Chương 3: Các thao tác quản trị trên Ubuntu Server
3.4 Cài đặt tường lửa bảo vệ máy chủ
*Kích hoạt tường lửa
Tường lửa mặc định bị vô hiệu hóa. Để kích hoạt tường lửa, nhập câu lệnh sau từ cửa sổ lệnh: sudo ufw enable
Hình 3.14. Kích hoạt tường lửa.
*Đặt luật cho tường lửa
Giả sử ta muốn cho phép lưu lượng SSH qua cổng 22. Để làm điều này, hãy sử dụng một trong số những câu lệnh sau:
sudo ufw allow 22 (Cho phép cả lưu lượng UDP và TCP)
sudo ufw allow 22/tcp (Chỉ cho phép lưu lượng TCP)
Downloaded by nhung hong (hongnhung141994@gmail.com)
sudo ufw allow ssh (Kiểm tra trong file /etc/services trên hệ thống để tìm cổng mà
SSH yêu cầu và cho phép nó. Nhiều service phổ biến được liệt kê trong file này)
Để cho phép máy client (máy của Admin) có địa chỉ IP là 192.168.1.50 được truy cập tới máy chủ sử dụng giao thức SSH ta dùng lệnh:
Sudo ufw allow from 192.168.1.50 to any port 22
Ufw giả sử người dùng muốn đặt luật cho lưu lượng đến, nhưng ta cũng có thể quy định hướng lưu lượng. Ví dụ như, để chặn lưu lượng SSH ra mạng, gõ câu lệnh sau:
sudo ufw reject out ssh
Để xem tất cả những luật đã được tạo ra, ta sử dụng câu lệnh sau:
sudo ufw status
Hình 3.15. Đặt luật cho cho tường lửa.
Để xóa một luật, thêm từ khóa delete trước luật đó. Ví dụ như, để dừng hành động chặn lưu lượng SSH ra ngoài mạng, sử dụng câu lệnh sau:
sudo ufw delete reject out ssh
Downloaded by nhung hong (hongnhung141994@gmail.com)
Để đặt lại tường lửa về trạng thái mặc định, sử dụng câu lệnh:
sudo ufw reset
Hình 3.16. Đưa tường lửa về trạng thái mặc định.
*Cài đặt NFS Server và NFS Client trên Ubuntu:
- Cài đặt NFS Server Ubuntu:
Thực hiện trên NFS Server 10.10.10.21
Update và cài đặt gói nfs-kernel-server:
sudo apt update && sudo apt install -y nfs-kernel-server
Tạo thư mục để chia sẻ NFS:
sudo mkdir /var/nfs -p
NFS sẽ chuyển mọi quyền root trên client sang nobody:nobody như một phương thức bảo mật. Do đó, chúng ta cần phải thay đổi quyền sở hữu:
Downloaded by nhung hong (hongnhung141994@gmail.com)
sudo chown nobody:nogroup /var/nfs
Sửa file /etc/exports để tạo mountpoint export, thêm nội dung sau:
/var/nfs 10.10.10.0/24(rw,sync,no_root_squash,no_subtree_check)
Trong đó:
o /var/nfs là đường dẫn chia sẻ trên Server.
o 10.10.10.0/24 là dải mạng cho phép kết nối truy xuất tài nguyên trên
Server. Nếu IP thay bằng * thì mọi client có quyền truy cập.
o (rw,no_root_squash) là các tuỳ chọn chia sẻ tài nguyên. (Các tuỳ
chọn đã được giải thích phía trên) Lưu lại và thoát khỏi file /etc/exports.
Khởi động lại NFS Service:
sudo systemctl restart nfs-kernel-server
Cấu hình Allow rule trên ufw để cho phép Client kết nối đến NFS Server:
sudo ufw allow from 10.10.10.22 to any port nfs
Trong đó 10.10.10.22 là ip của Client.
Downloaded by nhung hong (hongnhung141994@gmail.com)
-Cài đặt và cấu hình NFS Client Ubuntu 20.04:
Update và cài đặt gói nfs-common:
sudo apt update && sudo apt install -y nfs-common
Tạo thư mục để mount tài nguyên được chia sẻ từ NFS Server:
sudo mkdir -p /var/nfs-data
sử dụng lệnh sau để Mount NFS:
sudo mount 10.10.10.21:/var/nfs /var/nfs-data
chạy lệnh sau để kiểm tra kết quả Mount:
sudo df -h
Hình 3.17. Cấu hình NFS client Ubuntu.
Downloaded by nhung hong (hongnhung141994@gmail.com)
* Bật log trên Firewall để theo dõi các truy cập trái phép được firewall ghi lại:
Nhật ký tường lửa rất cần thiết để nhận biết các cuộc tấn công, khắc phục sự cố các quy tắc tường lửa và nhận thấy hoạt động bất thường trên mạng của bạn. Tuy nhiên, bạn phải bao gồm các quy tắc ghi nhật ký trong tường lửa của mình để chúng được tạo ra và các quy tắc ghi nhật ký phải có trước bất kỳ quy tắc kết thúc
áp dụng nào
Nếu bạn đang sử dụng ufw, bạn có thể bật tính năng ghi nhật ký bằng cách nhập thông tin sau vào một thiết bị đầu cuối:
sudo ufw logging on
Nhật ký ở trên cũng sẽ xuất hiện :
/var/log/messages, /var/log/syslog và /var/log/kern.log
Downloaded by nhung hong (hongnhung141994@gmail.com)