1. Sử dụng Tường lửa – APF và CSF
APF cho phép quản lý dễ dàng các quy tắc tường lửa iptables của bạn, dưới đây là một số lệnh bạn cần biết:
Thêm IP vào máy chủ: apf -a 123.123.123.123 “Home IP”
Chặn IP từ máy chủ: apf -d 123.123.123.123 “Hitting login.php again and again”
Bỏ chặn IP bị chặn: apf -u 123.123.123.123
Chặn dải IP: apf -d 123.123.123.123/24
Với CSF – Tường lửa:
ConfigServer Tường lửa (CSF) cũng cho phép quản lý iptables dễ dàng. CSF mới hơn và mạnh mẽ hơn APF. Nó cho phép chặn IP tạm thời và có cả tính năng chống DDoS tích hợp xử lý việc bảo vệ đăng nhập mạnh mẽ.
Cho phép một IP: csf -a 123.123.123.123
Temp allow an IP: csf -ta 123.123.123.123 15s (s – giây/h – giờ/m – phút/d – ngày)
Chặn một IP: csf -d 123.123.123.123
Chặn tạm thời một IP: csf -td 123.123.123.123 15s (s – giây/h – giờ/m – phút/d – ngày)
Bỏ chặn IP bị chặn vĩnh viễn: csf -dr 123.123.123.123
Bỏ chặn IP bị chặn tạm thời: csf -tr 123.123.123.123
Liệt kê các IP và thời lượng bị chặn tạm thời: csf -t
2. Đóng các port không cần thiết
Bạn nên đóng các cổng không cần thiết để ngăn chặn việc sử dụng chúng bởi các kẻ tấn công thường tấn công qua các port đang mở.
Bạn có thể chạy lệnh netstat . Điều này sẽ tiết lộ tất cả các cổng mạng mở và các dịch vụ liên quan của chúng.
netstat
3. Thay đổi cổng nghe SSH mặc định
Kết nối với máy chủ của bạn thông qua SSH với tư cách là người dùng root.
Chỉnh sửa tệp cấu hình SSH của bạn ở vị trí sau:
/etc/ssh/sshd_config
Tìm dòng chứa #Port 22 rồi xóa hashtag và thay 22 bằng cổng bạn muốn sử dụng.
4. Phát hiện lỗi đăng nhập CSF
vi /etc/csf/csf.conf
LF_DAEMON=1
Bạn có thể sử dụng thêm cài đặt LF_* trong tệp để đặt giới hạn đăng nhập cho từng dịch vụ trên máy chủ.
5. Tắt FTP cho người dùng cPanel cụ thể
- Kết nối với máy chủ của bạn thông qua SSH , với tư cách là người dùng root .
- Chỉnh sửa tệp /etc/ftpusers . Nếu nó chưa có ở đó, bạn có thể tạo nó bằng lệnh sau.
nano /etc/ftpusers - Liệt kê từng người dùng mà bạn muốn chặn trên một dòng riêng, ví dụ:
joeuser01 joeuser02 joeuser03 joeuser04
- Lưu các thay đổi của bạn bằng cách nhấp vào Ctrl+ Osau đó Enter
5. Vô hiệu hóa IPV6
Sử dụng trình soạn thảo để chỉnh sửa tệp sysctl.conf . Nó nằm ở đây: /etc/sysctl.conf
Thêm hai dòng sau:
net.ipv6.conf.all.disable_ipv6=1 net.ipv6.conf.default.disable_ipv6=1
Tiếp theo, chạy lệnh sau để sử dụng các cài đặt đó:
sysctl -p
6. Giới hạn quyền truy cập của người dùng
Để xem danh sách người dùng thông qua SSH, hãy sử dụng lệnh sau:
getent /etc/passwd
Điều này sẽ hiển thị tất cả người dùng, bao gồm cả những người được xác thực thông qua LDAP. Nếu bạn không sử dụng LDAP thì bạn có thể liệt kê tất cả người dùng sử dụng LESS để hiển thị tệp mật khẩu theo từng trang.
less /etc/passwd
Sử dụng lệnh này để cài đặt các tiện ích kế toán. Lưu ý rằng một số biến thể của Linux có thể có các lệnh cài đặt khác nhau.
sudo apt install acct
Khi quá trình cài đặt hoàn tất, hãy sử dụng lệnh này để kích hoạt nó.
sudo systemctl enable acct
Sau đó, bạn sẽ cần phải bắt đầu dịch vụ như thế này:
sudo systemctl start acct
Khi dịch vụ được khởi động, hãy kiểm tra trạng thái của dịch vụ bằng lệnh này:
sudo systemctl status acct
7. Quản lý người dùng?
Ví dụ về các lệnh useradd , usermod và userdel :
Useradd được sử dụng để thêm người dùng.
sudo useradd usernameUsermod sửa đổi người dùng.
sudo usermod -l new-user-name old-user-nameUserdel xóa người dùng.
sudo userdel -f username8. Kết luận:
Trên đây là những cách mà bạn có thể bảo vệ và tăng cường bảo mật thêm cho VPS, tuy nhiên bạn cũng cần thêm một lớp bảo mật cho Cpanel nữa sẽ an toàn thêm nữa: Chi tiết bài viết bạn có thể tham khảo bài viết này: >> Hướng dẫn và mẹo bảo mật máy chủ CPANEL