dụng Aide làm IDS , hãy xem tại đây.

Psad


Công cụ psad liên quan đến một phần hệ thống khác với các công cụ được liệt kê ở trên. Thay vì giám sát các file hệ thống, psad theo dõi log firewall để cố gắng phát hiện hoạt động độc hại.

Ví dụ: nếu user đang cố gắng thăm dò các lỗ hổng bằng cách quét cổng, psad có thể phát hiện hoạt động này và tự động thay đổi các luật firewall để khóa user vi phạm. Công cụ này có thể đăng ký các mức độ đe dọa khác nhau và dựa trên phản ứng của nó dựa trên mức độ nghiêm trọng của vấn đề. Nó cũng có thể tùy chọn gửi email cho administrator .

Để tìm hiểu cách sử dụng psad làm IDS mạng , hãy nhấp vào liên kết này.

Anh bạn


Một tùy chọn khác cho IDS dựa trên mạng là Bro. Bro thực sự là một khung giám sát mạng được dùng như một IDS mạng hoặc cho các mục đích khác như thu thập số liệu thống kê sử dụng, điều tra sự cố hoặc phát hiện các mẫu.

Hệ thống Bro được chia thành hai lớp. Lớp đầu tiên giám sát hoạt động và tạo ra những gì nó coi là sự kiện. Lớp thứ hai chạy các sự kiện đã tạo thông qua một khung policy chỉ định những gì nên làm, nếu có, với lưu lượng truy cập. Nó có thể tạo ra các cảnh báo, thực hiện các lệnh hệ thống, chỉ cần ghi lại sự kiện xảy ra hoặc thực hiện các đường dẫn khác.

Để tìm hiểu cách sử dụng Bro làm IDS , hãy nhấp vào đây.

RKHunter


Mặc dù về mặt kỹ thuật không phải là một hệ thống phát hiện xâm nhập, rkhunter hoạt động trên nhiều nguyên tắc giống như các hệ thống phát hiện xâm nhập dựa trên server để phát hiện rootkit và phần mềm độc hại đã biết.

Mặc dù vi rút rất hiếm trong thế giới Linux, nhưng phần mềm độc hại và rootkit có thể xâm phạm hộp của bạn hoặc cho phép tiếp tục truy cập vào kẻ khai thác thành công. RKHunter download danh sách các khai thác đã biết và sau đó kiểm tra hệ thống của bạn với database . Nó cũng cảnh báo cho bạn nếu phát hiện cài đặt không an toàn trong một số ứng dụng phổ biến.

Bạn có thể xem bài viết này để biết cách sử dụng RKHunter trên Ubuntu .

Lời khuyên chung về an ninh


Mặc dù các công cụ và cấu hình ở trên có thể giúp bạn bảo mật các phần của hệ thống, nhưng bảo mật tốt không đến từ việc chỉ triển khai một công cụ và quên mất nó. Bảo mật tốt thể hiện ở một tư duy nhất định và đạt được thông qua sự siêng năng, xem xét kỹ và tham gia vào bảo mật như một quá trình.

Có một số luật chung có thể giúp đưa bạn đi đúng hướng liên quan đến việc sử dụng hệ thống của bạn một cách an toàn.

Chú ý cập nhật và cập nhật thường xuyên


Các lỗ hổng phần mềm luôn được tìm thấy trong mọi loại phần mềm mà bạn có thể có trên hệ thống của bạn . Các nhà bảo trì phân phối thường làm tốt công việc cập nhật các bản vá bảo mật mới nhất và đẩy các bản cập nhật đó vào kho của họ.

Tuy nhiên, việc có sẵn các bản cập nhật bảo mật trong repository lưu trữ sẽ không tốt nếu server của bạn không download và cài đặt các bản cập nhật. Mặc dù nhiều server được hưởng lợi từ việc dựa vào các version phần mềm hệ thống ổn định, đã được kiểm tra kỹ , các bản vá bảo mật không nên được đưa ra và nên được coi là các bản cập nhật quan trọng.

Hầu hết các bản phân phối đều cung cấp danh sách gửi thư bảo mật và repository bảo mật riêng biệt để chỉ download và cài đặt các bản vá bảo mật.

Cẩn thận khi download phần mềm bên ngoài các kênh chính thức


Hầu hết user sẽ gắn bó với phần mềm có sẵn từ các repository chính thức cho bản phân phối của họ và hầu hết các bản phân phối đều cung cấp các gói đã ký. User thường có thể tin tưởng các nhà bảo trì phân phối và tập trung mối quan tâm của họ vào tính bảo mật của phần mềm được mua bên ngoài các kênh chính thức.

Bạn có thể chọn tin cậy các gói từ bản phân phối của bạn hoặc phần mềm có sẵn từ trang web chính thức của dự án, nhưng lưu ý trừ khi bạn đang tự kiểm tra từng phần mềm, nếu không sẽ có rủi ro liên quan. Hầu hết user đều cảm thấy đây là mức rủi ro có thể chấp nhận được.

Mặt khác, phần mềm có được từ các repository ngẫu nhiên và PPA được duy trì bởi những người hoặc tổ chức mà bạn không nhận ra có thể là một rủi ro bảo mật rất lớn. Không có luật cài đặt nào và phần lớn các nguồn phần mềm không chính thức có thể sẽ hoàn toàn an toàn, nhưng hãy lưu ý bạn đang chấp nhận rủi ro khi nào bạn tin tưởng một bên khác.

Hãy chắc chắn rằng bạn có thể giải thích cho chính mình tại sao bạn tin tưởng nguồn. Nếu bạn không thể thực hiện việc này, hãy coi rủi ro bảo mật của bạn là mối quan tâm hơn là sự tiện lợi mà bạn sẽ đạt được.

Biết các dịch vụ của bạn và giới hạn chúng


Mặc dù toàn bộ điểm chạy server có khả năng cung cấp các dịch vụ mà bạn có thể truy cập, nhưng hãy giới hạn các dịch vụ đang chạy trên máy của bạn ở những dịch vụ mà bạn sử dụng và cần. Hãy coi mọi dịch vụ được kích hoạt là một vectơ đe dọa có thể có và cố gắng loại bỏ nhiều vectơ đe dọa nhất có thể mà không ảnh hưởng đến chức năng cốt lõi của bạn.

Điều này nghĩa là nếu bạn đang chạy một server không đầu (không gắn màn hình) và không chạy bất kỳ chương trình đồ họa (không phải web) nào, bạn nên tắt và có thể gỡ cài đặt server hiển thị X của bạn . Các biện pháp tương tự có thể được thực hiện trong các lĩnh vực khác. Không có máy in? Tắt dịch vụ "lp". Không có mạng Windows chia sẻ? Tắt dịch vụ "samba".

Bạn có thể khám phá những dịch vụ nào bạn đang chạy trên máy tính của bạn thông qua nhiều phương tiện. Bài viết này trình bày cách phát hiện các dịch vụ đã bật trong phần "tạo danh sách các yêu cầu".

Không sử dụng FTP; Sử dụng SFTP thay thế


Đây có thể là một vấn đề khó đối với nhiều người, nhưng FTP là một giao thức vốn dĩ không an toàn.Tất cả xác thực được gửi ở dạng văn bản thuần túy, nghĩa là bất kỳ ai theo dõi kết nối giữa server và máy local của bạn đều có thể thấy chi tiết đăng nhập của bạn.

Chỉ có rất ít trường hợp FTP có thể được triển khai. Nếu bạn đang chạy một máy nhân bản download ẩn danh, công khai, chỉ đọc, FTP là một lựa chọn phù hợp. Một trường hợp khác mà FTP là một lựa chọn ổn là khi bạn chỉ đơn giản là chuyển các file giữa hai máy tính có firewall hỗ trợ NAT và bạn tin rằng mạng của bạn là an toàn.

Trong hầu hết các trường hợp khác, bạn nên sử dụng một giải pháp thay thế an toàn hơn. Bộ SSH hoàn chỉnh với một giao thức thay thế được gọi là SFTP hoạt động trên bề mặt theo cách tương tự, nhưng nó dựa trên cùng một bảo mật của giao thức SSH.

Điều này cho phép bạn chuyển thông tin đến và từ server của bạn theo cách mà bạn thường sử dụng FTP nhưng không có rủi ro. Hầu hết các client FTP hiện đại cũng có thể giao tiếp với server SFTP.

Để tìm hiểu cách sử dụng SFTP để truyền file một cách an toàn , hãy xem hướng dẫn này.

Triển khai Chính sách Bảo mật User Hợp lý


Bạn có thể thực hiện một số bước để bảo mật hệ thống của bạn tốt hơn khi quản lý user .

Một gợi ý là vô hiệu hóa đăng nhập root . Vì user root có mặt trên bất kỳ hệ thống giống như POSIX nào và nó là một account toàn năng, nó là mục tiêu hấp dẫn của nhiều kẻ tấn công. Tắt thông tin đăng nhập root thường là một ý tưởng hay sau khi bạn đã cấu hình quyền truy cập sudo hoặc nếu bạn thấy thoải mái khi sử dụng lệnh su. Nhiều người không đồng ý với gợi ý này, nhưng hãy kiểm tra xem nó có phù hợp với bạn không.

Có thể tắt đăng nhập root từ xa trong daemon SSH hoặc tắt đăng nhập local , bạn có thể thực hiện các hạn chế trong file /etc/securetty . Bạn cũng có thể đặt shell của user root thành non-shell để vô hiệu hóa quyền truy cập root shell và cài đặt các luật PAM để hạn chế đăng nhập root. RedHat có một bài viết tuyệt vời về cách vô hiệu hóa đăng nhập root .

Một policy tốt khác để thực hiện với account user là tạo các account duy nhất cho từng user và dịch vụ và chỉ cấp cho họ những quyền tối thiểu để hoàn thành công việc của họ. Khóa mọi thứ mà họ không cần truy cập và tước bỏ tất cả các quyền không làm tê liệt họ.

Đây là một policy quan trọng vì nếu một user hoặc dịch vụ bị xâm phạm, nó sẽ không dẫn đến ảnh hưởng domino cho phép kẻ tấn công có quyền truy cập vào nhiều hệ thống hơn. Hệ thống ngăn cách này giúp bạn cách ly các vấn đề, giống như hệ thống vách ngăn và cửa kín nước có thể giúp ngăn tàu chìm khi có sự cố thủng thân tàu.

Tương tự như các policy dịch vụ mà ta đã thảo luận ở trên, bạn cũng nên cẩn thận để vô hiệu hóa bất kỳ account user nào không còn cần thiết. Điều này có thể xảy ra khi bạn gỡ cài đặt phần mềm hoặc nếu user không còn quyền truy cập vào hệ thống.

Chú ý đến cài đặt quyền


Quyền đối với file là một nguồn thất vọng lớn đối với nhiều user . Việc tìm kiếm sự cân bằng cho các quyền cho phép bạn làm những gì bạn cần làm trong khi không để mình bị tổn hại có thể khó khăn và đòi hỏi sự chú ý và suy nghĩ cẩn thận trong mỗi tình huống.

Việc cài đặt policy sane umask (thuộc tính xác định quyền mặc định cho các file và folder mới) có thể đi một chặng đường dài trong việc tạo mặc định tốt. Bạn có thể tìm hiểu về cách hoạt động của quyền và cách điều chỉnh giá trị umask của bạn tại đây.

Nói chung, bạn nên suy nghĩ kỹ trước khi đặt bất kỳ thứ gì có thể ghi được trên toàn thế giới, đặc biệt nếu nó có thể truy cập được bằng bất kỳ cách nào trên internet. Điều này có thể gây ra hậu quả nghiêm trọng. Ngoài ra, bạn không nên đặt bit SGID hoặc SUID trong quyền trừ khi bạn hoàn toàn biết mình đang làm gì. Ngoài ra, hãy kiểm tra xem file của bạn có chủ sở hữu và một group hay không.

Cài đặt quyền đối với file của bạn sẽ khác nhau rất nhiều dựa trên mức sử dụng cụ thể của bạn, nhưng bạn nên luôn thử xem có cách nào để thực hiện với ít quyền hơn không. Đây là một trong những điều dễ sai lầm nhất và là lĩnh vực có rất nhiều lời khuyên tồi trôi nổi trên internet.

Thường xuyên kiểm tra phần mềm độc hại trên server của bạn


Mặc dù Linux thường ít bị Malware nhắm đến hơn Windows, nhưng nó không nghĩa là miễn nhiễm với phần mềm độc hại. Cùng với việc triển khai IDS để phát hiện các nỗ lực xâm nhập, quét phần mềm độc hại có thể giúp xác định các dấu vết hoạt động cho thấy rằng phần mềm bất hợp lệ được cài đặt trên máy của bạn.

Có một số trình quét phần mềm độc hại có sẵn cho các hệ thống Linux được dùng để thường xuyên xác nhận tính toàn vẹn của server của bạn. Linux Malware Detect, còn gọi là maldet hoặc LMD, là một tùy chọn phổ biến có thể dễ dàng cài đặt và cấu hình để quét các chữ ký phần mềm độc hại đã biết. Nó có thể được chạy theo cách thủ công để thực hiện quét một lần và cũng có thể được tạo daemonized để chạy quét theo lịch thường xuyên. Các báo cáo từ các lần quét này có thể được gửi qua email cho các administrator server .

Cách bảo mật phần mềm cụ thể mà bạn đang sử dụng


Mặc dù hướng dẫn này không đủ lớn để đi sâu vào các chi tiết cụ thể về bảo mật mọi loại dịch vụ hoặc ứng dụng, nhưng có rất nhiều hướng dẫn và hướng dẫn có sẵn trực tuyến. Bạn nên đọc các khuyến nghị bảo mật của mọi dự án mà bạn định thực hiện trên hệ thống của bạn .

Hơn nữa, phần mềm server phổ biến như web server hoặc hệ thống quản lý database có toàn bộ trang web và database dành cho bảo mật. Nói chung, bạn nên đọc kỹ và bảo mật mọi dịch vụ trước khi đưa nó lên mạng.

Bạn có thể kiểm tra phần bảo mật của ta để được tư vấn cụ thể hơn cho phần mềm bạn đang sử dụng.

Kết luận


Đến đây bạn đã hiểu rõ về các phương pháp bảo mật chung mà bạn có thể triển khai trên server Linux của bạn . Mặc dù ta đã cố gắng đề cập đến nhiều lĩnh vực có tầm quan trọng cao, nhưng vào cuối ngày, bạn sẽ phải tự mình đưa ra nhiều quyết định.Khi bạn quản lý một server , bạn phải chịu trách nhiệm về bảo mật của server của bạn .

Đây không phải là thứ mà bạn có thể cấu hình nhanh chóng ngay từ đầu, nó là một quá trình và một bài tập liên tục trong việc kiểm tra hệ thống của bạn, triển khai các giải pháp, đánh giá log và cảnh báo, đánh giá lại nhu cầu của bạn, v.v. Bạn cần cảnh giác trong việc bảo vệ hệ thống của bạn và luôn đánh giá và giám sát kết quả của các giải pháp của bạn.

<div class = “author”> Bởi Justin Ellingwood </div>


Tags:

Các tin liên quan

Cách đọc và đặt các biến Môi trường và Hệ vỏ trên VPS Linux
2014-03-03
Cách đọc và đặt các biến Môi trường và Hệ vỏ trên VPS Linux
2014-03-03
Cách sử dụng cd, pwd và ls để khám phá hệ thống tệp trên server Linux
2014-02-28
Cách di chuyển server Linux Phần 1 - Chuẩn bị hệ thống
2014-02-27
Cách di chuyển server Linux Phần 2 - Truyền dữ liệu cốt lõi
2014-02-27
Cách di chuyển server Linux Phần 3 - Các bước cuối cùng
2014-02-27
Cách cài đặt và sử dụng LinuxBrew trên VPS Linux
2014-02-14
cách sử dụng role và môi trường trong Chef để kiểm soát cấu hình server
2014-02-04
Cách cài đặt Chef Server, Workstation và Client trên Phiên bản VPS Ubuntu
2014-01-30
Giới thiệu về Chuyển hướng I / O Linux
2014-01-23