Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page Gi ớit hi ệu Ngày nay,t r ên mạng I nt er netkỳ di ệu,ngườit a t hực hi ện hàngt ỷđôl agi aodị ch mỗingày(t r ên dưới2 ngàn t ỷUSD mỗinăm) Mộtkhốil ượnghànghoávàt i ềnbạckhổngl ồđangđượct ỷt ỷcácđi ện t ửt íhon chuyển đivànót hựcsự l àmi ếng mồibéobởchonhững t ay ăn t r ộm hay khủng bố có có “t r it hức” Sự phátt r i ển nhanh chóng củamạngmáyt í nhl àđi ềut ấtyếu.Hàngngàycókhơngbi ếtbaonhi ngườit ham gi a vào hệ t hống t hơng t i nt ồn cầu mà chúng t a gọil I nt er net Những công t yl ớn,các doanh nghi ệp,các t r ường đạihọc cáct r ường phổ t hông ngày t ăng t hế có r ất r ấtnhi ều ngườiđang nốimạng t r ựct uyến suốt24/ 24 gi mỗingày, bảyngàyt r ongt uần.Tr ongbốicảnhmộtl i ênmạngt oàncầuvớihàng chụct r i ệungườisử dụngnhư I nt er nett hìvấnđềant ồnt hơngt i nt r nên phứct ạp vàcấp t hi ếthơn.Dođómộtcâu hỏikhơng mấydễchị u đặtr al à:l i ệumạngmáyt í nhcủachúngt asẽphảibịt ấncơngbấtcứ lúc nào? Sự bảovệcủabấtkỳmạngmáyt í nhnàođầut i êncũngl àf i rewall phần mền nguồn mở Li nux.Và câu chuyện an t ồn mạng khơng cóhồikếtt húc.Vi ệcgi ữ an t ồn mộthệt hống kéot heochúng t aphảicónhưngki ếnt hứct ốtvềhệđi ềuhành,mạngTCP/ I Pcơsởvà quản t r ịdị ch vụ.Cùng vớisự gợiý gi vi ên hướng dẫn t ầm quan t r ọng vi ệcan t oàn t hông t i nl i ên mạng,ở chúng t ơichỉ t r ì nhbàymộtcácht ổngquannhữngvùngnơiLi nuxcót hểvàcầnphải đượcgi ữ an t ồn,những t hêm vào l àcácl ệnh bản,những ki nh ngi ệm t r ongngunt ắcant ồnvàbảovệhệt hốngmạng Nhóm si nhvi ênt hựchi ện: - NguyễnHuyChương - LêThịHuyềnTr ang GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page I An t oàn chocácgi aodị ch t rên mạng Có r ấtnhi ều dị ch vụ mạng t r uyền t hống gi ao t i ếp t hông qua gi ao t hứcvăn không mã hoá,như TELNET,FTP,RLOGI N,HTTP,POP3.Tr ong gi ao dị ch gi ữa ngườidùng vớimáy chủ,t ấtcả cáct hông t i n dạng góiđượct r uyền qua mạng hì nht hứcvănbảnkhơngđượcmãhố.Cácgóit i nnàycót hểdễdàngbịchặnvàsao chépởmộtđi ểm nàođót r ênđườngđi Vi ệcgi ảimãcácgóit i nnàyr ấtdễdàng,cho phép l đượccáct hơng t i n t ên ngườidùng,mậtkhẩu cáct hông t i n quan t r ọng khác.Vi ệcsử dụng cácgi ao dị ch mạng đượcmã hoá ến cho vi ệcgi ảimã t hông t i nt r ởnên khóhơn vàgi úp bạn gi ữ an t ồn cáct hông t i n quan t r ọng.Cáckỹ t huậtt hôngdụnghi ệnnayl àI PSec,SSL,TLS,SASLvàPKI Quản t r ịt xa l mộtt í nh hấp dẫn cáchệ t hống UNI X.Ngườiquản t r ị mạngcót hểdễdàngt r uynhậpvàohệt hốngt bấtkỳnơinàot r ênmạngt hôngqua cácgi ao t hứct hông dụng t el net ,r l ogi n.Mộtsố công cụ quản t r ịt xa đượcsử dụng r ộng r ãinhư l i nuxconf ,webmi n dùng gi ao t hứckhơng mãhố.Vi ệct hay t hết ấtcảcácdị chvụmạngdùnggi aot hứckhơngmãhốbằnggi aot hứccómãhố l àr ấtkhó.Tuynhi ên,bạn nên cung cấp vi ệct r uycập cácdị ch vụ t r uyền t hống HTTP/ POP3t hôngquaSSL,cũngnhưt hayt hếcácdị chvụt el net ,r l ogi nbằngSSH Nguyên t ắcbảovệhệt hống mạng Hoạchđị nhhệt hốngbảovệmạng Tr ong mơit r ường mạng,phảicó đảm bảo r ằng l i ệu có t í nh bí mậtphảiđượccấtgi ữr i êng,saochochỉcóngườicót hẫm quyềnmớiđượcphépt r uy cậpchúng.Bảomậtt hơngt i nl àvi ệcl àm quant r ọng,vàvi ệcbảovệhoạtđộngmạng cũngcót ầm quant r ongkhơngkém Mạng máy t í nh cần đượcbảo vệ an t oàn,t r ánh khỏinhững hi ểm hoạ vơ t ì nh hay cố ý Tuy nhi ên mộtnhà quản t r ịmạng cần phảibi ếtbấtcứ cáigìcũng có mức độ,khơng nên t háiq.Mạng khơng nhaat st hi ếtphảiđược bảo vệ q cẩn mật ,đếnmứcngườidùngl ngặpkhókhănkhit r uynhậpmạngđểt hựchi ệnnhi ệm vụ mì nh.Khơng nên để họ t hấtvọng khicố gắng t r uy cập cá t ập t i n chí nh mì nh Bốnhi ểm hoạchí nhđốivớisựanni nhcủamạngl à: o Tr uynhậpmạngbấthợppháp o Sựcant hi ệpbằngphươngt i ệnđi ệnt o Kẻt r ộm o Taihoạvơt ì nhhoặccóchủý x Mức độ bảo mật: Tuỳ t huộc vào dạng môit r ường t r ong mạngđanghoạtđộng x Chí nh sách bảo mật: Hệ t hống mạng đòihỏimộtt ập hợp nguyên t ắc,đi ều l uậtvà chí nh sách nhằm l oạit r mọir ủir o.Gi úp hướng dẫn vược qua t hay đổivà t ì nh khơng dự ki ến t r ong t r ì nh phátt r i ển mạng Sựđềphòng:đềphòngnhữngt r uycậpbấthợppháp Sự chứng t hực:t r ước khit r uy nhập mạng,bạn gõ t ên đăng nhập passwor dhợpl ệ x Đàot ạo:Ngườidùngmạngđượcđàot ạochu đáosẽcóí tkhả năngvơýpháhuỷmộtt àingun x Ant ồnchot hi ếtbị :Tuỳt huộcở:quymơcơngt y,độbímật l i ệu,cáct àingunkhảdụng.Tr ongmơit r ườngmạngnganghàng,cót hểkhơng GVHD: NguyễnTấnKhơi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page có chí nh sách bảo vệ phàn cứng có t ổ chứcnào.Ngườidùng chị ut r ách nhi ệm đảm bảoant ồnchomáyt í nhvàdữl i ệucủar i êngmì nh Mơhì nhbảomật Haimơhì nhbảomậtkhácnhauđãphátt r i ển,gi úpbảovệant ồndữ l i ệuvà t àinguyênphầncứng: x Bảo vệt àinguyên dùng chung mậtmã:gắn mậtmã cho t ừngt àinguyêndùngchung x Tr uycập khiđượcsự chophép :l àchỉđị nh mộtsốquyền đị nh t r ên sở ngườidùng,ki ểm t r at r uy nhập t àinguyên dùng chung vào CSDL user-access máy server Nângcaomứcđộbảomật x Ki ểm t oán:Theodõihoạtđộngt r ênmạnht hôngquat àikhoản ngườidùng,ghil ạinhi ều dạng bi ến cố chọn l ọcvào sổ nhậtký bảo mậtcủa máy ser ver Gi úp nhận bi ếtcáchoạtđộng bấthợp l ệhoặckhông chủ đị nh.Cung cấp t hôngt i nvềcáchdùngt r ongt ì nhhuốngcóphịngbannàođót hunphísử dụngmột sốt àingun nhấtđị nh,vàcần quyếtđị nh phícủanhững t àingun nàyt heocách t hứcnàođó x Máyt í nh khơng đĩ a: Khơng có ổ đĩ a cứng ổ mềm.Có t hểt hi hànhmọivi ệnhư máyt í nht hôngt hường,ngoạit r vi ệcl ưut r ữ dữl i ệut r ênđĩ acứng hayđĩ amềm cụcbộ.Không cần đĩ akhởiđộng.Cókhả gi aot i ếp vớiser vervà đăng nhập nhờ vào mộtcon chi p ROM khởiđộng đặcbi ệtđượccàit r ên car d mạng Khibậtmáy t í nh khơng đĩ a,chi p ROM khởiđộng phátt í n hi ệu cho ser verbi ếtr ằng muốn khởiđộng.Ser vert r ảl ờibằng cácn t ảiphần mềm khởiđộng vào RAM máyt í nh khơng đĩ avàt ự đọng hi ển t hịmàn hì nh đăngnhập Khiđómáyt í nh kếtnốivớimạng x Mãhốdữ l i ệu: Ngườit amãhốt hơngt i nsangdạngmậtmã mộtphương pháp cho đảm bảo t hơng t i n khơng t hể nhận bi ết đượcnếu nơinhận không bi ếtcách gi ảimã.Mộtngườisử dụng haymộthostcót hể sửdụngt hơngt i nmàkhơngsợảnhhưởngđếnngườisửdụnghaymộthostkhác x Chốngvi r us: - Ngănkhơngchovi r ushoạtđộng - Sữachữahưhạiởmộtmứcđộnàođó - Chặnđứngvi r ussaukhinóbộcphát Ngăn chặn t ì nh t r ạng t r uy cập bấthợp pháp l mộtt r ong gi ảipháp hi ệu nhi ệm nhấtđểt r ánh vi r us.Dobi ện phápchủ yếu l àphòngngừa,nên nhàquản t r ịmạngphảibảođảm saochomọiyếut ốcầnt hi ếtđềuđãsẵnsàng: - Mậtmãđểgi ảm khảnăngt r uycậpbấthợppháp - Chỉđị nhcácđặcquyềnt hí chhợpchomọingườidùng - Cácpr of i l e để t ổ chứcmôit r ường mạng cho ngườidùng có t hểl ậpcấu hì nh vàduyt r ìmơit r ường đăngnhập,baogồm kếtnốimạng khoản mục chương t r ì nh ngườidùngđăngnhập - Mộtchí nhsáchquyếtđị nhcót hểt ảiphầnmềm GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page Ki ến t rúcbảo mậtcủahệt hống mạng 1) Cácmứcant ồnt hơngt i nt r ênmạng Khơng có ều gìgọil hồn hảo t r ong vi ệc an t ồn hệ t hống mạng Li nux.Nóđượct hi ếtkếđểl àmộthệđi ều hành nốimạng vàsự phátt r i ển mạnh mẽ củanóchỉđểt ậpt r ungvàosự ant ồn.Hệđi ềuhànhmãnguồnmởl àcáigìmàcho phép ngườiquản t r ịmạng ngườiphátt r i ển,những ngườidùng t r i ền mi ên t heo dõivà ki ểm t ốn gìdễ bịt ấn cơng.Ở khơng có gìhuyền bìvề an t ồn t hơng t i n.Thậtl àt ốtnếu cáct àinguyên đượcbảomậtvàđượcbảovệt ốt t r ướcbấtkỳsựxâm phạm vơt ì nhhaycốý Ant ồnhaybảomậtkhơngphảil àmộtsảnphẩm,nócũngkhơngphảil àmột phầnmền.Nól àmộtcáchnghĩ Sự ant ồncót hểđượckhởiđộngvàdừngnhư dị ch vụ.Bảo mậtl cách an t oàn.Tàil i ệu bảo mậtl àt ưl i ệu mà t hành vi ên củat ổchứcmuốnbảovệ.Tr áchnhi ệm củavi ệcbảomậtl àngườiquảnt r ịmạng Sự ant ồnmạngcóvait r ịquant r ọngt ốicao.Ant ồnphảiđượcđảm bảot nhân t ố bên ngoàiker nel ,t ạiphần cốtl õicủa Li nux ser ver Cơ chế bảo mật cần phảibaogồm cấu hì nh mạngcủaSer ver ,chu viứng dụng củat ổchứcmạng t hậm chícủa cl i entt r uy nhập mạng t xa.Có vàicách mà t a cần phảixem xét: o Sựant oànvậtl ý o Ant oànhệt hống o Ant oànmạng o Ant oàncácứngdụng o Sựt r uynhậpt ừxavàvi ệcchầpnhận Sựant oànvậtl ý Đi ều nàyl àcơbản vàgi ám sátđượct ốtkhí acạnh an t ồn củahệđi ều hành Li nux.Sự an t oàn vậtl ý bắtđầu vớimơit r ường xung quanh vídụ đốivớicác nhà cung cầp dị ch vụ hãm hại ?Có nên khố cáckhốidữ l i ệu l ại ?Những ngườinào đượcchấp nhận đượcvàot r ung t âm l i ệu.Vi ệcbảovệt hí ch hợpl àphảit hựchi ện l ạikhimuốnxâydựngmộtcàiđặtmớihaydichuyểndữl i ệuđếnmộtvịt r ímới GVHD: NguyễnTấnKhơi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page Ant oànhệt hống Sự an t oàn hệt hống baoquanh vi ệcchọn phân phốihệđi ều hành Li nux,xây dưngker nel , t ớisự ant oànt àikhoảnngườidùng,chophépt r uycậpt hư mụct ậpt i n, mãhoásysl og vàf i l esyst em.Cáct ácvụ nàyđượchoàn t hành t r ướckhidị ch vụ nối vào I nt er net Vi ệc chọn mộtphân phốinào t hìt uỳ t huộc vào nhu cầunhư chí nh sách đượcpháct hảo t r ong chế an t ồn.Có mộtt i chuẩn để chọn phân phốinhưngnókhơngt huộcphạm vicủabàinày Vi ệcxâydựngmộtker nelsẵn cócóhail ợit hế: o Nhữngopt i onant oàncủanhânđượcxácđị nhbởingườiquảnt r ịmạng ngườiquản t r ịmạng bi ếtcáigìđượcxácđị nh vào t r ong ker nelvà t có t hể đồng t hờinhận r a ều có.Phần nềm nguồn mở nóichung hệ ều hànhLi nuxnóir i êng,đặcbi ệtcónhữngcảit i ếnđểdễdàngchongườisử dụngvàcó nhữngt i ệní chdễứngdụng.Chỉcầnupdat et r ongRedHat o Sựant ồncáct àikhoảngngườidùngcóvait r ịt ol ớn.Cónhữngvùng đượcvơhi ệuhố,nhữngt àikhoảngkhơnghoạtđộng,vơhi ệuhốvi ệct r uycậpđến NFS l ên gốc,hạn chếnhữngđăngnhậpvàot r ongmôit r ườngđi ều ki ển hệt hống Mã hoá f i l e hệ t hơng sử dụng kỹ t huậtmã hố mà t hường l phịng t hủ cuốicùng cho mạng Có haicách t i ếp cận chung:Hệ t hống f i l e mã hoá ( CFS) Practical Privacy Di skDr i ver ( PPDD) Hệ t hống có t hểđượct heo dõivà t r ong Li nux,hệ t hống l oggi ng đượcl ogged t r ong t i ện í ch sysl og.Cơng cụ t heo dõibao gồm swat ch l ogcheck Swat ch có cơng cụ t hông báo t hờigi an t hực,t r ong khil ogcheckcung cấp mộtcông cụ mà phátsi nh báo cáo đị nh kỳ.Ki ểm t oán Passwor d có vait r ị sống cịn t r ong vi ệcan t oàn,bảomậthệt hống t r ong khimốil i ên kếtyếu nhấtt r ong vi ệc ant oànmạngl àngườisửdụngvàvi ệcl ựachọncácmậtkhẩupasswor d An toàn mạng Ở l i ên quan đến vi ệ kếtnốit Li nux ser vervào mạng.Cấu hì nh dị ch vụ mạngvớisự ant ồn ngàycàngkhókhăn chonhữngnhàquảnt r ịmạng The xinetd daemon cầnphảiđượcđị nhhì nht ổchứcbảomật Lệnhnetstat Làmộtt i ệní chmạnh cho phép ngườiquản t r ịki ểm t r at ì nh t r ạng cấu hì nh mạng.Ki ểm t r a mạng l ều cần t hi ết củavi ệcan t oàn.Đi ều nàyđảm bảor ằng cơchếan t oàn đãđượct hựchi ện có hi t r ong vi ệc hoàn t hành yêu cầu bảo mật Đi ều đạtđượcbởi quyền t hựchi ện đến mạng bạn.Cách t i ếp cận vi ệc ki ểm đị nh mạng hi ệu nhấtsẽt r ongvait r òcủangườil àm phi ền.Cónhữngcơngcụki ểm đị nhcơsởvàhost cơsở SATAN(Security Administrator's Tool for Analysing Networks), SAINT( Security Administrator's Integrated Network Tool), SARA (Security Auditor's Research Assi st ant )l công cụ t ốtđể ki ểm đị nh bản.SATAN đầu t i ên cơng nhậnnăm 1995,nóđượccơngnhậnđơngđảobởimãnguồnmở SAI NT mạnh SANAN,t r ong khiSARA l mộtmodulackage,t ương t ácvới Nmap Samba.Những cảit i ến gần nhấtl cơng cụ Nessus.Nessusl mi ễn phí ,nguồn mở, đầy đủ nổibật ,cơng cụ ki ểm t ồn đượchỗ t r ợ cảit i ến cảit i ến t í ch cực Nessusđivào2 t hành phần :- Cl i ent ( nessus)vàser ver (nesssus) Công cụ Nmap cho ngườiquản t r ịgi àu ki nh nghi ệm.MặtkhácNmap có sứcmạnh,cơng cụ qtchongườicóki nhnghi ệm.Nóđượcsửdụngt ốtt r ongmạngLAN TARA( Ti gerAudi t or sResear ch Assi st ant ) l àmộtvídụ chocơng cụ ki ểm t ốn sởhost Theodõimạng dướimộtsự t ấn cơng.Cơng cụ đểt heodõiđól àPor t Sent r y Et her eal Por tSent r y quétt r ong chế độ ngầm đị nh.Bảo mậtmạng mộtt r ị chơigi ữamèovàchuột ,củat r uệvàmáyđếm t r uệ.Tr ongkhimạngki ểm t ốnl mộtphầncủamạngbì nht hường,mạngt heodõicầnphảiđượcưut i êncaohơn.Vi ệc GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page bảomậtbaogồm vi ệcki ểm t ốnchí nhxácvàcảvi ệccónênđểnhư t hếhaykhơng Por t Sent r yl mộtvídụ công cụ t heo dõit hờigi an t hựcđượct hi ếtkế để quét pháthi ệnr ahệt hống,vàcókhảchobạnnhữnghồiđáp Cácứngdụngant oàn Mộtvàideamonschuẩnt r ongvi ệcphânphốiLi nuxhi ệnt hờil ànhữngứngdụng đầy đủ mà có cấu t r úcf i l e phứct ạp.Web,f i l e,mai lser versử dụng gi ao t hứcphứct ạp.An t ồn cót hểđượct hựchi ện bởicácđặct í nh bảomậtcủavi ệccác đạil ýchophép( MTA‟ s)nhưSendmai l ,Qmai lvàPost f i x WebSer vercót hểcũngđượcgi ữ ant oànbởicácmodulchophép:mod_aut h, mod_aut h_dbm,mod_aut h_db, … Vi ệcchophép Open SS hỗt r ợchoApachesẽcũng công t ácvớiweb ser ver Samba có t hểl àm an t ồn bởivi ệcđọccáct hơng số chạy.Bướcđầu t i ên đượcbảo vệbởicông cụ quản t r ịweb Samba ( SAT)vớiSLL nêncácl ệnhquảnl ýSambađượcbảovệ Chu vi an toàn Cấpsốt ự nhi êncủacácht i ếpcậnđượcsắpt ừngl ớpđếnsự ant ồnmáyt í nh r akhỏil ớpt ừl ớpmạngđếnl ớpứngdụng,vàt ừđóđềnl ớpchuvi Đâyl àvùngđược quan t âm.Fi r ewal l sl àt hành phần chí nh mi ền chu vian t oàn,l phần mền mà chứcnăngbắtbuộct ổchứcbảomậtant oànbởibộl ọc,bảomật ,đẩymạnh,hayyêu cầu nằm t r ong Li nux ser verđể kếtnốiđến mạng chí nh I nt er net Fi r ewar e có t hểđượct hựchi ệnnhi ềucáchdựat r êncácl ớpcủamơhì nhOSI :l ớpmạng,l ớpgi ao vận vàứng dụng.Cóđi ểm t í ch cựcvàt i cựct r ong vi ệct r i ển khaif i r ewar et ạicác l ớp mạng Fi r ewal lmạng bi ếtnhư packet-f i l t er i ng gat eway,nơimà chúngki ểm t r anhữggóit i nI Pvàogi aodi ệnf i r ewar evàhoạtđộngphùhợpđượcgi ữ l ại hoạtđộng bao gồm dr op,cho phép/hoặc l og.Sự bấtl ợil ki ểu Fi r ewal lnày khôngkhôn khéo.Fi r wal lgi aovận l àm vi ệcbởikhảosátTCPhoặcUDP.Fi r ewal lyêu cầu can t hi ệp ngườidùng sửađổinhững t hủ t ục.Fi r ewal lứng dụng l àm chocác quyếtđị nh t r uynhập t ầng ứng dụng Nó cho phép ngườiquản t r ịmayf i r ewal lcho yêucầucủamỗil oạiứngdụng.Cacibấtt i ệnt r ongf i r ewal ll àngườiquảnt r ịcầnđị nh hì nh t r i ển khait heodõi ,vàbảot r ìquát r ì nh f i r ewal lchomỗiứng dụng màcần t r uy nhậpđi ềukhi ển Nól nl àt ơtđẻt hựchi ệnbảomậtbởivi ệcsử dụngkếthợpmột f i r ewal lt ại t ấtcả ba t ầng để t r ánh t ổn t hương.Fi r ewal lkhông chỉcản t r ngườil àm phi ền khơnghợpphápvàomạngnhưngphảichophépngườisử dụngt r uynhậpbên ngồivàonguồnt àinguyên,t r ongkhiđóchấpnhậnphêchuẩnnhấtđị nhnhữngkết nốisau cho ngườidùng.Đây l nhận t hức dễ l mộtt hách t hức thi hành o Fi r ewal lmạng Có vàil ợit hế t r ong vi ệc sử dụng Li nux t ảng f i r ewar e.Sự quản l ý đồng bộ,phần cứng,số ngườidùng,ki ểm t r anền t ảng,vi ệct hựchi ện,gi ági ữacác l ýdo t ạisao.Sự l ocgóil àl ợií ch hi ệu cách bảo vẩpt ong phậm vi tránh xâm nhập.Ngườisử dụng không cần xácnhận để sử dụng t i n cậy dị ch vụ vùng bên Những gi ảipháp cho vi ệcl ọcgóit r ong Li nux bao gồm i pchai nsvà i pf wadm t i ệní chcủavi ệcl ọcgóit i nđượcsửdụngt r ongnhânt ừphi ênbản1 1vềt r ước Phi ênbảncuốicùngcủai pf wadm vàot háng7/ 1996,sauđói pchai nst hayt hế nó.Những đị a chỉI pchai nsl ànhững gi ớihạn t hi ếu sótcủai pf wadrnhư đếm 32 bi t , khơng có khả gi ảiquyếtcấu t hành đị a chỉI P, v v.I pchai nschi ến t hắng gi ớihạn bởivi ệct ận dụng l ợií ch ba kênh r i êng bi ệthay quy t ắcnối t i ếpđểl ọc.Bakênhđól à:I NPUT,OUTPUT,vàFORWARD GVHD: NguyễnTấnKhơi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page Ti ệní chI pchai nst heocúpháp: ipchains command chain rule-specification [options] -j action Tạiđây có t hể mộtt r ong số kênh I NPUT,OUTPUT hoặcFORWARD.Như nhân t r ước,t í nh hoạtđộng mộtl ần I pchai ns t hay t hế bởiNet f i l t ervà khoảng quyt ắcI pt abl es.Net f i l t erđượchỗ t r ợ bởicông nghệ Wat chguar d.I pct abl es đượcphátt r i ển t ừt i ện í ch củaI pchai nsvànóchỉchạyt r ên phi ên t r ước Mộtvídụvềl ệnhI pt abl es: iptables -A INPUT -p tcp –-dport smtp -j ACCEPT Hi ện có t hi ếtkế f i r ewal lbắtđượchầu hếtcáccấu t r úcmạng phổ bi ến,báohi ệuđơngi ảnt heoyêucầukếtnốit ớinhữngnơir ấtphứct ạpkéot heokhu vựcđượcphiquânsựhoá( DMZ) II BảomậtLi nuxServer Những ki nh nghi ệm bảo mật Hi ện Li nux dần t r ởt hành mộthệ ều hành phổ bi ến bởit í nh ki nh t ế,khảnăng bảo mậtvà uyển chuyển cao.Thếnhưng,mọihệt hống dù an toàn đến đâu dễdàng bịxâm nhập ngườidùng( vànhấtl àngườiquản t r ị r oot )không đặtsự bảo mậtl ên hàng đầu.Sâu l mộtsó ki nh nghi ệm bảo mậtt r ênhệđi ềuhànhRedHatLi nuxmàchúngt ôimuốnchi asẽcùngcácbạn: Không cho phép sử dụng t àikhoảng r oott consol e:Sau khicàiđặt , t àikhoảng r ootsẽ khơng có quyền kếtnốit el netvào dị ch vụ t el nett r ên hệ t hống, t r ong t ài khoản bì nh t hường l ại có t hể kết nối , nội dung t ập t i n / et c/ secur i t y chỉquyđị nh consol eđượcphép t r uycập bởir ootvà chỉl i ệtkê consol et r uyxuấtkhingồit r ựct i ếp t ạimáychủ.Đểt ăng cường bảomậthơn nữa,hãy soạn t hảo t ập t i n / et c/ secur i t y bỏ đinhững consol e bạn khơng muốn r oott r uycập Xốbớtt àikhoảngvànhóm đặcbi ệt : Ngườiquản t r ịnên xoábỏt ấtcả cáct àikhoảng nhóm đượct ạo sẵn t r ong hệ t hống khơng có nhu cầu sử dụng (vídụ:l p,syne,shut down,hal t ,news,uucp,oper at or ,game,gophẻ…) Thực hi ệnvi ệcxốbỏt àikhoảngbằngl ệnhusedelvàxốbỏnhóm vớil ệnhgr oupdel Tắtcácdị ch vụ khôngsử dụng:Mộtđi ều khánguyhi ểm l àsau khicài đặt ,hệt hống t ự động chạykhá nhi ều dị ch vụ,t r ong đa số l cácdị ch vụ không mong muốn,dẫn đến t i t ốn t àinguyên si nh r a nhi ều nguy bảo mật Vì ngườiquản t r ịnên t ắtcácdị ch vụ khơng dùng t ới ( nt sysv)hoặcxố bỏ cácgói dị chvụkhơngsửdụngbằngl ệnhr pm Khơng cho “ SU”( Subst i t ut e)l ên r oot :Lệnh su cho phép ngườidùng chuyểnsangt àikhoảngkhác.Nếukhơngmuốnngườidùng“ su”t hànhr oott hìt hêm hai dòng sau vàot ậpt i n/ et c/ pam d/ su: Auth sufficient/lib/security/pam_root ok so debug Auth required/lib/security/pam_wheel.so group= tên_nhóm_root Chedấut ậpt i nmậtkhẩu:Gi aiđoạnđầu,mậtkhẩut ồnbột àikhoảng đượcl ưu t r ongt ậpt i n / et c/ passwor d,t ậpt i nmàmọingườidùngđềucóquyền đọc Đâyl àkẻhởl ớnt r ongbảomậtdùmậtkhẩuđượcmãhốnhưngvi ệcgi ảimãkhơng phảil khơng t hể t hựchi ện được.Do đó,hi ện cácnhà phátt r i ển Li nux đặt GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page r i êng mậtkhẩu mã hoá vào t ập t i n / ect / shadow chỉcó r ootmớiđọcđược,nhưng yêucầuphảichọnEnabl et heshadow passwor dkhicàiRedHat Luôn nângcấpchonhân ( ker nel )Li nux: Li nuxkhônghẵn đượct hi ếtkế vớit í nh bảo mậtchặtchẽ,khá nhi ều l ỗ hỏng có t hể bịl ợidụng bởit i nt ặc.Vì vậyvi ệcsử dụngmộthệđi ềuhànhvớinhânđượcnângcấpl àr ấtquant r ọngvìmột khinhân,phầncốtl õinhấtcủahệđi ềuhànhđượct hi ếtkết ốtt hìnguycơbịpháhoại sẽgi ảm đir ấtnhi ều Tự động t hoátkhỏiShel l :Ngườiquản t r ịhệ t hống kể ngườisử dụng bì nh t hường r ấthayqn t hốtr adấu nhắcshel lkhikếtt húccơng vi ệc.Thât nguy hi ểm có mộtkẻ có t ồn quyền t r uy suấthệ t hống mà t ốn chútcơngsứcnàocả.Dovậyngườiquảnt r ịnêncàiđặtt í nhnăngt ựđộngt hốtkhỏi shel lkhikhơngcósự t r uyxuấtt r ongkhoảngt hờigi anđị nht r ướcbằngcáchsử dụng bi ếnmôit r ường vàgánmộtgi át r ịquyđị nhSốgi âyhệt hốngduyt r ìdấunhắc, bạnnênvàot âpt i n / ect /pr of i l eđểl uônt ácdụngt r ongmọiphi ênl àm vi ệc Khôngchophépt r uynhậpt ậpt i nkị chbảnkhởiđộngcủaLi nux:Khihệ ều hành Li nux khởiđộng,các t ập t i n kị ch ( scr i pt ) đặt t ạit hư mục / et c/ r c d/ i ni t dsẽđượcgọit hựct hi Vìt hế,đểt r ánhnhữngsự t ịmịkhơngcầnt hi ết t phí angườidùng,vớit cách ngườiquản t r ị ,bạn nên hạn chếquyền t r uyxuấtt ới cáct ậpt i nnàyvàchỉchophépt àikhoảngr ootxửl ýbằngl ệnhsau: #chmod –R 700/etc/rc.d/init.d* Gi ớihạn vi ệct ự ý ghinhận t hông t i nt shel l :Theo mặcđị nh,t ấtcả l ệnh t hực t hit ạidấu nhắc shel lcủa t àikhoảng ghivào t ập t i n bash_hi st or y(nếu sd bashshel l )t r ong t hư mụccá nhân t ừng t àikhoảng.Đi ều nàygâynênvơsốnguyhi ểm t i ềm ẩn,đặcbi ệtđốivớinhữngứngdụngđịihỏingười dùng phảigõ t hơng t i n mậtkhẩu.Do ngườiquản t r ịnên gi ớihạn vi ệct ự ý ghi nhậnt hôngt i nt ừshel ldựavàohaibi ếnmôit r ườngHI STFI LESI ZEvàHI STSI ZE: - Bi ến môit r ường HI STFI LESI ZE quy đị nh số l ệnh gõ t ạidấu nhắc shel lsẽ đượcl ưul ạichol ầnt r uycậpsau - Bi ến môit r ường HI STSI ZE quy đị nh số l ệnh đượcghinhớ t r ong phi ên l àm vi ệchi ệnhành Vìvậy,t asẽphảigi ảm gi át r ịcủaHI STSI ZEvàchogi át r ịHI STFI LESI ZEbằng đểgi ảm t hi ểu t ốiđanhữngnguyhi ểm.Bạn t hựchi ện vi ệcnàybằngcách t hayđổi gi át r ịhaibi ếnnêut r ênt r ongt ậpt i n/ et c/ pr of i l enhưsau: HISTFILESIZE = HISTSIZE = xx Tr ongđóxxl àsốl ệnhmàshel lsẽghinhớ,đồngt hờikhơngghil ạibấtkỳmột l ệnhnàodongườidùngđãgõkhingườidùngt hoátkhỏishel l 10 Tắccáct i ến t r ì nh SUI D/ SGI D :Bì nh t hường,cáct i ến t r ì nh đượct hực hi ện dướiquyền củat àikhoản gọit hựct hiứngdụngđó.Đól àdướiwi ndows,nhưng Uni x/ Li nux l ạisử dụng mộtkỹ t huậtđặc bi ệtcho phép mộtsố chương t r ì nh t hựchi ện dướiquyền củangườiquản l ýchương t r ì nh khơng phảingườigọit hực t hichương t r ì nh.Vàđâychí nh l àl ýdot ạisaot ấtcảmọingườidùngt r ong hệt hống đềucót hểđổimậtkhẩucủamì nht r ongkhikhơnghềcóqunt r uyxuấtl ênt ậpt i n / et c/ shadow,đól àvìl ệnh passwd đãđượcgán t huộct í nh SUI D vàđượcquản l ýbởi r oot ,màr ootl ạil àngườidùngduynhấtcóquyềnt r uyxuất/ et c/ shadow GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page Tuyt hế,khảnăngt i ênt i ếnnàycót hểgâynên nhữngnguycơkháphứct ạpvì nếumộtchươngt r ì nhcókhảnăngt hựct hiđượcquảnl ýbởir oot ,dot hi ếtkết ồihoặc đượccàiđặtcố t ì nh bởinhững kẻ phá hoạimà l ạiđượcđặtt huộct í nh SUI Dt hì mọiđi ều “khủng ếp”đều có t hểxảyr a.Thựct ếcho t hấycó nhi ều kỹt huật xâm phạm hệt hốngmàkhơngcóquyềnr ootđượct hựchi ệnbằngcáckỹt huậtnày: kẻ phá hoạibằng cách t ạo mộtshel lđược quản l ý bởir oot ,có t huộc t í nh SUI D,kếđếnmọit r uyxuấtpháhoạisẽđượct hựchi ệnquashel lvừat ạovìmọil ệnh t hựchi ệnt r ongshel lsẽđượct hựchi ệngi ốngnhưdướiquyềnr oot Thuộct í nhSGI D cũngt ươngt ự SUI D:cácchươngt r ì nhđượct hựchi ệnvới quyền nhóm quản l ý chương t r ì nh khơng phảinhóm ngườichạy chương t r ì nh.Như ngườiquản t r ịsẽ phảit hường xuyên ki ểm t r at r ong hệ t hống có ứng dụng có t huộct í nh SUI D hoặcSGI D mà không đượcsự quản l ýcủa r ootkhông,nếu pháthi ện đượct ậpt i n cót huộct í nhSUI D/ SGI D “ngồil uồng” ,bạn cót hểl oạibỏcáct huộct ì nhnàybằngl ệnh: #chmod a-s III Linux Firewall An t oàn hệt hống l n l n l àmộtvấn đềsốngcịn củamạngmáyt í nh vàf i r ewal ll mộtt hànhphầncốtyếuchovi ệcđảm bảoanni nh Mộtf i r ewal ll mộtt ập hợp cácquit ắc,ứng dụng chí nh sách đảm bảo cho người dùngt r uycậpcácdị chvụmạngt r ongkhimạngbênt r ongvẫnant oànđốivớicáckẻt ấn công t ừI nt er net hay t mạng khác Có hail oạiki ến t r úc f i r ewal lcơ l à: Proxy/ Appl i cat i onf i r ewal lvàf i l t er i nggat ewayf i r ewal l Hầuhếtcáchệt hốngf i r ewal lhi ện đạil àl oạil ai( hybr i d)củacảhail oạit r ên Nhi ều công t y nhà cung cấp dị ch vụ I nt er netsử dụng máy chủ Li nux I nt er netgat eway.Những máychủ nàyt hường phụcvụ máychủ mai l ,web,f t p,hay di al up.Hơn nữa,chúng cũngt hường hoạtđộngnhư cácf i r ewal l ,t hihành cácchí nh sách ki ểm sốtgi ữaI nt er netvàmạngcủacơngt y.Khảnănguyểnchuyểnkhi ếnchoLi nuxt hu hútnhưl àmộtt hayt hếchonhữnghệđi ềuhànht hươngmại Tí nhnăngf i r ewal lchuẩn đượccungcấpsẵnt r ongker nelcủaLi nuxđượcxâydựngt hait hànhphần:i pchai nsvàI PMasquer adi ng Li nux I P Fi r ewal l i ng Chai ns l mộtcơ chế l ọc góit i nI P.Những t í nh I P Chai nschophépcấuhì nhmáychủLi nuxnhư mộtf i l t er i nggat eway/ f i r ewal ldễdàng.Một t hành phần quan t r ọng khác t r ong ker nell àI P Masquer adi ng,mộtt í nh chuyển đổiđị a chỉmạng ( net wor kaddr esst r ansl at i on- NAT)mà có t hểchegi ấu cácđị a chỉI Pt hựccủamạngbên t r ong.Đểsử dụng i pchai ns,bạn cần t hi ếtl ậpmộtt ập cácl uật màquiđị nhcáckếtnốiđượcchophéphaybịcấm Cácnguyênt ắcI pchai nsThựchi ệncácchứcnăngsau: ± Accept: The packet is okay; allow it to pass to the appropriate chain Chophépchuyểngóit i nquachai nt hí chhợp ± Deny: The packet is not okay; silently drop it in the bit bucket Không đồngý,bịr ớt ± Reject: The packet is not okay; but inform the sender of this fact via anI CMPpacket Khôngđồngý,nhưngsựvi ệccủangườigởi quagóiI CMP ± Masq: Used f or I P masquer adi ng ( net wor k addr ess t r ansl at i on) Sử dụngchoI Pmasquer adi ng(vi ệcdị chđị achỉmạng) ± Redirect: Send t hi spackett osomeoneel sef orpr ocessi ng.Gởigóit i n nàyđếnmộtngườikhácđểsửl ý ± Return: Terminate the rule list Hồn thành danhsáchcácquyt ắc GVHD: NguyễnTấnKhơi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 10 Chú ý:Các góiI pf w( i pf i l t er s/ i pt abl e)dướihệ ều hành BSD cung cấp hoạtđộng t ươngt ựI pchai ns Vídụ: # Chophépcáckếtnốiwebt ớiWebSer vercủabạn /sbin/ipchains -A your_chains_rules -s 0.0.0.0/0 www -d 192.16.0.100 1024: -j ACCEPT # Chophépcáckếtnốit ừbênt r ongt ớicácWebSer verbênngoài /sbin/ipchains -A your_chains_rules -s 192.168.0.0/24 1024: -d 0.0.0.0/0 www -j ACCEPT # Từchốit r uycậpt ấtcảcácdị chvukhác /sbin/ipchains -P your_chains_rules input DENY Ngoàir a,bạn cót hểdùngcácsản phẩm f i r ewal lt hươngmạinhư CheckPoi ntFi r eWal l 1,Phoeni x Adapt i ve Fi r ewal l ,Gat eway Guar di an,XSent r y Fi r ewal l ,Rapt or , .hay r ất nhi ềucácphi ênbảnmi ễnphí ,mãnguồnmởchoLi nuxnhưT RexFi r ewal l ,Dant e,SI NUS, TIS Firewall Toolkit, 1.DÙNG CƠNG CỤ DÕ TÌM ĐỂKHẢO SÁTHỆ THỐNG Thâm nhập vào mộthệ t hống bấtkỳ cần có chuẩn bị Hackerphảixác đị nh r amáyđí ch vàt ì m xem por tnàođang mởt r ướckhihệt hống cót hểbịxâm phạm.Quá t r ì nh t hường đượct hựchi ện bởicáccơng cụ dị t ì m ( scanni ng t ool ) ,kỹ t huậtchí nh để t ì m r a máy đí ch cácpor tđang mở t r ên đó.Dị t ì m l bướcđầu t i ên hackersẽ sử dụng t r ướckhit hựchi ện t ấn cơng.Bằng cách sử dụng cáccơng cụ dị t ì m Nmap,hackercó t hể r khắp cácmạng để t ì m r a cácmáy đí ch có t hể bịt ấn cơng Mộtkhixácđị nhđượccácmáynày,kẻxâm nhậpcót hểdịt ì m cácpor tđangl ắngnghe Nmap sử dụng mộtsố kỹ t huậtcho phép xác đị nh chí nh xác l oạimáy ki ểm t r a Bằng cách sử dụngnhữngcơng cụ củachí nh cáchackert hườngdùng,ngườiquản t r ị hệt hốngcót hểnhì nvàohệt hốngcủamì nht ừgócđộcủacáchackervàgi úpt ăngcường t í nh an t ồn hệ t hống.Có r ấtnhi ều cơng cụ dị t ì m có t hể sử dụng như:Nmap, strobe, sscan, SATAN, Nmap Làchữ vi ếtt ắtcủa" Net wor kexpl or at i on t oolandsecur i t yscanner ".Đâyl àchươngt r ì nh quéthàngđầuvớit ốcđộcựcnhanhvàcựcmạnh.Nócót hểquétt r ênmạngdi ệnr ộngvà đặcbi ệtt ốtđốivớimạng đơn l ẻ.NMAPgi úp bạn xem dị ch vụ nàođang chạyt r ên ser ver( ser vi ces/ por t s: webser ver , f t pser ver , pop3, ) ,ser verđang dùng hệ ều hành , l oạit ườngl ửamàser versửdụng, .vàr ấtnhi ềut í nhnăngkhác.NóichungNMAPhỗt r ợ hầuhếtcáckỹt huậtqtnhư :I CMP( pi ngaweep) ,I Ppr ot ocol ,Null scan, TCP SYN (half open) , .NMAP đượcđánh gi ál công cụ hàng đầu cácHackercũng cácnhà quảnt r ịmạngt r ênt hếgi ới Quétan t oàn Nmap l àmộtt r ong sốcơng cụ qtan t ồn đượcsử dụng r ộng r ãinhấtsẵncó.Nmapl àmộtcổngquétmàchốngl ạicácnhânt ố,cáccáchkháct àn pháđến mạng củabạn.Nócót hểphátsi nh r anhi ều ki ểu góimàt hăm dịcácngăn xếpTCP/ I Pt r ênnhữnghệt hốngcủabạn Nmapcót hểphátsi nh r amộtdanh sách củanhữngcổngmởdị ch vụ t r ên hệ t hống bạn, t hâm nhập f i r ewal l s,và cung cấp t i n quấy r ầy,không t i n cậy đangchạyt r ênhostcủabạn.Nmapsecur i t ycósẵnt ại:http://www.insecure.org Dướiđâyl àmộtvídụsửdụngNmap: # nmap -sS -O 192.168.1.200 Starting nmap V 2.54 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) Interesting ports on comet (192.168.1.200): Port State Protocol Service open tcp echo 19 open tcp chargen GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 21 iptables-N REJECT_PORTSCAN iptables-A REJECT_PORTSCAN -p tcp -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=PORTSCAN:tcp a=REJECT " iptables-A REJECT_PORTSCAN -p udp -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=PORTSCAN:udp a=REJECT " iptables-A REJECT_PORTSCAN -p tcp -j REJECT reject-with tcp-reset iptables-A REJECT_PORTSCAN -p udp -j REJECT reject-with icmp-port-unreachable Bước6:pháthi ệnquétcổngbằngNmap iptables-N DETECT_NMAP iptables-A DETECT_NMAP -p tcp tcp-flags ALL FIN,URG,PSH -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:XMAS a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:XMAS-PSH a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags ALL ALL -m limit limit $LOG_LIMIT limitburst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:XMASALL a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags ALL FIN -m limit limit $LOG_LIMIT limitburst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:FIN a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags SYN,RST SYN,RST -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:SYN-RST a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags SYN,FIN SYN,FIN -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:SYN-FIN a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags ALL NONE -m limit limit $LOG_LIMIT -limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:NULL a=DROP " iptables-A DETECT_NMAP -j DROP iptables-A INPUT -i eth0 -p tcp ! syn -m state state NEW -j DETECT_NMAP ĐốivớicácgóiTCPđếnet h0mởkếtnốinhưngkhơngđặtSYN=1chúngt asẽchuyển sangchai nDETECT_NMAP.Đâyl ànhữnggóikhơnghợpl ệvàhầunhư l àqtcổngbằng nmap hoặckênh ngầm.Chai n DETECT_NMAP pháthi ện r a hầu hếtcácki ểu quétcủa Nmap t i ến hành ghi nhật kí mức limit $LOG_LIMIT limit-burst $LOG_LI MI T_BURST.Vídụ để ki ểm t r a quétXMAS,bạn dùng t ùy chọn tcp-flags ALL FI N, URG, PSH nghĩ al cờ FI N,URG PSH đượcbật ,cáccờ khácđều bịt Cácgói quachai nDETECT_NMAPsauđósẽbịDROPhết Bước7:chặnngậpl ụtSYN Góimở TCP vớicờ SYN đượcset1 l hợp l ệ không ngoạit r khả l góiSYN dùng để ngập l ụt Vìvậy, dây bạn đẩy góiSYN l ạiqua chai n CHECK_SYNFLOOD đểki ểm t r angậpl ụtSYN nhưsau: iptables-N CHECK_SYNFLOOD iptables-A CHECK_SYNFLOOD -m limit limit $SYN_LIMIT limit-burst $SYN_LIMIT_BURST -j RETURN iptables-A CHECK_SYNFLOOD -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=SYNFLOOD:warning a=DROP " iptables-A CHECK_SYNFLOOD -j DROP iptables-A INPUT -i eth0 -p tcp syn -j CHECK_SYNFLOOD GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 22 Bước8:gi ớihạnt r uycậpSSH cho admin SSH_IP="1.1.1.1" iptables -N SSH_ACCEPT iptables -A SSH_ACCEPT -m state state NEW -j LOG log-level $LOG_LEVEL logprefix "fp=SSH:admin a=ACCEPT " iptables -A SSH_ACCEPT -j ACCEPT iptables -N SSH_DENIED iptables -A SSH_DENIED -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=SSH:attempt a=REJECT " iptables -A SSH_DENIED -p tcp -j REJECT reject-with tcp-reset for i in $SSH_IP; iptables -A INPUT -i eth0 -p tcp -s $i dport 22 -j SSH_ACCEPT done iptables -A INPUT -i eth0 -p tcp dport 22 -m state state NEW -j SSH_DENIED Bước9:gi ớihạnFTPchoweb-master FTP_IP="2.2.2.2" iptables -N FTP_ACCEPT iptables -A FTP_ACCEPT -m state state NEW -j LOG log-level $LOG_LEVEL logprefix "fp=FTP:webmaster a=ACCEPT " iptables -A FTP_ACCEPT -j ACCEPT iptables -N FTP_DENIED iptables -A FTP_DENIED -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=FTP:attempt a=REJECT " iptables -A FTP_DENIED -p tcp -j REJECT reject-with tcp-reset for i in $FTP_IP; iptables -A INPUT -i eth0 -p tcp -s $i dport 21 -j FTP_ACCEPT done iptables -A INPUT -i eth0 -p tcp dport 21 -m state state NEW -j FTP_DENIED Bước10:l ọcTCPvào iptables -N TCP_INCOMING iptables -A TCP_INCOMING -p tcp dport 80 -j ACCEPT iptables -A TCP_INCOMING -p tcp -j REJECT_PORTSCAN iptables -A INPUT -i eth0 -p tcp -j TCP_INCOMING Bước11:l ọcUDPvàovàchặnngậpl ụtUDP iptables -N CHECK_UDPFLOOD iptables -A CHECK_UDPFLOOD -m limit limit $UDP_LIMIT limit-burst $UDP_LIMIT_BURST -j RETURN iptables -A CHECK_UDPFLOOD -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=UDPFLOOD:warning a=DROP " iptables -A CHECK_UDPFLOOD -j DROP iptables -A INPUT -i eth0 -p udp -j CHECK_UDPFLOOD iptables -N UDP_INCOMING iptables -A UDP_INCOMING -p udp dport 53 -j ACCEPT iptables -A UDP_INCOMING -p udp -j REJECT_PORTSCAN iptables -A INPUT -i eth0 -p udp -j UDP_INCOMING Để hạn chế khả bịDoS t ăng cường t ốcđộ cho máy chủ phụcvụ web, bạncót hểdùngcácht ảicânbằng( l oad-bal aci ng)nhưsau: GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 23 Cách 1:chạynhi ềumáychủphụcvụwebt r êncácđị achỉI PI nt er netkhácnhau Vídụ,ngồimáychủphụcvụwebhi ệnt ại1 4,bạncót hểđầut ưt hêm máy chủ phụcvụ web mới1 2,1 3,1 4,1 5.Đi ểm yếu cách l t ốnnhi ềuđị achỉI PI nt er net Cách 2:đặtcácmáychủphụcvụwebt r ongmộtmạngDMZ.Cáchnàyt i ếtki ệm đượcnhi ều đị achỉI Pnhưng bù l ạibạn gat ewayI pt abl es1 2.3.4 - 192.168.0.254 có t hể l oad nặng t r ước yêu cầu bạn đầu t ưt i ền cho đường t r uyền mạng t gateway Internet BạndùngDNATt r êngat eway1 4đểchuyểnt i ếpcácgóidữ l i ệut cl i entđến mộtt r ongcácmáychủphụcvụwebt r ongmạngDMZ hoặcmạngLAN nhưsau: # iptables -t nat -A PREROUTING -i eth0 -p tcp dport 80 -j DNAT todestination 192.168.0.1-192.168.0.4 IV Xâydựng hệt hống mạng Li nux Hướng dẫn càiđặtLi nux 1.Tạo đĩ abootvàt i ến t r i nh boot Đi ềuđầut i êncầnl àm l àt ạomộtđĩ amềm càiđặtcũngđượchi ểunhưđĩ akhởi động.Nếumáyt í nhcủabạncóhỗt r ợ boott r ựct i ếpt ừCD ROM t hìbạncót hểđi t i ếpdếnbướchai, cịnkhơngbạncót hểboott ừđĩ amềm , bằngcácht ạor anónhư sau : Bước1: Tr ướckhit ạođĩ aboot,đĩ aCD-ROM RedHatLi nuxvàot r ongổCD t r ênmáyt í nh củabạnđang chạyhệt hốngwi ndows.MởCommand Prompt dướiwi ndows C:\d: D:\ cd \ dosutils D:\ cd \ dosutils> rawrite Enter disk image source file name : \images \boot img Enter target diskette drive : a: Please insert a formatted diskette into A drive; nad press Enter D:\dosutils> Chươngt r ì nhr awr i t e exehỏit ênt ậpt i ncủadi ski mage( ảnhđĩ a) : Gỏvào boot.img đưađĩ amềm vàođĩ aA Sauđósẽhỏiđĩ anàosẽđượcghivào, gõ vàpa:bạndãhồnt hànhbướcnàyvàbạncómộtđĩ amềm vớit ênl à“RedHat bootdi sk” Bước2:Đưađĩ abootvàot r ongđĩ aA t r ênmuốncàiđặtRedHatLi nuxvàkhởi độngmáy, sauđó l àm cácbướcsau: GVHD: NguyễnTấnKhơi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 24 xChọnngơnngữ xChọnki ểubànphí m xChọnki ểuchuột Cáccáchcàiđặtvàphươngphápcủachúng RedHatLi nux6 1và6 2có4l ớpcàuđặtkhácnhaul à; GNOME Workstation KDE Workstation Server Custom Cả3cáchcàiđặtt r ênđềuchobạnsựl ựachọnđơngi ảncủat i ếnt r ì nhcàiđặt,ởđó máyt í nht ựđộngl àm hếtmọit hứvàbạnmấtđiđángkểt í nhl i nhhoạtt r ongvi ệc cấuhì nhmàchúngt akhôngnênbỏquavàsẽđềcậpchit i ếtt r ongnhữngbướct i ếp theo Vì lý mà nên cài đặtcust om Cáchnàychophépbạnchọn nhữngdị chvụnàosẽđượct hêm vàovàl àm t hếàođểphânhoạchhệt hống Càiđặtđĩ a(Di skset up) Chúngt agi ảsữbạnđangcàiđặcser verLi nuxmớit r ênmộtổđĩ amớikhơng cóhệđi ềunàođượccì ađặtt r ướcđó Mộtchi ếnl ượcphânhoạcht ốtl àt ạot ừng par t i onr i êngl ẻchomỗihệt hốngt ậpt i nchí nh Vi ệcnàyl àm t ăngkhảnăngbảomật vàngănchậnt ấncơnghoặckhait háccủanhữngchươngt r ì nhSUI D Bước1: Đểđạthi ệuquảcao,ổnđị nhvàant oànbạnnênt ạocácpar t i t i onnhưnhững par t i t i onđượcl i ệtkêdướiđâyt r ênmáyt í nhcủabạn Chúngt ôicũnggi ảsửr ằng t hựct ếbạnổcứngt ừ3 2GB t r ởl ênđểphânhoạchvàdĩnhi ênbạnchọnkí cht hước par t i t i ont uỳt heonhucầucần Nhữngpar t i t i onbạn phảit ạot r ênhệt hốngcủabạn: /boot 5MB Tấtcảcácker neli magest hìđượcl ưugi ửởđây /usr 512MB Par t i t i onnàycầnphảil ớnt r ướckhit ấtcảcácchương t r ì nhởdạngbi nar yđượccàiđặtởđây /home 1146MB Cânđốisốngườisửdụngbạncóýđị nht ạor at r ên máynày Vídụ10MB/ ngườinhưvậyvới114người cần1140MB /chroot 256MB Nếubạnkhơngmuốncàiđặtt r ongmơit r ườngkhơng t ựdochẳnghạnnhưDNS t ứcal fmơit r ườngchỉcó r ootmớicóquyềnt hựct hi /cache 256MB Đâyl àpar t i t i onl ưut r ữcủapr oxyser ver ( VD Squi d) /var 256MB Chứađựngnhữngt ậpt i nt hayđổikhihệt hốngchạy bì nht hường( VD cáct ậpt i nl og) 128MB Đâyl àSwappar t i t i onđượccoinhưbộnhớảocủahệ t hống, bạnnênchi akí cht hướccủapar t i t i onnàyl ớn hơnhoặcbằngdungl ượngRam hi ệncót r ênmáycủa bạn /tmp 256MB Par t i t i onchứanhữngt ậpt i nt ạm t hời / 256MB Root part i t i oncủachúngt a Chúngt acót hểt ạonênhaipar t i t i onđặcbi ệtl à” / chr oot ”và“ / cache” ,par t i t i on / chr oot cót hểđượcsửdụngchoDNS ser ver,Apacheser vervànhữngchươngt r ì nh kháct heodạngnhưDNS vàApache Par t i t i on/ cachecót hểđượcsửdụng cho Squid pr oxyser ver Nếubạnkhơngcóýđị nhcàiđặtSqui dpr oxyser vert hìbạnkhơngcần t ạopar t i t i on/ cache Đặt/ t mpvà/ homet r êncácpar t i t i onr i êngbi ệtt hìr ấthayvàcót í nhchấtbắt buộtnếungườisửdụngcí oshel lt r uycậpt ớiser ver( sựbảovệchốngl ạinhững GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 25 chươngt r ì nhSUI D), ngănchặnchươngt r ì nhnàyvàonhữngpar t i t i onr i êngl ẻvà ngăncảnngườisửdụngl àm suyyếuhoạtđộngcủabấtkỳhệt hốngnàot r ênser ver Đặt/ varvà/ usrt r êncácpar t i t i onr i êngl ẻcũngl àmộtýr ấthayvìcách ly partition / varsẽl àm par t i t i onr ootcủabạnkhôngbịt r ànđầy Tr ongcấuhì nhpar t i t i onchúngt asẽdànhr i êng256MB đĩ at r ốngchonhững chươngt r ì nhchuyểnđổir oot( chr oot edpr ogr am)gi ốngApache, DNS vànhững chươngt r ì nhkhác Vi ệcnàycầnt hi ếtvìnhữngt ậpt àil i ệugốc, nhữngt ậpt i nnhị phân, nhữngchươngt r ì nhl i ênquant ớiApachesẽđượccì ađặtt r ongpar t i t i onnày nếubạncóýđị nhchạyWebser verApachet r ongvùngr i êngbi ệtđó Nếubạnkhơngcóýđị nhcàiđặtvàsửdụngApachet r ênser vercủabạn, cót hểgi ảm bớtkí cht hướccủapar t i t i onnàyxuốngkhoảng10MB vàchỉsửdụngchoDNS l àdị ch vụl ncầnt r ongmơit r ườngchr ootvìl ýdobảomật Cáckí cht hướct ốit hi ểucủacácpar t i t i on / 35MB /boot 5MB /chroot 10MB /home 100MB /tmp 30MB /usr 232MB /var 25MB /swap 50MB Disk Druid Di skDr ui dl àchươngt r ì nhsửdụngđểphânchi ađĩ achobạn.ChọnAdd đểt hêm mộtpar t i t i onmớiEdit đểhi ệuchỉ nhmộtpar t i t i on, Delete đểxoámộtpar t i t i onvà Reset đểxácl ậppar t i t i onvềt r ạngt háibanđầu Khibạnt hêm mộtpar t i t onmới , mộtcửasổsẽxuấthi ệnt r ênmànhì nhvàcơngvi ệccủabạnl àchọnnhữngt hơngsố chopar t i t i onđó Sựkhácnhaucủacáct hơngsốđól à: MountPoi nt : vịt r r onghệt hốngt ậpt i nbạnmuốnmountpar t i t i onmớicủa bạnt ới Si ze( Megs): kí cht hướccủapar t i t i onmớit í nht r ênmegabyt es Partiton Type: có hai Linux native dùng cho Linux filesystem Swap dùng cho Linux Swap Partiton Nếubạncóđĩ acứngl oạiSCSIt hìt ênt hi ếtbịl à/ dev/ sda vànếubạncóđĩ a cứngki ểuI DEt hìt ênsẽl à/ dev/ hda Nếubạncầnhệt hốngcóhi ệuquảvàđộổn đị nht hìSCSIl àsựl ựachọnt ốtnhất Par t i t i onSwapđượcsửdụngđểhổt r ợbộnhớảo Nếumáyt í nhcủabạncó16MB Ram hoặcí thơnt hìbạnphảit ạomộtpar t i t i onswap, ngaycảkhibạncóbộnhớl ớn t hìbạncũngnênt ạopar t i t i onSwap Kí cht hướct ốit hi ểucủapar t i t i onswapnên bằnghoặcl ớnhơndungl ượngRam cót r ênmáyt í nhcủabạn Kí cht hướcl ớnnhấtcó t hểsửdụngchopar t i t i onswapl à1GB chonênnếubạnt ạomộtpar t i t i onswapl ớn hơn1GB t hìphầncịnl ạit r ởnênvơí ch Saukhit ạocácpar t i t i ont r ênhar ddi skhoànt hành, bạnsẽt hấyt hôngt i n par t i t i ont r ênmànhì nhgi ốngnhưbảngl i ệtkêdướiđây: Mount Point /boot /usr /home Device Requested sda1 MB sda5 512MB sda6 1146MB GVHD: NguyễnTấnKhôi Actual Type 5M Linux Native 512MB Linux Native 1146MB Linux Native Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 26 /chroot sda7 256MB 256M Linux Native /cache sda8 256MB 256M Linux Native /var sda9 256Mb 256M Linux Native sda10 128MB 128M Linux Native /tmp sda11 256MB 256M Linux Native / sda12 256MB 256M Linux Native Drive Geom[C/H/S] Total(M) Free(M) Used(M) Used(%) Sda [3079/64/32] 3079M 1M 3078M 99% Chú ý:Chúngt ađangsửdụngmộtđĩ acứngSCSIbởivìhaikít ựđầut i êncủat hi ết bịl à“ sd” Bâygi ờchúngt ađangphânchi avàchọnmountpoi ntchocáct hưmụccủa bạn, chọn“Next“ đểt i ếpt ục Saukhicácpar t i t i onđượct ạo, chươngt r ì nhcàiđặtsẽ hỏibạnchọnpar t i t i onđểđị nhdạng( f or mat ) Chọnpar t i t i onbạnmuốn format chọnvàoô“Checkf orbadbl ocksdur i ngf or mat)vànhấn“Next ” Chươngt r ì nhsẽ f or matcácpar t i t i onvàl àm chúngcóhi ệul ựckhiLi nuxsửdụngchúng Tr ênmànhì nhkết i ếpbạnsẽt hấysựcấuhì nhLI LO ,ởđóbạnchọncàiđặt LILO boot record: Master Boot Record (MBR) First Sector of Boot Partition Tr ongt r ườnghợpLi nuxl àhệđi ềuhành( OS)duynhấtt r ênmáyt í nhcủabạn , bạnnênchọn “Mast erBootRecor d” Kếđóbạncầncấuhì nhmạngvàgi ờt r ênmáy củabạn Saukhihồnt hànhvi ệccấuhì nhgi ờ, bạncầnphảiđặtmậtkhẩu ( passwor d0chor ootvàcấuhì nhvi ệcki ểm t r at í nh xác t hựct r ênser vermáycủa bạn Khicấuhì nhAut het i cat i onđừngquênchọn: Enable MD5 passwords Enable Shadow Sự l ựachọn package(góidữ ki ệu )ri êng l ẻ Saukhicácpar t i t i onđãđị nhhì nhvàđượcchọnđẻf or mat,bạnchuẩnbịchọn nhữnggóidữl i ệuchot í ênt r ì nhcàiđặt.Mặtđị nhLi nuxl àmộthệđi ềuhànhr ất mạnhcókhảnăngt hựct hinhi ềudị chvụhữ ch Tuynhi êncónhi ềudị chvụkhơng cầnt hi ếtt hìkhơngđưavàovìcót hểt ạor anhữngl ỗhỗngt r ongvi ệcbảomậthệ t hống Mộtcáchl ýt ưởngl àcầncàiđặtt ừngdị chvụmạngt r ênmáyphụcvụchuyên bi ệt Theomặtđị nh, nhi ềuhệđi ềuhànhLi nuxđượccấuhì nhđểcung ứngmộtdị ch vụvàứngdụngr ộnghơnnhữngyêucâucungcấpmộtdị chvụmạngr i êngbi ệt, vậycầncấuhì nhser verđểl oạibỏnhữngdị chvụmạngkhơngcầnt hi ết Chỉđưar a nhữngdị chvụchủyếut r ênmáychủr i êngbi ệt.Cót hểt ăngkhảnăngbảomậtt r ong ser vert heomộtvàiphươngphápsau:  Nhữngser verkháckhôngt hểsửdụngđểt ấncơngmáychủvàl àm hưhạivà l oạibỏnhữngdị chvụnhưmongmuốn  Nhữngngườikhácnhaucót hểquảnl ýnhữngser verkhácnhau Bằngcáchcơ l ậpcácser vi ce, mỗimáychủvàser vi cecót hểr i êngl ẻmộtngườiquảnt r ị, bạn cót hểgi ảm đếnmứct ốit hi ểukhảnăngxungđộtgi ữacácquảnt r ịvi ên  Máychủcót hểđượccấuhì nhchophùhợphơnvớiucầucủat ừngser vi ce r i êngbi ệt.Nhữngser verkhácnhaucót hểucầusựcấuhì nhphầncứngvà GVHD: NguyễnTấnKhơi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 27 phầnmềm khácnhau,vànhữngcấuhì nhđócót hểdẫnđếnnhữngt ổnhại khơngcầnt hi ếthoặcgi ớihạnser vi ce  Bằngcáchgi ảm bớtnhữngser vi ce, sốt ậpt i nl og( l ogf i l e)vàcáct hưmụcghi cũngđượcgi ảm , vìt hếvi ệcxốbỏnhữngt hơngt i nkhơngcầnt hi ếtt r ởnên dễdànghơn Mộtt i ếnt r ì nhcàiđặtchí nhxáccủaLi nuxSer verchí nhl àbướcđầut i êncho vi ệcổnđị nh, bảovệhệt hốngcủabạn Tr ướchếtbạnphảichọnnhữngt hànhphần( compoment )hệt hốngnàobạnmuốncàiđặt Chọnnhữngcompomentvàsauđóbạn có t hểt i ếpt ụcchọnvàkhơngchọnmỗigóidữl i ệur i êngl ẻcủamỗit hànhphầnbằng cáchchọnopt i on(Sel ecti nđi vi ualpackages)t r ênmànhì nhset upRedHat Khicấuhì nhmộtLi nuxser verchúngt akhơngcầnt hi ếtphảicàiđặtmột chươngt r ì nhgi aot i ếpđồhoạ(Xf r ee86)t r ênmáyt í nh Vi ệcgi ảm bớtgi aot i ếp đồhoạ(gr aphi cali nt er f ace)cóýnghĩ al ớnt r ongvi ệct ăngcácpr ocess, t ăngkhả năngxửl ýcủaCPU , bộnhớ,gi ảm sựnguyhi ểm t r ongbảomậtvàgi ảm bớtmột vàibấtt i ệnkhác Gi aot i ếpđồhoạ(Gr aphi cali nt er f ace)t hườngchỉđượcsửdụng t r êncáct r ạm l àm vi ệc( wor kst at i on) Chọnnhứnggóidữl i ệudướiđâychot i ếnt r ì nhcàiđặtcủabạn: Network Wordstation Network Management Workstation Utilities Saukhichọnnhữngt hànhphầnbạnmuốncàiđặtbạnvẫncót hểchọnvà khơngchọncácgóidữl i ệu Chú ý: Vi ệcchọnt uỳchọn(Sel ecti nđi vi ualpackage)r ấtquant r ọngt r ướckhi t i ếpt ụckhảnăngchọnvàkhơngchọncácgóidữl i ệu Lựachọn cácgóidữ l i ệu r i êng l ẻ(Inđi vi ualpackagesel ection) Tr ongphầnchỉdẫncàiđặtdướit ơiđưar anhữngnhóm góidữl i ệuđãcót r ong Li nux,chọnmộtnhóm dữl i ệunàođóđểxem xét Ngồimụcđí chhướngdẫncàiđặt,t r ongchươngt r ì nhnàyt ơicúngcóýđưa vàivấnđềbảomậtvàt ốiưuhốLi nuxvàot r ongt i ếnt r ì nhcàiđặt Nhữngt hành phầnđượcl i ệtkêdướiđâycầnđượcl oạibỏt ừcủasổchọngóidữl i ệudovấnđề bảomật,t ốiưuhốcũngnhưmộtvàingunnhânkhácsẽđượcdi ễngi ảidưới Applications/File: Applications/Internet: git finger.ftp,fwhois,ncftp,rsh,rsync,talk, telnet Applications/Publishing: ghostscript,ghostscript-fonts,groff-perl, mpage,pnm2ppa,rhs-printfilters Applications/System: arwatch,bind-utils,rdate,rdist,screen, ucdsnmp-utils Documentation: indexhtml System Enviroment/Base: chkfontpath, yp-tools System Enviroment/Daemons: XFree86-xfs,finger-server,lpr,nfs-utils, pidentd,portmap,rsh-server,rusers,rusersserver,rwall-server,rwho,talk-server, telnet-server,tftp-server,ucd-snmp, ypbind,ypserv System Enviroment/Libraries: Xfree86-libs,libpng User Interface/X: urw-fonts Nếunhữngchươngt r ì nhnhàykhơngđượccàiđạtt r ênmáyser vercủabạnt hìnhững t i nt ặcbuộcphảisửdụngnhữngchươngt r ì nhnàyt ừbênngồihoặct hửcàiđặtt r ên GVHD: NguyễnTấnKhơi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 28 máyser vercủabạn Tr ongnhữngt r ườnghợpnàybạncót hểt ì mr adấuvếtchúng nhờnhữngchươngt r ì nhgi ốngnhưTr i pwi r e Làm t hếnào sử dụng l ệnh RPM Phầnnàygi ớit hi ệut ổngquanvềl ệnhRPM,cáchsửdụngl ệnhRPM t r ênhệt hống Li nuxcủabạn  Càiđặtmộtgóidữl i ệuRPM , sửdụngl ệnh: [root@deep/]# rpm –ivh foo-1.0-2.i386.rpm Dòngl ệnht r êncóýnghĩ acàiđặtmộtgóidữl i ệur pm cót ênl àf oo-1.0-2.i386.rpm vớicáct hànhphầnsau: Têngóidữl i ệu:f oo Version : 1.0 Release: Ki ếnt r úc: i386  Loạibỏmộtgóidữl i ệu:t haychữi nđậm ởt r ênbằnge  Nângcấp( upgr ade):Uvh  Tr uyvấn( quer y) : q  Trình bày thơng tin:qi  Li ệtkênhữngt ậpt i nt r onggóidữl i ệu:ql  Ki ểm t r amộtRPM si gnat ur egóidữl i ệu: checksig Lệnhki ểm t r achữkýPGPcủagóidữl i ệuđượcchỉđị nhđểđảobảot í nht ồn vẹnvàngungốccủanó Lnsửdụngl ệnhnàyđầut i ênt r ướckhicàiđặt góidữl i ệuRPM mớit r ênhệt hốngcủabạn Khởiđộngvàdừngnhữngdị chvụdaemon( st ar t i ngandst oppi ngdaemonser vi ce) Chươngt r ì nhi ni tcủal i nux( cũngđượchi ểunhưkhởit ạovi ệcđi ềukhi ểnt i ến t r ì nh)phụt r áchvi ệckhởiđộngt ấtcảt i ếnt r ì nhbì nht hườnghoặcđượcuỷquyền chạyl úckhởiđộnghệt hống.Nhữngt i ếnt r ì nhnàycót hểbaogồm APACHE, NETWORK daemonvàbấtkỳnhữngt i ếnt r ì nhkhácyêucầuphảichạykhi ser verbạnkhởiđộng Mỗipr ocessnàycót ậpt i nscr i ptt r ongt hưmục “ / et c/ r c d/ i ni t d” Bạncót hểt hihànhnhữngscr i ptvóinhữngdịngl ệnhsau: Vídụ:  Khởiđộnght t pdWebser verbằngt aydướiLi nux :[root@deep/]#/etc/rc.d/init.d/httpd start Starting http: [OK]  Dừnght t pdWebser verbằngt aydướiLi nux :[root@deep/]#/etc/rc.d/init.d/httpd stop Shutting down http: [OK]  Khởiđộngl ạiht t pdWebser verbằngt aydướiLi nux :[root@deep/]#/etc/rc.d/init.d/httpd restart Shutting down http: [OK] Starting http: [OK] Các phầnmềm cầnphảil oạibỏsaukhit i ếnt r ì nhcàiđặtcủaser verhồnt hành Mặcđị nhmộtsốgóidữl i ệumàhệt hốngRedHatLi nuxkhơngchophépbạn chọnđểt háogỡsuốtt i ếnt r ì nhset up.Vìnguyênnhânnàybạnphảil oạibỏchúng khit i ếnt r ì nhcàiđặthồn thành Pump kernel-pcmcia-cs kudzu gd mt-st linuxconf raidtools pciutils eject getty_ps gnupg rmt mailcap isapnptools Red Hat-logos GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 29 apmd setderial Red Hat-release Sửdụngl ệnhRPM nhưdướiđâydểdt háodỡchúng  l ệnhdùngđểt háogỡphầnmềm l à: [root@deep]#rpm –e Ở đây l àt êncủaphầnmềm bạnmuốnt háogỡ Mộtsốchươngt r ì nhdaemonnhưapmd, kudzu, sendmai ldềuchạyởl úckhởiđộng máy, t ốtnhất bạnnêndừngchúngt r ướckhit háogỡr ahệt hốngcủabạn  Dừngcácpr ocessvớinhữngl ệnh: [root@deep/]# /etc/rc.d/apmd stop [root@deep/]# /etc/rc.d/sendmail stop [root@deep/]# /etc/rc.d/kudzu stop Bâygi ờbạncót hểt háogỡchúngcùngcácgóidữl i ệukhácmộtcáchant ồnvới l ệnhsau: Bước1: Xốbỏnhữnggóidữl i ệuđượcchỉđị nh [root@deep /]# rpm –e –nodeps pump mt-st eject mailcap apmd kernel-pcmcia-cs linuxconf getty_ps isapntools setserial kudzu raidtools gnupg Red Hat-logos Red Hat-release gd pciutils mt Bước2: Xoábỏcáct ậpt i nLi nux conf -instanlled bằngt ay: [root@deep /] # rm –f /ect/conf.linuxconf-instanlled Chươngt r ì nhhdpar m cầnchocácI DEhar ddí knhưngkhơngcầnvhoSCSIhar ddi sk bạnphảigi ữl aichươngt r ì nhnày, nhưngnếukhơngcóI DEhar ddi skt hìbạncót hể xốkhỏihệt hống [root@deep /]# rpm –e hdparm Nhữngchươngt r ì nhnhưkbdconf i g, mouseconf i g, t i meconf i g, aut hconf i g, nt sysvvà set upt oolt heot hứt ựt hi ếtl ậpl oạikeyboar d, mouse, t i me, NI S vàshadow passwor d chúngí tkhit hayđổisaukhicàiđặtvìt hếbạncót hểt háodỡchúngkhỏihệt hống , nếut r ongt ươngl aibạncầnt hayđổikeyboar d, mouse, t hìbạncót hểcàiđặt chúngt ừcácgóidữl i ệuRPM t r ênđĩ a CD-ROM Red Hat Cácphầnmềm cóphảiđượccàiđặtsausựcàiđặtcủaser ver Đểcót hểt i ệnbi êndị chnhữngchươngt r ì nht r ênser vercủabạn bạnphảicài đặtnhữnggóidữl i ệuRPM sau Bước1: Đầu t i ênchúngt amountổđĩ aCD-ROM vàchuyểnRPMS t r ênCD-ROM Mount CD-ROM dr i vevàchuyểnt ớit hưmụcRPMS sửdụngnhữngl ệnhsau: [root@deep /]# mount /dev/cdrom /mnt/cdrom/ [root@deep /]# cd /mnt/cdrom/Red Hat/RPMS/ Dướiđâyl ànhữnggóidữl i ệumàbạncầnbi êndị chvàcàiđặtt r ênhệt hốngLi nux: autoconf-2.13-5,noarch.rpm m4-1.4-12.i386.rpm automake-1.4-6.noarch.rpm dev86-0.15.0-2.i386.rpm bison-1.28-2.i386.rpm byacc-1.9-12.i386.rpm cdecl-2.5-10.i386.rpm cpp-1.1.2-30.i386.rpm cproto-4.6-3.i386.rpm ctags-3.4-1.i386.rpm egcs-1.1.2-30.i386.rpm ElectricFence-2.1-3.i386.rpm flex-2.5.4a-9i386,rpm kernel-headers-2.2.15.0.i386.rpm glibc-devel-2.1.3-15.i386.rpm make-3.78.1-4.i386.rpm GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 30 path-2.5-10.i386.rpm Bước2: Càiđặcnhữngphầnmềm cầnt hi ếtởt r ênvớimộtl ệnhRPM:  LệnhRPM đểcàiđặtt ấtcảcácphầnmềm vớinhaul à: [root@deep RPMS]# rpm –Uvh autoconf-2.13-5.noarch.rpm m4-1.412.i386.rpm automake-1.4-6.noarch.rpm dev86-0.150-2.i386.rpm bison-1.28-2.i386.rpm byacc-1.9-12.i386.rpm cdecl-2.5-10.i386.rpm cpp-1.1.2-30.i386.rpm cproto-4.6-3.i386.rpm ctags-3.4-1.i386.rpm egcs-1.1.2-30.i386.rpm ElectricFence-2.1-3.i386.rpm flex-2.5.4a9.i386.rpm egcs-1.1 Bước3: Bạnphảit hoátkhỏiconsol evàl ogi nt r ởl ạiđểt ấtcảcáct hayđổicóhi ệul ực x Thốtkhỏiconsol evớil ệnh: [root@deep /]# exit Saukhiđãcàiđặtvàbi êndị cht ấtcảcácchươngt r ì nhbạncầnt r ênser vercủa bạnsẽl àmộtýhaynếubạnxoábỏcáct ậpt i nobj ectđượct ạor adobi êndị ch, t r ì nhbi êndị ch, ,nhữngt ậpt i nmàbạnkhơngcịncầnnữat r onghệt hốngcủa bạn Mộtt r ongnhữngl ídol ànếumộtt ênt i nt ặcxâm phạm ser vercủabạnhẳn khơngt hểbi êndị chhoặct hayđổinhữngchươngt r ì nhnhịphân Hơnnữavi ệcnày sẽgi ảiphóngnhi ềukhoảngt r ốngvàsẽgi úpđỡvi ệccảit i ếnki ểm t r at í nht ồnvẹn củanhữngt ậpt i nt r ênser ver Khibạnchạymộtser verbạnsẽt r uyềnchonómộtcơngvi ệcđặtbi ệt đểt hựchi ện Bạnsẽkhôngbaogi ờđặtt ấtcảcácser vi cebạnmuốncungcấpt r ên mộtmáyhoặcbạnsẽl àm chậm t ốcđộ(t àinguyêncósẵnđượcchi abởimộtsố t i ếnt r ì nhđangchạyt r ênser ver)vàl àm suyyếukhảnăngbảomậtcủabạn(với nhi ềuser vi cecùngchạyt r êncùngmộtmáy, nếumộtt i nt ặcxâm nhậpvàoser ver nàyhắncót hểt ấncơngt r ựct i ếpnhữnggìcósẵnt r ênđó) Cónhi ềuser verkhácnhaul àm nhữngcơngvi ệckhácnhausẽđơngi ảnhố sựt r ơngcoi, quảnl ý(bạnbi ếtcơngvi ệcgìmỗiser versẽl àm , nhữngser vi cenào có hi ệul ực, por tnàot hìđượcmởchonhữngcl i entt r uycậpvàpor tnàot hìđóng, bạn cũngsẽbi ếtnhữnggìbạncầnt hấyt r ongcácl ogf i l e )vàđặtchobạnsựđi ều ểnt í nhl i nhhoạtt r ênmỗiser ver(ser verchuyêndànhchomai l, web,database,backup ) Những chương t rì nh đựơccàiđặtt r ên ser vercủabạn: Bước1: Dochúngt achọnt ốiưuhoávi ệccàiđặthệt hốngLi nuxcủachúngt a,đâyl danhsáchcủat ấtcảcácchươngt r ì nhcàiđặtmàbạnsẽcósaukhihồnt ấtvi ệccài đặtLi nux Danhsáchnàyphảisokhớpmộtcáchchí nhxácvớinộidungt ậpt i n i nst al l l ogt r ongt hưmục/ t mp.Đừngquêncàiđặtt ấtcảcácchươngt r ì nhđượcl i ệt kêt r ong“Cácphầnmềm phảiđượccàiđặtcủaser ver“ đểcót hểbi êndị chđúng cácht r ênser vercủabạn Bước2: Saukhichúngt at ấtcảphầnmềm cầnt háobỏsaut i ếnt r ì nhcàiđặtcủa ser vervàsaukhit hêm nhữnggóidữl i ệuRPM cầnt hi ếtđểcót hểbi êndị chchương t r ì nhnhữngchươngt r ì nht r ênser vercủachúngt a Chúngt aki ểm t r al ạidanhsách củat ấtcảcácchươngt r ì nhRPM đãđượccàiđặcvớil ệnhsau:  ki ểm t r adanhsácht ấtcảgóidữl i ệuđượccàiđặtt r ênser versửdụngl ệnh: [root@deep /] # rpm –qa >intalled_rpm GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 31 Tham số“ -qa”sẽt r uyvấnt ấtcảcácgóidữl i ệuRPM đượccàiđặtt r ênhệ t hốngvàkýt ựđặtbi ệt“ >”sẽghil ạit ấtcảnhữnggìxuấtr at r ênmànhì nhvàot ập tin intalled_rpm Bước2nàyucầuchúngt achắcchắnkhơngqnl oạibỏnhữnggóidữl i ệuRPM khơngcầnt hi ếtvàt hêm vàonhữnggóidữl i ệuquant r ọng, nhữnggóinàychophép bạnbi êndị chchươngt r ì nht r ênhệt hống Nếukếtquảgi ốngnhưt ậpt i ndướiđâyt hì t acót hểnt âm vớiser verLi nuxmớinày Nộidungcủat ậpt i ni nt al l ed_r pm phảigi ốngdướiđây: setup-2.1.8-1 findutils-4.1-34 flex-2.5.4a-9 filesytem-1.3.5-1 gawk-3.0.4-2 ncomprocess-4.2.4-15 basesystem-6.0-4 patch-2.5-10 net-tools.54-4 idconfig-1.9.5-16 gdbm-1.8.0-3 newt-0.50.8-2 gbilc-2.1.3-15 bison-1.2.8-2 passwd-0.64.1-1 shadow-utils-19990827-10 glib-1.2.6-3 perl-5.00503-10 mktemp-1.5-2 gmp-2.0.2-13 popt-1.5-0.48 termpcap-10.2.7-9 autoconf-2.13-5 procmail-3.14-2 libtermcap-2.2.8-20 gbm-1.18.1-7 procps-2.0.6-5 bash-1.14.7-22 groff-1.15-8 psmisc-19-2 MAKEDEV-2.5.2-1 gzip-1.2.4a-2 quota-2.00pre3-2 SysVinit-2.5.2-1 inetd-0.16-4 gdb-4.18-11 anacron-2.1-6 initscripts-5.00-1 readline-2.2.2-6 chkconfig-1.1.2-1 ipchains-1.3.9-5 make-3.78.1-4 etcskel-2.3-1 mount-2.10f-1 glibc-devel-2.1.3-15 file-3.28-2 4.Đị nh màu t rên t er mi nalcủabạn Đặtmộtvàimàut r ênt er mi nalcủabạncót hểgi úpchobạnphânbi ệtcáct hư mục, f i l e, t hi ếtbị, cácl i ênkếtvàcáct ậpt i nt hựct hi( execut abl ef i l e) Quanđi ểm củat ôil ànhữngmàusẽgi úpgi ảm bớtnhữngl ỗivasựđị nhhướngnhanht r onghệ t hống.Đâyl àmộtvấnđềquant r ọngvàcầnt hi ếtchỉchoRedHatLi nux6 1và nhữngver si oncũhơn, kểt ừRedHatLi nux6 2đặct r ưngnàyl ncóbởimặcđị nh Hi ệuchỉ nht ậpt i n/ et c/ pr of i l evàt hêm vàonhữngdòngsau: #Enable Colour Is eval ‟ di r col or s/ et c/ DI R_COLORS-b„ expor tLS_OPTI ON=‟ -s –F –T –col or =yes‟ Hi ệuchỉ nht ậpt i n/ et c/ bashr cvàt hêm dòng: al i asI s=‟ I s–col or =aut o‟ Sauđól ogoutval ogi nl ại.Đếnl úcnày, bi ếnmơit r ườngCOLORS mớiđược t hi ếtđặtvàhệt hốngsẽchấpnhậnđi ềunày Xi nnhắcl ạiđặct r ưngnàychỉcầnchoRedHatLi nux6 1vàcũhơn Cập nhậtphần mềm mớinhất Chúngt anêngi ữvàcậpnhậtt ấtcảcácphầnmềm ( đặcbi ệtl àphầnmềm mạng)vớinhữngver si onmớinhất Chúngt anênki ểm t r anhữngt r angđí nhchí nhở http://www.RedHat.com/corp/support/errata/index.html Nhữngt r angnàycól ẽl t àingunt ốtnhấtvìđãsũachữagần90% nhữngvấnđềchungvớiRedHat Thêm nữacácgi ảiphápvềsữachữacácl ỗhổngbảomậtcũngsẽđượcđưal ênsau24gi RedHatđượct hôngbáo, bạnnênl uônki ểm t r awebsi t enày GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 32 Phụ l ục Các phần mền bảomật Linux sXid Cáct ậpt i nSUI D/ SGI D cót hểt r ởt hànhmộtmốinguychovấnđềbảomậtvà ant ồncủahệt hống.Đểgi ảm cácr ủir onày, t r ướcđâychúngt ađã r emovecácbi t „ s‟t ừcácchươngt r ì nhđượcsởbởir ootmàsẽkhơngucầunhi ềuquyềnsửdụng , nhưngt ươngl aicáct ậpt i nt ồnt ạikháccót hểcàiđặtvới„ s‟bi t đượcbậtl ênkhi khơngcósựt hơngbáocủabạn sXi dl àmộtchươngt r ì nht heodỏihệt hốngsui d/ sgi d đượct hi ếtkếchạyt ừcr ont r ênmộtnguyênl ýcơbản Cơbảnl ànót heodõibấtkỳsựt hayđổinàot r ongcáct hưmụcvàcáct ậpt i n s[ ug] i dcủabạn Nếucóbấtkỳmộtđi ềugìmớit r ongcáct hưmụchayt ậpt i n, t hưmụcvàt ậpt i nnàysẽt hayđổibi thoặccácmodekhácsauđósẽt ựđộnngt hực hi ệnvi ệct ì m ki ếm t ấtcảsui d/ sgi dt r ênmáyser vercủabạnvàt hôngbáovềchúng chobạn Linux Logcheck Mộtcôngvi ệcquant r ọngt r ongt hếgi ớibảomậtvàant oànl àphảiki ểm t r a t hườngxuyêncáct ậpt i nxuấtr acáckếtquảt heodõihệt hống( l ogf i l e) Thông t hườngcáchoạtđộnghằngngàycủangườiquảnt r ịhệt hốngkhôngchophépanht a cot hờigi anđểt hựchi ệnnhữngcơngvi ệcnàyvàcót hểmangđếnnhi ềuvấnđề Gi ảit hí cht í nht r ưut ượngcủal ogcheck: Ki ểm t r at heodõivàghinhậncácsựki ệnxãyr at hìr ấtquant r ọng!Đólà nhữngngườiquảnt r ịcủahệt hốngnhậnbi ếtđượccácsựki ệnnàydovậycót hể ngănchặncácvấnđềchắcchắnxãyr anếubạncómộthệt hốngkếtnốivớii nt er net Thậtkhơngmaychohầuhếtl ogf i l el ànókhơngcóaiki ểm t r avál ogđó, mànó t hườngđượcki ểm t r akhicósựki ệnnàođóxãyr a.Đi ềunàyl ogchecksẽgi úpđỡ chobạn Linux PortSentry Bứct ườngl ủa( f i r ewal l )gi úpđỡchúngt abảovệmạngkhỏinhữngxâm nhập bấthợpphápt ừbênngồi Vớif i r ewal lchúngt acót hểchọnnhữngpor t snàochúng tamuốnmở vànhữngpor tnàochúngsẽđóng Thơngt i nt r ênđượcgi ữmộtcáchbí mậtbởinhữngngườichị ut r áchnhi ệm đếnf i r ewal l Tuyệtđốikhơngngườinàot ừbên ngồibi ếtt hơngt i nnày,t uynhi êncáchacker s( t i nt ặc)cũngnhưcácspammer s bi ếtmộtvàicácht ấncơngbạn, họcót hểsửdụngmộtchươngt r ì nhđặcbi ệtđểquét t ấtcảcácpor t st r ênser vercủabạnnhặtt hơngt i nqgi ánày( por t snàomở, por t s nàođóng) Nhưđượcgi ảit hí cht r ongl ờigi ớit hi ệucủaphầnPor t Sent r y Mộtchươngt r ì nhquétpor tl àmộtdấuhi ệucủamộtvấnđềl ớnđangđếnvới bạn Nót hườngl àt i ềnt hânchomộtsựt ấncôngvàl àmộtbộphậnnguyhi ểm t r ong vi ệcbảovệhữuhi ệut àinguyênt hôngt i ncủabạn Por t Sent r yl àmộtchươngt r ì nh đượct hi ếtkếđểpháthi ệnr avàphảnhồit ớicácpor tquétnhằm chồngl ạimộthost đí cht r ongt hờigi anchúngt at hựchi ệnqtpor tvàcómộtsốt uỳchọnđểpháthi ện r acácpor tqt Khinót ì mt hấymộtpor tquétnócót hểphảnứngl ạinhữngcách sau:  Mộtl ogf i l el ưucácsựvi ệcxảyquat hôngqua syslog( )  Tênhostmụct i êut ựđộngđượcbỏvàot r ongt ậpt i n“ / et c/ host s deny”cho nhữngt r ì nhbaobọcTCP  Hostnộibột ựđộngcấuhì nhl ạiđểhướngt ấtcảcácl ưut hôngt ớihostmục t i êut r ỏt ớimộthostkhônghoạtđộng(dealhost)l àm hệt hốngmụctiêu bi ếnmất GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 33  Localhostt ựđộngcấuhì nhl ạiđểl oạibỏt ấtcảcácgóit hơngt i nt ừhostmục t i êut hơngquabộl ọcl ocalhost Mụcđí chcủaPor t Sent r yl àđểgi úpngườiquảnt r ịmạngcóđượccơngcụkhảo sátkỹl ưỡnghệt hốngcủamì nh Linux OpenSSH Clien/Server Nhưđượcmi nhhoạt r ongchương2, ” SựcàiđặtLi nuxSer ver ” ,r ấtnhi ềudị ch vụmạngđượcđưavào, nhưngkhơngcóhạnchếcácdị chvụnhưr sh, r l ogi n,hoặc r execkhôngbịxâm nhậpvớiki ểumàcáct i nt ặct hườngdùngnhưnghet r ộm ện t Nhưmộthệquả, bấtkỳai, ngườimàđãt r uycậpt ớibấtkỳmáyt í nhnàođãđược kếtnốivàomạngđềucót hểl ắngnghet r ênđườngt r uyềngi aot i ếpcủahọvàl ấyvề mậtkhẩucủabạn, vàcũngnhưvi ệcl ấybấtkỳt hôngt i nr i êngt ưnàokháct hông quađườngmạngởdạngvănbản Hi ệnt ạiTel netl àchươngt r ì nhr ấtcầnt hi ếtcho cơngvi ệcquảnt r ịhằngngày, nhưngnókhơngant ồnkhinót r uyềnmậtkhẩucủa bạnởdạngvănbản(pl nt ext)t hơngquamạngvàchophépbấtkỳt r ì nhl ắng nghe ( listener) ,theo cách tin tặcsửdụngt àikhoảncủabạnđẻl àm bấtkỳ cơngvi ệcpháhoạinàomàhắnt amuốn.Đểgi ảiquyếtvấnđềnàychúngt ì mt amột cáchkhác, hoặcmộtchươngt r ì nhđểt hayt hếnó ThậtmaymắnOpenSSH l àmột dị chvụt hậtsựvữngchắcvàbảomậtcót hểt hayt hếchocáchcũ, cácchươngt r ì nh l ogi nt ừxakhơngant ồnvàcổxưachẳnghạnnhưt el net,r l ogi n,r sh, r di sthayr cp Thơngquat ậpt i nREADMEchí nht hứccủaOpenSSH : Ssh(Secur eShel l)l àmộtchươngt r ì nhđểl ogvàomộtmáyt í nhkháct hơng quamộthệt hốnghệt hốngmạng,đểt hihànhcácl ệnht r ongmộtmáyt í nhởxa, đểchuyểncáct ậpt i nt ừmộtmáynàyt ớimộtmáykhác Nócungcấpt í nhnăngxác nhậnhợpl ệ“aut hent i cat i on”vàbảomậtsựt r aođổit hơngt i nquacáckênht r uyền dẫnkhơngant ồn Nócũngđượcdựt r ùđểt hayt hếchocácchươngt r ì nhr l goi n, r sh rdist Tr ongvi ệccấuhì nh, chúngt aphảicấuhì nhOpenSSH hỗt r ợt cp-wrappers ( i net dsuperser ver )đểcảit i ếnvi ệcbảomậtchochươngt r ì nhbảomậtsẵncóvàl n t r ánhvi ệcphảichạychươngt r ì nhdaemoncủanót heoki ểubackgr oundt r ênmáy ser ver Theocáchnày, chươngt r ì nhsẽchỉchạykhimáykhách(cl i ent)kếtnốiđến vàsẽt áit hi ếtl ậpl ạichúngt hơngquat r ì nhdaemonTCP-WRAPPERS chovi ệcxác mi nht í nhđúngđắnvàchophépt r ướckhiđượcphépkếtnốit ớimáyser ver OpenSSHt hìmi ễnphí,mộtsựt hayt hếvàcảit i ếncủaSSH1vớit ấtcảcáccảnt r củacácgi ảt huậtsángt ạođượccơngnhậnbịxốbỏ(vàt r ởt hànhcáct hưvi ện đượcmởr ộngr abênngoài) ,t ấtcảcácl ỗiđượcnhậnbi ếtđãđượcsữachữa,các đặct r ưngmớiđượcgi ớit hi ệuvàr ấtnhi ềut r ì nhdọndẹpr ác(cl ean-up)khác.Đi ều đượckhunl àbạndùngphi ênbảnSSH (mi ễnphívàcácl ỗiđãđượcsửa)t haycho bảnSSH1(mi ễnphí, cịnl ỗivàl ỗit hời)haySSH2màcónguồngốcl àđượcmi ễn phínhưnghi ệnnayđãt r ởt hànhmộtphi ênbảnt hươngmại.Đốivớit ấtcảmọingười màdùngSSH2nhưcôngDat af el l ows, chúngt ôisẽcungcấpt r ongquyểnsáchnàycả haiphi ênbản, vàbắtđầuvớiOpenSSH , vàxem nónhưl àmộtchươngt r ì nhSShmới màmọingươi ìsẽphảichuyểnsangsửdụngnót r ongt ươngl Linux Tripwire 2.2.1 Mộtt i ếnt r ì nhcàiđặcRedHatLi nuxSer vert i êubi ểuxửl ýkhoảng30 400t ập t i n Vàot hờiđi ểm bậnr ộnnhấtcủachúng, cácnhàquảnt r ịhệt hốngkhôngt hể ki ểm t r at í nht ồnvẹncủat ấtcảcáct ậpt i n, vànếumộtkẻt ấncơngnàođót r uycập máyser vercủabạn, t hìhọcót hểcàiđặthayhi ệuchỉ nhcáct ậpt i nmàbạnkhông de4ẽnhậnbi ếtnhữngđi ềunày Dokhảnăngcủasựcốt r ênmàmộtsốcácchương t r ì nhđượct ạor a đểđápứngl oạivấnđềnày GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 34 Tr i pwi r el àm vi ệcởt ầngcơbảnnhất, bảovệcácmáyser vervàcácmáyt r ạm l àm vi ệcmàchúngđượccấut hànhmạnghợpnhất Tr i pwi t el àm vi ệcbằngcách t r ướct i ênl àquétmộtmáyt únhvàt ạomộtcơsởdữl i ệucủacáct ậpt i ncủahệ t hống, mộtdạngsốhoá“ snapshot“củahệt hốngt r onghệt hốngbảomậtđãbi ết Ngườisửdụngcót hểcấuhì nhTr i pwi r emộtcáchr ấtchí nhxác, chỉr õt ậpt i nvàt hư mụcsởhưur i êngchomỗimáyđểt heodõi, hayt ạomộtdạngmâuxchuẩnmànócó t hểsửdụngt r ênt ấtcảcácmáyt r ongmạng Mộtkhicơsởdữl i ệut ạor a, mộtngườiquảnt r ịhệt hốngcót hểdùngTr i wi r e đểki ểm t r at oànvẹncủahệt hốngởbấtkỳt hờiđi ểm Bằngcáchquétmộthệ t hốnghi ệnhànhvàsosánht hôngt i nvớidữl i ệul ưut r ữt r ongcơsởdữl i ệu, Tr i wi r e pháthi ệnvàbáocáo bấtkỳvi ệct hêm vàohayxốbớt, hayt hayđổit ớihệt hống bênngồicácr anhgi ớibênngồiđượcchỉđị nh.Nếuvi ệct hayđổil àhợpl ệt hìquản t r ịhệt hốngcót hểcậpnhậtcơsởdữl i ệubi ênvớit hơngt i nmới.Nếucáct hayđổicố t ì nhl àm hạiđượct ì mt hấy, t hìngườiquảnt r ịhệt hốngsẽbi ếtngaycácphầnnào củacáct hànhphầncủamạngđãbịảnhhưởng Phi ênbảnTr i pwi r enàyl àmộtsảnphẩm cócácphầnđượccảit i ếnđángkểso vớiphi ênbảnTr i pwi r et r ướcđó Server Linux DNS BIND Mộtkhichúngt ađãcàiđặtt ấtcảphầnmềm bảomậtcầnt hi ếtt r ênLi nux ser ver,đâyl àt hờiđi ểm đểcảit i ếnvàđi ềuchỉ nhphầnmạng(net wor d)củaser ver củachúngt a.DNS l àmộtt r ongnhữngdị chvụquant r ọngnhấtchosựt r aođổi t hơngt i nt r ênmạngI P, vàvìl ídonày,t átcảcácmáyLi nuxcl i entsẽđượccàiđặt nhữngchứcnăngl ưugi ữ( cachi ng)ởmộtmứcđột ốit hi ểunàođó Vi ệccàiđặtmột cachi ngser verchocácmáycl i entnộibộsẽl àm gi ảm bớtt ảit r êncác máy primary ser ver.MọtCachi ngchỉr õt ênmáychủsẽt ì m ki ếm t r ảl ờichonhữngt ênghinhớvà phầnđápánnàyđểkhinàochúngt acần,nóđápứngngaykhơngcầnmấtnhi ều t hờigi anvơí ch Vìnhữngngunnhânbảomật,đi ềur ấtquant r ọng l àDNS khơngt ồnt ại sẵngi ữacácmáyt r ênmạngvàmáybênngồi.Đểt ăngt í nhnăngant ồnhơn, đơngi ảndùngcácđị achỉI Pkếtnốivớinhữngmáybênngồit ừbênt r ongmạngvà ngượcl ại Tr ongcấuhì nhcàcàiđặt, chúngt asẽchạychươngt r ì nhBI ND/ DNS vớiuser khơngphảir ootvàt r ongmộtmơit r ườngchr oot ed.Chúngt ơisẽcungcấpchobạn bacấuhì nhkhácnhau:mộtcáichỉđơngi ảnl ưut ênmáy( cl i ent),cáit hứhail acho sl ave( secondar yser ver )vàcáit hứbal àchomast ernameser ver(pr i mar yser ver) Cấuhì nht hứnhấtsi mpl ecachi ngnameser versẽđượcdùngchomáychủcủa bạnmàkhơnghoạtđộngnhưmast erhoặcsl avenameser ver,cấuhì nhcủasl avevà mast ersẽđượcdùngchomáychủcủabạnmàhoạtđộngnhưmast ervàsl avename ser ver Thườngt hường, cấuhì nhsẽbaogồm :mộtcáisẽhoạtđộngnhưmast er,cái khácnhưsl avevàcáicịnl ạinhưsi mpl ecachi ngcl i entser ver GVHD: NguyễnTấnKhôi Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 35 Mụcl ục I An t oàn chocácgi aodị ch t rên mạng II BảomậtLi nuxServer III Firewall .9 IV Xâydựng hệt hống mạng Li nux 23 Phụ l ục GVHD: NguyễnTấnKhôi Cácphần mền bảomật 31 Si nhvi ênt hựchi ện: LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page Ant oànhệt hống Sự an t oàn hệt hống baoquanh vi ệcchọn phân phốihệđi ều hành. .. add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page 32 Phụ l ục Các phần mền bảomật Linux sXid Cáct ậpt i nSUI D/ SGI D cót hểt r ởt hànhmộtmốinguychovấnđềbảomậtvà ant... LêThịHuyềnTr ang NguyễnHuyChương LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đềt ài :Ant oànvàbảomậtt r ênhệđi ềuhànhLi nux Page Ki ến t rúcbảo mậtcủahệt hống mạng 1) Cácmứcant ồnt hơngt