Chào mừng quay trở lại với seri làm chủ kiến thức internet marketing từ khóa học Ma Trận SEO của Lê Thành Hồng Quân. Trong bài học này Quân sẽ chỉ cho các bạn cách tạo một website WordPress từ A – Z.

Những lưu ý quan trọng trước khi bắt đầu

• Các thao tác trên máy chủ đòi hỏi sự chính xác nên bạn phải cực kỳ cẩn thận trong các thao tác của mình, sai 1 ly là đi 1 dặm.
• Luôn luôn nhớ BACKUP is KING, sao lưu dự phòng là điều tối cần thiết vì bạn không muốn toàn bộ đống tiền của bạn đi tong chỉ vì bấm nhầm 1 nút đâu nhỉ!

Bước 1: Tạo máy chủ

Một website mã nguồn WordPress hay mã nguồn nào đi chăng nữa đều cần 1 nơi để lưu trữ để thực thi các lệnh từ bạn (quản trị viên) hay người dùng (khách hàng).

• Bạn có thể mua 1 máy chủ vật lý giá vài trăm triệu hay dùng chính cái laptop của mình làm máy chủ nhưng bạn không có đủ tài chính hay không thể duy trì cái laptop của mình chạy liên tục 24/7/365.
• Bạn có thể dùng chung hay dùng chùa 1 server (máy chủ) của ai đó nhưng buồn buồn họ lấy lại và bạn mắc công để di chuyển dữ liệu, hoặc phải nhờ vả để sửa cái này cái kia trên dòng lệnh.
• Bạn có thể thuê dịch vụ hosting (lưu trữ) của 1 nhà cung cấp nào đó nhưng giá cả so với hiệu năng thì quá mắc, tất nhiên cách này cũng OK trong trường hợp bạn muốn nhanh chóng có website mà không mất công làm quen với các dòng lệnh phức tạp (người dùng phổ thông). Nhưng Quân đang hướng dẫn bạn cách kiếm tiền từ website nên tốt nhất hãy làm theo cách Quân đang sử dụng:
• Bạn NÊN tạo 1 máy chủ ảo (Virtual Private Server VPS). Nó là một máy chủ luận lý hoạt động trên một cụm Data Center (trung tâm dữ liệu) của những nhà cung cấp có tiếng về bảo mật như Google, Amazon, Digital Ocean, Vultr… Quan trọng là giá nó rẻ hơn hosting, mạnh hơn và bảo mật hơn hosting nhiều. Trong bài học này Quân sẽ hướng dẫn bạn sử dụng dịch vụ của Digital Ocean (DO) với gói cước rẻ nhất: 5$/tháng với 1CPU ảo, 1GB RAM, ổ cứng SSD 25GB và dung lượng transfer lên đến 1TB

Đầu tiên bạn cần một tài khoản Paypal.com để thanh toán các dịch vụ của Digital Ocean. Bạn cũng cần một thẻ tính dụng (Credit Card) hay thẻ ghi nợ (Debit Card) để nạp tiền (hoặc là nguồn tiền) cho ví điện tử Paypal. Quân khuyên bạn nên dùng ví điện tử cho các dịch vụ trực tuyến thay vì dùng trực tiếp thẻ tín dụng để thanh toán vì bảo mật hơn (Paypay sẽ giữ bí mật 3 số bảo mật sau thẻ).

Sau khi hoàn tất việc tạo ví điện tử. Quân sẽ tặng bạn 100$ của dịch vụ Digital Ocean để bạn tạo máy chủ cho mình.

Mã khuyến mãi lấy 100$ từ Digital Ocean khi tạo tài khoản mới

Bạn NÊN dùng 1 tài khoản Gmail hoàn toàn mới cho toàn bộ các bước trong bài học này vì tài khoản Gmail này sẽ là tài khoản quản trị cho rất nhiều dịch vụ liên quan đến website của bạn.

https://m.do.co/c/825e357af8c9

Bạn bấm chữ SIGN UP để đăng ký một tài khoản Digital Ocean mới

Dùng tài khoản Google của bạn để đăng nhập, và lưu ý NÊN là tài khoản Gmail mới hoàn toàn, đừng dùng với Gmail cá nhân để tách bạch các dự án kiếm tiền khác nhau.

Tiếp theo hãy làm theo hướng dẫn trong video

Các bước tạo droplet

Sau khi bấm Open, bạn sẽ vào giao diện điều khiến máy chủ, đừng bất ngờ vì nó đen thui, vì hệ điều hành bạn cài đặt là CENTOS 7 (một bản phân phối của Linux) có giao diện thuần dòng lệnh (terminal) để điều khiển máy chủ. Bạn nhập:

• Username: root
• Password: lúc tạo droplet (nhưng lưu ý khi bạn nhập con trỏ sẽ không chạy, đừng lo vì để người khác không nhìn được bạn nhập cái gì nên con trỏ sẽ không hiển thị gì cả, nhưng nó vẫn ghi nhận bàn phím bạn gõ. Hãy chắn rằng bạn nhập đúng. Sai 3 lần là bị khóa tài khoản đó. Nếu bị khóa bạn phải reset password của droplet

Lưu ý, nút ON màu xanh lá là để tắt mở Droplet, nó như tắt mở máy tính vậy, khi tắt server thì chả ai truy cập được vào website bạn đâu.

BẮT ĐẦU

Tạo phân vùng swap

Bạn tham khảo kiến thức tạo swap tại đây https://hocvps.com/swap/

Swap là khái niệm bộ nhớ ảo được sử dụng trên hệ điều hành Linux. Khi VPS/Server hoạt động, nếu hết RAM hệ thống sẽ tự động sử dụng một phần ổ cứng để làm bộ nhớ cho các ứng dụng hoạt động.

Với những server không có swap, khi hết RAM hệ thống thường tự động stop service MySQL, do đó hay xuất hiện thông báo lỗi Establishing a Database Connection.

Do sử dụng ổ cứng có tốc độ chậm hơn RAM, nhất là với những server dùng ổ cứng thường không dùng SSD, do đó không nên thường xuyên sử dụng Swap sẽ làm giảm hiệu năng hệ thống. Nếu tình trạng hết RAM hay xảy ra, bạn hãy tối ưu server, tăng cache và nâng cấp bổ sung thêm RAM.

Với các VPS dùng công nghệ ảo hóa OpenVZ, có thể bạn sẽ không tạo được swap do hệ thống đã tự động kích hoạt sẵn.

Hướng dẫn tạo Swap

Áp dụng được cả trên CentOS và Ubuntu.

1.1 Kiểm tra swap

Trước khi tiến hành tạo file swap cần kiểm tra xem hiện tại hệ thống đã kích hoạt swap hay chưa bằng cách chạy:

swapon -s

Nếu không có thông tin gì hoặc trả về như hình dưới chứng tỏ server chưa có swap và bạn có thể tạo.

1.2 Kiểm tra dung lượng trống

Sử dụng lệnh df -h để kiểm tra dung lượng trống. Còn 13GB, vẫn thoải mái để tạo swap:

1.3 Tạo swap

– Chạy lệnh dd. Ở đây mình tạo 1GB swap (count=1024k) cho VPS 768MB RAM

sudo dd if=/dev/zero of=/swapfile bs=1024 count=1024k

Lệnh trên sẽ tạo swap có dung lượng 1Gb. Bạn có thể thay count=1024k bằng count=2048k… để tạo swap dung lượng 2Gb. Dung lượng Swap tối đa chỉ nên gấp đôi RAM vật lý.

– Tạo phân vùng swap

mkswap /swapfile

– Kích hoạt swap

swapon /swapfile

Đoạn này có thể gặp thông báo warning insecure permissions 0644, không sao cả bạn cứ bỏ qua. Chúng ta sẽ chỉnh lại ở bước sau.

– Kiểm tra lại tình trạng swap bạn sẽ thấy như sau:

swapon -s

– Thiết lập swap tự động được kích hoạt mỗi khi reboot

echo /swapfile none swap defaults 0 0 >> /etc/fstab

– Bảo mật file swap bằng cách chmod

chown root:root /swapfile 
chmod 0600 /swapfile

1.4 Cấu hình Swappiness

Swappiness là mức độ ưu tiên sử dụng swap, khi lượng RAM còn lại bằng giá trị của swappiness (tính theo tỷ lệ phần trăm) thì swap sẽ được sử dụng. Swappiness có giá trị trong khoảng 0 – 100.

• swappiness = 0: swap chỉ được dùng khi RAM được sử dụng hết.
• swappiness = 10: swap được sử dụng khi RAM còn 10%.
• swappiness = 60: swap được sử dụng khi RAM còn 60%.
• swappiness = 100: swap được ưu tiên như là RAM.

Do tốc độ xử lý dữ liệu trên RAM cao hơn nhiều so với Swap, do đó bạn nên đặt giá trị này về gần với 0 để tận dụng tối đa sức mạnh hệ thống. Tốt nhất nên chỉnh về 10.

– Kiểm tra mức độ sử dụng file swap của hệ thống bằng cách chạy dòng lệnh sau

cat /proc/sys/vm/swappiness

– Chỉnh thông số swappiness bằng cách dùng lệnh sysctl

sysctl vm.swappiness=10

– Kiểm tra lại bạn sẽ thấy kết quả trả về 10

cat /proc/sys/vm/swappiness

Để đảm bảo giữ nguyên thông số này mỗi khi khởi động lại VPS bạn cần điều chỉnh tham số vm.swappiness ở cuối file /etc/sysctl.conf (nếu không có bạn hãy add thủ công vào)

nano /etc/sysctl.conf

Thêm dòng sau vào cuối nếu chưa có, nếu có rồi thì update lại giá trị:

vm.swappiness = 10

Nhấn Ctrl + O để lưu, Enter và Ctrl + X để thoát.

– Khởi động lại VPS và kiểm tra lại kết quả:

swapon -s
cat /proc/sys/vm/swappiness

Lưu ý

– Với CentOS 7.2 có thể tune profile sẽ overwrite vm.swappiness mỗi lần reboot, bạn cần kiểm tra profile nào đang overwrite để cấu hình lại thủ công.

grep vm.swappiness /usr/lib/tuned/*/tuned.conf

Output có thể như sau:

[root@hocvps ~]# grep vm.swappiness /usr/lib/tuned/*/tuned.conf
/usr/lib/tuned/latency-performance/tuned.conf:vm.swappiness=10
/usr/lib/tuned/throughput-performance/tuned.conf:vm.swappiness=10
/usr/lib/tuned/virtual-guest/tuned.conf:vm.swappiness = 30

Lúc này, bạn hãy mở file /usr/lib/tuned/virtual-guest/tuned.conf, tìm vm.swappiness và thay đổi vm.swappiness = 30 thành vm.swappiness = 10.

nano /usr/lib/tuned/virtual-guest/tuned.conf

Nhấn Ctrl + O để lưu, Enter và Ctrl + X để thoát.

Khởi động lại VPS và kiểm tra lại kết quả.

1.5 Thay đổi dung lượng swap

Nếu bạn đã theo các hướng dẫn trên để tạo swap file và muốn thay đổi dung lượng swap, hãy thực hiện ngược lại quá trình.

– Tắt swap

swapoff /swapfile

– Xóa file swap

rm -f /swapfile

– Tạo mới file swap với dung lượng mong muốn. Ví dụ mình tạo 2GB (2048k)

sudo dd if=/dev/zero of=/swapfile bs=1024 count=2048k

– Tạo phân vùng swap

mkswap /swapfile

– Kích hoạt swap

swapon /swapfile

– Bảo mật file swap bằng cách chmod

chown root:root /swapfile 
chmod 0600 /swapfile

– Kiểm tra lại tình trạng swap

swapon -s

Khi thay đổi dung lượng swap, các cài đặt từ trước như tự động kích hoạt khi server reboot, thông số Swappiness được giữ nguyên nên bạn không cần phải thao tác gì thêm.

Giờ khởi động lại server rồi kiểm tra lại kết quả thôi.

Bước 2. Cài Script hocvps

Bạn tham khảo kiến thức cài script hocvps tại https://hocvps.com/script/

HocVPS Script là 1 bash script chạy trên SSH sẽ tự động cài đặt tất cả các thành phần cần thiết nhất cho VPS với một dòng lệnh duy nhất.

Không như những Control Panel khác, HocVPS Script không hề sử dụng bất kỳ tài nguyên server (CPU, RAM) và không thể mắc lỗi bảo mật nào để hacker khai thác được nên các bạn có thể hoàn toàn yên tâm sử dụng.

Ngoài ra, webserver sẽ được tự động tối ưu cấu hình để đảm bảo có hiệu suất hoạt động tốt nhất, bảo mật nhất. Ngay cả những bạn mới làm quen với VPS cũng có thể quản lý VPS thông qua menu dòng lệnh đơn giản, gọi bằng lệnh hocvps

HocVPS Script sẽ tự động cài đặt:

• Webserver Nginx bản mới nhất.
• Database MariaDB bản mới nhất 10.0 (chính là MySQL được tối ưu).
• PHP phiên bản mới nhất tùy chọn: PHP 7.1, PHP 7.0, PHP 5.6; đi kèm Zend OPcache
• phpMyAdmin mới nhất.
• eXtplorer mới nhất để quản lý File Manager, có thể tạo user, phân quyền riêng biệt.

Những tính năng đặc biệt:

1. Thông tin cài đặt đơn giản, chỉ cần lựa chọn phiên bản PHP, tên miền chính và port admin là đủ.
2. Sử dụng Nginx repo thay vì compile từ source như những script khác giúp việc cài đặt Nginx nhanh hơn, sau này có nâng cấp cũng dễ dàng hơn rất nhiều.
3. Thay thế MySQL bằng MariaDB cho kịp xu hướng (đây là phiên bản cải tiến từ MySQL, hoạt động tương tự nhưng cho hiệu suất cao hơn MySQL; ngoài ra phiên bản mới nhất CentOS 7 chính thức đã hỗ trợ MariaDB).
4. Tương thích với cả CentOS 6 và 7, cả 32bit lẫn 64bit chơi hết.
5. Tùy chọn sử dụng cài đặt phiên bản PHP 7.1 (mới nhất), PHP 7.0, PHP 5.6.
6. Có trình quản lý File Manager eXtplorer trực tiếp ngay trên web.
7. Tự động cài đặt module Zend Opcache và có thể theo dõi status ngay trên web.
8. Sử dụng được với cả domain www và non-www, tự động redirect giúp bạn.
9. Update tự động cho Nginx, PHP, MariaDB.
10. Theo dõi tình trạng server ngay trên web, có thể sử dụng mobile truy cập mọi nơi.
11. Thay đổi port SSH mặc định từ 22 sang 2222 hạn chế SSH Brute Force Attack, kèm theo Fail2ban block IP ngay nếu phát hiện login sai 3 lần (áp dụng cả SSH và HocVPS Script Admin).
12. Toàn bộ thông tin quản lý sẽ được lưu trong file text ở /root/hocvps-script.txt
13. Tham khảo thêm tính năng mới trong Changelog.

Yêu cầu hệ thống:

1. RAM: tối thiểu 512MB
2. Nên tạo swap trước khi cài (nếu sử dụng ổ cứng SSD hoặc RAID10)

Trước khi tiến hành cài đặt, bạn cần nắm một số kiến thức căn bản trong bài Bắt đầu, chủ yếu là cách sử dụng ZOC Terminal kết nối SSH.

2.1 Tiến hành cài đặt HocVPS Script

Đầu tiên các bạn cần chuẩn bị một VPS mới tinh bằng cách Reinstall hoặc Rebuild, sử dụng CentOS 6 hoặc 7, bản 32bit hoặc 64bit đều được. Nên sử dụng bản CentOS 7 64bit với PHP 7.1

Kết nối SSH sử dụng ZOC Terminal hoặc Putty với tài khoản root. Nếu tài khoản không có quyền root cần cấp quyền bằng cách chạy lệnh sudo su.
Chạy lệnh sau để tiến hành cài đặt:

curl -sO https://hocvps.com/install && bash install

***Nếu muốn cài đặt luôn WordPress, hãy tham khảo script tự động cài đặt HocVPS Script và WordPress.

2.2 Chuẩn bị quá trình cài đặt

Trong bước này bạn cần lựa chọn:

1. Phiên bản PHP muốn sử dụng: nên dùng PHP 7.1, có hiệu suất gấp 3 lần so với phiên bản cũ 5.6.
2. Tên miền chính sử dụng với VPS, có thể nhập có www hoặc không có www tùy mục đích sử dụng, script sẽ tự động redirect giúp bạn.
3. Port admin quản lý server: là port bí mật (nằm trong khoảng 2000 – 9999, thay đổi được sau khi cài) dùng để:
   • Truy cập link quản trị, có dạng: http//domain.com:port/
   • Sử dụng phpMyAdmin, link dạng: http://domain.com:port/phpmyadmin/
   • Quản lý File Manager, link dạng: http://domain.com:port/filemanager/
   • Theo dõi tình trạng hệ thống, link dạng: http://domain.com:port/serverinfo/
   • Theo dõi tình trạng Zend Opcache, link dạng: http://domain.com:port/op.php

Sau đó, bạn cứ để cho script tự động thực hiện quá trình cài đặt, có thể mất từ 3 – 5 phút tùy cấu hình và network của VPS/Server.

Cuối cùng, nếu không có vấn đề gì xảy ra, bạn sẽ nhận được thông báo cài đặt thành công và thông tin quản lý VPS như bên dưới. Đồng thời, thông tin này cũng sẽ được lưu trong file text có đường dẫn /root/hocvps-script.txt để bạn xem lại sau này.

Vậy là server sẵn sàng để bạn sử dụng rồi đấy.

2.3  Sử dụng HocVPS Script

Sau khi cài đặt xong HocVPS Script, bạn có thể sử dụng sFTP để quản lý File, upload code lên thư mục /home/domain.com/public_html/ đồng thời trỏ tên miền về IP VPS và bắt đầu sử dụng.
Lưu ý: Sau khi upload source lên thư mục web, các bạn sử dụng hocvps menu 14 Phân Quyền Webserver để Nginx đọc được nội dung website.

Nếu muốn kết nối SSH bạn hãy sử dụng port 2222.

Trong quá trình sử dụng, đang ở bất kỳ chức năng nào bạn cũng có thể nhấn Ctrl + C sẽ thoát khỏi Script ngay lập tức.

2.4 Bảo mật an toàn tuyệt đối

Mình luôn đặt vấn đề bảo mật và sự đơn giản lên hàng đầu nên từ phiên bản HocVPS Script v1.6 sẽ bổ sung thêm một lớp bảo mật nữa khi truy cập các link có chứa port. Bạn có thể thay đổi password này cho dễ nhớ hơn khi truy cập link quản trị http://domain.com:port/.

Username mặc định cho tất cả các tool là admin, password tự động sinh ra sau khi cài đặt xong server. Nếu bạn nhập sai thông tin quá 3 lần, IP sẽ tự động bị block trong 1h. Nâng thêm thời gian theo hướng dẫn này.

Bước 3. Tường lửa Fail2Ban (bước này bạn tham khảo thôi vì ở bước 2 đã tự động cài rồi)

Tham khảo hướng dẫn cấu hình tường lửa tại https://hocvps.com/cai-dat-fail2ban-tren-centos/

Để kết nối với VPS chúng ta thường sử dụng port 22. Đây chính là lỗ hổng chết người các hacker có thể sử dụng để dò tìm password đăng nhập vào VPS của bạn.

Một biện pháp hạn chế việc này đó là thay đổi port SSH từ 22 sang một port khác (HocVPS Script đã tự động đổi sang port 2222 khi cài đặt). Tuy nhiên, việc này chỉ hạn chế một chút thôi vì nếu muốn, hacker có thể scan open port để biết được bạn đang sử dụng port nào để tấn công tiếp.

Giải pháp để chúng ta chấm dứt vấn đề này đó là sử dụng một công cụ tự động block IP khi VPS bị tấn công, đó là Fail2Ban. Hôm nay, mình sẽ giới thiệu cách hướng dẫn và cài đặt trong bài này.

Fail2Ban là một ứng dụng chạy nền theo dõi log file để phát hiện những địa chỉ IP đăng nhập sai password SSH nhiều lần. Sau đó, Fail2Ban sử dụng iptable firewall rules để block ngay địa chỉ IP với một khoảng thời gian định trước.

3.1 Cài đặt Fail2Ban

Chúng ta sẽ cài đặt Fail2Ban thông qua Repo EPEL

yum install epel-release
yum install fail2ban

3.2 Cấu hình Fail2Ban

Sau khi cài đặt xong, bạn mở file cấu hình của Fail2Ban lên sẽ thấy một số thông số như sau:

nano /etc/fail2ban/jail.conf

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1

# "bantime" is the number of seconds that a host is banned.
bantime = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

Trong đó

• ignoreip: không block những địa chỉ này, thường địa chỉ IP ở VN là địa chỉ động, nên chúng ta không sử dụng được option này.
• bantime: khoảng thời gian (giây) block IP
• findtime: khoảng thời gian (giây) một IP phải login thành công
• maxretry: số lần login false tối đa

Cấu hình mặc định của Fail2Ban khá là ổn rồi, chúng ta không cần thiết phải cập nhật mà đến bước tiếp theo.

3.3 Cấu hình Fail2Ban bảo vệ SSH

Tạo file cấu hình

nano /etc/fail2ban/jail.local

Và sử dụng nội dung sau:

[sshd]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]
logpath  = /var/log/secure
maxretry = 3
bantime = 3600

Trong đó

• enabled: kích hoạt bảo vệ, nếu muốn tắt bạn hãy chuyển thành false
• filter: giữ mặc định để sử dụng file cấu hình /etc/fail2ban/filter.d/sshd.conf
• action: fail2ban sẽ ban địa chỉ IP nếu match filter /etc/fail2ban/action.d/iptables.conf. Nếu bạn đã thay đổi port ssh, sửa đoạn port=ssh bằng port mới, ví dụ port=2222
• logpath: đường dẫn file log fail2ban sử dụng để theo dõi
• maxretry: số lần login false tối đa
• bantime: thời gian ban IP 3600 giây = 1 giờ, bạn có thể điều chỉnh lại nếu muốn

3.4 Khởi động Service Fail2Ban

chkconfig --level 23 fail2ban on
service fail2ban start

Cuối cùng check lại iptables xem đã có rule của Fail2Ban chưa:

iptables -L

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:EtherNet/IP-1

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

3.5 Theo dõi SSH login

– Bạn có thể sử dụng lệnh sau để biết được VPS/Server đã từng bị tấn công SSH chưa:

cat /var/log/secure | grep 'Failed password' | sort | uniq -c

Kết quả thường sẽ là như bên dưới, đã từng có rất nhiều đợt tấn công:

 1 Aug 19 14:18:42 vultr sshd[24424]: Failed password for root from 61.160.223.66 port 1283 ssh2
 1 Aug 19 14:18:45 vultr sshd[24424]: Failed password for root from 61.160.223.66 port 1283 ssh2
 1 Aug 19 14:18:47 vultr sshd[24424]: Failed password for root from 61.160.223.66 port 1283 ssh2
 1 Aug 19 14:18:57 vultr sshd[24426]: Failed password for root from 61.160.223.66 port 1388 ssh2
 1 Aug 19 14:18:59 vultr sshd[24426]: Failed password for root from 61.160.223.66 port 1388 ssh2
 1 Aug 19 14:19:02 vultr sshd[24426]: Failed password for root from 61.160.223.66 port 1388 ssh2
 1 Aug 19 14:19:03 vultr sshd[24426]: Failed password for root from 61.160.223.66 port 1388 ssh2
 1 Aug 19 14:19:05 vultr sshd[24426]: Failed password for root from 61.160.223.66 port 1388 ssh2
 1 Aug 19 14:19:08 vultr sshd[24485]: Failed password for root from 61.160.223.66 port 1536 ssh2
 1 Aug 19 14:19:10 vultr sshd[24485]: Failed password for root from 61.160.223.66 port 1536 ssh2
 1 Aug 19 14:19:12 vultr sshd[24485]: Failed password for root from 61.160.223.66 port 1536 ssh2
 1 Aug 19 14:19:14 vultr sshd[24485]: Failed password for root from 61.160.223.66 port 1536 ssh2
 1 Aug 19 14:19:16 vultr sshd[24485]: Failed password for root from 61.160.223.66 port 1536 ssh2
 1 Aug 19 14:19:29 vultr sshd[24490]: Failed password for root from 61.160.223.66 port 1629 ssh2
 1 Aug 19 14:19:31 vultr sshd[24490]: Failed password for root from 61.160.223.66 port 1629 ssh2
 1 Aug 19 14:19:34 vultr sshd[24490]: Failed password for root from 61.160.223.66 port 1629 ssh2
 1 Aug 19 14:19:36 vultr sshd[24490]: Failed password for root from 61.160.223.66 port 1629 ssh2
 1 Aug 19 14:19:38 vultr sshd[24490]: Failed password for root from 61.160.223.66 port 1629 ssh2

– Để xem IP đã bị banned bởi Fail2Ban bạn sử dụng lệnh:

fail2ban-client status sshd

Output trả về sẽ có dạng như thế này:

Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     3
|  `- File list:        /var/log/secure
`- Actions
   |- Currently banned: 1
   |- Total banned:     1
   `- Banned IP list:   103.207.68.41

– Để xóa IP khỏi danh sách banned, bạn sử dụng lệnh sau

fail2ban-client set sshd unbanip 103.207.68.41

Hi vọng với Fail2Ban, chúng ta sẽ không còn thấy thông báo login false mỗi lần login SSH nữa.

Mọi thông tin chi tiết, hãy tham khảo thêm trên trang chủ của Fail2Ban. Chúc bạn thành công.

Bước 4: cấu hình CHMOD

CHMOD là gì

• Change Mod – Chmod nghĩa là thiết lập quyền (xem, xóa …) trên file hay thư mục. Để phù hợp với cấu hình bảo mật, các bạn nên chmod theo chuẩn 644 với file, 755 với floder.
• Chmod chính là thao tác thay đổi các quyền sau:

–  “Read” (Đọc): viết tắt là “r”, và được biểu diễn bằng số 4
–  “Write” (Ghi / Chỉnh sửa): viết tắt là “w”, và được biểu diễn bằng số 2
–  “Execute” (Thực thi): viết tắt là “x”, và được biểu diễn bằng số 1

• Chmod cùng lúc thay đổi quyền hạn trên các file/thư mục với các đối tượng sau:

–   “Owner” – chủ sở hữu của file/thư mục
–   “Group” – Nhóm mà Owner là thành viên
–   “Public / Others/ Everybody”: những người còn lại

• Chmod 755 có nghĩa như sau :

Chmod = 755 cho các thư mục có nghĩa là:
7 = 4 + 2 + 1 : Người sở hữu thư mục có quyền đọc thư mục (read); chỉnh sửa thư mục (write); liệt kê các thư mục và file bên trong (execute)
5 = 4 + 0 + 1 : Những người cùng nhóm chỉ có quyền đọc thư mục (read); liệt kê các thư mục và file bên trong (execute)
5 = 4 + 0 + 1 : Những người còn lại chỉ có quyền đọc thư mục (read); liệt kê các thư mục và file bên trong (execute)

Nếu các bạn chỉ muốn chmod tất cả các folder 755 hay tất cả các file là 644, sau đây mình sẽ gửi các bạn lệnh chmod có thể thao tác rất dễ dàng

4.1. Lệnh chmod 755 cho tất cả các folder không bao gồm file:

#find ./ -type d -exec chmod 755 {} \; -print

4.2. Lệnh chmod 644 cho tất cả các file không bao gồm folder:

#find ./ -type f -exec chmod 644 {} \; -print

Bước 5: Quản trị VPS

Lưu trữ các thông số máy chủ bằng cách tạo một website Google Site và lưu hết thông số máy chủ vào đó. Cách này rất bảo mật và tiện lợi.

• Bảo mật vì chỉ có bạn mới là người xem được dữ liệu, thậm chí bạn mở xác thực 2 lớp trên tài khoản Google thì thánh cũng không thể hack được.
• Tiện lợi là vì bạn dễ dàng chia sẽ thông tin máy chủ cho các quản trị viên khác hay ai đó có trình độ lập trình cao để hỗ trợ bạn giải cứu dữ liệu chẳng hạn. Tin Quân đi bạn không nhớ nổi cả đống mật khẩu và IP của máy chủ đâu.

Chúc mừng bạn, giờ bạn đã có một máy chủ ảo và muốn cài bao nhiêu website WordPress cũng được. Ta qua phần tiếp theo, tạo website wordpress, bạn làm theo hướng dẫn trong clip sau:

Bước 6: Tạo website WordPress

Mục lục bài giảng