Professional Documents
Culture Documents
.An Toan & Baomat Tren Linux PDF
.An Toan & Baomat Tren Linux PDF
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 1
Gi
ớit
hiệu
Ngày nay,t rên mạng I nternetkỳ di ệu,ngườit a đang t hực hiện
hàngt ỷđôl agiaodị ch mỗingày(t r
ên dưới2 ngàn t ỷUSD mỗinăm) .
Mộtkhốil ượnghànghoávàt i
ềnbạckhổngl ồđangđượct ỷt ỷcácđi ện
tửt íhon chuyển đivànót hựcsự l àmi ếng mồibéobởchonhững t ay
ăn t rộm hay khủng bố có có “t rithức” . Sự phátt ri
ển nhanh chóng
củamạngmáyt ínhl àđi ềut ấtyếu.Hàngngàycókhôngbi ếtbaonhi êu
ngườit ham gi a vào hệ t hống t hông tint oàn cầu mà chúng t a gọilà
Internet .Những công t ylớn,các doanh nghi ệp,các t rường đạihọc
cùng như cáct rường phổ t hông ngày càng t ăng và hơn cả thế có rất
rấtnhi ều ngườiđang nốimạng t rựctuyến suốt24/ 24 giờ mỗingày,
bảyngàyt rongt uần.Tr ongbốicảnhmộtl i
ênmạngt oàncầuvớihàng
chụct r
iệungườisử dụngnhư I nternett hìvấnđềant oànt hôngt intrở
nên phứct ạp vàcấp t hiếthơn.Dođómộtcâu hỏikhông mấydễchị u
đặtr al à:liệumạngmáyt í
nhcủachúngt asẽphảibịt ấncôngbấtcứ
lúc nào?
Sự bảovệcủabấtkỳmạngmáyt ínhnàođầut i
êncũngl àfi
rewall
và phần mền nguồn mở như Li nux.Và câu chuyện về an t oàn mạng
không cóhồikếtt húc.Vi ệcgi ữ an toàn mộthệt hống kéot heochúng
taphảicónhưngki ếnt hứct ốtvềhệđi ềuhành,mạngTCP/ I
Pcơsởvà
quản t rịdịch vụ.Cùng vớisự gợiý của gi á vi
ên hướng dẫn và t ầm
quan t rọng của việcan t oàn thông t i
nl iên mạng,ở đây chúng t ôichỉ
trì
nhbàymộtcácht ổngquannhữngvùngnơiLi nuxcót hểvàcầnphải
đượcgi ữ an toàn,những t hêm vào đó l àcácl ệnh cơ bản,những ki nh
ngiệm t rongnguyênt ắcant oànvàbảovệhệt hốngmạng.
Nhóm si nhvi ênt hựchi ện:
- NguyễnHuyChương
- LêThịHuyềnTr ang
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 2
I. An t
oàn chocácgi
aodị
ch t
rên mạng
Nguyên t
ắcbảovệhệt
hống mạng
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 3
có chí
nh sách bảo vệ phàn cứng có t
ổ chứcnào.Ngườidùng chị
utr
ách nhi
ệm đảm
bảoant oànchomáyt ínhvàdữl i
ệucủar i
êngmình.
2. Môhì nhbảomật
Haimôhì nhbảomậtkhácnhauđãphátt riển,gi
úpbảovệant oàndữ l i
ệuvà
tàinguyênphầncứng:
x Bảo vệt àinguyên dùng chung bằng mậtmã:gắn mậtmã cho
từngtàinguyêndùngchung
x Truycập khiđượcsự chophép :l àchỉđị
nh mộtsốquyền nhất
định t
rên cơ sở ngườidùng,ki ểm tratr
uy nhập tàinguyên dùng chung căn cứ vào
CSDL user-access trên máy server
3. Nângcaomứcđộbảomật
x Kiểm toán:Theodõihoạtđộngt r
ênmạnht hôngquat àikhoản
ngườidùng,ghil ạinhiều dạng bi ến cố chọn lọcvào sổ nhậtký bảo mậtcủa máy
server.Giúp nhận bi
ếtcáchoạtđộng bấthợp l ệhoặckhông chủ đị nh.Cung cấp các
thôngt invềcáchdùngt rongt ì
nhhuốngcóphòngbannàođót hunphísử dụngmột
sốt àinguyên nhấtđịnh,vàcần quyếtđị nh phícủanhững t àinguyên nàyt heocách
thứcnàođó.
x Máyt ính không đĩ a:Không có ổ đĩa cứng và ổ mềm.Có t hểthi
hànhmọivi ệnhư máyt í
nht hôngt hường,ngoạit rừ việcl ưut rữ dữliệut r
ênđĩ acứng
hayđĩ amềm cụcbộ.Không cần đĩ akhởiđộng.Cókhả năng gi aot iếp vớiser vervà
đăng nhập nhờ vào mộtcon chi p ROM khởiđộng đặcbi ệtđượccàit r
ên card mạng.
Khibậtmáy t í
nh không đĩa,chi p ROM khởiđộng phátt ín hiệu cho serverbi ếtrằng
nó muốn khởiđộng.Ser vert rảl ờibằng cácn t ảiphần mềm khởiđộng vào RAM của
máyt í
nh không đĩavàt ự đọng hi ển thịmàn hì nh đăngnhập .Khiđómáyt ính được
kếtnốivớimạng.
x Mãhoádữ l iệu: Ngườit amãhoát hôngt insangdạngmậtmã
bằng mộtphương pháp nào đó sao cho đảm bảo t hông t i
n đó không t hể nhận bi ết
đượcnếu nơinhận không bi ếtcách gi ảimã.Mộtngườisử dụng haymộthostcót hể
sửdụngt hôngtinmàkhôngsợảnhhưởngđếnngườisửdụnghaymộthostkhác.
x Chốngvi rus:
- Ngănkhôngchovi r
ushoạtđộng
- Sữachữahưhạiởmộtmứcđộnàođó
- Chặnđứngvi russaukhinóbộcphát
Ngăn chặn tì
nh trạng t ruy cập bấthợp pháp l à mộtt rong những gi ảipháp
hiệu nhiệm nhấtđểt ránh vi
r us.Dobi ện phápchủ yếu l àphòngngừa,nên nhàquản
trịmạngphảibảođảm saochomọiyếut ốcầnt hi
ếtđềuđãsẵnsàng:
- Mậtmãđểgi ảm khảnăngt ruycậpbấthợppháp
- Chỉđị nhcácđặcquyềnt híchhợpchomọingườidùng
- Cácpr ofile để tổ chứcmôit rường mạng cho ngườidùng có
thểl ậpcấu hì nh vàduyt rìmôit rường đăngnhập,baogồm
các kếtnốimạng và những khoản mục chương t rình khi
ngườidùngđăngnhập.
- Mộtchí nhsáchquyếtđị nhcót hểt ảiphầnmềm nào.
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 4
Ki
ến t
rúcbảo mậtcủahệt
hống mạng
1) Cácmứcant
oànt
hôngt
int
rênmạng
1. Sựant oànvậtlý
Điều nàyl àcơbản vàgi ám sátđượct ốtkhí
acạnh an toàn củahệđiều hành
Linux.Sự an toàn vậtl ý bắtđầu vớimôit r
ường xung quanh vídụ như đốivớicác
nhà cung cầp dịch vụ hãm hại?Có nên khoá cáckhốidữ li
ệu lại
?Những ngườinào
đượcchấp nhận đượcvàot rung t
âm dữ li
ệu.Việcbảovệt hích hợplàphảithựchiện
lạikhimuốnxâydựngmộtcàiđặtmớihaydichuyểndữl i
ệuđếnmộtvịt rímới.
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 5
3. An toàn mạng
Ở đây l i
ên quan đến vi ệ kếtnốit ừ Linux ser vervào mạng.Cấu hì nh dị ch vụ
mạngvớisự ant oàn ngàycàngkhókhăn chonhữngnhàquảnt r
ịmạng. The xinetd
daemon cầnphảiđượcđị nhhì nht ổchứcbảomật .Lệnhnetstat Làmộtt iệní chmạnh
cho phép ngườiquản t r
ịkiểm t ratình trạng cấu hì nh mạng.Ki ểm tra mạng l à điều
cần thiếtcủavi ệcan t oàn.Đi ều nàyđảm bảor ằng cơchếan t oàn đãđượct hựchi ện
có hiêu quả t rong việc hoàn t hành những yêu cầu bảo mật .Đi ều đó đạtđượcbởi
quyền t hựchi ện đến mạng của bạn.Cách t iếp cận vi ệc ki
ểm đị nh mạng hi ệu quả
nhấtsẽt rongvait ròcủangườil àm phi ền.Cónhữngcôngcụki ểm địnhcơsởvàhost
cơsở.
SATAN(Security Administrator's Tool for Analysing Networks), SAINT( Security
Administrator's Integrated Network Tool), SARA (Security Auditor's Research
Assistant)là những công cụ t ốtđể ki ểm đị nh cơ bản.SATAN được đầu t i
ên công
nhậnnăm 1995,nóđượccôngnhậnđôngđảobởimãnguồnmở.
SAI NT mạnh hơn SANAN,t rong khiSARA l à mộtmodulackage,t ương t ácvới
Nmap và Samba.Những cảit i
ến gần đây nhấtl à công cụ Nessus.Nessusl à mi ễn
phí,nguồn mở, đầy đủ nổibật ,công cụ ki ểm t oàn vẫn đượchỗ t rợ cảitiến cảitiến
tí
ch cực. Nessusđivào2 t hành phần :- Cl i
ent (
nessus)vàser ver(nesssus) .Công cụ
Nmap cho ngườiquản t r
ịgi àu kinh nghi ệm.MặtkhácNmap có sứcmạnh,công cụ
quétchongườicóki nhnghi ệm.Nóđượcsửdụngt ốttrongmạngLAN.
TARA( TigerAudi torsResear ch Assistant)làmộtvídụ chocông cụ ki ểm t oán cơ
sởhost .Theodõimạng dướimộtsự t ấn công.Công cụ đểt heodõiđól àPor tSentry
và Ether eal
.Por tSent ry quétt rong chế độ ngầm đị nh.Bảo mậtmạng như mộtt rò
chơigi ữamèovàchuột ,củat r
ítuệvàmáyđếm t rítuệ.Trongkhimạngki ểm t oánlà
mộtphầncủamạngbì nht hường,mạngt heodõicầnphảiđượcưut i
êncaohơn.Vi ệc
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 6
bảomậtbaogồm vi ệcki
ểm t oánchínhxácvàcảvi ệccónênđểnhư thếhaykhông.
Port
Sentr
yl à mộtvídụ của công cụ t
heo dõit
hờigian t
hựcđượct
hiếtkế để quét
pháthi
ệnr ahệthống,vàcókhảchobạnnhữnghồiđáp.
4. Cácứngdụngant oàn
Mộtvàideamonschuẩnt rongviệcphânphốiLi nuxhi ệnthờil
ànhữngứngdụng
đầy đủ mà nó có cấu tr
úcf il
e phứctạp.Web,f il
e,mai lserversử dụng những giao
thứcphứct ạp.An toàn cót hểđượct hựchiện bởicácđặct í
nh bảomậtcủavi ệccác
đạilýchophép( MTA‟s)nhưSendmai l
,Qmai lvàPostfix.
WebSer vercót hểcũngđượcgi ữ antoànbởicácmodulchophép:mod_aut h,
mod_aut h_dbm,mod_aut h_db,….Vi
ệcchophép Open SS hỗt r
ợchoApachesẽcũng
công tácvớiweb server.Samba có t hểlàm an toàn bởiviệcđọccáct hông số đang
chạy.Bướcđầu t i
ên sẽ đượcbảo vệbởicông cụ quản t r
ịweb Samba ( SAT)vớiSLL
nêncácl ệnhquảnl ýSambađượcbảovệ.
5. Chu vi an toàn
Cấpsốt ự nhi êncủacácht iếpcậnđượcsắpt ừngl ớpđếnsự ant oànmáyt ính
rakhỏil ớpt ừlớpmạngđếnl ớpứngdụng,vàt ừđóđềnl ớpchuvi .Đâyl àvùngđược
quan tâm.Fi r
ewal lsl àthành phần chí nh của mi ền chu vian t oàn,l à phần mền mà
chứcnăngbắtbuộct ổchứcbảomậtant oànbởibộl ọc,bảomật ,đẩymạnh,hayyêu
cầu nằm t rong Linux ser verđể kếtnốiđến cả mạng chí nh và I nter net.Fir ewar e có
thểđượct hựchi ệnnhi ềucáchdựat rêncácl ớpcủamôhì nhOSI :l ớpmạng,l ớpgi ao
vận vàứng dụng.Cóđi ểm t ích cựcvàt i
êu cựct rong vi ệct r
iển khaif i
rewar et ạicác
lớp của mạng. Fir
ewal lmạng được bi ếtnhư các packet-f il
tering gat eway,nơimà
chúngki ểm t ranhữggóit inI Pvàogi aodi ệnf irewar evàhoạtđộngphùhợpđượcgi ữ
lại.hoạtđộng bao gồm dr op,cho phép/hoặc l og.Sự bấtl ợil à ki ểu Firewal lnày
khôngkhôn khéo.Fi rwallgiaovận l àm vi ệcbởikhảosátTCPhoặcUDP.Fi rewal lyêu
cầu sự can thiệp ngườidùng sửađổinhững t hủ t ục.Fi rewal lứng dụng l àm chocác
quyếtđị nh truynhập ở t ầng ứng dụng. Nó cho phép ngườiquản t rịmayf i
rewal lcho
yêucầucủamỗil oạiứngdụng.Cacibấtt iệnt rongf irewalll àngườiquảnt rịcầnđị nh
hình tr
iển khait heodõi ,vàbảot rìquát r
ình f irewal lchomỗiứng dụng màcần t ruy
nhậpđi ềukhi ển.
Nól uônl àt ôtđẻt hựchi ệnbảomậtbởivi ệcsử dụngkếthợpmột f i
r ewal lt ại
tấtcả ba t ầng để t r
ánh sự t ổn thương.Fi rewal lkhông chỉcản t rở những ngườil àm
phiền khônghợpphápvàomạngnhưngphảichophépngườisử dụngt ruynhậpbên
ngoàivàonguồnt àinguyên,t rongkhiđóchấpnhậnphêchuẩnnhấtđị nhnhữngkết
nốisau cho ngườidùng.Đây l à nhận t hức dễ nhưng đó l à mộtt hách t hức khi thi
hành.
o Fi rewal lmạng
Có vàil ợit hế trong vi ệc sử dụng Li nux như nền t ảng f ir
ewar e.Sự quản l ý
đồng bộ,phần cứng,số ngườidùng,ki ểm t ranền t ảng,vi ệct hựchi ện,gi ági ữacác
lýdo tạisao.Sự l ocgóil àl ợiích hiệu quả và cách bảo vẩpt ong phậm vi tránh xâm
nhập.Ngườisử dụng không cần xácnhận để sử dụng t i
n cậy những dị ch vụ vùng
bên ngoài.
Những gi ảipháp cho vi ệcl ọcgóit rong Li nux bao gồm i pchai nsvà i pf wadm.
tiệníchcủavi ệcl ọcgóit i
nđượcsửdụngt r ongnhânt ừphi ênbản1. 2.1vềt rước.
Phiênbảncuốicùngcủai pfwadm vàot háng7/ 1996,sauđói pchai nst hayt hế
nó.Những đị a chỉI pchainsl ànhững gi ớihạn t hiếu sótcủai pfwadrnhư đếm 32 bi t,
không có khả năng gi ảiquyếtcấu t hành đị a chỉI P, .
.v.v.I pchai nschi ến t hắng các
giớihạn đó bởivi ệct ận dụng l ợiích của ba kênh r iêng biệthay những quy t ắcnối
tiếpđểl ọc.Bakênhđól à:I NPUT,OUTPUT,vàFORWARD.
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 7
II. BảomậtLi
nuxServer
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 8
ri
êng mậtkhẩu mã hoá vào t
ập t
in /ect/
shadow chỉcó r
ootmớiđọcđược,nhưng
yêucầuphảichọnEnabletheshadow passwordkhicàiRedHat.
10. Tắccáct i
ến trì
nh SUI D/SGID :Bình thường,cáct iến t
rình đượct hực
hiện dướiquyền củat àikhoản gọit hựct hiứngdụngđó.Đól àdướiwi ndows,nhưng
Unix/ Li
nux lạisử dụng mộtkỹ t huậtđặc bi ệtcho phép mộtsố chương t rình được
thựchi ện dướiquyền củangườiquản l ýchương tr
ình chứ không phảingườigọit hực
thichương t rình.Vàđâychí nh l
àlýdot ạisaotấtcảmọingườidùngt rong hệt hống
đềucót hểđổimậtkhẩucủamì nht rongkhikhônghềcóquyênt ruyxuấtl ênt ậpt i
n
/etc/shadow,đól àvìl ệnh passwd đãđượcgán t huộct í
nh SUI D vàđượcquản l ýbởi
root,màr ootl ạil
àngườidùngduynhấtcóquyềnt ruyxuất/ etc/
shadow.
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 9
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 10
Thâm nhập vào mộthệ t hống bấtkỳ nào cũng cần có sự chuẩn bị .Hackerphảixác
định ramáyđí ch vàt ì
m xem những por tnàođang mởt rướckhihệt hống cót hểbịxâm
phạm.Quá t rình này t hường đượct hựchi ện bởicáccông cụ dò t ìm ( scanning tool)
,kỹ
thuậtchí nh để t ì
m r a máy đích và cácpor tđang mở trên đó.Dò t ìm l à bướcđầu t iên
hackersẽ sử dụng t rướckhit hựchi ện tấn công.Bằng cách sử dụng cáccông cụ dò t ì
m
như Nmap,hackercó t hể rà khắp cácmạng để t ìm ra cácmáy đí ch có t hể bịtấn công.
Mộtkhixácđị nhđượccácmáynày,kẻxâm nhậpcót hểdòt ìm cácpor tđangl ắngnghe.
Nmap cũng sử dụng mộtsố kỹ t huậtcho phép xác đị nh khá chính xác l oạimáy đang
kiểm tra.
Bằng cách sử dụngnhữngcông cụ củachí nh cáchackert hườngdùng,ngườiquản t r
ị
hệt hốngcót hểnhì nvàohệt hốngcủamì nht ừgócđộcủacáchackervàgi úptăngcường
tính an toàn của hệ t hống.Có r ấtnhi ều công cụ dò t ì
m có t hể sử dụng như:Nmap,
strobe, sscan, SATAN, ...
Nmap
Làchữ vi ếtt ắtcủa" Net workexploration toolandsecur i
tyscanner ".Đâyl àchươngt rình
quéthàngđầuvớit ốcđộcựcnhanhvàcựcmạnh.Nócót hểquétt rênmạngdi ệnr ộngvà
đặcbi ệtt ốtđốivớimạng đơn l ẻ.NMAPgi úp bạn xem những dị ch vụ nàođang chạyt rên
server( services/ ports:webserver,
ftpserver ,pop3,.
..),serverđang dùng hệ đi ều hành gì,
loạitườngl ửamàser versửdụng,. ..vàr ấtnhi ềut í
nhnăngkhác.NóichungNMAPhỗt rợ
hầuhếtcáckỹt huậtquétnhư :I CMP( pingaweep) ,IPpr otocol
,Null scan, TCP SYN (half
open) ,...NMAP đượcđánh gi álà công cụ hàng đầu của cácHackercũng như cácnhà
quảnt rịmạngt r
ênt hếgi ới
.
Quétan t oàn Nmap l àmộtt rong sốcông cụ quétan t oàn đượcsử dụng r ộng
rãinhấtsẵncó.Nmapl àmộtcổngquétmàchốngl ạicácnhânt ố,cáccáchkháct àn
pháđến mạng củabạn.Nócót hểphátsi nh r
anhiều kiểu góimàt hăm dòcácngăn
xếpTCP/ IPtrênnhữnghệt hốngcủabạn.
Nmapcót hểphátsi nh ramộtdanh sách củanhữngcổngmởdị ch vụ trên hệ
thống của bạn, t
hâm nhập f irewal
ls,và cung cấp những tin quấy r ầy,không tin cậy
đangchạyt r
ênhostcủabạn.Nmapsecur itycósẵnt ại:http://www.insecure.org
.Dướiđâyl àmộtvídụsửdụngNmap:
# nmap -sS -O 192.168.1.200
Starting nmap V. 2.54 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/)
Interesting ports on comet (192.168.1.200):
Port State Protocol Service
7 open tcp echo
19 open tcp chargen
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 11
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 12
Nếu pháthi
ện r
arằng hệ thống của bạn đang bịt
ấn công,hãy bì
nh t
ĩnh.Sau
đâyl
ànhững bướcbạn nên l
àm:
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 13
Thi
ếtl
ập t
ường l
ửaIpt
abl
eschoLi
nux
Cấu hì nh Tabl es
ViệccàiđặtI ptableslàmộtphần t rongvi ệccàiđặtRedHatban đầu.Nguyên
bản khởit ạo t ì
m ki ếm sự t ồn tạicủa f ileI pt abl es,r ules/etc/sysconfig/iptables, Và
nếu chúng đã t ồn tạiiptableskhởiđộng vớicầu hì nh đã đượcchỉr õ.Mộtkhiser ver
nàyl à gởimai lvà nhận mai l,cấu hình I ptabl esnên cho phép những kếtnốit ừ đầu
vào sendmai lđếnbấtkỳnơiđâu.Ngườiquảnt rịhệt hốngsẽchỉsử dụngshht ừ bên
trongcácmáy,đặcbi ệtl àMI S.Iptablesr ulessẽcàiđặtđểchophépcáckếtnốishh
từ 2 MI S.Pi ng I CMPsẽchophép bấtkỳđâu.Không cócông nàokhácchophép kết
nốiđếnngườiphụcvụnày.Đâyl àmứcbổsungchovi ệcphòngt hủcủaser vert rong
trường hợp Fi rewal lđược t hoã hiệp.Thêm vào đó l à vi ệc bảo vệ cho ssh sẽ được
cungcấpbởicấuhì nhcácgóit cpbêndưới .
Nhữngquyt ắcđểt hựchiệncấuhì nhI pt abl esnhưsau:
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT(1)
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT(2)
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT(3)
/sbin/iptables -A INPUT -p tcp --dport 22 -s 10.100.200.0/24 -j ACCEPT(4)
/sbin/iptables -A INPUT -p tcp --dport 22 -s 10.100.201.0/24 -j ACCEPT(5)
/sbin/iptables -A INPUT -p udp --sport 53 -s 10.100.50.50 -j ACCEPT(6)
/sbin/iptables -A INPUT -p udp -sport 53 -s 10.100.42.42 -j ACCEPT(7)
/sbin/iptables -A INPUT -j LOG(8)
/sbin/iptables -P INPUT DROP(9)
(1)Chophépnhữngkếtnốil iênquanvàđãt hi ếtl ậpđếnser ver
(2)Chophépcáchostkhácpi ngđếnser versendmai d
(3)ChophépkếtnốiSMTPđếnser ver
(4),( 5)Chophépkếtnốissht ừ2MÍ( subnet s)
(6),( 7)Cho phép ngườiphụcvụ t ên DNS cho box sendmai d để cung cấp gi ảipháp
DNS.Nếubạncóhơnmộtdomai n–DNS,t hìt hêm mộtdòngchomỗiDNS.
(8)l ogbấtkỳkếtnốinàocốgắngmànókhôngđặcbi ệtchophép
(9)Càidặtchí nhsáchmặcđị nhchobảngI NPUTt oDROP
Tấtcả cáckếtnốiđặcbi ệtkhông chophép sẽbịr ớt
.Chương t r
ình losent r
ysẽđược
cấu hì nh đểđị nh r ằng bấtkỳdòng nào l og cũng như sự xâm phạm an t oàn.Đểgi ữ
đượccấuhì nhquar eboot ,taphảichạyI ptabl es- Save.Chạyl ệnhnhưsau:
/sbin/iptables-save > /etc/sysconfig/iptables
Khihệt hốngkhởiđộngl ên,fileIptablessẽđượcđọcvàcấuhì nhhi ệudụng.
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 14
Iptabl
esl à mộtt ường lửa ứng dụng lọcgóidữ l i
ệu rấtmạnh,mi ễn phívà có sẵn trên
Linux..Netfi
lter
/Iptabl
es gồm 2 phần l à Netfi
lt
erở t rong nhân Linux và Ipt
ables nằm
ngoài nhân.I pt
ableschị utrách nhiệm giao t
iếp giữa ngườidùng và Netfi
lt
erđể đẩy các
l
uậtcủa ngườidùng vào cho Net f
il
erxử lí.Netfil
terti
ến hành lọccácgóidữ l i
ệu ở mức
IP.Netfi
lterlàm việctr
ựct i
ếpt rongnhân,nhanhvàkhôngl àm giảm tốcđộcủahệt hống.
Cáchđổiđị
achỉI
Pđộng(
dynami
cNAT)
Trướckhiđivàophầnchính,mìnhcầngiớithi
ệuvớicácbạnvềcôngnghệđổiđị achỉNAT
độngvàđónggi ảI
PMasquerade.Haitừ nàyđượcdùngrấtnhi ều tr
ongI pt
ablesnênbạn
phảibiết
.Nếubạnđãbi ếtNATđộngvàMasquer ade,bạncót hểbỏquaphầnnày.
NAT động l à mộttr
ong những kĩt
huậtchuyển đổiđịa chỉI P NAT (
Net work Addr
ess
Transl
ati
on).CácđịachỉI
PnộibộđượcchuyểnsangI PNATnhưsau:
NAT Rout er đảm nhận vi ệc chuyển dãy I P nộibộ 169. 168.0.x sang dãy IP mới
203.162.2.x.Khicó góil i
ệu vớiIP nguồn là 192.168.0.
200 đến router,r out
ersẽ đổiI P
nguồnt hành203. 162. 2.200sauđómớigởir angoài.Quát rì
nhnàygọil àSNAT( Source-
NAT,NATnguồn) .Rout erlưudữliệut rongmộtbảnggọil àbảngNATđộng.Ngượcl ại
,khi
cómộtgóit ừliệu từ gởitừ ngoàivàovớiI Pđích l
à203. 162.2.
200,r outersẽcăn cứ vào
bảng NAT động hi ện t ạiđể đổiđị a chỉđích 203.162.2.200 thành địa chỉđích mớil à
192.168.0.200.Quá t rì
nh này gọil à DNAT ( Desti
nati
on-NAT,NAT đí ch) .Liên l
ạc giữa
192.168.0.200 và 203.162.2.200 là hoàn toàn tr
ong suốt( t
ransparent)qua NAT r outer
.
NAT r outer ti
ến hành chuyển t i
ếp ( f
orwar d) gói dữ liệu từ 192. 168.0.200 đến
203.162.2.200vàngượcl ại.
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 15
Cách đóng gi
ảđịachỉIP (masquer
ade)
Đâylàmộtkĩthuậtkháctr
ongNAT.
NAT Routerchuyển dãy I P nộibộ 192. 168.0.x sang mộtI P duy nhấtlà 203. 162.2.4
bằngcáchdùngcácsốhi ệucổng( port-number )khácnhau.Chẳnghạnkhicógóidữ l iệu
IP vớinguồn 192. 168.0.168: 1204, đích 211. 200.51. 15:
80 đến router,r outer sẽ đổi
nguồn thành 203. 162.2.4:26314 và l ưu dữ l iệu này vào một bảng gọi l à bảng
masquerade động.Khicó mộtgóidữ l iệu từ ngoàivào vớinguồn là 221.200. 51.15:80,
đí
ch203. 162.2.
4:26314đếnr outer,r
out ersẽcăncứvàobảngmasquer adeđộnghi ệnt ại
để đổiđích từ 203.162.2.4:26314 thành 192. 168.0.164:1204.Li
ên l ạc giữa các máy
tr
ongmạngLAN vớimáykhácbênngoàihoànt oànt rongsuốtquarout er
Quát rì
nh chuyển góidữ l iệu quaNet filter
Góidữ li
ệu (packet)chạy t rên chạy trên cáp,sau đó đivào car d mạng ( chẳng hạn như
eth0).Đầut i
ênpacketsẽquachai nPREROUTI NG (trướckhiđị nhtuyến).Tạiđây,packet
cóthểbịt hayđổit hôngsố( mangl e)hoặcbịđổiđị achỉI Pđí ch(DNAT) .Đốivớipacketđi
vàomáy,nósẽquachai nI NPUT.Tạichai nI NPUT,packetcót hểđượcchấpnhậnhoặcbị
hủy bỏ.Tiếp theo packetsẽ đượcchuyển l ên cho cácứng dụng ( cli
ent/server)xử lívà
ti
ếp theo l
à đượcchuyển r a chain OUTPUT.Tạichai n OUTPUT,packetcó t hể bịthay đổi
các t
hông số và bịl ọc chấp nhận r a hay bịhủy bỏ.Đốivớipacketf orwar d qua máy,
packetsau khir ờichain PREROUTI NG sẽ qua chai n FORWARD.Tạichai n FORWARD,nó
cũng bịl
ọcACCEPT hoặcDENY.Packetsau khiquachai n FORWARD hoặcchai n OUTPUT
sẽđếnchai nPOSTROUTI NG (saukhiđị nht uyến) .TạichainPOSTROUTI NG,packetcót hể
đượcđổiđị a chỉIP nguồn ( SNAT)hoặcMASQUERADE.Packetsau khir a car d mạng sẽ
đượcchuyểnl êncápđểđiđếnmáyt í
nhkháct r
ênmạng.
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 16
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 17
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 18
Để tạo kếtnối`t r
ansparent
` giữa mạng LAN 192. 168. 0.1 vớiInternetbạn l ập cấu hình
chot ườngl ửaI ptablesnhưsau:
# echo 1 > /proc/sys/net/ipv4/ip_forward chophépf orwardcácpacketquamáychủ đặt
Iptables
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 210.40.2.71 đổiI Pnguồn
chocácpacketr acar dmạnget h0 là210. 40. 2.
71.Khinhậnđượcpacketvàot ừI nt
ernet,
Iptablessẽt ự động đổiI Pđích 210.40.2.
71 t hành I
Pđí ch tương ứng củamáyt ính tr
ong
mạngLAN 192. 168. 0/24.
Hoặcbạncót hểdùngMASQUERADEt haychoSNATnhưsau:
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
(MASQUERADEt hườngđượcdùngkhikếtnốiđếnI nternetlàpp0vàdùngđị achỉI P
động)
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 19
DNAT
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 20
LOG_LIMIT=3/m
LOG_LIMIT_BURST=1
PING_LIMIT=500/s
PING_LIMIT_BURST=100
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 21
iptables-N REJECT_PORTSCAN
iptables-A REJECT_PORTSCAN -p tcp -m limit --limit $LOG_LIMIT --limit-burst
$LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=PORTSCAN:tcp
a=REJECT "
iptables-A REJECT_PORTSCAN -p udp -m limit --limit $LOG_LIMIT --limit-burst
$LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=PORTSCAN:udp
a=REJECT "
iptables-A REJECT_PORTSCAN -p tcp -j REJECT --reject-with tcp-reset
iptables-A REJECT_PORTSCAN -p udp -j REJECT --reject-with icmp-port-unreachable
Bước6:pháthi ệnquétcổngbằngNmap
iptables-N DETECT_NMAP
iptables-A DETECT_NMAP -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit $LOG_LIMIT
--limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix
"fp=NMAP:XMAS a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit
$LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix
"fp=NMAP:XMAS-PSH a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags ALL ALL -m limit --limit $LOG_LIMIT --limit-
burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=NMAP:XMAS-
ALL a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags ALL FIN -m limit --limit $LOG_LIMIT --limit-
burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=NMAP:FIN
a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit
$LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix
"fp=NMAP:SYN-RST a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit $LOG_LIMIT
--limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix
"fp=NMAP:SYN-FIN a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags ALL NONE -m limit --limit $LOG_LIMIT --
limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix
"fp=NMAP:NULL a=DROP "
iptables-A DETECT_NMAP -j DROP
iptables-A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DETECT_NMAP
ĐốivớicácgóiTCPđếnet h0mởkếtnốinhưngkhôngđặtSYN=1chúngt asẽchuyển
sangchai nDETECT_NMAP.Đâyl ànhữnggóikhônghợpl ệvàhầunhư l àquétcổngbằng
nmap hoặckênh ngầm.Chai n DETECT_NMAP sẽ pháthi ện r
a hầu hếtcácki ểu quétcủa
Nmap và t iến hành ghi nhật kí ở mức --limit $LOG_LIMIT và --limit-burst
$LOG_LI MI T_BURST.Vídụ để ki ểm t ra quétXMAS,bạn dùng t ùy chọn --tcp-flags ALL
FIN, URG, PSH nghĩal à 3 cờ FI N,URG và PSH đượcbật ,cáccờ khácđều bịt ắt.Cácgói
quachai nDETECT_NMAPsauđósẽbịDROPhết .
Bước7:chặnngậpl ụtSYN
Góimở TCP vớicờ SYN đượcset1 l à hợp l
ệ nhưng không ngoạit rừ khả năng l à các
góiSYN dùng để ngập l ụt. Vìvậy, ở dây bạn đẩy các góiSYN còn l ạiqua chai n
CHECK_SYNFLOOD đểki ểm t rangậpl ụtSYN nhưsau:
iptables-N CHECK_SYNFLOOD
iptables-A CHECK_SYNFLOOD -m limit --limit $SYN_LIMIT --limit-burst
$SYN_LIMIT_BURST -j RETURN
iptables-A CHECK_SYNFLOOD -m limit --limit $LOG_LIMIT --limit-burst
$LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix
"fp=SYNFLOOD:warning a=DROP "
iptables-A CHECK_SYNFLOOD -j DROP
iptables-A INPUT -i eth0 -p tcp --syn -j CHECK_SYNFLOOD
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 22
iptables -N UDP_INCOMING
iptables -A UDP_INCOMING -p udp --dport 53 -j ACCEPT
iptables -A UDP_INCOMING -p udp -j REJECT_PORTSCAN
iptables -A INPUT -i eth0 -p udp -j UDP_INCOMING
Để hạn chế khả năng bịDoS và t ăng cường t
ốcđộ cho máy chủ phụcvụ web,
bạncót hểdùngcácht ảicânbằng( l
oad-balaci
ng)nhưsau:
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 23
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 24
xChọnngônngữ.
xChọnki ểubànphí m
xChọnki ểuchuột.
Cáccáchcàiđặtvàphươngphápcủachúng
RedHatLi nux6. 1và6. 2có4l ớpcàuđặtkhácnhaul à;
GNOME Workstation
KDE Workstation
Server
Custom
Cả3cáchcàiđặtt rênđềuchobạnsựl ựachọnđơngi ảncủat iếnt r
ìnhcàiđặt,ởđó
máyt ínht ựđộngl àm hếtmọit hứvàbạnmấtđiđángkểt ínhl inhhoạtt rongviệc
cấuhì nhmàchúngt akhôngnênbỏquavàsẽđềcậpchit iếtt rongnhữngbướct iếp
theo . Vì lý do trên mà chúng ta nên cài đặtcust om . Cáchnàychophépbạnchọn
nhữngdị chvụnàosẽđượct hêm vàovàl àm t hếàođểphânhoạchhệt hống.
Càiđặtđĩ a(Di skset up)
Chúngt agi ảsữbạnđangcàiđặcser verLi nuxmớit rênmộtổđĩ amớikhông
cóhệđi ềunàođượccì ađặtt rướcđó. Mộtchi ếnl ượcphânhoạcht ốtlàt ạot ừng
part i
onr i
êngl ẻchomỗihệt hốngt ậpt i
nchí nh. Việcnàyl àm t ăngkhảnăngbảomật
vàngănchậnt ấncônghoặckhait háccủanhữngchươngt rìnhSUI D.
Bước1:
Đểđạthi ệuquảcao,ổnđị nhvàant oànbạnnênt ạocácpar t
itionnhưnhững
part i
ti
onđượcl i
ệtkêdướiđâyt r
ênmáyt í
nhcủabạn. Chúngt ôicũnggi ảsửr ằng
thựct ếbạnổcứngt ừ3.2GB t rởlênđểphânhoạchvàdĩnhi ênbạnchọnkí chthước
part i
ti
ont uỳt heonhucầucần.
Nhữngpar ti
tionbạn phảit ạot rênhệt hốngcủabạn:
/boot 5MB Tấtcảcácker neli magest hìđượcl ưugiửởđây.
/usr 512MB Par ti
ti
onnàycầnphảil ớnt rướckhit ấtcảcácchương
trìnhởdạngbi naryđượccàiđặtởđây.
/home 1146MB Cânđốisốngườisửdụngbạncóýđị nht ạor atrên
máynày. Vídụ10MB/ ngườinhưvậyvới114người
cần1140MB.
/chroot 256MB Nếubạnkhôngmuốncàiđặtt rongmôit rườngkhông
tựdochẳnghạnnhưDNS t ứcal fmôit rườngchỉcó
rootmớicóquyềnt hựct hi.
/cache 256MB Đâyl àpar ti
ti
onl ưut rữcủapr oxyser ver (VD Squi d)
/var 256MB Chứađựngnhữngt ậpt int hayđổikhihệt hốngchạy
bìnht hường( VD cáct ậpt inl og)
<swap> 128MB Đâyl àSwappar ti
tionđượccoinhưbộnhớảocủahệ
thống, bạnnênchi akí cht hướccủapar t
itionnàyl ớn
hơnhoặcbằngdungl ượngRam hi ệncót rênmáycủa
bạn
/tmp 256MB Par ti
ti
onchứanhữngt ậpt int ạm t hời
/ 256MB Root part i
tioncủachúngt a.
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 25
Parti
ti
onSwapđượcsửdụngđểhổt rợbộnhớảo. Nếumáyt í
nhcủabạncó16MB
Ram hoặcíthơnthìbạnphảit ạomộtpar ti
ti
onswap, ngaycảkhibạncóbộnhớl ớn
thìbạncũngnênt ạopartit
ionSwap.Kíchthướctốithiểucủaparti
ti
onswapnên
bằnghoặcl ớnhơndungl ượngRam cót r
ênmáyt ínhcủabạn. Kícht hướclớnnhấtcó
thểsửdụngchopar tit
ionswaplà1GB chonênnếubạnt ạomộtpar tit
ionswaplớn
hơn1GB thìphầncònl ạitr
ởnênvôí ch
Saukhitạocácpar ti
ti
ontr
ênhar ddiskhoànt hành,bạnsẽt hấythôngtin
parti
ti
ontrênmànhì nhgiốngnhưbảngl iệtkêdướiđây:
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 26
2.
Sự l
ựachọn những package(góidữ ki
ệu )ri
êng l
ẻ
Saukhicácpar t
iti
onđãđị nhhìnhvàđượcchọnđẻf ormat,bạnchuẩnbịchọn
nhữnggóidữl iệuchot íêntrìnhcàiđặt.Mặtđị nhLi
nuxlàmộthệđi ềuhànhr ất
mạnhcókhảnăngt hựct hinhiềudịchvụhữuí ch.Tuynhiêncónhi ềudịchvụkhông
cầnt hi
ếtthìkhôngđưavàovìcót hểtạoranhữngl ỗhỗngt r
ongviệcbảomậthệ
thống.
Mộtcáchl ýtưởngl àcầncàiđặtt ừngdịchvụmạngt rênmáyphụcvụchuyên
biệt.Theomặtđị nh,nhiềuhệđi ềuhànhLi nuxđượccấuhì nhđểcung ứngmộtdị ch
vụvàứngdụngr ộnghơnnhữngyêucâucungcấpmộtdị chvụmạngr iêngbiệt,do
vậycầncấuhì nhser verđểl oạibỏnhữngdị chvụmạngkhôngcầnt hi
ết. Chỉđưar a
nhữngdị chvụchủyếut rênmáychủr iêngbiệt.Cóthểtăngkhảnăngbảomậtt r
ong
servertheomộtvàiphươngphápsau:
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 27
Applications/File: git
Applications/Internet: finger.ftp,fwhois,ncftp,rsh,rsync,talk,
telnet
Applications/Publishing: ghostscript,ghostscript-fonts,groff-perl,
mpage,pnm2ppa,rhs-printfilters
Applications/System: arwatch,bind-utils,rdate,rdist,screen, ucd-
snmp-utils
Documentation: indexhtml
System Enviroment/Base: chkfontpath, yp-tools
System Enviroment/Daemons: XFree86-xfs,finger-server,lpr,nfs-utils,
pidentd,portmap,rsh-server,rusers,rusers-
server,rwall-server,rwho,talk-server,
telnet-server,tftp-server,ucd-snmp,
ypbind,ypserv
System Enviroment/Libraries: Xfree86-libs,libpng
User Interface/X: urw-fonts
Nếunhữngchươngt rì
nhnhàykhôngđượccàiđạtt rênmáyser vercủabạnt hìnhững
ti
ntặcbuộcphảisửdụngnhữngchươngt r
ì nhnàyt ừbênngoàihoặct hửcàiđặtt r ên
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 28
máyservercủabạn.Tr
ongnhữngt
rườnghợpnàybạncót
hểt
ìmr
adấuvếtchúng
nhờnhữngchươngtr
ìnhgi
ốngnhưTri
pwir
e.
Làm t
hếnào sử dụng những l
ệnh RPM
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 29
Bước2:
Xoábỏcáct ậptinLinux. conf-instanlled bằngt ay:
[root@deep /] # rm –f /ect/conf.linuxconf-instanlled
Chươngt rì
nhhdpar m cầnchocácI DEhar ddíknhưngkhôngcầnvhoSCSIhar ddisk
bạnphảigi ữlaichươngt r
ìnhnày, nhưngnếukhôngcóI DEhar ddiskthìbạncót hể
xoákhỏihệt hống.
[root@deep /]# rpm –e hdparm
Nhữngchươngt rìnhnhưkbdconf i
g,mouseconf i
g,ti
meconf ig,authconf
ig,nt
sysvvà
setupt
oolt heot hứt ựthiếtlậpl oạikeyboar d, mouse, ti
me, NIS vàshadow password
chúngítkhit hayđổisaukhicàiđặtvìt hếbạncót hểt háodỡchúngkhỏihệt hống
,nếutrongt ươngl aibạncầnt hayđổikeyboar d, mouse, ...t hìbạncót hểcàiđặt
chúngt ừcácgóidữl iệuRPM t rênđĩ a CD-ROM Red Hat
Cácphầnmềm cóphảiđượccàiđặtsausựcàiđặtcủaser
ver
Đểcóthểt
iệnbi
êndịchnhữngchươngtrì
nht r
ênservercủabạn.
bạnphảicài
đặtnhữnggóidữli
ệuRPM sau.
Bước1:
Đầu t i
ênchúngt amountổđĩ aCD-ROM vàchuyểnRPMS t rênCD-ROM
Mount CD-ROM dr ivevàchuyểnt ớithưmụcRPMS sửdụngnhữngl ệnhsau:
[root@deep /]# mount /dev/cdrom /mnt/cdrom/
[root@deep /]# cd /mnt/cdrom/Red Hat/RPMS/
Dướiđâyl ànhữnggóidữl iệumàbạncầnbi êndịchvàcàiđặtt r
ênhệt hốngLinux:
autoconf-2.13-5,noarch.rpm m4-1.4-12.i386.rpm
automake-1.4-6.noarch.rpm dev86-0.15.0-2.i386.rpm
bison-1.28-2.i386.rpm byacc-1.9-12.i386.rpm
cdecl-2.5-10.i386.rpm cpp-1.1.2-30.i386.rpm
cproto-4.6-3.i386.rpm ctags-3.4-1.i386.rpm
egcs-1.1.2-30.i386.rpm ElectricFence-2.1-3.i386.rpm
flex-2.5.4a-9i386,rpm kernel-headers-2.2.15.0.i386.rpm
glibc-devel-2.1.3-15.i386.rpm make-3.78.1-4.i386.rpm
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 30
path-2.5-10.i386.rpm
Bước2:
Càiđặcnhữngphầnmềm cầnt hiếtởt r
ênvớimộtl ệnhRPM:
LệnhRPM đểcàiđặtt ấtcảcácphầnmềm vớinhaul à:
[root@deep RPMS]# rpm –Uvh autoconf-2.13-5.noarch.rpm m4-1.4-
12.i386.rpm automake-1.4-6.noarch.rpm dev86-0.150-2.i386.rpm
bison-1.28-2.i386.rpm byacc-1.9-12.i386.rpm cdecl-2.5-10.i386.rpm
cpp-1.1.2-30.i386.rpm cproto-4.6-3.i386.rpm ctags-3.4-1.i386.rpm
egcs-1.1.2-30.i386.rpm ElectricFence-2.1-3.i386.rpm flex-2.5.4a-
9.i386.rpm egcs-1.1.
Bước3:
Bạnphảit hoátkhỏiconsol evàl ogintrởlạiđểt ấtcảcáct hayđổicóhi ệulực
x Thoátkhỏiconsol evớilệnh:
[root@deep /]# exit
Saukhiđãcàiđặtvàbi êndị cht ấtcảcácchươngt r
ìnhbạncầnt rênser vercủa
bạnsẽl àmộtýhaynếubạnxoábỏcáct ậptinobj ectđượct ạoradobi êndị ch,các
tr
ìnhbi êndị ch, ..
.,nhữngt ậpt i
nmàbạnkhôngcòncầnnữat r
onghệt hốngcủa
bạn.Mộtt rongnhữngl ídol ànếumộtt ênt intặcxâm phạm ser vercủabạnhẳn
khôngt hểbi êndị chhoặct hayđổinhữngchươngt rìnhnhịphân. Hơnnữavi ệcnày
sẽgi ảiphóngnhi ềukhoảngt rốngvàsẽgi úpđỡvi ệccảit iếnki ểm trat í
nht oànvẹn
củanhữngt ậpt int rênser ver .
Khibạnchạymộtser verbạnsẽt ruyềnchonómộtcôngvi ệcđặtbi ệt
đểt hựchi ện. Bạnsẽkhôngbaogi ờđặtt ấtcảcácser vicebạnmuốncungcấpt rên
mộtmáyhoặcbạnsẽl àm chậm t ốcđộ(t àinguyêncósẵnđượcchi abởimộtsố
ti
ếnt rìnhđangchạyt rênser ver)vàl àm suyyếukhảnăngbảomậtcủabạn(với
nhiềuser vicecùngchạyt r
êncùngmộtmáy, nếumộtt i nt ặcxâm nhậpvàoser ver
nàyhắncót hểt ấncôngt rựct i
ếpnhữnggìcósẵnt rênđó)
Cónhi ềuser verkhácnhaul àm nhữngcôngvi ệckhácnhausẽđơngi ảnhoá
sựt rôngcoi, quảnl ý(bạnbi ếtcôngvi ệcgìmỗiser versẽl àm ,nhữngser vi
cenào có
hiệul ực, por tnàot hìđượcmởchonhữngcl i
entt r
uycậpvàpor tnàot hìđóng, bạn
cũngsẽbi ếtnhữnggìbạncầnt hấyt rongcácl ogf il
e...)vàđặtchobạnsựđi ều
khiểnt ínhl inhhoạtt rênmỗiser ver(ser verchuyêndànhchomai l,
web,database,backup....)
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 31
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 32
Phụ l
ục Các phần mền bảomật
Linux sXid
Cáctậpt inSUI D/SGID cóthểt rởthànhmộtmốinguychovấnđềbảomậtvà
ant oàncủahệt hống.Đểgi ảm cácr ủironày, t
rướcđâychúngt ađã removecácbi t
„s‟t
ừcácchươngt rì
nhđượcsởbởir ootmàsẽkhôngyêucầunhi ềuquyềnsửdụng
,nhưngt ươngl aicáct ậpti
nt ồntạikháccót hểcàiđặtvới„s‟bi
t đượcbậtlênkhi
khôngcósựt hôngbáocủabạn. sXi
dl àmộtchươngt rì
nhtheodỏihệthốngsuid/sgi
d
đượct hiếtkếchạyt ừcr ontrênmộtnguyênl ýcơbản.
Cơbảnl ànót heodõibấtkỳsựt hayđổinàot r
ongcácthưmụcvàcáct ậpt in
s[ug]idcủabạn. Nếucóbấtkỳmộtđi ềugìmớit rongcáct
hưmụchayt ậptin,các
thưmụcvàt ậpt i
nnàysẽt hayđổibithoặccácmodekhácsauđósẽt ựđộnngt hực
hiệnviệct ì
m kiếm tấtcảsui d/sgi
dtrênmáyser vercủabạnvàt hôngbáovềchúng
chobạn.
Linux Logcheck
Mộtcôngvi ệcquant rọngt r
ongt hếgiớibảomậtvàant oànlàphảikiểm tra
thườngxuyêncáct ậpt i
nxuấtr acáckếtquảt heodõihệt hống( logfi
le).Thông
thườngcáchoạtđộnghằngngàycủangườiquảnt r
ịhệthốngkhôngchophépanht a
cothờigianđểt hựchi ệnnhữngcôngvi ệcnàyvàcót hểmangđếnnhi ềuvấnđề.
Giảit
hícht í
nht rưutượngcủal ogcheck:
Kiểm tr
at heodõivàghinhậncácsựki ệnxãyr athìrấtquant rọng!Đólà
nhữngngườiquảnt rịcủahệt hốngnhậnbi ếtđượccácsựki ệnnàydovậycót hể
ngănchặncácvấnđềchắcchắnxãyr anếubạncómộthệt hốngkếtnốivớii nternet
.Thậtkhôngmaychohầuhếtl ogf
ilel
ànókhôngcóaiki ểm t r
avál ogđó, mànó
thườngđượcki ểm trakhicósựki ệnnàođóxãyr a.Điềunàyl ogchecksẽgi úpđỡ
chobạn
Linux PortSentry
Bứct ườngl ủa( fi
r ewall)giúpđỡchúngt abảovệmạngkhỏinhữngxâm nhập
bấthợpphápt ừbênngoài. Vớifirewallchúngt acót hểchọnnhữngpor tsnàochúng
tamuốnmở vànhữngpor tnàochúngsẽđóng. Thôngt i
nt rênđượcgi ữmộtcáchbí
mậtbởinhữngngườichị ut ráchnhi ệm đếnf i
rewall.Tuyệtđốikhôngngườinàot ừbên
ngoàibi ếtthôngt innày,t uynhi êncáchacker s( t
intặc)cũngnhưcácspammer s
biếtmộtvàicácht ấncôngbạn, họcót hểsửdụngmộtchươngt r
ìnhđặcbi ệtđểquét
tấtcảcácpor tstrênser vercủabạnnhặtt hôngt inquígi ánày( portsnàomở, ports
nàođóng)
Nhưđượcgi ảithícht rongl ờigiớithiệucủaphầnPor tSentry
Mộtchươngt rì
nhquétpor tlàmộtdấuhi ệucủamộtvấnđềl ớnđangđếnvới
bạn. Nót hườngl àt iềnthânchomộtsựt ấncôngvàl àmộtbộphậnnguyhi ểm t
rong
việcbảovệhữuhi ệut àinguyênt hôngt i
ncủabạn. PortSentrylàmộtchươngt rì
nh
đượct hiếtkếđểpháthi ệnr avàphảnhồit ớicácpor tquétnhằm chồngl ạimộthost
đíchtrongt hờigianchúngt athựchi ệnquétpor tvàcómộtsốt uỳchọnđểpháthi ện
racácpor tquét.Khinót ìmt hấymộtpor tquétnócót hểphảnứngl ạinhữngcách
sau:
Mộtl ogf
il
el ưucácsựvi ệcxảyquat hôngqua syslog( )
Tênhostmụct i
êut ựđộngđượcbỏvàot rongt ậpt i
n“ /et
c/hosts.deny”cho
nhữngt rì
nhbaobọcTCP
Hostnộibột ựđộngcấuhì nhlạiđểhướngt ấtcảcácl ưuthôngt ớihostmục
ti
êut rỏtớimộthostkhônghoạtđộng(dealhost)l àm hệt hốngmụctiêu
biếnmất
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 33
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 34
Tripwi
relàm vi ệcởt ầngcơbảnnhất, bảovệcácmáyser vervàcácmáyt rạm
làm việcmàchúngđượccấut hànhmạnghợpnhất. Tri
pwitel àm việcbằngcách
trướctiênl àquétmộtmáyt únhvàt ạomộtcơsởdữl iệucủacáct ậpti
ncủahệ
thống, mộtdạngsốhoá“ snapshot“củahệt hốngt ronghệt hốngbảomậtđãbi ết
.Ngườisửdụngcót hểcấuhì nhTr ipwiremộtcáchr ấtchínhxác, chỉrõtậptinvàt hư
mụcsởhưur iêngchomỗimáyđểt heodõi,haytạomộtdạngmâuxchuẩnmànócó
thểsửdụngt rênt ấtcảcácmáyt rongmạng.
Mộtkhicơsởdữl i
ệut ạor a,mộtngườiquảnt r
ịhệt hốngcót hểdùngTr iwire
đểkiểm t ratoànvẹncủahệt hốngởbấtkỳt hờiđiểm nào. Bằngcáchquétmộthệ
thốnghi ệnhànhvàsosánht hôngt invớidữliệul
ưut rữtrongcơsởdữl iệu,Triwi
re
pháthi ệnvàbáocáo bấtkỳvi ệcthêm vàohayxoábớt, hayt hayđổitớihệt hống
bênngoàicácr anhgi ớibênngoàiđượcchỉđị nh.Nếuvi ệct hayđổil àhợpl ệthìquản
trịhệt hốngcót hểcậpnhậtcơsởdữl iệubi
ênvớit hôngt i
nmới.Nếucáct hayđổicố
tìnhlàm hạiđượct ì
mt hấy,thìngườiquảnt rịhệthốngsẽbi ếtngaycácphầnnào
củacáct hànhphầncủamạngđãbịảnhhưởng.
PhiênbảnTr ipwi r
enàyl àmộtsảnphẩm cócácphầnđượccảit i
ếnđángkểso
vớiphi ênbảnTr ipwiret r
ướcđó.
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương
Đềt
ài:Ant
oànvàbảomậtt
rênhệđi
ềuhànhLi
nux
Page 35
Mụcl
ục
I. An t
oàn chocácgi
aodị
ch t
rên mạng.
...
...
...
...
...
...
..2
II. BảomậtLi
nuxServer.
...
...
...
...
...
...
...
...
...
...
.............7
III. Firewall.................................................................9
Phụ l
ục Cácphần mền bảomật
...
...
...
...
...
...
...
...
...
31
GVHD:
NguyễnTấnKhôi Si
nhvi
ênt
hựchi
ện:
LêThịHuyềnTr
ang
NguyễnHuyChương