Đang tải... (xem toàn văn)
An toàn & bảo mật thông tin trên LINUX Hệ thống bảo mật & phát hiện xâm nhập mạng (Nids)
an toàn và bảo mật thông tin trên linux Hệ thống bảo mật và phát hiện xâm nhập mạng (Nids) 1.Li núi u: Linux ó to ra mt s bựng n trong lnh vc tin hc v ngy cng tr nờn ph bin hin nay. Rt nhiu cỏc cụng ty, t chc trờn th gii chp nhn Linux nh l mt platform cho sn phm ca h, cng nh nhiu cụng ty, ISPs s dng mỏy ch Linux nh l cỏc Internet gateway. Vn an ton an ninh cho h thng Linux ngy cng tr nờn quan trng v bc thit hn. Ti liu ny s cú mt cỏi nhỡn tng quỏt v an ton h thng v nhng hng dn giỳp tng cng mc an ton cho h thng Linux. K t khi Linux c phỏt trin mt cỏch rng rói v nhanh chúng, c bit l trong cỏc giao dch kinh doanh quan trng, an ninh l mt vn quyt nh s sng cũn ca Linux. Vi hng trm cụng c bo v sn cú, ngi dựng Linux c trang b tt hn ngn chn v duy trỡ mt h thng an ton. Linux khụng nhng hot ng tt m cũn cú nhng tớnh nng v sn phm liờn quan cho phộp xõy dng mt mụi trng tng i an ton. 1.1 Nhng nguy c an ninh trờn linux Linux v cỏc ng dng trờn nú cú th khụng ớt cỏc l hng an ninh hn nhng h iu hnh khỏc. Theo quan im ca mt s chuyờn gia mỏy tớnh, Linux cú tớnh an ton cao hn cỏc h iu hnh ca Microsoft, vỡ cỏc sn phm ca Microsoft khụng c xem xột k lng v cht ch bng cỏc sn phm mó ngun m nh Linux. Hn na, Linux dng nh l "min nhim" vi virus mỏy tớnh (hin ti ó cú xut hin mt vi loi virus hot ng trờn mụi trng Linux nhng khụng nh hng gỡ my n ngi dựng Linux). Nhng mt h thng Linux c cu hỡnh khụng tt s t hn nhiu so vi mt h thng Microsoft c cu hỡnh tt !!! Khi cú c mt chớnh sỏch an ninh tt v h thng c cu hỡnh theo ỳng chớnh sỏch ú thỡ s giỳp bn to c mt h thng an ton ( mc m chớnh sỏch ca bn a ra). Nhng s an ton khụng phi l th cú th t c nh mt mc tiờu cui cựng. ỳng hn ú l tp hp ca nhng cỏch ci t, vn hnh v bo trỡ mt h iu hnh, mng mỏy tớnh, . Nú ph thuc vo cỏc hot ng hng ngy ca h thng, ngi dựng v ngi qun tr. Bn phi bt u t mt nn tng ban u v t ú ci thin tớnh an ton ca h thng ca bn nhiu nht cú th c m vn m bo cỏc hot ng bỡnh thng ca h thng. 1.2 Xem xột chớnh sỏch an ninh Kt ni vo Inernet l nguy him cho h thng mng ca bn vi mc an ton thp. T nhng vn trong cỏc dch v TCP/IP truyn thng, tớnh phc tp ca vic cu hỡnh mỏy ch, cỏc l hng an ninh bờn trong quỏ trỡnh phỏt trin phn mm v nhiu nhõn t khỏc gúp phn lm cho nhng h thng mỏy ch khụng c chun b chu ỏo cú th b xõm nhp v luụn tn ti nhng nguy c tim tng v vn an ton trong ú. Mc ớch ca mt chớnh sỏch an ton h thng l quyt nh mt t chc s phi lm nh th no bo v chớnh nú. cú c mt chớnh sỏch an ninh hiu qu, ngi xõy dng cỏc chớnh sỏch ny phi hiu v cú th kt hp tt c cỏc thụng tin, yờu cu, .Khi mt tỡnh hung xy ra nm ngoi d kin, chng hn mt s xõm nhp trỏi phộp vo h thng ca bn, cõu hi ln nht l "s phi lm gỡ õy ?" Nhng sai sút trong chớnh sỏch an ninh khụng ch liờn quan n nhng k xõm nhp, m cũn liờn quan n nhng vn bỡnh thng nh thi tit, thiờn tai, chỏy, n, h hng thit b, . Do vy, vic thit lp mt chớnh sỏch an ninh tt cho vic gii quyt nhng s c phi c lờn k hoch k lng, c xem xột v chng nhn bi ngi cú quyn hn trong cụng ty. Mt chớnh sỏch an ninh tt nờn bao gm cỏc vn sau : 1 an toàn và bảo mật thông tin trên linux Hệ thống bảo mật và phát hiện xâm nhập mạng (Nids) o Chớnh sỏch phc hi d liu khi cú s c o Chớnh sỏch phc hi h thng trong trng hp h hng thit b o Chớnh sỏch, cỏch thc iu tra nhng k xõm nhp trỏi phộp o Chớnh sỏch, cỏch thc iu tra khi cụng ty b cỏo buc xõm nhp vo cỏc h thng khỏc o Cỏch thc, quy trỡnh v ni thụng bỏo s xõm nhp trỏi phộp t bờn ngoi hay gõy ra bi cỏc nhõn viờn ca mỡnh. o Chớnh sỏch an ninh v mt vt lý ca h thng Chớnh sỏch bo mt: Mt iu quan trng cn phi ch ra l bn khụng th thc hin vic an ton v bo mt h thng nu bn cha xỏc nh c l cn phi bo v nhng gỡ, v cho ai. Do vy bn cn phi cú mt chớnh sỏch bo mt - ú l danh sỏch nhng gỡ m bn cho phộp quan tõm n v cng nh nhng gỡ m bn khụng cho phộp quan tõm n v da trờn c s ú bn cú th cú bt k quyt nh no v vic bo mt mt cỏch chớnh xỏc. Chớnh sỏch cng nờn xỏc nh rừ vic ỏp li ca bn cỏc i vi vi phm v vic bo mt v an ton. Bn cng nờn ý rng nhng gỡ c ra khi xõy dng mt chớnh sỏch bo mt s ph thuc vo vic bn a ra cỏc nh ngha v bo mt. Sau õy l cỏc cõu hi s cung cp mt s cỏc ch dn tng th liờn quan: - Lm th no bn phõn bit c cỏc thụng tin l nhy cm v bớ mt? - H thng cú nờn cha ng cỏc thụng tin nhy cm v bớ mt khụng? - Chớnh xỏc l bn cn phi phũng ai? - Nhng ngi s dng t xa cú tht s cn thit truy cp ti h thng ca bn khụng? - Mt khu v gii phỏp mó húa ó bo v h thng cha? - Bn cú cn phi truy cp Internet khụng? - Bn mun cho phộp h thng ca bn cú th c truy cp t Internet bao nhiờu ln? - Bn s lm gỡ khi phỏt hin ra mt s vi phm trong vic bo mt ca bn? 2 Gii thiu chung: 2.1 Ai ang phỏ hoi h thng: Cú hai t ch k xõm nhp hacker v cracker. Mt hacker l ch ngi thớch vo mt h thng no ú. Mt hacker tt bng (benign hacker) l ngi thớch t xõm nhp vo mỏy ca mỡnh hiu rừ nhng gỡ ang din ra bờn trong v nú ang hot ng nh th no. Mt hacker him c (malicious hacker) l ngi thớch vo h thng ca ngi khỏc. Benign hacker mun ngn chn tt c cỏc cuc phỏ hoi ca cỏc hacker v t ú ra i khỏi nim cracker. Tht khụng may, ó khụng ging nh ngi ta mong mun, v trong tt c cỏc trng hp ngi ta u dựng mt t ch ú l k xõm nhp intruder. K xõm nhp cú th chia lm 2 loi: T bờn trong v bờn ngoi. T bờn ngoi: outsiders: Xõm nhp t bờn ngoi mng, tn cụng webserver, chuyn th spam qua mailserver, chỳng cng cú th tn cụng fire wall tn cụng nhng mỏy bờn trong mng. K xõm nhp t bờn ngoi cú th n t internet, ng dial-up, physical break-ins, hoc t mt i tỏc (vender, customer, reseller,) T bờn trong insiders K xõm nhp cú mt ti khon hp phỏp trong h thng mng v mun tng quyn u tiờn ca mỡnh phc v nhng mc ớch khỏc nhau. 2 an toàn và bảo mật thông tin trên linux Hệ thống bảo mật và phát hiện xâm nhập mạng (Nids) 2.2 Nhng k xõm nhp vo h thng ca ta nh th no -Physical Intrusion: Nu k xõm nhp cú c kt ni vt lý n h thng ( h cú th s dng bn phớm hay l mt phn no ú ca h thng) v h cú th vo trong h thng. - System Intrusion Kiu tn cụng ny xy ra khi k t nhp ó cú mt ti khon trờn h thng, nu h thng khụng cú nhng ch vỏ bo mt mi nht. - Remote Intrusion hacker s xõm nhp vo h thng thụng qua mng. K xõm nhp khụng cn mt c quyn no. Cú rt nhiu cỏch tn cụng kiu ny. K xõm nhp s khú khn hn rt nhiu khi cú mt firewall. Chỳ ý l h thng phỏt hin xõm nhp mng cú liờn quan rt cht vi xõm nhp t xa. 2.3 Ti sao k xõm nhp cú th vo c h thng ca chỳng ta Phn mm luụn cú li. Nhng ngi qun tr h thng v cỏc lp trỡnh viờn theo dừi v nm c tt c cỏc li cú th cú. Cũn nhng k xõm nhp ch cn tỡm mt li cú th xõm nhp vo h thng. 2.3.1 Nhng li phn mm Trn b m Hu nh tt c cỏc l hng bo mt u do li ny. Mt vớ d in hỡnh l cỏc lp trỡnh viờn u t 256 ký t cho trng username login. Bỡnh thng thỡ cỏc lp trỡnh viờn s ngh khụng cú ai chn username quỏ nh vy c. Nhng cỏc hacker s ngh, chuyn gỡ xy ra nu tụi nhp vo quỏ gii hn ú ? Nhng ký t thờm vo s i õu ? h s gi 300 ký t bao gm c mó thc thi trờn server v th l h ó vo c. Hacker ó tỡm nhng li nh vy bng rt nhiu cỏch. u tiờn phi k n l mó ngun cho rt nhiu dch v u cú trờn mng. Hacker s nghiờn cu nhng mó ngun v tỡm li trn b m. Th hai l hacker cú th xem chớnh nhng chng trỡnh ú mc dự c mó assembly l rt khú. Th ba l hacker cú th kim tra bng rt nhiu d liu ngu nhiờn. Vn ny ch yu gp khi nhng chng trỡnh c vit bng ngụn ng C/C++, rt him trong nhng chng trỡnh vit bng Java. Unexpected combinations Chng trỡnh thng c xõy dng da trờn rt nhiu lp mó, v h iu hnh cú th coi l lp di cựng. K xõm nhp cú th vo cỏc d liu cú th khụng cú ý ngha vi lp ny nhng m li cú ý ngha vi lp khỏc. Ngụn ng ni ting v x lý d liu vo ca ngi dựng l PERL. Chng trỡnh vit bng PERL thng gi d liu vo ny n cỏc chng trỡnh xa hn. Mt cỏch hacker thng gp l vo d liu ging nh : | mail < /etc/passwd Mó ny s thc thi bi vỡ PERL s hi h iu hnh chy chng trỡnh thờm vo cựng vi cỏc d liu ú. Tuy nhiờn h iu hnh ó chy chng trỡnh mail v password file ó c gi cho k xõm nhp. Unhandled input Hu ht cỏc chng trỡnh c vit vo d liu bng tay. V cỏc lp trỡnh viờn khụng tớnh n chuyn gỡ xy ra nu nú khụng ỳng l nh vy. Race conditions tt c cỏc h thng ngy nay u x lýa nhim v a lung. H cú th chy nhiu chng trỡnh mt lỳc. S nguy him nu hai chng trỡnh cựng truy nhp vo cựng mt d liu trong cựng mt thi im. race condition xy ra khi chng trỡnh A c 1 file vo b 3 an toàn và bảo mật thông tin trên linux Hệ thống bảo mật và phát hiện xâm nhập mạng (Nids) nh, v thay i nú trong b nh. Tuy nhiờn trc khi A ghi li file thỡ chng trỡnh B ó thc thi xong quỏ trỡnh thay i file . Bõy gi thỡ chng trỡnh A ghi li file v tt c cỏc thay i ca B s b mt. Vỡ vy cn phi cú th t ni tip thớch hp, race condition cng rt him khi xy ra. K xõm nhp thng phi th hng nghỡn ln trc khi cú th vo c h thng. 2.3.2 Cu hỡnh h thng : nhng cu hỡnh ngm nh: Hu ht cỏc h thng u c gi n cho khỏch hng vi cu hỡnh ngm nh, mt cu hỡnh d s dng. Tht khụng may, d s dng ng ngha vi d xõm nhp. Lazy administrators Cú mt con s ỏng kinh ngc nhng mỏy hoc h thng m khụng cú mt khu cho root hay administrator. ú l iu u tiờn m k xõm nhp s th khai thỏc. Hole creation Hu nh tt c cỏc chng trỡnh u c cu hỡnh chy ch khụng bo mt. ụi khi ngi qun tr vụ tỡnh to l hng cho h thng ca mỡnh. Ngi qun tr nờn tt tt c mi dch v m khụng s dng ti, cp cỏc quyn cho cỏc user va cho cỏc cụng vic ca h. Trust relationships K xõm nhp thng khai thỏc cỏc liờn kt tin tng trờn mng. 2.3.3 Password cracking Really weak passwords khi pass quỏ n gin oỏn ra khi m ngi ú cú quan h vi bn. Vớ d a s ngi dựng ly mt khu l tờn ca mỡnh, tờn v, tờn ngi yờu, hay s nh, s in thoi, tt c u th hin mt khu ca bn quỏ "yu". Dictionary attacks tn cụng da vo cỏc t cú trong t in. Hacker cú th th ln lt cỏc t cú trong t in v cỏc hoỏn i cho n khi ỳng password. Brute force attacks tng t kiu tn cụng s dng t in. Nú s dng tt c cỏc kh nng kt hp ca cỏc ký t. 4 an toàn và bảo mật thông tin trên linux Hệ thống bảo mật và phát hiện xâm nhập mạng (Nids) 3 Gii phỏp an ninh: 3.1 Mt khu : 3.1.1Bo mt BIOS - t mt khu khi ng: Cú mt li khuyờn rng bn nờn vụ hiu húa vic khi ng (booting) t a mm ng thi t cỏc mt khu (password) trờn cỏc c tớnh ca BIOS. Bn cú th xem xột ti liu hng dn v BIOS ca bn hay xem nú khi ng ln k tip nh th no. Vic vụ hiu húa kh nng khi ng t cỏc a mm v cú ci t mt mt khu truy cp tớnh nng BIOS s ci tin tớnh an ton bo mt h thng ca bn. iu ny s lm cho mt s ngi khụng mong i c gng thay i tớnh nng BIOS cho phộp khi ng t a mm hay khi ng t mỏy server luụn b nhc nh mt khu. 3.1.2Chn mt mt khu (password) ỳng: im bt u cho mt chuyn tham quan v Linux General Security l mt khu. Nhiu ngi lu gi cỏc thụng tin v cỏc tp tin ỏng giỏ ca h trờn mt mỏy tớnh, v ch cú mt vic l ngn chn nhng ngi khỏc khi mun xem cỏc thụng tin hay tp tin ú thỡ yờu cu gừ vo mt chui di tỏm ký t hoc nhiu hn thng c gi l mt mt khu. Khụng nh mi ngi ó ngh, khụng th cú mt mt khu no khụng gii c. Vi thi gian v cụng sc, tt c mt khu u cú th c oỏn ra, k c vic dựng cỏc mu mo trong cuc sng hay ỏp lc. Dựng nhng mu mo trong cuc sng cú c cỏc mt khu v cỏc phng phỏp truy cp khỏc vn l cỏch ph bin nht v d nht ginh c quyn truy cp ti cỏc ti khon v cỏc mỏy server. Chy mt chng trỡnh b khúa mt khu mi tun mt ln da trờn h thng ca bn l mt ý tng hay. Vic ny giỳp bn tỡm v thay th cỏc mt khu m nú d dng c oỏn ra hay cú hiu lc kộm. Cng th, mt c ch kim tra mt khu l nờn cú loi b nhng mt khu kộm hiu lc khi ln u tiờn chn mt mt khu hay thay i mt mt khu c. Chỳng ta khụng nờn chp nhn mt mt khu mi vi chui ký t l cỏc t d hiu, hoc l tt c cỏc ký t u cú nh dng in hay thng ging nhau, hoc khụng cha ng cỏc s hay cỏc ký t c bit. Chỳng ta nờn tuõn theo cỏc nguyờn tc sau to mt khu mt cỏch hiu qu: - Cú chiu di ớt nht l sỏu ký t, c a chung nht l tỏm ký t trong ú cú ớt nht mt ký t s hay ký t c bit. - Chỳng phi khụng tm thng, mt mt khu tm thng l mt mt khu d dng oỏn ra v nú thng da trờn tờn, h, ngh nghip hoc mt s c bit cỏ nhõn khỏc ca ngi s dng. - Chỳng nờn cú hiu lc trong mt giai on, yờu cu thay i mt khu mi sau mt thi gian ó nh. - Chỳng nờn c hy b hay to li sau khi cú mt s ln th khụng thnh cụng. Chiu di mt khu: Chiu di ca mt khu ti thiu cú th chp nhn oc mc nh khi bn ci t h thng Linux l 6. iu ny núi lờn rng khi mt ngi s dng mi thỡ c phộp truy cp trờn mỏy server, chiu di mt khu ca ngi s dng ú s cú ti thiu l 6 ký t v nú bao gm cỏc ký t, ký s, ký t c bit v.v . Nh th vn cha m nú phi l 8. ngn chn nhng ngi cú t tng khụng chỳ trng n bo mt v bt buc h phi dựng chiờu di password ti thiu 8 ký t, ngi qun tr h thng cng cú th hiu chnh tp tin quan trng "/etc/login.defs" v thay i dũng sau tr thnh: PASS_MIN_LEN 6 5 an toàn và bảo mật thông tin trên linux Hệ thống bảo mật và phát hiện xâm nhập mạng (Nids) tr thnh PASS_MIN_LEN 8 "login.defs" l tp tin cu hỡnh cho chng trỡnh login. Bn nờn xem xột li hay thay i ni dung tp tin ny cho phự hp vi h thng riờng bit ca bn. õy l ni m bn t cỏc ci t chớnh sỏch bo mt khỏc (ging nh s mc nh ht hn ca mt khu hay chiu di ti thiu mt khu cú th chp nhn). 3.1.3 Default password Cỏc nh sn xut hay cỏc sn phm u luụn cú nhng mt khu ngm nh lỳc u, nu ngi qun tr cha thay i chỳng thỡ s l k h cỏc hacker cú th th u tiờn. Chỳng thng l:root root, root system, sys sys, sys system, daemon daemon, uucp uucp, tty tty, test test, unix unix, unix test, bin bin, adm adm, adm admin, admin adm, admin admin, sysman sysman, sysman sys, sysman system, sysadmin sysadmin, sysadmin sys, sysadmin system, sysadmin admin, sysadmin adm, who who, learn learn, uuhost uuhost, guest guest, host host, nuucp nuucp, rje rje, games games, games player, sysop sysop, root sysop, demo demo, 3.1.4 Tng tớnh an ton ca mt khu v mó hoỏ: Mt khu trờn h thng *nix c lu trong file /etc/passwd, mt file cha cỏc tờn ngi s dng, UIDs, GIDs, v cỏc mt khu c mó hoỏ cho ngi s dng trờn h thng. Ngoi ra, file ny cũn lu cỏc thụng tin khỏc, nh tờn y ca ngi s dng, ng dn th mc, hay h thng shell. Bt k ai truy cp h thng cng cú th hin th ni dung ca file /etc/passwd. iu ny to ra kh nng phỏ hoi vi cỏc user v nhng k tn cụng cú th to ra cỏc l hng bo mt nhn c mt bn sao ca file mt khu ny. Cỏc h thng *.nix thng s dng thut toỏn mó hoỏ (nh thut toỏn DES) to ra cỏc bng bm mt khu. DES s dng thut toỏn mó hoỏ 56 bit. Vi thut toỏn ny, DES ó c s dng nh thut toỏn mó hoỏ ph bin trc õy. Tuy nhiờn, theo thi gian, khi phn cng phỏt trin v giỏ thnh thit b r i, thut toỏn ny ó tr nờn d dng gii mó v to li mó. Vỡ vy, vi cỏc h thng tc nhanh s vic crack cỏc mt khu khụng phi quỏ khú.Vớ d: l0phtCrack cú th s dng crack cỏc mt khu ca Windows, chng trỡnh crack ca Alec Mufet cú th s dng crack mt khu h thng *.nix. Vic phỏ mó ó c phỏt trin theo thi gian, c vit t nm 1991 v hin ti nú ó c phỏt trin n phiờn bn 5.0a. Vic phỏ mó cú th c cu hỡnh tng thớch vi bt k mụi trng no; cỏc file cu hỡnh cú th c sa i h tr cho cỏc nh dng file mt khu khỏc nhau, loi thut toỏn mó hoỏ khỏc nhau, . Vic phỏ mó s dng danh sỏch t in nh nn tng cho vic phỏ mó; cỏc file t in ny cng cú th c cu hỡnh li mt cỏch d dng. Núi chung, lit kờ danh sỏch cu trỳc th mc cho vic th chng trỡnh, bn cng cú th cu hỡnh tp t in hay cỏc lut to mó nh mt phn trong vic phỏ mó. Cỏc lut ny cú th bao gm cỏc phng thc nh gn trc hay sau cỏc ký t vo cỏc t chun, gp ụi hay o ngc cỏc t, thay i cỏc ký t t thng sang hoa ., hay thay th mt t ny bng mt t khỏc. Vy lm cỏch no bo v cỏc mt khu trờn h thng *.nix trong khi file /etc/passwd l file cú th c v s phỏt trin t ca cỏc cụng c crack mt khu. Mt vi phng thc ci thin mt khu ó c thc hin cho phng thc an ton mt khu trong h thng *.nix. u tiờn c gii thiu l loi mt khu búng (shadow password). Vic cha cỏc bng bm mt khu trong file c c /etc/passwd khụng an ton, vỡ vy cỏc bng bm ny c a vo trong mt file riờng r, file 6 an toàn và bảo mật thông tin trên linux Hệ thống bảo mật và phát hiện xâm nhập mạng (Nids) /etc/shadow. File ny ch cú th c bi quyn root v vỡ vy cú kh nng bo mt tt hn. Hai file ny c s dng cựng nhau cung cp vic chng thc cho user. Cỏc file mt khu búng ó tr nờn thụng dng v c s dng mc nh cho rt nhiu h thng *.nix nh Sun Solaris. Tuy nhiờn, chỳng khụng phi l mc nh ca ton b cỏc h thng. Chng hn vi Red Hat Linux, vic s dng mt khu búng c la chn trong cỏc bc ci t h thng. Cỏc mt khu búng nờn c s dng bt c õu trong h thng. Th hai, mt s phiờn bn ca *.nix hin ti cung cp thut toỏn mó hoỏ tt hn, (cú th s dng tu chn trong mó hoỏ), s dng thut toỏn bng bm MD5 thay th cho DES. Passwd l lnh mc nh s dng cho vic thay i mt khu trờn cỏc h thng *.nix. Lnh ny cng h tr vic kim tra tớnh an ton ti thiu i vi cỏc mt khu ca ngi s dng nhng khụng h tr tớnh nng ũi hi ngi s dng thay i mt khu ca h sau mt khong thi gian. Vớ d lnh passwd trong Sun Solaris h tr tớnh nng trờn, v cng to ra cỏc kim tra sau: di ti thiu, m nh qun tr cú th ch nh (mc nh l 6 ký t). Chỳ ý rng bt chp di mt khu, ch cú 8 ký t u c xem cho mc ớch chng thc. Phi cha ớt nht 2 ký t (hoa hoc thng) v mt s hay biu tng. Khụng th l tờn, o ngc tờn truy cp h thng, hay bt c vic dch chuyn ký t t tờn truy cp h thng. Cỏc mt khu mi phi cú ớt nht 3 ký t khỏc so vi mt khu c. npasswd, c vit bi Clyde Hoover, thc hin cỏc kim tra sau: Kim tra t vng ( di ti thiu); khụng cho phộp cỏc ký t lp li hay cỏc mu mt khu thụng thng nh cỏc con s thng gp; ũi hi mt khu l s pha trn gia con s, ký t, biu tng Kim tra file passwd (khụng cho phộp ly thụng tin t file passwd). Kim tra t in (khụng cho phộp cỏc mt khu c to t cỏc t c tỡm thy trong cỏc file t in cu hỡnh). Kim tra thi im (tu chn - khụng cho phộp s dng cỏc mt khu ó c s dng gn õy). Kim tra a phng (tu chn - site cu hỡnh - cỏc kim tra ch nh; mc nh l khụng cho phộp nhiu tờn hostname trong file .rhosts). Anlpasswd ca vin nghiờn cu quc gia Argonne v chuyờn ngnh thut toỏn v khoa hc mỏy tớnh, l mt chng trỡnh vit bng ngụn ng Perl. S ci thin chớnh ca nú l h tr cho mụi trng NIS v kim tra cỏc mt khu user chng li danh sỏch t in vi khong 13 t t khi c to bi chng trỡnh crack. Passwd+, c vit bi Matt Bishop, l mt chng trỡnh rt phc tp, m giỳp bn cu hỡnh mt s kim tra (da trờn mụ hỡnh mu, xõu, s hay ký t). Mi mt khu phi tho món ton b cỏc kim tra ny.Nu la chn thay th passwd vi cỏc giỏ tr ny (nhỡn chung l mt ý tng tt) cn cn xem xột mt s im. u tiờn, kim tra liu cỏc giỏ tr passwd ca bn cú h tr s dng mt khu búng; ngoi cỏc file mt khu búng, bn phi da vo mnh ca thut toỏn mó hoỏ v ln ca mt khu (vớ d nh loi b cỏc mt khu yu) bo v bn. Th hai, nu bn ang chy NIS hay NIS++, m bo rng phn mm h tr ch mt mụi trng; khụng phi ton b. Cỏc mt khu búng cú thut toỏn mó hoỏ 7 an toàn và bảo mật thông tin trên linux Hệ thống bảo mật và phát hiện xâm nhập mạng (Nids) mnh, v cú b lc mt khu tt hn, cung cp tớnh nng bo v tt hn bng cỏch to ra khú hn cho k tn cụng duy trỡ v crack mt khu ca ngi s dng. 3.1.5 Cỏc mi e do khỏc v cỏc gii phỏp Cỏc mt khu ti h thng hin ti cú th c bo mt tt hn, nhng mi e do vn tn ti. iu ny c bit ỳng vi trong cỏc mụi trng h thng *.nix, cú rt nhiu mi e do ny da trờn cỏc chng trỡnh TCP/IP v cỏc giao thc m khụng xõy dng cỏc thut toỏn mó hoỏ hay c ch bo v khỏc. Vớ d: telnet v cỏc lnh r* (rsh, rlogin, ) gi cỏc mt khu di dng text. Vic bo v cỏc mt khu c mó hoỏ c cha trờn h thng s khụng cũn ý ngha nhiu khi bn truyn cỏc mt khu ny di dng text qua mng. Cỏc giao thc khụng bo mt nờn c t vi cỏc giao thc bo mt thay th. S dng secure shell - ssh, m cỏc thụng tin c mó hoỏ truyn ti u cui, c thit k thay i telnet v rsh; secure copy (scp) cú th c s dng thay th ftp v rcp. OpenSSH l mt sn phm min phớ c phỏt trin nh mt phn trong ton b d ỏn OpenBSD. Nú gm cú ssh, scp v cỏc cụng c ssh. Cỏc giỏ tr BSD (OpenBSD, FreeBSD, BSDi) v mt s cỏc phiờn bn Linux (Debian, SuSE, RedHat, Mandrake). Hin ti, OpenSSH cú th c s dng nh phn thờm vo cho mi h thng *.nix. Cỏc gii phỏp khỏc Do s a dng i vi mt khu ca cỏc h thng *.nix c ngay trong h thng v khi truyn thụng, mt s phng phỏp khỏc ó c thc hin lm tng tớnh an ton cho mt khu. Mt trong nhng phng phỏp thụng dng nht l mụ t cỏc mt khu s dng mt ln v sau ú c hy b. Cỏc h thng ny cú 2 thun li sau: Chỳng hng ti thc thi cỏc truyn thụng mt khu mang tớnh bo mt, hu ht s dng vic mó hoỏ trong khuụn dng ca mt giao thc dng challenge/response, vỡ vy cỏc mt khu khụng bao gi c truyn trờn mng. Vỡ mt khu c s dng ch mt ln, thm chớ nu chỳng b ly i bi k tn cụng, nú cng khụng th s dng li. Cỏc h thng mt khu s dng 1 ln (OTP - Once-Time Password) cú th c thc hin bi phn cng - nh l cỏc th smart card - hay trong phn mm. Trong khi cỏc gii phỏp thng mi tn ti, chỳng ta hóy xột n mt s cỏc chng trỡnh dng min phớ. S/KEY, mt trong nhng h thng da theo mụ hỡnh OTP, c vit bi Bellcore (hin ti vit bi Telcordia) v c phỏt trin nh mt phn mm mó ngun m. Bellcore gn õy ó bt u phỏt trin phiờn bn thng mi, nhng phiờn bn min phớ vn c cung cp. Khi S/KEY tr thnh sn phm thng mi, phn mó ngun m ca chng trỡnh ny vn c quan tõm v phỏt trin thnh sn phm OPIE. C S/KEY v OPIE s dng mt h thng challenge/response. Trong mi trng hp, mt khu ca ngi s dng c cha, trong dng mu c mó hoỏ, trờn h thng mỏy ch. Mi h thng s dng b mó to mt khu chung da theo thụng tin ngi s dng cung cp lỳc ban u v liờn kt vi mt s tun t. Mt khu u tiờn ca ngi s dng c to bng cỏch t thụng tin ca ngi s dng ú qua mt thut toỏn bng bm (nh thut toỏn MD4 cho S/KEY, MD5 cho OPIE) vi s N mt khu c to. N l s ln trong dóy bng bm ngi s dng cú th truy 8 an toàn và bảo mật thông tin trên linux Hệ thống bảo mật và phát hiện xâm nhập mạng (Nids) cp. Mt khu k tip c to bng cỏch gim N i 1 v t thụng tin ú trong bng bm s N-1, v tip tc nh vy. Vi mc ich chng thc, khi mt ngi s dng ng nhp vo h thng, anh ta s gi tờn truy nhp ca anh ta ti mỏy ch. Mỏy ch s tr li theo phng thc challenge, bao gm to s tun t ca ngi s dng. Sau khi ngi s dng gừ mt khu v gi ti mỏy ch, nu mt khu trựng vi mó m mỏy ch ó to trc ú mt khong thi gian, ngi s dng ú c chp nhn truy cp h thng. (Chỳ ý rng, mt khu ny ch cú giỏ tr trong mt khong thi gian nht nh. V trong khong thi gian ny, ngi s dng s khụng th ang nhp li nu h thng khụng c thit lp li hay khi to li). S/KEY v OPIE ó thc s c thit k bo v cỏc k tn cụng nh replay attack, vỡ thụng tin mt khu ch cú giỏ tr cho mi phiờn lm vic, nú khụng th b lõy bi mt cụng c mo danh hay s dng li ti thi im khỏc. Tuy nhiờn, mt thụng tin mó hoỏ yu cng cú th lm h thng nh S/KEY hay OPIE cú th cú l hng nh mt mt khu yu. Vỡ vy, ban u, chỳng ta cn quay li ni m chỳng ta xut phỏt: ú chớnh l s dng cỏc mt khu cú di ln. 3.1.6 Cỏc cụng c: An ton ca mt khu trờn cỏc h thng *.nix bao gm 3 khớa cnh chớnh: u tiờn, bn phi to cỏc mt khu v cỏc bng bm vi khú cho cỏc k tn cụng khú cú th phỏ mó c. Bn cú th thc hin iu ny s dng cỏc file mt khu, nh hn ch quyn truy cp hn l thay i file chun /etc/passwd file. Th hai, bn phi mó hoỏ mt khu khi truyn tin. Thay th cỏc giao thc s dng vic chng thc dng text vi cỏc dng chng thc c mó hoỏ. Th ba, m bo rng thut toỏn mó hoỏ, bn thõn nú l an ton. Khụng cú phng thc mó hoỏ no l hon ho; s dng thut toỏn mó hoỏ mnh nhng ni cú th (MD5 hay MD4 hay th tc mó hoỏ crypt). Thm chớ khi bn s dng thut toỏn mó hoỏ, cỏc mt khu mnh vn l phng thc tt nht bo v vic phỏ mó hay oỏn mt khu. Cui cựng, vic kim tra cỏc mt khu ca bn (vớ d: vi quyn truy cp) l mt trong nhng cỏch tt nht nõng cao an ton cho h thng ca bn. Cỏc cụng c nh Crack rt hu ớch khụng ch cho nhng k tn cụng m cũn cho c nhng ngi qun tr an ton h thng. Ton b cỏc cụng c c lit kờ trong bng sau: Cụng c kim tra Phiờn bn hin ti Cú sn ti Mụi trng chy Crack 5.0a Trung tõm nghiờn cu giỏo dc thuc trng i hc Purdue (CERIAS) *nix; Solaris, Linux, FreeBSD, NetBSD, OSF, and Ultrix anlpasswd 2.3 Cú rt nhiu Website cung cp, gm c server FTP ca CERIAS *nix npasswd Thuc trng i hc Texas ti Austin v ti mt s website khỏc BSDI, FreeBSD, NetBSD, SunOS, UNIX, and Ultrix passwd+ 5.0a Trng i hc Dartmouth v mt s website khỏc. a ch download: ftp://ftp.dartmouth.edu/pub/security/ *nix 9 an toàn và bảo mật thông tin trên linux Hệ thống bảo mật và phát hiện xâm nhập mạng (Nids) S/KEY 1.1 (phn mm min phớ) Bellcore FTP site FTP ca site Bellcore, theo a ch: ftp://thumper.bellcore.com/pub/nmh/ AIX, BSDI, DG-UX, Digital UNIX/Alpha, FreeBSD, HP- UX, IRIX, Linux, NetBSD, OpenBSD, SCO, Solaris, SunOS, and Ultrix OPIE 2.32 The Inner Net (http://www.inner.net/opie) *nix 3.2 Cu hỡnh h thng 3.2.1 Ti khon root: Ti khon root l c gỏn quyn nhiu nht trờn mt h thng Unix. Taỡ khon "root" khụng cú mt hn ch bo mt no. iu ny cú ngha l h thng cho rng bn bit nhng gỡ bn ang lm, v s thc hin chớnh xỏc nhng gỡ bn yờu cu - khụng cú cõu hi no c t ra v nhng iu ú. Chớnh vỡ vy, nú rt r dng vi mt cõu lnh nhp sai cú th s xúa sch tt c cỏc tp tin h thng. Vỡ vy khi s dng ti khon ny bn phi tuyt i cn thn trỏnh nhng li lm ỏng tic. phc v cho cỏc lý do bo mt khụng cn phi log-in vo mỏy server ca bn nh l "root". Hn na, nu bn khụng cú lm vic trờn mỏy server ca bn, thỡ ng nờn vo v ra khi h thng nh l "root"- iu ny l rt d. t thi gian time-out login cho ti khon root: Mc dự c lu ý l khụng nờn vo h thng vi account l "root" v logout khi khụng lm vic trờn mỏy server, tuy nhiờn vn cú nhng ngi qun tr h thng vn cũn lu li mn hỡnh login nh "root" hay quờn ra khi h thng (logout) sau khi kt thỳc cụng vic ca h hoc ri khi cỏc mỏy trm khụng cựng vi ti khon no. gii quyt vn ny ta to mt bash shell t ng logout sau khi khụng c dựng trong mt khong thi gian. thc hin iu ú, bn phi c bin c bit ca Linux c t tờn l "TMOUT" ti thi gian tớnh bng giõy khụng cú thao tỏc no c nhp vo trc khi logout. Chnh sa tp tin profile ca bn "vi /etc/profile" v thờm dũng sau vo mt ni no ú bờn di dũng cha "HISTFILESIZE=" trong tp tin ny: TMOUT=7200 Giỏ tr m chỳng ta nhp vo cho bin "TMOUT=" l c tớnh bng giõy v biu th 2 gi (60*60=3600*2=7200 giõy). iu quan trng l hóy ghi chỳ rng nu bn quyt nh t dũng trờn vo trong tp tin "/etc/profile", khi ú vic t ng logout sau 2 gi nu khụng cú cỏc hnh ng no s c ỏp dng cho tt c mi ngi s dng trờn h thng. Nu bn thớch iu khin vic t ng logout ch cho mt user c th no ú bn cú th t bin ny trong tp tin riờng ".bashrc" ca h. Sau khi tham s ny ó c t li trờn h thng, bn phi logout v login li ln na (nh root) cho vic thay i cú tỏc dng. 3.2.2 Tp tin "/etc/exports" Nu bn ang xut ra cỏc h thng tp tin dựng dch v NFS, thỡ bo m cu hỡnh tp tin "/etc/exports" vi hn ch truy cp ti a. iu ny cú ngha l khụng dựng cỏc ký t i 10 [...]... ỳng, hay núi cỏch khỏc l ó b crack 19 an toàn và bảo mật thông tin trên linux Hệ thống bảo mật và phát hiện xâm nhập mạng (Nids) 3.2.13 XWindows Security Motivation / introduction Tính bảo mật của XWindows rất kém Trên một mạng máy tính Unix, bất cứ ai cũng có thể kết nối và mở một màn hình X, đọc các cú gõ phím, chụp trạng thái màn hình, chạy các ứng dụng không đợc bảo vệ Dù rằng đấy là những sự việc... - Thi gian m ngi dựng ng nhp Trong mt s h thng V Unix, file wtmp c t /etc/wtmp v c dựng cho mc ớch kim toỏn Trờn h thng AT&T V.3.2 thỡ nú cha ng cỏc thụng tin: - Tờn truy nhp 31 an toàn và bảo mật thông tin trên linux Hệ thống bảo mật và phát hiện xâm nhập mạng (Nids) - S hiu dũng cui - Tờn thit b - Quỏ trỡnh ID ca login shell - Code biu th kiu mc - Thoỏt khi tỡnh trng ca tin trỡnh - Thi gian m mi... crypt($plain, $salt[int(rand(@salt))] $salt[int(rand(@salt))] ); } 18 an toàn và bảo mật thông tin trên linux Hệ thống bảo mật và phát hiện xâm nhập mạng (Nids) Bc 2: to 1 file htaccess vi ni dung nh sau: AuthName "Khu vc cm" AuthType Basic AuthUserFile /somepaths/users require user vicki # nu bn ang dựng Apache Server, hóy thờm cỏc dũng sau vo # ngn chn users download cỏc files htaccess & htpasswd . an toàn và bảo mật thông tin trên linux Hệ thống bảo mật và phát hiện xâm nhập mạng (Nids) 1.Li núi u: Linux ó to ra mt s bựng n trong lnh vc tin hc. hp ca cỏc ký t. 4 an toàn và bảo mật thông tin trên linux Hệ thống bảo mật và phát hiện xâm nhập mạng (Nids) 3 Gii phỏp an ninh: 3.1 Mt khu : 3.1.1Bo