VPS Linux đầu tiên thường là nơi người mới mắc nhiều lỗi nhất: cấu hình bảo mật sơ sài, mở port thừa, dùng root trực tiếp, không theo dõi log. Bài này là checklist chi tiết để bạn dựng VPS an toàn, gọn và dễ vận hành ngay từ đầu.
1) Chuẩn bị trước khi cấu hình
- IP public, user root ban đầu do nhà cung cấp cấp.
- SSH key đã tạo trên máy local.
- Domain + DNS nếu muốn trỏ web.
- Kế hoạch dùng VPS cho web/API/lab.
2) Hardening SSH ngay sau login
adduser deployer
usermod -aG sudo deployer
mkdir -p /home/deployer/.ssh
nano /home/deployer/.ssh/authorized_keys
chown -R deployer:deployer /home/deployer/.ssh
chmod 700 /home/deployer/.ssh
chmod 600 /home/deployer/.ssh/authorized_keysSau đó sửa /etc/ssh/sshd_config: tắt root login, tắt password auth, chỉ cho login bằng key rồi restart SSH.
3) Cập nhật hệ thống và cài tool nền
sudo apt update && sudo apt upgrade -y
sudo apt install ufw fail2ban htop curl git unzip -y4) Cấu hình firewall UFW chuẩn cơ bản
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow OpenSSH
sudo ufw allow 80
sudo ufw allow 443
sudo ufw enable
sudo ufw status verbose5) Cài web server test và kiểm tra service
sudo apt install nginx -y
sudo systemctl enable --now nginx
echo "Hello from my VPS" | sudo tee /var/www/html/index.html
curl -I http://127.0.0.1
systemctl status nginx6) Thiết lập giám sát tối thiểu
- Disk usage:
df -h - CPU/RAM:
htop - Failed login:
journalctl -u ssh -n 200 - Nginx errors:
journalctl -u nginx -n 100
7) Backup và khôi phục cơ bản
- Backup file cấu hình (
/etc/nginx,/etc/ssh). - Snapshot VPS định kỳ (nếu provider hỗ trợ).
- Thử restore 1 lần để chắc chắn backup usable.
Bảo mật thật sự không nằm ở “cài nhiều tool”, mà ở việc cấu hình đúng và kiểm tra định kỳ.