Bạn thường xuyên cài đặt nhiều ứng dụng khác nhau trên máy tính Linux của mình? Bạn có lo lắng rằng một trong số chúng có thể chứa virus hoặc mã độc, gây nguy hiểm cho dữ liệu cá nhân? Mặc dù Linux được đánh giá là một hệ điều hành có độ bảo mật cao, nhưng nó không hoàn toàn miễn nhiễm với virus và các mối đe dọa trực tuyến. Điều này đặc biệt đúng với những người dùng thường xuyên cài đặt và thử nghiệm nhiều ứng dụng và phần mềm, như chúng tôi tại Trí Thức Công Nghệ.
Rủi ro bảo mật của chúng tôi cao hơn vì có thể vô tình cài đặt phần mềm với quyền sudo, dẫn đến việc hệ thống bị xâm phạm. May mắn thay, với gần một thập kỷ kinh nghiệm trong việc thử nghiệm phần mềm mới, chúng tôi đã phát triển một hệ thống các thực hành để giữ cho PC Linux luôn siêu an toàn và sạch bóng virus. Dưới đây là 5 bí quyết bảo mật quan trọng mà chúng tôi luôn tuân thủ.
Hình ảnh logo Tails Linux màu xanh với các biểu tượng khóa và bảo mật, minh họa sự tập trung vào quyền riêng tư trên Linux.
1. Giám sát Hoạt Động Mạng của Ứng Dụng
Một trong những mối lo ngại lớn nhất về bảo mật của chúng tôi là nguy cơ dữ liệu bị đánh cắp khỏi hệ thống. Với tư cách là một chuyên gia công nghệ, chúng tôi liên tục cài đặt nhiều ứng dụng và công cụ khác nhau trên PC và sẽ rất tệ nếu một trong số chúng có ý đồ xấu và quyết định “gọi về nhà” những dữ liệu nhạy cảm từ hệ thống của mình.
Để bảo vệ bản thân khỏi những sự cố này, chúng tôi sử dụng Portmaster của Safing. Đây là một trình giám sát hoạt động mạng và tường lửa ứng dụng miễn phí và mã nguồn mở (FOSS). Chúng tôi có thể sử dụng nó để kiểm tra ứng dụng nào hiện đang truy cập internet, chúng đang kết nối với máy chủ nào, cũng như lượng dữ liệu mà chúng đang tải lên và tải xuống. Chúng tôi cũng có thể chặn hoàn toàn một ứng dụng truy cập internet.
Trên Ubuntu và các bản phân phối dựa trên Ubuntu, bạn sẽ cần tải xuống Portmaster dưới dạng tệp DEB và sau đó cài đặt.
Ví dụ, hãy xem xét một ứng dụng máy tính đơn giản mà chúng tôi đã tải xuống. Portmaster có thể cho chúng tôi biết liệu nó có đang kết nối internet hay không – điều này khá lạ! Nhưng đồng thời, nó cũng có thể cho chúng tôi biết liệu nó có đang tải dữ liệu lên hay không – điều này đáng lo ngại, so với việc tải dữ liệu xuống – điều này có thể hiểu được, đặc biệt đối với các tác vụ chuyển đổi tiền tệ! Vì vậy, mặc dù một ứng dụng máy tính truy cập internet là điều đáng lo ngại, Portmaster giúp chúng tôi hiểu nó đang làm gì và đưa ra quyết định sáng suốt thay vì quá hoang mang.
Tất nhiên, bạn có thể sử dụng terminal để kiểm soát ứng dụng ở cấp độ mạng, nhưng Portmaster giúp việc đó dễ dàng hơn thông qua một giao diện đồ họa hiện đại và trực quan.
Ngoài Portmaster, chúng tôi cũng sử dụng các widget trên thanh tác vụ để liên tục theo dõi tổng lưu lượng mạng. Chúng tôi cá nhân sử dụng môi trường desktop KDE Plasma và widget Network Monitor. Nhưng nếu bạn dùng GNOME, bạn có thể sử dụng tiện ích mở rộng Vitals GNOME và có được chức năng tương tự.
Giao diện tiện ích mở rộng GNOME Vitals hiển thị chi tiết hoạt động mạng, tốc độ tải lên và tải xuống, giúp người dùng giám sát lưu lượng truy cập trên Linux.
Ý tưởng ở đây là có cái nhìn nhanh về lưu lượng mạng hiện tại. Chúng tôi thường có một ý tưởng về hoạt động mạng bình thường trông như thế nào—tải xuống tăng đột biến khi duyệt web, tải lên tăng đột biến khi tải dữ liệu. Nếu chúng tôi nhận thấy hoạt động mạng đáng kể khi hệ thống nhàn rỗi hoặc chỉ đang gõ văn bản trong một trình soạn thảo, chúng tôi sẽ ngay lập tức biết có điều gì đó không ổn và đã đến lúc truy cập Portmaster để tìm ra vấn đề.
2. Kiểm Tra Kỹ Lưỡng Ứng Dụng Trước Khi Cài Đặt
Mặc dù một trình giám sát mạng có thể giúp bạn kiểm tra xem ứng dụng có đang đánh cắp dữ liệu khỏi hệ thống hay không, nhưng nó không thể bảo vệ bạn khỏi việc cài đặt một ứng dụng độc hại ngay từ đầu. Đây là lý do tại sao chúng tôi ưu tiên tải xuống ứng dụng từ kho phần mềm chính thức (repo) của bản phân phối. Các gói này được kiểm duyệt bởi những người duy trì bản phân phối và sau đó được cung cấp cho bạn. Do đó, nếu bạn tin tưởng bản phân phối của mình, không có lý do gì để nghi ngờ các ứng dụng mà nó đang phân phối.
Tuy nhiên, không phải tất cả các ứng dụng đều có sẵn trong các kho chính thức. Đây là lúc chúng tôi tìm kiếm các tùy chọn được đóng gói dưới dạng container như Flatpak. Các ứng dụng này chạy trong một môi trường sandbox, khiến chúng nhìn chung an toàn để sử dụng, nhưng đừng tin tưởng chúng một cách mù quáng. Một số ứng dụng yêu cầu quyền truy cập hệ thống rộng rãi, có thể gây ra rủi ro bảo mật. Do đó, hãy luôn kiểm tra các quyền của ứng dụng trước khi cài đặt, xem liệu chúng có thực sự cần thiết hay không, và sau đó nhấn nút Cài đặt. Đối với Flatpaks, bạn thường có thể kiểm tra trang web Flathub để xem xếp hạng bảo mật của nó.
Mô tả một ứng dụng trên Flathub bị cảnh báo có thể không an toàn do yêu cầu các quyền truy cập hệ thống rộng rãi và không cần thiết, nhấn mạnh tầm quan trọng của việc kiểm tra quyền.
Đôi khi chúng tôi cũng cần tải xuống từ các kho của bên thứ ba như PPA (Personal Package Archives) và AUR (Arch User Repository). Ở đây, chúng tôi tuân theo một quy tắc đơn giản: “Phổ biến đồng nghĩa với sự giám sát”. Nếu hàng nghìn người dùng cài đặt một ứng dụng từ AUR, có rất nhiều người theo dõi nó để kiểm tra mã độc tiềm ẩn. Tuy nhiên, nếu bạn không biết về mức độ phổ biến của ứng dụng, bạn có thể tìm kiếm nó trên Reddit hoặc diễn đàn chính thức của bản phân phối của mình và kiểm tra xem những người khác nói gì.
Phần khó khăn là khi bạn cần cài đặt một số script hoặc công cụ ngẫu nhiên, ví dụ như các widget desktop hoặc chủ đề tùy chỉnh từ GitHub. Đây là lúc chúng tôi kiểm tra có bao nhiêu người đang theo dõi dự án và bao nhiêu “star” mà nó có. Thông thường, một con số hàng nghìn hoặc hàng trăm là đủ để tạo cho chúng tôi sự tự tin, vì hầu hết những người này là các nhà phát triển đang xem xét mã chứ không phải người dùng thông thường.
Hình ảnh điện thoại thông minh hiển thị logo GitHub, bao quanh là các biểu tượng tải xuống, tượng trưng cho việc tìm kiếm và tải phần mềm mã nguồn mở từ GitHub để bảo vệ máy tính Linux.
Nếu đó là một script nhỏ với vài trăm dòng mã, bạn có thể tự mình thực hiện kiểm tra bảo mật. Bạn có thể sử dụng Gemini 2.5 Pro (được biết đến là tốt trong việc lập trình) để kiểm tra ứng dụng cho bạn. Đơn giản chỉ cần mở trang GitHub cho script, và trong URL, thay đổi github thành uithub. Điều này sẽ hiển thị cho bạn cấu trúc kho lưu trữ và ngữ cảnh mã đầy đủ mà bạn có thể sao chép và dán vào Gemini 2.5 Pro và yêu cầu nó kiểm tra. Ví dụ, URL này:
https://github.com/vinceliuice/Mojave-gtk-themeTrở thành:
https://uithub.com/vinceliuice/Mojave-gtk-themeAI và các mô hình ngôn ngữ lớn (LLM) vẫn có thể mắc lỗi và “ảo giác”. Do đó, đừng mù quáng tin tưởng vào những gì AI nói với bạn về mã. Nếu nó gắn cờ điều gì đó, hãy tham khảo ý kiến chuyên gia về nó trước khi quyết định làm gì.
3. Kiểm Tra Định Kỳ Ứng Dụng Đã Cài Đặt
Đây là một cái bẫy mà chúng tôi đã từng mắc phải: cho rằng phần mềm đã từng an toàn sẽ mãi mãi an toàn. Chúng tôi là một fan hâm mộ lớn của ứng dụng giám sát hệ thống Stacer. Nó đi kèm với một giao diện người dùng đẹp mắt và hiện đại, cung cấp các thống kê hệ thống toàn diện. Tuy nhiên, cho đến gần đây, chúng tôi không biết rằng ứng dụng đã chính thức ở trạng thái bị “bỏ rơi” trong hai năm qua.
Thông báo cảnh báo hiển thị trên màn hình, cho biết ứng dụng Stacer đã bị bỏ rơi và không còn được hỗ trợ, minh họa nguy cơ của phần mềm không được cập nhật bảo mật.
Điều này quan trọng bởi vì phần mềm bị bỏ rơi không nhận được các bản vá bảo mật. Nếu ai đó phát hiện ra một lỗ hổng vào ngày mai, sẽ không có nhà phát triển nào để sửa chữa nó. Chúng tôi miễn cưỡng gỡ bỏ Stacer khỏi hệ thống của mình mặc dù nó vẫn hoạt động hoàn hảo.
Bây giờ, nếu bạn không muốn mắc phải sai lầm tương tự như chúng tôi, hãy cân nhắc thiết lập Google Alerts cho mọi ứng dụng bạn sử dụng. Bằng cách này, bất cứ khi nào có tin tức về các ứng dụng đó – cho dù đó là các bản cập nhật mới hay các lỗ hổng bảo mật – bạn sẽ biết ngay lập tức, và sau đó bạn có thể nhanh chóng tải xuống bản vá bảo mật mà các nhà phát triển có thể đã phát hành hoặc gỡ cài đặt ứng dụng cho đến khi họ làm như vậy.
Đây là lý do tại sao hầu hết các chuyên gia bảo mật khuyến khích giữ lại một vài ứng dụng thiết yếu và gỡ cài đặt những ứng dụng bạn không còn sử dụng. Mỗi ứng dụng mở rộng bề mặt tấn công của bạn và việc quản lý quá mức mọi thứ có thể trở thành một công việc lớn.
Hình ảnh điện thoại thông minh hiển thị thông báo cập nhật phần mềm hoặc vá lỗi bảo mật, minh họa tầm quan trọng của việc cập nhật ứng dụng thường xuyên để giữ an toàn cho hệ thống.
4. Kích Hoạt Xác Thực Hai Yếu Tố (2FA) Cho Máy Tính Để Bàn
Mẹo bảo mật này không được biết đến rộng rãi, nhưng bạn thực sự có thể bật xác thực hai yếu tố trên hệ thống Linux của mình, tương tự như cách bạn bảo mật các tài khoản trực tuyến. Chúng tôi đã triển khai điều này vì chúng tôi có một vấn đề thực tế – mật khẩu chúng tôi sử dụng cho tài khoản người dùng không đặc biệt mạnh. Vì phải gõ nó thường xuyên, chúng tôi sử dụng các cụm từ dễ nhớ thay vì các chuỗi ký tự dài, phức tạp gồm 64 ký tự.
Bây giờ, bằng cách thiết lập 2FA cho bản phân phối của mình, chúng tôi đã thêm một lớp bảo mật bổ sung để bù đắp cho mật khẩu yếu mà không làm cho việc ghi nhớ trở nên bất khả thi. Bằng cách này, ngay cả khi ai đó đoán được mật khẩu của chúng tôi, họ vẫn không thể truy cập hệ thống của chúng tôi nếu không có thiết bị vật lý tạo ra mã xác thực.
Tuy nhiên, việc nhập mã xác minh mỗi khi bạn đăng nhập hoặc sử dụng sudo trong terminal có thể hơi bất tiện, vì vậy chúng tôi không khuyến nghị điều này cho tất cả mọi người. Trên thực tế, hầu hết các mẹo bảo mật mà bạn cố gắng áp dụng đều phải trả giá bằng sự tiện lợi tổng thể, và chúng tôi cá nhân đã quyết định rằng chúng tôi chấp nhận điều này.
5. Thực Hiện Sao Lưu Hệ Thống Định Kỳ
Trong khi một số cuộc tấn công nhằm mục đích đánh cắp dữ liệu của bạn, những cuộc tấn công khác muốn phá hủy nó hoặc giữ nó làm con tin thông qua ransomware. Biện pháp phòng thủ tốt nhất của bạn chống lại ransomware là một chiến lược sao lưu vững chắc. Chúng tôi duy trì một hệ thống sao lưu tự động thường xuyên sao chép các tệp thiết yếu của mình lên đám mây. Nếu bạn không muốn lưu nó trên đám mây, bạn cũng có thể lưu nó vào một ổ đĩa ngoài hoặc một Hệ thống lưu trữ đính kèm mạng (NAS).
Biểu đồ hoặc hình ảnh minh họa cách ransomware tấn công hệ thống và tầm quan trọng của việc sao lưu dữ liệu để chống lại các cuộc tấn công mã độc tống tiền.
Một điểm mấu chốt là không giữ bản sao lưu hệ thống của bạn trên chính hệ thống đó. Điều này đảm bảo rằng nếu hệ thống chính của chúng tôi bị xâm phạm, các bản sao lưu của chúng tôi vẫn an toàn. Chúng tôi đã thấy quá nhiều người giữ bản sao lưu của họ trên cùng một hệ thống mà họ đang sao lưu. Điều này hoàn toàn bỏ qua mục đích – nếu hệ thống của bạn bị xâm phạm hoặc gặp sự cố, những bản sao lưu đó cũng sẽ bị mất.
Và đó là 5 điều hàng đầu mà chúng tôi làm để giữ cho PC Linux của mình an toàn khỏi virus, hack và các mối đe dọa bảo mật. Bạn hoàn toàn có thể áp dụng bất kỳ biện pháp bảo mật nào trong số này vào quy trình làm việc của riêng mình. Tuy nhiên, nếu bạn muốn có những mẹo và thủ thuật thực sự cần thiết, hãy tìm hiểu thêm hướng dẫn của chúng tôi về bảo mật hệ thống Ubuntu cơ bản dành cho người mới bắt đầu.