Một trong những cách chung nhất các kẻ xâm nhập trái phép có đ−ợc sự truy nhập tới nhiều hệ thống trên mạng của bạn đó là bởi dùng một bộ lắng nghe gói trên một máy host đã bị thỏa hiệp rồi. “Sniffer” chỉ lắng nghe trên cổng Ethernet các vấn đề nh− passwd, login và su trong luồng gói và ghi đ−ờng truyền sau đó. Với cách này, các kẻ xâm nhập trái phép có các mật khẩu của hệ thống mà không phải cố gắng phá vỡ nó. Các mật khẩu ở dạng rõ thì rất nguy hiểm bởi sự tấn công kiểu này.
Trong thời gian gần đây, các kẻ xâm nhập trái phép thậm trí không cần thỏa hiệp một hệ thống để thực hiện sự tấn công này: chúng có thể mang một máy tính xách tay (laptop) hoặc một PC và kết nối nó vào mạng của bạn.
Sử dụng ssh hoặc các ph−ơng pháp mã hóa khác để ngăn cản sự tấn công này. Các ch−ơng trình nh− APOP cho POP cũng ngăn cản đ−ơc sự tấn công kiểu này.
7.2-Các dịch vụ hệ thống và tcp_wrappers
Tr−ớc khi bạn đặt hệ thống Linux trên bất kỳ một mạng nào thì điều đầu tiên là xem những dịch vụ nào mà bạn cần đ−a ra. Các dịch vụ mà bạn không cần sử dụng thì nên đ−ợc xóa bỏ để bạn khỏi lo lắng về nó và các kẻ tấn công có ít cơ hội hơn để tìm một kẽ hở an toàn.
Có một số cách để loại bỏ các dịch vụ d−ới Linux. Bạn có thể xem trong file /etc/ inetd.conf để thấy những dịch vụ nào thì đang đ−ợc cung cấp bởi inetd. Xóa bỏ bất kỳ dịch vụ nào mà bạn không cần bằng cách thêm dấu # ở đầu dòng đó và rồi gửi tiến trình inetd một SIGHUP.
Ngoài ra bạn có thể xóa các dịch vụ trong file /etc/services (thay vì ghi chú nó ở đầu dòng). Điều này có nghĩa rằng các client cục bộ sẽ không thể tìm đ−ợc các dịch vụ này. Th−ờng không có phiền toái gì khi xóa các dịch vụ khỏi /etc/services, bởi vì nó không cung cấp thêm sự bảo vệ nào.
Sau đây là một vài dịch vụ mà bạn cần xóa bỏ là:
• ftp
• telnet (hoặc ssh)
• mail, nh− pop-3 hoặc imap
• identd
Nếu bạn biết bạn sẽ không sử dụng một vài gói cụ thể, thì bạn có thể xóa nó toàn bộ, sử dụng lệnh rpm -e <tên gói> của RPM để xóa toàn bộ gói.
Bạn nên kiểm tra th− mục /etc/rc.d/rc[0-9].d để xem liệu có bất kỳ server nào đ−ợc bắt đầu trong th− mục này thì không cần thiết. Những file trong th− mục này thì là những liên kết t−ợng tr−ng tới những file trong th− mục /etc/rc.d/init.d. Đặt lại tên file trong th− mục init.d để xóa bỏ tất cả các liên kết biểu t−ợng tới những file trong rc.d hoặc thay đổi tên file t−ơng ứng với dịch vụ mà bạn muốn xóa bỏ.
Đa số các phân phối Linux có tcp_wrappers “chọc thủng” tất cả các dịch vụ TCP. Một tcp_wrapper (tcpd) đ−ợc gọi từ inetd thay vì server thực sự. tcpd kiểm tra host mà đang yêu cầu dịch vụ này và chạy server thực sự hoặc từ chối truy nhập từ host đó. tcpd cho phép bạn hạn chế truy nhập tới các dịch vụ TCP. Bạn nên tạo một /etc/hosts.allow và thêm trong th− mục này các host mà cần có truy nhập tới các dịch vụ của máy bạn. Nếu bạn là một ng−ời dùng quay số bình th−ờng thì bạn nên từ chối tất cả. tcpd cũng ghi lại các cố gắng truy nhập tới các dịch vụ bị thất bại bởi vậy điều này cảnh báo bạn nếu bạn bị tấn công. Nếu bạn thêm các dịch vụ mới, thì bạn nên cấu hình chúng để sử dụng tcp_wrappers nếu các dịch vụ này dựa trên TCP. Nhớ rằng tcp_wrappers chỉ bảo vệ các dịch vụ đ−ợc chạy từ inetd và một vài dịch vụ lựa chọn khác.
7.3-Kiểm tra thông tin DNS
Nâng cấp và nhập nhật thông tin DNS về tất cả các host trên mạng thì có thể giúp bạn tăng khả năng an toàn. Nếu một host không đ−ợc ủy quyền kết nối tới mạng của bạn thì bạn có thể nhận ra nó bởi thiếu một mục trong DNS của nó. Nhiều dịch vụ có thể đ−ợc cấu hình để không chấp nhận các kết nối từ các host mà không có các mục DNS hợp lý.
7.4-identd
identd là một ch−ơng trình nhỏ mà chạy inetd server của bạn. Nó giữ dấu vết mà ng−ời dùng nào đang chạy dịch vụ TCP gì, và rồi trả lời những thông tin này khi bất kỳ ai yêu cầu nó. Bạn nên cho phép chạy ch−ơng trình này. Nhiều ng−ời không hiểu sự hữu ích của identd và xóa bỏ nó hoặc ngăn chặn tất cả các site yêu cầu nó.