c


   



HiӋn nay Linux đang dҫn trӣ thành mӝt hӋ điӅu hành khá phә biӃn, bӣi tính kinh tӃ,
khҧ năng bҧo mұt và sӵ uyӇn chuyӇn cao. ThӃ nhưng, mӑi hӋ thӕng dù an toàn đӃn
đâu cũng dӉ dàng bӏ xâm nhұp nӃu ngưӡi dùng (và nhҩt là ngưӡi quҧn trӏ - root)
không đһt sӵ bҧo mұt lên hàng đҫu. Sau đây là mӝt sӕ kinh nghiӋm vӅ bҧo mұt trên
hӋ điӅu hành Red Hat tôi muӕn chia sҿ cùng các bҥn và hi vӑng công viӋc quҧn trӏ
cӫa bҥn sӁ an toàn hơn.

1. Không cho phép sӱ dөng tài khoҧn root tӯ console 

Sau khi cài đһt, tài khoҧn root sӁ không có quyӅn kӃt nӕi telnet vào dӏch vө telnet
trên hӋ thӕng, trong khi đó tài khoҧn bình thưӡng lҥi có thӇ kӃt nӕi, do nӝi dung tұp
tin /etc/securetty chӍ quy đӏnh nhӳng console đưӧc phép truy nhұp bӣi root và chӍ liӋt
kê nhӳng console truy xuҩt khi ngӗi trӵc tiӃp tҥi má y chӫ. ĐӇ tăng cưӡng bҧo mұt
hơn nӳa, hãy soҥn thҧo tұp tin /etc/securetty và bӓ đi nhӳng console bҥn không
muӕn root truy nhұp.

á. Xóa bӟt tài khoҧn và nhóm đһc biӋt 

Rgưӡi quҧn trӏ nên xóa bӓ tҩt cҧ tài khoҧn và nhóm đưӧc tҥo sҹn trong hӋ thӕng
nhưng không có nhu cҫu sӱ dөng (ví dө: lp, sync, shutdown, halt, news, uucp,
operator, games, gopher...). Thӵc hiӋn viӋc xóa bӓ tài khoҧn bҵng lӋnh userdel và
xóa bӓ nhóm vӟi lӋnh groupdel. 

®. Tҳt các dӏch vө không sӱ dөng 

Üӝt điӅu khá nguy hiӇm là sau khi cài đһt, hӋ thӕng tӵ đӝng bұt chҥy khá nhiӅu dӏch
vө, trong đó đa sӕ là các dӏch vө không mong muӕn, dүn đӃn tiêu tӕn tài nguyên và
sinh ra nên nhiӅu nguy cơ vӅ bҧo mұt. Vì vұy ngưӡi quҧn trӏ nên tҳt các dӏch vө
không dùng tӟi (ntsysv) hoһc xóa bӓ các gói dӏch vө k hông sӱ dөng bҵng lӋnh rpm. 

j. Không cho "su" lên root 

LӋnh su (Substitute User) cho phép ngưӡi dùng chuyӇn sang mӝt tài khoҧn khác.
RӃu không muӕn ngưӡi dùng "su" thành root thì thêm hai dòng sau vào tұp tin
/etc/pam.d/su:

auth sufficient /lib/security/pa m_rootok.so debug

auth required /lib/security/Pam_wheel.so group=tên_nhóm_root 

Â. Che giҩu tұp tin mұt khҭu 

iai đoҥn đҫu, mұt khҭu toàn bӝ tài khoҧn đã tӯng đưӧc lưu trong tұp tin
/etc/password, tұp tin mà mӑi ngưӡi dùng đӃu có quyӅn đӑc. Đây là kӁ hӣ lӟn trong
bҧo mұt mһc dù mұt khҭu đưӧc mã hóa nhưng viӋc giҧi mã không phҧi là không thӇ
thӵc hiӋn đưӧc. Do đó, hiӋn nay các nhà phát triӇn Linux đã đһt riêng mұt khҭu mã
hóa vào tұp tin /etc/shadow chӍ có root mӟi đӑc đưӧc, nhưng yêu cҫu phҧi chӑn
Enable the shadow password khi cài đһt RedHat. 
L. Luôn nâng cҩp cho nhân (kernel) Linux 

Linux không hҷn đưӧc thiӃt kӃ vӟi các tính năng bҧo mұt chһt chӁ, khá nhiӅu lӛ
hәng có thӇ bӏ lӧi dөng bӣi tin tһc. Vì vұy, viӋc sӱ dөng mӝt hӋ điӅu hành vӟi nhân
đưӧc nâng cҩp là rҩt quan trӑng vì mӝt khi nhân - phҫn cӕt lõi nhҩt cӫa hӋ điӅu hành
- đưӧc thiӃt kӃ tӕt thì nguy cơ bӏ phá hoҥi sӁ giҧm đi rҩt nhiӅu. Bҥn có thӇ tham
khҧo các bài viӃt trưӟc đӇ biӃt cách cұp nhұt nhân hӋ thӕng. 

—. Tӵ đӝng thoát khӓi shell 

Rgưӡi quҧn trӏ hӋ thӕng và kӇ cҧ ngưӡi dùng bình thưӡng rҩt hay quên thoát ra khӓi
dҩu nhҳc shell khi kӃt thúc công viӋc. Thұt nguy hiӇm nӃu có mӝt kҿ phá hoҥi chӡ
sҹn và hiӇn nhiên kҿ này sӁ có toàn quyӅn truy xuҩt hӋ thӕng mà chҷng tӕn chút
công sӭc nào cҧ. Do vұy ngưӡi quҧn trӏ nên cài đһt tính năng tӵ đӝng thoát khӓi
shell khi không có sӵ truy xuҩt trong khoҧng thӡi gian đӏnh trưӟc bҵng cách sӱ dөng
biӃn môi trưӡng TÜ UT và gán mӝt giá trӏ quy đӏnh sӕ giây hӋ thӕng duy trì dҩu
nhҳc. Tӕt nhҩt, bҥn nên đһt vào tұp tin / etc/profile đӇ lӋnh luôn có tác dөng trong
mӑi phiên làm viӋc.
Rguӗn : Echip