Nối tiếp nội dung phần 1, phần 2 cuốn sách Hướng dẫn cách phòng thủ và khắc phục sự cố khi máy tính bị tấn công cung cấp cho người đọc các kiến thức về tấn công và phòng thủ với máy tính chạy linux. Mời các bạn cùng tham khảo nội dung chi tiết.
Phần TẤN CỒNG VÀ PHỊNG THỦ v íl MÂY TÍNH CHẠY LINUX KHỞI ĐỘNG LINUX TỪ ĐĨA CD Trước đây, muôn sử dụng Linux bạn cần cài hệ điều hành lên đĩa cứng máy tính Nhưng thứ thay đổi xuất vài phiên Linux có khả chạy trực tiếp từ đĩa CD-ROM, ví dụ phiên Ubuntu Linux mà khuôn khổ viết xin tạm gọi Linux "mì án liền" Tương tự phiên Linux cần cài đặt vào máy tính, Ubuntu Linux cho phép người dùng tải miễn phí từ Internet tập tin có phần mở rộng iso Sau tải máy tính, bạn dùng tiện ích ghi đĩa Roxio Easy CD Creator hay Nero để chép tập tin iso lên CD-ROM trắng Với Roxio Easy CD Creator thực thủ tục sau: nhấn Eile.Record CD from CD Image hay Eile.Burn Image (với tiện ích Nero) Khi ghi đĩa xong, bạn sử dụng đĩa CD khởi động Ubuntu bắt đầu khám phá giới Linux mà không cần trải qua công đoạn cài đặt đầy khó khăn Giốhg thực phẩm chế biến sẵn, Linux "mì ăn liền" cài sẵn vơ số ứng dụng để thoả mãn tốt yêu cầu nhiều đổi tượng người dùng Và thực thi trực tiếp từ đĩa CD-ROM nên bạn cài đặt thêm 183 ứng dụng hay gỡ bỏ ứng dụng khơng cần thiết, tinh chỉnh cấu hình để hệ thông hoạt động phù hỢp với nhu cầu sử dụng cá nhân dùng Linux cài đặt đĩa cứng Hơn nữa, tốc độ hoạt động Linux "mì ăn liền" bị hạn chế phần phải dành phần nhớ RAM để làm vùng nhớ đệm cho hệ điều hành hoạt động Do vậy, sau chạy thử cảm thấy thích thú vói Linux bạn nên "hạ sơn" phiên Linux "mì ăn liền" sử dụng xuống đĩa cứng máy Bạn có thê lựa chọn hai phiên Linux Fedora Core Red Hat tài trỢ Open Circulation Xandros Desktop cần lưu ý phiên có hỗ trỢ ghi lên dĩa CD (không hỗ trỢ ghi lên DVD) Xandros sản phẩm thương mại nên nhà sản xuất khơng cung cấp dạng tải miễn phí Nếu trước cài đặt Windows đĩa cứng cần lưu ý khai báo xác q trình cài đặt để tiện ích cài đặt Linux tự động thiết lập chế độ khởi động đôi cho hệ thống (cho phép người dùng khởi động Windows Linux) Trước cài đặt Linux, bạn nên ghi giấy thông số cấu hình hệ thống cần thiết địa IP máy tính, máy chủ DNS, cổng truy cập Internet (gateway) Để có thơng tin Windows 98/Me, bạn nhấn chuột phải lên biểu tượng Netvvork Neighborhood chọn Properties Tiếp đến, nhấn đúp chuột vào mục TCP/IP tìm thẻ IP Address, Gateway DNS Coníìguration Với Windows 2000/XP, nhấn chuột phải lên biểu tượng My Netvvork Places chọn Properties Trong cửa sổ Network Connections, nhấn chuột phải lên biểu tượng kết nối mạng chọn Properties, sau tìm nhấn đúp chuột lên mục Internet Protocol (TCP/IP) Ngoài ra, bạn nên ghi lại tên, thông sô' kỹ thuật hình card đồ họa máy tính phịng trường hỢp trình cài đặt Linux khơng tự động xác định thiết bị 184 KHẮC PHỤC LỖI TIỆN ÍCH NAUTILUS Tiện ích Nautilus phiên Ubuntu Linux 5.4 (có tính tướng tự Windows Explorer Windows) có nhược điểm tự động đóng cửa sổ thư mục bạn thực mở thư mục khác Để khắc phục tình trạng trên, chọn Applications.Run Application, gõ vào Enter> Trong cửa sổ thư mục bên trái, chọn apps.nautilus.preíerences đánh dấu tùy chọn no_ubuntu_spatial cửa sổ bên phải Tiếp đến, đóng cửa sô ConLiguration Editor lại (tương tự Control Panel Windows) để kết thúc Từ bây giò, tất cửa sổ thư mục mở bạn lệnh đóng CÀI ĐẶT CÁC ỨNG DỤNG TỪ MÀ NGUỔN TRÊN LINUX Có nhiều bạn lần đến với Linux cảm giác khó khán bất tiện việc cài đặt ứng dụng Linux, đặc biệt ứng dụng phải cài đặt từ mã nguồn xine, openGL Trên Windows, bạn cần tải ứng dụng về, giải nén click vào fíle Setup hồn tấ t việc cài đặt, Linux chuyện hồn tồn khác Phần viết nhằm mục đích hướng dẫn bạn thao tác cài đặt phần mềm ứng dụng Linux cung cấp kiến thức giúp bạn quản lý hệ thống riêng Để dễ dàng viết gọi phần mềm Linux gói (package) Thực tế tên gọi “gói” đắn gói Linux khơng phải trình ứng dụng mà thư viện thư viện đồ họa Gtk+ OpenGL Bạn tự hỏi phần mềm Linux khơng tự đóng gói sẵn cho xuất bạn cần tải cài đặt 185 Vấn đề phần mềm viết Linux khơng hẳn chạy Linux mà chạy nhiều hệ thống khác họ Unix Solaris, AIX, HPUX chí phần mềm chạy nhiều vi xử lý khác Intel, Motorola, PPG Có đưỢc đa nhị vào tính đa (portable) ngơn ngữ C/C++ đòi hỏi phải biên dịch lại phần mềm từ mã nguồn cho hệ thống mà chúng vận hành Bạn tự hỏi tác nhà phát triển lại không biên dịch sẵn cho hệ thống thơng dụng Linux chẳng hạn Các phần mềm phần mềm mã nguồn mở nhà phát triển khơng có cách để lại phần biên dịch cho Tuy nhiên bạn đừng thất vọng có số nhà phát triển tốt bụng có thê biên dịch sẵn cho gói có dạng rpm với hỗ trỢ công ty Red Hat có chương trình quản lý phần mềm hiệu khơng Windows RPM (Redhat Package Manager) Mặc dù khơng phải lúc gói từ nhà phát triển gốc có phiên biên dịch sẵn mà thường khoảng thời gian sau phiên có dưói dạng biên dịch sẵn Bên cạnh cịn có nhiều nhà phát triển không biên dịch sẵn sản phầm mà địi hịi người dùng phải biên dịch, điển hình trình chơi phim nhạc xine Các gói biên dịch sẵn bạn có từ xine đa sơ" từ nhà nhát triển khác Do bạn khơng bạn khơng biết cách cài đặt gói từ nguồn trở ngại lớn cho việc hiểu quản trị hệ thống riêng Căn việc cài đặt Điều bạn tiến hành cài đặt bạn phải có mã nguồn gói trước Hãy lên mạng search gói 186 bạn thích thư viện Gtk+ Gnome Sau tải về, thơng thường có dạng ,gz ,bz2, chuẩn nén khác nhau, sau giải nén gunzip cho gz bunzip2 cho bz2 gói có dạng tar, chuẩn nén khác, bạn giải nén lệnh, tar -xvf Thế đê dễ dàng tiết kiệm dung lượng ổ đĩa gộp câu lệnh thành sau: - ĐỐI với gói ,gz: # tar -zxvf tengoi.gz - Đơi với gói bz2: # tar -jxvf tengoi.bz2 Sau giải nén xong tìm tập tin INSTALL để đọc cụ thể cho phần hướng dẫn cài đặt Thê gói tuân theo thao tác sau: # /coníĩgure # make # make install Chỉ có vài gói đặc biệt có riêng cách cài đặt bạn nắm vững nguyên tắc chung dù cách thức bạn xoay xở Chúng ta xét đến câu lệnh đầu tiên, /conílgure Thực chất conhgure Shell script kiểm tra u cầu hệ thơng bạn có đáp ứng đủ để cài đặt gói lên khơng, ví dụ sơ" gói địi hỏi bạn phải có sẵn thư viện đồ họa Gtk 2.4 trở lên thư viện để giải nén nhạc Mp3 Rất nhiều gói có phụ thuộc thê gói tải khơng có sẵn gói tương ứng cần thiết cho Khi bạn chạy conhgure xong kết cho bạn biết gói cần thiết để cài đặt Nhiệm vụ bạn khơng phải tìm gói phụ thuộc cài lên máy mói tiếp tục việc cài đặt Nếu hệ thống bạn thỏa mãn đầy đủ yêu cầu để cài đặt Makefile tạo Makeíĩle íĩle đặc biệt tiện ích make nhằm hướng dẫn biên dịch mã nguồn gói dạng thực thi 187 Sau bạn thực thi lệnh 'make' xong tồn mã nguồn gói biên dich sang dạng thực thi íĩle thực thi cịn nằm thư mục hành Do bạn cần phải thực thêm lệnh 'make instair để chép ílle thực thi sang vỊ trí hệ thống Nếu khơng có thơng báo lỗi xảy bạn hịan tất việc cài đặt gói lên hệ thống Tổ chức file tiên hệ thống Bạn hồn tồn biết thư mục Linux thư mục /usr thư mục quan trọng chứa chương trình hàm thư viện Trong thư mục /usr/bin chứa ílle thực thi cho gói bạn cài đặt máy, file thư mục bạn thấy file quen thuộc mozilla, gedit Thư mục /usr/lib chứa hàm thư viện, bạn thấy nhiều ílles có phần mỏ rộng so (shared object) hàm thư viện liên kết động a (archive) la hàm thư viện liên kết tĩnh Đặc tính cán dạng thư viện hàm thư viện liên kết tĩnh liên kết thẳng vói files thực thi ln q trình liên kết, cịn hàm thư viện liên kết động liên kết trình thực thi, sau chương trình biên dịch liền kết thư viên tĩnh bỏ thư viện hên kết động bắt buộc phải kèm với chương trình Thư mục /usr/share chứa icon, manual info gói Loại bỏ gói Nếu bạn mong muốh lọai bỏ gói cài đặt hệ thống cách bạn phải vào lại thư mục mã ngn gói gõ lệnh make 'uninstair thơng thường bạn có câu lệnh sau: 'make clean' 'make distclean' Các câu _ _ _ v 188 1 I I * , n t ^ ,1 V, , lệnh có ý nghĩa tương đốĩ định nghĩa tập tin Makìle, nên bạn thử với 'make uninstair 'make clean' CUỐI 'make distclean' giúp bạn xóa hết tập tin biên dịch thư mục nguồn đồng thịi xóa Makeíile, bạn phải chạy lại /coniĩgure để tạo lại Makehle Quản iý gói Do việc xóa bỏ gói phiền phức đôi lúc bạn chẳng thể xóa bỏđược mã nguồn, bạn thay cài vào thư mục mặc định /usr bạn cài vào thư mục riêng bạn, ví dụ bạn tạo thư mục Vsoft' Sau để cài gói gedit bạn tạo thêm thư mục /soft/gedit dùng lệnh /conílgure bạn thêm tùy chọn sau: /conílgure preflx=/soft/gedit Thì bạn gõ make install copy toàn sang thư mục /soft/gedit Khi bạn muốh xóa tồn gói đơn giản xóa thư mục thơi Lưu ý bạn cài vào thư mục riêng bạn phải tạo đường dẫn cho biến môi trường (environment variable) LD_LIBRARY_PATH PKG_CONFIG_PATH LD_LIBRARY_PATH có đường dẫn đến thư mục lib gói vừa tạo (ví dụ /soft/gedit/lib) cịn PKG_CONFIG_PATH có đường dẫn đến thư mục pkg_config thư mục lib (ví dụ /soft/gedit/lib/pkg_config) Bên cạnh bạn mn chương trình gọi tự động bạn nên thêm vào biến PATH cho gói BẢO MẬT LINUX c sở Thê giới vốh tồn hai kiểu quan niệm bảo mật: bên người nghĩ bảo mật máy 189 tính thật vui thú vị, cịn bên lại cho thật bí ẩn đáng sỢ Các chuyên gia quản trị hệ thống chắn nói bảo mật máy tính thực buồn tẻ Bởi họ phải thường xuyên đọc file thông tin sở (log file) khô khan gắn liền với đêm dài ngủ, tâm trạng hoảng hốt liên tục chông lại công, nguy xâm nhập hệ thống cịn có hoạt động điên khùng Hàng tháng, bạn đọc file log đặn lặp lặp lại tin báo giôhg Rồi vào buổi sáng dưng cảnh báo lạ khác xuất Suy nghĩ bạn là: "Mình bị cơng!" Muốh xác định xem liệu cơng có thành công hay không, bạn lùng sục ghi log, kiểm tra file hệ thơng, tìm kiếm dấu hiệu khác thường Nhưng rốt chẳng có xảy Cuộc công thất bại? Cũng chưa hẳn, kẻ cơng thơng minh bạn Rồi hàng ngày, hàng tuần bạn tự hỏi không hiểu hàng rào bảo vệ có bị xâm nhập khơng Cuối cùng, bạn qn đối phó với khủng hoảng Bảo mật máy tính, số điểm giốhg việc lái xe Một số người nghĩ lái xe thú vị, hồi hộp, số khác lại cho nguy hiểm đáng sỢ Trong lái xe, tuân thủ quy định đường bộ: đeo dây bảo hiểm, tránh đường có hại, ln quan sát đường đi, bảo dưỡng định kỳ Vậy nguyên tắc tương ứng bảo mật máy tinh tbì nào? Xin thơng báo điều là: hầu hết chương trình bảo mật máy tính khơng mang tính kỹ thuật nặng nề, giơng người lái xe khơng địi hỏi phải hiểu chi tiết động hoạt động bên Lái xe tốt chán lái xe tồi, chẳng vui vẻ Bảo mật máy tính địi hỏi nhiều nỗ lực Bạn phải thực kiểm tra có phương pháp chi tiết cần thiết có khả 190 náng mang lại hiệu cho hệ thống máy tính vốh tẻ nhạt, dự đốn trước Lái xe an tồn an tồn máy tính địi hỏi khả kỹ thuật bạn Mục đích giúp bạn tránh điều có hại từ bước Bài báo giống khố học lái xe an tồn đường cao tơíc cho bạn Bảo hiểm Hầu thê giới không cho phép bạn lái xe khơng có bảo hiểm, phiíơng pháp cũ việc quản lý phân phôi nguy hiểm Leo lên ô tô, mức độ rủi ro nguy hiểm gây chết người tổn thương nghiêm trọng cho bạn gia tăng Nhưng hầu hết người lái xe Cũng giống thế, kết nơi máy tính vói mạng đặt bạn trưóc nguy bị mát hay bị ăn trộm liệu Nhưng miễn cưỡng buộc phải ngắt kết nôl Internet có cố xảy Là quản trị viên hệ thống Linux, bạn khơng dự đốn nguy hiểm, ln quản lý chúng Trưóc hết bạn cần biết mức độ tự nhiên mối nguy hiểm quản lý chúng Bảo hiểm tơ có thê hố đơn thuốc, bảo hiểm nguy cho xe ô tô, kiện cáo liên quan đến tai nạn, trộm cắp xe Khi đặt máy tính vào mạng Internet, nguy hiểm phát sinh cho bạn? Các chuyên gia bảo mật máy tính nói người dùng người quản trị nên phát triển mơ hình đe doạ thử nghiệm để nghiên cứu Bạn muốn bảo vệ khả truy cập mạng, khả in hay lưu trữ file? Bạn lo lắng tính cẩn mật fíle hệ thống? Bạn lo lắng người chỉnh sửa hay phá huỷ 'liệu? Bạn có muốn hacker xố Nvebsite đe doạ làm méo mó hình ảnh bạn? 191 Thực thi bảo mật địi hỏi bạn phải hiểu đe doạ Các điểm nguy hiểm bảo mật không giốhg bảo hiểm Sao lưu bảo mật máy tính giơng bảo hiểm lái xe; Tuỳ thuộc vào mơ hình nguy hiểm cấu hình hệ thống, phân vùng khác thủ tục lưu nhấn mạnh Nếu hệ thống sử dụng tiêu chuẩn Linux không dùng đĩa CD với chút tuỳ chỉnh ílle cấu hình, bạn cần đĩa nén để lưu íĩle thư mục gốc Nếu tuỳ chỉnh hệ thống mở rộng, bạn lưu thư mục: /etc /usr/local Nếu việc lưu trữ file vói chế cài đặt 'làm tươi' đem lại xác cho hệ thống, bạn thực chê lưu đầy đủ thông thường Luật đường Hầu hết phủ giới đòi hỏi bạn phải học luật muốh lái xe Trước cấp quyền lái cho đó, họ phải vượt qua kiểm tra chứng minh khả hiểu luật đường Còn người dùng mạng, cuốh sách luật cầm tay điều khoản dịch vụ hỢp đồng vói nhà cung cấp ISP Nếu dùng máy tính cho cơng việc, bạn phải tuân theo hướng dẫn tổng hỢp hay sách tổng hỢp Các điều khoản dịch vụ gồm mức giói hạn dịch vụ giám sát thực thi mạng, vói điều khoản yêu cầu luật sở hữu trí tuệ khắt khe Các sách tổng hỢp địi hỏi phải có mật an tồn, việc dùng hệ thơng cho hoạt động không liên quan đến công việc, hỢp đồng bảo mật Khi quản trị viên hệ thống, bạn phải xây dựng sơ" sách mật tổ chức, giải mã lưu 192 Bây giò tập trung vào việc phân vùng bảo mật thông qua tuỳ chọn lắp ghép, vấn đề quan trọng cần ý xử lý bảo mật hệ thơng Việc phân vùng có tác động mạnh dùng thích hỢp Khi giải thích cách thức phân vùng hệ thống nhấn mạnh ưu điểm Linux việc cung cấp thư mục “/home”, “/tmp”, “/var” cho phân vùng riêng Các thư mục đê cập đến cách dùng tuỳ chọn đặc biệt ghép phần vùng vào hệ thống íĩle Nhiều tuỳ chọn lắp ghép kiểu hệ thống file phụ thuộc Nhưng tuỳ chọn xét đến khơng phải loại Chúng ta có số tuỳ chọn sau: Nodev: Một hệ thống íĩle lắp ghép vói tuỳ chọn nodev khơng cho phép sử dụng hay tạo file “device” đặc biệt Chang có lý tốt đẹp cho phép hệ thông file biên dịch ổ đặc biệt block, character tức cho phép chúng tạo nguy hiểm bảo mật tiềm ẩn N osuid: Các file Unix nói chung Linux nói riêng đánh dấu cị phép người thực thi íìle quyền người khác hay nhóm khác, thơng thường người quản trị hệ thống Cò gọi setuid (suid) hay cờ nhị phân setgid bit Nó cho phép thực thi file bên thư mục chứa mã nhị phân hệ thống không cần thiết, làm giảm độ an toàn Nếu người dùng quyền sử dụng tạo lấy cị nhị phân suid theo cách chọn riêng Sau sử dụng hệ thống cách hiệu Noexec: hệ thống file đánh dấu cò noexec, người dùng chạy chương trình thực thi nằm N oatim e: cị nói hệ thống ílle khơng giữ 267 ghi lần truy cập cì file Nếu sử dụng cách bừa bãi khiến giảm an tồn hệ thơng Vì giới hạn thơng tin ghi cố bảo mật Cị cung cấp lợi ích thực thi cho kiểu dùng Bạn nên dùng phân vùng, nơi bảo mật cân với tốc độ Quyết định sử dụng tuỳ chọn lắp ghép phân vùng kỹ thuật cao Bạn thường xuyên phải phát triển tham chiếu trở nên quen thuộc với chế quản trị Dưới kiểu lựa chọn bạn tham khảo Tất nhiên bạn lựa chọn kiểu khác, nên bắt đầu kiểu này: • /home-nosuid, nodev • /tmp-noatime, noexec, nodev, nosuid • /var-noexec, nodev, nosuid Giới hạn nguồn hệ thống Mặc định Linux không sử dụng giới hạn nguồn tiến trình người dùng Điều có nghĩa người dùng tự lấp đầy nhớ làm việc máy, sinh tiến trình lặp vơ hạn, trả lại hệ thống không dùng vài giây Giải pháp khắc phục thiết lập sơ" giói hạn nguồn cách chỉnh sửa ílle “/etc/security/limits.conf’: $ sudoedit /etc/security/limits.conf Các thiết lập giải thích comment bên íĩle Các bạn nên dùng giói hạn “nproc” “as/data/_memlock/rss” Các file ghi hệ thống Khi quản trị viên hệ thống, íile ghi log sô" người bạn tô"t bạn Nếu bạn theo dõi file cách thưòng xuyên, cẩn thận, 268 bạn phát lối sai hệ thống vừa xuất Do bạn giải hầu hết vấn đề trưóc chúng kịp phát sinh Điều đáng lo ngại khả quan tâm tới file log ngày giảm Vì th ế quản trị viên thường sử dụng phần mềm thực tiến trình log, cảnh báo họ sơ" kiện đó, ghi tuỳ chọn riêng họ theo số ngôn ngữ Perl Python Các ghi log thường nằm thư mục “/var/log” Sau server bạn chạy lúc, bạn thấy có nhiều phiên file log cũ tăng lên thư mục Nhiều sô" chúng nén chương trình nén gzip (vói mỏ rộng “.gz”) Dưới sơ" íile log cần ý: /var/log/syslog - íile log hệ thống thơng thường, /var/log/auth.log - file log thẩm định hệt thông, /var/log/mail.log fí.le log thư hệ thơngsystem /var/log/messages - tin nhắn log thông thường, /var/log/dmesg - tin nhắn đệm chuông nhân kernel, thông thường từ khởi động hệ thông Hộp công cụ Toolbox Log Khi xem lại íĩle log, có vài cơng cụ lựa chọn mà bạn phải sử dụng thục Phần cuối tiện ích in đặt mặc định mười dòng cuốĩ file, tùy chọn gọn nhỏ cho biết thông tin lần cuối truy cập vào file log $ tail /var/log/syslog Với tham sô" -f, phần đuôi đưa vào theo mẫu dưới, mở file thể ốự thay đổi hình cho bạn biết 269 Các fĩle z.grep, zcat, zless hoạt động giống file tương ứng khơng có chữ “z” đầu Các file kiểu file nén gzip Ví dụ, để lấy danh sách dòng tất file log nén có từ “warthog” bạn cần cung cấp câu lệnh sau: $ zgrep -i vvarthog /var/log/*.gz Hộp công cụ Toolbox bạn xử lý log phát triển theo kinh nghiệm dựa tham chiếu bạn bạn nên tìm kiếm apt-cache file log trưốc 19 MỘT CHÚT VỀ BẢO MẬT MẠNG Quản trị bảo mật mạng thành phần khác, hệ điều hành cung cấp theo mảng rộng Giữa Ubuntun mơ hình phân phối khác Linux khơng có khác nhiều Câu lệnh iptables phần mặt trước tối bảng tường lửa mạnh Linux Thật không may, thao tác xử lý với iptables khó nhiều bạn cơ" gắng thiết lập sách firewall tổng hỢp Câu lệnh xoá tất gói liệu đến từ tên miền xấu: $ sudo iptables -AINPUT -s www.slashdot.org -j DROP Các tài liệu hướng dẫn, cách thức thực báo iptables có Internet với sơ lượng lớn hệ thốhg trang cung cấp thơng tin chi tiết tuỳ chọn thích hỢp Bạn nên bỏ chút thời gian học iptables cho phép bạn cài đặt chế độ bảo mật an toàn chế Linux dễ dàng học hệ thông tường lửa o s khác Những điểm cần ý cuối vể bảo mật Trong phần lướt qua vấn đề 270 bề mặt bảo mật hệ thống Mặc dù cô" gắng cung cấp cho bạn gợi ý hay điểm bắt đầu nơi học hỏi thêm Nhưng thật khơng có hệ thống bảo mật hồn hảo Bảo mật khơng có nghĩa xố bỏ hồn tồn vi phạm, mà làm cho chúng trở nên khó bị khai thác, khó bị cơng Định nghĩa bị thay đổi dễ dàng Bởi cịn phụ thuộc vào kẻ cơng mục đích việc công Bảo m ật rõ ràng, phát triển khái niệm khoa học máy tính Muốh bảo mật th ật tốt đòi hỏi phải thực hiểu sâu hoạt động bên hệ thống máy tính Tuy nhiên chang có cải tiến đáng kể bạn hiểu sâu mà khơng Các bạn bắt đầu từ hôm nay, theo tham khảo trên, dùng để nâng cao kiến thức bảo mật sau bạn 271 MỤC LỤC Phăn I Tự HỌC CÂCH TẤN CƠNG VÀ PHỊNG THỦ VỚI MÁY VI TÍNH CHẠY WINDOWS Khái niệm “phịng thủ^' máy vi tính ♦ Ví dụ I D S ♦ Host ID S s ♦ Giám sát Logíile ♦ Giám sát tính tồn v ẹ n 11 ♦ Network I D S s 13 ♦ Signature m atchers 13 ♦ Phát dấu hiệu bất thường 15 Các biện pháp phát hệ thống bị công 16 Bảo mật cho máy tính tổ chức 17 Xác định rủi ro mối đe dọa Computer 18 Tầm quan trọng việc bảo mật cho Computer 19 ♦ Những cơng từ bên ngồi 19 ♦ Hiểm họa từ bén 19 ♦ Những mối đe dọa phổ biến 20 Thiết kế Security cho Computer .20 ♦ Những phưong thức chung secure Com puter .20 ♦ Làm đ ể cấu hình xác lập chuẩn bảo mật cho tổ chức (Securíty baseline) 21 ♦ Tạo security baseline cho Computer 21 ♦ Security cho Computer có vai trị đặc biệt nào? .22 ♦ Phương pháp áp dụng Security Updates (cập nhật security) 23 ♦ Chinh sách an toàn Account cho Computer (Security Account Policies) 24 272 Bảo vệ máy tính Internet 29 ♦ Cập nhật sửa lỗ i 30 ♦ Giải pháp bắt b u ộ c 31 ♦ Tinh chỉnh brovvser 31 ♦ Phối hợp tường lử a 32 ♦ Chống spyvvare 33 ♦ Loại bỏ “tận gốc” phần mềm gián điệp 34 ♦ Liệt kè nhanh danh sách trinh điều khiển thiết bị 37 Bảo mật cho mạng ngang hàng 37 ♦ Không sử dụng P P mạng cõng t y 39 ♦ Thận trọng với phần mềm máy trạm 39 ♦ Đừng chia s ẻ thứ 39 ♦ Quét thứ trước sử dụn g 40 Để tạo mật mạnh mà bạn dễ dàng ghi nhớ 40 ♦ Lựa chọn tiêu chí đặt passvvord 40 ♦ Kiểm tra độ tin cậy passw ord 41 ♦ Lưu trữ thông tin passvvord trực tuyến 42 ♦ Kiểm tra mức độ an tồn mày tính sử dụng 42 10 ♦ ♦ ♦ ♦ ♦ Thiết lập chế độ an toàn cho lE 43 Đặt c h ế độ khu vực an toàn ỏ mức cao 43 Hạn c h ế thực thi mã duyệt w eb 45 Mỏ c h ế độ chặn thực thi liệ u 45 Tắt thư viện liên kết động O LED B D LL 46 Ngừng đăng kỷ nhanh với O LED B32.D LL .47 ♦ Đăng kỷ lại O LED B D LL 48 ♦ Tái kích hoạt thư viện liên kết động 48 11 ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ Mười chiêu bảo mật 48 Và điểm đen phần m ềm 49 Tim lỗ hổng k h c 50 Khôn hon malvvare 50 Cứu hộp thư khỏi s p a m 51 Chống đỡ vói trình duyệt mơi 51 Trành “đòn” tàm lý 52 Các tiện ích mật chạy không cần cài đặt 53 Tạo thói quen tránh phishing 56 273 ♦ Giữ cho vvebsite an toàn 56 ♦ Tạo mật an tồn dễ n hó 57 ♦ Trợ giúp từ bén 57 12 Lỗ hổng bảo mật 58 ♦ Lỗi trình duyệt 58 ♦ Lỗi Office 59 13 ♦ ♦ ♦ ♦ ♦ ♦ Phòng thủ cho Windows Vista 59 S dụng Windows Securìty Center trước tiên 60 S dụng cõng cụ chuẩn đốn Windows Dender 61 Vó hiệu hóa menu start Up 62 Kích hoạt bảo vệ tường lửa hai ch iều 63 Hạn ch ế vi khách không mong m uốn 64 Thẩm định lại kẻ công 65 14 ♦ ♦ ♦ Bảo vệ thiết lập Internet Explorer ' .66 S dụng OpenDNS 67 S dụng User Account Control 68 Kiểm tra công việc bạn 69 15 Bảo vệ kết nối VNC S S H 69 16 ♦ ♦ ♦ Ngăn cản việc tắt hay khỏi động Windows khơng an tồn 77 Shut It 77 Shutdown Monitor 79 LastChane 80 17 ♦ ♦ ♦ Live Mesh liên quan bảo mật 81 Cách bảo vệ cho “đám mây” n o ? 82 Live Mesh làm việc nào? 83 Microsott thực gi đ ể bảo vệ cho m esh? 84 18 ♦ ♦ ♦ ♦ ♦ An tồn cho máy tính 86 Giữ an toàn sử dụng Wi-Fi công cộ n g 86 Khắc phục nhanh phiền toài Windows 88 Tắt ổ đĩa không sử dụng 88 Khơi phục biểu tượng Sely Remove Hardvựare 89 Vô hiệu phim "Insert" 90 ♦ RegEditX 90 19 Bảo mật hệ thống mạng dùng API Microsott NAP 90 274 Sơ lược M IC R O S O P T NAP 91 Mục tiêu 92 Môi trường phát triển 93 Nguyên tắc hoạt độn g 93 Sau hình minh họa hoạt động thành phần kiến trúc N A P ” 94 Phát triển hệ thống 95 20 Bảo vệ triển khai o cs 104 C c tính bảo mật ocs 2007 105 Active Directory 106 Thẩm định 106 Mã hóa m n g 107 Cơ sỏ hạ tầng khóa c n g 107 Các tính bảo mật liên đ o n 108 Khóa IM nguy hiểm không mong m uốn 108 Điều chỉnh máy chủ máy khách 109 C c giải pháp bảo mật tích hợp M icrosoữ 110 Các add-on bảo mật nhóm thứ b a 110 21 Những công hiểm hoạ vào Windows 111 Cơ ch ế hệ thống thông điệp Win32 111 Tấn công windows N T 116 Xâm nhập Window NT từ mạng internet 133 22 Phòng thủ cho hệ thống Windows 136 An toàn thõng tin 136 Khái niệm an tồn thơng tin 136 Phương pháp đánh giá theo sô' lượng không sử dụng 139 Cài đặt cấu hình D N S 142 Cài đặt Prìmary Domain Controller 145 Cài đặt cấu hình Microsì Exchange Domain Controller 146 Cài đặt Certiíicate S e rv ice s 150 23 Bảo mật liệu cá nhân Windows X P 151 ♦ Chuẩn b ị 152 ♦ Thao tác 152 24 Để tránh bi cắp thông tin 154 25 Bảo vệ thông tin cá nhân mạng 155 275 ♦ Càn nhắc thông tin cung c ấ p 156 ♦ Hãy ln ẩn m ình 157 26 ♦ ♦ ♦ Bảo mật thông tin cá nhân 158 Dặn dị trẻ em giữ bí mật 158 Trách nhiệm người lớn 159 Làm đ ể an toàn mạng không d â y 160 ♦ Phương thức bảo vệ thông tin cá nhân với mật kiên cố 162 ♦ Làm đ ể tạo password vững c h ắ c 163 ♦ Tạo chiều dài 163 ♦ Kết hợp kỷ tự, số, Symbol 163 ♦ S dụng từ cụm từ dễ nhở khó đốn cho người kh c 164 ♦ Tạo password an tồn dễ nhớ theo bưóc 164 ♦ Một vài điểm mà passvựord phải tránh 164 ♦ Tùy chọn “blank passvvord” 165 ♦ Truy cập thay đổi password n o 165 ♦ Phải làm passvvord bị đánh cắp 166 27 Công cụ bảo mật tất m ột 167 28 An toàn cho địa e-mail bạn .169 29 ♦ ♦ ♦ Cách bảo mật cho thiết bị Bluetooth 177 Mã hóa liệu với E P S 180 Đ ể mã hóa tập tin thư m ụ c 181 Đ ể giải mã tập tin thư m ụ c 181 Phần TẤN CƠNG VÀ PHỊNG THỦ VỚI MÁY TÍNH CHẠY LINUX 183 Khởi động Linux từ đĩa C D 183 Khắc phục lỗi tiện ích NAUTILUS 185 Cài đặt ứng dụng từ mã nguồn Linux 185 ♦ Căn việc cài đặt 186 ♦ Tổ chức file hệ thống 188 ♦ Loại bỏ gói 188 ♦ Quản lý gói 189 Bảo mật Linux cơs ỏ 189 ♦ Bảo hiểm 191 276 ♦ Luật đường b ộ 192 ♦ Hãy thắt dày an toàn 193 ♦ Tránh đường x ấ u 194 ♦ Hãy ỷ tới đường 195 ♦ Bảo dưdng định kỳ 195 Làm reverse proxy với Linux + Apache httpd, thuộc series "Bảo vệ máy chủ " 196 ♦ Giới thiệu 196 ♦ R everse proxy gi? 197 ♦ Cài đặt máy chủ reverse-proxy 198 Red Hat Linux kinh nghiệm bảo mật 202 ♦ Không cho phép sử dụng tài khoản roottừ console 202 ♦ Xóa bót tài khoản nhóm đặc biệt 203 ♦ Tắt dịch vụ không s dụng 203 ♦ Không cho "su" lên root 203 ♦ Che giấu tập tin mật .203 ♦ Luôn nàng cấp cho nhăn (kernel) Linux 204 ♦ Tự động thoát khỏi Shell 204 Cách quản lý phần mềm Mandrake Linux 204 ♦ S dụng giao diện đồ họa: rpmdrake 204 ♦ S dụng command line: urpmi, urpmí, urpmg .206 ♦ Vài lệnh cần biết .207 Tìm hiểu nhân hệ điều hành Linux 209 ♦ Bộ phàn thời cho tiến trình (Process Scheduler-SCH ED ) 209 ♦ Bộ quản lý nhở (Memory Manager-MM) 210 ♦ Hệ thống file ảo (Virtual File System - V F S ) .210 ♦ Giao diện mạng (Network lnterface-NET) 211 ♦ Bộ truyền thông nội (Inter-process communication IP C ) 211 Các cấu trúc liệu hệ thống 211 ♦ Taskiist (Danh sách tác vụ) 211 ♦ Memory map (ánh xạ nhớ) 211 ♦ l-nodes 211 ♦ Data connection .212 ♦ Cấu trúc S C H E D 212 ♦ S C H E D chia thành m odule 212 277 ♦ ♦ ♦ ♦ ♦ ♦ Cấu trúc liệu 213 Cấu trúc M M 213 MM có module 213 Cấu trúc V F S 214 Modules 214 Cấu trúc N ET 214 10 ♦ ♦ ♦ ♦ ♦ ♦ Thủ thuật bảo mật cho Linux 224 Loại bỏ tất account nhóm đặc biệt 224 Che giấu file chứa mật 225 Tự động thoát khỏi Shell 225 Loại bỏ dịch vụ không sử dụng 226 Không tiết lộ thông tin hệ thống qua telnet 227 ♦ ♦ ♦ ♦ ♦ Tránh sử dụng dịch vụ khơng mã hố thõng tin đường truyền 228 Cấm sử dụng account root từ consoles 229 Cấm "su” lên root 229 Hạn ch ế thông tin ghi bash Shell 230 Cấm nhịm ngó tói file script khỏi độngLinux 231 Xoà bỏ chương trinh SUID/SGID khơng sử dụng 231 Tăng tính bảo mật cho nhân (kernel) Linux 232 11 ♦ ♦ ♦ ♦ Tăng cường an ninh cho hệ thống Linux 232 Nguy an ninh LIN U X 233 Xem sét sách An ninh 233 Một sách an ninh tốt nén bao gồm vấn đề sau: 234 Tăng cường an inh cho K E R N E L 235 12 ♦ ♦ ♦ ♦ ♦ An toàn cho giao dịch Online .236 Khảo sát hệ thống cõng cụ dò tim 238 Phát xàm nhập qua m ạng 240 Kiểm tra khả bị xâm n hập 241 Đối phó hệ thống bị công 241 Liên hệ nhà chức trách đ ể báo cáo vụ cõ n g 243 13 ♦ ♦ ♦ ♦ Tìm hiển Mạng Linux 244 Linux - hệ điều hành linh hoạt 245 Linux - server quản lý tập tin in ấ n 245 Linux - server thư điện tử 246 Linux - server cho WAN gatevvay 246 ♦ 278 ♦ Cõng nghệ clustering Linux 250 ♦ Các cấu hình F O S 251 ♦ Khi có lỗi, bước sau thục 252 14 Hãy xem cấu hinh FOS nhất., 252 ♦ Một cấu hình F O S 252 ♦ Một cấu hình F O S với liệu chia xẻ '254 ♦ Các cấu hình LV S điền h ìn h 254 ♦ Một cấu hình LV S 255 ♦ Cấu hình LV S phức tạp 257 15 Xây dựng mạng truy cập Internet dùng server Linux 257 ♦ Cấu hình SQ U Y D 260 16 Sử dụng lưu trữ nén RAR 7-Zip Linux 260 ♦ 7z Linux 261 ♦ R A R Linux 262 ♦ Hỗ trợ giao diện người dùng CU I 263 ♦ Server Ubuntu Linux bạn an toàn 264 17 Quản trị tài khoản người dùng 265 18 Bảo mật hệ thống file 266 ♦ Giới hạn nguồn hệ thống 268 ♦ Các file ghi hệ thống 268 ♦ Hộp công cụ Toolbox L o g 269 19 Một chút bảo mật mạng 270 ♦ Những điểm cần ý cuối vè bảo mật 270 279 N IiÀ XUẤT BẢN H ỔN G ĐỨC Địa chi: A2 - 261 Thụy Khuê - Q uận Tây H ổ - Hà Nội Email: nhaxuatbanhongduc@yahoo.com Điện th o i: 0439260024 Fax :0439260031 HƯỚNG DẪN CÁCH PHỒNG THỦ VÀ KHẮC PHỤC S ự CỐ KHI MÁY TÍNH BỊ TẤN CƠNG Chịu trách nhiệm xì bản: Giám đốc BÙI VIỆT BẮC Chịu trách nhiệm nội dung: Tổng biên tập LÝ BÁ TOAN Biên tập: Trình bày, nũnh họa: Sửa m: H Tú Trọng Kiên Khánh H uyền In 1.000 crì, khổ 14.5*20.5cm, Cơng ty CP In Thiên Kim Sô' đăng ký KHXB: 1532 - 2014/CXB/16 - 44/HĐ Mã sô' sách tiêu chuẩn quôc tê'(ISBN): 978-604-86-2637-2 In xong nộp lưu chiểu năm 2014 KHI MẤY VI TÍNH BỊ TẤN CƠNG ... hình ảnh bạn? 191 Thực thi bảo mật địi hỏi bạn phải hiểu đe doạ Các điểm nguy hiểm bảo mật không giốhg bảo hiểm Sao lưu bảo mật máy tính giơng bảo hiểm lái xe; Tuỳ thuộc vào mô hình nguy hiểm cấu... THUỘC SERIES "BẢO VỆ MÁY CHỦ " Giói thiệu Nhiệm vụ bảo vệ hay nhiều content web-server -1- nằm vùng Internal -2- , QC web-server Apache httpd, Microsoft IIS, web-server đơn giản embedded vào ứng dụng... Bảo hiểm tơ có thê hố đơn thuốc, bảo hiểm nguy cho xe ô tô, kiện cáo liên quan đến tai nạn, trộm cắp xe Khi đặt máy tính vào mạng Internet, nguy hiểm phát sinh cho bạn? Các chun gia bảo mật máy