An Toàn Mặc Định Trên Linux Server: Vì Sao Tôi Không Còn Tin Tưởng Nữa?

Lê Lân

17/08/2025

Tại Sao Tôi Không Còn Tin Vào “Secure by Default” Trong Cài Đặt Máy Chủ Linux

Mở Đầu

Trong thế giới bảo mật mạng ngày càng phức tạp, chúng ta luôn mong muốn có một hệ điều hành Linux “an toàn theo mặc định” — một bản phân phối mà bạn có thể cài đặt và ngay lập tức yên tâm vận hành máy chủ. Tuy nhiên, sau khi kiểm tra kỹ nhiều máy chủ khác nhau, tôi nhận ra quan niệm này có thể gây nguy hiểm và rất dễ gây hiểu lầm.

Trong bài viết này, tôi sẽ chia sẻ lý do tại sao tôi ngừng tin tưởng vào khái niệm "secure by default" trong các bản cài đặt Linux hiện nay và những gì tôi làm để bảo vệ máy chủ của mình một cách thực tế và hiệu quả hơn. Điều này đặc biệt quan trọng vì ngay cả những bản phân phối phổ biến như Ubuntu hay CentOS cũng có thể để ngỏ những điểm yếu an ninh ngay từ lúc cài đặt mặc định.

1. Các Cổng Mở Không Mong Muốn (Open Ports You Didn’t Ask For)

Dịch Vụ Mặc Định Tiềm Ẩn Nguy Cơ

Ngay sau khi cài đặt mới, tôi sử dụng các lệnh ss -tuln và netstat -plnt để kiểm tra các dịch vụ đang lắng nghe trên các cổng mạng. Kết quả khiến tôi ngạc nhiên khi thấy nhiều dịch vụ như Avahi, cups hay rpcbind được bật mặc định.

Đây là các dịch vụ không cần thiết với hầu hết các máy chủ, nhưng lại được cài đặt để hỗ trợ các tính năng mạng hoặc in ấn. Việc để sẵn các dịch vụ này đồng nghĩa với mở ra nhiều cửa hậu tiềm năng cho tấn công mạng, khi hacker có thể khai thác các lỗ hổng của chúng.

Cách Tôi Xử Lý

Ngay sau khi cài đặt xong, tôi thực hiện:

sudo ss -tuln

sudo netstat -plnt

Sau đó, tôi tắt và vô hiệu hóa tất cả các dịch vụ không nhận dạng được từ danh sách hiện có, ví dụ:

sudo systemctl stop avahi-daemon
sudo systemctl disable avahi-daemon

Việc chủ động kiểm soát các dịch vụ chạy trên máy chủ giúp hạn chế đáng kể các điểm dễ bị tấn công.

2. Cấu Hình SSH Quá Hở Hàng

Những Rủi Ro Từ Cấu Hình Mặc Định

Trên một số máy chủ, tôi phát hiện ra SSH được cấu hình để cho phép đăng nhập bằng mật khẩu và thậm chí cho phép đăng nhập trực tiếp bằng tài khoản root. Đây là những thiết lập cực kỳ nguy hiểm vì:

Mật khẩu dễ đoán có thể khiến tài khoản bị truy cập trái phép

Đăng nhập root thẳng là mở khóa tối ưu cho hacker, giúp họ dễ dàng kiểm soát toàn bộ hệ thống

Giải Pháp An Toàn

Để tăng cường bảo mật, tôi triển khai các bước sau:

Vô hiệu hóa đăng nhập trực tiếp cho root trong file /etc/ssh/sshd_config (tham số PermitRootLogin no )

Tắt đăng nhập bằng mật khẩu, thay vào đó dùng khóa công khai (SSH Key Authentication)

Giới hạn danh sách IP được phép truy cập SSH khi có thể

Việc này đảm bảo chỉ những ai có khóa riêng mới được phép đăng nhập, giảm đáng kể nguy cơ bị dò tìm mật khẩu.

3. Thực Tiễn Thay Vì Tin Tưởng Tuyệt Đối

Tại Sao Chỉ Dùng “Secure by Default” Là Không Đủ?

Mặc dù các bản phân phối Linux ngày nay đã cải thiện rất nhiều về bảo mật, không có “secure by default” nào là hoàn hảo. Việc chỉ dựa vào cài đặt mặc định rất dễ dẫn đến lầm tưởng máy chủ đã được bảo mật tối ưu, trong khi thực tế còn tồn tại nhiều “điểm chết”.

Những Bước Tôi Thường Áp Dụng

Audit kỹ hệ thống sau cài đặt bằng các công cụ và lệnh kiểm tra

Tắt tất cả dịch vụ không dùng đến

Cấu hình lại SSH và các dịch vụ quan trọng

Liên tục cập nhật bản vá bảo mật mới nhất

Dùng tường lửa (firewall) để kiểm soát truy cập

Theo dõi log và các dấu hiệu tấn công bất thường

Không có hệ điều hành nào an toàn tuyệt đối nếu thiếu sự giám sát và quản lý chủ động từ quản trị viên.

Kết Luận

“Secure by default” là một mục tiêu tốt đẹp nhưng không thể là phương án bảo mật duy nhất cho máy chủ Linux của bạn. Việc tin tưởng hoàn toàn vào cấu hình mặc định có thể khiến bạn dễ dàng trở thành mục tiêu của các cuộc tấn công mạng.

Thay vào đó, hãy chủ động kiểm tra và tối ưu lại các dịch vụ sau khi cài đặt, áp dụng các phương pháp bảo mật nâng cao như vô hiệu hóa dịch vụ không cần thiết và cấu hình SSH an toàn. Thực hành này không chỉ bảo vệ máy chủ mà còn đảm bảo hệ thống của bạn luôn vận hành ổn định và an toàn trong mọi tình huống.

Bảo mật không phải là một trạng thái, mà là một quá trình liên tục cần sự chủ động và kiến thức sâu sắc từ người quản trị.

Tham Khảo

December 5, 2023 - Medium: Why I No Longer Trust “Secure by Default” in Linux Server Installs

Linux Security Cookbook – Daniel J. Barrett, Richard E. Silverman

Ubuntu Server Security Documentation

CentOS Security Guide: https://wiki.centos.org/Security