Đang tải... (xem toàn văn)
Kết nối phần 1, phần 2 sách trình bày về: Tấn công và phòng thủ với máy tính chạy Linux. Bạn cần phải học cách phòng thủ và khắc phục sự cố khi máy vi tính bị tấn công bởi vì kể từ thời điểm chiếc máy tính của bạn bắt đầu khởi động cho tới khi bạn tắt máy đi, nó sẽ là một mục tiêu có thể bị tấn công. Các con virus, keystroke logger, phần mềm do thám, những chương trình bẻ khóa và các script (kịch bản) có hại đang chực sẵn bên ngoài chỉ trực chờ một kẽ hở để tiến đến.
Phần TẤN CỒNG VÀ PHỊNG THỦ v íl MÂY TÍNH CHẠY LINUX KHỞI ĐỘNG LINUX TỪ ĐĨA CD Trước đây, muôn sử dụng Linux bạn cần cài hệ điều hành lên đĩa cứng máy tính Nhưng thứ thay đổi xuất vài phiên Linux có khả chạy trực tiếp từ đĩa CD-ROM, ví dụ phiên Ubuntu Linux mà khuôn khổ viết xin tạm gọi Linux "mì án liền" Tương tự phiên Linux cần cài đặt vào máy tính, Ubuntu Linux cho phép người dùng tải miễn phí từ Internet tập tin có phần mở rộng iso Sau tải máy tính, bạn dùng tiện ích ghi đĩa Roxio Easy CD Creator hay Nero để chép tập tin iso lên CD-ROM trắng Với Roxio Easy CD Creator thực thủ tục sau: nhấn Eile.Record CD from CD Image hay Eile.Burn Image (với tiện ích Nero) Khi ghi đĩa xong, bạn sử dụng đĩa CD khởi động Ubuntu bắt đầu khám phá giới Linux mà không cần trải qua công đoạn cài đặt đầy khó khăn Giốhg thực phẩm chế biến sẵn, Linux "mì ăn liền" cài sẵn vơ số ứng dụng để thoả mãn tốt yêu cầu nhiều đổi tượng người dùng Và thực thi trực tiếp từ đĩa CD-ROM nên bạn cài đặt thêm 183 ứng dụng hay gỡ bỏ ứng dụng khơng cần thiết, tinh chỉnh cấu hình để hệ thông hoạt động phù hỢp với nhu cầu sử dụng cá nhân dùng Linux cài đặt đĩa cứng Hơn nữa, tốc độ hoạt động Linux "mì ăn liền" bị hạn chế phần phải dành phần nhớ RAM để làm vùng nhớ đệm cho hệ điều hành hoạt động Do vậy, sau chạy thử cảm thấy thích thú vói Linux bạn nên "hạ sơn" phiên Linux "mì ăn liền" sử dụng xuống đĩa cứng máy Bạn có thê lựa chọn hai phiên Linux Fedora Core Red Hat tài trỢ Open Circulation Xandros Desktop cần lưu ý phiên có hỗ trỢ ghi lên dĩa CD (không hỗ trỢ ghi lên DVD) Xandros sản phẩm thương mại nên nhà sản xuất khơng cung cấp dạng tải miễn phí Nếu trước cài đặt Windows đĩa cứng cần lưu ý khai báo xác q trình cài đặt để tiện ích cài đặt Linux tự động thiết lập chế độ khởi động đôi cho hệ thống (cho phép người dùng khởi động Windows Linux) Trước cài đặt Linux, bạn nên ghi giấy thông số cấu hình hệ thống cần thiết địa IP máy tính, máy chủ DNS, cổng truy cập Internet (gateway) Để có thơng tin Windows 98/Me, bạn nhấn chuột phải lên biểu tượng Netvvork Neighborhood chọn Properties Tiếp đến, nhấn đúp chuột vào mục TCP/IP tìm thẻ IP Address, Gateway DNS Coníìguration Với Windows 2000/XP, nhấn chuột phải lên biểu tượng My Netvvork Places chọn Properties Trong cửa sổ Network Connections, nhấn chuột phải lên biểu tượng kết nối mạng chọn Properties, sau tìm nhấn đúp chuột lên mục Internet Protocol (TCP/IP) Ngoài ra, bạn nên ghi lại tên, thông sô' kỹ thuật hình card đồ họa máy tính phòng trường hỢp trình cài đặt Linux khơng tự động xác định thiết bị 184 KHẮC PHỤC LỖI TIỆN ÍCH NAUTILUS Tiện ích Nautilus phiên Ubuntu Linux 5.4 (có tính tướng tự Windows Explorer Windows) có nhược điểm tự động đóng cửa sổ thư mục bạn thực mở thư mục khác Để khắc phục tình trạng trên, chọn Applications.Run Application, gõ vào Enter> Trong cửa sổ thư mục bên trái, chọn apps.nautilus.preíerences đánh dấu tùy chọn no_ubuntu_spatial cửa sổ bên phải Tiếp đến, đóng cửa sô ConLiguration Editor lại (tương tự Control Panel Windows) để kết thúc Từ bây giò, tất cửa sổ thư mục mở bạn lệnh đóng CÀI ĐẶT CÁC ỨNG DỤNG TỪ MÀ NGUỔN TRÊN LINUX Có nhiều bạn lần đến với Linux cảm giác khó khán bất tiện việc cài đặt ứng dụng Linux, đặc biệt ứng dụng phải cài đặt từ mã nguồn xine, openGL Trên Windows, bạn cần tải ứng dụng về, giải nén click vào fíle Setup hồn tấ t việc cài đặt, Linux chuyện hồn tồn khác Phần viết nhằm mục đích hướng dẫn bạn thao tác cài đặt phần mềm ứng dụng Linux cung cấp kiến thức giúp bạn quản lý hệ thống riêng Để dễ dàng viết gọi phần mềm Linux gói (package) Thực tế tên gọi “gói” đắn gói Linux khơng phải trình ứng dụng mà thư viện thư viện đồ họa Gtk+ OpenGL Bạn tự hỏi phần mềm Linux khơng tự đóng gói sẵn cho xuất bạn cần tải cài đặt 185 Vấn đề phần mềm viết Linux khơng hẳn chạy Linux mà chạy nhiều hệ thống khác họ Unix Solaris, AIX, HPUX chí phần mềm chạy nhiều vi xử lý khác Intel, Motorola, PPG Có đưỢc đa nhò vào tính đa (portable) ngơn ngữ C/C++ đòi hỏi phải biên dịch lại phần mềm từ mã nguồn cho hệ thống mà chúng vận hành Bạn tự hỏi tác nhà phát triển lại không biên dịch sẵn cho hệ thống thơng dụng Linux chẳng hạn Các phần mềm phần mềm mã nguồn mở nhà phát triển khơng có cách để lại phần biên dịch cho Tuy nhiên bạn đừng thất vọng có số nhà phát triển tốt bụng có thê biên dịch sẵn cho gói có dạng rpm với hỗ trỢ công ty Red Hat có chương trình quản lý phần mềm hiệu khơng Windows RPM (Redhat Package Manager) Mặc dù khơng phải lúc gói từ nhà phát triển gốc có phiên biên dịch sẵn mà thường khoảng thời gian sau phiên có dưói dạng biên dịch sẵn Bên cạnh có nhiều nhà phát triển không biên dịch sẵn sản phầm mà đòi hòi người dùng phải biên dịch, điển hình trình chơi phim nhạc xine Các gói biên dịch sẵn bạn có từ xine đa sơ" từ nhà nhát triển khác Do bạn khơng bạn khơng biết cách cài đặt gói từ nguồn trở ngại lớn cho việc hiểu quản trị hệ thống riêng Căn việc cài đặt Điều bạn tiến hành cài đặt bạn phải có mã nguồn gói trước Hãy lên mạng search gói 186 bạn thích thư viện Gtk+ Gnome Sau tải về, thơng thường có dạng ,gz ,bz2, chuẩn nén khác nhau, sau giải nén gunzip cho gz bunzip2 cho bz2 gói có dạng tar, chuẩn nén khác, bạn giải nén lệnh, tar -xvf Thế đê dễ dàng tiết kiệm dung lượng ổ đĩa gộp câu lệnh thành sau: - ĐỐI với gói ,gz: # tar -zxvf tengoi.gz - Đơi với gói bz2: # tar -jxvf tengoi.bz2 Sau giải nén xong tìm tập tin INSTALL để đọc cụ thể cho phần hướng dẫn cài đặt Thê gói tuân theo thao tác sau: # /coníĩgure # make # make install Chỉ có vài gói đặc biệt có riêng cách cài đặt bạn nắm vững nguyên tắc chung dù cách thức bạn xoay xở Chúng ta xét đến câu lệnh đầu tiên, /conílgure Thực chất conhgure Shell script kiểm tra u cầu hệ thơng bạn có đáp ứng đủ để cài đặt gói lên khơng, ví dụ sơ" gói đòi hỏi bạn phải có sẵn thư viện đồ họa Gtk 2.4 trở lên thư viện để giải nén nhạc Mp3 Rất nhiều gói có phụ thuộc thê gói tải khơng có sẵn gói tương ứng cần thiết cho Khi bạn chạy conhgure xong kết cho bạn biết gói cần thiết để cài đặt Nhiệm vụ bạn khơng phải tìm gói phụ thuộc cài lên máy mói tiếp tục việc cài đặt Nếu hệ thống bạn thỏa mãn đầy đủ yêu cầu để cài đặt Makefile tạo Makeíĩle íĩle đặc biệt tiện ích make nhằm hướng dẫn biên dịch mã nguồn gói dạng thực thi 187 Sau bạn thực thi lệnh 'make' xong tồn mã nguồn gói biên dich sang dạng thực thi íĩle thực thi nằm thư mục hành Do bạn cần phải thực thêm lệnh 'make instair để chép ílle thực thi sang vỊ trí hệ thống Nếu khơng có thơng báo lỗi xảy bạn hòan tất việc cài đặt gói lên hệ thống Tổ chức file tiên hệ thống Bạn hồn tồn biết thư mục Linux thư mục /usr thư mục quan trọng chứa chương trình hàm thư viện Trong thư mục /usr/bin chứa ílle thực thi cho gói bạn cài đặt máy, file thư mục bạn thấy file quen thuộc mozilla, gedit Thư mục /usr/lib chứa hàm thư viện, bạn thấy nhiều ílles có phần mỏ rộng so (shared object) hàm thư viện liên kết động a (archive) la hàm thư viện liên kết tĩnh Đặc tính cán dạng thư viện hàm thư viện liên kết tĩnh liên kết thẳng vói files thực thi ln q trình liên kết, hàm thư viện liên kết động liên kết trình thực thi, sau chương trình biên dịch liền kết thư viên tĩnh bỏ thư viện hên kết động bắt buộc phải kèm với chương trình Thư mục /usr/share chứa icon, manual info gói Loại bỏ gói Nếu bạn mong muốh lọai bỏ gói cài đặt hệ thống cách bạn phải vào lại thư mục mã ngn gói gõ lệnh make 'uninstair thơng thường bạn có câu lệnh sau: 'make clean' 'make distclean' Các câu _ _ _ v 188 1 I I * , n t ^ ,1 V, , lệnh có ý nghĩa tương đốĩ định nghĩa tập tin Makìle, nên bạn thử với 'make uninstair 'make clean' CUỐI 'make distclean' giúp bạn xóa hết tập tin biên dịch thư mục nguồn đồng thòi xóa Makeíile, bạn phải chạy lại /coniĩgure để tạo lại Makehle Quản iý gói Do việc xóa bỏ gói phiền phức đôi lúc bạn chẳng thể xóa bỏđược mã nguồn, bạn thay cài vào thư mục mặc định /usr bạn cài vào thư mục riêng bạn, ví dụ bạn tạo thư mục Vsoft' Sau để cài gói gedit bạn tạo thêm thư mục /soft/gedit dùng lệnh /conílgure bạn thêm tùy chọn sau: /conílgure preflx=/soft/gedit Thì bạn gõ make install copy toàn sang thư mục /soft/gedit Khi bạn muốh xóa tồn gói đơn giản xóa thư mục thơi Lưu ý bạn cài vào thư mục riêng bạn phải tạo đường dẫn cho biến môi trường (environment variable) LD_LIBRARY_PATH PKG_CONFIG_PATH LD_LIBRARY_PATH có đường dẫn đến thư mục lib gói vừa tạo (ví dụ /soft/gedit/lib) PKG_CONFIG_PATH có đường dẫn đến thư mục pkg_config thư mục lib (ví dụ /soft/gedit/lib/pkg_config) Bên cạnh bạn mn chương trình gọi tự động bạn nên thêm vào biến PATH cho gói BẢO MẬT LINUX c sở Thê giới vốh tồn hai kiểu quan niệm bảo mật: bên người nghĩ bảo mật máy 189 tính thật vui thú vị, bên lại cho thật bí ẩn đáng sỢ Các chuyên gia quản trị hệ thống chắn nói bảo mật máy tính thực buồn tẻ Bởi họ phải thường xuyên đọc file thông tin sở (log file) khô khan gắn liền với đêm dài ngủ, tâm trạng hoảng hốt liên tục chông lại công, nguy xâm nhập hệ thống có hoạt động điên khùng Hàng tháng, bạn đọc file log đặn lặp lặp lại tin báo giôhg Rồi vào buổi sáng dưng cảnh báo lạ khác xuất Suy nghĩ bạn là: "Mình bị cơng!" Muốh xác định xem liệu cơng có thành công hay không, bạn lùng sục ghi log, kiểm tra file hệ thơng, tìm kiếm dấu hiệu khác thường Nhưng rốt chẳng có xảy Cuộc công thất bại? Cũng chưa hẳn, kẻ cơng thơng minh bạn Rồi hàng ngày, hàng tuần bạn tự hỏi không hiểu hàng rào bảo vệ có bị xâm nhập khơng Cuối cùng, bạn qn đối phó với khủng hoảng Bảo mật máy tính, số điểm giốhg việc lái xe Một số người nghĩ lái xe thú vị, hồi hộp, số khác lại cho nguy hiểm đáng sỢ Trong lái xe, tuân thủ quy định đường bộ: đeo dây bảo hiểm, tránh đường có hại, ln quan sát đường đi, bảo dưỡng định kỳ Vậy nguyên tắc tương ứng bảo mật máy tinh tbì nào? Xin thơng báo điều là: hầu hết chương trình bảo mật máy tính khơng mang tính kỹ thuật nặng nề, giơng người lái xe khơng đòi hỏi phải hiểu chi tiết động hoạt động bên Lái xe tốt chán lái xe tồi, chẳng vui vẻ Bảo mật máy tính đòi hỏi nhiều nỗ lực Bạn phải thực kiểm tra có phương pháp chi tiết cần thiết có khả 190 náng mang lại hiệu cho hệ thống máy tính vốh tẻ nhạt, dự đốn trước Lái xe an tồn an tồn máy tính đòi hỏi khả kỹ thuật bạn Mục đích giúp bạn tránh điều có hại từ bước Bài báo giống khố học lái xe an tồn đường cao tơíc cho bạn Bảo hiểm Hầu thê giới không cho phép bạn lái xe khơng có bảo hiểm, phiíơng pháp cũ việc quản lý phân phôi nguy hiểm Leo lên ô tô, mức độ rủi ro nguy hiểm gây chết người tổn thương nghiêm trọng cho bạn gia tăng Nhưng hầu hết người lái xe Cũng giống thế, kết nơi máy tính vói mạng đặt bạn trưóc nguy bị mát hay bị ăn trộm liệu Nhưng miễn cưỡng buộc phải ngắt kết nôl Internet có cố xảy Là quản trị viên hệ thống Linux, bạn khơng dự đốn nguy hiểm, ln quản lý chúng Trưóc hết bạn cần biết mức độ tự nhiên mối nguy hiểm quản lý chúng Bảo hiểm tơ có thê hố đơn thuốc, bảo hiểm nguy cho xe ô tô, kiện cáo liên quan đến tai nạn, trộm cắp xe Khi đặt máy tính vào mạng Internet, nguy hiểm phát sinh cho bạn? Các chuyên gia bảo mật máy tính nói người dùng người quản trị nên phát triển mơ hình đe doạ thử nghiệm để nghiên cứu Bạn muốn bảo vệ khả truy cập mạng, khả in hay lưu trữ file? Bạn lo lắng tính cẩn mật fíle hệ thống? Bạn lo lắng người chỉnh sửa hay phá huỷ 'liệu? Bạn có muốn hacker xố Nvebsite đe doạ làm méo mó hình ảnh bạn? 191 Thực thi bảo mật đòi hỏi bạn phải hiểu đe doạ Các điểm nguy hiểm bảo mật không giốhg bảo hiểm Sao lưu bảo mật máy tính giơng bảo hiểm lái xe; Tuỳ thuộc vào mơ hình nguy hiểm cấu hình hệ thống, phân vùng khác thủ tục lưu nhấn mạnh Nếu hệ thống sử dụng tiêu chuẩn Linux không dùng đĩa CD với chút tuỳ chỉnh ílle cấu hình, bạn cần đĩa nén để lưu íĩle thư mục gốc Nếu tuỳ chỉnh hệ thống mở rộng, bạn lưu thư mục: /etc /usr/local Nếu việc lưu trữ file vói chế cài đặt 'làm tươi' đem lại xác cho hệ thống, bạn thực chê lưu đầy đủ thông thường Luật đường Hầu hết phủ giới đòi hỏi bạn phải học luật muốh lái xe Trước cấp quyền lái cho đó, họ phải vượt qua kiểm tra chứng minh khả hiểu luật đường Còn người dùng mạng, cuốh sách luật cầm tay điều khoản dịch vụ hỢp đồng vói nhà cung cấp ISP Nếu dùng máy tính cho cơng việc, bạn phải tuân theo hướng dẫn tổng hỢp hay sách tổng hỢp Các điều khoản dịch vụ gồm mức giói hạn dịch vụ giám sát thực thi mạng, vói điều khoản yêu cầu luật sở hữu trí tuệ khắt khe Các sách tổng hỢp đòi hỏi phải có mật an tồn, việc dùng hệ thơng cho hoạt động không liên quan đến công việc, hỢp đồng bảo mật Khi quản trị viên hệ thống, bạn phải xây dựng sơ" sách mật tổ chức, giải mã lưu 192 lượng mạng, qt tìm lỗ hổng bảo mật máy cơng ty Nếu bạn nghĩ khơng phải vấn đề, đọc trường hỢp Randal Schwartz vụ số nhân viên CIA gần bị kỷ luật sử dụng dịch vụ chat khơng rõ nguồn gốc Nếu bạn chưa có sách nào, đầu tư phát triển chúng Hãy thắt dây an tồn Lòi khun tốt tham gia giao thơng bạn nên vai trò người hành Hầu hết xâm phạm bảo mật nguy hiểm lại hacker, đốỉ thủ cạnh tranh hay tổ chức phủ bất gây Ngun nhân xuất phát từ nhân viên khơng thực điều luật quy định Họ sử dụng mật tồi laptop, đặt chúng vào mạng bảo hiểm nhà họp Hãy chắn tất nhân viên hiểu sách bạn giúp họ biết đưỢc nguy hiểm cận kề kết hỢp với xâm phạm họ Thậm chí cho dù xâm phạm khơng gây hại trực tiếp chúng trở thành nguyên nhân làm gia tăng mức độ nguy hiểm, xác đốĩ ngược lại với bạn cơ" gắng thực Thắt dây an tồn giơng cân mổỉ đe doạ: ngưòi bạn ln nói vối tơi người bị giết axih ta th dây an toàn thay vào bảo vệ an tồn Cho dù câu chuyện khơng phải thực, có ngoại lệ, khơng phải nguyên tắc Những người lái xe thận trọng hay hành khách biết điều Thắt lưng an tồn cứu đưỢc nhiều người Tương tự, thực thi sơ" tính bảo mật máy tính khiến bạn phải đơ"i mặt với nhiều thách thức Có chúng trở thành đích nhắm thú vị 193 cho hacker Một câu hỏi đặt là: "Xét tổng thể, chừng làm tăng hay giảm tính bảo mật?" Tránh đường xấu Một ô tô tốt đưọc thiết kế cho có sức bền lớn hay Sức bền Internet tương tự với dòng chương trình quét mức thấp máy dò hacker dùng để tìm kiếm hệ thống xâm nhập Cách tốt nnất để tránh việc giữ proílle thấp Hầu hết quản trị viên Linux mở nhiều dịch vụ mức cần thiết khu vực làm việc Tôi chứng kiến hàng loạt máy bị hack qua copy lỗi thời BIND cài đặt trến hệ thốhg Hệ thồhg chí khơng dùng tên dịch vụ cục Nếu tính “named” khơng thực thi, hệ thơng khơng an tồn Hãy tắt dịch vụ thừa gỡ bỏ phần mềm không cần thiết Nhiều chương trình nguy hiểm đến từ inetd Bạn tắt chúng cách dẫn giải dòng phù hỢp tương ứng thư mục /etc/inetd.conf Một sô" hệ thống Red Hat 7.0 sử dụng xinetd thay cho file cấu hình xinetd, dễ dàng sử dụng dễ dàng tắt dịch vụ Nhiều dịch vụ nguy hiểm khác xuất script khởi động /etc/rc[l-5].d, /etc/init.d/rc[l5].d, hay /sbin/rc[l-5].d (Thư mục thay đổi tuỳ thuộc vào hệ thốhg phân phối bạn), tốt nên giói hạn lượng tối thiểu vừa đủ Cuối bảo vệ liệu truyền mạng Các chương trình Telnet, FTP truyền tải tất mật liệu qua mạng dưối dạng văn tuý (cleartext) Bất kỳ có sniffer mạng đọc chúng Bạn nên thay thê gói OpenSSH phần mềm khác bảo vệ liệu cách sử dụng phương pháp mã hố 194 Hãy ln ý tới đường Một người lái xe giỏi phải quan sát chướng ngại vật, biết nguy xảy đến biết cách xử lý chúng Trong bảo mật, danh sách mailing điểm then chốt để thực điều CIAC CERT sử dụng danh sách mailing mức thấp với thông tin nguy bảo m ật cho nhiều công ty phát triển Linux Red Hat, SuSE, Debian Mandrake Nếu bạn muốn biết cụ thể vấn đề diễn hàng ngày, BugTraq danh sách mailing hữu hiệu, nơi nhiều vấn đề bảo mật đũa Để quan sát diễn ra, đọc íĩle log sở Đó điều bạn nên làm sáng, sau kiểm tra e-mail đến Nếu sử dụng hệ thống dò tìm xâm nhập Snort, bạn nên đọc file log Chương trình GIAC (Global Incident Analysis Center) học viện SANS Institute cho phép bạn tìm hệ thống dò tìm xâm nhập khơng hoạt động người Đọc íĩle log admin khác cách thông minh để hiểu vấn đề sở Bảo dưỡng định kỳ Ngay xe an toàn nhất, đại cần phải kiểm tra bảo dưỡng định kỳ mối ln trì khả hoạt động tốt Máy tính Vói hệ thốhg Linux, bảo dưỡng định kỳ tức phải cập nhật cho phần mềm máy Như vối Red Hat Linux chẳng hạn Thời gian cập nhật cho update thường xuyên: chí update tuần Mặc dù giữ tốc độ cập nhật liên tục cho phần mềm hệ 1Q.'=; thơng có nhiều thách thức, điều cần thiết Hầu hết hệ thống bị phá hoại xuất phát từ nguyên nhân khai thác lỗ hổng bảo mật phần mềm chưa update mối Bạn ví đua: bạn tìm thấy lỗ hổng trưóc vá chúng? Nhiều phân phối Linux trang bị chế update tự động Debian phân phôi liên quan hỗ trỢ lệnh apt-get update, Mandrake có Mandrakeưpdate Red Hat có 'up2date' sử dụng chức tự nâng cấp cho tất phần mềm hệ thống thòi bạn yếu tơ" quan trọng để giành chiến thắng đua chổng kẻ xâm phạm bất hỢp pháp Giốhg lái xe, bảo mật máy tính có điểm đáng chán Để giữ an toàn, bạn phải tiếp tục thực nguyên tắc sau đây: • Sao lưu hệ thống hình thức bảo hiểm • Biết cố gắng bảo vệ • Thực tất sách thích hỢp (nếu cần xây dựng sách riêng) • Biết ưóc lượng khả giói hạn • Ln quan sát, theo dõi mơl đe doạ phù hỢp • Ln cập nhật cho phần mềm Để giữ an toàn cho hệ thống cần phải ln kiên trì, kiên định thường xuyên nâng cao cảnh giác LÀM REVERSE PROXY VỚI LINUX + APACHE HTTPD, THUỘC SERIES "BẢO VỆ MÁY CHỦ " Giói thiệu Nhiệm vụ bảo vệ hay nhiều content web-server -1- nằm vùng Internal -2-, QC web-server Apache httpd, Microsoft IIS, web-server đơn giản embedded vào ứng dụng Để hồn thành nhiệm vụ, tập trung vào xây dựng firewall/ids hoạt động tầng application, tài liệu gọi reverse-proxy, sử dụng Apache httpd -3- Linux Reverse proxy gì? M ột proxy, th eo địn h ngh ĩa, m ột th iết bị đứng server Client, th am gia vào "cuộc trò chuyện" hai bên K hái niệm proxy m chún g ta thường dùng hàn g n gày tốt n ên gọi m ột forward proxy: m ột th iết bị đứng m ột Client tấ t server m Client m uốn truy cập vào M ột reverse proxy làm công việc hồn tồn ngược lại: đứng giữ a m ột server tấ t Client m server n y p h ải phục vụ R everse proxy giôhg m ột nh ga kiêm m ột trạm kiểm soát, req uest từ Client, bắt buộc p h ải ghé vào reverse proxy, tạ i reverse proxy kiểm soát, lọc bỏ req u est k h ôn g hỢp lệ, lu ân chuyển req u est hỢp lệ đến đích cuối server Chú ý m ột reverse proxy có th ể lu ân chuyển req uest cho n h iều server lúc Lợi thê lộn việc sử dụng reverse proxy khả quản lí tập trung Một đẩy tất traffiC qua trạm kiểm soát day (là reverse proxy), áp dụng nhiều "đồ nghề" khác để tăng cường an ninh cho hệ thông Dĩ nhiên, sản phẩm hay cơng nghệ có ưu khuyết điểm nó, với single point of access bao giò "bóng ma" single point of failure Single point of íailure đưỢc giải cách xây dựng cluster Đây vấn đề hoàn toàn vượt qua khỏi phạm vi viết 197 này, xin giới thiệu bồ muốn tìm hiểu cluster Linux thử ghé vào http://www.linux-ha.org Ngồi áp dụng reverse proxy cách giúp tăng cường períormance nâng cao scalability webapplication chạy content server Chút xíu nữa, tơi vào chi tiết ưu điểm reverse proxy làm thê để khai thác ưu điểm Cài đặt máy chủ reverse-pioxy Chọn cài đặt hệ điều hành cho reverse proxy Dĩ nhiên sử dụng linux cho máy chủ reverse proxy không mô tả q trình cài đặt linux có nhiều tài liệu hảy Internet nói đề tài này, nghĩ đến chuyện làm reverse proxy chắn chuyện cài đặt Linux khơng vấn đề 1.3.X hay 2.X? Trước tiên, bạn cần phải trả lòi câu hỏi chọn phiên Apache để làm reverse proxy đây, 1.3.X hay 2.X? Chọn 2.X ba lý do: Thứ có nhiều 0-day phiên 1.3.X :D Thứ hai Apache 2.X cung cấp íĩltering API tốt so với phiên 1.3.X, cho phép module nhìn thấy tương tác vói nội dung request response tưong úng từ trả lòi từ server Điều quan trọng đơi với reverse proxy đóng vai trò application gateway phải kiểm tra tất thơng tin xun qua trước chuyển giao cho bên nhận -6- Thứ ba Apache httpd 2.X có perlormance cao hẳn 1.3.X phục vụ static content íĩle HTML file hình ảnh quan tâm đến vấn để mong muôn giảm tải cho content server bên 198 cách tách content làm hai loại dynamic (các loại file CGI/Perl, PHP) static (các fiie HTML file hình ảnh), content server phục vụ dynamic cõntent, tất static content đưa qua máy chủ reversế proxv ln Lúc request Client vào reverse proxy, request có đích đến static content, máy chủ reverse proxy trả lòi ln cho Client mà khơng cần forward request đến content server phía sau, request đến dynamic content forward để content server xử lí Chọn module cho Apache httpd Ngoài module mà tài liệu "Securing Apache 2; step by step" đề nghị, phải chọn thêm module sau đây: -mod_rewrite, mod_proxy, mod_proxy_http: module hỗ trỢ việc thiết lập reverse proxy -mod_security: module giúp cấu hình reverse proxy thành application firewall để chống lại dạng cơng thưòng thấy vào web-application chạy content server -7-mod_ssl: module giúp mã hóa liệu kết nối từ Client đến server thông qua giao thức SSL TLS, biến giao thức HTTP không an toàn thành giao thức HTTPS bảo mật -8- Phần quan trọng chọn MPM phù hỢp với mục đích làm reverse proxy MPM viết tắt cụm từ Multi-Processing Module, cải thiện đáng kể Apache httpd 2.X so với Apache l.x Trong kiến trúc Apache 2.X, MPM đóng vai trò quan trọng, chịu trách nhiệm lắng nghe cổng mạng, chấp nhận yêu cầu kết nốĩ từ phía Client, chuyển 199 yêu cầu vào bên để Apache httpd xử lí -9- Trong trường hỢp chọn MPM worker MPM worker sử dụng thread để phục vụ request, có khả phục vụ lượng lớn request lại tốh tài nguyên so vói process-based MPM khác prefork Đồng thời MPM worker khai thác đặc tính ổn định cá process-based MPM cách tạo nhiều process đê trước, process có nhiều thread để sẵn sàng phục vụ Client -10- Biên dịch cài đặt Apache httpd Như biết, có hai cách biên dịch module Apache httpd Cách thứ nhất, gọi phương pháp động, biên dịch module thành thư viện liên kết chia sẻ (tương tự thư viện DLL Windows) Với cách này, module biên dịch thành ílle •SO, tải lên Apache httpd khởi động cần (tùy theo câu lệnh LoadModule file cấu hình conf/httpd.conf) Cách biên dịch thứ hai, gọi phương pháp tĩnh, gom tất module nhét vào fí.le bin/httpd (link statically) Khi khỏi động trình chạy, Apache httpd khơng cần phải tải thêm module Phương pháp tĩnh xem lựa chọn tốt hết Chọn phương pháp tĩnh, không cần dùng đến module mod_so (module cần thiết để tải íile so phương pháp động) Hơn nữa, theo kh\iyến cáo Apache, sử dụng phương pháp tĩnh giúp tăng 5% mặt períormance so vối phương pháp động Chúng ta tải Apache httpd 2.X http://httpd.apache.org/ download.cgi tải mod_security http://www.modsecurity.org sử dụng lệnh sau: CODE localhost$ wget http://www.tux.Org/pub/net/apache/dist/httpd/httpd-2.0.54.tar.gz 200 lo c a lh o st$ w g e t h ttp ://w w w m c x lse c u r ity o r g /d o w n lo a d /m o d se c u r ity -1.8 ta r.g z lcx;alhost$ tar - x z f h ttp d -2 ta r.g z -C /usr/l(x:al/src lcx:alhost$ tar - x z f m cx lsecu rity -1 ta r.g z -C /u sr/lcx:al/src Tài liệu kèm theo mod_security hướng dẫn cách biên dịch mod_security thành thư viện chia sẻ Apache httpd, cần phải chuẩn bị đơi chỗ để biên dịch tĩnh mod_security; CODE lcx;alhost$ c d /u sr/l(x:al/src lo c a lh o st$ m k d ir -p h ttp d -2 /m o d u les/secu rity l(x:alh ost$ c p m cxlsecu rity -1 /a p a ch e2 /m cx l_ secu rity c httpd2 /m o d u le s/se c u r ity lo c a lh o st$ c p h ttp d -2 /m c x iu le s/e c h o /M a k e file in httpd2 /m c x lu le s/se c u r ity Bắt đầu biên dịch sau: CODE lo c a lh o st$ c d /u sr/l(x :a l/src/h ttp d -2 lcx:alhost$ ,/c o n fig u r e \ —w ith -m p m = w o rk er \ —d isa b le -c h a r se t-lite \ —d isa b le -in c lu d e \ —d is a b le - e n v \ —d isa b le-sta tu sN —d isa b le -a u to in d e x \ —d is a b le - a s is \ —d isa b le -c g id \ —d is a b le -c g i \ —d isa b le -n e g o tia tio n \ —d is a b le - im a p \ —d isa b le -a c tio n s \ -d is a b le -u s e r d ir X 201 —d is a b le -a lia s \ —d is a b le - s o \ —w ith -m c x lu le = se c u r ity :m o d _ se c u r ity c \ —en a b le-m o d u les= 'ssl rew rite proxy proxy_http' Nếu q trình biên dịch thành cơng, tiếp tục sau để cài Apache httpd vào hệ thống (tại thư mục mặc định /usr/local/apache): CODE lo ca lh o st$ m ake lo ca lh o st$ su lo c a lh o st# um ask 2 lo c a lh o st# m ak e install lo c a lh o st# ch o w n -R root:sys /u sr/lo ca l/a p a ch e RED HAT LINUX VÀ NHỮNG KINH NGHIỆM BẢO MẬT Hiện Linux dần trở thành hệ điều hành phổ biến, tính kinh tế, khả bảo mật uyển chuyển cao Thê nhưng, hệ thống dù an toàn đến đâu dễ dàng bị xâm nhập người dùng (và người quản trị - root) không đặt bảo mật lên hàng đầu Sau sô"kinh nghiệm bảo mật hệ điểu hành Red Hat Không cho phép sử dụng tài khoản root từconsole Sau cài đặt, tài khoản root khơng có quyền kết nối telnet vào dịch vụ telnet hệ thốhg, tài khoản bình thường lại kết nối, nội dung tập tin /etc/securetty quy định console phép truy nhập root liệt kê console truy xuất ngồi trực tiếp máy chủ Để tăng cường bảo mật nữa, soạn thảo tập tin /etc/securetty bỏ console bạn khơng muốh root truy nhập 202 Xóa bớt tài khoản nhóm đặc biệt Người quản trị nên xóa bỏ tất tài khoản nhóm tạo sẵn hệ thống khơng có nhu cầu sử dụng (ví dụ: Ip, sync, shutdown, halt, news, U U C P , operator, games, gopher ) Thực việc xóa bỏ tài khoản lệnh userdel xóa bỏ nhóm với lệnh groupdel Tắt dịch vụ khơng sử dụng Một điều nguy hiểm sau cài đặt, hệ thống tự động bật chạhỢp RAR phức tạp chút có quyền định dạng íĩle Trên vvebsite RARLAB cung cấp phiên dùng giải nén có quyền miễn phí cho khách hàng Linux, gọi unrar Bản thiết kế cho phân phối Intel 32-bit hai gói RPM, Slackware; mã nhị phân độc lập cho hệ thống Intel 64-bit, PovverPC; hệ thơng Linux ARM Chương trình unrar RARLAB cung cấp thành phần mềm miễn phí phần mềm nguồn mở nên bạn không thấy phân phốỉ Linux có tích hỢp hệ điều hành Bạn download đoạn mã nguồn tarball RARLAB, quy định quyền kèm theo cấm bạn dùng để phát triển chương trình mã hố RAR Một lựa chọn khác cơng cụ dòng lệnh có quyền GPLv2, đò dự án Gna! phát triển Gna! urar thiết kế bọc quanh unrarlib, thư viện mã hoá RAR nguồn mở Christian Scheurer dohannes Winkeĩmann, người không thuộc Gna! phảc triển Scheurer Winkelmann phát triển thư viện unrarlib từ mã nguồn RARLAB nguyên ban đầu, phải cần quyền Eugene Roshal cho phép để trở thành phần mềm miễn phí Do đó, hiểu unrarlib phát triển từ GPLv2 quyền ban đầu RARLAB Hợp đồng quyền đường thú vị để thực phần mềm chạy CUỐI quanh RARLAB tạo 262 chương trình mã hố RAR tin học từ mã nguồn ban đầu, cho tói điều chưa diễn Sheurer khơng cảm thấy thích thú vói ý tưởng Tác giả nói rằng, anh thích dùng định dạng nguồn mở đế tạo lưu trữ "Không phải lúc bạn lựa chọn kiểu định dạng liệu Vì thể, thật tuyệt có cách thức mở để truy cập Nhưng bạn chọn cách tạo lưu trữ Nếu không muốn sử dụng cơng cụ nén nguồn đóng, có nhiều lựa chọn khác cho bạn" Chương trình giải nén unrar có quyền sử dụng cú pháp 7z 7za Để giải nén, lưu trữ trì đường dẫn ílle, gõ unrar X ten_ílle_luu_tru.rar Trong GPL unrar, bạn cần thêm dấu trước x: unrar - X ten_fĩle_luu_tru.rar Hiện nay, thư viện unrarlib hỗ trỢ phiên (version 2) định dạng file RAR tói đây, định dạng RAR3 mối hỗ trỢ unrarlib, Scheurer nói rằng, anh khơng hy vọng số kích hoạt lại từ RARLAB Hỗ trợ giao diện người dùng GUI Nếu bạn thực hầu hết việc chương trình Window Manager Linux, bạn th ật may mắn GNOME KDE đểu có chương trình quản lý lưu trữ đồ hoạ File Roller cho GNOME Ark cho KDE Hầu hêt phiên gần hai chương trình dùng chế plug-in, hỗ trỢ nhiều định dạng lưu trữ khác dựa p7zip để hỗ trỢ cho 7z, dựa Gna! unrar hỗ trỢ cho RAR Mặc dù vậy, để giải vấn đề không tương thích íĩle RAR3 mói, bạn cần cài đặt chương trình unrar có máy Như đề cập đến phần đầu, 7z RAR hỗ 263 trỢ phân tách file lớn thành nhiều phần nhỏ Nhưng chương trình kiểm tra, File Rooler Ark nhận thư mục đầy đủ vối file đánh sô' myfĩle.7z.001, myfile.7z.002, myfile.7z.003 tạo file 7z phân tách thành đoạn có kích thước theo bite Do đó, để có liệu bên trong, bạn cần liên kết file phân tách lại thành flle hồn chỉnh dòng lệnh, sử dụng lệnh cat; cat ten_file.7z.001 ten_íĩle.7z.002 ten_file.7z.003 > ten_íĩle.7z Một file hoàn chỉnh gắn lại từ phần tạo, đặt tên ten_file.7z Tại thời điểm đó, bạn mỏ lưu trữ File Roller Ark Nhưng nhanh gõ 7z X ten_íĩle.7z Server Ubuntu Linux bạn an toàn Khi quản trị viên hệ thốhg, nhiệm vụ trọng yếu bạn xử lý vấn đề bảo mật server Nếu server bạn kết nối Internet, bạn nên đặt vùng xung đột Nếu server nội bộ, bạn cần xử lý (có thể cách ngẫu nhiên) đối tượng nguj^ hiểm Thơng thường Ubuntu Server an tồn Ubuntu Server Team - nhóm sản xuất phiên update bảo mật văn phòng - thực lần lột xác thành công lịch sử ngành công nghiệp bảo mậi với Ubuntu Server Ubuntu khơng gắn với sách cổng mở Có nghĩa sau bạn cài đặt, để chế dộ desktop hay server cho Ubuntu xong, mặc định khơng có chương trình ứng dụng chấp nhận kết nối đến internet Giốhg Ubuntu desktop, ưbuntu Server sử dụng chế sudo quản trị hệ thông, tránh sử dụng tài khoản gổc Các update bảo mật bảo hành 18 tháng 264 sau phát hành (một sô" lên đến năm Dapper) hồn tồn miễn phí Trong phần muốh bàn vấn đề bảo mật file hệ thốhg, giới hạn nguồn hệ thống, xử lý ghi an ninh mạng Nhưng bảo mật Linux đề tài khó rộng lớn nên xin cung cấp cho bạn sô" cách giải xung đột Để trở thành quản trị viên tô"t, bạn nên quan tâm tới vấn đề học hỏi thêm từ nguồn khác mà cung cấp 17 QUẢN TRỊ TÀI KHOẢN NGƯỜI DÙNG Nhiều khía cạnh quản trị người dùng hệ thông Linux thực quán nhân phơ"i Trước đây, hãng Debian cung cấp sơ" tiện ích mã lệnh useadd, giúp bạn quản trị dễ dàng Sau Ubuntu kê" thừa đầy đủ mơ hình quản trị người dùng Debian Chúng ta không sâu vào chi tiết Debian coi mơ hình chuẩn quản trị người dùng Các bạn mn tìm hiểu thêm tham khảo vvebsite ’Reilly Vấn đề quan tâm khác biệt Ubuntu với mơ hình chuẩn: sudo Ubuntu khơng cho phép đặt mặc định root, administrator, account Nó có cách xử lý lợi ích bảo mật hay sơ" phương án giảm cấp đáng kinh ngạc Đó văn hố tất trang fí.le gốc sudo_root Trong q trình cài đặt, bạn thêm vào người dùng mặc định người dùng đặt nhóm admin dùng sudo để thực nhiệm vụ quản trị hệ thông Sau thêm tên người dùng vào hệ thơng, bạn đưa họ vào nhóm admin câu lệnh: $ sudo adduser username admin 265 Nếu muốn loại người khỏi nhóm admin, đơn giản bạn cần đặt lệnh deluser thay thê adduser Một điều bạn nên ý sudo không cung cấp quyền truy cập thư mục gốc Nó điều khiển quyền nhỏ bên trong, chẳng hạn việc lệnh: “chỉ cho phép người dùng thực thi câu lệnh với đặc quyền superuser” Tài liệu mô tả quyền nằm trang “sudoers” khó hiểu Bạn cảm thấy rõ ràng đôi chút đọc đến phần ví dụ nó, tài liệu cung cấp hầu hết tình bạn cần dùng đến sudo Khi thực hiểu, đơn giản bạn cần chạy câu lệnh: $ visudo bạn phải cẩn thận Cơ sở liệu sudoers, nằm “/etc/sudoers” không mở trình soạn thảo Bởi trình soạn thảo khơng thể kiểm tra cú pháp Nếu bạn làm rối sở liệu sudoers, bạn phải tự tra tìm liệu mà trở thành người quản trị 18 BẢO MẬT HỆ THỐNG FILE Mơ hình bảo mật file chuẩn hoá hầu hết hệ thống tựa Unix gọi mơ hình POSIX Mơ hình có quyền truy cập ílle thư mục mở rộng cho: người sở hữu, nhóm đốĩ tượng khác Tất thực giống phân phối Linux Đó lý khơng tập trung phân tích kỹ vấn đề Các bạn tham khảo thêm trang “chmod” “chown” phần trỢ giúp cửa Linux Internet Bây giò tập trung vào việc phân vùng bảo mật thông qua tuỳ chọn lắp ghép, vấn đề quan trọng cần ý xử lý bảo mật hệ thơng Việc phân vùng có tác động mạnh dùng thích hỢp Khi giải thích cách thức phân vùng hệ thống nhấn mạnh ưu điểm Linux việc cung cấp thư mục “/home”, “/tmp”, “/var” cho phân vùng riêng Các thư mục đê cập đến cách dùng tuỳ chọn đặc biệt ghép phần vùng vào hệ thống íĩle Nhiều tuỳ chọn lắp ghép kiểu hệ thống file phụ thuộc Nhưng tuỳ chọn xét đến khơng phải loại Chúng ta có số tuỳ chọn sau: Nodev: Một hệ thống íĩle lắp ghép vói tuỳ chọn nodev không cho phép sử dụng hay tạo file “device” đặc biệt Chang có lý tốt đẹp cho phép hệ thông file biên dịch ổ đặc biệt block, character tức cho phép chúng tạo nguy hiểm bảo mật tiềm ẩn N osuid: Các file Unix nói chung Linux nói riêng đánh dấu cò phép người thực thi íìle quyền người khác hay nhóm khác, thơng thường người quản trị hệ thống Cò gọi setuid (suid) hay cờ nhị phân setgid bit Nó cho phép thực thi file bên thư mục chứa mã nhị phân hệ thống không cần thiết, làm giảm độ an tồn Nếu người dùng quyền sử dụng tạo lấy cò nhị phân suid theo cách chọn riêng Sau sử dụng hệ thống cách hiệu Noexec: hệ thống file đánh dấu cò noexec, người dùng khơng thể chạy chương trình thực thi nằm N oatim e: cò nói hệ thống ílle khơng giữ 267 ghi lần truy cập cì file Nếu sử dụng cách bừa bãi khiến giảm an tồn hệ thơng Vì giới hạn thơng tin ghi cố bảo mật Cò cung cấp lợi ích thực thi cho kiểu dùng Bạn nên dùng phân vùng, nơi bảo mật cân với tốc độ Quyết định sử dụng tuỳ chọn lắp ghép phân vùng kỹ thuật cao Bạn thường xuyên phải phát triển tham chiếu trở nên quen thuộc với chế quản trị Dưới kiểu lựa chọn bạn tham khảo Tất nhiên bạn lựa chọn kiểu khác, nên bắt đầu kiểu này: • /home-nosuid, nodev • /tmp-noatime, noexec, nodev, nosuid • /var-noexec, nodev, nosuid Giới hạn nguồn hệ thống Mặc định Linux không sử dụng giới hạn nguồn tiến trình người dùng Điều có nghĩa người dùng tự lấp đầy nhớ làm việc máy, sinh tiến trình lặp vơ hạn, trả lại hệ thống không dùng vài giây Giải pháp khắc phục thiết lập sơ" giói hạn nguồn cách chỉnh sửa ílle “/etc/security/limits.conf’: $ sudoedit /etc/security/limits.conf Các thiết lập giải thích comment bên íĩle Các bạn nên dùng giói hạn “nproc” “as/data/_memlock/rss” Các file ghi hệ thống Khi quản trị viên hệ thống, íile ghi log sơ" người bạn tô"t bạn Nếu bạn theo dõi file cách thưòng xuyên, cẩn thận, 268 bạn phát lối sai hệ thống vừa xuất Do bạn giải hầu hết vấn đề trưóc chúng kịp phát sinh Điều đáng lo ngại khả quan tâm tới file log ngày giảm Vì th ế quản trị viên thường sử dụng phần mềm thực tiến trình log, cảnh báo họ sơ" kiện đó, ghi tuỳ chọn riêng họ theo số ngôn ngữ Perl Python Các ghi log thường nằm thư mục “/var/log” Sau server bạn chạy lúc, bạn thấy có nhiều phiên file log cũ tăng lên thư mục Nhiều sô" chúng nén chương trình nén gzip (vói mỏ rộng “.gz”) Dưới sơ" íile log cần ý: /var/log/syslog - íile log hệ thống thơng thường, /var/log/auth.log - file log thẩm định hệt thông, /var/log/mail.log fí.le log thư hệ thơngsystem /var/log/messages - tin nhắn log thông thường, /var/log/dmesg - tin nhắn đệm chuông nhân kernel, thông thường từ khởi động hệ thông Hộp công cụ Toolbox Log Khi xem lại íĩle log, có vài cơng cụ lựa chọn mà bạn phải sử dụng thục Phần cuối tiện ích in đặt mặc định mười dòng cuốĩ file, tùy chọn gọn nhỏ cho biết thông tin lần cuối truy cập vào file log $ tail /var/log/syslog Với tham sô" -f, phần đuôi đưa vào theo mẫu dưới, mở file thể ốự thay đổi hình cho bạn biết 269 Các fĩle z.grep, zcat, zless hoạt động giống file tương ứng khơng có chữ “z” đầu Các file kiểu file nén gzip Ví dụ, để lấy danh sách dòng tất file log nén có từ “warthog” bạn cần cung cấp câu lệnh sau: $ zgrep -i vvarthog /var/log/*.gz Hộp công cụ Toolbox bạn xử lý log phát triển theo kinh nghiệm dựa tham chiếu bạn bạn nên tìm kiếm apt-cache file log trưốc 19 MỘT CHÚT VỀ BẢO MẬT MẠNG Quản trị bảo mật mạng thành phần khác, hệ điều hành cung cấp theo mảng rộng Giữa Ubuntun mơ hình phân phối khác Linux khơng có khác nhiều Câu lệnh iptables phần mặt trước tối bảng tường lửa mạnh Linux Thật không may, thao tác xử lý với iptables khó nhiều bạn cơ" gắng thiết lập sách firewall tổng hỢp Câu lệnh xoá tất gói liệu đến từ tên miền xấu: $ sudo iptables -AINPUT -s www.slashdot.org -j DROP Các tài liệu hướng dẫn, cách thức thực báo iptables có Internet với sơ lượng lớn hệ thốhg trang cung cấp thơng tin chi tiết tuỳ chọn thích hỢp Bạn nên bỏ chút thời gian học iptables cho phép bạn cài đặt chế độ bảo mật an toàn chế Linux dễ dàng học hệ thông tường lửa o s khác Những điểm cần ý cuối vể bảo mật Trong phần lướt qua vấn đề 270 bề mặt bảo mật hệ thống Mặc dù cô" gắng cung cấp cho bạn gợi ý hay điểm bắt đầu nơi học hỏi thêm Nhưng thật khơng có hệ thống bảo mật hồn hảo Bảo mật khơng có nghĩa xố bỏ hồn tồn vi phạm, mà làm cho chúng trở nên khó bị khai thác, khó bị cơng Định nghĩa bị thay đổi dễ dàng Bởi phụ thuộc vào kẻ cơng mục đích việc cơng Bảo m ật rõ ràng, phát triển khái niệm khoa học máy tính Muốh bảo mật th ật tốt đòi hỏi phải thực hiểu sâu hoạt động bên hệ thống máy tính Tuy nhiên chang có cải tiến đáng kể bạn hiểu sâu mà khơng Các bạn bắt đầu từ hơm nay, theo tham khảo trên, dùng để nâng cao kiến thức bảo mật sau bạn 271 MỤC LỤC Phăn I Tự HỌC CÂCH TẤN CÔNG VÀ PHỊNG THỦ VỚI MÁY VI TÍNH CHẠY WINDOWS Khái niệm “phòng thủ^' máy vi tính ♦ Ví dụ I D S ♦ Host ID S s ♦ Giám sát Logíile ♦ Giám sát tính tồn v ẹ n 11 ♦ Network I D S s 13 ♦ Signature m atchers 13 ♦ Phát dấu hiệu bất thường 15 Các biện pháp phát hệ thống bị công 16 Bảo mật cho máy tính tổ chức 17 Xác định rủi ro mối đe dọa Computer 18 Tầm quan trọng việc bảo mật cho Computer 19 ♦ Những cơng từ bên ngồi 19 ♦ Hiểm họa từ bén 19 ♦ Những mối đe dọa phổ biến 20 Thiết kế Security cho Computer .20 ♦ Những phưong thức chung secure Com puter .20 ♦ Làm đ ể cấu hình xác lập chuẩn bảo mật cho tổ chức (Securíty baseline) 21 ♦ Tạo security baseline cho Computer 21 ♦ Security cho Computer có vai trò đặc biệt nào? .22 ♦ Phương pháp áp dụng Security Updates (cập nhật security) 23 ♦ Chinh sách an toàn Account cho Computer (Security Account Policies) 24 272 Bảo vệ máy tính Internet 29 ♦ Cập nhật sửa lỗ i 30 ♦ Giải pháp bắt b u ộ c 31 ♦ Tinh chỉnh brovvser 31 ♦ Phối hợp tường lử a 32 ♦ Chống spyvvare 33 ♦ Loại bỏ “tận gốc” phần mềm gián điệp 34 ♦ Liệt kè nhanh danh sách trinh điều khiển thiết bị 37 Bảo mật cho mạng ngang hàng 37 ♦ Không sử dụng P P mạng cõng t y 39 ♦ Thận trọng với phần mềm máy trạm 39 ♦ Đừng chia s ẻ thứ 39 ♦ Quét thứ trước sử dụn g 40 Để tạo mật mạnh mà bạn dễ dàng ghi nhớ 40 ♦ Lựa chọn tiêu chí đặt passvvord 40 ♦ Kiểm tra độ tin cậy passw ord 41 ♦ Lưu trữ thông tin passvvord trực tuyến 42 ♦ Kiểm tra mức độ an tồn mày tính sử dụng 42 10 ♦ ♦ ♦ ♦ ♦ Thiết lập chế độ an toàn cho lE 43 Đặt c h ế độ khu vực an toàn ỏ mức cao 43 Hạn c h ế thực thi mã duyệt w eb 45 Mỏ c h ế độ chặn thực thi liệ u 45 Tắt thư viện liên kết động O LED B D LL 46 Ngừng đăng kỷ nhanh với O LED B32.D LL .47 ♦ Đăng kỷ lại O LED B D LL 48 ♦ Tái kích hoạt thư viện liên kết động 48 11 ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ Mười chiêu bảo mật 48 Và điểm đen phần m ềm 49 Tim lỗ hổng k h c 50 Khôn hon malvvare 50 Cứu hộp thư khỏi s p a m 51 Chống đỡ vói trình duyệt môi 51 Trành “đòn” tàm lý 52 Các tiện ích mật chạy không cần cài đặt 53 Tạo thói quen tránh phishing 56 273 ♦ Giữ cho vvebsite an toàn 56 ♦ Tạo mật an tồn dễ n hó 57 ♦ Trợ giúp từ bén 57 12 Lỗ hổng bảo mật 58 ♦ Lỗi trình duyệt 58 ♦ Lỗi Office 59 13 ♦ ♦ ♦ ♦ ♦ ♦ Phòng thủ cho Windows Vista 59 S dụng Windows Securìty Center trước tiên 60 S dụng cõng cụ chuẩn đốn Windows Dender 61 Vó hiệu hóa menu start Up 62 Kích hoạt bảo vệ tường lửa hai ch iều 63 Hạn ch ế vi khách không mong m uốn 64 Thẩm định lại kẻ công 65 14 ♦ ♦ ♦ Bảo vệ thiết lập Internet Explorer ' .66 S dụng OpenDNS 67 S dụng User Account Control 68 Kiểm tra công việc bạn 69 15 Bảo vệ kết nối VNC S S H 69 16 ♦ ♦ ♦ Ngăn cản việc tắt hay khỏi động Windows khơng an tồn 77 Shut It 77 Shutdown Monitor 79 LastChane 80 17 ♦ ♦ ♦ Live Mesh liên quan bảo mật 81 Cách bảo vệ cho “đám mây” n o ? 82 Live Mesh làm việc nào? 83 Microsott thực gi đ ể bảo vệ cho m esh? 84 18 ♦ ♦ ♦ ♦ ♦ An tồn cho máy tính 86 Giữ an toàn sử dụng Wi-Fi công cộ n g 86 Khắc phục nhanh phiền toài Windows 88 Tắt ổ đĩa không sử dụng 88 Khôi phục biểu tượng Saíely Remove Hardvựare 89 Vô hiệu phim "Insert" 90 ♦ RegEditX 90 19 Bảo mật hệ thống mạng dùng API Microsott NAP 90 274 Sơ lược M IC R O S O P T NAP 91 Mục tiêu 92 Môi trường phát triển 93 Nguyên tắc hoạt độn g 93 Sau hình minh họa hoạt động thành phần kiến trúc N A P ” 94 Phát triển hệ thống 95 20 Bảo vệ triển khai o cs 104 C c tính bảo mật ocs 2007 105 Active Directory 106 Thẩm định 106 Mã hóa m n g 107 Cơ sỏ hạ tầng khóa c n g 107 Các tính bảo mật liên đ o n 108 Khóa IM nguy hiểm khơng mong m uốn 108 Điều chỉnh máy chủ máy khách 109 C c giải pháp bảo mật tích hợp M icrosoữ 110 Các add-on bảo mật nhóm thứ b a 110 21 Những công hiểm hoạ vào Windows 111 Cơ ch ế hệ thống thông điệp Win32 111 Tấn công windows N T 116 Xâm nhập Window NT từ mạng internet 133 22 Phòng thủ cho hệ thống Windows 136 An toàn thõng tin 136 Khái niệm an tồn thơng tin 136 Phương pháp đánh giá theo sô' lượng không sử dụng 139 Cài đặt cấu hình D N S 142 Cài đặt Prìmary Domain Controller 145 Cài đặt cấu hình Microsì Exchange Domain Controller 146 Cài đặt Certiíicate S e rv ice s 150 23 Bảo mật liệu cá nhân Windows X P 151 ♦ Chuẩn b ị 152 ♦ Thao tác 152 24 Để tránh bi cắp thông tin 154 25 Bảo vệ thông tin cá nhân mạng 155 275 ♦ Càn nhắc thông tin cung c ấ p 156 ♦ Hãy ẩn m ình 157 26 ♦ ♦ ♦ Bảo mật thông tin cá nhân 158 Dặn dò trẻ em giữ bí mật 158 Trách nhiệm người lớn 159 Làm đ ể an tồn mạng khơng d â y 160 ♦ Phương thức bảo vệ thông tin cá nhân với mật kiên cố 162 ♦ Làm đ ể tạo password vững c h ắ c 163 ♦ Tạo chiều dài 163 ♦ Kết hợp kỷ tự, số, Symbol 163 ♦ S dụng từ cụm từ dễ nhở khó đốn cho người kh c 164 ♦ Tạo password an toàn dễ nhớ theo bưóc 164 ♦ Một vài điểm mà passvựord phải tránh 164 ♦ Tùy chọn “blank passvvord” 165 ♦ Truy cập thay đổi password n o 165 ♦ Phải làm passvvord bị đánh cắp 166 27 Công cụ bảo mật tất m ột 167 28 An toàn cho địa e-mail bạn .169 29 ♦ ♦ ♦ Cách bảo mật cho thiết bị Bluetooth 177 Mã hóa liệu với E P S 180 Đ ể mã hóa tập tin thư m ụ c 181 Đ ể giải mã tập tin thư m ụ c 181 Phần TẤN CƠNG VÀ PHỊNG THỦ VỚI MÁY TÍNH CHẠY LINUX 183 Khởi động Linux từ đĩa C D 183 Khắc phục lỗi tiện ích NAUTILUS 185 Cài đặt ứng dụng từ mã nguồn Linux 185 ♦ Căn việc cài đặt 186 ♦ Tổ chức file hệ thống 188 ♦ Loại bỏ gói 188 ♦ Quản lý gói 189 Bảo mật Linux cơs ỏ 189 ♦ Bảo hiểm 191 276 ♦ Luật đường b ộ 192 ♦ Hãy thắt dày an toàn 193 ♦ Tránh đường x ấ u 194 ♦ Hãy ỷ tới đường 195 ♦ Bảo dưdng định kỳ 195 Làm reverse proxy với Linux + Apache httpd, thuộc series "Bảo vệ máy chủ " 196 ♦ Giới thiệu 196 ♦ R everse proxy gi? 197 ♦ Cài đặt máy chủ reverse-proxy 198 Red Hat Linux kinh nghiệm bảo mật 202 ♦ Không cho phép sử dụng tài khoản roottừ console 202 ♦ Xóa bót tài khoản nhóm đặc biệt 203 ♦ Tắt dịch vụ không s dụng 203 ♦ Không cho "su" lên root 203 ♦ Che giấu tập tin mật .203 ♦ Luôn nàng cấp cho nhăn (kernel) Linux 204 ♦ Tự động thoát khỏi Shell 204 Cách quản lý phần mềm Mandrake Linux 204 ♦ S dụng giao diện đồ họa: rpmdrake 204 ♦ S dụng command line: urpmi, urpmí, urpmg .206 ♦ Vài lệnh cần biết .207 Tìm hiểu nhân hệ điều hành Linux 209 ♦ Bộ phàn thời cho tiến trình (Process Scheduler-SCH ED ) 209 ♦ Bộ quản lý nhở (Memory Manager-MM) 210 ♦ Hệ thống file ảo (Virtual File System - V F S ) .210 ♦ Giao diện mạng (Network lnterface-NET) 211 ♦ Bộ truyền thông nội (Inter-process communication IP C ) 211 Các cấu trúc liệu hệ thống 211 ♦ Taskiist (Danh sách tác vụ) 211 ♦ Memory map (ánh xạ nhớ) 211 ♦ l-nodes 211 ♦ Data connection .212 ♦ Cấu trúc S C H E D 212 ♦ S C H E D chia thành m odule 212 277 ♦ ♦ ♦ ♦ ♦ ♦ Cấu trúc liệu 213 Cấu trúc M M 213 MM có module 213 Cấu trúc V F S 214 Modules 214 Cấu trúc N ET 214 10 ♦ ♦ ♦ ♦ ♦ ♦ Thủ thuật bảo mật cho Linux 224 Loại bỏ tất account nhóm đặc biệt 224 Che giấu file chứa mật 225 Tự động thoát khỏi Shell 225 Loại bỏ dịch vụ không sử dụng 226 Không tiết lộ thông tin hệ thống qua telnet 227 ♦ ♦ ♦ ♦ ♦ Tránh sử dụng dịch vụ khơng mã hố thõng tin đường truyền 228 Cấm sử dụng account root từ consoles 229 Cấm "su” lên root 229 Hạn ch ế thông tin ghi bash Shell 230 Cấm nhòm ngó tói file script khỏi độngLinux 231 Xồ bỏ chương trinh SUID/SGID khơng sử dụng 231 Tăng tính bảo mật cho nhân (kernel) Linux 232 11 ♦ ♦ ♦ ♦ Tăng cường an ninh cho hệ thống Linux 232 Nguy an ninh LIN U X 233 Xem sét sách An ninh 233 Một sách an ninh tốt nén bao gồm vấn đề sau: 234 Tăng cường an inh cho K E R N E L 235 12 ♦ ♦ ♦ ♦ ♦ An toàn cho giao dịch Online .236 Khảo sát hệ thống cõng cụ dò tim 238 Phát xàm nhập qua m ạng 240 Kiểm tra khả bị xâm n hập 241 Đối phó hệ thống bị cơng 241 Liên hệ nhà chức trách đ ể báo cáo vụ cõ n g 243 13 ♦ ♦ ♦ ♦ Tìm hiển Mạng Linux 244 Linux - hệ điều hành linh hoạt 245 Linux - server quản lý tập tin in ấ n 245 Linux - server thư điện tử 246 Linux - server cho WAN gatevvay 246 ♦ 278 ♦ Cõng nghệ clustering Linux 250 ♦ Các cấu hình F O S 251 ♦ Khi có lỗi, bước sau thục 252 14 Hãy xem cấu hinh FOS nhất., 252 ♦ Một cấu hình F O S 252 ♦ Một cấu hình F O S với liệu chia xẻ '254 ♦ Các cấu hình LV S điền h ìn h 254 ♦ Một cấu hình LV S 255 ♦ Cấu hình LV S phức tạp 257 15 Xây dựng mạng truy cập Internet dùng server Linux 257 ♦ Cấu hình SQ U Y D 260 16 Sử dụng lưu trữ nén RAR 7-Zip Linux 260 ♦ 7z Linux 261 ♦ R A R Linux 262 ♦ Hỗ trợ giao diện người dùng CU I 263 ♦ Server Ubuntu Linux bạn an toàn 264 17 Quản trị tài khoản người dùng 265 18 Bảo mật hệ thống file 266 ♦ Giới hạn nguồn hệ thống 268 ♦ Các file ghi hệ thống 268 ♦ Hộp công cụ Toolbox L o g 269 19 Một chút bảo mật mạng 270 ♦ Những điểm cần ý cuối vè bảo mật 270 279 N IiÀ XUẤT BẢN H ỔN G ĐỨC Địa chi: A2 - 261 Thụy Khuê - Q uận Tây H ổ - Hà Nội Email: nhaxuatbanhongduc@yahoo.com Điện th o i: 0439260024 Fax :0439260031 HƯỚNG DẪN CÁCH PHỒNG THỦ VÀ KHẮC PHỤC S ự CỐ KHI MÁY TÍNH BỊ TẤN CƠNG Chịu trách nhiệm xuâì bản: Giám đốc BÙI VIỆT BẮC Chịu trách nhiệm nội dung: Tổng biên tập LÝ BÁ TOAN Biên tập: Trình bày, nũnh họa: Sửa m: H Tú Trọng Kiên Khánh H uyền In 1.000 crì, khổ 14.5*20.5cm, Cơng ty CP In Thiên Kim Sô' đăng ký KHXB: 1532 - 2014/CXB/16 - 44/HĐ Mã sô' sách tiêu chuẩn quôc tê'(ISBN): 978-604-86-2637-2 In xong nộp lưu chiểu năm 2014 KHI MẤY VI TÍNH BỊ TẤN CÔNG ... để nâng cao kiến thức bảo mật sau bạn 27 1 MỤC LỤC Phăn I Tự HỌC CÂCH TẤN CƠNG VÀ PHỊNG THỦ VỚI MÁY VI TÍNH CHẠY WINDOWS Khái niệm phòng thủ^ ' máy vi tính ♦ Ví dụ I D S ♦ Host... -1 .8 ta r.g z lcx;alhost$ tar - x z f h ttp d -2 ta r.g z -C /usr/l(x:al/src lcx:alhost$ tar - x z f m cx lsecu rity -1 ta r.g z -C /u sr/lcx:al/src Tài liệu kèm theo mod_security hướng dẫn cách. .. le - a s is —d isa b le -c g id —d is a b le -c g i —d isa b le -n e g o tia tio n —d is a b le - im a p —d isa b le -a c tio n s -d is a b le -u s e r d ir X 20 1 —d is a b le -a