Khi triển khai một máy chủ Ubuntu 14.04 mới, có một số bước cấu hình quan trọng cần thực hiện ngay từ đầu để đảm bảo hệ thống hoạt động ổn định và an toàn. Những bước này không chỉ tăng cường bảo mật mà còn cải thiện tính khả dụng của máy chủ, giúp bạn xây dựng một nền tảng vững chắc cho các thao tác và dịch vụ tiếp theo.

Để bắt đầu thiết lập máy chủ Ubuntu 14.04, bạn cần một VPS đáng tin cậy. Mua VPS chất lượng cao tại các nhà cung cấp uy tín sẽ đảm bảo hiệu suất và bảo mật tối ưu cho dự án của bạn. Khám phá ngay các gói VPS phù hợp để khởi động hành trình công nghệ!

Mục lục nội dung

Bước 1 – Đăng nhập với tư cách root

Để đăng nhập vào máy chủ, bạn cần biết địa chỉ IP công cộng của máy chủ và mật khẩu cho tài khoản “root”.

Nếu bạn chưa kết nối đến máy chủ, hãy đăng nhập với tư cách root bằng lệnh sau (thay SERVER_IP_ADDRESS bằng địa chỉ IP công cộng của máy chủ):

ssh root@SERVER_IP_ADDRESS

Hoàn tất quá trình đăng nhập bằng cách chấp nhận cảnh báo về tính xác thực của host (nếu xuất hiện), sau đó cung cấp thông tin xác thực của root (mật khẩu hoặc Private Key). Nếu đây là lần đầu đăng nhập bằng mật khẩu, bạn sẽ được nhắc thay đổi mật khẩu của root.

Thông tin về tài khoản root

Tài khoản root là tài khoản quản trị trong môi trường Linux với rất nhiều đặc quyền. Vì tính mạnh mẽ của root, bạn nên hạn chế sử dụng tài khoản này trong công việc hàng ngày, vì một phần quyền lực của root là khả năng thực hiện các thay đổi có thể gây hại, ngay cả khi vô tình xảy ra.

Bước tiếp theo là tạo một tài khoản người dùng thay thế với phạm vi quyền hạn hạn chế hơn cho công việc hàng ngày. Chúng ta sẽ hướng dẫn cách cấp quyền tăng cao khi cần thiết.

Bước 2 – Tạo tài khoản người dùng mới

Sau khi đã đăng nhập với tư cách root, tiến hành tạo tài khoản người dùng mới để sử dụng đăng nhập từ bây giờ.

Ví dụ dưới đây tạo một tài khoản có tên “demo”, nhưng bạn nên thay thế bằng tên người dùng mà bạn mong muốn:

adduser demo

Bạn sẽ được hỏi một số thông tin, bắt đầu với mật khẩu cho tài khoản. Nhập mật khẩu mạnh và, nếu muốn, điền thêm các thông tin bổ sung (không bắt buộc, bạn có thể nhấn “ENTER” để bỏ qua).

Bước 3 – Cấp quyền quản trị cho người dùng

Hiện tại, bạn đã có một tài khoản người dùng mới với quyền hạn bình thường. Tuy nhiên, đôi khi bạn sẽ cần thực hiện các tác vụ quản trị.

Để tránh việc phải đăng xuất khỏi tài khoản người dùng bình thường và đăng nhập lại với root, chúng ta có thể thiết lập quyền “super user” cho tài khoản người dùng đó. Điều này cho phép người dùng bình thường chạy các lệnh với quyền quản trị bằng cách thêm từ sudo trước lệnh.

Để cấp quyền này cho người dùng mới, hãy thêm người dùng vào nhóm “sudo”. Theo mặc định, trên Ubuntu 14.04, các người dùng thuộc nhóm “sudo” được phép sử dụng lệnh sudo.

Với tư cách root, chạy lệnh sau để thêm người dùng vào nhóm sudo (thay demo bằng tên người dùng của bạn):

gpasswd -a demo sudo

Bây giờ, người dùng của bạn có thể chạy các lệnh với quyền quản trị! Để biết thêm chi tiết về cơ chế này, hãy tham khảo hướng dẫn về sudoers.

Bước 4 – Thiết lập xác thực bằng Public Key (khuyến nghị)

Bước tiếp theo để bảo mật máy chủ của bạn là thiết lập xác thực bằng Public Key cho tài khoản người dùng mới. Việc này sẽ tăng cường an ninh cho máy chủ bằng cách yêu cầu một Private SSH Key để đăng nhập.

Tạo cặp key

Nếu bạn chưa có cặp SSH key (gồm Public Key và Private Key), bạn cần tạo một cặp mới. Nếu đã có key muốn sử dụng, bạn có thể bỏ qua bước này và chuyển sang bước “Sao chép Public Key”.

Để tạo cặp key mới, nhập lệnh sau trên terminal của máy tính cá nhân:

ssh-keygen

Giả sử tên người dùng cục bộ là “localuser”, bạn sẽ thấy output như sau:

Nhấn ENTER để chấp nhận tên file và đường dẫn mặc định (hoặc nhập tên khác nếu bạn muốn).

Tiếp theo, bạn sẽ được yêu cầu nhập passphrase để bảo mật key. Bạn có thể nhập passphrase hoặc để trống.

Lưu ý: Nếu để trống, bạn có thể sử dụng Private Key để xác thực mà không cần nhập passphrase. Nếu có passphrase, bạn cần cung cấp cả Private Key và passphrase khi đăng nhập. Bảo vệ key với passphrase an toàn hơn, nhưng cả hai phương pháp đều an toàn hơn so với xác thực bằng mật khẩu.

Quá trình trên sẽ tạo ra một Private Key (id_rsa) và một Public Key (id_rsa.pub) trong thư mục .ssh của người dùng localuser. Hãy nhớ rằng Private Key không được chia sẻ với bất kỳ ai không được phép truy cập vào máy chủ của bạn!

Sao chép Public Key

Sau khi tạo cặp SSH key, bạn cần sao chép Public Key lên máy chủ mới.

Chúng ta sẽ trình bày hai cách đơn giản để thực hiện điều này.

Lưu ý: Phương pháp ssh-copy-id sẽ không hoạt động trên DataOnline nếu bạn đã chọn SSH key khi tạo Droplet. Điều này là do DataOnline vô hiệu hóa xác thực bằng mật khẩu khi có SSH key, trong khi ssh-copy-id dựa vào xác thực bằng mật khẩu để sao chép key.

Nếu bạn sử dụng DataOnline và đã chọn SSH key khi tạo Droplet, hãy sử dụng Option 2 bên dưới.

Phương án 1: Sử dụng ssh-copy-id

Nếu máy tính cục bộ của bạn đã cài script ssh-copy-id, bạn có thể sử dụng nó để cài đặt Public Key cho bất kỳ tài khoản nào mà bạn có thông tin đăng nhập.

Chạy script ssh-copy-id bằng cách chỉ định người dùng và IP của máy chủ mà bạn muốn cài key, như sau:

ssh-copy-id demo@SERVER_IP_ADDRESS

Sau khi nhập mật khẩu theo yêu cầu, Public Key của bạn sẽ được thêm vào file .ssh/authorized_keys của người dùng từ xa. Bây giờ, Private Key tương ứng có thể được dùng để đăng nhập vào máy chủ.

Phương án 2: Cài đặt thủ công key

Giả sử bạn đã tạo cặp SSH key theo bước trước, sử dụng lệnh sau trên máy tính cục bộ để in ra Public Key (id_rsa.pub):

cat ~/.ssh/id_rsa.pub

Lệnh trên sẽ in ra Public SSH Key, trông như sau:

Chọn Public Key và sao chép vào clipboard.

Thêm Public Key vào tài khoản người dùng mới

Để kích hoạt xác thực bằng SSH key cho tài khoản người dùng mới, bạn cần thêm Public Key vào file đặc biệt trong thư mục home của người dùng đó.

Trên máy chủ, với tư cách root, chuyển sang người dùng mới (thay demo bằng tên người dùng của bạn):

su - demo

Bây giờ, bạn đã ở trong thư mục home của tài khoản người dùng mới.

Tạo thư mục .ssh và thiết lập quyền truy cập hạn chế bằng các lệnh sau:

mkdir .ssh
chmod 700 .ssh

Sau đó, mở file authorized_keys trong thư mục .ssh bằng trình soạn thảo văn bản. Chúng ta sử dụng nano:

nano .ssh/authorized_keys

Dán Public Key (đã sao chép ở bước trước) vào file. Nhấn CTRL-X để thoát, sau đó nhấn Y để lưu thay đổi và nhấn ENTER để xác nhận tên file.

Cuối cùng, thiết lập quyền cho file authorized_keys:

chmod 600 .ssh/authorized_keys

Để trở lại tài khoản root, gõ:

exit

Bây giờ, bạn có thể đăng nhập SSH với tư cách người dùng mới sử dụng Private Key để xác thực. Để tìm hiểu thêm về cơ chế xác thực bằng SSH key, hãy xem hướng dẫn “Cách cấu hình xác thực SSH dựa trên key trên máy chủ Linux.”

Bước 5 – Cấu hình daemon SSH

Với tài khoản người dùng mới đã được thiết lập, chúng ta sẽ tăng cường bảo mật máy chủ bằng cách cấu hình daemon SSH (chương trình cho phép đăng nhập từ xa) để vô hiệu hóa truy cập SSH từ xa cho tài khoản root.

Bắt đầu bằng cách mở file cấu hình của daemon SSH với tư cách root:

nano /etc/ssh/sshd_config

Tiếp theo, tìm dòng có nội dung như sau:

/etc/ssh/sshd_config (before)

Dòng này cho phép đăng nhập root qua SSH. Chúng ta sẽ chỉnh sửa dòng này thành “no” để vô hiệu hóa đăng nhập root qua SSH, tăng cường bảo mật, vì bây giờ bạn có thể truy cập máy chủ thông qua tài khoản người dùng bình thường và chỉ nâng quyền khi cần thiết.

/etc/ssh/sshd_config (after)

PermitRootLogin no

Việc vô hiệu hóa đăng nhập root từ xa là rất cần thiết đối với mọi máy chủ!

Sau khi chỉnh sửa xong, lưu và đóng file (nhấn CTRL-X, sau đó Y, rồi ENTER).

Bước 6 – Tải lại SSH

Sau khi đã thay đổi cấu hình, bạn cần khởi động lại dịch vụ SSH để áp dụng các thay đổi.

Nhập lệnh sau để khởi động lại SSH:

service ssh restart

Trước khi đăng xuất, hãy kiểm tra cấu hình mới. Không nên ngắt kết nối cho đến khi bạn xác nhận rằng kết nối mới có thể được thiết lập thành công.

Mở một cửa sổ terminal mới trên máy tính cá nhân. Trong cửa sổ mới, bắt đầu kết nối mới đến máy chủ. Lần này, thay vì dùng tài khoản root, bạn sẽ dùng tài khoản người dùng mới.

Với máy chủ được cấu hình ở trên, bạn sẽ kết nối bằng lệnh (thay demo và SERVER_IP_ADDRESS bằng thông tin của bạn):

ssh demo@SERVER_IP_ADDRESS

Lưu ý: Nếu bạn sử dụng PuTTY để kết nối, hãy cập nhật số hiệu cổng của phiên làm việc cho phù hợp với cấu hình hiện tại của máy chủ.

Bạn sẽ được nhắc nhập mật khẩu của người dùng mới mà bạn đã thiết lập, sau đó đăng nhập với tư cách người dùng đó.

Nhớ rằng, nếu cần chạy lệnh với quyền root, hãy thêm “sudo” trước lệnh, ví dụ:

sudo command_to_run

Nếu mọi thứ hoạt động bình thường, bạn có thể thoát phiên làm việc bằng cách gõ:

exit

Hướng đi tiếp theo

Tại điểm này, bạn đã có một nền tảng vững chắc cho máy chủ của mình. Bạn có thể cài đặt bất kỳ phần mềm nào cần thiết trên máy chủ.

Nếu bạn chưa biết nên làm gì tiếp theo, hãy xem hướng dẫn “Các bước khuyến nghị bổ sung cho máy chủ Ubuntu 14.04 mới” trong chuỗi bài viết. Hướng dẫn này đề cập đến các bước cơ bản như cài đặt firewall, NTP và swap file, đồng thời cung cấp các liên kết hướng dẫn cấu hình các ứng dụng web phổ biến. Bạn cũng có thể tham khảo hướng dẫn kích hoạt fail2ban để giảm thiểu hiệu quả của các cuộc tấn công brute force.

Nếu bạn chỉ muốn khám phá, hãy tham khảo các bài viết khác trong cộng đồng. Một số ý tưởng phổ biến là cấu hình LAMP stack hoặc LEMP stack, giúp bạn có thể host website.

Sau khi tạo người dùng mới trên Ubuntu 14.04, hãy đảm bảo máy chủ của bạn hoạt động mượt mà với VPS phù hợp. Thuê VPS giá rẻ từ các nhà cung cấp đáng tin cậy giúp tiết kiệm chi phí mà vẫn đảm bảo hiệu suất. Tìm hiểu các gói VPS ngay hôm nay!

Tài liệu, Hướng dẫn sử dụng Linux

Thiết Lập Máy Chủ Ban Đầu Với Ubuntu 14.04 Chi Tiết Nhất