📢 Bài viết có chứa link affiliate. Bạn không trả thêm phí khi mua qua link của mình.
Bạn vừa thuê VPS, cài xong hệ điều hành và đang hào hứng deploy production — nhưng đã kiểm tra bảo mật chưa? Mặc định, VPS mới gần như “trần trụi” trước các cuộc tấn công brute force, port scan, và khai thác lỗ hổng. Checklist dưới đây tổng hợp 20 bước bảo mật thiết yếu trước khi bạn bấm nút “go live”.
👉 VPS bảo mật cao, giá hợp lý: Xem gói VPS tại Vultr →
Nhóm 1: Bảo Mật Truy Cập SSH (Bước 1-6)
1. Đổi port SSH mặc định (22) — Hacker bot quét port 22 liên tục. Đổi sang port ngẫu nhiên (ví dụ 2222, 51022) trong /etc/ssh/sshd_config giảm 95% các cuộc tấn công brute force tự động.
2. Tắt đăng nhập bằng password SSH — Chỉ cho phép SSH key authentication. Sửa PasswordAuthentication no trong sshd_config. Không có password = không thể brute force.
3. Tắt login root qua SSH — PermitRootLogin no. Tạo user riêng với sudo privileges để quản trị server.
4. Dùng SSH key 4096-bit hoặc Ed25519 — Ed25519 ngắn hơn nhưng bảo mật tương đương RSA 4096-bit và nhanh hơn. Tạo key: ssh-keygen -t ed25519 -C “your@email.com”.
5. Cài Fail2Ban — Tự động block IP đăng nhập sai nhiều lần. Cấu hình bantime 24h, maxretry 3. Áp dụng cho cả SSH, WordPress login, và NGINX.
6. Giới hạn IP được phép SSH (nếu có IP tĩnh) — Dùng /etc/hosts.allow hoặc ufw để whitelist IP của bạn. Chỉ nên làm nếu bạn có IP tĩnh ổn định.
Nhóm 2: Firewall & Network (Bước 7-11)
7. Kích hoạt UFW (Uncomplicated Firewall) — ufw default deny incoming; ufw allow [ssh-port]/tcp; ufw allow 80/tcp; ufw allow 443/tcp; ufw enable. Chỉ mở port cần thiết.
8. Block port database từ bên ngoài — MySQL (3306), PostgreSQL (5432), Redis (6379) chỉ nên lắng nghe trên localhost. Không bao giờ expose DB port ra public internet.
9. Cài và cấu hình Cloudflare (nếu dùng web) — Ẩn IP thật của VPS, chống DDoS layer 3-4. Bật “Under Attack Mode” khi bị tấn công.
10. Tắt IPv6 nếu không dùng — Giảm attack surface. Thêm net.ipv6.conf.all.disable_ipv6 = 1 vào /etc/sysctl.conf.
11. Audit open ports định kỳ — Chạy ss -tlnp hoặc netstat -tulpn để kiểm tra port đang mở. Đóng ngay những gì không dùng.
Nhóm 3: Hệ Thống & Ứng Dụng (Bước 12-16)
12. Cập nhật hệ thống ngay sau khi cài — apt update && apt upgrade -y (Ubuntu/Debian). Bật unattended-upgrades cho security patches tự động.
13. Cài hệ điều hành tối thiểu — Dùng Ubuntu Server (không Desktop), Debian minimal, hoặc AlmaLinux. Ít package = ít lỗ hổng.
14. Cài ClamAV hoặc Maldet — Scan malware định kỳ. Quan trọng nếu server host file upload từ user.
15. Cài Lynis để audit bảo mật tổng thể — Lynis chạy scan toàn diện và đưa ra điểm bảo mật + khuyến nghị cụ thể. Chạy: lynis audit system.
16. Giới hạn quyền file hệ thống — Chmod 700 cho thư mục home, 600 cho SSH key, 750 cho thư mục web app. Không để file config chứa password có quyền 777.
Nhóm 4: Backup & Monitoring (Bước 17-20)
17. Cài đặt backup tự động mỗi ngày — Dùng rsync + cron để backup lên Backblaze B2 (rẻ nhất) hoặc Hetzner Storage Box. Quy tắc 3-2-1: 3 bản backup, 2 media, 1 offsite.
18. Cài Netdata hoặc Prometheus + Grafana — Monitor CPU, RAM, disk, network realtime. Alert qua Telegram/Email khi có spike bất thường.
19. Cài Logwatch hoặc GoAccess — Nhận báo cáo log hàng ngày qua email. Phát hiện sớm các pattern tấn công.
20. Test Disaster Recovery 3 tháng/lần — Không chỉ backup mà còn phải test restore. Tạo VPS mới, restore từ backup, kiểm tra app hoạt động bình thường trước khi xóa bản test.
Kết Luận
20 bước trên có thể thực hiện trong 2-3 giờ và bảo vệ bạn khỏi 95% các cuộc tấn công phổ biến. Phù hợp nhất cho: developer tự quản lý VPS, startup nhỏ, freelancer host client project. Không phù hợp nếu bạn cần compliance nâng cao (PCI-DSS, HIPAA) — khi đó cần chuyên gia bảo mật chuyên nghiệp.
👉 Cần VPS ổn định để áp dụng checklist này? Nhận ưu đãi Vultr tại đây →
