Theo PcMag Hiển thị hình nền Ubuntu Desktop ngay sau khi đăng nhập Các bạn dùng Ubuntu Desktop hẳn đã quen với việc khi đăng nhập, sau khi gõ vào username và password thì hiện ra một màn hình màu nâu sáng (tông màu Human của Ubuntu) trong lúc chờ GDM load desktop lên. Error! Ta có thể thay đổi màu bằng cách chỉnh sửa file gdm.conf, nhưng nếu bạn muốn hiển thị ngay hình nền desktop của mình chứ không phải là những màu đơn sắc này thì những hướng dẫn trong bài viết này sẽ giúp bạn làm được điều đó. Đặc biệt khi làm thủ thuật này bạn sẽ có cảm giác khởi động vào giao diện nhanh hơn. 1. Mở cửa sổ terminal dòng lệnh bằng menu Application> Accessories> Terminal 2. Trước tiên ta cần cài đặt thêm chương trình xloadimage bằng dòng lệnh sudo apt-get install xloadimage 3. Tạo một đoạn script để load hình nền desktop lên ngay sau khi đăng nhập sudo gedit /etc/gdm/PostLogin/Default Chép và dán đoạn mã sau vào: #!/bin/sh # # Note that output goes into the .xsession-errors file for easy debugging # # Extract the wallpaper filename WALLPAPER="`cat ~/.gconf/desktop/gnome/background/%gconf.xml | sed -n -e 'N s/^[ \t]*\(.*\)<\/stringvalue>.*$/\1/ip'`" # Check if the wallpaper file exists. If yes - draw it, if no - use primary background color if [ -e "$WALLPAPER" ] && [ -f "$WALLPAPER" ] ; then xsetbg -onroot "$WALLPAPER" else PRIMARY_COLOR="`cat ~/.gconf/desktop/gnome/background/%gconf.xml | sed -n -e 'N s/^[ \t]*\(.*\)<\/stringvalue>.*$/\1/ip'`" xsetroot -cursor_name left_ptr -solid "$PRIMARY_COLOR" fi exit 0 Đoạn script này sẽ kiểm tra thiết lập ảnh nền, và dùng chương trình 'xsetbg' để vẽ lên cửa sổ gốc. Nếu không có ảnh nền được thiết lập, nó sẽ tô màn hình bằng màu nền desktop. 4. Cấp quyền thực thi cho đoạn script sudo chmod +x /etc/gdm/PostLogin/Default 5. Bước cuối cùng là vô hiệu hoá file /etc/gdm/PreSession/Default. Đây là file đảm nhiệm việc thiết lập màu cho cửa sổ gốc (chẳng hạn màu Human), được thực thi sau các script đặt trong PostLogin. Ta chỉ cần làm nó biến đi bằng cách đổi tên, chẳng hạn thành Default.bak: sudo mv -v /etc/gdm/PreSession/Default /etc/gdm/PreSession/Default.bak Bây giờ hãy logout, login vào lại và xem sự khác biệt! 6. Trong trường hợp bạn muốn khôi phục lại các cài đặt gốc, hãy dùng hai lệnh sau: sudo rm /etc/gdm/PostLogin/Default sudo mv /etc/gdm/PreSession/Default.bak /etc/gdm/PreSession/Default Thủ thuật giúp server Ubuntu Linux của bạn an toàn Khi là quản trị viên hệ thống, một trong những nhiệm vụ trọng yếu của bạn là xử lý các vấn đề bảo mật server. Nếu server của bạn được kết nối Internet, bạn nên đặt nó trong vùng xung đột. Nếu đó chỉ là một server nội bộ, bạn vẫn cần xử lý (có thể là một cách ngẫu nhiên) những đối tượng nguy hiểm, các nhân viên chống đối hay gã kế toán nào đó muốn đọc trộm e-mail bí mật của sếp. Thông thường Ubuntu Server rất an toàn. Ubuntu Server Team - nhóm sản xuất các phiên bản update bảo mật văn phòng - đã thực hiện lần lột xác thành công nhất trong lịch sử ngành công nghiệp bảo mật với Ubuntu Server. Ubuntu không được gắn với chính sách cổng mở. Có nghĩa là sau khi bạn cài đặt, để chế dộ desktop hay server cho Ubuntu xong, mặc định sẽ không có chương trình ứng dụng nào chấp nhận kết nối đến internet. Giống như Ubuntu desktop, Ubuntu Server sử dụng cơ chế sudo trong quản trị hệ thống, tránh sử dụng tài khoản gốc. Các bản update bảo mật còn được bảo hành ít nhất 18 tháng sau khi phát hành (một số bản lên đến 5 năm như Dapper) và hoàn toàn miễn phí. Trong phần này chúng tôi muốn bàn về vấn đề bảo mật file hệ thống, các giới hạn nguồn hệ thống, xử lý các bản ghi và an ninh mạng. Nhưng bảo mật trong Linux là một đề tài khó và rộng lớn nên chúng tôi chỉ xin cung cấp cho các bạn một số cách giải quyết xung đột cơ bản. Để trở thành một quản trị viên tốt, bạn nên quan tâm tới vấn đề này và học hỏi thêm từ các nguồn khác mà chúng tôi sẽ cung cấp trong bài. Quản trị tài khoản người dùng Nhiều khía cạnh quản trị người dùng của hệ thống Linux được thực hiện nhất quán trên các phân phối của nó. Trước đây, hãng Debian cung cấp một số tiện ích như mã lệnh useadd, giúp bạn quản trị dễ dàng hơn. Sau này Ubuntu kế thừa đầy đủ mô hình quản trị người dùng của Debian. Chúng ta sẽ không đi sâu vào chi tiết của Debian mặc dầu nó được coi là mô hình chuẩn trong quản trị người dùng. Các bạn muốn tìm hiểu thêm có thể tham khảo tại website của O’Reilly. Vấn đề chúng ta quan tâm ở đây là sự khác biệt của Ubuntu với mô hình chuẩn: sudo. Ubuntu không cho phép đặt mặc định root, administrator, account. Nó có cách xử lý lợi ích bảo mật khá hay và một số phương án giảm cấp đáng kinh ngạc. Đó là văn bản hoá tất cả trong các trang chính của file gốc sudo_root. Trong quá trình cài đặt, bạn thêm vào người dùng nào thì mặc định người dùng đó sẽ được đặt trong nhóm admin và có thể dùng sudo để thực hiện các nhiệm vụ quản trị hệ thống. Sau khi thêm tên người dùng mới vào hệ thống, bạn có thể đưa họ vào nhóm admin bằng câu lệnh: $ sudo adduser username admin Nếu muốn loại một người nào ra khỏi nhóm admin, đơn giản bạn chỉ cần đặt lệnh deluser thay thế adduser. Một điều bạn nên chú ý là sudo không chỉ cung cấp quyền truy cập thư mục gốc. Nó còn có thể điều khiển các quyền nhỏ bên trong, chẳng hạn như việc ra lệnh: “chỉ cho phép người dùng này thực thi 3 câu lệnh với các đặc quyền của superuser” Tài liệu mô tả các quyền này nằm trong trang “sudoers” nhưng nó khá khó hiểu. Bạn chỉ cảm thấy rõ ràng hơn đôi chút khi đọc đến phần ví dụ của nó, tài liệu này cung cấp hầu hết các tình huống bạn cần dùng đến sudo. Khi đã thực sự hiểu, đơn giản bạn chỉ cần chạy câu lệnh: $ visudo Ở đây bạn phải cẩn thận. Cơ sở dữ liệu sudoers, nằm trong “/etc/sudoers” không mở được bằng một trình soạn thảo. Bởi vì một trình soạn thảo không thể kiểm tra được cú pháp. Nếu bạn làm rối cơ sở dữ liệu sudoers, có thể bạn sẽ phải tự mình tra tìm dữ liệu mà không thể trở thành người quản trị được. Bảo mật hệ thống file Mô hình bảo mật file được chuẩn hoá trong hầu hết các hệ thống tựa Unix và được gọi là mô hình POSIX. Mô hình này có 3 quyền truy cập file và thư mục mở rộng cho: người sở hữu, nhóm và các đối tượng khác. Tất cả đều được thực hiện giống nhau tại bất kỳ phân phối Linux nào. Đó là lý do vì sao chúng ta không tập trung phân tích kỹ vấn đề này. Các bạn có thể tham khảo thêm tại các trang “chmod” và “chown” trong phần trợ giúp của Linux hoặc trên Internet. Bây giờ chúng ta sẽ tập trung vào việc phân vùng bảo mật thông qua các tuỳ chọn lắp ghép, một vấn đề quan trọng cần chú ý khi xử lý bảo mật hệ thống. Việc phân vùng sẽ có tác động mạnh nếu được dùng thích hợp. Khi giải thích cách thức phân vùng hệ thống chúng tôi đã nhấn mạnh ưu điểm của Linux trong việc cung cấp các thư mục “/home”, “/tmp”, “/var” cho các phân vùng riêng. Các thư mục này đề cập đến cách dùng các tuỳ chọn đặc biệt khi ghép các phần vùng vào hệ thống file. Nhiều tuỳ chọn lắp ghép là kiểu hệ thống file phụ thuộc. Nhưng những tuỳ chọn chúng ta xét đến không phải loại này. Chúng ta có một số tuỳ chọn sau: nodev: Một hệ thống file lắp ghép với tuỳ chọn nodev sẽ không cho phép sử dụng hay tạo các file “device” đặc biệt. Chẳng có lý do tốt đẹp nào khi cho phép hệ thống file biên dịch các ổ đặc biệt block, character vì như thế tức là cho phép chúng tạo ra các nguy hiểm bảo mật tiềm ẩn. nosuid Các file trong Unix nói chung và trong Linux nói riêng đều có thể được đánh dấu bằng cờ để cho phép một người nào đó thực thi file bằng quyền của người khác hay nhóm khác, thông thường là của người quản trị hệ thống. Cờ này được gọi là setuid (suid) hay cờ nhị phân setgid bit. Nó cũng cho phép thực thi file bên ngoài thư mục chứa các mã nhị phân hệ thống không cần thiết, làm giảm độ an toàn. Nếu một người dùng được quyền sử dụng thì anh ta có thể tạo hoặc lấy một cờ nhị phân suid theo cách chọn riêng. Sau đó có thể sử dụng hệ thống một cách hiệu quả. noexec: nếu một hệ thống file được đánh dấu cờ là noexec, người dùng sẽ không thể chạy bất kỳ chương trình thực thi nào nằm trong nó. noatime cờ này nói rằng hệ thống file không giữ bản ghi lần truy cập cuối cùng của các file. Nếu sử dụng một cách bừa bãi có thể khiến giảm an toàn hệ thống. Vì nó giới hạn thông tin ghi sự cố bảo mật. Cờ này cũng cung cấp các lợi ích thực thi cho bất kỳ kiểu dùng nào. Bạn nên dùng trên các phân vùng, nơi bảo mật cân bằng với tốc độ. Quyết định sử dụng tuỳ chọn lắp ghép nào trong phân vùng nào là một kỹ thuật cao. Bạn sẽ thường xuyên phải phát triển các tham chiếu khi trở nên quen thuộc hơn với cơ chế quản trị. Dưới đây là kiểu lựa chọn cơ bản các bạn có thể tham khảo. Tất nhiên các bạn có thể lựa chọn kiểu khác, nhưng nên bắt đầu bằng kiểu cơ bản này: • /home-nosuid, nodev • /tmp-noatime, noexec, nodev, nosuid • /var-noexec, nodev, nosuid Giới hạn nguồn hệ thống Mặc định Linux sẽ không sử dụng bất kỳ giới hạn nguồn nào trong các tiến trình của người dùng. Điều này có nghĩa là bất kỳ người dùng nào đều được tự do lấp đầy bộ nhớ làm việc trên máy, hoặc sinh ra các tiến trình lặp vô hạn, trả lại hệ thống không dùng được trong vài giây. Giải pháp khắc phục là thiết lập một số giới hạn nguồn bằng cách chỉnh sửa file “/etc/security/limits.conf”: $ sudoedit /etc/security/limits.conf Các thiết lập đều được giải thích trong các comment bên trong file. Các bạn nên dùng ít nhất là giới hạn “nproc” hoặc cũng có thể là “as/data/_memlock/rss”. Mẹo nhỏ: một ví dụ giới hạn nguồn real-life Chúng tôi mới chỉ giới thiệu sơ lược về các giới hạn như thế nào trên các server sản xuất. Dưới đây là cấu hình server đăng nhập chung của Bộ môn khoa học máy tính, trường đại học Harvard, Hoa Kỳ: as 2097152 ___________________ data 131072 ___________________ memlock 131072 ___________________ rss 1013352 ___________________ hard nproc 128 Các giới hạn này quy định người dùng có thể sử dụng 128 tiến trình, với không gian địa chỉ lớn nhất là 2GB, kích thước dữ liệu nhỏ nhất và địa chỉ được khoá trong bộ nhớ là 128MB, giới hạn kích thước tập hợp lưu trú lớn nhất là 1GB. Các file bản ghi hệ thống Khi là một quản trị viên hệ thống, các file bản ghi log là một trong số những người bạn tốt nhất của bạn. Nếu bạn theo dõi các file này một cách thưòng xuyên, cẩn thận, bạn sẽ phát hiện được lỗi sai trong hệ thống ngay khi nó vừa xuất hiện. Do đó bạn có thể giải quyết được hầu hết mọi vấn đề trước khi chúng kịp phát sinh. Đáng tiếc, khả năng quan tâm tới các file log này ngày càng giảm. Vì thế các quản trị viên thường chỉ sử dụng phần mềm thực hiện tiến trình log, cảnh báo họ một số sự kiện nào đó, hoặc ghi các tuỳ chọn riêng của họ theo một số ngôn ngữ như Perl và Python. Các bản ghi log thường nằm trong thư mục “/var/log”. Sau khi server của bạn chạy được một lúc, bạn sẽ thấy có rất nhiều phiên bản file log cũ đang tăng lên trong thư mục này. Nhiều trong số chúng được nén trong chương trình nén gzip (với đuôi mở rộng là “.gz”). Dưới đây là một số file log cần chú ý: * /var/log/syslog – file log hệ thống thông thường * /var/log/auth.log – các file log thẩm định hệt thống * /var/log/mail.log các file log thư hệ thốngsystem * /var/log/messages – các tin nhắn log thông thường * . wallpaper file exists. If yes - draw it, if no - use primary background color if [ -e "$WALLPAPER" ] && [ -f "$WALLPAPER" ] ; then xsetbg -onroot "$WALLPAPER". ~/.gconf/desktop/gnome/background/%gconf.xml | sed -n -e 'N s/^[ ]*(.*)</stringvalue>.*$/1/ip'`" xsetroot -cursor_name left_ptr -solid "$PRIMARY_COLOR" fi exit 0 Đoạn script này. là thiết lập một số giới hạn nguồn bằng cách chỉnh sửa file “/etc/security/limits.conf”: $ sudoedit /etc/security/limits.conf Các thiết lập đều được giải thích trong các comment bên trong