Anh em dev web mình ơi, 99% đang "VÁ" VPS chứ chưa thực sự BẢO MẬT!

Hello mọi người, mình là Ngân, Đinh Thái Ngân đây. Mình 25 tuổi, cũng là dân IT làm web như phần lớn anh em ở đây thôi. Dạo này lướt mấy diễn đàn, mình thấy nhiều anh em hay than thở về chuyện VPS bị hack, bị tấn công DDoS, hay tự nhiên lăn ra chết không rõ nguyên nhân. Nhìn vào cách mọi người xử lý, mình thấy có một cái gì đó sai sai.

Hình như anh em mình đang có thói quen là "vá" lỗi hơn là "xây" một hệ thống bảo mật từ gốc. Tức là, cứ khi nào có sự cố thì mới cuống cuồng đi tìm cách khắc phục, chứ ít ai chủ động xây một cái pháo đài vững chắc ngay từ đầu. Hôm nay rảnh rỗi, mình muốn chia sẻ một vài kinh nghiệm mà mình tích lũy được, hy vọng sẽ giúp anh em có cái nhìn đúng đắn hơn. Đây không phải bài dạy đời đâu nhé, chỉ là chia sẻ từ một người đi trước thôi, anh em mình cùng trao đổi cho vui.

SAI LẦM CHẾT NGƯỜI KHI NGHĨ RẰNG FIREWALL LÀ TẤT CẢ

Nhiều ông cứ nghĩ bật cái UFW hay FirewallD lên, mở vài port quen thuộc như 22, 80, 443 là xong, là an toàn rồi. Sai hoàn toàn nhé! Tường lửa nó chỉ là lớp bảo vệ ở tầng mạng thôi, giống như cái cổng nhà bạn vậy. Nó chặn được người lạ đi vào cửa chính, nhưng nếu tên trộm nó biết leo tường, phá cửa sổ thì sao?

Tụi hacker bây giờ nó tinh vi lắm. Nó không chỉ mò mẫm các port đang mở đâu, nó còn dùng tool để quét lỗ hổng của các dịch vụ đang chạy trên các port đó nữa. Ví dụ, bạn mở port 80 cho Nginx, nhưng phiên bản Nginx của bạn lại đang bị một lỗ hổng thực thi mã từ xa (Remote Code Execution - RCE). Thì lúc đó, cái firewall kia coi như vô dụng.

Chưa kể, rất nhiều cuộc tấn công bây giờ nó không đến từ bên ngoài vào mà là từ bên trong ra. Giả sử một trang web trên VPS của bạn, có thể là web của khách hàng, bị dính mã độc. Con mã độc đó sẽ bắt đầu thực hiện các kết nối ra ngoài, hoặc tấn công leo thang sang các dịch vụ khác đang chạy trên cùng VPS. Firewall mặc định thường chỉ cấu hình chặn kết nối đi vào (inbound), chứ ít khi chặn kết nối đi ra (outbound). Đó chính là lúc thảm họa bắt đầu.

“MẬT KHẨU MẠNH” KHÔNG CÒN LÀ CHÉN THÁNH NỮA RỒI

Ai cũng ra rả nói về việc đặt mật khẩu mạnh, kiểu như phải có chữ hoa, chữ thường, số, ký tự đặc biệt. Đúng, cái đó không sai. Nhưng ở thời điểm này thì nó hoàn toàn chưa đủ. Anh em có biết brute-force attack không? Bọn nó có những bộ từ điển mật khẩu (wordlist) cả tỷ cái, kết hợp với các công cụ tự động, nó có thể thử hàng triệu mật khẩu mỗi giờ. Mật khẩu của bạn dù có "mạnh" cỡ nào, nếu nó trùng với một mật khẩu phổ biến nào đó trong wordlist, thì cũng chỉ là vấn đề thời gian thôi.

Vậy giải pháp thực sự là gì?

• Đầu tiên, hãy quên mật khẩu đi và chuyển sang dùng SSH Key. Đây là phương pháp xác thực an toàn vượt trội. Nó dựa trên một cặp khóa: khóa công khai (public key) và khóa riêng tư (private key). Bạn giữ khóa riêng tư, server giữ khóa công khai. Chỉ khi hai cái khớp nhau bạn mới vào được. Hacker dù có được khóa công khai cũng vô dụng, vì nó chẳng giải mã được gì nếu không có khóa riêng tư của bạn.
  
  
• Thứ hai, bắt buộc phải bật xác thực hai yếu tố (2FA). Kể cả trong trường hợp xấu nhất hacker có được mật khẩu hoặc thậm chí là file SSH key riêng tư của bạn (nếu máy tính cá nhân của bạn bị hack), nó vẫn sẽ không thể đăng nhập được nếu không có mã OTP từ ứng dụng trên điện thoại của bạn. Google Authenticator hoặc Authy là những lựa chọn hàng đầu.
  
  
• Thứ ba, thay đổi port SSH mặc định. Port 22 là mục tiêu mặc định của hầu hết các bot tấn công tự động trên thế giới. Đây là một bước cực kỳ đơn giản nhưng lại siêu hiệu quả để giảm thiểu các cuộc tấn công vớ vẩn này. Đổi sang một port khác lạ một chút là bạn đã lọc được 99% đám "trẻ trâu" rồi.
  

ĐỪNG MÙ QUÁNG TIN VÀO CÁC SCRIPT “BẢO MẬT MỘT NỐT NHẠC”

Mình thấy trên mạng có chia sẻ mấy cái script, gõ một dòng lệnh là nó tự động cài đặt, cấu hình bảo mật từ A-Z cho VPS. Nghe thì có vẻ hấp dẫn, tiện lợi cho người mới thật đấy. Nhưng anh em có thực sự hiểu nó đang làm cái quái gì với server của mình không?

Những script đó sẽ can thiệp rất sâu vào hệ thống, thay đổi các file cấu hình cực kỳ quan trọng. Nếu bạn không hiểu rõ từng dòng lệnh trong script đó, thì chẳng khác nào bạn đang giao trứng cho ác. Rất có thể trong script đó có chứa backdoor, hoặc nó cấu hình sai một cái gì đó khiến VPS của bạn còn dễ bị tấn công hơn lúc chưa cài. Đừng lười biếng một cách nguy hiểm như vậy.

Hãy tự tay mình làm mọi thứ. Tự mình cài fail2ban để chống brute-force, tự mình cấu hình ufw, tự mình tinh chỉnh file sshd_config. Có thể lúc đầu hơi cực, phải đọc nhiều tài liệu một chút, nhưng tin mình đi, nó cực kỳ xứng đáng. Khi bạn tự tay làm, bạn sẽ hiểu rõ hệ thống của mình hơn bất kỳ ai khác, và đó mới chính là kỹ năng quan trọng nhất của một người làm IT chuyên nghiệp.

MỘT VÀI KỸ THUẬT CHUYÊN SÂU CHO ANH EM PRO HƠN

Ok, phần trên coi như là kiến thức nền tảng, giờ mình sẽ nói một chút về những cái sâu hơn, cho những anh em nào thực sự muốn hệ thống của mình đạt đến mức “bất khả xâm phạm”.

• Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS): Mấy cái như fail2ban chỉ là công cụ phản ứng đơn giản thôi. Một hệ thống chuyên nghiệp cần những công cụ như Suricata hay Snort. Chúng sẽ lắng nghe và phân tích các gói tin mạng theo thời gian thực, sử dụng các bộ quy tắc (ruleset) để phát hiện ra các hành vi đáng ngờ (ví dụ như quét port, tấn công SQL injection, cố gắng khai thác lỗ hổng đã biết) và tự động chặn IP của kẻ tấn công ngay lập tức. Cài đặt và cấu hình mấy con này khá phức tạp, đòi hỏi phải có kiến thức sâu về mạng và giao thức.
  
  
• AppArmor/SELinux: Đây là các module bảo mật của nhân Linux (Linux Security Modules - LSM) mà rất nhiều người bỏ qua vì nó khó. Tụi nó hoạt động ở tầng hệ điều hành, tạo ra các chính sách an ninh bắt buộc (Mandatory Access Control). Nôm na là bạn có thể giới hạn quyền của từng ứng dụng một cách chi tiết. Ví dụ, bạn có thể cấu hình AppArmor để ứng dụng web server của bạn chỉ được phép đọc/ghi trong thư mục /var/www/html và thực thi các file nhị phân cần thiết, ngoài ra không được phép truy cập bất cứ nơi nào khác hay chạy bất kỳ lệnh hệ thống nào lạ. Kể cả khi trang web của bạn có bị hack và bị chèn shell, con shell đó cũng sẽ bị vô hiệu hóa và không thể làm gì được hệ thống bên dưới. Đây là một lớp phòng thủ cực kỳ vững chắc.
  
  
• Giám sát và ghi log tập trung (Centralized Monitoring & Logging): Bạn không thể bảo vệ cái mà bạn không thể nhìn thấy. Đừng bao giờ quản lý server theo kiểu "có biến mới mò vào xem log". Hãy thiết lập một hệ thống giám sát tập trung. Dùng các công cụ như Prometheus kết hợp với Grafana để theo dõi các chỉ số hệ thống theo thời gian thực (CPU, RAM, network I/O...). Quan trọng hơn là dùng các công cụ như Filebeat hoặc Promtail để đẩy tất cả log (system logs, application logs, access logs...) về một nơi tập trung như Elasticsearch (ELK Stack) hoặc Loki. Khi có sự cố, việc có đầy đủ log tại một nơi sẽ giúp bạn truy vết và phân tích nguyên nhân một cách nhanh như chớp. Chứ mò mẫm ssh vào từng con server rồi cat từng file log thì tới sáng mai cũng không xong việc.
  

Thôi, tạm thời chia sẻ vậy thôi, viết dài quá anh em lại ngại đọc. Hy vọng những gì mình chia sẻ sẽ giúp anh em thay đổi tư duy về việc bảo mật VPS. Đừng chỉ "vá" khi có lỗi, hãy "xây" một nền tảng vững chắc ngay từ khi bắt đầu. Anh em có thắc mắc hay muốn thảo luận, chém gió gì thêm thì cứ comment tự nhiên bên dưới nhé.