Hello, lại là mình đây 
Hôm nay mình muốn chia sẻ với các bạn về Admin Panel và cách bảo mật mà mình đang áp dụng cho VPS. Phương pháp này nhanh, nhẹ và bảo mật tốt, phù hợp cho cả người mới bắt đầu và những bạn đã có kinh nghiệm. Trong bài viết, mình sẽ trình bày các vấn đề thành từng phần để dễ theo dõi hơn.
1. Giới thiệu về Admin Panel – CloudPanel
Mình đang sử dụng CloudPanel, một Admin Panel được phát triển bởi một công ty tại Đức. Điểm nổi bật của CloudPanel là:
- Nhẹ nhàng và không cồng kềnh: So với các Panel như VestaCP hoặc HestiaCP, CloudPanel không bao gồm nhiều tính năng không cần thiết.
- Hỗ trợ nền tảng mới nhất: CloudPanel tương thích với các hệ điều hành như Ubuntu LTS 24.04, Debian 12, đảm bảo các công nghệ luôn được cập nhật.
- Hỗ trợ quản lý file qua File Manager.
- Hỗ trợ chứng chỉ SSL miễn phí qua Let’s Encrypt.
- Tích hợp Cloudflare và các dịch vụ CDN khác.
- Hỗ trợ server Node.js và Python, phù hợp cho các ứng dụng cần WebSocket hoặc xử lý dữ liệu chuyên biệt.
Nếu bạn muốn một Panel vừa gọn nhẹ, vừa mạnh mẽ thì CloudPanel là lựa chọn đáng cân nhắc.
2. Các bước cơ bản bảo mật VPS
Vấn đề 1: Thay thế đăng nhập bằng mật khẩu bằng SSH Key
Phần lớn các VPS khi tạo mới sẽ cung cấp tài khoản Root/Password để truy cập SSH. Tuy nhiên, cách này dễ bị tấn công dò quét. Để bảo mật hơn:
Chặn đăng nhập bằng mật khẩu: Sau khi đăng nhập lần đầu, hãy vô hiệu hóa tính năng này.
Sử dụng SSH Key:
- Tạo cặp khóa SSH (public/private key) trên máy cá nhân.
- Thêm khóa public vào VPS để xác thực.
- Đảm bảo các công cụ như iptables hoặc fail2ban được cấu hình để lọc IP đăng nhập trái phép.
Vấn đề 2: Hạn chế truy cập Admin Panel
Các Admin Panel thường sử dụng một cổng mặc định (CloudPanel là cổng 8443). Để bảo mật:
- Chặn truy cập từ bên ngoài: Chỉ cho phép truy cập từ localhost.
- Sử dụng SSH Tunnel: Tạo một đường hầm từ máy cá nhân đến server để map cổng, ví dụ:
- Map 127.0.0.1:8000 (máy cá nhân) đến 127.0.0.1:8443 (server).
Cách này đảm bảo chỉ bạn mới có thể truy cập Admin Panel qua SSH.
Vấn đề 3: Hạn chế số lượng cổng mở
Chỉ nên mở các cổng cần thiết như:
- 22: SSH.
- 80/443: HTTP/HTTPS.
Các cổng khác nên bị chặn hoàn toàn bằng tường lửa. Điều này giúp giảm nguy cơ bị tấn công từ bên ngoài.
3. Bảo mật dữ liệu và source code
Vấn đề 1: Quản lý quyền CHOWN và CHMOD
Khi sử dụng các công cụ như rsync để di chuyển dữ liệu, cần chú ý thiết lập đúng quyền:
- CHOWN: Đảm bảo tệp thuộc về đúng user.
- CHMOD: Giới hạn quyền truy cập để tránh lỗ hổng bị khai thác.
- Sai sót trong việc quản lý quyền có thể dẫn đến việc file độc hại được chèn vào hệ thống.
Vấn đề 2: Giấu IP gốc của server
Sử dụng các dịch vụ CDN như:
- Cloudflare hoặc CloudFront.
- Dịch vụ CDN trong nước nếu cần.
Các dịch vụ này sẽ giấu IP thật của server, giúp ngăn chặn các cuộc tấn công trực tiếp. Khi bị DDoS, bạn có thể điều hướng traffic hoặc tạm thời ngắt kết nối.
Vấn đề 3: Kiểm tra và giám sát source code
Nếu bạn sử dụng WordPress:
- Cấm cài đặt plugin/theme không kiểm soát: Dùng CHMOD để ngăn chặn script không được phép.
- Quản lý source code bằng GitHub/Bitbucket: So sánh mã nguồn giữa phiên bản gốc và hiện tại để phát hiện các thay đổi trái phép.
Nếu bạn sử dụng Laravel hoặc PHP thuần:
- Hãy dùng Git để quản lý source code, đảm bảo mọi thay đổi đều được theo dõi.
5. Tổng kết
Bảo mật VPS không chỉ nằm ở việc sử dụng công cụ mà còn là kiến thức và thói quen quản trị:
- Sử dụng SSH Key thay cho mật khẩu.
- Hạn chế quyền truy cập Admin Panel qua SSH Tunnel.
- Giảm thiểu số cổng mở ra Internet.
- Quản lý quyền CHOWN/CHMOD đúng cách.
- Sử dụng CDN để giấu IP server.
- Theo dõi và kiểm tra source code thường xuyên.
- Tạo User riêng biệt cho từng website.
Hy vọng bài viết này sẽ giúp các bạn có cái nhìn tổng quan và nâng cao bảo mật cho VPS của mình. Nếu có ý kiến hoặc kinh nghiệm nào khác, đừng ngần ngại chia sẻ để cùng học hỏi nhé!
