Cấu hình Thương hiệu (White Label Core) & Bảo mật Đăng nhập
1. Bối cảnh & Điểm hạn chế
- Nhận diện thương hiệu gốc: Doanh nghiệp muốn cá nhân hóa bảng điều khiển thành của riêng mình (ví dụ: FlexiPanel) nhưng logo CyberPanel và các liên kết tài liệu xuất hiện cố định trên thanh điều hướng, thanh bên và trang đăng nhập.
- Rủi ro dò quét mật khẩu và rò rỉ thông tin: Trang đăng nhập quản trị mặc định luôn nằm ở
/loginSystemhoặc/và không có cơ chế xác thực hai lớp bắt buộc ban đầu. Nếu quản trị viên bị tấn công dò quét mật khẩu hoặc lộ thông tin đăng nhập, toàn bộ máy chủ VPS sẽ bị chiếm quyền kiểm soát. - Sự cố lệch giờ xác thực hai lớp thông thường: Các ứng dụng xác thực (như Google Authenticator) yêu cầu thời gian trên máy chủ và điện thoại khớp tuyệt đối. Khi VPS bị lệch giờ do lỗi đồng bộ, quản trị viên sẽ bị khóa vĩnh viễn và không thể đăng nhập.
2. Giải pháp tích hợp
White Label Core giải quyết các vấn đề này thông qua hai tính năng chính hoạt động độc lập với mã nguồn lõi CyberPanel:
A. Tái cấu trúc Thương hiệu
Được quản lý tập trung qua file cấu hình white_label_config.json. Bộ lọc trung gian sẽ thay thế động các tài nguyên giao diện HTML trước khi gửi phản hồi về trình duyệt:
- Thay thế Logo đăng nhập, Logo quản trị góc trên bên trái, và Favicon của bảng điều khiển.
- Đổi tên thương hiệu và khẩu hiệu trên toàn bộ tiêu đề trang (
<title>). - Nhúng mã CSS tùy chỉnh trực tiếp vào thẻ
<head>để tùy biến giao diện mở rộng.
B. Bảo mật Đăng nhập 3 Phương thức
Hệ thống cung cấp cơ chế bảo mật xác thực động hai lớp sử dụng thuật toán tính toán mã động hàng ngày độc lập với giờ hệ thống tuyệt đối:
$$\text{Mã bảo mật trong ngày} = \text{Tiền tố} + \text{SUM(Ngày + Tháng + Năm)} + \text{Hậu tố}$$
Ví dụ: Với ngày hôm nay 05/07/2026, Tiền tố là MT và Hậu tố là Utilities:
$$\text{Tổng} = 5 + 7 + 2026 = 2038 \rightarrow \text{Mã bảo mật: } \mathbf{MT2038Utilities}$$
Hỗ trợ 3 phương thức kích hoạt linh hoạt, có thể cấu hình để chỉ áp dụng cho các nhóm người dùng được chỉ định (như Admin, Reseller, User):
- Mã bảo mật trên giao diện: Nhúng thêm ô nhập mã trực tiếp vào biểu mẫu đăng nhập. Để tối ưu trải nghiệm, ô nhập này sẽ tự động ẩn đi mặc định và chỉ tự động hiển thị ra khi người dùng nhập đúng tên tài khoản thuộc nhóm người dùng được chỉ định áp dụng bảo mật đăng nhập (thông qua cơ chế kiểm tra bất đồng bộ thời gian thực).
- Ghép mã bảo mật vào mật khẩu: Thao tác không thay đổi giao diện. Người dùng thuộc nhóm được chỉ định tự ghép mã bảo mật vào cuối mật khẩu khi đăng nhập (ví dụ:
matkhauMT2038Utilities). Bộ lọc trung gian sẽ tự bóc tách mã ra để xác thực trước khi gửi mật khẩu sạch sang cho CyberPanel kiểm tra. Các nhóm khác không bị ảnh hưởng. - Ẩn trang đăng nhập qua URL: Trả về lỗi 404 cho bất kỳ ai truy cập đường dẫn đăng nhập gốc. Chỉ khi truy cập thông qua đường dẫn chứa mã liên kết hợp lệ (ví dụ:
/?code=MT2038Utilities), trang đăng nhập mới xuất hiện và lưu cookie tin cậy 30 ngày cho thiết bị đó.
3. Khả năng Bảo mật & Giá trị Tiện ích mang lại
Khả năng Bảo mật vượt trội:
- Triệt tiêu 99.9% nguy cơ Brute-force: Bằng việc yêu cầu mã động thay đổi mỗi 24 giờ, các cuộc tấn công dò quét tự động từ các botnet trên Internet hoàn toàn bị vô hiệu hóa vì mã bảo mật đổi mới liên tục theo ngày.
- Ẩn hoàn toàn bề mặt tấn công (URL Token): Biến cổng đăng nhập quản trị thành vô hình đối với hacker. Các công cụ quét lỗ hổng quét cổng hệ thống sẽ chỉ nhận diện trang đăng nhập là lỗi 404 (Không tìm thấy trang).
- Định danh chính xác nhóm cần bảo vệ: Cho phép giới hạn kiểm tra nghiêm ngặt chỉ với nhóm quản trị cấp cao (Admin/Reseller), ngăn chặn xâm nhập tài khoản hệ thống mà không gây phiền hà hay làm gián đoạn trải nghiệm đăng nhập của khách hàng thông thường.
Giá trị Tiện ích & Vận hành:
- Không phụ thuộc thiết bị vật lý: Không cần cài đặt phần mềm Authenticator bên thứ ba (như Google/Microsoft Authenticator). Điều này tránh rủi ro mất thiết bị di động, hỏng phần mềm hoặc lỗi đồng bộ múi giờ máy chủ NTP thường gặp.
- Cơ chế tính nhẩm nhanh: Công thức dựa trên phép toán cộng ngày tháng năm đơn giản giúp chủ máy chủ có thể dễ dàng tự tính toán mã đăng nhập ở bất cứ đâu mà không cần thiết bị phụ trợ.
4. Cứu hộ khẩn cấp
Nếu quản trị viên quên cấu hình hoặc gặp sự cố tính toán mã, có thể bỏ qua bảo mật bằng cách truy cập SSH vào VPS và tạo tệp tin ghi đè:
touch /usr/local/CyberCP/whiteLabel_data/disable_login_security
Hệ thống sẽ ngay lập tức bỏ qua lớp bảo mật xác thực này.