Tìm hiểu chế đọ bảo mật trên Linux, bao gồm các chế độ, các dịch vụ phương thức tối ưu hệ thống để bảo mật tối ưu nhất. hệ điều hành Linux gồm rất nhiều chế độ hỗ trợ bảo mật người danh cho người sử dụng, đói với hệ thống server người thuê dich vụ phải bảm bảo hợp đồng với hãng sản xuất để có được sự bảo vệ tốt nhất
CHƯƠNG IV: BẢO MẬT TRÊN LINUX 4.1 Xác định ngắt dịch vụ không cần thiết Mặc dù các mã cài đặt mặc định từ đĩa CD phân phối Linux khiến cho việc cài đặt Linux dễ dàng hơn, chúng thêm số lượng lớn dịch vụ vào hệ thống, chưa sử dụng dịch vụ trường hợp xấu rời cổng để mở cho công từ bên Càng chạy nhiều dịch vụ thì nhiều cổng cho kẻ xâm nhập Vì để bảo vệ hệ thống, tốt tắt dịch vụ không cần thiết 4.1.1 Tìm kiếm dịch vụ sử dụng Trước tiên cần định dịch vụ không cần thiết, dịch vụ dùng Để thực điều này, chạy netstart Đầu tiên mở cửa sổ cuối sử dụng lệnh su để chuyển tới root Rồi nhập lệnh #netstart –tap > listening.services,#netstart-tap >list, theo sau lệnh #less listening.services Ở redhat dùng #chkconfig list Những lệnh hiển thị danh sách tất dịch vụ chạy với trạng thái LISTEN Đồng thời liệt kê PID dịch vụ tên chương trình bắt đầu dịch vụ Nếu xác định dịch vụ liệt kê, có lẽ không cần Nếu dịch vụ không hiển nhiên từ đầu, sử dụng lệnh ps, find, grep locate để tìm thêm nhiều thông tin các chương trình hay các PID đặc biệt Đồng thời kiểm tra /etc/services cho số tên dịch vụ hay số cổng Các dịch vụ hệ thống bắt đầu mã init tìm thấy /etc/init.d/ (hay số phân phối, kể Red Hat /etc/rc.d/init.d/) Sử dụng ls thư mục để đưa danh sách mã 4.1.2 Quyết định ngắt dịch vụ Khi lập kế hoạch sử dụng hệ thống Linux máy để bàn độc lập với truy nhập vào Internet, đầu tiên cần phải kiểm tra liệu có dịch vụ liệt kê bảng hoạt động không Dịch vụ Giới thiệu NFS (Network File System) NFS dịch vụ UNIX chuẩn để chia sẻ dịch vụ liên quan: nfsd, lockd, file thông qua mạng Chỉ nên mountd, statd, portmapper sử dụng để chia sẻ file thông qua mạng LAN, không nên qua Internet Không nên bật hệ thống NFS hệ thống độc lập r* services: rsh, rlogin, rexec, rcp… Sẽ liệt kê đầu netstat mà không cần r (rlogin liệt kê login) Nếu cần thiết, sử dụng ssh thay Máy chủ telnet Sử dụng sshd thay Máy chủ ftp Chỉ sử dụng với máy chủ ftp chuyên dụng kiểm tra bảo mật Đối với file trao đổi khác, sử dụng scp http BIND (named), gói DNS Server Dịch vụ yêu cầu cho hoạt động hệ thống tên máy chủ cho miền Chúng nên hạn chế hay đặt tường lửa sử dụng qua Internet Nhân tố chuyển thư: sendmail, Những dịch vụ không cần thiết exim, postfix, qmail cho máy tính độc lập mà sử dụng dịch vụ ISP’s POP nhận trực tiếp thư từ máy chủ Internet mạng LAN, cho phép dịch vụ sau tường lửa, truy nhập sách chỗ Bảng : Các dịch vụ tiêu biểu không nên cho phép hoạt động Internet Ghi chú bảng thật rlogin, rsh cần phải ngắt Chẳng hạn, netstat thông báo dịch vụ login shell chạy Telnet ftp liệt kê máy chủ chấp nhận kết nối đầu vào tới máy Bởi vì hệ thống tách rời, cần phải tắt dịch vụ Luôn sử dụng máy khách ftp hay telnet cần tải file xuống hay telnet qua Internet Lệnh netstat thông báo máy chủ http chạy, yêu cầu số phân phối truy nhập tài liệu trực tuyến Nếu định giữ dịch vụ chạy thì cần phải kiểm tra xem tiếp cận từ bên hệ thống hay không Một máy chủ in hoạt động Máy chủ in giữ cổng mở việc in ấn thực qua mạng Một máy in nối vật lý tới máy, an toàn hoạt động Cũng cần giữ hệ thống cửa sổ suốt mạng mà tập hợp phân phối người dùng nhập vào chương trình máy khách Nếu hệ thống sử dụng người dùng chuyên dụng, thì không cần thiết nên tắt 4.1.3 Tắt dịch vụ không cần thiết Một định dịch vụ không cần thiết, bắt đầu tắt chúng Người dùng đăng nhập có khả ngắt dịch vụ cách nhập tên đường dẫn tới mã dịch vụ theo tùy chọn Stop Chẳng hạn, để tắt nfs, nhập: #/etc/init.d/nfsstop Chú ý phiên Red Hat Linux có thể sử dụng đường dẫn: /etc/rc.d/init.d Mặc dù tắt dịch vụ, không tắt Chẳng hạn, dịch vụ cho phép khởi động lại hệ thống Vì để chắn hãy chạy netstat sau lần khởi động lại sau lần nâng cấp hệ thống hay cài đặt 4.2 An toàn cho giao dịch mạng Có nhiều dịch vụ mạng truyền thống giao tiếp thông qua giao thức văn không mã hoá, TELNET, FTP, RLOGIN, HTTP, POP3 Trong giao dịch người dùng với máy chủ, tất thông tin dạng gói truyền qua mạng hình thức văn không mã hoá Các gói tin dễ dàng bị chặn chép điểm đường Việc giải mã gói tin dễ dàng, cho phép lấy thông tin tên người dùng, mật thông tin quan trọng khác Việc sử dụng giao dịch mạng mã hoá khiến cho việc giải mã thông tin trở nên khó giúp giữ an toàn thông tin quan trọng Các kỹ thuật thông dụng IPSec, SSL, TLS, SASL PKI Quản trị từ xa tính hấp dẫn hệ thống UNIX Người quản trị mạng dễ dàng truy nhập vào hệ thống từ nơi mạng thông qua giao thức thông dụng telnet, rlogin 4.3 Nguyên tắc bảo vệ hệ thống mạng 4.3.1 Hoạch định hệ thống bảo vệ mạng Trong môi trường mạng, phải có đảm bảo liệu có tính bí mật phải cất giữ riêng, cho có người có thẩm quyền phép truy cập chúng Bảo mật thông tin việc làm quan trọng, việc bảo vệ hoạt động mạng có tầm quan trọng không Bốn hiểm họa an ninh mạng là: - Truy nhập mạng bất hợp pháp - Sự can thiệp phương tiện điện tử - Kẻ trộm - Tai họa vô tình có chủ ý * Mức độ bảo mật: tuỳ thuộc vào dạng môi trường mạng hoạt động * Chính sách bảo mật: hệ thống mạng đòi hỏi tập hợp nguyên tắc, điều luật sách nhằm loại trừ rủi ro Giúp hướng dẫn vược qua thay đổi tình không dự kiến trình phát triển mạng Sự đề phòng: đề phòng truy cập bất hợp pháp Sự chứng thực: trước truy nhập mạng, ghi tên đăng nhập password hợp lệ * Đào tạo: người dùng mạng đào tạo chu đáo có khả vô ý phá huỷ tài nguyên * An toàn cho thiết bị: tuỳ thuộc quy mô công ty, độ bí mật liệu, tài nguyên khả dụng Trong môi trường mạng ngang hàng, sách bảo vệ phần cứng có tổ chức Người dùng chịu trách nhiệm đảm bảo an toàn cho máy tính liệu riêng người đó 4.3.2 Mô hình bảo mật Hai mô hình bảo mật khác phát triển, giúp bảo vệ an toàn liệu tài nguyên phần cứng: * Bảo vệ tài nguyên dùng chung mật mã: gắn mật mã cho tài nguyên dùng chung * Truy cập cho phép: định số quyền định sở người dùng, kiểm tra truy nhập tài nguyên dùng chung vào CSDL user-access máy server 4.3.3 Nâng cao mức độ bảo mật * Kiểm toán: Theo dõi hoạt động mạnh thông qua tài khoản người dùng, ghi lại nhiều dạng biến cố chọn lọc vào sổ nhật ký bảo mật máy server Giúp nhận biết hoạt động bất hợp lệ không chủ định Cung cấp thông tin cách dùng tình có phòng ban thu phí sử dụng số tài nguyên định, cần định phí tài nguyên theo cách thức * Máy tính không đĩa: ổ đĩa cứng ổ mềm Có thể thi hành việc máy tính thông thường, ngoại trừ việc lưu trữ liệu đĩa cứng hay đĩa mềm cục Không cần đĩa khởi động Có khả giao tiếp với server đăng nhập nhờ vào chip ROM khởi động đặc biệt cài card mạng Khi bật máy tính không đĩa, chip ROM khởi động phát tín hiệu cho server biết muốn khởi động Server trả lời cách tải phần mềm khởi động vào RAM máy tính không đĩa tự động hiển thị hình đăng nhập Khi máy tính kết nối với mạng * Mã hoá liệu: người ta mã hoá thông tin sang dạng mật mã phương pháp cho đảm bảo thông tin nhận biết nơi nhận cách giải mã Một người sử dụng hay host sử dụng thông tin mà không sợ ảnh hưởng đến người sử dụng hay host khác * Chống virus: - Ngăn không cho virus hoạt động - Sữa chữa hư hại mức độ Chặn đứng virus sau bộc phát Ngăn chặn tình trạng truy cập bất hợp pháp giải pháp hiệu nghiệm để tránh virus Do biện pháp chủ yếu phòng ngừa, nên nhà quản trị mạng phải bảo đảm cho yếu tố cần thiết sẵn sàng: - Mật mã để giảm khả truy cập bất hợp pháp - Chỉ định đặc quyền thích hợp cho người dùng - Các profile để tổ chức môi trường mạng cho người dùng lập cấu hình trì môi trường đăng nhập, bao gồm kết nối mạng khoản mục chương trình người dùng đăng nhập - Một sách định tải phần mềm 4.4 Kiến trúc bảo mật hệ thống mạng Hình : Mô hình mức an toàn thông tin mạng Không có điều gì hoàn hảo việc an toàn hệ thống mạng Linux Được thiết kế để hệ điều hành nối mạng phát triển mạnh mẽ để tập trung vào an toàn Hệ điều hành mã nguồn mở những gì mà cho phép người quản trị mạng người phát triển, người dùng triền miên theo dõi kiểm toán gì dễ bị công Thật tốt tài nguyên bảo mật bảo vệ tốt trước xâm phạm vô tình hay cố ý An toàn hay bảo mật sản phẩm, phần mềm, cách nghĩ Sự an toàn khởi động dừng dịch vụ Bảo mật cách an toàn Tài liệu bảo mật tư liệu mà thành viên tổ chức muốn bảo vệ Trách nhiệm việc bảo mật người quản trị mạng Sự an toàn mạng có vai trò quan trọng tối cao An toàn phải đảm bảo nhân kernel, phần cốt lõi Linux server Cơ chế bảo mật cần phải bao gồm cấu hình mạng Server, chu vi ứng dụng tổ chức mạng chí client truy nhập mạng từ xa Có vài cách để xem xét là: - Sự an toàn vật lý - An toàn hệ thống - An toàn mạng - An toàn ứng dụng - Sự truy nhập từ xa việc chấp nhận 4.4.1 Sự an toàn vật lý Điều giám sát tốt khía cạnh an toàn hệ điều Linux Sự an toàn vật lý bắt đầu với môi trường xung quanh ví dụ hành nhà cung cấp dịch vụ xâm nhập Có nên khoá khối liệu lại? Những người chấp nhận vào trung tâm liệu Việc bảo vệ thích hợp phải thực lại muốn xây dựng cài đặt hay di chuyển liệu đến vị trí 4.4.2 An toàn hệ thống An toàn hệ thống bao gồm việc chọn phân phối hệ điều hành Linux, xây dựng kernel hướng tới an toàn tài khoản người dùng, cho phép truy cập thư mục file, mã hoá syslog file system Các tác vụ hoàn thành trước dịch vụ nối vào Internet Việc chọn phân phối thì tuỳ thuộc vào nhu cầu sách phác thảo chế an toàn Việc xây dựng kernel sẵn có có hai lợi thế: - Những lựa chọn an toàn nhân xác định người quản trị mạng người quản trị mạng biết gì xác định vào kernel từ đồng thời nhận điều có Phần nềm nguồn mở nói chung hệ điều hành Linux nói riêng, có cải tiến để dễ dàng cho người sử dụng có tiện ích dễ ứng dụng, cần update Red Hat - Sự an toàn tài khoản người dùng có vai trò to lớn Có vùng vô hiệu hoá, tài khoản không hoạt động, vô hiệu hoá việc truy cập đến NFS lên root, hạn chế đăng nhập vào môi trường điều khiển hệ thống Mã hoá file hệ thống sử dụng kỹ thuật mã hoá mà thường phòng thủ cuối cho Có hai cách tiếp cận chung: Hệ thống file mã hoá mạng (CFS) Practical Privacy Disk Driver(PPDD) Hệ thống theo dõi Linux, hệ thống logging logged tiện ích syslog Công cụ theo dõi bao gồm swatch logcheck Swatch có công cụ thông báo thời gian thực, logcheck cung cấp công cụ mà phát sinh báo cáo định kỳ Kiểm toán Password có vai trò sống còn việc an toàn, bảo mật hệ thống mối liên kết yếu việc an toàn mạng người sử dụng việc lựa chọn mật 4.4.3 An toàn mạng Ở liên quan đến việc kết nối từ Linux server vào mạng Cấu hình dịch vụ mạng với an toàn ngày khó khăn cho nhà quản trị mạng Lệnh netstat tiện ích mạnh cho phép người quản trị kiểm tra tình trạng cấu hình mạng Kiểm tra mạng điều cần thiết an toàn mạng Điều đảm bảo chế an toàn thực có hiệu việc hoàn thành yêu cầu bảo mật Điều đạt quyền thực đến mạng họ Cách tiếp cận việc kiểm định mạng hiệu vai trò kẻ phá hoại Có công cụ kiểm định cục host Administrator's Tool for Administrator's Integrated Research Analysing Network Networks), Tool), SATAN(Security SAINT( Security SARA (Security Auditor's Assistant) công cụ tốt để kiểm định SATAN công nhận năm 1995 SAINT mạnh SATAN, Nmap Samba Những cải tiến SARA modul package, tương tác với gần công cụ Nessus Nessus miễn phí, nguồn mở đầy đủ bật, công cụ kiểm toán hỗ trợ cải tiến cải tiến tích cực Nessus Nmap cho người vào thành phần: Client(nessus) server( nesssus) Công cụ quản trị giàu kinh nghiệm Mặt khác Nmap có sức mạnh, công cụ quét cho người có kinh nghiệm, sử dụng tốt mạng LAN TARA(Tiger sở host Auditors Research Assistant) ví dụ cho công cụ kiểm toán Theo dõi mạng công Công cụ để theo dõi PortSentry Ethereal Port Sentry quét chế độ ngầm định Bảo mật mạng trò chơi trí tuệ máy đếm trí tuệ Trong mạng kiểm toán phần mạng bình thường, mạng theo dõi cần phải ưu tiên cao Việc bảo mật bao gồm việc kiểm toán xác việc có nên để hay không PortSentry ví dụ công cụ theo dõi thời gian thực thiết kế để quét phát hệ thống, có tính khả dụng cho hồi đáp 4.4.4 Các ứng dụng an toàn Một vài chế độ chuẩn việc phân phối Linux thời ứng dụng đầy đủ mà có cấu trúc file phức tạp Web, file, mail server sử dụng giao thức phức tạp An toàn thực đặc tính bảo mật việc quan cho phép (MTA) Sendmail, Qmail Postfix Web Server giữ an toàn modul cho phép: mod_auth, mod_auth_dbm, mod_auth_db,….Việc cho phép Open SSh hỗ trợ cho Apache tương tác với web server Samba làm an toàn việc đọc thông số chạy Bước bảo vệ công cụ quản trị web Samba với SLL nên lệnh quản lý Samba bảo vệ 4.4.5 Chu vi an toàn Cấp số tự nhiên cách tiếp cận lớp đến an toàn máy tính khỏi lớp từ lớp mạng đến lớp ứng dụng, từ đến lớp chu vi, vùng quan tâm Firewalls thành phần miền chu vi an toàn, chức bắt buộc tổ chức bảo mật an toàn lọc, bảo phần mềm mà mật, đẩy mạnh hay yêu cầu nằm Linux server để kết nối đến mạng Internet Firewall thực nhiều cách dựa lớp mô hình OSI: lớp mạng, lớp giao vận ứng dụng Có điểm tích cực tiêu cực việc triển khai firewall lớp mạng Firewall mạng biết packet-filtering gateway, nơi mà chúng kiểm tra gói tin IP vào giao diện firewall hoạt động phù hợp giữ lại, hoạt động bao gồm drop, cho phép log Sự bất lợi kiểu Firewall không khôn khéo Firewall giao vận làm việc khảo sát TCP UDP Firewall yêu cầu can thiệp người dùng sửa đổi thủ tục Firewall ứng dụng làm cho định truy nhập tầng ứng dụng Cho phép người quản trị firewall cho yêu cầu loại ứng dụng Các bất tiện firewall người quản trị cần định hình triển khai theo dõi, bảo trì trình firewall cho ứng dụng mà cần truy uôn thực tốt bảo mật việc sử nhập điều khiển L dụng kết hợp firewall ba tầng để tránh tổn thương Firewall không cản trở người làm phiền không hợp pháp vào mạng phải cho phép người sử dụng truy nhập bên vào nguồn tài nguyên, chấp nhận phê chuẩn định kết nối sau cho người dùng Đây nhận thức dễ thách thức thực hiện 4.4.6 Firewall mạng Có vài lợi việc sử dụng Linux tảng firewall Sự quản lý đồng bộ, phần cứng, số người dùng, kiểm tra tảng, việc thực hiện, đá n h giá lý Lọc gói lợi ích hiệu cách bảo báo phạm vi tránh xâm nhập Người sử dụng không cần xác nhận để sử dụng tin cậy dịch vụ vùng bên Những giải pháp cho việc lọc gói Linux bao gồm ipchains ipfwadm Tiện ích việc lọc gói tin sử dụng nhân từ phiên 1.2.1 trước Phiên cuối ipfwadm vào tháng 7/1996, sau 4.5.3 Tắt dịch vụ không sử dụng Một điều nguy hiểm sau cài đặt, hệ thống tự động chạy nhiều dịch vụ, đa số dịch vụ không mong muốn, dẫn đến tiêu tốn tài nguyên sinh nhiều nguy bảo mật Vì người quản trị nên tắt dịch vụ không dùng tới (ntsysv) xoá bỏ gói dịch vụ không sử dụng lệnh rpm 4.5.4 Không cho “SU” (Substitute) lên root Lệnh su cho phép người dùng chuyển sang tài khoản khác Nếu không muốn người dùng “su” thành root thì thêm hai dòng sau vào file /etc/pam.d/su: Auth sufficient/lib/security/pam_root ok so debug Auth required/lib/security/pam_wheel.so group= tên_nhóm_root 4.5.5 Che dấu file mật Giai đoạn đầu, mật toàn tài khoản lưu file /etc/password, file mà người dùng có quyền đọc Đây khe hở lớn bảo mật dù mật mã hoá việc giải mã thực Do đó, nhà phát triển Linux đặt riêng mật mã hoá vào file /ect/shadow có root đọc được, yêu cầu phải chọn Enable the shadow password cài Red Hat 4.5.6 Luôn nâng cấp cho nhân (kernel) Linux Linux không hẳn thiết kế với tính bảo mật chặt chẽ, nhiều lỗ hổng bị lợi dụng hacker Vì việc sử dụng hệ điều hành với nhân nâng cấp quan trọng vì nhân, phần cốt lõi hệ điều hành thiết kế tốt thì nguy bị phá hoại giảm nhiều 4.5.7 Tự động thoát khỏi Shell Người quản trị hệ thống kể người sử dụng bình thường hay quên thoát dấu nhắc shell kết thúc công việc Thật nguy hiểm có kẻ có toàn quyền truy xuất hệ thống mà chẳng tốn chút công sức Do người quản trị nên cài đặt tính tự động thoát khỏi shell truy xuất khoảng thời gian định trước cách sử dụng biến môi trường gán giá trị quy định số giây hệ thống trì dấu nhắc, nên vào file /ect/ profile để tác dụng phiên làm việc 4.5.8 Không cho phép truy nhập file kịch khởi động Linux Khi hệ điều hành Linux khởi động, file kịch (script) đặt thư mục /etc/rc.d/init.d gọi thực thi Vì thế, để tránh từ phía người dùng, với tư cách người quản trị nên hạn tò mò không cần thiết chế quyền truy xuất tới file cho phép tài khoản root xử lý lệnh sau: #chmod –R 700/etc/rc.d/init.d* 4.5.9 Giới hạn việc tự ý ghi nhận thông tin từ shell Theo mặc định, tất lệnh thực thi dấu nhắc shell tài khoản ghi vào file bash_history ( sd bashshell) thư mục gây nên vô số nguy hiểm tiềm ẩn, đặc cá nhân tài khoản Điều biệt ứng dụng đòi hỏi người dùng phải ghi thông tin mật Do người quản trị nên giới hạn việc tự ý ghi nhận thông tin từ shell dựa vào hai biến môi trường HISTFILESIZE HISTSIZE: - Biến môi trường HISTFILESIZE quy định số lệnh ghi dấu nhắc shell lưu lại cho lần truy cập sau - Biến môi trường HISTSIZE quy định số lệnh ghi nhớ phiên làm việc hành Vì vậy, phải giảm giá trị HISTSIZE cho giá trị HISTFILESIZE để giảm thiểu tối đa nguy hiểm Thực việc cách thay đổi giá trị hai biến nêu file /etc/profile sau: HISTFILESIZE = HISTSIZE = xx Trong xx số lệnh mà shell ghi nhớ, đồng thời không ghi lại lệnh người dùng ghi người dùng thoát khỏi shell 4.5.10 Tắt tiến trình SUID/SGID Bình thường, tiến trình thực quyền tài khoản gọi thực thi ứng dụng Đó windows, Unix/Linux lại sử dụng kỹ thuật đặc biệt cho phép số chương trình thực quyền người quản lý chương trình người gọi thực thi chương trình Và lý tất người dùng hệ thống đổi mật mình quyền truy xuất lên file /etc/shadow, vì lệnh passwd gán thuộc tính SUID quản lý root, mà root lại người dùng có quyền truy xuất /etc/shadow Tuy thế, khả gây nên nguy phức tạp vì chương trình có khả thực thi quản lý root, thiết kế tồi cài đặt cố tình kẻ phá hoại mà lại đặt thuộc tính SUID thì điều “ khủng khiếp” xảy Thực tế cho thấy có nhiều kỹ thuật xâm phạm hệ thống mà quyền root thực kỹ thuật này, kẻ phá hoại cách tạo shell quản lý root, có thuộc tính SUID, truy xuất phá hoại thực qua shell vừa tạo vì lệnh thực shell thực giống quyền root Thuộc tính SGID tương tự SUID: chương trình thực với quyền nhóm quản lý chương trình nhóm người chạy chương trình Như người quản trị phải thường xuyên kiểm tra ứng dụng có thuộc tính SUID SGID mà hệ thống có không quản lý root không, phát file có thuộc tính SUID/SGID “ luồng”, #chmod a-s loại bỏ thuộc tình lệnh: 4.6 Linux Firewall hệ thống phòng chống, kiểm tra hệ thống An toàn hệ thống luôn vấn đề sống còn mạng máy tính firewall thành phần cốt yếu cho việc đảm bảo an ninh Một firewall tập hợp qui tắc, ứng dụng sách đảm bảo cho người dùng truy cập dịch vụ mạng mạng bên an toàn kẻ công từ Internet hay từ mạng khác Có hai loại kiến trúc firewall là: Proxy/Application firewall filtering gateway firewall Hầu hết hệ thống firewall đại loại lai (hybrid) hai loại Nhiều công ty nhà cung cấp dịch vụ Internet sử dụng máy chủ Linux Internet gateway Những máy chủ thường phục vụ máy chủ mail, web, ftp, hay dialup Hơn nữa, chúng thường hoạt động firewall, thi hành sách kiểm soát Internet mạng công ty Khả uyển chuyển khiến cho Linux thu hút thay cho hệ điều hành thương mại Tính firewall chuẩn cung cấp sẵn kernel Linux xây dùng từ hai thành phần : ipchains IP Masquerading Linux IP Firewalling Chains chế lọc gói tin IP Những tính IP Chains cho phép cấu hình máy chủ Linux filtering gateway/firewall dễ dàng Một thành phần quan trọng khác kernel IP Masquerading, tính chuyển đổi địa mạng (network address translation- NAT) mà che giấu địa IP thực mạng bên Để sử dụng ipchains, cần thiết lập tập luật mà qui định kết nối cho phép hay bị cấm Các nguyên tắc Ipchains thực chức sau: - Accept: The packet is okay; allow it to pass to the appropriate chain Cho phép chuyển gói tin qua chain thích hợp - Deny: The packet is not okay; silently drop it in the bit bucket Không đồng ý , bị lỗi - Reject: The packet is not okay; but inform the sender of this fact via an ICMP packet Không đồng ý, việc người gởi qua gói ICMP - Masq: Used for IP masquerading (network address translation) Sử dụng cho IP masquerading ( việc dịch địa mạng) - Redirect: Send this packet to someone else for processing Gởi gói tin đến người khác để xử lý - Return: Terminate the rule list Hoàn thành danh sách quy tắc Chú ý: Các gói Ipfw(ipfilters/iptable) hệ điều hành BSD cung cấp hoạt động tương tự Ipchains Ngoài ra, dùng sản phẩm firewall thương mại Check 1, Phoenix Adaptive Firewall, Gateway Guardian, XSentry Point FireWall Firewall, Raptor, hay nhiều phiên miễn phí, mã nguồn mở cho Linux T.Rex Firewall, Dante, SINUS, TIS Firewall Toolkit, 4.6.1 Dùng công cụ dò tìm để khảo sát hệ thống Thâm nhập vào hệ thống cần có chuẩn bị Hacker phải xác định máy đích tìm xem port mở trước hệ thống bị xâm phạm Quá trình thường thực công cụ dò tìm (scanning tool), kỹ thuật để tìm máy đích port mở Dò tìm bước hacker sử dụng trước thực công Bằng cách sử dụng công cụ dò tìm Nmap , hacker rà khắp mạng để tìm máy đích bị công Một xác định máy này, kẻ xâm nhập dò tìm port lắng nghe Nmap sử dụng số kỹ thuật cho phép xác định xác loại máy kiểm tra Bằng cách sử dụng công cụ hacker thường dùng, người quản trị hệ thống vào hệ thống từ góc độ hacker giúp tăng cường tính an toàn hệ thống Có nhiều công cụ dò tìm sử dụng như: Nmap, strobe, sscan, SATAN, Nmap"Network exploration tool and security scanner" Đây chương trình quét hàng đầu với tốc độ cực nhanh cực mạnh quét mạng diện rộng đặc biệt tốt mạng đơn lẻ NMAP giúp xem dịch vụ chạy server services/ports: webserver, ftpserver, pop3, ) , server dùng hệ điều hành gì, loại tường lửa mà server sử dụng, nhiều tính khác Nói chung NMAP hỗ trợ hầu hết kỹ thuật quét : ICMP (ping aweep), IP protocol, Null scan, TCP SYN (half open), NMAP đánh giá công cụ hàng đầu Hacker nhà quản trị mạng giới Quét an toàn Nmap số công cụ quét an toàn sử dụng rộng rãi sẵn có Nmap cổng quét mà chống lại nhân tố, cách khác tàn phá đến mạng Có thể phát sinh nhiều kiểu gói mà thăm dò ngăn xếp TCP/IP hệ thống Nmap phát sinh danh sách cổng mở dịch vụ hệ thống, thâm nhập firewalls, cung cấp tin quấy rầy, không tin cậy chạy host Dưới ví dụ sử dụng Nmap: # nmap -sS -O 192.168.1.200 Starting nmap V 2.54 by Fyodor (fyodor@dhp.com,www.insecure.org/nmap/) Interesting ports on comet (192.168.1.200): Port State Protocol Service open tcp echo 19 open tcp chargen 21 open tcp ftp TCP Sequence Prediction: Class=random positive increments Difficulty=17818 (Worthy challenge) Remote operating system guess: Linux 2.2.13 Nmap run completed IP address (1 host up) scanned in seconds Tuy nhiên, sử dụng công cụ thay cho người quản trị có kiến thức Bởi vì việc dò tìm thường dự báo công, site nên ưu tiên cho việc theo dõi chúng Với công cụ dò tìm, nhà quản trị hệ thống mạng phát gì mà hacker thấy dò hệ thống 4.6.2 Phát xâm nhập qua mạng Nếu hệ thống có kết nối vào internet, trở thành mục tiêu bị dò tìm lỗ hổng bảo mật Mặc dù hệ thống có ghi nhận điều hay không thì không đủ để xác định phát việc dò tìm Một vấn đề cần quan tâm khác công gây ngưng dịch vụ (Denial of Services - DoS), để ngăn ngừa, phát đối phó với chúng không muốn hệ thống ngưng trệ Hệ thống phát xâm nhập qua mạng (Network Intrusion Detection System - NIDS) theo dõi thông tin truyền mạng phát có hacker cố xâm nhập vào hệ thống (hoặc gây vụ công DoS) Một ví dụ điển hình hệ thống theo dõi số lượng lớn yêu cầu kết nối TCP đến nhiều port máy đó, phát có thử tác vụ dò tìm TCP port Một NIDS chạy máy cần theo dõi máy độc lập theo dõi toàn thông tin mạng Các công cụ kết hợp để tạo hệ thống phát xâm nhập qua mạng Chẳng hạn dùng tcpwrapper để điều khiển, ghi nhận dịch vụ đăng ký Các chương trình phân tích nhật ký hệ thống, swatch, dùng để xác định tác vụ dò tìm hệ thống Và điều quan trọng công cụ phân tích thông tin mạng để phát công DoS đánh cắp thông tin tcpdump, ethereal, ngrep, NFR (Network Flight Recorder), PortSentry, Sentinel, Snort, Khi thực hệ thống phát xâm nhập qua mạng cần phải lưu tâm đến hiệu suất hệ thống sách bảo đảm riêng tư 4.6.3 Kiểm tra khả bị xâm phạm Kiểm tra khả bị xâm nhập liên quan đến việc xác định xếp lỗ hổng an ninh hệ thống cách dùng số công cụ kiểm tra Nhiều công cụ kiểm tra có khả khai thác số lỗ hổng tìm thấy để làm rõ trình thâm nhập trái phép thực Ví dụ, lỗi tràn đệm chương trình phục vụ dịch vụ FTP dẫn đến việc thâm nhập vào hệ thống với quyền “root” Nếu người quản trị mạng có kiến thức kiểm tra khả bị xâm nhập trước xảy ra, tiến hành tác vụ để nâng cao mức độ an ninh hệ thống mạng Có nhiều công cụ mạng mà sử dụng việc kiểm tra khả bị xâm nhập Hầu hết trình kiểm tra dùng công cụ tự động phân tích lỗ hổng an ninh Các công cụ thăm dò hệ thống để xác định dịch vụ có Thông tin lấy từ dịch vụ so sánh với sở liệu lỗ hổng an ninh tìm thấy trước Các công cụ thường sử dụng để thực kiểm tra loại ISS Scanner, Cybercop, Retina, Nessus, cgiscan, CIS, Kiểm tra khả bị xâm nhập cần thực người có trách nhiệm cách cẩn thận Sự thiếu kiến thức sử dụng sai cách dẫn đến hậu nghiêm trọng lường trước 4.6.4 Đối phó hệ thống bị công Gần đây, loạt vụ công nhắm vào site công ty lớn Yahoo!, Buy.com, E-Bay, Amazon CNN Interactive gây thiệt hại vô nghiêm trọng Những công dạng công gây ngừng dịch vụ "Denial-Of- Service" mà thiết kế để làm ngưng hoạt động mạng máy tính hay website cách gửi liên tục với số lượng lớn liệu tới mục tiêu công khiến cho hệ thống bị công bị ngừng hoạt động, điều tương tự hàng trăm người gọi không ngừng tới số điện thoại khiến liên tục bị bận Nếu phát hệ thống bị công Sau bước bản để giải quyết: * Tập hợp nhóm để đối phó với công: Nhóm phải bao gồm nhân viên kinh nghiệm, người mà giúp hình thành kế hoạch hành động đối phó với công * Dựa theo sách quy trình thực an ninh công ty, sử dụng bước thích hợp thông báo cho người hay tổ chức công * Tìm giúp đỡ từ nhà cung cấp dịch vụ Internet quan phụ trách an ninh máy tính Liên hệ nhà cung cấp dịch vụ Internet để thông báo công Có thể nhà cung cấp dịch vụ Internet chặn đứng công Liên hệ quan phụ trách an ninh máy tính để thông báo công * Tạm thời dùng phương thức truyền thông khác (chẳng hạn qua điện thoại) trao đổi thông tin để đảm bảo kẻ xâm nhập chặn lấy thông tin * Ghi lại tất hoạt động (chẳng hạn gọi điện thoại, thay đổi file, .) * Theo dõi hệ thống quan trọng quá trình bị công hay dịch vụ phát xâm nhập (intrusion detection phần mềm software/services) Điều giúp làm giảm nhẹ công phát dấu hiệu công thực sự quấy rối nhằm đánh lạc hướng chú ý (chẳng hạn công DoS với dụng ý làm lạc hướng, không quan tâm đến ý thực công nhằm xâm nhập vào hệ thống) Sao chép lại tất files mà kẻ xâm nhập để lại hay thay đổi (như đoạn mã chương trình, log file, ) Những bước nên làm để giảm rủi ro đối phó với công tương lai: * Liên hệ nhà chức trách để báo cáo vụ công * Xây dựng trao quyền cho nhóm đối phó với công * Thi hành kiểm tra an ninh đánh giá mức độ rủi ro hệ thống * Cài đặt phần mềm an toàn hệ thống phù hợp để giảm bớt rủi ro * Nâng cao khả an toàn máy tính Các bước kiểm tra để giúp bảo đảm tính hiệu hệ thống an ninh * Kiểm tra hệ thống an ninh cài đặt : chắn tính đắn sách an ninh có cấu hình chuẩn hệ thống * Kiểm tra tự động thường xuyên: để khám phá “viếng thăm” hacker hay hành động sai trái nhân viên công ty * Kiểm tra ngẫu nhiên: để kiểm tra sách an ninh tiêu chuẩn, kiểm tra hữu lỗ hổng phát (chẳng hạn lỗi thông báo từ nhà cung cấp phần mềm) * Kiểm tra thường xuyên file quan trọng: để đánh giá toàn vẹn file sở liệu quan trọng * Kiểm tra tài khoản người dùng: để phát tài khoản không sử dụng, không tồn tại, * Kiểm tra định kỳ để xác định trạng thái hệ thống an ninh 4.6.5 Thiết lập tường lửa Iptables cho Linux Việc cài đặt Iptables phần việc cài đặt Red Hat ban đầu Nguyên khởi tạo tìm kiếm tồn file Iptables, rules/etc/sysconfig/iptables Và chúng tồn iptables khởi động với cầu hình rõ Một server gởi mail nhận mail, cấu vào sendmail đến nơi hình Iptables nên cho phép kết nối từ đầu đâu Người quản trị hệ thống sử dụng shh từ bên máy Iptables rules cài đặt phép kết nối shh Ping ICMP cho phép đâu Không có cổng khác cho phép kết nối đến người dùng Đây mức bổ sung cho việc phòng thủ server trường hợp Firewall thỏa hiệp Thêm vào việc bảo vệ cho ssh cung cấp cấu hình gói tcp bên Iptables tường lửa ứng dụng lọc gói liệu mạnh, miễn phí có sẵn Linux Netfilter/Iptables gồm phần Netfilter nhân Linux Iptables nằm nhân Iptables chịu trách nhiệm giao tiếp người dùng Netfilter để đẩy luật người dùng vào cho Netfiler xử lí Netfilter tiến hành lọc gói liệu mức IP Netfilter làm việc trực tiếp nhân, nhanh không làm giảm tốc độ hệ thống Hình : Cấu trúc Iptables Iptables chia làm bảng (table): bảng filter dùng để lọc gói liệu, bảng NAT dùng để thao tác với gói liệu NAT nguồn hay NAT đích, bảng dùng để thay đổi thông số gói IP bảng conntrack dùng để theo dõi kết nối Mỗi table gồm nhiều mắt xích (chain) Chain gồm nhiều luật (rule) để thao tác với gói liệu Rule ACCEPT (chấp nhận gói liệu), DROP (thả gói), REJECT (loại bỏ gói) tham chiếu (reference) đến chain khác Hình : Cấu trúc bảng Iptables Để hạn chế khả bị DoS tăng cường tốc độ cho máy chủ phục vụ web dùng cách tải cân (load-balacing) sau: Cách 1: chạy nhiều máy chủ phục vụ web địa IP Internet khác Cách 2: đặt máy chủ phục vụ web mạng DMZ 4.7 Các phần mềm bảo mật 4.7.1 Linux sXid Các thuộc tính SUID/SGID trở thành mối nguy cho vấn đề bảo mật an toàn hệ thống Để giảm rủi ro này, trước đã xóa bit từ chương trình sở hữu root mà không yêu cầu nhiều quyền , tương lai file tồn khác cài đặt với bit bật lên sử dụng thông báo người quản trị SXid chương trình theo dõi hệ thống suid/sgid thiết kế chạy từ cron nguyên lý Cơ theo dõi thay đổi thư mục file SUID và SGID Nếu có điều gì thư mục hay file, thư mục file thay đổi bit mode khác sau tự động thực việc tìm kiếm tất suid/sgid máy server thông báo chúng 4.7.2 Linux Logcheck Một công việc quan trọng giới bảo mật an toàn phải kiểm tra thường xuyên file xuất kết theo dõi hệ thống (log file) Thông thường hoạt động ngày người quản trị hệ thống không cho phép người dùng có thời gian để thực công việc mang đến nhiều vấn đề Giải thích tính chất logcheck Kiểm tra theo dõi ghi nhận kiện xảy thì quan trọng ! Đó người quản trị hệ thống nhận biết kiện có thể ngăn chặn vấn đề chắn xảy có hệ thống kết nối với internet Thật không may cho hầu hết logfile kiểm tra var log đó, mà thường kiểm tra có kiện xảy Điều logcheck giúp đỡ 4.7.3 Linux PortSentry Bức tường lửa (firewall) giúp đỡ bảo vệ mạng khỏi xâm nhập bất hợp pháp từ bên Với firewall chọn ports muốn mở port chúng đóng Thông tin giữ cách bí mật người chịu trách nhiệm đến firewall Tuyệt đối không người từ bên biết thông tin này, nhiên hackers spammers biết tất vài cách công, sử dụng chương trình đặc biệt để quét ports server và gom những thông tin quí giá (ports mở, ports đóng) Một chương trình quét Như giải thích phần đầu PortSentry port dấu hiệu vấn đề lớn đến Thường tiền thân cho công phận nguy hiểm việc bảo vệ hữu hiệu tài nguyên thông tin PortSentry chương trình thiết kế để phát phản hồi tới port quét nhằm chống lại host đích thời gian thực quét port có số tuỳ chọn để phát port quét Khi tìm thấy port quét phản ứng lại cách sau: * Một logfile lưu việc xảy qua thông qua syslog( ) * Tên host mục tiêu tự động bỏ vào file “/etc/hosts.deny” cho trình bao bọc TCP * Host nội tự động cấu hình lại để hướng tất lưu thông tới host mục tiêu trỏ tới host không hoạt động ( deal host ) làm hệ thống mục tiêu biến * Local host tự động cấu hình lại để loại bỏ tất gói thông tin từ host mục tiêu thông qua lọc local host Mục đích PortSentry để giúp người quản trị mạng có công cụ khảo sát kỹ lưỡng hệ thống 4.7.4 Linux OpenSSH Clien/Server “Việc cài đặt Linux Server”, nhiều dịch vụ mạng đưa vào, hạn chế dịch vụ rsh, rlogin, rexec không bị xâm nhập tử Bất kỳ truy với kiểu mà hacker thường dùng nghe trộm điện cập tới máy tính kết nối vào mạng lắng nghe đường truyền giao tiếp họ lấy mật khẩu, việc lấy qua đường mạng dạng văn Hiện thông tin riêng tư khác thông Telnet chương trình cần thiết cho công việc quản trị ngày, không an toàn truyền mật dạng văn (text ) thông qua mạng cho phép trình lắng nghe (listener), theo cách hacker sử dụng tài khoản để làm công việc phá hoại mà người muốn Để giải vấn đề nên tìm cách khác, chương trình để thay Thật may mắn OpenSSH dịch vụ thật vững bảo mật thay cho cách cũ, chương trình login từ xa không an toàn cổ xưa chẳng hạn telnet , rlogin, rsh,rdist hay rcp Ssh ( Secure Shell ) chương trình để log vào máy tính khác thông qua hệ thống hệ thống mạng, để thi hành lệnh máy tính xa, để chuyển file từ máy tới máy khác Cung cấp tính xác nhận hợp lệ “authentication” bảo mật trao đổi thông tin qua kênh truyền dẫn không an toàn, dự trù để thay cho chương trình rlgoin ,rsh rdist inetd Trong việc cấu hình, phải cấu hình OpenSSH hỗ trợ tcp-wrappers ( super server ) để cải tiến việc bảo mật cho chương trình bảo mật sẵn có tránh việc phải chạy chương trình daemon theo kiểu background máy server Theo cách này, chương trình chạy máy khách (client) kết nối đến tái thiết lập lại chúng thông qua trình daemon TCP-WRAPPERS cho việc xác minh tính đắn cho phép trước phép kết nối tới máy server OpenSSH thì miễn phí, thay cải tiến SSH1 với tất cản trở giả thuật sáng tạo công nhận bị xoá bỏ (và trở thành thư viện mở rộng bên ngoài), tất lỗi nhận biết sữa chữa, đặc trưng giới thiệu nhiều trình dọn dẹp rác (clean-up) khác Điều khuyên dùng phiên SSH (miễn phí lỗi sửa) thay cho SSH1 (miễn phí, lỗi lỗi thời) hay SSH2 mà có nguồn gốc miễn phí trở thành phiên thương mại Đối với tất người mà dùng SSH2 công Datafellows, bắt đầu với OpenSSH, xem chương trình SSh mà người phải chuyển sang sử dụng tương lai 4.7.5 Linux Tripwire 2.2.1 Một tiến trình cài đặc Red Hat Linux Server tiêu biểu xử lý khoảng 30.400 file Vào thời điểm nhà quản trị hệ thống kiểm tra tính máy server, toàn vẹn tất file, kẻ công truy cập thì họ cài đặt hay hiệu chỉnh file mà không dễ nhận biết điều Do khả cố mà số chương trình tạo để đáp ứng loại vấn đề Tripwire làm việc tầng nhất, bảo vệ máy server máy trạm làm việc mà chúng cấu thành mạng hợp Tripwite làm việc cách trước tiên quét máy tính tạo sở liệu file hệ thống, dạng số hoá “snapshot” hệ thống hệ thống bảo mật biết Người sử dụng cấu hình Tripwire cách xác, trừ file thư mục sở hữu riêng cho máy để theo dõi, hay tạo dạng mẫu chuẩn mà sử dụng tất máy mạng Một sở liệu tạo ra, người quản trị hệ thống dùng Triwire để kiểm tra toàn vẹn hệ thống thời điểm Bằng cách quét hệ thống hành so sánh thông tin với liệu lưu trữ sở liệu, Triwire phát báo cáo việc thêm vào, xoá bớt, hay thay đổi tới hệ thống bên ranh giới bên định Nếu việc thay đổi hợp lệ thì quản trị hệ thống cập nhật sở liệu biến với thông tin Nếu thay đổi cố tình làm hại tìm thấy, thì người quản trị hệ thống biết phần thành phần mạng bị ảnh hưởng Phiên Tripwire sản phẩm có phần cải tiến đáng kể so với phiên Tripwire trước ... kết nối tới nơi phức tạp khu vực phi quân hoá (DMZ) 4.5 Bảo mật Linux Server Một số biện pháp bảo mật linux server Hiện Linux dần trở thành hệ điều hành phổ biến tính kinh tế, khả bảo mật... phát triển Linux đặt riêng mật mã hoá vào file /ect/shadow có root đọc được, yêu cầu phải chọn Enable the shadow password cài Red Hat 4.5.6 Luôn nâng cấp cho nhân (kernel) Linux Linux không... uyển chuyển khiến cho Linux thu hút thay cho hệ điều hành thương mại Tính firewall chuẩn cung cấp sẵn kernel Linux xây dùng từ hai thành phần : ipchains IP Masquerading Linux IP Firewalling Chains