Cấu hình Firewall & bảo mật SSH: Thiết lập “tường lửa thép” cho server doanh nghiệp

Trong thế giới ngầm của Internet, mỗi giây có hàng triệu con bot được lập trình để quét (scan) mọi địa chỉ IP trên toàn cầu. Mục tiêu của chúng rất đơn giản: Tìm những Server mở cổng SSH (Port 22) và sử dụng các bộ từ điển mật khẩu khổng lồ để tấn công Brute Force. Một khi chiếm được quyền truy cập SSH, hacker không chỉ lấy được dữ liệu mà còn biến Server của anh Trương thành “zombie” để đi tấn công các hệ thống khác.

Tại VIRA Agency, chúng tôi không bao giờ sử dụng cấu hình mặc định. Chúng tôi xây dựng một quy trình bảo mật đa tầng, biến mỗi chiếc Server thành một pháo đài bất khả xâm phạm.

1. Firewall: Lớp giáp ngăn cách với thế giới bên ngoài

Firewall không chỉ là một phần mềm; nó là một bộ lọc logic kiểm soát mọi luồng dữ liệu đi vào (Inbound) và đi ra (Outbound) của Server.

1.1. Kiến trúc Stateful Inspection

Năm 2026, chúng tôi không sử dụng các bộ lọc tĩnh đơn giản. VIRA triển khai Firewall với cơ chế Stateful Inspection.

• Cơ chế: Firewall không chỉ nhìn vào địa chỉ IP mà còn phân tích ngữ cảnh của gói tin. Nó biết được gói tin đi vào có phải là phản hồi của một yêu cầu hợp lệ từ bên trong Server gửi ra hay không. Nếu không, nó sẽ bị loại bỏ ngay lập tức.

1.2. CSF (ConfigServer Security & Firewall) – Sự lựa chọn của chuyên gia

Thay vì chỉ dùng UFW (quá đơn giản) hay iptables (quá phức tạp), VIRA ưu tiên triển khai CSF. Đây là một bộ Firewall mạnh mẽ tích hợp sẵn LFD.

• Login Failure Daemon: Nó liên tục quét các tệp log của hệ thống. Nếu phát hiện một IP cố gắng đăng nhập sai quá 5 lần vào bất kỳ dịch vụ nào (SSH, FTP, Email), LFD sẽ lệnh cho Firewall chặn vĩnh viễn IP đó ở tầng Kernel.

1.3. Chiến lược cấu hình “Default Deny” (Tất cả đều cấm)

Triết lý của chúng tôi là: Cấm toàn bộ, chỉ mở những gì cần thiết.

• Inbound: Chỉ mở cổng 80, 443 (Web), cổng SSH tùy chỉnh và các cổng kỹ thuật nội bộ của VIRA.
• Outbound: Kiểm soát chặt chẽ các kết nối từ Server ra ngoài để ngăn chặn trường hợp Server bị nhiễm mã độc và cố gắng gửi dữ liệu khách hàng về máy chủ của hacker.

2. Bảo mật SSH: Chìa khóa vạn năng và sự an toàn tuyệt đối

SSH là giao thức quản trị từ xa phổ biến nhất. Nhưng chính sự phổ biến này biến nó thành “tử huyệt”.

2.1. Thay đổi cổng mặc định

Cổng mặc định của SSH là 22. 99% các cuộc tấn công tự động nhắm vào cổng này.

• Kỹ thuật: Chúng tôi thay đổi sang một cổng ngẫu nhiên trong dải cao (ví dụ: 2289).
• Lưu ý: Đây không phải là biện pháp bảo mật cốt lõi, nhưng nó giúp loại bỏ 99.9% tiếng ồn từ các con bot tự động, giúp file log của anh sạch sẽ và dễ theo dõi hơn.

2.2. Khai tử mật khẩu – Sử dụng SSH Key (Ed25519)

Năm 2026, việc đăng nhập Server bằng mật khẩu được coi là tối kỵ. Một mật khẩu dù dài 20 ký tự vẫn có thể bị bẻ khóa.

• Giải pháp: Sử dụng cặp khóa công khai và bí mật.
• Thuật toán Ed25519: Tại VIRA, chúng tôi không dùng RSA. Chúng tôi sử dụng Ed25519 – thuật toán mật mã đường cong Elliptic. Nó cung cấp độ bảo mật tương đương với RSA 3072-bit nhưng với kích thước khóa nhỏ hơn và tốc độ xử lý nhanh hơn rất nhiều.
• Cấu hình: PasswordAuthentication no. Một khi dòng này được kích hoạt, ngay cả khi hacker biết mật khẩu Root, chúng cũng không thể đăng nhập vì không có tệp khóa bí mật lưu trong máy tính của anh.

2.3. Vô hiệu hóa quyền đăng nhập của Root 

Tài khoản root là đích đến cuối cùng của mọi hacker vì nó có quyền tối cao.

• Kỹ thuật: Chúng tôi tạo một tài khoản người dùng có tên ngẫu nhiên, cấp quyền sudo, và cấm hoàn toàn tài khoản root đăng nhập trực tiếp từ xa. Để làm bất cứ việc gì, hacker phải đoán được cả Tên người dùng và có SSH Key, sau đó mới phải đối mặt với lớp mật khẩu của sudo.

3. Kỹ thuật gia cố nâng cao 

Để đạt được cấp độ thép, VIRA triển khai thêm 3 lớp phòng ngự chuyên sâu:

3.1. Fail2Ban – Khắc tinh của Brute Force

Fail2Ban là một phần mềm “trinh sát”. Nó giám sát các hành vi bất thường và tự động cập nhật luật cho Firewall.

• Ứng dụng: Nếu một IP quét các cổng (Port Scanning) hoặc thử các phương thức đăng nhập lạ, Fail2Ban sẽ đưa IP đó vào “nhà tù” (Jail) trong 24 giờ hoặc vĩnh viễn tùy theo cấu hình.

3.2. SSH 2FA (Xác thực hai lớp cho SSH)

Đây là tiêu chuẩn dành cho các hệ thống chứa dữ liệu nhạy cảm (như danh sách khách hàng của nhansamkiv.com.vn).

• Cơ chế: Ngay cả khi hacker đánh cắp được máy tính của anh (có sẵn SSH Key), chúng vẫn không thể đăng nhập nếu không có mã OTP 6 số từ ứng dụng Google Authenticator trên điện thoại của anh.
• Thiết lập: Tích hợp libpam-google-authenticator vào luồng đăng nhập SSH. Đây là lớp bảo mật cuối cùng cực kỳ mạnh mẽ.

3.3. Port Knocking 

Đây là kỹ thuật biến cổng SSH của anh thành vô hình hoàn toàn trên bản đồ Internet.

• Cơ chế: Cổng SSH thực tế sẽ luôn ở trạng thái ĐÓNG. Để mở cổng, máy tính của anh phải gửi một chuỗi các gói tin bí mật đến các cổng ngẫu nhiên khác (ví dụ: gõ cổng 1234 -> 5678 -> 9012). Chỉ khi “gõ đúng nhịp”, Firewall mới mở cổng SSH dành riêng cho IP của anh trong vòng 10 giây để anh đăng nhập. Sau đó, nó lại đóng lại. Hacker sẽ thấy Server của anh như một “cục gạch” không có cổng nào mở.

4. Bảng so sánh mức độ bảo mật hệ thống

5. Giám sát và Audit

Bảo mật là một quá trình liên tục. Tại VIRA, chúng tôi cài đặt các công cụ giám sát thời gian thực:

• Logwatch: Tự động tổng hợp các hoạt động bất thường trên Server và gửi báo cáo hàng ngày vào email của anh Trương.
• Auditd: Ghi lại mọi câu lệnh thực thi trên Server. Nếu có bất kỳ sự thay đổi nào trong các tệp tin hệ thống nhạy cảm, chúng tôi sẽ biết ngay lập tức ai làm, lúc nào và làm gì.

Kết luận

Xây dựng một website đẹp là điều cần thiết, nhưng bảo vệ nền tảng chứa đựng thành quả kinh doanh của doanh nghiệp mới là điều quan trọng nhất. Một sơ suất nhỏ trong cấu hình Server có thể trả giá bằng toàn bộ dữ liệu khách hàng và uy tín thương hiệu mà anh đã gây dựng.

Tại VIRA Agency, chúng tôi không chỉ cung cấp dịch vụ thiết kế website doanh nghiệp, chúng tôi cung cấp sự an tâm tuyệt đối. Mỗi dòng lệnh cấu hình Firewall hay SSH đều được chúng tôi thực hiện với sự tỉ mỉ của những chuyên gia bảo mật hàng đầu, đảm bảo Server của anh luôn là một “Pháo đài thép” vững chắc nhất năm 2026.