📢 Bài viết có chứa link affiliate. Bạn không trả thêm phí khi mua qua link của mình.
Bạn vừa thuê VPS mới và sắp deploy production? Dừng lại 30 phút để đọc checklist này trước. Một VPS chưa được bảo mật là mục tiêu tấn công chỉ sau vài giờ — bot scanner hoạt động 24/7 và sẽ thử SSH brute force ngay khi IP của bạn xuất hiện trên mạng. Checklist 20 bước dưới đây dựa trên kinh nghiệm thực chiến bảo vệ hàng trăm VPS cho agency và startup.
👉 Cần VPS chất lượng cao cho production? Xem gói VPS Vultr tại đây →
GIAI ĐOẠN 1: Ngay Sau Khi Nhận VPS (Bước 1-7)
Bước 1: Đổi Port SSH Mặc Định (22)
Port 22 là mục tiêu số 1 của bot scanner. Đổi sang port ngẫu nhiên 10000-65535 trong /etc/ssh/sshd_config: Port 49152. Restart SSH service sau đó. Lý do: giảm 90% brute force attack ngay lập tức.
Bước 2: Tắt Root Login qua SSH
Trong /etc/ssh/sshd_config: set PermitRootLogin no. Tạo user thường trước, add vào sudoers, rồi mới tắt root SSH. Không bao giờ để PermitRootLogin yes trên production server.
Bước 3: Dùng SSH Key Authentication
Generate key pair: ssh-keygen -t ed25519 -C "your@email.com". Copy public key lên server: ssh-copy-id user@server. Sau đó tắt password auth: PasswordAuthentication no trong sshd_config.
Bước 4: Cài Và Cấu Hình UFW (Firewall)
Trên Ubuntu/Debian: apt install ufw. Rules cơ bản: chỉ mở port cần thiết, deny everything else. Ví dụ: ufw allow [SSH port], ufw allow 80, ufw allow 443, ufw enable. Verify: ufw status verbose.
Bước 5: Cài Fail2Ban
apt install fail2ban. Tạo file /etc/fail2ban/jail.local với cấu hình: maxretry = 5, bantime = 3600. Fail2Ban sẽ tự block IP sau 5 lần đăng nhập sai — cực kỳ hiệu quả chống brute force.
Bước 6: Cập Nhật Toàn Bộ Package
apt update && apt upgrade -y && apt autoremove -y. Bật automatic security updates: apt install unattended-upgrades và dpkg-reconfigure unattended-upgrades. Lý do: hầu hết các vụ tấn công thành công đều khai thác lỗ hổng chưa được vá.
Bước 7: Cấu Hình Timezone Chính Xác
timedatectl set-timezone Asia/Ho_Chi_Minh. Timezone chính xác quan trọng cho log analysis, cron jobs và SSL certificate validation. Kiểm tra: timedatectl status.
GIAI ĐOẠN 2: Sau Deploy Ứng Dụng (Bước 8-14)
Bước 8: Cài SSL/TLS và Force HTTPS
Dùng Certbot + Let’s Encrypt: apt install certbot python3-certbot-nginx. Certbot sẽ tự cấu hình Nginx redirect HTTP→HTTPS. Thêm header: Strict-Transport-Security: max-age=31536000; includeSubDomains.
Bước 9: Cấu Hình Security Headers
Thêm vào Nginx config: X-Frame-Options, X-Content-Type-Options, X-XSS-Protection, Referrer-Policy, Content-Security-Policy. Test tại securityheaders.com — mục tiêu đạt grade A.
Bước 10: Phân Quyền File và Directory
Không bao giờ để web files với permission 777. Chuẩn: files 644, directories 755, executable scripts 755. Với WordPress: wp-config.php nên là 440 (chỉ owner đọc được). Scan bằng: find /var/www -type f -perm 777.
Bước 11: Tách Database User — Nguyên Tắc Least Privilege
Mỗi ứng dụng dùng một MySQL user riêng với quyền tối thiểu: chỉ SELECT, INSERT, UPDATE, DELETE trên database của nó. Không bao giờ dùng root MySQL cho ứng dụng. Tắt remote MySQL access nếu không cần.
Bước 12: Tắt Các Service Không Cần Thiết
Kiểm tra service đang chạy: systemctl list-units --type=service --state=running. Tắt những gì không dùng: systemctl disable --now [service-name]. VPS chạy web app thường chỉ cần: nginx/apache, php-fpm, mysql, ssh, fail2ban.
Bước 13: Setup Centralized Logging
Cấu hình log rotation với logrotate để tránh disk full. Setup log monitoring: theo dõi /var/log/auth.log, /var/log/nginx/access.log và error.log. Xem xét dùng Grafana Loki hoặc Papertrail để log tập trung nếu có nhiều server.
Bước 14: Cài Intrusion Detection (Khuyến Nghị)
Rkhunter hoặc AIDE để phát hiện rootkit và file bị thay đổi trái phép: apt install rkhunter, rkhunter --check. Schedule cronjob check daily và gửi email alert khi phát hiện bất thường.
GIAI ĐOẠN 3: Bảo Trì Định Kỳ (Bước 15-20)
Bước 15: Kiểm Tra Backup Mỗi Tuần
Backup không có giá trị nếu bạn chưa bao giờ test restore. Mỗi tuần, restore thử một file/database nhỏ để verify backup hoạt động. Lưu backup ở ít nhất 2 location khác nhau (local + cloud).
Bước 16: Monitor Disk Usage
Setup alert khi disk đạt 80%: dùng df -h trong cronjob kết hợp email notification. Disk full là nguyên nhân số 1 gây downtime bất ngờ — log files tích lũy nhanh hơn bạn nghĩ.
Bước 17: Review Fail2Ban Logs Định Kỳ
fail2ban-client status sshd — xem IP nào đang bị ban. Nếu thấy nhiều IP từ cùng ASN tấn công, xem xét block toàn bộ ASN đó bằng UFW. fail2ban-client banned để xem danh sách đầy đủ.
Bước 18: Audit SSH Authorized Keys
Định kỳ kiểm tra ~/.ssh/authorized_keys — xóa key của nhân viên cũ ngay khi họ nghỉ việc. Đây là lỗ hổng phổ biến nhất tại các team nhỏ.
Bước 19: Test Penetration Cơ Bản
Dùng Lynis để audit security tổng thể: apt install lynis && lynis audit system. Lynis cho điểm hardening và liệt kê cụ thể những gì cần cải thiện — rất hữu ích cho người mới.
Bước 20: Lập Incident Response Plan
Chuẩn bị sẵn kịch bản xử lý khi bị tấn công: ai liên hệ, bước isolate server, restore từ backup. Đừng lần đầu nghĩ về điều này khi server đang bị hack. Ghi ra file và lưu offline.
Kết Luận
20 bước trên có thể hoàn thành trong 2-3 giờ cho một VPS mới. Đây là đầu tư thời gian xứng đáng nhất trước khi deploy bất kỳ ứng dụng production nào. Phù hợp cho: mọi developer, sysadmin, và agency chạy VPS. Không áp dụng cho: managed hosting như Cloudways (đã được bảo mật sẵn).
Đánh giá độ quan trọng: ⭐⭐⭐⭐⭐ (Bắt buộc)
👉 Cần VPS tốt để thực hành? Thử Vultr với $100 credit miễn phí →
