Mẹo giữ server Ubuntu Linux của bạn an toàn Khi là quản trị viên hệ thống, một trong những nhiệm vụ trọng yếu của bạn là xử lý các vấn đề bảo mật server. Nếu server của bạn được kết nối Internet, bạn nên đặt nó trong vùng xung đột. Nếu đó chỉ là một server nội bộ, bạn vẫn cần xử lý (có thể là một cách ngẫu nhiên) những đối tượng nguy hiểm, các nhân viên chống đối hay gã kế toán nào đó muốn đọc trộm e-mail bí mật của sếp. Thông thường Ubuntu Server rất an toàn. Ubuntu Server Team - nhóm sản xuất các phiên bản update bảo mật văn phòng - đã thực hiện lần lột xác thành công nhất trong lịch sử ngành công nghiệp bảo mật với Ubuntu Server. Ubuntu không được gắn với chính sách cổng mở. Có nghĩa là sau khi bạn cài đặt, để chế dộ desktop hay server cho Ubuntu xong, mặc định sẽ không có chương trình ứng dụng nào chấp nhận kết nối đến internet. Giống như Ubuntu desktop, Ubuntu Server sử dụng cơ chế sudo trong quản trị hệ thống, tránh sử dụng tài khoản gốc. Các bản update bảo mật còn được bảo hành ít nhất 18 tháng sau khi phát hành (một số bản lên đến 5 năm như Dapper) và hoàn toàn miễn phí. Trong phần này chúng tôi muốn bàn về vấn đề bảo mật file hệ thống, các giới hạn nguồn hệ thống, xử lý các bản ghi và an ninh mạng. Nhưng bảo mật trong Linux là một đề tài khó và rộng lớn nên chúng tôi chỉ xin cung cấp cho các bạn một số cách giải quyết xung đột cơ bản. Để trở thành một quản trị viên tốt, bạn nên quan tâm tới vấn đề này và học hỏi thêm từ các nguồn khác mà chúng tôi sẽ cung cấp trong bài. Quản trị tài khoản người dùng Nhiều khía cạnh quản trị người dùng của hệ thống Linux được thực hiện nhất quán trên các phân phối của nó. Trước đây, hãng Debian cung cấp một số tiện ích như mã lệnh useadd, giúp bạn quản trị dễ dàng hơn. Sau này Ubuntu kế thừa đầy đủ mô hình quản trị người dùng của Debian. Chúng ta sẽ không đi sâu vào chi tiết của Debian mặc dầu nó được coi là mô hình chuẩn trong quản trị người dùng. Các bạn muốn tìm hiểu thêm có thể tham khảo tại website của O’Reilly. Vấn đề chúng ta quan tâm ở đây là sự khác biệt của Ubuntu với mô hình chuẩn: sudo. Ubuntu không cho phép đặt mặc định root, administrator, account. Nó có cách xử lý lợi ích bảo mật khá hay và một số phương án giảm cấp đáng kinh ngạc. Đó là văn bản hoá tất cả trong các trang chính của file gốc sudo_root. Trong quá trình cài đặt, bạn thêm vào người dùng nào thì mặc định người dùng đó sẽ được đặt trong nhóm admin và có thể dùng sudo để thực hiện các nhiệm vụ quản trị hệ thống. Sau khi thêm tên người dùng mới vào hệ thống, bạn có thể đưa họ vào nhóm admin bằng câu lệnh: $ sudo adduser username admin Nếu muốn loại một người nào ra khỏi nhóm admin, đơn giản bạn chỉ cần đặt lệnh deluser thay thế adduser. Một điều bạn nên chú ý là sudo không chỉ cung cấp quyền truy cập thư mục gốc. Nó còn có thể điều khiển các quyền nhỏ bên trong, chẳng hạn như việc ra lệnh: “chỉ cho phép người dùng này thực thi 3 câu lệnh với các đặc quyền của superuser” Tài liệu mô tả các quyền này nằm trong trang “sudoers” nhưng nó khá khó hiểu. Bạn chỉ cảm thấy rõ ràng hơn đôi chút khi đọc đến phần ví dụ của nó, tài liệu này cung cấp hầu hết các tình huống bạn cần dùng đến sudo. Khi đã thực sự hiểu, đơn giản bạn chỉ cần chạy câu lệnh: $ visudo Ở đây bạn phải cẩn thận. Cơ sở dữ liệu sudoers, nằm trong “/etc/sudoers” không mở được bằng một trình soạn thảo. Bởi vì một trình soạn thảo không thể kiểm tra được cú pháp. Nếu bạn làm rối cơ sở dữ liệu sudoers, có thể bạn sẽ phải tự mình tra tìm dữ liệu mà không thể trở thành người quản trị được. Bảo mật hệ thống file Mô hình bảo mật file được chuẩn hoá trong hầu hết các hệ thống tựa Unix và được gọi là mô hình POSIX. Mô hình này có 3 quyền truy cập file và thư mục mở rộng cho: người sở hữu, nhóm và các đối tượng khác. Tất cả đều được thực hiện giống nhau tại bất kỳ phân phối Linux nào. Đó là lý do vì sao chúng ta không tập trung phân tích kỹ vấn đề này. Các bạn có thể tham khảo thêm tại các trang “chmod” và “chown” trong phần trợ giúp của Linux hoặc trên Internet. Bây giờ chúng ta sẽ tập trung vào việc phân vùng bảo mật thông qua các tuỳ chọn lắp ghép, một vấn đề quan trọng cần chú ý khi xử lý bảo mật hệ thống. Việc phân vùng sẽ có tác động mạnh nếu được dùng thích hợp. Khi giải thích cách thức phân vùng hệ thống chúng tôi đã nhấn mạnh ưu điểm của Linux trong việc cung cấp các thư mục “/home”, “/tmp”, “/var” cho các phân vùng riêng. Các thư mục này đề cập đến cách dùng các tuỳ chọn đặc biệt khi ghép các phần vùng vào hệ thống file. Nhiều tuỳ chọn lắp ghép là kiểu hệ thống file phụ thuộc. Nhưng những tuỳ chọn chúng ta xét đến không phải loại này. Chúng ta có một số tuỳ chọn sau: nodev: Một hệ thống file lắp ghép với tuỳ chọn nodev sẽ không cho phép sử dụng hay tạo các file “device” đặc biệt. Chẳng có lý do tốt đẹp nào khi cho phép hệ thống file biên dịch các ổ đặc biệt block, character vì như thế tức là cho phép chúng tạo ra các nguy hiểm bảo mật tiềm ẩn. nosuid Các file trong Unix nói chung và trong Linux nói riêng đều có thể được đánh dấu bằng cờ để cho phép một người nào đó thực thi file bằng quyền của người khác hay nhóm khác, thông thường là của người quản trị hệ thống. Cờ này được gọi là setuid (suid) hay cờ nhị phân setgid bit. Nó cũng cho phép thực thi file bên ngoài thư mục chứa các mã nhị phân hệ thống không cần thiết, làm giảm độ an toàn. Nếu một người dùng được quyền sử dụng thì anh ta có thể tạo hoặc lấy một cờ nhị phân suid theo cách chọn riêng. Sau đó có thể sử dụng hệ thống một cách hiệu quả. noexec: nếu một hệ thống file được đánh dấu cờ là noexec, người dùng sẽ không thể chạy bất kỳ chương trình thực thi nào nằm trong nó. noatime cờ này nói rằng hệ thống file không giữ bản ghi lần truy cập cuối cùng của các file. Nếu sử dụng một cách bừa bãi có thể khiến giảm an toàn hệ thống. Vì nó giới hạn thông tin ghi sự cố bảo mật. Cờ này cũng cung cấp các lợi ích thực thi cho bất kỳ kiểu dùng nào. Bạn nên dùng trên các phân vùng, nơi bảo mật cân bằng với tốc độ. Quyết định sử dụng tuỳ chọn lắp ghép nào trong phân vùng nào là một kỹ thuật cao. Bạn sẽ thường xuyên phải phát triển các tham chiếu khi trở nên quen thuộc hơn với cơ chế quản trị. Dưới đây là kiểu lựa chọn cơ bản các bạn có thể tham khảo. Tất nhiên các bạn có thể lựa chọn kiểu khác, nhưng nên bắt đầu bằng kiểu cơ bản này: • /home-nosuid, nodev • /tmp-noatime, noexec, nodev, nosuid • /var-noexec, nodev, nosuid Giới hạn nguồn hệ thống Mặc định Linux sẽ không sử dụng bất kỳ giới hạn nguồn nào trong các tiến trình của người dùng. Điều này có nghĩa là bất kỳ người dùng nào đều được tự do lấp đầy bộ nhớ làm việc trên máy, hoặc sinh ra các tiến trình lặp vô hạn, trả lại hệ thống không dùng được trong vài giây. Giải pháp khắc phục là thiết lập một số giới hạn nguồn bằng cách chỉnh sửa file “/etc/security/limits.conf”: $ sudoedit /etc/security/limits.conf Các thiết lập đều được giải thích trong các comment bên trong file. Các bạn nên dùng ít nhất là giới hạn “nproc” hoặc cũng có thể là “as/data/_memlock/rss”. Mẹo nhỏ: một ví dụ giới hạn nguồn real-life Chúng tôi mới chỉ giới thiệu sơ lược về các giới hạn như thế nào trên các server sản xuất. Dưới đây là cấu hình server đăng nhập chung của Bộ môn khoa học máy tính, trường đại học Harvard, Hoa Kỳ: as 2097152 ___________________ data 131072 ___________________ memlock 131072 ___________________ rss 1013352 ___________________ hard nproc 128 Các giới hạn này quy định người dùng có thể sử dụng 128 tiến trình, với không gian địa chỉ lớn nhất là 2GB, kích thước dữ liệu nhỏ nhất và địa chỉ được khoá trong bộ nhớ là 128MB, giới hạn kích thước tập hợp lưu trú lớn nhất là 1GB. Các file bản ghi hệ thống Khi là một quản trị viên hệ thống, các file bản ghi log là một trong số những người bạn tốt nhất của bạn. Nếu bạn theo dõi các file này một cách thưòng xuyên, cẩn thận, bạn sẽ phát hiện được lỗi sai trong hệ thống ngay khi nó vừa xuất hiện. Do đó bạn có thể giải quyết được hầu hết mọi vấn đề trước khi chúng kịp phát sinh. Đáng tiếc, khả năng quan tâm tới các file log này ngày càng giảm. Vì thế các quản trị viên thường chỉ sử dụng phần mềm thực hiện tiến trình log, cảnh báo họ một số sự kiện nào đó, hoặc ghi các tuỳ chọn riêng của họ theo một số [...]... tầng hầm, nhai bánh pizza lạnh thì nó có thể chán nản, dễ dàng bỏ cuộc nếu hàng rào an ninh của bạn quá an toàn Nhưng nếu bạn đang giữ các thông tin bí mật đắt giá thì cho dù hệ thống bảo mật có an toàn đến đâu vẫn có thể bị phá vào một ngày nào đó Bởi hoạt động phá hoại lúc này xuất phát từ quan điểm giá cả, lợi nhuận của kẻ tấn công Bảo mật cũng khá rõ ràng, vì nó được phát triển như là một khái niệm... mật mạng là một thành phần khác, được hệ điều hành cung cấp theo mảng khá rộng Giữa Ubuntun và các mô hình phân phối khác của Linux không có sự khác nhau nhiều lắm Câu lệnh iptables là phần mặt trước tới các bảng tường lửa rất mạnh của Linux Thật không may, thao tác xử lý với iptables có thể khó hơn nhiều nhất là khi bạn đang cố gắng thiết lập các chính sách firewall tổng hợp Câu lệnh dưới đây xoá tất... lượng lớn và hệ thống trang chính cung cấp thông tin chi tiết về các tuỳ chọn thích hợp Bạn nên bỏ ra một chút thời gian học về iptables vì nó sẽ cho phép bạn cài đặt chế độ bảo mật an toàn trên bất kỳ cơ chế Linux nào và sẽ dễ dàng hơn khi học về các hệ thống tường lửa OS khác Những điểm cần chú ý cuối cùng về bảo mật Trong bài này chúng ta mới chỉ lướt qua các vấn đề bề mặt của bảo mật hệ thống Mặc... file tương ứng không có chữ “z” ở đầu Các file này là kiểu file nén của gzip Ví dụ, để lấy ra danh sách các dòng trong tất cả file log nén có từ “warthog” bạn chỉ cần cung cấp câu lệnh sau: $ zgrep -i warthog /var/log/*.gz Hộp công cụ Toolbox của bạn xử lý các log phát triển theo kinh nghiệm và dựa trên các tham chiếu của bạn nhưng bạn nên tìm kiếm trong apt-cache các file log trước Một chút về bảo...ngôn ngữ như Perl và Python Các bản ghi log thường nằm trong thư mục “/var/log” Sau khi server của bạn chạy được một lúc, bạn sẽ thấy có rất nhiều phiên bản file log cũ đang tăng lên trong thư mục này Nhiều trong số chúng được nén trong chương trình nén gzip (với đuôi mở rộng là “.gz”) Dưới đây là một số file log cần chú ý:  /var/log/syslog... log, có một vài công cụ lựa chọn mà bạn phải sử dụng thuần thục Phần cuối của các tiện ích được in ra đặt mặc định là mười dòng cuối cùng của file, đây là tùy chọn gọn nhỏ cho biết thông tin về lần cuối cùng truy cập vào file log $ tail /var/log/syslog Với tham số -f, phần đuôi được đưa vào theo mẫu dưới, nó sẽ mở các file và thể hiện sự thay đổi trên màn hình cho bạn biết Các file z.grep, zcat, zless... phải thực sự hiểu sâu về các hoạt động bên trong hệ thống máy tính Tuy nhiên cũng sẽ chẳng có cải tiến đáng kể nào nếu bạn hiểu sâu về nó mà không biết bắt đầu từ đâu Các bạn có thể bắt đầu ngay từ hôm nay, theo những tham khảo ở trên, và dùng nó để nâng cao kiến thức bảo mật sau này của bạn ... bài này chúng ta mới chỉ lướt qua các vấn đề bề mặt của bảo mật hệ thống Mặc dù chúng tôi đã cố gắng cung cấp cho các bạn các gợi ý hay về điểm bắt đầu và nơi có thể học hỏi thêm Nhưng thật sự là không có một hệ thống bảo mật hoàn hảo nào cả Bảo mật không có nghĩa là xoá bỏ được hoàn toàn các vi phạm, mà chỉ là làm cho chúng trở nên khó bị khai thác, khó bị tấn công Định nghĩa này có thể bị thay đổi . Mẹo giữ server Ubuntu Linux của bạn an toàn Khi là quản trị viên hệ thống, một trong những nhiệm vụ trọng yếu của bạn là xử lý các vấn đề bảo mật server. Nếu server của bạn được. chán nản, dễ dàng bỏ cuộc nếu hàng rào an ninh của bạn quá an toàn. Nhưng nếu bạn đang giữ các thông tin bí mật đắt giá thì cho dù hệ thống bảo mật có an toàn đến đâu vẫn có thể bị phá vào một. trang chính cung cấp thông tin chi tiết về các tuỳ chọn thích hợp. Bạn nên bỏ ra một chút thời gian học về iptables vì nó sẽ cho phép bạn cài đặt chế độ bảo mật an toàn trên bất kỳ cơ chế Linux