Tham khảo cài Debian tại đây: Hướng dẫn cài Debian bằng USB từ đầu để làm máy chủ
1. Vì sao phải “chuẩn hóa” Debian 12 trước khi triển khai Reverse Proxy?
Debian 12 khi vừa cài xong là một hệ điều hành đa mục đích (general-purpose).
Trong khi đó, Reverse Proxy là một máy chủ chuyên dụng, có đặc thù rất rõ:
Hoạt động 24/7, rất ít downtime.
Xử lý số lượng lớn kết nối đồng thời.
Là điểm vào duy nhất của toàn bộ hệ thống web.
Khi lỗi, ảnh hưởng diện rộng.
Vì vậy, Debian 12 không thể giữ nguyên trạng thái mặc định như máy trạm hay server thử nghiệm.
Cần chuẩn hóa để:
Hệ thống gọn, dễ kiểm soát.
Hạn chế tối đa rủi ro bảo mật.
Phù hợp vận hành lâu dài, dễ bảo trì.
Nguyên tắc xuyên suốt:
Reverse Proxy chỉ làm đúng một việc: nhận – chuyển – trả traffic web.
2. Định danh hệ thống (hostname, vai trò)
2.1. Đặt hostname rõ ràng
Hostname nên phản ánh vai trò, không phản ánh tên dự án hay website.
Ví dụ khuyến nghị:
rp01reverse-proxyedge-proxy
Mình dùng
rpx
Không nên:
Đặt hostname theo tên website.
Đặt hostname mơ hồ như
server1,linux01.
Mình dùng
qps.vn
Thiết lập:
Kiểm tra:
2.2. Ghi chú vai trò trong hệ thống
Nên ghi chú rõ vai trò máy chủ trong /etc/motd hoặc tài liệu nội bộ:
Ví dụ:
Điều này đặc biệt quan trọng khi:
Có nhiều người cùng quản trị.
Hệ thống vận hành dài hạn.
3. Cập nhật và chuẩn hóa hệ thống cơ bản
3.1. Cập nhật hệ điều hành
Ngay sau khi cài đặt:
Mục tiêu:
Vá lỗi bảo mật.
Đồng bộ kernel và thư viện.
3.2. Gói phần mềm tối thiểu cần có
Reverse Proxy không cần cài nhiều dịch vụ.
Chỉ cài những gói phục vụ vận hành và quản trị:
Không cài:
Database
PHP runtime
Docker (trừ khi có chủ đích riêng)
Desktop environment
4. Chuẩn hóa thời gian và locale
4.1. Timezone
Đặt timezone đúng để:
Log chính xác.
Dễ phân tích sự cố.
4.2. Đồng bộ thời gian (NTP)
Kiểm tra:
Debian 12 mặc định dùng systemd-timesyncd, đủ cho Reverse Proxy.
Không cần cài thêm NTP server riêng.
5. Người dùng và quyền truy cập
5.1. Không làm việc trực tiếp bằng root
Nguyên tắc:
Root chỉ dùng khi cần.
Quản trị hàng ngày qua user có sudo.
Tạo user quản trị:
Kiểm tra:
5.2. SSH theo hướng an toàn
Khuyến nghị:
Dùng key-based authentication.
Hạn chế SSH từ Internet nếu có thể.
Các bước tối thiểu:
Không mở thêm port SSH lung tung.
Ghi nhớ: Reverse Proxy là điểm lộ Internet.
(Chi tiết SSH hardening sẽ được trình bày ở phần bảo mật.)
Tham khảo 8. Thiết lập SSH an toàn (port, key, user, sudo)
6. Tối ưu cơ bản cho hệ thống mạng
Reverse Proxy xử lý rất nhiều kết nối TCP, vì vậy cần chỉnh một số tham số cơ bản.
Tạo file:
Nội dung đề xuất:
Áp dụng:
Mục tiêu:
Tăng khả năng chịu tải kết nối.
Giảm nguy cơ cạn port.
7. Kiểm soát dịch vụ khởi động cùng hệ thống
Reverse Proxy cần:
Ít dịch vụ chạy nền.
Không có dịch vụ không rõ mục đích.
Kiểm tra:
Nguyên tắc:
Chỉ bật những gì cần thiết.
Không “cài rồi để đó”.
8. Chuẩn hóa tư duy: Reverse Proxy KHÔNG làm gì?
Rất quan trọng để xác định rõ những việc Reverse Proxy không làm:
Không chạy website.
Không chạy PHP, Node.js, Python app.
Không lưu dữ liệu nghiệp vụ.
Không làm server AI.
Không làm database.
Tất cả các chức năng này thuộc về backend.
Việc giữ Reverse Proxy “sạch” giúp:
Dễ backup.
Dễ thay thế phần cứng.
Dễ khôi phục khi sự cố.
Kết luận
Chuẩn hóa Debian 12 cho Reverse Proxy không phải là tối ưu cực đoan, mà là:
Loại bỏ những thứ không cần thiết.
Giữ hệ thống gọn, rõ vai trò.
Chuẩn bị nền tảng ổn định cho Nginx và các dịch vụ phía trên.
Sau khi hoàn thành Bài 4, hệ thống Debian 12 đã:
Sẵn sàng cho cấu hình mạng chi tiết.
Sẵn sàng cài đặt Reverse Proxy thực thụ.
- Đăng nhập để gửi ý kiến
