Ghi Chú

Ghi chú nhanh, chia sẻ dễ dàng

Soạn thảo Đơn giản, dễ dàng. Hỗ trợ định dạng văn bản, danh sách, khối code.

Chia sẻ Chuyển sang Công khai để nhận link 5 ký tự. Có thể đặt mật khẩu bảo vệ.

Đính kèm Chèn ảnh hoặc đính kèm file từ thanh công cụ soạn thảo.

Tự động lưu Nội dung được lưu tự động sau 2 giây. Lịch sử chỉnh sửa lưu tối đa 100 phiên bản.

Nâng cao Tự xóa sau thời gian hoặc số lượt đọc. Ghim, khóa chỉ đọc từ sidebar.

Đọc trên Terminal Thêm .txt vào cuối link để xem nội dung dạng văn bản thuần trên terminal.

Cấu hình bảo vệ đa tầng cho máy chủ Linux: SSH, UFW và Fail2Ban

Tác giả: dev_viet_8869 — 19/03/2026

Thiết lập Bảo vệ Đa Tầng cho Máy chủ Linux: Kết hợp SSH, UFW và Fail2Ban

Trong môi trường máy chủ Linux hiện đại, việc chỉ dựa vào một lớp bảo mật duy nhất là một rủi ro không thể chấp nhận được. Kẻ tấn công luôn tìm kiếm những lỗ hổng nhỏ nhất để xâm nhập, và cổng SSH (Secure Shell) thường là mục tiêu hàng đầu do nó cung cấp quyền truy cập điều khiển từ xa. Bài viết này sẽ hướng dẫn bạn kiến trúc một hệ thống bảo vệ đa tầng, kết hợp giữa việc cấu hình lại SSH để giảm thiểu diện tích tấn công, sử dụng tường lửa UFW (Uncomplicated Firewall) để lọc lưu lượng mạng, và triển khai Fail2Ban để tự động hóa việc chặn các địa chỉ IP có ý đồ xấu. Mục tiêu cuối cùng là tạo ra một con đường truy cập an toàn, nơi chỉ có người dùng hợp lệ mới có thể kết nối, trong khi mọi nỗ lực quét port hay brute-force sẽ bị loại bỏ ngay lập tức.

Cấu hình lại SSH để Giảm thiểu Rủi ro

Bước đầu tiên và quan trọng nhất trong quy trình bảo mật là tinh chỉnh cấu hình của dịch vụ SSH. Mặc định, cài đặt SSH thường cho phép đăng nhập bằng mật khẩu cho tất cả người dùng trên mọi địa chỉ IP, tạo điều kiện thuận lợi cho các cuộc tấn công đoán mật khẩu. Chúng ta sẽ thực hiện việc chuyển đổi sang cơ chế xác thực bằng khóa mật mã (SSH Key), loại bỏ hoàn toàn việc dùng mật khẩu, đồng thời thay đổi cổng mặc định để tránh các script tấn công tự động quét cổng 22. Bạn cần mở file cấu hình chính của SSHD để bắt đầu quá trình này.

sudo nano /etc/ssh/sshd_config

Trong file cấu hình này, bạn cần tìm và chỉnh sửa các tham số quan trọng. Trước tiên, hãy tìm dòng PermitRootLogin và đặt giá trị là no để ngăn chặn việc đăng nhập trực tiếp với tài khoản root, buộc hacker phải tìm kiếm tài khoản người dùng khác nếu họ muốn xâm nhập. Tiếp theo, chuyển sang phần xác thực bằng khóa, tìm dòng PubkeyAuthentication và đảm bảo nó được đặt thành yes. Quan trọng nhất, bạn phải tắt chế độ đăng nhập bằng mật khẩu bằng cách tìm dòng PasswordAuthentication và đặt giá trị là no. Việc này khiến máy chủ chỉ chấp nhận kết nối khi client cung cấp được khóa riêng tư hợp lệ.

Sau khi đã khóa chặt việc dùng mật khẩu, bước tiếp theo là thay đổi cổng SSH để tránh sự chú ý từ các bot quét mạng. Mặc định SSH chạy trên cổng 22, đây là cổng mà mọi script tấn công đều quét đầu tiên. Hãy tìm dòng ListenAddress và thay đổi thành một cổng tùy chỉnh, ví dụ như 22445. Đừng quên ghi nhớ số cổng này vì bạn sẽ cần nó để cấu hình firewall và các kết nối sau này. Sau khi đã thực hiện xong các thay đổi, hãy lưu file và khởi động lại dịch vụ SSH để áp dụng cấu hình mới. Trước khi khởi động lại, hãy đảm bảo bạn đã sao chép khóa công khai của mình vào thư mục .ssh của server để tránh bị khóa ngoài, hoặc giữ một phiên SSH mở khác làm dự phòng.

sudo systemctl restart sshd

Triển khai Tường lửa UFW để Lọc Lưu lượng Mạng

Khi đã cấu hình xong SSH với cổng mới và cơ chế xác thực bằng khóa, chúng ta cần xây dựng lớp bảo vệ thứ hai là tường lửa. Linux cung cấp UFW, một công cụ quản lý firewall đơn giản và hiệu quả, giúp bạn kiểm soát chính xác những gì được phép vào và ra khỏi máy chủ. Điểm mấu chốt của chiến lược bảo vệ này là nguyên tắc "từ chối tất cả, cho phép những gì cần thiết". Trước tiên, hãy truy cập UFW bằng lệnh enable để kích hoạt nó, nhưng để an toàn hơn trong quá trình cấu hình, chúng ta nên thiết lập chính sách mặc định là từ chối kết nối đến (inbound) và cho phép kết nối đi (outbound).

sudo ufw default deny incoming sudo ufw default allow outgoing

Bây giờ, bạn cần mở cổng SSH mới mà bạn đã cấu hình ở bước trước. Nếu bạn đã đổi cổng sang 22445, hãy cho phép lưu lượng từ cổng đó đi vào. Việc này cực kỳ quan trọng vì nếu bạn kích hoạt firewall mà quên mở cổng SSH, bạn sẽ bị mất kết nối với máy chủ ngay lập tức. Hãy luôn thực hiện lệnh allow cho cổng SSH trước khi bật firewall. Ngoài ra, nếu máy chủ của bạn chạy dịch vụ Web như Nginx hoặc Apache, bạn cũng cần cho phép các cổng 80 (HTTP) và 443 (HTTPS) để đảm bảo website vẫn hoạt động bình thường sau khi firewall được kích hoạt.

sudo ufw allow 22445/tcp sudo ufw allow 80/tcp sudo ufw allow 443/tcp

Sau khi đã thiết lập các quy tắc cho phép, hãy bật UFW chính thức. Hệ thống sẽ yêu cầu xác nhận để thay đổi trạng thái firewall. Hãy nhấn Y để đồng ý. Một khi UFW đã chạy, bất kỳ ai cố gắng kết nối vào máy chủ qua cổng không nằm trong danh sách cho phép đều sẽ bị từ chối ở ngay biên giới mạng, ngay cả trước khi họ chạm tới dịch vụ SSH. Điều này giúp giảm tải đáng kể cho CPU của máy chủ và ngăn chặn các cuộc quét port không cần thiết.

sudo ufw enable

Cấu hình Fail2Ban để Tự động Chặn Tấn công Brute-Force

Ngay cả với SSH đã khóa bằng mật khẩu và firewall đã chặn các cổng không cần thiết, nguy cơ từ các cuộc tấn công brute-force nhắm vào cổng SSH mở vẫn còn tồn tại, đặc biệt là các cuộc tấn công thử nghiệm khóa SSH hoặc các lỗi khai thác khác. Đây là lúc Fail2Ban phát huy tác dụng. Fail2Ban hoạt động như một hệ thống giám sát log, nó đọc các file log của SSH, phát hiện các địa chỉ IP có nhiều lần đăng nhập thất bại, và tự động thêm quy tắc vào UFW để chặn IP đó trong một khoảng thời gian nhất định. Việc cài đặt Fail2Ban rất đơn giản, bạn chỉ cần sử dụng gói quản lý của hệ thống để tải và cài đặt nó.

sudo apt update && sudo apt install fail2ban -y

Sau khi cài đặt, Fail2Ban có sẵn các cấu hình mặc định khá an toàn, nhưng để tối ưu cho trường hợp sử dụng cụ thể của chúng ta, bạn cần chỉnh sửa một số tham số. File cấu hình chính của Fail2Ban thường nằm trong thư mục default. Tuy nhiên, để không bị ghi đè khi cập nhật, chúng ta nên tạo một file cấu hình tùy chỉnh mới dựa trên file mặc định, thường được đặt tên là sshd.conf trong thư mục jail.local. Trước hết, hãy sao chép file mẫu vào thư mục local.

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Tiếp theo, hãy mở file jail.local để chỉnh sửa. Tại đây, bạn cần xác nhận rằng phần [sshd] đã được bật (enabled = true). Quan trọng hơn, bạn cần điều chỉnh thời gian chờ (bantime) và số lần lỗi cho phép (maxretry). Mặc định Fail2Ban thường cho phép 5 lần thất bại trước khi ban trong 10 phút. Đối với máy chủ quan trọng, bạn có thể giảm maxretry xuống còn 3 hoặc 4 để phản ứng nhanh hơn, và tăng bantime lên 1 ngày hoặc hơn đối với các lần vi phạm đầu tiên. Ngoài ra, hãy chú ý đến tham số port trong file cấu hình này, đảm bảo nó trỏ đến cổng SSH tùy chỉnh mà bạn đã đặt ở bước đầu (ví dụ: port = 22445) để Fail2Ban biết phải quét log trên cổng nào.

sudo nano /etc/fail2ban/jail.local

Sau khi đã hoàn chỉnh các thông số trong file cấu hình, bạn cần khởi động lại dịch vụ Fail2Ban để áp dụng các thay đổi. Để kiểm tra xem Fail2Ban có hoạt động đúng hay không, bạn có thể xem trạng thái của nó. Lệnh này sẽ hiển thị danh sách các địa chỉ IP đang bị chặn, thời gian còn lại của lệnh cấm và số lần vi phạm. Nếu bạn thấy IP của mình bị chặn do đang thử nghiệm, hãy thêm lệnh unban hoặc chờ hết thời gian. Việc Fail2Ban hoạt động song song với UFW là một lợi thế lớn, vì khi Fail2Ban ra lệnh chặn, nó sẽ tự động gọi API của UFW để thêm rule, tạo nên một vòng lặp bảo vệ khép kín.

sudo systemctl restart fail2ban sudo fail2ban-client status sshd

Lưu ý Quan trọng và Xử lý Sự cố

Khi thực hiện các thao tác bảo mật mạnh mẽ như thay đổi cổng SSH và kích hoạt firewall, rủi ro lớn nhất là bạn có thể bị khóa ngoài máy chủ của chính mình. Để tránh điều này, tuyệt đối không bao giờ tắt hoặc đóng cửa sổ terminal hiện tại cho đến khi bạn đã test thành công việc kết nối từ một terminal mới. Hãy mở hai phiên SSH song song: một phiên dùng để thực thi lệnh cấu hình và một phiên dự phòng để kết nối lại ngay lập tức nếu có sự cố. Ngoài ra, hãy đảm bảo bạn đã thiết lập SSH Key thành công trước khi tắt đăng nhập bằng mật khẩu. Nếu chưa test được việc đăng nhập bằng Key, đừng bao giờ thực hiện lệnh disable password authentication.

Một vấn đề khác thường gặp là Fail2Ban có thể bị nhầm lẫn khi có quá nhiều kết nối thất bại từ một ISP lớn hoặc từ chính IP của bạn trong quá trình cấu hình. Hãy kiểm tra log của Fail2Ban nếu bạn thấy nó chặn nhầm. Bạn có thể cấu hình thêm trong jail.local để whitelist (bỏ qua) các địa chỉ IP tin cậy của bạn. Cuối cùng, hãy nhớ rằng bảo mật là một quá trình liên tục, không phải là đích đến duy nhất. Hãy thường xuyên cập nhật hệ thống, kiểm tra log định kỳ và xem xét lại các quy tắc firewall khi có thay đổi về dịch vụ. Việc kết hợp SSH an toàn, UFW và Fail2Ban tạo nên một nền tảng vững chắc, nhưng không có gì là bất khả xâm phạm nếu bạn lơ là các lỗ hổng phần mềm khác.

Kết luận

Việc thiết lập bảo vệ đa tầng cho máy chủ Linux không chỉ là một thói quen tốt mà là yêu cầu bắt buộc trong kỷ nguyên số ngày nay. Bằng cách kết hợp việc cấu hình SSH chặt chẽ với khóa mật mã, triển khai tường lửa UFW để lọc lưu lượng mạng và sử dụng Fail2Ban để tự động hóa việc chặn kẻ tấn công, bạn đã xây dựng được một hệ thống phòng thủ vững chắc. Quy trình này giúp giảm thiểu đáng kể diện tích tấn công, ngăn chặn các cuộc quét mạng tự động và bảo vệ máy chủ khỏi các nỗ lực brute-force. Hy vọng với hướng dẫn chi tiết này, bạn có thể tự tin áp dụng các biện pháp bảo mật vào hạ tầng của mình, đảm bảo sự an toàn và ổn định cho dữ liệu và dịch vụ của bạn trước những mối đe dọa từ thế giới mạng.