Checklist 20 Bước Bảo Mật VPS Linux Trước Khi Deploy Production 2026

Share Article

Checklist 20 bước bảo mật VPS Linux production 2026. Từ SSH hardening, UFW firewall, Fail2ban đến SSL và backup tự động — áp dụng ngay trước khi deploy.

📢 Bài viết có chứa link affiliate. Bạn không trả thêm phí khi mua qua link của mình.

Deploy một VPS Linux mà không bảo mật đúng cách cũng giống như để cửa nhà mở ngỏ ban đêm. Thực tế có hàng ngàn bot đang scan toàn bộ IP public 24/7, chờ đợi những server chưa được hardened. Checklist 20 bước dưới đây được tổng hợp từ thực tiễn quản trị server production — áp dụng trước khi bạn deploy bất kỳ ứng dụng gì lên VPS.

👉 Cần VPS chất lượng cao để triển khai? Thử Vultr miễn phí $100 credit →

Phase 1: Ngay Sau Khi Tạo VPS (Trước Deploy)

✅ Bước 1: Đổi SSH Port Mặc Định (22)

Port 22 bị scan liên tục. Đổi sang port bất kỳ (ví dụ 2222) để giảm 90% brute-force noise:

sudo nano /etc/ssh/sshd_config
# Thay: Port 22 → Port 2222
sudo systemctl restart ssh

✅ Bước 2: Tắt Root Login qua SSH

# Trong /etc/ssh/sshd_config
PermitRootLogin no
PasswordAuthentication no

Chỉ dùng SSH key, không dùng password. Đây là nguyên tắc bắt buộc cho server production.

✅ Bước 3: Tạo User Mới Với Sudo quyền

adduser deploy
usermod -aG sudo deploy
# Copy SSH key sang user mới
rsync --archive --chown=deploy:deploy ~/.ssh /home/deploy

✅ Bước 4: Cấu Hình UFW Firewall

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp   # SSH port mới
sudo ufw allow 80/tcp     # HTTP
sudo ufw allow 443/tcp    # HTTPS
sudo ufw enable

✅ Bước 5: Cài Fail2ban Chống Brute Force

sudo apt install fail2ban -y
sudo systemctl enable fail2ban

Fail2ban tự động block IP sau N lần login thất bại — cực kỳ hiệu quả chống bot.

✅ Bước 6: Bật Automatic Security Updates

sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure --priority=low unattended-upgrades

✅ Bước 7: Cài Auditd Để Log Hoạt Động

sudo apt install auditd -y
sudo systemctl enable auditd

✅ Bước 8: Kiểm Tra Các Port Đang Mở

sudo ss -tulpn

Đóng tất cả port không cần thiết. Nguyên tắc: minimal attack surface.

✅ Bước 9: Disable Các Service Không Dùng

sudo systemctl disable bluetooth
sudo systemctl disable cups
sudo systemctl disable avahi-daemon 2>/dev/null

✅ Bước 10: Cấu Hình Timezone và NTP Đúng

sudo timedatectl set-timezone Asia/Ho_Chi_Minh
sudo apt install ntp -y

Timezone sai gây lỗi log, cron job và SSL cert validation.

Phase 2: Sau Khi Cài Ứng Dụng

✅ Bước 11: Chạy Web App Với User Riêng (Không Phải Root)

Tạo user www-data hoặc user riêng cho từng app, giới hạn quyền filesystem.

✅ Bước 12: Cài SSL và Force HTTPS

sudo certbot --nginx -d yourdomain.com
# Trong Nginx: return 301 https://$host$request_uri;

✅ Bước 13: Cấu Hình Security Headers HTTP

Thêm vào Nginx config:

add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";
add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";

✅ Bước 14: Tắt Server Signature Nginx

# Trong nginx.conf
server_tokens off;

✅ Bước 15: Rate Limit API Endpoints

limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
limit_req zone=api burst=20 nodelay;

✅ Bước 16: Backup Tự Động Hàng Ngày

Dùng cron để backup database và files ra S3 hoặc Vultr Object Storage mỗi ngày lúc 2AM:

0 2 * * * /home/deploy/backup.sh >> /var/log/backup.log 2>&1

Phase 3: Kiểm Tra Định Kỳ

✅ Bước 17: Scan Vulnerability Với Lynis

sudo apt install lynis -y
sudo lynis audit system

Lynis cho điểm bảo mật tổng thể và liệt kê những gì cần cải thiện.

✅ Bước 18: Kiểm Tra Log Auth Định Kỳ

sudo tail -f /var/log/auth.log | grep "Failed"

Nếu thấy nhiều IP lạ đang thử login → review và tighten fail2ban rules.

✅ Bước 19: Update Kernel và Package Thường Xuyên

sudo apt update && sudo apt upgrade -y
sudo apt autoremove -y

✅ Bước 20: Test Khôi Phục Backup (Disaster Recovery)

Đây là bước bị bỏ qua nhiều nhất nhưng quan trọng nhất. Thử restore backup mỗi tháng một lần để đảm bảo backup thực sự hoạt động khi cần.

Kết Luận

20 bước này không phải danh sách để làm một lần rồi quên — bảo mật là quá trình liên tục. Ưu tiên làm Phase 1 trước (Bước 1-10) ngay sau khi tạo VPS, Phase 2 sau khi deploy app, và Phase 3 lên lịch định kỳ hàng tuần/tháng.

Checklist này phù hợp cho VPS Ubuntu/Debian chạy web app, WordPress, hoặc API. Nếu bạn chưa có VPS, Vultr Singapore là lựa chọn tốt nhất cho người dùng Việt Nam.

👉 Triển khai ngay trên VPS đáng tin cậy: Tạo VPS Vultr với $100 credit miễn phí →

A data center with rows of servers in racks, featuring various network and power connections. Orange and black cables are visible, alongside multiple server units with indicator lights. The environment appears organized with subdued lighting.

Đăng Kí Máy Ảo Miễn Phí

Nhận ngay 300 Đô miễn phí khi đăng kí VPS

Xem ngay

Mã giảm giá Hostinger

ƯU ĐÃI ĐỘC QUYỀN 2026

Xem ngay

You might also like