Làm cứng hệ thống là 1 thuật ngữ, cũng là 1 công việc căn bản nhất mà System Admin cần phải làm ngay sau khi đã cài xong 1 thành phần nào đó. Thành phần đó có thể là Hệ điều hành, dịch vụ máy chủ. Hệ điều hành thì thường là Linux Server, Window Server; dịch vụ máy chủ thì có thể là Apache, NginX. Mục đích: Hiểu được hardening là gìCần phải hardening những module lớn nhỏ nào của LinuxVì sao phải hardening nó, hardening nó như thế nàoĐể đảm bảo mật khẩu đủ độ mạnh, người dùng được khuyến nghị đặt mật khẩu dài và phức tạp, điều này tuy tốt nhưng lại dẫn đến việc ghi nhớ mật khẩu trở nên khó khăn hơn là nhưng mật khẩu ngắn và đơn giản. Thêm vào đó, việc không nên đặt mật khẩu cho các tài khoản giống nhau lại làm cho người dùng càng khó ghi nhớ chính xác mật khẩu của các tài khoản. Theo nghiên cứu của NordPass vào năm 2020, mỗi người sẽ có trung bình 100 mật khẩu vậy nên việc mỗi mật khẩu là khác nhau và đáp ứng độ phức tạp thì việc ghi nhớ hết chúng là rất khó. Có thể một số người dùng sẽ nghĩ ra cách viết mật khẩu ra giấy hoặc ghi chú ở nơi nào đó trong máy tính. Đây là một cách giải quyết tạm thời nhưng cũng chứa đầy nguy hiểm nếu người khác vô tình hay cố ý nhìn được giấy ghi chú các mật khẩu đó. Như vậy, chúng ta có nguy cơ mất tài khoản, tài sản và quyền riêng tư cho nên việc ghi chú mật khẩu ra giấy ghi chú này là không đủ an toàn. Trong cách làm này, điểm yếu của nó là có thể bị người khác nhìn thấy và “đọc được” mật khẩu của mình, vậy để giải quyết vấn đề này chúng ta có thể sử dụng mã hóa để khiến cho người khác tuy nhìn thấy nhưng lại không “đọc được” mật khẩu. Họ lấy được mật khẩu đã mã hóa nhưng có được các chuỗi ký tự đó là vô nghĩa. Đây chính là vai trò của phần mềm quản lý mật khẩu, giúp cho người dùng có thể lưu trữ và quản lý tập trung các mật khẩu hiệu quả và an toàn, ngăn chặn người không được phép đăng nhập tài khoản, và giúp cho người dùng hợp pháp không cần phải ghi nhớ mật khẩu nhưng vẫn có thể đăng nhập tài khoản.
PHẦN HARDENING LINUX Làm cứng" hệ thống thuật ngữ, công việc mà System Admin cần phải làm sau cài xong thành phần Thành phần Hệ điều hành, dịch vụ máy chủ Hệ điều hành thường Linux Server, Window Server; dịch vụ máy chủ Apache, NginX • Mục đích: o Hiểu hardening o Cần phải hardening module lớn /nhỏ Linux o Vì phải hardening nó, hardening Một số command làm việc với hostname Linux VD 1: Hiển thị hostname hệ thống $ hostname VD 2: Hiển thị địa IP máy chủ $ hostname -i VD 3: Hiển thị Domain Name $ hostname -d VD 4: Hiển thị hostname (Ở định dạng ngắn gon): $ hostname –s Định dạng date shell : https://renenyffenegger.ch/notes/Linux/shell/commands/date Các option mkdir - p: tạo thư mục cha chua tồn - m : phần với quyền cụ thể - v : xem trình ạo thư mục Lệnh cat Một số link Hardening Centos • • • • https://www.lisenet.com/2017/centos-7-server-hardening-guide/ https://gist.github.com/todmephis/9160c693b115dca4b6be73fd2b176458 https://github.com/naingyeminn/CentOS7_Lockdown/blob/master/centos7.sh https://white.mywebsite.vn/threads/hardening-os-make-your-system-safer-centos7part-2.14138/ Một số link viết Shell Script • • • • • • • • • • • • • • • • https://www.bogotobogo.com/Linux/linux_tips2_bash.php https://freetuts.net/unixlinux-shell-script-basic-operators-1327.html https://itculy.blogspot.com/2018/06/linux-tim-hieu-ve-umask-trong-linux.html https://blog.cloud365.vn/shell/bash-shel-danh-cho-nguoi-moi-bat-dau-p1/ https://cloudcraft.info/lap-trinh-bash-shell-co-ban-phan-1/ https://www.justpassion.net/tech/system/linux-system/bash-shell/mang-trongbash-shell.html https://www.7host.vn/cac-toan-tu-co-ban-cau-truc-so-sanh-va-mang-trong-bash https://blog.cloud365.vn/shell/bash-shel-danh-cho-nguoi-moi-bat-dau-p2/ https://www.giatot7.com/cach-su-dung-lenh-sed-tren-linux-52294/#co-sed-t-t-cnh-ng-i-u-o https://rapidsharefiles.net/audit-he-thong-linux-voi-auditd-tool-tren-centos-rhel/ https://freetuts.net/lenh-yum-trong-linux-3324.html https://itfromzero.com/linux/tong-hop-cau-lenh-linux-lam-viec-voi-tap-tin-dinhdang-text-txt.html https://blogd.net/linux/lenh-grep-toan-tap/ https://www.programmersought.com/article/13071322203/ https://www.linuxtechi.com/linux-grep-command-with-14-different-examples/ https://freetuts.net/lenh-useradd-trong-linux-3293.html PHẦN 2: PHẦN MỀM QUẢN LÝ MẬT KHẨU 1.1 Phần mềm quản lý mật khẩu: 1.1.1 Khái niệm phần mềm quản lý mật Để đảm bảo mật đủ độ mạnh, người dùng khuyến nghị đặt mật dài phức tạp, điều tốt lại dẫn đến việc ghi nhớ mật trở nên khó khăn mật ngắn đơn giản Thêm vào đó, việc khơng nên đặt mật cho tài khoản giống lại làm cho người dùng khó ghi nhớ xác mật tài khoản Theo nghiên cứu NordPass vào năm 2020, người có trung bình 100 mật nên việc mật khác đáp ứng độ phức tạp việc ghi nhớ hết chúng khó Có thể số người dùng nghĩ cách viết mật giấy ghi nơi máy tính Đây cách giải tạm thời chứa đầy nguy hiểm người khác vơ tình hay cố ý nhìn giấy ghi mật Như vậy, có nguy tài khoản, tài sản quyền riêng tư việc ghi mật giấy ghi không đủ an toàn Trong cách làm này, điểm yếu bị người khác nhìn thấy “đọc được” mật mình, để giải vấn đề sử dụng mã hóa để khiến cho người khác nhìn thấy lại không “đọc được” mật Họ lấy mật mã hóa có chuỗi ký tự vơ nghĩa Đây vai trị phần mềm quản lý mật khẩu, giúp cho người dùng lưu trữ quản lý tập trung mật - hiệu an toàn, ngăn chặn người không phép đăng nhập tài khoản, giúp cho người dùng hợp pháp không cần phải ghi nhớ mật đăng nhập tài khoản 1.1.2 Lợi ích phần mềm quản lý mật Không cần phải ghi nhớ mật đảm bảo khuyến nghị việc đặt mật - an tồn ký tự phải bao gồm số ký tự đặc biệt,… Chỉ cần ghi nhớ mật để có truy cập vào tài khoản chứa mật - phần mềm quản lý mật Từ lợi ích việc khơng cần phải ghi nhớ mật hồn tồn đặt mật bao gồm nhiều ký tự hơn, mật gồm nhiều ký tự tốn nhiều thời gian để kẻ cơng dị tìm Để dị tìm mật đáp ứng quy tắc an tồn bao gồm 12 ký tự phải tốn khoảng 200 năm nên hoàn toàn đặt - mật từ 12 ký tự trở lên để chắn khơng dị tìm mật Giúp cho việc đăng nhập tài khoản trở nên nhanh chóng dễ dàng Sau đăng nhập thành công vào tài khoản phần mềm quản lý mật khẩu, người dùng dễ dàng lấy tài khoản/mật dịch vụ mạng mong muốn sử dụng Điều tránh tình trạng quên mật nhầm lẫn mật dịch vụ mạng khác 1.1.3 Các phần mềm quản lý mật 1.1.3.1 KeePass: - KeePass phần mềm quản lý mật mã nguồn mở, dung lượng nhẹ, miễn phí dễ sử dụng cho Window, hỗ trợ macOS Linux, phát triển vào năm 2004 KeePass lưu trữ tên người dùng mật ngoại tuyến thiết bị người dùng dạng tệp mã hóa, hỗ trợ nhập xuất tệp dạng TXT, HTML, XML, CSV Đồng thời hỗ trợ tự động điền thông tin đăng nhập vào trang đăng nhập, xác thực hai lớp có cơng cụ tự động tạo mật Hình 1 Các gói cài đặt KeePass - KeePass có hai phiên Installer (cần tải file EXE cài đặt vài bước) Portable (tải gói ZIP cần giải nén vào USB mà không cần phải cài đặt) - Khơng mật mà tồn liệu khác tên đăng nhập, ghi lưu trữ sở liệu, sau mã hóa thuật tốn thuật tốn AES, Twofish Khóa chủ lưu trữ sử dụng hàm băm chiều SHA-256 Hình Gói cài đặt cho hệ điều hành Windows KeePass 1.1.3.2 1Password - 1Password phần mềm quản lý mật hỗ trợ Windows, MacOS, Linux, Android, iOS có 1Password X bổ sung để tích hợp vào trình duyệt Chorme, Edge, Firefox Phần mềm cho phép trải nghiệm miễn phí 14 ngày, sau tính phí sử dụng theo tháng Phiên trả phí có thêm chức ghi log lại có thay đổi, điều chỉnh vai trị để thiết kế ủy thác trách nhiệm tài khoản người dùng Hình 1Password đặt mật - Để tạo tài khoản cần xác thực email số gửi hịm thư, sau mật bao gồm 10 ký tự - Sau đặt mật khẩu, cung cấp file PDF chứa địa đăng nhập, tài khoản email, khóa bí mật, mật Để đăng nhập tài khoản cần phải có tập tin nên khơng xóa Hình 1Password Emercy Kit - Đây phần mềm yêu cầu phải có kết nối mạng để sử dụng, sau cài đặt nhấn bắt đầu sử dụng, phần mềm mở trình duyệt với địa nằm Emergency Kit Sau nhập Master Password bắt đầu sử dụng chức phần mềm Hình 1Password cơng cụ tạo mật tự động - Khi tạo mật tự động cho phép điều chỉnh độ dài mật khẩu, ký tự mật chữ, số, ký tự,… - Cung cấp nhiều mẫu để ghi nhớ mẫu đăng nhập, mẫu thẻ tín dụng, mẫu tài khoản ngân hàng, mẫu lưu trữ tài liệu,… Hình Các mẫu cung cấp sẵn 1Password - Hỗ trợ xác thực hai yếu tố cần phải bật chức - Về phần bảo mật, liệu mã hóa thuật tốn AES 256-bit, chống công cụ bẻ mật cách sử dụng PBKDF2-HMAC-SHA256 cho dẫn xuất khóa, cung cấp chức tạo mật tự động để đảm bảo mật thỏa mãn tiêu chí an tồn việc đặt mật an tồn - 1Password có chức quản lý bảng tạm, chức tự động xóa mật khỏi bảng tạm để ngăn chặn việc người khác truy cập vào liệu ta quên gán mật chép, đồng thời bảo vệ mật khỏi công cụ lưu lịch sử bảng tạm 1.1.3.3 LastPass - LastPass phần mềm quản lý mật tiện ích tích hợp vào trình duyệt, phần mềm thiết bị di động, có nhiều phiên bản: miễn phí (được trải nghiệm Premium 30 ngày, truy cập máy tính điện thoại), Premium có trả phí - Khi đăng nhập hỗ trợ chức bàn phím hình giúp tránh công cụ keylogger lưu lịch sử nhập từ bàn phím Hình Chức bàn phím hình LastPass - Giao diện thêm mật để lưu, có chức nâng cao yêu cầu nhập Master Password điền vào mẫu đăng nhập, tự động đăng nhập tắt tự động điền thơng tin Hình Giao diện lựa chọn thêm mật LastPass - Khi truy cập vào trang có mật lưu, nhập mật icon sử dụng LastPass hình 1.9 Hình Icon đính kèm mật LastPass - Mỗi tài khoản lưu LastPass có tùy chọn nâng cao riêng biệt, chọn chức yêu cầu nhập Master Password điền vào mẫu đăng nhập, cần phải nhập lại Master Password để sử dụng phần mềm, việc nâng cao an toàn sử dụng cho mật thực quan trọng Với mật quan trọng cần không chọn vào chức này, khơng an tồn lại giúp nâng cao trải nghiệm sử dụng người dùng Hình 10 Nhập mật trước sử dụng LastPass - Về vấn đề an toàn, LastPass sử dụng mã hóa AES 256-bit hàm dẫn xuất khóa PBKDF2-SHA256 kết hợp giá trị salt để đảm bảo bảo mật đám mây Dữ liệu mã hóa giải mã thiết bị Mật khóa sử dụng để mã hóa giải mã liệu không gửi đến máy chủ LastPass đảm bảo tính bảo mật liệu, kể LastPass truy cập 1.1.4 So sánh phần mềm quản lý mật phổ biến - Giống nhau: sử dụng hàm băm băm mật người dùng nhập để xác thực người dùng tạo khóa mã hóa để mã hóa giải mã liệu quan trọng mật khẩu, thẻ tín dụng, tài liệu quan trọng,… Giúp cho người dùng không cần phải nhớ nhiều mật khẩu, lưu trữ thông tin quan trọng, ngăn chặn người không phép truy cập vào liệu, giúp người dùng truy cập liệu cách nhanh chóng cần Hỗ trợ nhiều hệ điều hành Windows, Linux, MacOS, Android, iOS - Khác nhau: KeePass - Có phiên bản: Installer Portable 1Password LastPass - Có Command Line để tích hợp với mã nguồn quy trình làm việc - Chỉ bao gồm tiện ích tích hợp vào trình duyệt ứng dụng cho điện thoại Android iOS - Miễn phí - Khơng cần kết nối mạng để sử dụng - Có cơng cụ tự tạo mật điều chỉnh để đáp ứng yêu cầu mật an toàn cần cài đặt thêm - Khơng có chức lưu trữ file - Tốn phí, cho phép trải nghiệm 15 ngày - Cần có kết nối mạng để sử dụng - Có cơng cụ tự tạo mật điều chỉnh để đáp ứng yêu cầu mật an toàn, tích hợp sẵn phần mềm - Có chức lưu trữ file giới hạn dung lượng tùy phiên - Có phiên miễn phí tính phí, cho phép trải nghiệm chức Premium 30 ngày - Cần có kết nối mạng để sử dụng - Có cơng cụ tự tạo mật điều chỉnh để đáp ứng yêu cầu mật an tồn, tích hợp sẵn phần mềm - Có chức lưu trữ file giới hạn dung lượng tùy phiên - Giao diện đẹp - Giao diện xấu - Cung cấp tính thông báo thông tin bị lộ web đen - Giao diện đẹp - Cung cấp tính thơng báo thơng tin bị lộ web đen - Hỗ trợ tính bàn phím hình 1.2 Vấn đề an toàn phần mềm quản lý mật Web Hầu hết trình quản lý mật liên kết với trình duyệt tiện ích tích hợp chung với trình duyệt tự động quản lý mật Chúng tự động xác định trường đăng nhập điền vào với mật tương ứng Nếu tích hợp trình quản lý mật trình duyệt khơng tốt, mật điền vào trường đăng nhập kẻ công nắm giữ tổ chức thứ ba không mong muốn nắm giữ Dưới số vấn đề an toàn phần mềm quản lý mật web: 1.2.1 HTTP HTTPS Lỗ hổng tệ phát phần mềm quản lý mật MaskMe MaskMe không thiết lập phân biệt HTTP HTTPS, MaskMe cấu hình để tự động điền vào trường xác định danh tính miền HTTPS https://www.google.com vào mẫu đăng nhập http://www.google.com, mẫu đăng nhập trang tự động điền vào Trong công man-in-the-middle mạng không dây công cộng đơn giản chuyển hướng nạn nhân đến trang giả mạo HTTP trang tiếng với mẫu đăng nhập JavaScript, tự động gửi sau mẫu đăng nhập tự động điền vào MaskMe Những sử dụng MaskMe với chức tự động điền vào bật mặc định dễ bị đánh cắp mật cách kết nối đến điểm truy cập độc hại nạn nhân bị lộ mật 1.2.2 Miền phụ tương tự LastPass, MaskMe 1Password xác thực vào trang miền mà mật lưu Nghĩa mẫu đăng nhập trang https://forum.example.com xem tương đương mẫu đăng nhập trang https://example.com/log_in Tên miền phụ tương tự nguy hiểm vài tên miền phụ diễn đàn thảo luận, trang blog, mail bị thao túng kẻ cơng Ví dụ diễn đàn cho phép bình luận dạng thẻ HTML bị khai thác kẻ công cách thêm vào mẫu đăng nhập, từ đánh cắp thơng tin danh tính từ người dùng 1.2.3 Khơng xác định xác trang đăng nhập Khơng có phần mềm quản lý mật xác minh xác trang đăng nhập cho mật ghi nhớ tên miền lưu Ví dụ trang đăng nhập đặt https://example.com/log_in tất phần mềm quản lý mật phát mẫu đăng nhập đâu tên miền https://example.com Điều nghĩa kẻ công tiêm nhiễm mẫu đăng nhập đâu tên miền example thơng tin đăng nhập nạn nhân bị đánh cắp 1.2.4 Auto-Fill Auto-Submit Để việc sử dụng phần mềm quản lý mật thuận tiện hơn, LastPass MaskMe cấu hình để trình quản lý tự động điền thơng tin đăng nhập người dùng vào mẫu đăng nhập Thậm chí LastPass cịn cấu hình cho phép tự động gửi thông tin sau điền thông tin đăng nhập Điều làm gia tăng rủi ro lộ mật cảu người dùng mẫu đăng nhập bị giấu mẫu khác Khi người dùng gửi mẫu mà họ thấy đồng thời mật điền vào trường mẫu bị dấu gửi đến kẻ công Trong thử nghiệm isecpartners gửi mail lên ba nhà cung cấp webmail tiếng với nội dung dạng HTML sau: Thanks for taking our Survey ! Do you like cats ? : Do you like dogs ? : < / form> Khi người dùng Yahoo mở mail nhận được, LastPass tự động điền gửi thông tin đăng nhập đến https://www.isecpartners.com , có chức auto-fill bật thông tin đăng nhập bị đánh cắp sau khảo sát gửi Với Gmail tốt chút có cảnh báo trước gửi Hình 11 Thử nghiệm lấy mật ipsecpartner cách gửi mail đến gmail Cuối với Outlook cho kết tốt nhất, người dùng Outlook không bị đánh cắp mật kiểu công 1.2.5 Lỗi chứng thực HTTPS Mật lưu trang đăng nhập tải thông qua kết nối HTTPS phiên HTTPS bị lỗi chứng TLS khơng tin cậy Người dùng chọn bỏ qua cảnh báo chứng tiếp tục truy cập vào trang đăng nhập, hầu hết phần mềm quản lý mật tự động điền vào thông tin xác thực bình thường, điều lỗ hổng cho cơng Trong trình duyệt Chrome máy tính Android từ chối tự động điền vào, cịn IE chuyển từ tự động điền sang tự động điền sau có tác động người dùng Hình 12 Thơng báo trang web có chứng không tin cậy