Trong kỷ nguyên số, khi các doanh nghiệp ngày càng phụ thuộc vào công nghệ, bảo mật server trở thành một yếu tố sống còn để bảo vệ thông tin và dữ liệu quan trọng. Một server không được bảo mật đúng cách có thể trở thành mục tiêu của các cuộc tấn công mạng, gây thiệt hại nghiêm trọng về tài chính cũng như uy tín của doanh nghiệp. Hãy cùng Mstar Corp tìm hiểu 9 cách bảo mật server hiệu quả cho doanh nghiệp trong bài viết này.
Sử dụng mật khẩu an toàn để bảo mật server
Mật khẩu không an toàn là mối đe doạ bảo mật thường gặp nhất. Sử dụng mật khẩu an toàn là điều kiện tiên quyết nếu bạn muốn duy trì tính an toàn và bảo mật cho server của mình. Chỉnh sửa file /etc/login.defs để cấu hình nhiều tuỳ chọn mật khẩu trên hệ thống của bạn.
Nguyên tắc tạo mật khẩu an toàn:
- Sử dụng tối thiểu 8 ký tự, kết hợp cả chữ hoa, chữ thường và số.
- Tránh sử dụng từ ngữ trong từ điển hoặc ngày tháng dễ đoán.
- Sử dụng công cụ như JTR cracker để kiểm tra độ an toàn của mật khẩu.
- Cài đặt pam_passwdqc để đo độ mạnh của mật khẩu.
Cần thực hiện:
- Thay đổi mật khẩu thường xuyên, tốt nhất là sau mỗi 3 tháng.
- Không sử dụng cùng một mật khẩu cho nhiều tài khoản khác nhau.
- Sử dụng xác thực hai yếu tố (2FA) để tăng cường bảo mật.
- Lưu trữ mật khẩu an toàn, tránh ghi chép trực tiếp.
Bảo mật SSH để bảo mật server
Để tăng độ bảo mật, bạn nên chuyển truy cập SSH sang một cổng khác nhằm ngăn chặn những người thiếu kiến thức về server có thể truy cập vào cổng SSH này của bạn. Để tuỳ chỉnh cổng mà SSH chạy, bạn cần chỉnh sửa file /etc/ssh/sshd_config.
Khi thực hiện, tốt nhất bạn nên sử dụng 1 cổng có số thứ tự nhỏ hơn 1024 và chưa được dùng cho dịch vụ nào khác. Lí do cho việc này là vì các cổng được sử dụng là cổng “đặc quyền”, chỉ có các root user mới có thể liên kết với chúng.
Cổng từ 1024 trở lên là cổng “không đặc quyền” và bất cứ ai cũng có thể dùng được. Chú ý là phải luôn sử dụng SSHv2, vì SSHv1 không an toàn. Thêm nữa, bạn cần chuyển dòng #Protocol 2,1 trong file /etc/ssh/sshd_config sang Protocol 2.
Bảo mật Apache
Con đường nhanh chóng và dễ dàng nhất để truy cập một web cloud server đó chính là thông qua các ứng dụng trên web server này. Do đó bạn cần bảo mật cài đặt Apache. Một trong những công cụ tốt nhất để giúp ngăn chặn việc sử dụng Apache vào các mục đích xấu đó chính là ModSecurity™. Trong cPanel & WHM phiên bản 11.46 trở lên, bạn có thể dùng các giao diện sau đây để quản lý ModSecurity:
- Giao diện WHM’s ModSecurity™ Configuration (Home >> Security Center >> ModSecurity™ Configuration)
- Giao diện WHM’s ModSecurity™ Tools (Home >> Security Center >> ModSecurity™ Tools)
Khi biên soạn Apache, bạn nên kèm theo suEXEC để đảm bảo tất cả ứng dụng CGI và script chạy đúng dưới quyền của người dùng đã đăng kí. Phương pháp này còn cho phép truy cập tới vị trí của những script có mục đích xấu và kẻ “chủ mưu” ra chúng. Đồng thời, nó cũng giúp đảm bảo quyền hạn và các thiết lập điều khiển trong môi trường server của bạn.
Một lời khuyên dành cho bạn là nên biên soạn Apache và PHP với suPHP. suPHP sẽ bắt tất cả các PHP script chạy đúng dưới quyền của người sở hữu script đó. Điều này giúp bạn biết được chủ sở hữu của tất cả các PHP script đang chạy trên server của mình và truy cập được đến vị trí của các script có mục đích xấu. Để biên soạn Apache và PHP với suPHP, bạn cần tích vào tuỳ chọn suPHP option trong giao diện WHM’s EasyApache (Home >> Software >> EasyApache (Apache Update)) hoặc chạy script /scripts/easyapache từ bảng điều khiển (command line).
Gia cố hệ thống (phân vùng /tmp) để bảo mật server
Bạn nên gắn một phân vùng /tmp riêng rẽ với tuỳ chọn nosuid. Tùy chọn này sẽ ép một tiến trình chạy với các đặc quyền của người thi hành nó. Bạn cũng cần phải gắn thư mục /tmp với noexec sau khi cài cPanel và WHM. Chạy script /scripts/securetmp để gắn phân vùng /tmp sang một file tạm thời nhằm mục đích dự phòng.
Nếu bạn không muốn chạy script /scripts/securetmp trên server của mình, hãy tạo file /var/cpanel/version/securetmp_disabled. Để thực hiện điều này, hãy chạy dòng lệnh sau: touch /var/cpanel/version/securetmp_disabled. File này sẽ giúp đảm bảo rằng script không thể chạy trên cloud server của bạn. Tuy nhiên bạn không nên vô hiệu hoá script /scripts/securetmp.
Hạn chế các trình biên soạn hệ thống
Trình biên soạn C và C++ sẽ không cần thiết với hầu hết người dùng. Vì vậy, bạn nên tắt các trình biên soạn với người dùng không nằm trong nhóm biên soạn thông qua file /etc/group. Để có thể thực hiện điều này thông qua WHM, bạn cần sử dụng giao diện WHM’s Compiler Access (Home>>Security Center>>Compiler Access). Nếu muốn tắt bằng command line thì hãy chạy lệnh sau với quyền root: /scripts/compilers off.
Bật tường lửa
Để nâng cao mức độ bảo mật, bạn có thể cài đặt tường lửa nhằm giới hạn các truy cập đến server của mình hoặc tháo gỡ các phần mềm không dùng đến trên hệ thống. Trước khi xoá các service hay daemon không cần thiết, bạn có thể bật tường lửa để ngăn các truy cập không mong muốn.
Tắt service và daemon không dùng đến
Mọi service hay daemon có khả năng kết nối đến server của bạn đều có thể bị các hacker lợi dụng. Để hạn chế nguy cơ bị tấn công, hãy tắt những service hoặc daemon mà bạn không sử dụng thông qua giao diện WHM’s Service Manager (Home >> Service Configuration >> Service Manager).
Cập nhật thường xuyên
Một điều quan trọng để tăng tính bảo mật cho server đó là bạn cần sử dụng các phần mềm với phiên bản mới nhất và ổn định nhất trên hệ thống của mình để có thể đảm bảo các lỗ hổng bảo mật trong những phiên bản cũ trước đó đã được vá lại. Các thành phần sau đây sẽ luôn cần cập nhật:
- Kernel
- Các phần mềm hệ thống
- Ứng dụng người dùng (bulletin boards, CMS, blog engines,…) (có thể cập nhật toàn bộ cài đặt cPAddon trong giao diện WHM’s Manage cPAddons Site Software (Home >> cPanel >> Manage cPAddons Site Software)
- cPanel & WHM (có thể đặt cập nhật tự động trong giao diện WHM’s Update Preferences (Home >> Server Configuration >> Update Preferences))
Giám sát hệ thống
Những điều mà bạn luôn cần phải biết đó là lúc nào có người dùng mới tạo tài khoản, các phần mềm đang chạy trên cloud server của mình là gì và tất cả mọi thứ liên quan đến nó. Bạn cần chạy các lệnh sau thường xuyên để đảm bảo hệ thống đang hoạt động đúng theo những gì bạn muốn:
- netstat –anp: Kiểm tra các cổng, chương trình mà bạn không cài đặt hoặc cho phép hoạt động.
- find / \( -type f -o -type d \) -perm /o+w 2>/dev/null | egrep -v ‘/(proc|sys)’ > world_writable.txt: Kiểm tra file world_writable.txt để tìm những nơi mà hacker có thể giấu file trên hệ thống của bạn.
- ls /var/log/: Nhiều log khác nhau trên hệ thống của bạn có thể là tài nguyên giá trị. Kiểm tra các log hệ thống, log Apache, log mail và các log khác thường xuyên để đảm bảo hệ thống hoạt động như mong muốn.
- find / -nouser -o -nogroup >> no_owner.txt: Kiểm tra file no_owner để xem tất cả các file không có người dùng hay nhóm nào liên kết với.
Bảo mật server là một nhiệm vụ không thể xem nhẹ, đặc biệt trong môi trường kinh doanh ngày càng phức tạp và đầy rẫy các mối đe dọa an ninh mạng. Để đảm bảo rằng hệ thống server của doanh nghiệp luôn được bảo vệ một cách toàn diện, các giải pháp bảo mật hiện đại và hiệu quả là điều bắt buộc.
Dịch vụ IT thuê ngoài M-TechCare luôn cam kết mang đến cho doanh nghiệp những phương pháp bảo mật server tối ưu nhất, giúp doanh nghiệp an tâm tập trung vào hoạt động kinh doanh cốt lõi.
