Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 1
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
Gi
ới
thi
ệu
Ngày nay,
t
rên mạng Int
ernet
kỳ di
ệu,
người
t
a đang t
hực hi
ện
hàng t
ỷ đô l
a gi
ao dị
ch mỗi
ngày( t
rên dưới
2 ngàn t
ỷ USD mỗi
năm).
Một
khối
l
ượng
hàng
hoá
và
t
i
ền
bạc
khổng
l
ồ
đang
được
tỷ
t
ỷ
các
đi
ện
t
ử t
í
hon chuyển đi
và nó t
hực sự l
à mi
ếng mồi
béo bở cho những t
ay
ăn t
rộm hay khủng bố có có “ t
ri
t
hức”.
Sự phát
t
ri
ển nhanh chóng
của
mạng
máy
tí
nh
l
à
đi
ều
t
ất
yếu.
Hàng
ngày
có
không
bi
ết
bao
nhi
êu
người
tham gi
a vào hệ t
hống t
hông t
i
n t
oàn cầu mà chúng t
a gọi
l
à
Int
ernet
.
Những công t
y l
ớn,
các doanh nghi
ệp,
các t
rường đại
học
cùng như các t
rường phổ t
hông ngày càng tăng và hơn cả t
hế có rất
rất
nhi
ều người
đang nối
mạng t
rực tuyến suốt
24/24 gi
ờ mỗi
ngày,
bảy
ngày
t
rong t
uần.
Trong
bối
cảnh một
l
i
ên
mạng
t
oàn
cầu
với
hàng
chục
t
ri
ệu
người
sử dụng
như
Int
ernet
thì
vấn
đề
an
t
oàn
thông
t
i
n
t
rở
nên phức t
ạp và cấp t
hi
ết
hơn.
Do đó một
câu hỏi
không mấy dễ chị
u
đặt
ra
l
à
:
l
i
ệu
mạng
máy
t
í
nh
của
chúng
t
a
sẽ
phải
bị
t
ấn
công
bất
cứ
lúc nào?
Sự
bảo
vệ
của
bất
kỳ
mạng
máy
tí
nh nào
đầu
t
i
ên
cũng
l
à
f
i
rewall
và phần mền nguồn mở như Li
nux.
Và câu chuyện về an t
oàn mạng
không có hồi
kết
t
húc.
Vi
ệc gi
ữ an t
oàn một
hệ t
hống kéo t
heo chúng
t
a
phải
có
nhưng
ki
ến
t
hức
t
ốt
về
hệ
đi
ều
hành,
mạng
TCP/IP
cơ
sở
và
quản t
rị
dị
ch vụ.
Cùng với
sự gợi
ý của gi
á vi
ên hướng dẫn và t
ầm
quan t
rọng của vi
ệc an t
oàn t
hông ti
n l
i
ên mạng,
ở đây chúng t
ôi
chỉ
t
rì
nh
bày
một
cách
t
ổng
quan
những
vùng
nơi
Li
nux
có
t
hể
và
cần
phải
được gi
ữ an t
oàn,
những t
hêm vào đó l
à các l
ệnh cơ bản,
những ki
nh
ngi
ệm
t
rong
nguyên
t
ắc
an
t
oàn
và
bảo
vệ
hệ
t
hống
mạng.
Nhóm
si
nh
vi
ên
t
hực
hi
ện:
- Nguyễn
Huy
Chương
- Lê
Thị
Huyền
Trang
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 2
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
I.
An
toàn
cho
các
gi
ao
dị
ch
trên
mạng
Có rất nhi
ều dị
ch vụ mạng truyền thống gi
ao ti
ếp thông qua gi
ao thức văn bản
không mã hoá,
như TELNET,
FTP,
RLOGIN,
HTTP,
POP3.
Trong các gi
ao dị
ch gi
ữa
người
dùng với
máy chủ,
tất cả các thông t
i
n dạng gói
được truyền qua mạng dưới
hì
nh
t
hức
văn
bản
không
được
mã
hoá.
Các
gói
ti
n
này
có
thể
dễ
dàng
bị
chặn
và
sao
chép
ở một
đi
ểm
nào
đó
trên
đường
đi
.
Vi
ệc
gi
ải
mã
các
gói
t
i
n
này
rất
dễ
dàng,
cho
phép l
ấy được các thông ti
n như tên người
dùng,
mật khẩu và các thông ti
n quan
trọng khác.
Vi
ệc sử dụng các gi
ao dị
ch mạng được mã hoá khi
ến cho vi
ệc gi
ải
mã
thông ti
n trở nên khó hơn và gi
úp bạn gi
ữ an t
oàn các thông ti
n quan trọng.
Các kỹ
thuật
thông
dụng
hi
ện
nay
l
à
IPSec,
SSL,
TLS,
SASL
và
PKI.
Quản trị
từ xa l
à một t
í
nh năng hấp dẫn của các hệ thống UNIX.
Người
quản trị
mạng
có
thể
dễ
dàng
truy
nhập
vào
hệ
thống
t
ừ
bất
kỳ
nơi
nào
trên
mạng
thông
qua
các gi
ao thức thông dụng như tel
net,
rl
ogi
n.
Một số công cụ quản trị
từ xa được sử
dụng rộng rãi
như l
i
nuxconf
,
webmi
n cũng dùng gi
ao thức không mã hoá.
Vi
ệc thay
thế
tất
cả
các
dị
ch
vụ
mạng
dùng
gi
ao
thức
không
mã
hoá
bằng
gi
ao
thức
có
mã
hoá
l
à rất khó.
Tuy nhi
ên,
bạn nên cung cấp vi
ệc truy cập các dị
ch vụ truyền thống như
HTTP/POP3
thông
qua
SSL,
cũng
như
thay
thế
các
dị
ch
vụ
tel
net,
rl
ogi
n
bằng
SSH.
Nguyên
tắc
bảo
vệ
hệ
thống
mạng
1. Hoạch
đị
nh
hệ
thống
bảo
vệ
mạng
Trong môi
trường mạng,
phải
có sự đảm bảo rằng những dữ l
i
ệu có tí
nh bí
mật
phải
được
cất
gi
ữ
ri
êng,
sao
cho
chỉ
có
người
có
thẫm
quyền
mới
được
phép
truy
cập
chúng.
Bảo
mật
thông
ti
n
l
à
vi
ệc
l
àm
quan
t
rọng,
và
vi
ệc
bảo
vệ
hoạt
động
mạng
cũng
có
tầm
quan
trong
không
kém.
Mạng máy tí
nh cần được bảo vệ an toàn,
tránh khỏi
những hi
ểm hoạ do vô
tì
nh hay cố ý.
Tuy nhi
ên một nhà quản trị
mạng cần phải
bi
ết bất cứ cái
gì
cũng có
mức độ,
không nên thái
quá.
Mạng không nhaats thi
ết phải
được bảo vệ quá cẩn
mật,
đến
mức
người
dùng
l
uôn
gặp
khó
khăn
khi
truy
nhập
mạng
để
t
hực
hi
ện
nhi
ệm
vụ của mì
nh.
Không nên để họ thất vọng khi
cố gắng truy cập cá tập ti
n của chí
nh
mì
nh.
Bốn
hi
ểm
hoạ
chí
nh
đối
với
sự
an
ni
nh
của
mạng
l
à:
o Tr
uy
nhập
mạng
bất
hợp
pháp
o Sự
can
thi
ệp
bằng
phương
ti
ện
đi
ện
tử
o Kẻ
trộm
o Tai
hoạ
vô
tì
nh
hoặc
có
chủ
ý
x
Mức độ bảo mật :Tuỳ thuộc vào dạng môi
trường trong đó
mạng
đang
hoạt
động
x
Chí
nh sách bảo mật : Hệ thống mạng đòi
hỏi
một tập hợp
nguyên tắc,
đi
ều l
uật và chí
nh sách nhằm l
oại
trừ mọi
rủi
ro.
Gi
úp hướng dẫn vược
qua các thay đổi
và những t
ì
nh huống không dự ki
ến trong quá trì
nh phát
tri
ển
mạng.
Sự
đề
phòng:
đề
phòng
những
truy
cập
bất
hợp
pháp
Sự chứng t
hực: trước khi
truy nhập mạng,
bạn gõ đúng tên đăng nhập và
password
hợp
l
ệ.
x
Đào tạo: Người
dùng mạng được đào tạo chu đáo sẽ có í
t khả
năng
vô
ý
phá
huỷ
một
tài
nguyên
x
An
toàn
cho
thi
ết
bị
:
Tuỳ
thuộc
ở:
quy
mô
công
ty,
độ
bí
mật
dữ
l
i
ệu,
các
tài
nguyên
khả
dụng.
Trong
môi
trường
mạng
ngang
hàng,
có
thể
không
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 3
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
có chí
nh sách bảo vệ phàn cứng có tổ chức nào.
Người
dùng chị
u trách nhi
ệm đảm
bảo
an
toàn
cho
máy
tí
nh
và
dữ
l
i
ệu
của
ri
êng
mì
nh.
2. Mô
hì
nh
bảo
mật
Hai
mô
hì
nh
bảo
mật
khác
nhau
đã
phát
tri
ển,
gi
úp
bảo
vệ
an
toàn
dữ
l
i
ệu
và
tài
nguyên
phần
cứng:
x
Bảo vệ tài
nguyên dùng chung bằng mật mã: gắn mật mã cho
từng
tài
nguyên
dùng
chung
x
Truy cập khi
được sự cho phép : l
à chỉ
đị
nh một số quyền nhất
đị
nh trên cơ sở người
dùng,
ki
ểm tra truy nhập tài
nguyên dùng chung căn cứ vào
CSDL user-access trên máy server
3. Nâng
cao
mức
độ
bảo
mật
x
Ki
ểm
toán
:
Theo
dõi
hoạt
động
trên
mạnh
thông
qua
tài
khoản
người
dùng,
ghi
l
ại
nhi
ều dạng bi
ến cố chọn l
ọc vào sổ nhật ký bảo mật của máy
server.
Gi
úp nhận bi
ết các hoạt động bất hợp l
ệ hoặc không chủ đị
nh.
Cung cấp các
thông
ti
n
về
cách
dùng trong
tì
nh
huống
có
phòng
ban
nào
đó
thun
phí
sử
dụng
một
số tài
nguyên nhất đị
nh,
và cần quyết đị
nh phí
của những tài
nguyên này theo cách
thức
nào
đó.
x
Máy tí
nh không đĩ
a:Không có ổ đĩ
a cứng và ổ mềm.
Có thể thi
hành
mọi
vi
ệ
như
máy
t
í
nh
thông
thường,
ngoại
trừ
vi
ệc
l
ưu
trữ
dữ
l
i
ệu
trên
đĩ
a
cứng
hay đĩ
a mềm cục bộ.
Không cần đĩ
a khởi
động.
Có khả năng gi
ao ti
ếp với
server và
đăng nhập nhờ vào một con chi
p ROM khởi
động đặc bi
ệt được cài
trên card mạng.
Khi
bật máy tí
nh không đĩ
a,
chi
p ROM khởi
động phát tí
n hi
ệu cho server bi
ết rằng
nó muốn khởi
động.
Server trả l
ời
bằng cácn t
ải
phần mềm khởi
động vào RAM của
máy tí
nh không đĩ
a và tự đọng hi
ển thị
màn hì
nh đăng nhập .
Khi
đó máy tí
nh được
kết
nối
với
mạng.
x
Mã
hoá
dữ
l
i
ệu:
Người
ta
mã
hoá
t
hông
t
i
n
sang
dạng
mật
mã
bằng một phương pháp nào đó sao cho đảm bảo thông ti
n đó không thể nhận bi
ết
được nếu nơi
nhận không bi
ết cách gi
ải
mã.
Một người
sử dụng hay một host có thể
sử
dụng
thông
ti
n
mà
không
sợ
ảnh
hưởng
đến
người
sử
dụng
hay
một
host
khác.
x
Chống
vi
rus
:
- Ngăn
không
cho
vi
rus
hoạt
động
- Sữa
chữa
hư
hại
ở
một
mức
độ
nào
đó
- Chặn
đứng
vi
rus
sau
khi
nó bộc
phát
Ngăn chặn tì
nh trạng truy cập bất hợp pháp l
à một trong những gi
ải
pháp
hi
ệu nhi
ệm nhất để tránh vi
rus.
Do bi
ện pháp
chủ yếu l
à phòng
ngừa,
nên nhà quản
trị
mạng
phải
bảo
đảm
sao
cho
mọi
yếu
tố
cần
thi
ết
đều
đã
sẵn
sàng:
- Mật
mã
để
gi
ảm
khả
năng
truy
cập
bất
hợp
pháp
- Chỉ
đị
nh
các
đặc
quyền
thí
ch
hợp
cho
mọi
người
dùng
- Các prof
i
l
e để tổ chức môi
trường mạng cho người
dùng có
thể l
ập cấu hì
nh và duy trì
môi
trường đăng nhập,
bao gồm
các kết nối
mạng và những khoản mục chương trì
nh khi
người
dùng
đăng nhập.
- Một
chí
nh
sách
quyết
đị
nh
có
thể
tải
phần
mềm
nào.
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 4
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
Ki
ến
trúc
bảo
mật
của
hệ
thống
mạng
1) Các
mức
an
toàn
thông
ti
n
trên
mạng
Không có đi
ều gì
gọi
l
à hoàn hảo trong vi
ệc an toàn hệ thống mạng như
Li
nux.
Nó được thi
ết kế để l
à một hệ đi
ều hành nối
mạng và sự phát
tri
ển mạnh mẽ
của
nó
chỉ
để
tập
trung
vào
sự
an
toàn.
Hệ
đi
ều
hành
mã
nguồn
mở
l
à
cái
gì
mà
cho
phép người
quản trị
mạng và những người
phát tri
ển,
những người
dùng tri
ền mi
ên
theo dõi
và ki
ểm toán những gì
dễ bị
tấn công.
Ở đấy không có gì
huyền bì
về an
toàn thông t
i
n.
Thật
l
à tốt nếu như các tài
nguyên được bảo mật và được bảo vệ tốt
trước
bất
kỳ
sự
xâm
phạm
vô
tì
nh
hay
cố
ý.
An
toàn
hay
bảo
mật
không
phải
l
à
một
sản
phẩm,
nó
cũng
không
phải
l
à
một
phần
mền.
Nó
l
à
một
cách
nghĩ
.
Sự an
toàn
có
thể
được
khởi
động
và dừng
như
một
dị
ch vụ.
Bảo mật l
à cách an toàn.
Tài
l
i
ệu bảo mật l
à tư l
i
ệu mà những thành vi
ên
của
tổ
chức
muốn
bảo
vệ.
Trách
nhi
ệm
của
vi
ệc
bảo
mật
l
à
người
quản
trị
mạng.
Sự
an
toàn
mạng
có
vai
trò
quan
trọng
tối
cao.
An toàn
phải
được
đảm
bảo
từ
những nhân tố bên ngoài
kernel
,
tại
phần cốt l
õi
của Li
nux server.
Cơ chế bảo mật
cần phải
bao gồm cấu hì
nh mạng của Server,
chu vi
ứng dụng của tổ chức mạng và
thậm chí
của những cl
i
ent truy nhập mạng từ xa.
Có vài
cách mà ta cần phải
xem
xét:
o Sự
an
toàn
vật
l
ý
o An
toàn
hệ
thống
o An
toàn
mạng
o An
toàn
các
ứng
dụng
o Sự
truy
nhập
từ
xa
và
vi
ệc
chầp
nhận
1. Sự
an
toàn
vật
l
ý
Đi
ều này l
à cơ bản và gi
ám sát được tốt khí
a cạnh an toàn của hệ đi
ều hành
Li
nux.
Sự an toàn vật l
ý bắt đầu với
môi
trường xung quanh ví
dụ như đối
với
các
nhà cung cầp dị
ch vụ hãm hại
?Có nên khoá các khối
dữ l
i
ệu l
ại
? Những người
nào
được chấp nhận được vào trung tâm dữ l
i
ệu.
Vi
ệc bảo vệ thí
ch hợp l
à phải
thực hi
ện
l
ại
khi
muốn
xây
dựng
một
cài
đặt
mới
hay
di
chuyển
dữ
l
i
ệu
đến
một
vị
trí
mới
.
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 5
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
2. An
toàn
hệ
thống
Sự an toàn hệ thống bao quanh vi
ệc chọn phân phối
hệ đi
ều hành Li
nux,
xây
dưng
kernel
,
tới
sự
an
toàn
tài
khoản
người
dùng,
cho
phép
truy cập
thư
mục
tập
t
i
n,
mã hoá sysl
og và f
i
l
e system.
Các tác vụ này được hoàn thành trước khi
dị
ch vụ nối
vào Internet.
Vi
ệc chọn một phân phối
nào thì
t
uỳ thuộc vào những nhu cầunhư
chí
nh sách được phác thảo trong cơ chế an toàn.
Có một ti
êu chuẩn để chọn một
phân phối
nhưng nó không thuộc phạm vi
của
bài
này.
Vi
ệc xây dựng một kernel
sẵn
có
có
hai
l
ợi
thế:
o Những
opti
on
an
toàn
của
nhân
được
xác
đị
nh
bởi
người
quản
trị
mạng
và người
quản trị
mạng bi
ết cái
gì
được xác đị
nh vào trong kernel
và từ đây có thể
đồng thời
nhận ra nếu đi
ều đó nếu có.
Phần nềm nguồn mở nói
chung và hệ đi
ều
hành
Li
nux
nói
ri
êng,
đặc
bi
ệt
có
những
cải
t
i
ến
để
dễ
dàng
cho
người
sử
dụng
và
có
những
t
i
ện
í
ch
dễ
ứng
dụng.
Chỉ
cần
update
trong
Red
Hat.
o Sự
an
toàn
các
tài
khoảng
người
dùng
có
vai
trò
to
l
ớn.
Có
những
vùng
được
vô
hi
ệu
hoá,
những
tài
khoảng
không
hoạt
động,
vô
hi
ệu
hoá
vi
ệc
truy
cập
đến
NFS l
ên gốc,
hạn chế những đăng nhập vào trong môi
trường đi
ều ki
ển hệ thống.
Mã
hoá f
i
l
e hệ thông sử dụng kỹ thuật mã hoá mà thường l
à phòng thủ cuối
cùng cho
mạng.
Có hai
cách t
i
ếp cận chung: Hệ thống f
i
l
e mã hoá (CFS) và Practical Privacy
Di
sk Dri
ver(PPDD).
Hệ thống có thể được theo dõi
và trong Li
nux,
hệ thống l
oggi
ng
được l
ogged trong ti
ện í
ch sysl
og.
Công cụ theo dõi
bao gồm swatch và l
ogcheck.
Swatch có công cụ thông báo thời
gi
an thực,
t
rong khi
l
ogcheck cung cấp một công
cụ mà phát si
nh những báo cáo đị
nh kỳ.
Ki
ểm toán Password cũng có vai
trò sống
còn trong vi
ệc an toàn,
bảo mật hệ thống trong khi
mối
l
i
ên kết yếu nhất trong vi
ệc
an
toàn
mạng
l
à
người
sử
dụng
và
vi
ệc
l
ựa
chọn
các
mật
khẩu
password.
3. An toàn mạng
Ở đây l
i
ên quan đến vi
ệ kết nối
từ Li
nux server vào mạng.
Cấu hì
nh dị
ch vụ
mạng
với
sự
an
toàn
ngày
càng
khó
khăn cho
những
nhà
quản
trị
mạng.
The xinetd
daemon cần
phải
được
đị
nh
hì
nh
tổ
chức
bảo
mật.
Lệnh
netstat Là
một
ti
ện
í
ch
mạnh
cho phép người
quản trị
ki
ểm tra t
ì
nh trạng cấu hì
nh mạng.
Ki
ểm tra mạng l
à đi
ều
cần thi
ếtcủa vi
ệc an toàn.
Đi
ều này đảm bảo rằng cơ chế an toàn đã được thực hi
ện
có hi
êu quả trong vi
ệc hoàn thành những yêu cầu bảo mật.
Đi
ều đó đạt được bởi
quyền thực hi
ện đến mạng của bạn.
Cách ti
ếp cận vi
ệc ki
ểm đị
nh mạng hi
ệu quả
nhất
sẽ
trong
vai
trò
của
người
l
àm
phi
ền.
Có
những
công
cụ
ki
ểm
đị
nh
cơ
sở
và
host
cơ
sở.
SATAN(Security Administrator's Tool for Analysing Networks), SAINT( Security
Administrator's Integrated Network Tool), SARA (Security Auditor's Research
Assi
stant) l
à những công cụ tốt để ki
ểm đị
nh cơ bản.
SATAN được đầu t
i
ên công
nhận
năm
1995,
nó
được
công
nhận
đông
đảo
bởi
mã
nguồn
mở.
SAINT mạnh hơn SANAN,
trong khi
SARA l
à một modul
ackage,
tương tác với
Nmap và Samba.
Những cải
t
i
ến gần đây nhất l
à công cụ Nessus.
Nessus l
à mi
ễn
phí
,
nguồn mở,
đầy đủ nổi
bật,
công cụ ki
ểm toàn vẫn được hỗ trợ cải
t
i
ến cải
t
i
ến
tí
ch cực.
Nessus đi
vào 2 thành phần : - Cl
i
ent(nessus) và server( nesssus).
Công cụ
Nmap cho người
quản t
rị
gi
àu ki
nh nghi
ệm.
Mặt khác Nmap có sức mạnh,
công cụ
quét
cho
người
có
ki
nh
nghi
ệm.
Nó
được
sử
dụng
tốt
trong
mạng
LAN.
TARA(Ti
ger Audi
tors Research Assi
stant)l
à một
ví
dụ cho công cụ ki
ểm toán cơ
sở host.
Theo dõi
mạng dưới
một sự tấn công.
Công cụ để theo dõi
đó l
à PortSentry
và Ethereal
.
Port Sentry quét trong chế độ ngầm đị
nh.
Bảo mật mạng như một trò
chơi
gi
ữa
mèo
và
chuột,
của
trí
tuệ
và
máy
đếm
trí
tuệ.
Trong
khi
mạng
ki
ểm
toán
l
à
một
phần
của
mạng
bì
nh
thường,
mạng
theo
dõi
cần
phải
được
ưu
ti
ên
cao
hơn.
Vi
ệc
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 6
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
bảo
mật
bao
gồm
vi
ệc ki
ểm
toán
chí
nh
xác
và cả
vi
ệc có
nên
để
như
thế
hay
không.
PortSentry l
à một ví
dụ của công cụ theo dõi
thời
gi
an thực được thi
ết kế để quét
phát
hi
ện
ra
hệ
thống,
và
có
khả
cho
bạn
những
hồi
đáp.
4. Các
ứng
dụng
an
toàn
Một
vài
deamons
chuẩn
trong
vi
ệc
phân
phối
Li
nux
hi
ện
thời
l
à
những
ứng
dụng
đầy đủ mà nó có cấu trúc f
i
l
e phức tạp.
Web,
f
i
l
e,
mai
l
server sử dụng những gi
ao
thức phức tạp.
An toàn có thể được thực hi
ện bởi
các đặc tí
nh bảo mật
của vi
ệc các
đại
l
ý
cho
phép(MTA‟
s)
như
Sendmai
l
,
Qmai
l
và
Postf
i
x.
Web
Server
có
thể
cũng
được
gi
ữ
an
toàn
bởi
các
modul
cho
phép:
mod_auth,
mod_auth_dbm,
mod_auth_db,
….
Vi
ệc cho phép Open SS hỗ trợ cho Apache sẽ cũng
công tác với
web server.
Samba có thể l
àm an toàn bởi
vi
ệc đọc các thông số đang
chạy.
Bước đầu ti
ên sẽ được bảo vệ bởi
công cụ quản trị
web Samba (SAT) với
SLL
nên
các
l
ệnh
quản
l
ý
Samba
được
bảo
vệ.
5. Chu vi an toàn
Cấp
số
tự
nhi
ên
của
cách
t
i
ếp
cận
được
sắp
từng
l
ớp
đến
sự
an
toàn
máy
tí
nh
ra
khỏi
l
ớp
từ
l
ớp
mạng
đến l
ớp
ứng
dụng,
và
từ
đó
đền
l
ớp
chu
vi
.
Đây
l
à
vùng
được
quan tâm.
Fi
rewal
l
s l
à t
hành phần chí
nh của mi
ền chu vi
an toàn,
l
à phần mền mà
chức
năng
bắt
buộc
tổ
chức
bảo
mật
an
toàn
bởi
bộ
l
ọc,
bảo
mật,
đẩy
mạnh,
hay
yêu
cầu nằm trong Li
nux server để kết nối
đến cả mạng chí
nh và Internet.
Fi
reware có
thể
được
thực
hi
ện
nhi
ều
cách
dựa
trên
các
l
ớp
của
mô
hì
nh
OSI:
l
ớp
mạng,
l
ớp
gi
ao
vận và ứng dụng.
Có đi
ểm tí
ch cực và ti
êu cực trong vi
ệc tri
ển khai
f
i
reware tại
các
l
ớp của mạng.
Fi
rewal
l
mạng được bi
ết như các packet-f
i
l
teri
ng gateway,
nơi
mà
chúng
ki
ểm
tra
nhữg
gói
t
i
n
IP
vào
gi
ao
di
ện
f
i
reware
và
hoạt
động
phù
hợp
được
gi
ữ
l
ại
.
hoạt động bao gồm drop,
cho phép/ hoặc l
og.
Sự bất l
ợi
l
à ki
ểu Fi
rewal
l
này
không khôn khéo.
Fi
rwal
l
gi
ao vận l
àm vi
ệc bởi
khảo sát TCP hoặc UDP.
Fi
rewal
l
yêu
cầu sự can thi
ệp người
dùng sửa đổi
những thủ tục.
Fi
rewal
l
ứng dụng l
àm cho các
quyết đị
nh truy nhập ở tầng ứng dụng.
Nó cho phép người
quản trị
may f
i
rewal
l
cho
yêu
cầu
của
mỗi
l
oại
ứng
dụng.
Caci
bất
ti
ện
trong
f
i
rewal
l
l
à
người
quản
trị
cần
đị
nh
hì
nh tri
ển khai
t
heo dõi
,
và bảo trì
quá trì
nh f
i
rewal
l
cho mỗi
ứng dụng mà cần truy
nhập
đi
ều
khi
ển.
Nó
l
uôn
l
à
tôt
đẻ
thực
hi
ện
bảo
mật
bởi
vi
ệc sử
dụng
kết
hợp
một
f
i
rewal
l
tại
tất cả ba tầng để tránh sự tổn thương.
Fi
rewal
l
không chỉ
cản trở những người
l
àm
phi
ền không hợp pháp vào mạng nhưng phải
cho phép người
sử dụng truy nhập bên
ngoài
vào
nguồn
tài
nguyên,
trong khi
đó
chấp
nhận
phê
chuẩn
nhất
đị
nh
những
kết
nối
sau cho người
dùng.
Đây l
à nhận t
hức dễ nhưng đó l
à một thách thức khi thi
hành.
o Fi
rewal
l
mạng
Có vài
l
ợi
thế trong vi
ệc sử dụng Li
nux như nền tảng f
i
reware.
Sự quản l
ý
đồng bộ,
phần cứng,
số người
dùng,
ki
ểm tra nền tảng,
vi
ệc thực hi
ện,
gi
á gi
ữa các
l
ý do tại
sao.
Sự l
oc gói
l
à l
ợi
í
ch hi
ệu quả và cách bảo vẩptong phậm vi tránh xâm
nhập.
Người
sử dụng không cần xác nhận để sử dụng t
i
n cậy những dị
ch vụ vùng
bên ngoài.
Những gi
ải
pháp cho vi
ệc l
ọc gói
trong Li
nux bao gồm i
pchai
ns và i
pf
wadm.
ti
ện
í
ch
của
vi
ệc
l
ọc
gói
ti
n
được
sử
dụng
trong
nhân
từ
phi
ên
bản
1.
2.
1
về
trước.
Phi
ên
bản
cuối
cùng
của
i
pf
wadm
vào
tháng
7/1996,
sau
đó
i
pchai
ns
t
hay
thế
nó.
Những đị
a chỉ
Ipchai
ns l
à những gi
ới
hạn t
hi
ếu sót của i
pf
wadr như đếm 32 bi
t
,
không có khả năng gi
ải
quyết cấu thành đị
a chỉ
IP,
.
.
v.
v.
Ipchai
ns chi
ến thắng các
gi
ới
hạn đó bởi
vi
ệc tận dụng l
ợi
í
ch của ba kênh ri
êng bi
ệt hay những quy tắc nối
ti
ếp
để
l
ọc.
Ba
kênh
đó
l
à
:
INPUT,
OUTPUT,
và
FORWARD.
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 7
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
Ti
ện
í
ch
Ipchai
ns
theo
cú
pháp:
ipchains command chain rule-specification [options] -j action
Tại
đây có thể một trong số kênh INPUT,
OUTPUT hoặc FORWARD.
Như nhân
2.
4 về trước,
tí
nh hoạt
động một l
ần của Ipchai
ns được thay thế bởi
Netf
i
l
ter và
khoảng quy tắc Iptabl
es.
Netf
i
l
ter được hỗ trợ bởi
công nghệ Watchguard.
Ipctabl
es
được phát tri
ển từ ti
ện í
ch của Ipchai
ns và nó chỉ
chạy trên những phi
ên bản 2.
3 về
trước.
Một
ví
dụ
về
l
ệnh
Iptabl
es:
iptables -A INPUT -p tcp –-dport smtp -j ACCEPT.
Hi
ện nay có những thi
ết kế f
i
rewal
l
bắt được hầu hết các cấu trúc mạng phổ
bi
ến,
báo
hi
ệu
đơn
gi
ản
theo
yêu
cầu
kết
nối
tới
những
nơi
rất
phức
tạp
kéo
theo
khu
vực
được
phi
quân
sự
hoá(DMZ).
II.
Bảo
mật
Li
nux
Server
Những
ki
nh
nghi
ệm
bảo
mật
Hi
ện nay Li
nux đang dần trở thành một hệ đi
ều hành khá phổ bi
ến bởi
tí
nh
ki
nh tế,
khả năng bảo mật và sự uyển chuyển cao.
Thế nhưng,
mọi
hệ thống dù an
toàn đến đâu cũng dễ dàng bị
xâm nhập nếu người
dùng(và nhất l
à người
quản trị
-
root) không đặt sự bảo mật l
ên hàng đầu.
Sâu đây l
à một só ki
nh nghi
ệm về bảo
mật
trên
hệ
đi
ều
hành
Red
Hat
Li
nux
mà
chúng
tôi
muốn
chi
a
sẽ
cùng
các
bạn:
1. Không cho phép sử dụng tài
khoảng root từ consol
e: Sau khi
cài
đặt
,
tài
khoảng root sẽ không có quyền kết nối
tel
net vào dị
ch vụ tel
net trên hệ thống,
trong khi
đó tài
khoản bì
nh thường l
ại
có thể kết nối
,
do nội
dung tập t
i
n
/etc/securi
ty chỉ
quy đị
nh những consol
e được phép truy cập bởi
root và chỉ
l
i
ệt kê
những consol
e truy xuất khi
ngồi
trực ti
ếp tại
máy chủ.
Để tăng cường bảo mật hơn
nữa,
hãy soạn thảo tập ti
n /etc/securi
ty và bỏ đi
những consol
e bạn không muốn
root
truy
cập.
2. Xoá bớt tài
khoảng và nhóm đặc bi
ệt:Người
quản trị
nên xoá bỏ tất cả
các tài
khoảng và nhóm được tạo sẵn trong hệ thống nhưng không có nhu cầu sử
dụng.
( ví
dụ: l
p,
syne,
shutdown,
hal
t,
news,
uucp,
operator,
game,
gophẻ…).
Thực
hi
ện
vi
ệc
xoá
bỏ
tài
khoảng
bằng
l
ệnh
usedel
và
xoá
bỏ
nhóm
với
l
ệnh
groupdel
3. Tắt các dị
ch vụ không sử dụng: Một đi
ều khá nguy hi
ểm l
à sau khi
cài
đặt,
hệ thống tự động chạy khá nhi
ều dị
ch vụ,
trong đó đa số l
à các dị
ch vụ không
mong muốn,
dẫn đến ti
êu tốn tài
nguyên và si
nh ra nhi
ều nguy cơ về bảo mật.
Vì
vậy người
quản trị
nên tắt các dị
ch vụ không dùng tới
(ntsysv) hoặc xoá bỏ các gói
dị
ch
vụ
không
sử
dụng
bằng
l
ệnh
rpm
4. Không cho “SU” (Substi
tute) l
ên root: Lệnh su cho phép người
dùng
chuyển
sang
tài
khoảng
khác.
Nếu
không
muốn
người
dùng
“su”
thành
root
thì
thêm
hai dòng sau vào
tập
ti
n
/etc/pam.
d/su:
Auth sufficient/lib/security/pam_root ok so debug
Auth required/lib/security/pam_wheel.so group= tên_nhóm_root
5. Che
dấu
tập
ti
n
mật
khẩu:
Gi
ai
đoạn
đầu,
mật
khẩu
toàn
bộ
tài
khoảng
được l
ưu trong tập
t
i
n
/etc/password,
tập ti
n
mà mọi
người
dùng đều có quyền đọc.
Đây
l
à
kẻ
hở
l
ớn
trong
bảo
mật
dù
mật
khẩu
được
mã
hoá
nhưng
vi
ệc
gi
ải
mã
không
phải
l
à không thể thực hi
ện được.
Do đó,
hi
ện nay các nhà phát tri
ển Li
nux đã đặt
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 8
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
ri
êng mật khẩu mã hoá vào tập ti
n /ect/shadow chỉ
có root mới
đọc được,
nhưng
yêu
cầu
phải
chọn
Enabl
e
the
shadow
password
khi
cài
Red
Hat.
6. Luôn nâng cấp cho nhân (kernel
) Li
nux:Li
nux không hẵn được thi
ết kế
với
tí
nh năng bảo mật chặt chẽ,
khá nhi
ều l
ỗ hỏng có thể bị
l
ợi
dụng bởi
ti
n tặc.
Vì
vậy
vi
ệc
sử
dụng
một
hệ
đi
ều
hành
với
nhân
được
nâng cấp
l
à
rất
quan
trọng
vì
một
khi
nhân,
phần
cốt
l
õi
nhất
của
hệ
đi
ều
hành
được
thi
ết
kế
tốt
thì
nguy
cơ
bị
phá
hoại
sẽ
gi
ảm
đi
rất
nhi
ều.
7. Tự động thoát khỏi
Shel
l
: Người
quản trị
hệ t
hống và kể cả người
sử
dụng bì
nh thường rất hay quên thoát ra dấu nhắc shel
l
khi
kết thúc công vi
ệc.
Thât
nguy hi
ểm nếu có một kẻ nào sẽ có toàn quyền truy suất hệ thống mà chăng tốn
chút
công
sức
nào
cả.
Do
vậy
người
quản
trị
nên
cài
đặt
t
í
nh
năng
tự
động
thoát
khỏi
shel
l
khi
không
có
sự
truy
xuất
trong
khoảng
thời
gi
an
đị
nh
trước
bằng
cách
sử
dụng
bi
ến
môi
trường
và
gán
một
gi
á
trị
quy
đị
nh
Số
gi
ây
hệ
thống
duy
trì
dấu
nhắc,
bạn
nên
vào
tâp
ti
n
/ect/
prof
i
l
e
để
l
uôn
tác
dụng
trong
mọi
phi
ên
l
àm
vi
ệc.
8. Không
cho
phép
truy
nhập
tập
ti
n
kị
ch
bản
khởi
động
của
Li
nux:
Khi
hệ
đi
ều hành Li
nux khởi
động,
các tập ti
n kị
ch bản (scri
pt) được đặt tại
t
hư mục
/etc/rc.
d/i
ni
t.
d
sẽ
được
gọi
thực
thi
.
Vì
thế,
để
tránh
những
sự
tò
mò
không
cần
thi
ết
từ phí
a người
dùng,
với
tư cách người
quản trị
,
bạn nên hạn chế quyền truy xuất tới
các
tập
ti
n
này
và
chỉ
cho
phép
tài
khoảng
root
xử
l
ý
bằng
l
ệnh
sau:
#chmod –R 700/etc/rc.d/init.d*
9. Gi
ới
hạn vi
ệc tự ý ghi
nhận thông ti
n từ shel
l
: Theo mặc đị
nh,
tất cả
l
ệnh được thực t
hi
tại
dấu nhắc shel
l
của t
ài
khoảng đều được ghi
vào tập t
i
n
.
bash_hi
story( nếu sd bashshel
l
) trong thư mục cá nhân của từng tài
khoảng.
Đi
ều
này
gây
nên
vô
số
nguy
hi
ểm
ti
ềm
ẩn,
đặc
bi
ệt
đối
với
những
ứng
dụng
đòi
hỏi
người
dùng phải
gõ thông ti
n mật khẩu.
Do đó người
quản trị
nên gi
ới
hạn vi
ệc tự ý ghi
nhận
thông
t
i
n
từ
shel
l
dựa
vào
hai
bi
ến
môi
trường
HISTFILESIZE
và
HISTSIZE:
- Bi
ến môi
trường HISTFILESIZE quy đị
nh số l
ệnh gõ tại
dấu nhắc shel
l
sẽ
được
l
ưu
l
ại
cho
l
ần
truy
cập
sau.
- Bi
ến môi
trường HISTSIZE quy đị
nh số l
ệnh sẽ được ghi
nhớ trong phi
ên
l
àm
vi
ệc
hi
ện
hành.
Vì
vậy,
ta
sẽ
phải
gi
ảm
gi
á
trị
của
HISTSIZE
và
cho
gi
á
trị
HISTFILESIZE
bằng
0 để gi
ảm thi
ểu tối
đa
những nguy hi
ểm.
Bạn thực hi
ện vi
ệc này bằng cách thay đổi
gi
á
trị
hai
bi
ến
nêu
trên
trong
tập
ti
n
/etc/prof
i
l
e
như
sau:
HISTFILESIZE = 0
HISTSIZE = xx
Trong
đó
xx
l
à
số
l
ệnh
mà
shel
l
sẽ
ghi
nhớ,
đồng
thời
không
ghi
l
ại
bất
kỳ
một
l
ệnh
nào
do
người
dùng
đã
gõ
khi
người
dùng
thoát
khỏi
shel
l
.
10. Tắc các ti
ến trì
nh SUID/SGID : Bì
nh thường,
các ti
ến trì
nh được thực
hi
ện dưới
quyền của tài
khoản gọi
thực thi
ứng dụng đó.
Đó l
à dưới
wi
ndows,
nhưng
Uni
x/Li
nux l
ại
sử dụng một kỹ thuật đặc bi
ệt cho phép một số chương trì
nh được
thực hi
ện dưới
quyền của người
quản l
ý chương trì
nh chứ không phải
người
gọi
thực
thi
chương trì
nh.
Và đây chí
nh l
à l
ý do tại
sao tất cả mọi
người
dùng t
rong hệ thống
đều
có
thể
đổi
mật khẩu
của
mì
nh
trong
khi
không
hề
có
quyên
truy
xuất
l
ên
tập
ti
n
/etc/shadow,
đó l
à vì
l
ệnh passwd đã được gán thuộc tí
nh SUID và được quản l
ý bởi
root,
mà
root
l
ại
l
à
người
dùng
duy
nhất
có
quyền
truy
xuất
/etc/shadow.
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 9
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
Tuy
thế,
khả
năng
ti
ên
ti
ến
này
có
thể
gây
nên
những
nguy
cơ khá
phức
tạp
vì
nếu
một
chương
trì
nh
có
khả
năng
thực
thi
được
quản
l
ý
bởi
root,
do
thi
ết
kế
tồi
hoặc
do được cài
đặt cố tì
nh bởi
những kẻ phá hoại
mà l
ại
được đặt thuộc tí
nh SUID thì
mọi
đi
ều “ khủng khi
ếp” đều có thể xảy ra.
Thực tế cho thấy có khá nhi
ều kỹ thuật
xâm
phạm
hệ
thống
mà
không
có
quyền
root
được
thực
hi
ện
bằng
các kỹ
thuật
này:
kẻ phá hoại
bằng cách nào đó tạo một shel
l
được quản l
ý bởi
root,
có thuộc tí
nh
SUID,
kế
đến
mọi
truy
xuất
phá
hoại
sẽ
được
thực
hi
ện
qua
shel
l
vừa
tạo
vì
mọi
l
ệnh
thực
hi
ện
trong
shel
l
sẽ
được
thực
hi
ện
gi
ống
như
dưới
quyền
root.
Thuộc
tí
nh
SGID cũng
tương
tự
như
SUID: các chương
trì
nh
được
thực hi
ện
với
quyền nhóm quản l
ý chương trì
nh chứ không phải
nhóm của người
chạy chương
trì
nh.
Như vậy người
quản trị
sẽ phải
thường xuyên ki
ểm tra trong hệ thống có
những ứng dụng nào có thuộc tí
nh SUID hoặc SGID mà không được sự quản l
ý của
root không,
nếu phát hi
ện được tập ti
n có thuộc tí
nh
SUID/SGID “ ngoài
l
uồng”,
bạn
có
thể
l
oại
bỏ
các
thuộc
tì
nh
này
bằng
l
ệnh:
#chmod a-s
III.
Linux Firewall
An t
oàn hệ t
hống l
uôn l
uôn l
à một
vấn đề sống còn của mạng máy t
í
nh và f
i
rewal
l
l
à
một
t
hành
phần
cốt
yếu
cho
vi
ệc
đảm
bảo
an
ni
nh.
Một
f
i
rewal
l
l
à một
t
ập hợp các qui
tắc,
ứng dụng và chí
nh sách đảm bảo cho người
dùng
t
ruy
cập
các
dị
ch
vụ
mạng
t
rong
khi
mạng
bên
t
rong
vẫn
an
t
oàn
đối
với
các
kẻ
t
ấn
công t
ừ Int
ernet
hay từ các mạng khác.
Có hai
l
oại
ki
ến t
rúc f
i
rewal
l
cơ bản l
à :
Proxy/Appl
i
cati
on
f
i
rewal
l
và
f
i
l
t
eri
ng gat
eway
f
i
rewal
l
.
Hầu
hết
các
hệ
t
hống
f
i
rewal
l
hi
ện
đại
l
à
l
oại
l
ai
(hybri
d)
của
cả
hai
l
oại
t
rên.
Nhi
ều công t
y và nhà cung cấp dị
ch vụ Int
ernet
sử dụng máy chủ Li
nux như một
Int
ernet
gat
eway.
Những máy chủ này t
hường phục vụ như máy chủ mai
l
,
web,
f
t
p,
hay
di
al
up.
Hơn nữa,
chúng cũng t
hường hoạt động như các f
i
rewal
l
,
t
hi
hành các chí
nh sách
ki
ểm
soát
gi
ữa
Int
ernet
và
mạng
của
công
t
y.
Khả
năng
uyển
chuyển
khi
ến
cho
Li
nux
t
hu
hút
như
l
à
một
t
hay
t
hế
cho
những
hệ
đi
ều hành
thương
mại
.
Tí
nh
năng
f
i
rewal
l
chuẩn được
cung cấp
sẵn
t
rong
kernel
của
Li
nux
được
xây
dựng
từ
hai
thành
phần
:
i
pchai
ns
và
IP
Masqueradi
ng.
Li
nux IP Fi
rewal
l
i
ng Chai
ns l
à một
cơ chế l
ọc gói
ti
n IP.
Những tí
nh năng của IP
Chai
ns
cho
phép
cấu
hì
nh
máy
chủ
Li
nux
như
một
f
i
l
t
eri
ng
gat
eway/f
i
rewal
l
dễ
dàng.
Một
t
hành phần quan t
rọng khác của nó t
rong kernel
l
à IP Masqueradi
ng,
một
t
í
nh năng
chuyển đổi
đị
a chỉ
mạng (net
work address t
ransl
at
i
on- NAT) mà có t
hể che gi
ấu các đị
a
chỉ
IP t
hực của mạng bên t
rong.
Để sử dụng i
pchai
ns,
bạn cần t
hi
ết
l
ập một
t
ập các l
uật
mà
qui
đị
nh
các
kết
nối
được
cho
phép
hay
bị
cấm.
Các
nguyên
tắc
Ipchai
ns
Thực
hi
ện
các
chức
năng
sau:
±
Accept: The packet is okay; allow it to pass to the appropriate chain
Cho
phép
chuyển
gói
ti
n
qua
chai
n
thí
ch
hợp
±
Deny: The packet is not okay; silently drop it in the bit bucket. Không
đồng
ý
,
bị
rớt.
±
Reject: The packet is not okay; but inform the sender of this fact via
an
ICMP
packet.
Không
đồng
ý,
nhưng
sự
vi
ệc
của
người
gởi
qua
gói
ICMP
±
Masq: Used f
or IP masqueradi
ng (network address transl
at
i
on).
Sử
dụng
cho
IP
masqueradi
ng
(
vi
ệc
dị
ch
đị
a
chỉ
mạng)
±
Redirect: Send thi
s packet to someone el
se f
or processi
ng.
Gởi
gói
t
i
n
này
đến
một
người
khác
để
sử
l
ý
±
Return: Terminate the rule list. Hoàn thành danh
sách
các
quy
tắc.
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 10
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
Chú ý: Các gói
Ipf
w(i
pf
i
l
ters/i
ptabl
e) dưới
hệ đi
ều hành BSD cung cấp hoạt động
tương
tự
Ipchai
ns.
Ví
dụ:
#
Cho
phép
các
kết
nối
web
t
ới
Web
Server
của
bạn
/sbin/ipchains -A your_chains_rules -s 0.0.0.0/0 www -d 192.16.0.100 1024: -j ACCEPT
#
Cho
phép
các
kết
nối
từ
bên
t
rong
t
ới
các
Web
Server
bên
ngoài
/sbin/ipchains -A your_chains_rules -s 192.168.0.0/24 1024: -d 0.0.0.0/0 www -j
ACCEPT
#
Từ
chối
t
ruy
cập
tất
cả
các
dị
ch
vu
khác
/sbin/ipchains -P your_chains_rules input DENY
Ngoài
ra,
bạn có t
hể dùng các sản phẩm f
i
rewal
l
thương mại
như Check Poi
nt
Fi
reWal
l
-
1,
Phoeni
x Adapti
ve Fi
rewal
l
,
Gat
eway Guardi
an,
XSent
ry Fi
rewal
l
,
Rapt
or,
.
.
.
hay rất
nhi
ều
các
phi
ên
bản
mi
ễn phí
,
mã
nguồn
mở
cho
Li
nux
như
T.
Rex
Fi
rewal
l
,
Dant
e,
SINUS,
TIS Firewall Toolkit, ...
1.DÙNG
CÔNG
CỤ
DÕ
TÌM
ĐỂ
KHẢO
SÁT
HỆ
THỐNG
Thâm nhập vào một
hệ t
hống bất
kỳ nào cũng cần có sự chuẩn bị
.
Hacker phải
xác
đị
nh ra máy đí
ch và t
ì
m xem những port
nào đang mở t
rước khi
hệ t
hống có t
hể bị
xâm
phạm.
Quá t
rì
nh này t
hường được t
hực hi
ện bởi
các công cụ dò t
ì
m (scanni
ng t
ool
),
kỹ
t
huật
chí
nh để tì
m ra máy đí
ch và các port
đang mở t
rên đó.
Dò tì
m l
à bước đầu ti
ên
hacker sẽ sử dụng t
rước khi
t
hực hi
ện t
ấn công.
Bằng cách sử dụng các công cụ dò tì
m
như Nmap,
hacker có t
hể rà khắp các mạng để tì
m ra các máy đí
ch có thể bị
t
ấn công.
Một
khi
xác
đị
nh
được
các
máy
này,
kẻ
xâm
nhập
có
t
hể
dò
tì
m
các
port
đang
l
ắng
nghe.
Nmap cũng sử dụng một
số kỹ t
huật
cho phép xác đị
nh khá chí
nh xác l
oại
máy đang
ki
ểm
t
ra.
Bằng cách sử dụng những công cụ của chí
nh các hacker t
hường dùng,
người
quản t
rị
hệ
t
hống
có
t
hể
nhì
n
vào
hệ
t
hống
của
mì
nh
t
ừ
góc
độ
của
các
hacker
và
gi
úp
tăng
cường
t
í
nh an t
oàn của hệ t
hống.
Có rất
nhi
ều công cụ dò tì
m có t
hể sử dụng như: Nmap,
strobe, sscan, SATAN, ...
Nmap
Là
chữ
vi
ết
t
ắt
của
"Network
expl
orati
on t
ool
and
securi
t
y
scanner"
.
Đây
l
à
chương
t
rì
nh
quét
hàng
đầu
với
t
ốc
độ
cực
nhanh
và
cực
mạnh.
Nó
có
t
hể
quét
t
rên
mạng
di
ện
rộng
và
đặc bi
ệt
t
ốt đối
với
mạng đơn l
ẻ.
NMAP gi
úp bạn xem những dị
ch vụ nào đang chạy t
rên
server (servi
ces/port
s:webserver,
f
t
pserver,
pop3,
.
.
.
),
server đang dùng hệ đi
ều hành gì
,
l
oại
t
ường
l
ửa
mà
server
sử
dụng,
.
.
.
và
rất
nhi
ều
t
í
nh
năng
khác.
Nói
chung
NMAP
hỗ
t
rợ
hầu
hết
các
kỹ
t
huật
quét
như
:
ICMP
(pi
ng
aweep),
IP
prot
ocol
,
Null scan, TCP SYN (half
open),
.
.
.
NMAP được đánh gi
á l
à công cụ hàng đầu của các Hacker cũng như các nhà
quản
t
rị
mạng
t
rên
t
hế
gi
ới
.
Quét an toàn Nmap l
à một trong số công cụ quét an toàn được sử dụng rộng
rãi
nhất
sẵn
có.
Nmap
l
à
một
cổng
quét
mà
chống
l
ại
các
nhân
tố,
các
cách
khác
tàn
phá đến mạng của bạn.
Nó có thể phát si
nh ra nhi
ều ki
ểu gói
mà t
hăm dò các ngăn
xếp
TCP/IP
trên
những
hệ
thống
của
bạn.
Nmap có thể phát si
nh ra một danh sách của những cổng mở dị
ch vụ trên hệ
thống của bạn,
thâm nhập f
i
rewal
l
s,
và cung cấp những t
i
n quấy rầy,
không ti
n cậy
đang
chạy
trên
host
của
bạn.
Nmap
securi
ty
có
sẵn
tại
:
http://www.insecure.org
.
Dưới
đây
l
à
một
ví
dụ
sử
dụng
Nmap:
# nmap -sS -O 192.168.1.200
Starting nmap V. 2.54 by Fyodor (
fyodor@dhp.com
, www.insecure.org/nmap/)
Interesting ports on comet (192.168.1.200):
Port State Protocol Service
7 open tcp echo
19 open tcp chargen
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 11
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
21 open tcp ftp
...
TCP Sequence Prediction: Class=random positive increments
Difficulty=17818 (Worthy challenge)
Remote operating system guess: Linux 2.2.13
Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds
Tuy nhi
ên,
sử dụng các công cụ này không thể thay t
hế cho một
người
quản t
rị
có ki
ến
t
hức.
Bởi
vì
vi
ệc dò t
ì
m thường dự báo một
cuộc t
ấn công,
các si
t
e nên ưu t
i
ên cho vi
ệc
t
heo
dõi
chúng.
Với
các
công
cụ
dò
tì
m,
các
nhà
quản
t
rị
hệ
t
hống
mạng
có
t
hể
phát
hi
ện
ra
những
gì
mà
các
hacker
có
t
hể
t
hấy
khi
dò
t
rên
hệ
t
hống
của
mì
nh.
2.PHÁT
HIỆN
SỰ
XÂM
NHẬP
QUA
MẠNG
Nếu
hệ
t
hống
của bạn có
kết
nối
vào
i
nt
ernet
,
bạn
có
t
hể
t
rở
t
hành
một
mục
t
i
êu
bị
dò
t
ì
m
các
l
ỗ
hổng
về
bảo
mật
.
Mặc
dù
hệ
t
hống
của
bạn
có
ghi
nhận
đi
ều
này
hay
không
t
hì
vẫn
không
đủ
để
xác
đị
nh
và
phát
hi
ện
vi
ệc
dò
tì
m
này.
Một
vấn
đề
cần
quan
t
âm
khác
l
à
các cuộc t
ấn công gây ngừng dị
ch vụ (Deni
al
of
Servi
ces - DoS),
l
àm t
hế nào để ngăn
ngừa,
phát
hi
ện
và
đối
phó
với
chúng
nếu
bạn
không
muốn
hệ
t
hống
của
bạn
ngưng
t
rệ.
Hệ t
hống phát hi
ện xâm nhập qua mạng (Net
work Int
rusi
on Det
ecti
on Syst
em - NIDS)
t
heo dõi
các thông ti
n t
ruyền t
rên mạng và phát hi
ện nếu có hacker đang cố xâm nhập
vào hệ t
hống (hoặc gây gây ra một vụ tấn công DoS).
Một
ví
dụ đi
ển hì
nh l
à hệ t
hống
t
heo dõi
số l
ượng l
ớn các yêu cầu kết
nối
TCP đến nhi
ều port
t
rên một
máy nào đó,
do
vậy có t
hể phát
hi
ện ra nếu có ai
đó đang t
hử một
t
ác vụ dò tì
m TCP port
.
Một
NIDS có
t
hể chạy t
rên máy cần theo dõi
hoặc t
rên một
máy độc l
ập t
heo dõi
t
oàn bộ t
hông t
i
n
t
rên
mạng.
Các công cụ có t
hể được kết
hợp để tạo một
hệ thống phát
hi
ện xâm nhập qua mạng.
Chẳng hạn dùng t
cpwrapper để đi
ều khi
ển,
ghi
nhận các dị
ch vụ đã được đăng ký.
Các
chương
t
rì
nh
phân
tí
ch
nhật
ký
hệ
t
hống,
như
swat
ch,
có
t
hể
dùng để
xác
đị
nh
các
t
ác
vụ
dò t
ì
m t
rên hệ t
hống.
Và đi
ều quan t
rọng nhất
l
à các công cụ có t
hể phân t
í
ch các t
hông
t
i
n t
rên mạng để phát
hi
ện các t
ấn công DoS hoặc đánh cắp t
hông t
i
n như t
cpdump,
ethereal, ngrep, NFR (Network Flight Recorder), PortSentry, Sentinel, Snort, ...
Khi
hi
ện t
hực một
hệ t
hống phát
hi
ện xâm nhập qua mạng bạn cần phải
l
ưu t
âm đến
hi
ệu
suất
của
hệ
t
hống
cũng
như
các
chí
nh
sách
bảo
đảm
sự
ri
êng
t
ư.
3.KIỂM
TRA
KHẢ
NĂNG
BỊ
XÂM
NHẬP
Ki
ểm t
ra khả năng bị
xâm nhập l
i
ên quan đến vi
ệc xác đị
nh và sắp xếp các l
ỗ hổng an
ni
nh t
rong hệ t
hống bằng cách dùng một
số công cụ ki
ểm t
ra.
Nhi
ều công cụ ki
ểm t
ra
cũng có khả năng khai
thác một
số l
ỗ hổng tì
m thấy để l
àm rõ quá t
rì
nh t
hâm nhập t
rái
phép
sẽ
được
t
hực
hi
ện
như
t
hế
nào.
Ví
dụ,
một
l
ỗi
t
ràn
bộ
đệm
của
chương
t
rì
nh
phục
vụ
dị
ch vụ FTP có t
hể dẫn đến vi
ệc t
hâm nhập vào hệ t
hống với
quyền „
root
‟
.
Nếu người
quản
t
rị
mạng
có
ki
ến
t
hức
về
ki
ểm
t
ra
khả
năng bị
xâm nhập
t
rước
khi
nó
xảy
ra,
họ
có
t
hể
t
i
ến
hành
các
tác
vụ
để
nâng
cao
mức
độ
an
ni
nh
của
hệ
t
hống
mạng.
Có
rất
nhi
ều
các
công cụ
mạng
mà bạn
có t
hể
sử dụng
t
rong
vi
ệc
ki
ểm
t
ra
khả
năng bị
xâm nhập.
Hầu hết
các quá t
rì
nh ki
ểm t
ra đều dùng í
t
nhất
một
công cụ t
ự động phân
t
í
ch
các
l
ỗ
hổng
an
ni
nh.
Các
công
cụ
này
t
hăm
dò
hệ
t
hống
để
xác
đị
nh
các dị
ch
vụ
hi
ện
có.
Thông
t
i
n
l
ấy
t
ừ
các
dị
ch
vụ
này
sẽ
được
so
sánh
với
cơ
sở
dữ
l
i
ệu
các
l
ỗ
hổng
an
ni
nh
đã
được
t
ì
m
t
hấy
t
rước
đó.
Các công cụ t
hường được sử dụng để t
hực hi
ện các ki
ểm t
ra l
oại
này l
à ISS Scanner,
Cybercop, Retina, Nessus, cgiscan, CIS, ...
Ki
ểm t
ra khả năng bị
xâm nhập cần được thực hi
ện bởi
những người
có t
rách nhi
ệm
một
cách cẩn t
hận.
Sự thi
ếu ki
ến t
hức và sử dụng sai
cách có t
hể sẽ dẫn đến hậu quả
nghi
êm
t
rọng
không
t
hể
l
ường
t
rước
được.
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 12
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
4.ĐỐI
PHÓ
KHI
HỆ
THỐNG
CỦA
BẠN
BỊ
TẤN
CÔNG
Gần đây,
một
l
oạt
các vụ t
ấn công nhắm vào các si
t
e của những công t
y l
ớn như
Yahoo!, Buy.com, E-Bay,
Amazon và CNN Int
eracti
ve gây ra những t
hi
ệt
hại
vô cùng
nghi
êm t
rọng.
Những tấn công này l
à dạng tấn công gây ngừng dị
ch vụ "Deni
al
-Of-
Servi
ce" mà được thi
ết
kế để l
àm ngưng hoạt
động của một
mạng máy t
í
nh hay một
websi
te bằng cách gửi
l
i
ên t
ục với
số l
ượng l
ớn các dữ l
i
ệu t
ới
mục t
i
êu t
ấn công khi
ến
cho hệ thống bị
t
ấn công bị
ngừng hoạt động,
đi
ều này t
ương tự như hàng t
răm người
cùng
gọi
không
ngừng
t
ới
1
số
đi
ện
thoại
khi
ến
nó
l
i
ên
t
ục
bị
bận.
Trong khi
không t
hể nào t
ránh được mọi
nguy hi
ểm t
ừ các cuộc t
ấn công,
chúng t
ôi
khuyên
bạn
một
số
bước
mà
bạn
nên
t
heo
khi
bạn
phát
hi
ện
ra
rằng
hệ
t
hống
của
bạn
bị
t
ấn công.
Chúng t
ôi
cũng đưa ra một số cách để gi
úp bạn bảo đảm t
í
nh hi
ệu qủa của hệ
t
hống an ni
nh và những bước bạn nên l
àm để gi
ảm rủi
ro và có t
hể đối
phó với
những
cuộc
t
ấn
công.
Nếu phát hi
ện ra rằng hệ thống của bạn đang bị
tấn công,
hãy bì
nh tĩ
nh.
Sau
đây
l
à
những
bước
bạn
nên
l
àm:
x
Tập
hợp
1
nhóm
để
đối
phó
với
sự
t
ấn
công:
o
Nhóm này phải
bao gồm những nhân vi
ên ki
nh nghi
ệm,
những người
mà
có
t
hể
gi
úp
hì
nh
t
hành
một
kế
hoạch
hành
động
đối
phó
với
sự
t
ấn
công.
x
Dựa t
heo chí
nh sách và các quy t
rì
nh t
hực hi
ện về an ni
nh của công t
y,
sử dụng
các
bước t
hí
ch
hợp
khi
t
hông
báo
cho
mọi
người
hay
t
ổ
chức
về
cuộc
tấn
công.
x
Tì
m
sự
gi
úp
đỡ
t
ừ
nhà
cung
cấp
dị
ch
vụ
Int
ernet
và
cơ
quan
phụ
t
rách
về
an
ni
nh
máy tính:
o
Li
ên hệ nhà cung cấp dị
ch vụ Int
ernet
của bạn để t
hông báo về cuộc tấn
công.
Có
t
hể
nhà
cung
cấp dị
ch
vụ
Int
ernet
của
bạn
sẽ
chặn
đứng
được
cuộc
t
ấn
công.
o
Li
ên hệ cơ quan phụ t
rách về an ni
nh máy t
í
nh để t
hông báo về cuộc t
ấn
công
x
Tạm t
hời
dùng phương thức t
ruyền t
hông khác (chẳng hạn như qua đi
ện t
hoại
)
khi
t
rao
đổi
t
hông
t
i
n
để
đảm
bo
rằng
kẻ
xâm
nhập
không
t
hể
chặn
và
l
ấy
được
t
hông
t
i
n.
x
Ghi
l
ại
t
ất
cả các hoạt
động của bạn (chẳng hạn như gọi
đi
ện t
hoại
,
t
hay đổi
f
i
l
e,
...)
x
Theo
dõi
các
hệ
t
hống
quan
t
rọng
t
rong
qúa
t
rì
nh
bị
t
ấn
công
bằng
các
phần
mềm
hay dị
ch vụ phát
hi
ện sự xâm nhập (i
nt
rusi
on detect
i
on sof
t
ware/servi
ces).
Đi
ều này có
t
hể gi
úp l
àm gi
ảm nhẹ sự t
ấn công cũng như phát
hi
ện những dấu hi
ệu của sự tấn công
t
hực
sự
hay
chỉ
l
à
sự
quấy
rối
nhằm
đánh
l
ạc
hướng
sự
chú
ý
của
bạn(chẳng
hạn
một
t
ấn
công
DoS
với
dụng
ý
l
àm
sao
l
ãng
sự
chú
ý
của
bạn
t
rong
khi
t
hực
sự
đây
l
à
một
cuộc
tấn
công nhằm xâm nhập vào hệ t
hống của bạn).
Sao chép l
ại
tất
cả các f
i
l
es mà kẻ xâm
nhập
để
l
ại
hay
t
hay
đổi
(như
những
đoạn
mã
chương
t
rì
nh,
l
og
f
i
l
e,
.
.
.
)
x
Li
ên
hệ
nhà
chức
t
rách
để
báo
cáo
về
vụ
t
ấn
công.
Những bước bạn nên l
àm để gi
ảm rủi
ro và đối
phó với
sự tấn công trong tương
lai :
o Xây
dựng
và
t
rao
quyền
cho
nhóm
đối
phó
với
sự
t
ấn
công
o Thi
hành
ki
ểm
t
ra
an
ni
nh
và
đánh
gi
á
mức
độ
rủi
ro
của
hệ
t
hống
o Cài
đặt
các
phần
mềm
an
t
oàn
hệ
t
hống
phù
hợp
để
gi
ảm
bớt
rủi
ro
o Nâng
cao
khả
năng
của
mì
nh
về
an
t
oàn
máy
tí
nh
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 13
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
Các
bước
ki
ểm
tra
để
gi
úp
bạn
bảo
đảm
tí
nh
hi
ệu
quả
của
hệ
thống
an
ni
nh
o Ki
ểm t
ra hệ t
hống an ni
nh mới
cài
đặt : chắc chắn tí
nh đúng đắn của chí
nh sách
an
ni
nh
hi
ện
có
và
cấu
hì
nh
chuẩn
của
hệ
t
hống.
o Ki
ểm
t
ra
t
ự
động
t
hường
xuyên
:
để
khám
phá
sự
“vi
ếng
t
hăm”
của
những
hacker
hay
những
hành
động
sai
t
rái
của
nhân
vi
ên
t
rong
công
t
y.
o Ki
ểm t
ra ngẫu nhi
ên: để ki
ểm t
ra chí
nh sách an ni
nh và những ti
êu chuẩn,
hoặc
ki
ểm t
ra sự hi
ện hữu của những l
ỗ hổng đã được phát
hi
ện (chẳng hạn những l
ỗi
được
t
hông
báo
t
ừ
nhà
cung
cấp
phần
mềm)
o Ki
ểm
t
ra
hằng
đêm
những
f
i
l
e
quan
t
rọng:
để
đánh
gi
á
sự
t
oàn
vẹn
của
những
f
i
l
e
và
cơ
sở
dữ
l
i
ệu
quan
t
rọng
o Ki
ểm t
ra các t
ài
khoản người
dùng: để phát
hi
ện các tài
khoản không sử dụng,
không
t
ồn
t
ại
,
.
.
.
o Ki
ểm
t
ra
đị
nh
kỳ
để
xác
đị
nh
t
rạng
t
hái
hi
ện
tại
của
hệ
t
hống
an
ni
nh
của
bạn
Thi
ết
l
ập
tường
l
ửa
Iptabl
es
cho
Li
nux
Cấu
hì
nh
Tabl
es
Vi
ệc cài
đặt Iptabl
es
l
à
một phần trong vi
ệc cài
đặt Red Hat ban đầu.
Nguyên
bản khởi
tạo t
ì
m ki
ếm sự tồn tại
của f
i
l
e Iptabl
es,
rul
es/etc/sysconfig/iptables, Và
nếu chúng đã tồn tại
i
ptabl
es khởi
động với
cầu hì
nh đã được chỉ
rõ.
Một khi
server
này l
à gởi
mai
l
và nhận mai
l
,
cấu hì
nh Iptabl
es nên cho phép những kết nối
từ đầu
vào sendmai
l
đến
bất
kỳ
nơi
đâu.
Người
quản
trị
hệ
thống
sẽ
chỉ
sử
dụng
shh
từ
bên
trong
các
máy,
đặc
bi
ệt
l
à
MIS.
Iptabl
es
rul
es
sẽ
cài
đặt
để
cho
phép các
kết
nối
shh
từ 2 MIS.
Pi
ng ICMP sẽ cho phép bất kỳ đâu.
Không có công nào khác cho phép kết
nối
đến
người
phục
vụ
này.
Đây
l
à
mức
bổ
sung
cho
vi
ệc
phòng
thủ
của
server
trong
trường hợp Fi
rewal
l
được thoã hi
ệp.
Thêm vào đó l
à vi
ệc bảo vệ cho ssh sẽ được
cung
cấp
bởi
cấu
hì
nh
các
gói
tcp
bên
dưới
.
Những
quy
tắc
để
thực
hi
ện
cấu
hì
nh
Iptabl
es
như
sau:
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT(1)
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT(2)
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT(3)
/sbin/iptables -A INPUT -p tcp --dport 22 -s 10.100.200.0/24 -j ACCEPT(4)
/sbin/iptables -A INPUT -p tcp --dport 22 -s 10.100.201.0/24 -j ACCEPT(5)
/sbin/iptables -A INPUT -p udp --sport 53 -s 10.100.50.50 -j ACCEPT(6)
/sbin/iptables -A INPUT -p udp -sport 53 -s 10.100.42.42 -j ACCEPT(7)
/sbin/iptables -A INPUT -j LOG(8)
/sbin/iptables -P INPUT DROP(9)
(1)
Cho
phép
những
kết
nối
l
i
ên
quan
và
đã
thi
ết
l
ập
đến
server
(2)
Cho
phép
các
host
khác
pi
ng
đến
server
sendmai
d
(3)
Cho
phép
kết
nối
SMTP
đến
server
(4),
(5)
Cho
phép
kết
nối
ssh
từ
2
MÍ
(subnets)
(6),
(7) Cho phép người
phục vụ tên DNS cho box sendmai
d để cung cấp gi
ải
pháp
DNS.
Nếu
bạn
có
hơn
một
domai
n
– DNS,
thì
thêm
một
dòng
cho
mỗi
DNS.
(8)
l
og
bất
kỳ
kết
nối
nào
cố
gắng
mà
nó
không
đặc
bi
ệt
cho
phép
(9)
Cài
dặt
chí
nh
sách
mặc
đị
nh
cho
bảng
INPUT
to
DROP
Tất cả các kết nối
đặc bi
ệt không cho phép sẽ bị
rớt.
Chương trì
nh l
osentry sẽ được
cấu hì
nh để đị
nh rằng bất kỳ dòng nào l
og cũng như sự xâm phạm an toàn.
Để gi
ữ
được
cấu
hì
nh
qua
reboot,
ta
phải
chạy
Iptabl
es- Save.
Chạy
l
ệnh
như
sau:
/sbin/iptables-save > /etc/sysconfig/iptables
Khi
hệ
thống
khởi
động
l
ên,
f
i
l
e
Iptabl
es
sẽ
được
đọc
và
cấu
hì
nh
hi
ệu
dụng.
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 14
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
Ipt
abl
es l
à một t
ường l
ửa ứng dụng l
ọc gói
dữ l
i
ệu rất mạnh,
mi
ễn phí
và có sẵn t
rên
Li
nux.
.
Net
f
i
l
t
er/Ipt
abl
es gồm 2 phần l
à Net
f
i
l
t
er ở t
rong nhân Li
nux và Ipt
abl
es nằm
ngoài nhân.
Ipt
abl
es chị
u t
rách nhi
ệm gi
ao ti
ếp gi
ữa người
dùng và Net
f
i
l
t
er để đẩy các
l
uật
của người
dùng vào cho Net
f
i
l
er xử l
í
.
Net
f
i
l
ter t
i
ến hành l
ọc các gói
dữ l
i
ệu ở mức
IP.
Net
f
i
l
t
er
l
àm
vi
ệc
t
rực
t
i
ếp
t
rong
nhân,
nhanh
và
không
l
àm
gi
ảm
t
ốc
độ
của
hệ t
hống.
Cách
đổi
đị
a
chỉ
IP
động
(dynami
c
NAT)
Trước
khi
đi
vào
phần
chí
nh,
mì
nh
cần
gi
ới
t
hi
ệu
với
các
bạn
về
công
nghệ
đổi
đị
a
chỉ
NAT
động
và đóng gi
ả
IP
Masquerade.
Hai
từ
này được
dùng
rất
nhi
ều t
rong
Ipt
abl
es
nên
bạn
phải
bi
ết
.
Nếu
bạn
đã
bi
ết
NAT
động
và
Masquerade,
bạn
có
t
hể
bỏ
qua
phần
này.
NAT động l
à một
t
rong những kĩ
t
huật
chuyển đổi
đị
a chỉ
IP NAT (Net
work Address
Transl
ati
on).
Các
đị
a
chỉ
IP
nội
bộ
được
chuyển
sang
IP
NAT
như
sau:
NAT Rout
er đảm nhận vi
ệc chuyển dãy IP nội
bộ 169.
168.
0.
x sang dãy IP mới
203.
162.
2.
x.
Khi
có gói
l
i
ệu với
IP nguồn l
à 192.
168.
0.
200 đến router,
rout
er sẽ đổi
IP
nguồn
t
hành
203.
162.
2.
200
sau
đó
mới
gởi
ra
ngoài
.
Quá
t
rì
nh
này
gọi
l
à SNAT
(Source-
NAT,
NAT
nguồn).
Rout
er
l
ưu
dữ
l
i
ệu
t
rong
một
bảng
gọi
l
à
bảng
NAT
động.
Ngược
l
ại
,
khi
có một
gói
từ l
i
ệu t
ừ gởi
t
ừ ngoài
vào với
IP đí
ch l
à 203.
162.
2.
200,
rout
er sẽ căn cứ vào
bảng NAT động hi
ện t
ại
để đổi
đị
a chỉ
đí
ch 203.
162.
2.
200 t
hành đị
a chỉ
đí
ch mới
l
à
192.
168.
0.
200.
Quá t
rì
nh này gọi
l
à DNAT (Dest
i
nat
i
on-NAT,
NAT đí
ch).
Li
ên l
ạc gi
ữa
192.168.0.200 và 203.162.2.200 là hoàn t
oàn t
rong suốt
(t
ransparent
) qua NAT rout
er.
NAT rout
er t
i
ến hành chuyển ti
ếp (f
orward) gói
dữ l
i
ệu t
ừ 192.
168.
0.
200 đến
203.
162.
2.
200
và
ngược
l
ại
.
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 15
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
Cách
đóng
gi
ả
đị
a
chỉ
IP
(masquerade)
Đây
l
à
một
kĩ
thuật
khác
t
rong
NAT.
NAT Rout
er chuyển dãy IP nội
bộ 192.
168.
0.
x sang một
IP duy nhất
l
à 203.
162.
2.
4
bằng
cách
dùng
các
số
hi
ệu
cổng
(port
-number)
khác
nhau.
Chẳng
hạn
khi
có
gói
dữ
l
i
ệu
IP với
nguồn 192.
168.
0.
168:1204,
đí
ch 211.
200.
51.
15:80 đến router,
rout
er sẽ đổi
nguồn t
hành 203.
162.
2.
4:26314 và l
ưu dữ l
i
ệu này vào một bảng gọi
l
à bảng
masquerade động.
Khi
có một
gói
dữ l
i
ệu từ ngoài
vào với
nguồn l
à 221.
200.
51.
15:80,
đí
ch 203.
162.
2.
4:26314
đến
rout
er,
rout
er
sẽ
căn
cứ
vào
bảng
masquerade
động
hi
ện
t
ại
để đổi
đí
ch t
ừ 203.
162.
2.
4:26314 t
hành 192.
168.
0.
164:1204.
Li
ên l
ạc gi
ữa các máy
t
rong
mạng
LAN
với
máy
khác
bên
ngoài
hoàn
t
oàn
t
rong
suốt
qua
rout
er
Cấu
trúc
của
Iptabl
es
Ipt
abl
es được chi
a l
àm 4 bảng (t
abl
e): bảng f
i
l
ter dùng để l
ọc gói
dữ l
i
ệu,
bảng nat
dùng
để
t
hao
t
ác
với
các
gói
dữ
l
i
ệu
được
NAT
nguồn
hay
NAT
đí
ch,
bảng
mangl
e
dùng
để
t
hay đổi
các thông số t
rong gói
IP và bảng connt
rack dùng để t
heo dõi
các kết
nối
.
Mỗi
t
abl
e
gồm
nhi
ều
mắc
xí
ch
(chai
n).
Chai
n
gồm
nhi
ều
l
uật
(rul
e)
để
t
hao
t
ác
với
các
gói
dữ
l
i
ệu.
Rul
e
có
t
hể
l
à
ACCEPT
(chấp
nhận
gói
dữ
l
i
ệu),
DROP
(t
hả
gói
),
REJECT
(l
oại
bỏ
gói
)
hoặc
t
ham
chi
ếu
(ref
erence)
đến
một
chai
n
khác.
Quá
trì
nh
chuyển
gói
dữ
l
i
ệu
qua
Netfi
l
ter
Gói
dữ l
i
ệu (packet
) chạy t
rên chạy t
rên cáp,
sau đó đi
vào card mạng (chẳng hạn như
et
h0).
Đầu
ti
ên
packet
sẽ
qua
chai
n
PREROUTING
(t
rước
khi
đị
nh
t
uyến).
Tại
đây,
packet
có
t
hể
bị
t
hay
đổi
t
hông
số
(mangl
e)
hoặc
bị
đổi
đị
a
chỉ
IP
đí
ch
(DNAT).
Đối
với
packet
đi
vào
máy,
nó
sẽ
qua
chai
n
INPUT.
Tại
chai
n
INPUT,
packet
có
t
hể
được
chấp
nhận
hoặc
bị
hủy bỏ.
Ti
ếp t
heo packet
sẽ được chuyển l
ên cho các ứng dụng (cl
i
ent
/server) xử l
í
và
t
i
ếp t
heo l
à được chuyển ra chai
n OUTPUT.
Tại
chai
n OUTPUT,
packet
có t
hể bị
t
hay đổi
các t
hông số và bị
l
ọc chấp nhận ra hay bị
hủy bỏ.
Đối
với
packet
f
orward qua máy,
packet
sau khi
rời
chai
n PREROUTING sẽ qua chai
n FORWARD.
Tại
chai
n FORWARD,
nó
cũng bị
l
ọc ACCEPT hoặc DENY.
Packet
sau khi
qua chai
n FORWARD hoặc chai
n OUTPUT
sẽ
đến
chai
n
POSTROUTING
(sau
khi
đị
nh
t
uyến).
Tại
chai
n
POSTROUTING,
packet
có
t
hể
được đổi
đị
a chỉ
IP nguồn (SNAT) hoặc MASQUERADE.
Packet sau khi
ra card mạng sẽ
được
chuyển
l
ên
cáp
để
đi
đến
máy
t
í
nh
khác
t
rên
mạng.
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 16
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
Các
t
ham
số
dòng
l
ệnh
thường
gặp
của
Ipt
abl
es
1.
Gọi
trợ
gi
úp
Để
gọi
t
rợ
gi
úp
về
Ipt
abl
es,
bạn
gõ
l
ệnh
$ man iptables hoặc
$ iptables --help.
Chẳng
hạn
nếu
bạn
cần
bi
ết
về
các
tùy
chọn
của match limit,
bạn
gõ
l
ệnh
$ iptables -m limit --help.
2.
Các
tùy
chọn
để
chỉ
đị
nh
thông
số
- chỉ
đị
nh
t
ên
tabl
e:
-t
<tên_t
abl
e>,
ví
dụ
-t filter, -t nat,
.
.
nếu
không
chỉ
đị
nh
tabl
e,
gi
á
t
rị
mặc
đị
nh
l
à
f
i
l
t
er
- chỉ
đi
nh
l
oại
gi
ao
t
hức:
-p
<t
ên
gi
ao
t
hức>,
ví
dụ
-p tcp, -p udp hoặc
-p ! udp để
chỉ
đị
nh
các
gi
ao
t
hức
không
phải
l
à
udp
- chỉ
đị
nh
card
mạng
vào:
-i
<t
ên_card_mạng_vào>,
ví
dụ:
-i eth0, -i lo
- chỉ
đị
nh
card
mạng
ra:
-o
<t
ên_card_mạng_ra>,
ví
dụ:
-o eth0, -o pp0
- chỉ
đị
nh
đị
a
chỉ
IP
nguồn:
-s
<đị
a_chỉ
_i
p_nguồn>,
ví
dụ:
-s 192.168.0.0/24 (mạng
192.
168.
0
với
24
bí
t
mạng),
-s 192.168.0.1-192.168.0.3 (các IP 192.168.0.1,
192.168.0.2, 192.168.0.3).
- chỉ
đị
nh
đị
a
chỉ
IP
đí
ch:
-d
<đị
a_chỉ
_i
p_đí
ch>,
tương
t
ự
như
-s
- chỉ
đị
nh
cổng
nguồn:
--sport
<cổng_nguồn>,
ví
dụ:
--sport 21 (cổng
21),
--sport 22:88
(các
cổng
22
.
.
88),
--sport :80 (các
cổng
<=80),
--sport 22: (các
cổng
>=22)
- chỉ
đị
nh
cổng
đí
ch:
--dport
<cổng_đí
ch>,
t
ương
tự
như
--sport
3.
Các
tùy
chọn
để
thao
tác
với
chai
n
- t
ạo
chai
n
mới
:
i
pt
abl
es
-N <tên_chain>
- xóa
hết
các
l
uật
đã
t
ạo
t
rong
chai
n:
i
ptabl
es
-X <tên_chain>
- đặt
chí
nh
sách
cho
các
chai
n
`bui
l
t
-in` (INPUT, OUTPUT & FORWARD): iptables -P
<tên_chain_built-i
n>
<t
ên
pol
i
cy
(DROP
hoặc
ACCEPT)>,
ví
dụ:
iptables -P INPUT
ACCEPT để
chấp
nhận
các
packet vào chain INPUT
- l
i
ệt
kê
các
l
uật
có
t
rong
chai
n:
i
pt
abl
es
-L <tên_chain>
- xóa
các
l
uật
có
t
rong
chai
n
(f
l
ush
chai
n):
i
pt
abl
es
-F <tên_chain>
- reset
bộ
đếm
packet
về
0:
i
ptabl
es
-Z <tên_chain>
4.
Các
tùy
chọn
để
thao
tác
với
l
uật
- t
hêm
l
uật
:
-A (append)
- xóa
l
uật
:
-D (delete)
- t
hay
t
hế
l
uật
:
-R (replace)
- chèn
t
hêm
l
uật
:
-I (insert)
Mì
nh
sẽ
cho
ví
dụ
mi
nh
họa
về
các
t
ùy
chọn
này
ở
phần
sau.
Phân
bi
ệt
gi
ữa
ACCEPT,
DROP
và
REJECT
packet
- ACCEPT:
chấp
nhận
packet
- DROP:
t
hả
packet
(không
hồi
âm
cho
client)
- REJECT:
l
oại
bỏ
packet
(hồi
âm
cho
cl
i
ent
bằng
một
packet
khác)
Ví
dụ:
# iptables -A INPUT -i eth0 --dport 80 -j ACCEPT chấp
nhận
các
packet
vào
cổng
80
t
rên
card
mạng
et
h0
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 17
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
# iptables -A INPUT -i eth0 -p tcp --dport 23 -j DROP t
hả
các
packet
đến
cổng
23
dùng
gi
ao
t
hức
TCP
t
rên
card
mạng
et
h0
# iptables -A INPUT -i eth1 -s ! 10.0.0.1-10.0.0.5 --dport 22 -j REJECT --reject-with tcp-
reset gởi
gói
TCP
với
cờ
RST=1
cho
các
kết
nối
không
đến
t
ừ
dãy
đị
a
chỉ
IP
10.
0.
0.
1.
.
5
t
rên
cổng
22,
card
mạng
et
h1
# iptables -A INPUT -p udp --dport 139 -j REJECT --reject-with icmp-port-unreachable
gởi
gói
ICMP
`port
-unreachabl
e`
cho
các
kết
nối
đến
cổng
139,
dùng
gi
ao
thức
UDP
Phân
bi
ệt
gi
ữa
NEW ,
ESTABLISHED
và
RELATED
- NEW:
mở
kết
nối
mới
- ESTABLISHED:
đã
t
hi
ết
l
ập
kết
nối
- RELATED:
mở
một
kết
nối
mới
t
rong
kết
nối
hi
ện
t
ại
Ví
dụ:
# iptables -P INPUT DROP đặt
chí
nh
sách
cho
chai
n
INPUT
l
à
DROP
# iptables -A INPUT -p tcp --syn -m state --state NEW -j ACCEPT chỉ
chấp
nhận
các
gói
TCP
mở
kết
nối
đã
set
cờ
SYN=1
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT không
đóng
các
kết
nối
đang
được
t
hi
ết
l
ập,
đồng
t
hời
cũng
cho
phép
mở
các
kết
nối
mới
t
rong
kết
nối
được
t
hi
ết
l
ập
# iptables -A INPUT -p tcp -j DROP các
gói
TCP
còn
l
ại
đều
bị
DROP
Tùy
chọn
--limit, --limit-burst
--limit-burst
:
mức
đỉ
nh,
tí
nh
bằng
số
packet
--l
i
mi
t
:
t
ốc
độ
khi
chạm
mức
đỉ
nh,
t
í
nh
bằng
số
packet
/s(gi
ây),
m(phút
),
d(gi
ờ)
hoặc
h(ngày)
Mì
nh
l
ấy
ví
dụ
cụ
t
hể
để
bạn
dễ
hi
ểu:
# iptables -N test
# iptables -A test -m limit --limit-burst 5 --limit 2/m -j RETURN
# iptables -A test -j DROP
# iptables -A INPUT -i lo -p icmp --icmp-type echo-request -j test
Đầu ti
ên l
ệnh iptables -N test để t
ạo một
chai
n mới
t
ên l
à t
est
(tabl
e mặc đị
nh l
à
f
i
l
ter).
Tùy chọn -A test (append) để t
hêm l
uật
mới
vào chai
n test
.
Đối
với
chai
n t
est
,
mì
nh gi
ới
hạn l
i
mi
t
-burst
ở mức 5 gói
,
l
i
mi
t
l
à 2 gói
/phút
,
nếu t
hỏa l
uật
sẽ t
rở về
(RETURN) còn không sẽ bị
DROP.
Sau đó mì
nh nối
t
hêm chai
n t
est
vào chai
n INPUT với
t
ùy
chọn
card
mạng
vào
l
à l
o,
gi
ao
t
hức i
cmp,
l
oại
i
cmp
l
à echo-request
.
Luật
này
sẽ
gi
ới
hạn các gói
PING t
ới
l
o l
à 2 gói
/phút
sau khi
đã đạt
t
ới
5 gói
.
Bạn t
hử pi
ng đến l
ocal
host
xem sao?
$ ping -c 10 localhost
Chỉ
5 gói
đầu t
rong phút đầu t
i
ên được chấp nhận,
t
hỏa l
uật
RETURN đó.
Bây gi
ờ đã đạt
đến mức đỉ
nh l
à 5 gói,
l
ập t
ức Iptabl
es sẽ gi
ới
hạn PING t
ới
l
o l
à 2 gói
t
rên mỗi
phút
bất
chấp
có
bao
nhi
êu
gói
được
PING
t
ới
l
o
đi
nữa.
Nếu
t
rong
phút
t
ới
không
có
gói
nào
PING
t
ới
,
Iptabl
es
sẽ
gi
ảm
l
i
mi
t
đi
2
gói
tức
l
à
t
ốc
độ
đang
l
à
2
gói
/phút
sẽ
tăng
l
ên
4
gói
/phút.
Nếu t
rong phút
nữa không có gói
đến,
l
i
mi
t
sẽ gi
ảm đi
2 nữa l
à t
rở về l
ại
t
rạng t
hái
cũ
chưa đạt
đến
mức
đỉ
nh
5
gói
.
Quá
t
rì
nh
cứ
ti
ếp t
ục
như
vậy.
Bạn
chỉ
cần
nhớ
đơn
gi
ản
l
à
khi
đã đạt t
ới
mức đỉ
nh,
t
ốc độ sẽ bị
gi
ới
hạn bởi
t
ham số--l
i
mi
t
.
Nếu t
rong một
đơn vị
t
hời
gi
an t
ới
không có
gói
đến,
t
ốc
độ
sẽ
tăng l
ên đúng
bằng
--l
i
mi
t
đến
khi
t
rở l
ại
t
rạng
t
hái
chưa
đạt
mức
--limit-burst thì thôi.
Để xem các l
uật
t
rong Ipt
abl
es bạn gõ l
ệnh $ i
pt
abl
es -L -nv (-L t
ất
cả các l
uật
t
rong t
ất
cả
các
chai
n,
tabl
e
mặc
đị
nh là filter, -n
l
i
ệt
kê
ở
dạng
số,
v
để
xem
chi
t
i
ết)
# iptables -L -nv
Chain INPUT (policy ACCEPT 10 packets, 840 bytes)
pkts bytes target prot opt in out source destination
10 840 test icmp -- lo * 0.0.0.0/0 0.0.0.0/0 icmp type 8
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 18
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 15 packets, 1260 bytes)
pkts bytes target prot opt in out source destination
Chain test (1 references)
pkts bytes target prot opt in out source destination
5 420 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/min burst 5
5 420 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
# iptables -Z reset counter
# iptables -F f
l
ush
l
uật
# iptables -X xóa
chai
n
đã
t
ạo
Redi
rect
cổng
Ipt
abl
es
hổ
t
rợ
t
ùy
chọn
-j REDIRECT cho
phép
bạn
đổi
hướng
cổng
một
cách
dễ
dàng.
Ví
dụ như SQUID đang l
i
sten t
rên cổng 3128/t
cp.
Để redi
rect cổng 80 đến cổng 3128 này
bạn
l
àm
như
sau:
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
Lưu
ý:
t
ùy
chọn
-j REDIRECT cho có trong chain PREROUTING
SNAT & MASQUERADE
Để t
ạo kết
nối
`t
ransparent
` gi
ữa mạng LAN 192.
168.
0.
1 với
Int
ernet
bạn l
ập cấu hì
nh
cho
t
ường
l
ửa
Iptabl
es
như
sau:
# echo 1 > /proc/sys/net/ipv4/ip_forward cho
phép
f
orward các
packet
qua
máy
chủ đặt
Iptables
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 210.40.2.71 đổi
IP
nguồn
cho
các
packet
ra
card
mạng
eth0 l
à 210.
40.
2.
71.
Khi
nhận
được
packet
vào
t
ừ
Int
ernet
,
Ipt
abl
es sẽ tự động đổi
IP đí
ch 210.
40.
2.
71 thành IP đí
ch t
ương ứng của máy t
í
nh t
rong
mạng
LAN
192.
168.
0/24.
Hoặc
bạn
có
t
hể
dùng
MASQUERADE
t
hay
cho
SNAT
như
sau:
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
(MASQUERADE
t
hường
được
dùng
khi
kết
nối
đến
Int
ernet
l
à
pp0
và
dùng
đị
a
chỉ
IP
động)
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 19
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
DNAT
Gi
ả
sử
bạn
đặt
các
máy
chủ
Proxy,
Mai
l
và
DNS
t
rong
mạng
DMZ.
Để
tạo
kết
nối
trong
suốt
t
ừ
Int
ernet
vào
các
máy
chủ
này
bạn
l
à
như
sau:
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination
192.168.1.2
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to-destination
192.168.1.3
# iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j DNAT --to-destination
192.168.1.4
Lập
cấu
hì
nh
Iptabl
es
cho
máy
chủ
phục
vụ
W eb
Phần này mì
nh sẽ t
r
ì
nh bày qua ví
dụ cụ t
hể và chỉ
hướng dẫn các bạn l
ọc packet
vào. Các packet
`f
or
war
d`
và
'
out
put
'
bạn
t
ự
l
àm
nha.
Gi
ả
sử
như
máy
chủ
phục
vụ
Web
kết
nối
mạng
t
r
ực
t
i
ếp
vào
I
nt
er
net
qua
car
d
mạng
et
h0,
đị
a
chỉ
I
P
l
à
1.
2.
3.
4.
Bạn
cần
l
ập
cấu
hì
nh
t
ường
l
ửa
cho
I
pt
abl
es
đáp
ứng
các
yêu
cầu
sau:
- cổng
TCP
80
(
chạy
apache)
mở
cho
mọi
người
t
r
uy
cập
web
- cổng
21
(
chạy
pr
of
t
pd)
chỉ
mở
cho
webmast
er
(
dùng
để
upl
oad
f
i
l
e
l
ên
publ
i
c_ht
ml
)
- cổng
22
(
chạy
openssh)
chỉ
mở
cho
admi
n
(
cung
cấp
shel
l
`r
oot
`
cho
admi
n
để
nâng
cấp
&
pat
ch
l
ỗi
cho
ser
ver
khi
cần)
- cổng
UDP
53
(
chạy
t
i
nydns)
để
phục
vụ
t
ên
mi
ền
(
đây
chỉ
l
à
ví
dụ)
- chỉ
chấp
nhận
I
CMP
PI
NG
t
ới
với
code=0x08,
các
l
oại
packet
còn
l
ại
đều
bị
t
ừ
chối
.
Bước
1:
t
hi
ết
l
ập
các
tham
số
cho
nhân
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 10 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_source_route
tcp_syncooki
es=1
bật
chức
năng
chống
DoS
SYN
qua
syncooki
e
của
Li
nux
t
cp_f
i
n_ti
meout
=10
đặt
thời
gi
an
ti
meout
cho
quá
t
rì
nh
đóng
kết
nối
TCP
l
à
10
gi
ây
t
cp_keepal
i
ve_ti
me=1800
đặt
t
hời
gi
an
gi
ữ
kết
nối
TCP
l
à
1800
gi
ây
...
Các
t
ham
số
khác
bạn
có
t
hể
xem
chi
ti
ết
t
rong
t
ài
l
i
ệu
đi
kèm
của
nhân
Li
nux.
Bước
2: nạp
các
môđun
cần
t
hi
ết
cho
Ipt
abl
es
Để
sử
dụng
Ipt
abl
es,
bạn
cần
phải
nạp
t
rước
các
môđun
cần
t
hi
ết
.
Ví
dụ
nếu
bạn
muốn
dùng
chức
năng
LOG
t
rong
Ipt
abl
es,
bạn
phải
nạp
môđun
i
pt
_LOG
vào
t
rước
bằng
l
ệnh
#
modprobe ipt_LOG.
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 20
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
MODULES="ip_tables iptable_filter ipt_LOG ipt_limit ipt_REJECT ipt_state
for i in $MODULES; do
/sbin/modprobe $MODULES
done
Bước
3:
nguyên
tắc
đặt
l
uật
l
à
"drop
t
rước,
accept
sau"
Đây
l
à
nguyên
tắc
mà
bạn
nên
t
uân
t
heo.
Đầu
ti
ên
hãy đóng
hết
các
cổng,
sau
đó
mở
dần
cách
cổng
cần
t
hi
ết
.
Cách
này
t
ránh
cho
bạn
gặp
sai
sót
t
rong
khi
đặt
l
uật
cho
Iptables.
iptables -P INPUT DROP thả
packet
t
rước
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT gi
ữ
các
kết
nối
hi
ện
t
ại
và chấp
nhận
các
kết
nối
có
l
i
ên
quan
iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT chấp
nhận
các
gói
vào
l
ooback
t
ừ
IP
127.0.0.1
iptables -A INPUT -i lo -s 1.2.3.4 -j ACCEPT và 1.2.3.4
BANNED_IP="10.0.0.0/8 192.168.0.0/16 172.16.0.0/12 224.0.0.0/4 240.0.0.0/5"
for i in $BANNED_IP; do
iptables -A INPUT -i eth0 -s $i -j DROP t
hả
các
gói
dữ
l
i
ệu
đến
t
ừ
các
IP
nằm
t
rong
danh
sách
cấm
BANNER_IP
done
Bước
4:
l
ọc
ICMP
vào
và
chặn
ngập
l
ụt
PING
LOG
của
Ipt
abl
es
sẽ
được
ghi
vào
f
i
l
e
/var/l
og/f
i
rewal
l
.
l
og.
Bạn phải
sửa
l
ại
cấu
hì
nh
cho
SYSLOG
như
sau:
# vi /etc/syslog.conf
kern.=debug /var/log/firewall.log
# /etc/rc.d/init.d/syslogd restart
Đối
với
các
gói
ICMP
đến,
chúng
t
a
sẽ
đẩy
qua
chai
n
CHECK_PINGFLOOD để
ki
ểm
t
ra
xem
hi
ện
tại
đang
bị
ngập
l
ụt
PING
hay
không,
sau
đó
mới
cho
phép
gói
vào.
Nếu
đang
bị
ngập
l
ụt
PING,
môđun
LOG
sẽ
ti
ến
hành
ghi
nhật
kí
ở
mức
gi
ới
hạn
--limit $LOG_LIMIT và
--limit-burst
$LOG_LIMIT_BURST,
các
gói
PING
ngập
l
ụt
sẽ
bị
t
hả
hết
.
LOG_LEVEL="debug"
LOG_LIMIT=3/m
LOG_LIMIT_BURST=1
PING_LIMIT=500/s
PING_LIMIT_BURST=100
iptables -A CHECK_PINGFLOOD -m limit --limit $PING_LIMIT --limit-burst
$PING_LIMIT_BURST -j RETURN
iptables -A CHECK_PINGFLOOD -m limit --limit $LOG_LIMIT --limit-burst
$LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=PINGFLOOD:warning
a=DROP "
iptables -A CHECK_PINGFLOOD -j DROP
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j CHECK_PINGFLOOD
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j ACCEPT
Bước
5:
rej
ect
quét
cổng
TCP
và
UDP
Ở đây bạn tạo sẵn chai
n rej
ect
quét
cổng,
chúng t
a sẽ đẩy vào chai
n INPUT sau.
Đối
với
gói
TCP,
chúng
t
a rej
ect
bằng
gói
TCP
với
cờ
SYN=1
còn
đối
với
gói
UDP,
chúng
t
a
sẽ
rej
ect
bằng
gói
ICMP
`port
-unreachable`
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 21
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
iptables-N REJECT_PORTSCAN
iptables-A REJECT_PORTSCAN -p tcp -m limit --limit $LOG_LIMIT --limit-burst
$LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=PORTSCAN:tcp
a=REJECT "
iptables-A REJECT_PORTSCAN -p udp -m limit --limit $LOG_LIMIT --limit-burst
$LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=PORTSCAN:udp
a=REJECT "
iptables-A REJECT_PORTSCAN -p tcp -j REJECT --reject-with tcp-reset
iptables-A REJECT_PORTSCAN -p udp -j REJECT --reject-with icmp-port-unreachable
Bước
6:
phát
hi
ện
quét
cổng
bằng
Nmap
iptables-N DETECT_NMAP
iptables-A DETECT_NMAP -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit $LOG_LIMIT
--limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix
"fp=NMAP:XMAS a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit
$LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix
"fp=NMAP:XMAS-PSH a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags ALL ALL -m limit --limit $LOG_LIMIT --limit-
burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=NMAP:XMAS-
ALL a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags ALL FIN -m limit --limit $LOG_LIMIT --limit-
burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=NMAP:FIN
a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit
$LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix
"fp=NMAP:SYN-RST a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit $LOG_LIMIT
--limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix
"fp=NMAP:SYN-FIN a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags ALL NONE -m limit --limit $LOG_LIMIT --
limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix
"fp=NMAP:NULL a=DROP "
iptables-A DETECT_NMAP -j DROP
iptables-A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DETECT_NMAP
Đối
với
các
gói
TCP
đến
et
h0
mở
kết
nối
nhưng
không
đặt
SYN=1
chúng
ta
sẽ
chuyển
sang chai
n
DETECT_NMAP.
Đây
l
à
những
gói
không
hợp l
ệ
và
hầu
như
l
à
quét
cổng bằng
nmap hoặc kênh ngầm.
Chai
n DETECT_NMAP sẽ phát
hi
ện ra hầu hết
các ki
ểu quét
của
Nmap và ti
ến hành ghi
nhật
kí
ở mức --limit $LOG_LIMIT và --limit-burst
$LOG_LIMIT_BURST.
Ví
dụ để ki
ểm t
ra quét
XMAS,
bạn dùng t
ùy chọn --tcp-flags ALL
FIN,
URG,
PSH nghĩ
a l
à 3 cờ FIN,
URG và PSH được bật
,
các cờ khác đều bị
tắt
.
Các gói
qua
chai
n
DETECT_NMAP
sau
đó
sẽ
bị
DROP
hết
.
Bước
7:
chặn
ngập
l
ụt
SYN
Gói
mở TCP với
cờ SYN được set
1 l
à hợp l
ệ nhưng không ngoại
t
rừ khả năng l
à các
gói
SYN dùng để ngập l
ụt
.
Vì
vậy,
ở dây bạn đẩy các gói
SYN còn l
ại
qua chai
n
CHECK_
SYNFLOOD
để
ki
ểm
tra
ngập
l
ụt
SYN
như
sau:
iptables-N CHECK_SYNFLOOD
iptables-A CHECK_SYNFLOOD -m limit --limit $SYN_LIMIT --limit-burst
$SYN_LIMIT_BURST -j RETURN
iptables-A CHECK_SYNFLOOD -m limit --limit $LOG_LIMIT --limit-burst
$LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix
"fp=SYNFLOOD:warning a=DROP "
iptables-A CHECK_SYNFLOOD -j DROP
iptables-A INPUT -i eth0 -p tcp --syn -j CHECK_SYNFLOOD
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 22
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
Bước
8:
gi
ới
hạn
truy
cập
SSH
cho admin
SSH_IP="1.1.1.1"
iptables -N SSH_ACCEPT
iptables -A SSH_ACCEPT -m state --state NEW -j LOG --log-level $LOG_LEVEL --log-
prefix "fp=SSH:admin a=ACCEPT "
iptables -A SSH_ACCEPT -j ACCEPT
iptables -N SSH_DENIED
iptables -A SSH_DENIED -m limit --limit $LOG_LIMIT --limit-burst
$LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=SSH:attempt
a=REJECT "
iptables -A SSH_DENIED -p tcp -j REJECT --reject-with tcp-reset
for i in $SSH_IP; do
iptables -A INPUT -i eth0 -p tcp -s $i --dport 22 -j SSH_ACCEPT
done
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j SSH_DENIED
Bước
9:
gi
ới
hạn
FTP
cho
web-master
FTP_IP="2.2.2.2"
iptables -N FTP_ACCEPT
iptables -A FTP_ACCEPT -m state --state NEW -j LOG --log-level $LOG_LEVEL --log-
prefix "fp=FTP:webmaster a=ACCEPT "
iptables -A FTP_ACCEPT -j ACCEPT
iptables -N FTP_DENIED
iptables -A FTP_DENIED -m limit --limit $LOG_LIMIT --limit-burst
$LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=FTP:attempt
a=REJECT "
iptables -A FTP_DENIED -p tcp -j REJECT --reject-with tcp-reset
for i in $FTP_IP; do
iptables -A INPUT -i eth0 -p tcp -s $i --dport 21 -j FTP_ACCEPT
done
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW -j FTP_DENIED
Bước
10:
l
ọc
TCP
vào
iptables -N TCP_INCOMING
iptables -A TCP_INCOMING -p tcp --dport 80 -j ACCEPT
iptables -A TCP_INCOMING -p tcp -j REJECT_PORTSCAN
iptables -A INPUT -i eth0 -p tcp -j TCP_INCOMING
Bước
11:
l
ọc
UDP
vào
và
chặn
ngập
l
ụt
UDP
iptables -N CHECK_UDPFLOOD
iptables -A CHECK_UDPFLOOD -m limit --limit $UDP_LIMIT --limit-burst
$UDP_LIMIT_BURST -j RETURN
iptables -A CHECK_UDPFLOOD -m limit --limit $LOG_LIMIT --limit-burst
$LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix
"fp=UDPFLOOD:warning a=DROP "
iptables -A CHECK_UDPFLOOD -j DROP
iptables -A INPUT -i eth0 -p udp -j CHECK_UDPFLOOD
iptables -N UDP_INCOMING
iptables -A UDP_INCOMING -p udp --dport 53 -j ACCEPT
iptables -A UDP_INCOMING -p udp -j REJECT_PORTSCAN
iptables -A INPUT -i eth0 -p udp -j UDP_INCOMING
Để hạn chế khả năng bị
DoS và tăng cường tốc độ cho máy chủ phục vụ web,
bạn
có
thể
dùng
cách
tải
cân
bằng
(l
oad-bal
aci
ng)
như
sau:
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 23
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
Cách 1:
chạy
nhi
ều
máy
chủ
phục
vụ
web
trên
các
đị
a
chỉ
IP
Internet
khác
nhau.
Ví
dụ,
ngoài
máy
chủ
phục
vụ
web
hi
ện
tại
1.
2.
3.
4,
bạn
có
thể
đầu
tư thêm các máy
chủ phục vụ web mới
1.
2.
3.
2,
1.
2.
3.
3,
1.
2.
3.
4,
1.
2.
3.
5.
Đi
ểm yếu của cách này l
à
tốn
nhi
ều
đị
a
chỉ
IP
Internet.
Cách 2:
đặt
các
máy
chủ
phục
vụ
web
trong một
mạng
DMZ.
Cách
này
ti
ết
ki
ệm
được nhi
ều đị
a chỉ
IP nhưng bù l
ại
bạn gateway Iptabl
es 1.
2.3.4 - 192.168.0.254 có
thể l
oad nặng hơn trước và yêu cầu bạn đầu tư t
i
ền cho đường truyền mạng từ
gateway ra Internet.
Bạn
dùng
DNAT
trên
gateway
1.
2.
3.
4 để
chuyển
t
i
ếp
các
gói
dữ
l
i
ệu
từ
cl
i
ent
đến
một
trong
các
máy
chủ
phục
vụ
web
trong
mạng
DMZ
hoặc
mạng
LAN
như
sau:
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-
destination 192.168.0.1-192.168.0.4
IV.
Xây
dựng
hệ
thống
mạng
Li
nux
Hướng
dẫn
cài
đặt
Li
nux
1.Tạo
đĩ
a
boot
và
ti
ến
tri
nh
boot
Đi
ều
đầu
ti
ên
cần
l
àm
l
à
tạo
một
đĩ
a
mềm
cài
đặt
cũng
được
hi
ểu
như
đĩ
a
khởi
động
.
Nếu
máy
tí
nh
của
bạn
có
hỗ
trợ
boot
trực
ti
ếp
từ
CD
ROM
thì
bạn
có
thể
đi
ti
ếp
dến
bước
hai
,
còn
không
bạn
có
thể
boot
từ
đĩ
a
mềm
,
bằng
cách
tạo
ra
nó
như
sau :
Bước
1:
Trước
khi
tạo
đĩ
a
boot
,
đĩ
a
CD-ROM
Red
Hat
Li
nux
vào
trong
ổ
CD
trên
máy
tí
nh
của
bạn
đang
chạy
hệ
thống
wi
ndows
.
Mở
Command Prompt dưới
wi
ndows
.
C:\d:
D:\ cd \ dosutils
D:\ cd \ dosutils> rawrite
Enter disk image source file name :..\images \boot .img
Enter target diskette drive : a:
Please insert a formatted diskette into A drive; nad press Enter
D:\dosutils>
Chương
trì
nh
rawri
te.
exe
hỏi
tên
tập
ti
n
của
di
sk
i
mage
(ảnh
đĩ
a):Gỏ
vào
boot.img và đưa
đĩ
a
mềm
vào
đĩ
a
A
.
Sau
đó
sẽ
hỏi
đĩ
a
nào
sẽ
được
ghi
vào
,
gõ
vàp
a:
bạn
dã
hoàn
thành
bước
này
và
bạn
có
một
đĩ
a
mềm
với
tên
l
à
“
Red
Hat
boot
di
sk”
Bước
2
:
Đưa
đĩ
a
boot
vào
trong
đĩ
a
A
trên
muốn
cài
đặt
Red
Hat
Li
nux
và
khởi
động
máy
,
sau
đó
l
àm
các bước
sau
:
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 24
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
x
Chọn
ngôn
ngữ
.
x
Chọn
ki
ểu
bàn
phí
m
x
Chọn
ki
ểu
chuột
.
Các
cách
cài
đặt
và
phương
pháp
của
chúng
Red
Hat
Li
nux
6.
1
và
6.
2
có
4
l
ớp
càu
đặt
khác
nhau
l
à;
GNOME Workstation
KDE Workstation
Server
Custom
Cả
3
cách
cài
đặt
trên
đều
cho
bạn sự
l
ựa
chọn
đơn
gi
ản
của
ti
ến
trì
nh
cài
đặt
,
ở
đó
máy
tí
nh
tự
động
l
àm
hết
mọi
thứ
và
bạn
mất
đi
đáng
kể
tí
nh
l
i
nh
hoạt
trong
vi
ệc
cấu
hì
nh
mà
chúng
ta
không
nên
bỏ
qua
và
sẽ
đề
cập
chi
ti
ết
trong
những
bước
ti
ếp
theo . Vì lý do trên mà chúng ta nên cài đặt
custom
.
Cách
này
cho
phép
bạn
chọn
những
dị
ch
vụ
nào
sẽ
được
thêm
vào
và
l
àm
thế
ào
để
phân
hoạch
hệ
thống
.
Cài
đặt
đĩ
a
(Di
sk
setup)
Chúng
ta
gi
ả
sữ
bạn
đang
cài
đặc
server
Li
nux
mới
trên
một
ổ
đĩ
a
mới
không
có
hệ
đi
ều
nào
được
cì
a
đặt
trước
đó
.
Một
chi
ến
l
ược
phân
hoạch
tốt
l
à
tạo
từng
parti
on
ri
êng
l
ẻ
cho
mỗi
hệ
thống
tập
ti
n
chí
nh
.
Vi
ệc
này
l
àm
tăng
khả
năng
bảo
mật
và
ngăn
chận
tấn
công
hoặc
khai
thác
của
những
chương
trì
nh
SUID.
Bước 1:
Để
đạt
hi
ệu
quả
cao
,
ổn
đị
nh
và
an
toàn
bạn
nên
tạo
các
parti
ti
on
như
những
parti
t
i
on
được
l
i
ệt
kê
dưới
đây
trên
máy
tí
nh
của
bạn
.
Chúng
tôi
cũng
gi
ả
sử
rằng
thực
tế
bạn
ổ
cứng
từ
3.
2
GB
trở
l
ên
để
phân
hoạch
và
dĩ
nhi
ên
bạn
chọn
kí
ch
thước
parti
t
i
on
tuỳ
theo
nhu
cầu
cần.
Những
parti
t
i
on
bạn
phải
tạo
trên
hệ
thống
của
bạn
:
/boot
5MB
Tất
cả
các
kernel
i
mages
thì
được
l
ưu
gi
ử
ở
đây
.
/usr
512MB Parti
t
i
on
này
cần
phải
l
ớn
trước
khi
tất
cả
các
chương
trì
nh
ở
dạng
bi
nary
được
cài
đặt
ở
đây
.
/home
1146MB
Cân
đối
số
người
sử
dụng
bạn
có
ý
đị
nh
tạo
ra
trên
máy
này.
Ví
dụ
10MB/người
như
vậy
với
114
người
cần
1140MB.
/chroot
256MB Nếu
bạn
không
muốn
cài
đặt
trong
môi
trường
không
tự
do
chẳng
hạn
như
DNS
tức
al
f
môi
trường
chỉ
có
root
mới
có
quyền
thực
thi
.
/cache
256MB Đây
l
à
parti
t
i
on
l
ưu
trữ
của
proxy
server(VD
Squi
d)
/var
256MB Chứa
đựng
những
tập
t
i
n
thay
đổi
khi
hệ
thống
chạy
bì
nh
thường
(VD
các
tập
ti
n
l
og)
<swap>
128MB Đây
l
à
Swap
parti
t
i
on
được
coi
như
bộ
nhớ
ảo
của
hệ
thống
,
bạn
nên
chi
a
kí
ch
thước
của
parti
t
i
on
này
l
ớn
hơn
hoặc
bằng
dung
l
ượng
Ram
hi
ện
có
trên
máy
của
bạn
/tmp
256MB Parti
t
i
on
chứa
những
tập
ti
n
tạm
thời
/
256MB Root parti
t
i
on
của
chúng
ta
.
Chúng
ta
có
thể
tạo
nên
hai
parti
t
i
on
đặc
bi
ệt
l
à
”/chroot”
và
“/cache”,
parti
t
i
on
/chroot
có
thể
được
sử
dụng
cho
DNS
server
,
Apache
server
và
những
chương
trì
nh
khác
theo
dạng
như
DNS
và
Apache
.
Parti
ti
on
/cache
có
thể
được
sử
dụng cho Squid
proxy
server
.
Nếu
bạn
không
có
ý
đị
nh
cài
đặt
Squi
d
proxy
server
thì
bạn
không
cần
tạo
parti
ti
on
/cache.
Đặt
/tmp
và
/home
trên
các
parti
t
i
on
ri
êng
bi
ệt
thì
rất
hay
và
có
tí
nh
chất
bắt
buột
nếu
người
sử
dụng
cí
o
shel
l
truy
cập
tới
server
(sự
bảo
vệ
chống
l
ại
những
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 25
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
chương
trì
nh
SUID)
,
ngăn
chặn
chương
trì
nh
này
vào
những
parti
t
i
on
ri
êng
l
ẻ
và
ngăn
cản
người
sử
dụng
l
àm
suy
yếu
hoạt
động
của
bất
kỳ
hệ
thống
nào
trên
server.
Đặt
/var
và
/usr
trên
các
parti
ti
on
ri
êng
l
ẻ
cũng
l
à
một
ý
rất
hay
vì
cách ly partition
/var
sẽ
l
àm
parti
ti
on
root
của
bạn
không
bị
tràn
đầy
.
Trong
cấu
hì
nh
parti
t
i
on
chúng
ta
sẽ
dành
ri
êng
256MB
đĩ
a
trống
cho
những
chương
trì
nh
chuyển
đổi
root
(chrooted
program)
gi
ống
Apache,
DNS
và
những
chương
trì
nh
khác
.
Vi
ệc
này
cần
thi
ết
vì
những
t
ập
tài
l
i
ệu
gốc
,
những
tập
ti
n
nhị
phân
,
những
chương
trì
nh
l
i
ên
quan
tới
Apache
sẽ
được
cì
a
đặt
trong
parti
t
i
on
này
nếu
bạn
có
ý
đị
nh
chạy
Web
server
Apache
trong
vùng
ri
êng
bi
ệt
đó
.
Nếu
bạn
không
có
ý
đị
nh
cài
đặt
và
sử
dụng
Apache
trên
server
của
bạn
,
có
thể
gi
ảm
bớt
kí
ch
thước
của
parti
ti
on
này
xuống
khoảng
10MB
và
chỉ
sử
dụng
cho
DNS
l
à
dị
ch
vụ
l
uôn
cần
trong
môi
trường
chroot
vì
l
ý
do
bảo
mật.
Các
kí
ch
thước
tối
thi
ểu
của
các
parti
ti
on
/
35MB
/boot
5MB
/chroot
10MB
/home
100MB
/tmp
30MB
/usr
232MB
/var
25MB
/swap
50MB
Disk Druid
Di
sk
Drui
d
l
à
chương
trì
nh
sử
dụng
để
phân
chi
a
đĩ
a
cho
bạn.
Chọn
Add để
thêm
một
parti
ti
on
mới
Edit để
hi
ệu
chỉ
nh
một
parti
t
i
on
,
Delete để
xoá
một
parti
t
i
on
và
Reset để
xác
l
ập
parti
t
i
on
về
trạng
thái
ban
đầu
.
Khi
bạn
thêm
một
parti
ton
mới
,
một
cửa
sổ
sẽ
xuất
hi
ện
trên
màn
hì
nh
và
công
vi
ệc
của
bạn
l
à
chọn
những
thông
số
cho
parti
t
i
on
đó
.
Sự
khác
nhau
của
các
thông
số
đó
l
à
:
Mount
Poi
nt:vị
trí
trong
hệ
thống
tập
ti
n
bạn
muốn
mount
parti
ti
on
mới
của
bạn
tới
.
Si
ze
(Megs)
:kí
ch
thước
của
parti
t
i
on
mới
tí
nh
trên
megabytes.
Partiton Type: có hai là Linux native dùng cho Linux filesystem và Swap dùng
cho Linux Swap Partiton .
Nếu
bạn
có
đĩ
a
cứng
l
oại
SCSI
thì
tên
thi
ết
bị
l
à
/dev/sda
và
nếu
bạn
có
đĩ
a
cứng
ki
ểu
IDE
thì
tên
sẽ
l
à
/dev/hda
.
Nếu
bạn
cần
hệ
thống
có
hi
ệu
quả
và
độ
ổn
đị
nh
thì
SCSI
l
à
sự
l
ựa
chọn
tốt
nhất
.
Parti
t
i
on
Swap
được
sử
dụng
để
hổ
trợ
bộ
nhớ
ảo
.
Nếu
máy
tí
nh
của
bạn
có
16
MB
Ram
hoặc
í
t
hơn
thì
bạn
phải
tạo
một
parti
ti
on
swap
,
ngay
cả
khi
bạn
có
bộ
nhớ
l
ớn
thì
bạn
cũng
nên
tạo
parti
t
i
on
Swap
.
Kí
ch
thước
tối
thi
ểu
của
parti
t
i
on
swap
nên
bằng
hoặc
l
ớn
hơn
dung
l
ượng
Ram
có
trên
máy
tí
nh
của
bạn
.
Kí
ch
thước
l
ớn
nhất
có
thể
sử
dụng
cho
parti
ti
on
swap
l
à
1GB
cho
nên
nếu
bạn
tạo
một
parti
t
i
on
swap
l
ớn
hơn
1GB
thì
phần
còn
l
ại
trở
nên
vô
í
ch
Sau
khi
tạo
các
parti
t
i
on
trên
hard
di
sk
hoàn
thành
,
bạn
sẽ
thấy
thông
ti
n
parti
t
i
on
trên
màn
hì
nh
gi
ống
như
bảng
l
i
ệt
kê
dưới
đây
:
Mount Point
Device Requested
Actual
Type
/boot
sda1
5 MB
5M
Linux Native
/usr
sda5
512MB
512MB Linux Native
/home
sda6
1146MB
1146MB
Linux Native
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 26
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
/chroot
sda7
256MB
256M
Linux Native
/cache
sda8
256MB
256M
Linux Native
/var
sda9
256Mb
256M
Linux Native
<Swap>
sda10
128MB
128M
Linux Native
/tmp
sda11
256MB
256M
Linux Native
/
sda12
256MB
256M
Linux Native
Drive Geom[C/H/S] Total(M)
Free(M)
Used(M)
Used(%)
Sda
[3079/64/32]
3079M 1M
3078M 99%
Chú ý:Chúng
ta
đang
sử
dụng
một
đĩ
a
cứng
SCSI
bởi
vì
hai
kí
tự
đầu
t
i
ên của
thi
ết
bị
l
à
“sd”
Bây
gi
ờ
chúng
ta
đang
phân
chi
a
và
chọn
mount
poi
nt
cho
các
thư
mục
của
bạn
,
chọn
“
Next
“để
ti
ếp
tục
.
Sau
khi
các
parti
t
i
on
được
tạo
,
chương
trì
nh
cài
đặt
sẽ
hỏi
bạn
chọn
parti
t
i
on
để
đị
nh
dạng
(f
ormat)
.
Chọn
parti
t
i
on
bạn
muốn format và
chọn
vào
ô
“
Check
f
or
bad
bl
ocks
duri
ng
f
ormat
)
và
nhấn
“
Next”.
Chương
trì
nh
sẽ
f
ormat
các
parti
ti
on
và
l
àm
chúng
có
hi
ệu
l
ực
khi
Li
nux
sử
dụng
chúng
.
Trên
màn
hì
nh
kế
ti
ếp
bạn
sẽ
thấy
sự
cấu
hì
nh
LILO
,
ở
đó
bạn
chọn
cài
đặt
LILO trên boot record:
Master Boot Record (MBR)
hoặc
First Sector of Boot Partition
Trong
trường
hợp
Li
nux
l
à
hệ
đi
ều
hành
(OS)
duy
nhất
trên
máy
tí
nh
của
bạn
,
bạn
nên
chọn
“
Master
Boot
Record”.
Kế
đó
bạn
cần
cấu
hì
nh
mạng
và
gi
ờ
trên
máy
của
bạn
.
Sau
khi
hoàn
thành
vi
ệc
cấu
hì
nh
gi
ờ
,
bạn
cần
phải
đặt
mật
khẩu
(password0
cho
root
và
cấu
hì
nh
vi
ệc
ki
ểm
tra
tí
nh
xác
thực
trên
server
máy
của
bạn
.
Khi
cấu
hì
nh
Authet
i
cat
i
on
đừng
quên
chọn
:
.Enable MD5 passwords
.Enable Shadow
2.
Sự
l
ựa
chọn
những
package(gói
dữ ki
ệu
)
ri
êng
l
ẻ
Sau
khi
các
parti
t
i
on
đã
đị
nh
hì
nh
và
được
chọn
đẻ
f
ormat
,
bạn
chuẩn
bị
chọn
những
gói
dữ
l
i
ệu
cho
tí
ên
trì
nh
cài
đặt
.
Mặt
đị
nh
Li
nux
l
à
một
hệ
đi
ều
hành
rất
mạnh
có
khả
năng
thực
thi
nhi
ều
dị
ch
vụ
hữu
í
ch
.
Tuy
nhi
ên
có
nhi
ều
dị
ch
vụ
không
cần
thi
ết
thì
không
đưa
vào
vì
có
thể
tạo
ra
những
l
ỗ
hỗng
trong
vi
ệc
bảo
mật
hệ
thống
.
Một
cách
l
ý
tưởng
l
à
cần
cài
đặt
từng
dị
ch
vụ
mạng
trên
máy
phục
vụ
chuyên
bi
ệt.
Theo
mặt
đị
nh
,
nhi
ều
hệ
đi
ều
hành
Li
nux
được
cấu
hì
nh
để
cung
ứng
một
dị
ch
vụ
và
ứng
dụng
rộng
hơn
những
yêu
câu
cung
cấp
một
dị
ch
vụ
mạng
ri
êng
bi
ệt
,
do
vậy
cần
cấu
hì
nh
server
để
l
oại
bỏ
những
dị
ch
vụ
mạng
không
cần
thi
ết
.
Chỉ
đưa
ra
những
dị
ch
vụ
chủ
yếu
trên
máy
chủ
ri
êng
bi
ệt
.
Có
thể
tăng
khả
năng
bảo
mật
trong
server
theo
một
vài
phương
pháp
sau:
Những
server
khác
không
thể
sử
dụng
để
tấn
công
máy
chủ
và
l
àm
hư
hại
và
l
oại
bỏ
những
dị
ch
vụ
như
mong
muốn.
Những
người
khác
nhau
có
thể
quản
l
ý
những
server
khác
nhau
.
Bằng
cách
cô
l
ập
các
servi
ce,
mỗi
máy
chủ
và
servi
ce
có
thể
ri
êng
l
ẻ
một
người
quản
trị
,
bạn
có
thể
gi
ảm
đến
mức
tối
thi
ểu
khả
năng
xung
đột
gi
ữa
các
quản
trị
vi
ên
.
Máy
chủ
có
thể
được
cấu
hì
nh
cho
phù
hợp
hơn
với
yêu
cầu
của
từng
servi
ce
ri
êng
bi
ệt
.
Những
server
khác
nhau
có
thể
yêu
cầu
sự
cấu
hì
nh
phần
cứng
và
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 27
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
phần
mềm
khác
nhau
,
và
những
cấu
hì
nh
đó
có
thể
dẫn
đến
những
tổn
hại
không
cần
thi
ết
hoặc
gi
ới
hạn
servi
ce.
Bằng
cách
gi
ảm
bớt
những
servi
ce
,
số
tập
ti
n
l
og
(l
ogf
i
l
e)
và
các
thư
mục
ghi
cũng
được
gi
ảm
,
vì
thế
vi
ệc
xoá
bỏ
những
thông
ti
n
không
cần
thi
ết
trở
nên
dễ
dàng
hơn
.
Một
ti
ến
trì
nh
cài
đặt
chí
nh
xác
của
Li
nux
Server
chí
nh
l
à
bước
đầu
ti
ên
cho
vi
ệc
ổn
đị
nh
,
bảo
vệ
hệ
thống
của
bạn
.
Trước
hết
bạn
phải
chọn
những
thành
phần
(
compoment)
hệ
thống
nào
bạn
muốn
cài
đặt.
Chọn
những
compoment
và
sau
đó
bạn
có thể
ti
ếp
tục
chọn
và
không
chọn
mỗi
gói
dữ
l
i
ệu
ri
êng
l
ẻ
của
mỗi
thành
phần
bằng
cách
chọn
opti
on
(
Sel
ect
i
nđi
vi
ual
packages
)
trên
màn
hì
nh
setup
Red
Hat.
Khi
cấu
hì
nh
một
Li
nux
server
chúng
ta
không
cần
thi
ết
phải
cài
đặt
một
chương
trì
nh
gi
ao
t
i
ếp
đồ
hoạ
(
Xf
ree86
)
trên
máy
tí
nh
.
Vi
ệc
gi
ảm
bớt
gi
ao
ti
ếp
đồ
hoạ
(
graphi
cal
i
nterf
ace)
có
ý
nghĩ
a
l
ớn
trong
vi
ệc
tăng
các
process
,
tăng
khả
năng
xử
l
ý
của
CPU
,
bộ
nhớ
,
gi
ảm
sự
nguy
hi
ểm
trong
bảo
mật
và
gi
ảm
bớt
một
vài
bất
t
i
ện
khác
.
Gi
ao
ti
ếp
đồ
hoạ
(
Graphi
cal
i
nterf
ace)
thường
chỉ
được
sử
dụng
trên
các
trạm
l
àm
vi
ệc
(workstati
on).
Chọn
nhứng
gói
dữ
l
i
ệu
dưới
đây
cho
ti
ến
trì
nh
cài
đặt
của
bạn
:
.
Network Wordstation
.
Network Management Workstation
.
Utilities
Sau
khi
chọn
những
thành
phần
bạn
muốn
cài
đặt
bạn
vẫn
có
thể
chọn
và
không
chọn
các
gói
dữ
l
i
ệu
.
Chú ý:
Vi
ệc
chọn
tuỳ
chọn
(
Sel
ect
i
nđi
vi
ual
package)
rất
quan
trọng
trước
khi
ti
ếp
tục
khả
năng
chọn
và
không
chọn
các
gói
dữ
l
i
ệu
Lựa
chọn
các
gói
dữ
l
i
ệu
ri
êng
l
ẻ
(
Inđi
vi
ual
package
sel
ection)
Trong
phần
chỉ
dẫn
cài
đặt
dưới
tôi
đưa
ra
những
nhóm
gói
dữ
l
i
ệu
đã
có
trong
Li
nux
,
chọn
một
nhóm
dữ
l
i
ệu
nào
đó
để
xem
xét.
Ngoài
mục
đí
ch
hướng
dẫn
cài
đặt
,
trong
chương
trì
nh
này
tôi
cúng
có
ý
đưa
vài
vấn
đề
bảo
mật
và
tối
ưu
hoá
Li
nux
vào
trong
ti
ến
trì
nh
cài
đặt
.
Những
thành
phần
được
l
i
ệt
kê
dưới
đây
cần
được
l
oại
bỏ
từ
của
sổ
chọn
gói
dữ
l
i
ệu
do
vấn
đề
bảo
mật
,
tối
ưu
hoá
cũng
như
một
vài
nguyên
nhân
khác
sẽ
được
di
ễn
gi
ải
dưới
đây.
Applications/File:
git
Applications/Internet:
finger.ftp,fwhois,ncftp,rsh,rsync,talk,
telnet
Applications/Publishing:
ghostscript,ghostscript-fonts,groff-perl,
mpage,pnm2ppa,rhs-printfilters
Applications/System:
arwatch,bind-utils,rdate,rdist,screen, ucd-
snmp-utils
Documentation:
indexhtml
System Enviroment/Base:
chkfontpath, yp-tools
System Enviroment/Daemons: XFree86-xfs,finger-server,lpr,nfs-utils,
pidentd,portmap,rsh-server,rusers,rusers-
server,rwall-server,rwho,talk-server,
telnet-server,tftp-server,ucd-snmp,
ypbind,ypserv
System Enviroment/Libraries: Xfree86-libs,libpng
User Interface/X:
urw-fonts
Nếu
những
chương
trì
nh
nhày
không
được
cài
đạt
trên
máy
server
của
bạn
thì
những
ti
n
tặc
buộc
phải
sử
dụng
những
chương
trì
nh
này
từ
bên
ngoài
hoặc
thử
cài
đặt
trên
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 28
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
máy
server
của
bạn
.
Trong
những
trường
hợp
này bạn
có
thể
tì
m
ra
dấu
vết
chúng
nhờ
những
chương
trì
nh
gi
ống
như
Tri
pwi
re
.
Làm
thế
nào
sử
dụng
những
l
ệnh
RPM
Phần
này
gi
ới
thi
ệu
tổng
quan
về
l
ệnh
RPM,
cách
sử
dụng
l
ệnh
RPM
trên
hệ
thống
Li
nux
của
bạn
Cài
đặt
một
gói
dữ
l
i
ệu
RPM
,
sử
dụng
l
ệnh
:
[root@deep/]# rpm –ivh foo-1.0-2.i386.rpm
Dòng
l
ệnh
trên
có
ý
nghĩ
a
cài
đặt
một
gói
dữ
l
i
ệu
rpm
có
tên
l
à
f
oo-1.0-2.i386.rpm
với
các
thành
phần
sau
:
Tên
gói
dữ
l
i
ệu
:
f
oo
Version :
1.0
Release:
2
Ki
ến
trúc
:
i386
Loại
bỏ
một
gói
dữ
l
i
ệu
:
thay
chữ
i
n
đậm
ở
trên
bằng
e.
Nâng
cấp
(upgrade)
:
Uvh
Tr
uy
vấn
(query):q
Trình bày thông tin:qi
Li
ệt
kê
những
tập
ti
n
trong
gói
dữ
l
i
ệu
:
ql
Ki
ểm
tra
một
RPM
si
gnature
gói
dữ
l
i
ệu
:checksig
Lệnh
ki
ểm
tra
chữ
ký
PGP
của
gói
dữ
l
i
ệu
được
chỉ
đị
nh
để
đảo
bảo
tí
nh
toàn
vẹn
và
nguyên
gốc
của
nó
.
Luôn
sử
dụng
l
ệnh
này
đầu
ti
ên
trước
khi
cài
đặt
gói
dữ
l
i
ệu
RPM
mới
trên
hệ
thống
của
bạn
.
Khởi
động
và
dừng
những
dị
ch
vụ
daemon(starti
ng
and
stoppi
ng
daemon
servi
ce)
Chương
trì
nh
i
ni
t
của
l
i
nux
(cũng
được
hi
ểu
như
khởi
tạo vi
ệc
đi
ều
khi
ển
ti
ến
trì
nh)
phụ
trách
vi
ệc
khởi
động
tất
cả
ti
ến
trì
nh
bì
nh
thường
hoặc
được
uỷ
quyền
chạy
l
úc
khởi
động
hệ
thống
.
Những
ti
ến
trì
nh
này
có
thể
bao
gồm
APACHE,
NETWORK
daemon
và
bất
kỳ
những
ti
ến
trì
nh
khác
yêu
cầu
phải
chạy
khi
server
bạn
khởi
động
.
Mỗi
process
này
có
tập
ti
n
scri
pt
trong
thư
mục
“/etc/rc.
d/i
ni
t.
d”.
Bạn
có
thể
thi
hành
những
scri
pt
vói
những
dòng
l
ệnh
sau
:
Ví
dụ
:
Khởi
động
httpd
Web
server
bằng
tay
dưới
Li
nux
:[root@deep/]#/etc/rc.d/init.d/httpd start
Starting http: [OK]
Dừng
httpd
Web
server
bằng
tay
dưới
Li
nux
:[root@deep/]#/etc/rc.d/init.d/httpd stop
Shutting down http: [OK]
Khởi
động
l
ại
httpd
Web
server
bằng
tay
dưới
Li
nux
:[root@deep/]#/etc/rc.d/init.d/httpd restart
Shutting down http: [OK]
Starting http: [OK]
Các phần
mềm
cần
phải
l
oại
bỏ
sau
khi
t
i
ến
trì
nh
cài
đặt
của
server
hoàn
thành
Mặc
đị
nh
một
số
gói
dữ
l
i
ệu
mà
hệ
thống
Red
Hat
Li
nux
không
cho
phép
bạn
chọn
để
tháo
gỡ
suốt
ti
ến
trì
nh
setup
.
Vì
nguyên
nhân
này
bạn
phải
l
oại
bỏ
chúng
khi
t
i
ến
trì
nh
cài
đặt
hoàn thành .
Pump
kernel-pcmcia-cs kudzu
gd
mt-st
linuxconf
raidtools
pciutils
eject
getty_ps
gnupg
rmt
mailcap
isapnptools
Red Hat-logos
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 29
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
apmd
setderial
Red Hat-release
Sử
dụng
l
ệnh
RPM
như
dưới
đây
dểd
tháo
dỡ
chúng
.
l
ệnh
dùng
để
tháo
gỡ
phần
mềm
l
à
:
[root@deep]#rpm –e<software names>
Ở
đây
<sof
tware
names>
l
à
tên
của
phần
mềm
bạn
muốn
tháo
gỡ
.
Một
số
chương
trì
nh
daemon
như
apmd,
kudzu,
sendmai
l
dều
chạy
ở
l
úc
khởi
động
máy
,
tốt
nhất
bạn
nên
dừng
chúng
trước
khi
tháo
gỡ
ra
hệ
thống
của
bạn
.
Dừng
các
process
với
những
l
ệnh
:
[root@deep/]# /etc/rc.d/apmd stop
[root@deep/]# /etc/rc.d/sendmail stop
[root@deep/]# /etc/rc.d/kudzu stop
Bây
gi
ờ
bạn
có
thể
tháo
gỡ
chúng
cùng
các
gói
dữ
l
i
ệu
khác
một
cách
an
toàn
với
l
ệnh
sau:
Bước
1:
Xoá
bỏ
những
gói
dữ
l
i
ệu
được
chỉ
đị
nh
.
[root@deep /]# rpm –e –nodeps pump mt-st eject mailcap apmd kernel-pcmcia-cs
linuxconf getty_ps isapntools setserial kudzu raidtools gnupg Red Hat-logos Red
Hat-release gd pciutils mt
Bước
2:
Xoá
bỏ
các
tập
ti
n
Li
nux.
conf
-instanlled bằng
tay:
[root@deep /] # rm –f /ect/conf.linuxconf-instanlled
Chương
trì
nh
hdparm
cần
cho
các
IDE
hard
dí
k
nhưng
không
cần
vho
SCSI
hard
di
sk
bạn
phải
gi
ữ
l
ai
chương
trì
nh
này
,
nhưng
nếu
không
có
IDE
hard
di
sk
thì
bạn
có
thể
xoá
khỏi
hệ
thống
.
[root@deep /]# rpm –e hdparm
Những
chương
trì
nh
như
kbdconf
i
g,
mouseconf
i
g,
ti
meconf
i
g,
authconf
i
g,
ntsysvvà
setuptool
theo
thứ
tự
thi
ết
l
ập
l
oại
keyboard
,
mouse,
ti
me,
NIS
và
shadow
password
chúng
í
t
khi
thay
đổi
sau
khi
cài
đặt
vì
thế
bạn
có
thể
tháo
dỡ
chúng
khỏi
hệ
thống
,
nếu
trong
tương
l
ai
bạn
cần
thay
đổi
keyboard
,
mouse,
.
.
.
thì
bạn
có
thể
cài
đặt
chúng
từ
các
gói
dữ
l
i
ệu
RPM
trên
đĩ
a
CD-ROM Red Hat
Các
phần
mềm
có
phải
được
cài
đặt
sau
sự
cài
đặt
của
server
Để
có
thể
ti
ện
bi
ên
dị
ch
những
chương
trì
nh
trên
server
của
bạn
.
bạn
phải
cài
đặt
những
gói
dữ
l
i
ệu
RPM
sau
.
Bước
1:
Đầu
ti
ên
chúng
ta
mount
ổ
đĩ
a
CD-ROM
và
chuyển
RPMS
trên
CD-ROM
Mount CD-ROM
dri
ve
và
chuyển
tới
thư
mục
RPMS
sử
dụng
những
l
ệnh
sau
:
[root@deep /]# mount /dev/cdrom /mnt/cdrom/
[root@deep /]# cd /mnt/cdrom/Red Hat/RPMS/
Dưới
đây
l
à
những
gói
dữ
l
i
ệu
mà
bạn
cần
bi
ên
dị
ch
và
cài
đặt
trên
hệ
thống
Li
nux
:
autoconf-2.13-5,noarch.rpm
m4-1.4-12.i386.rpm
automake-1.4-6.noarch.rpm
dev86-0.15.0-2.i386.rpm
bison-1.28-2.i386.rpm
byacc-1.9-12.i386.rpm
cdecl-2.5-10.i386.rpm
cpp-1.1.2-30.i386.rpm
cproto-4.6-3.i386.rpm
ctags-3.4-1.i386.rpm
egcs-1.1.2-30.i386.rpm
ElectricFence-2.1-3.i386.rpm
flex-2.5.4a-9i386,rpm
kernel-headers-2.2.15.0.i386.rpm
glibc-devel-2.1.3-15.i386.rpm
make-3.78.1-4.i386.rpm
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 30
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
path-2.5-10.i386.rpm
Bước
2:
Cài
đặc
những
phần
mềm
cần
thi
ết
ở
trên
với
một
l
ệnh
RPM:
Lệnh
RPM
để
cài
đặt
tất
cả
các
phần
mềm
với
nhau
l
à:
[root@deep RPMS]# rpm –Uvh autoconf-2.13-5.noarch.rpm m4-1.4-
12.i386.rpm automake-1.4-6.noarch.rpm dev86-0.150-2.i386.rpm
bison-1.28-2.i386.rpm byacc-1.9-12.i386.rpm cdecl-2.5-10.i386.rpm
cpp-1.1.2-30.i386.rpm cproto-4.6-3.i386.rpm ctags-3.4-1.i386.rpm
egcs-1.1.2-30.i386.rpm ElectricFence-2.1-3.i386.rpm flex-2.5.4a-
9.i386.rpm egcs-1.1.
Bước
3:
Bạn
phải
thoát khỏi
consol
e
và
l
ogi
n
trở
l
ại
để
tất
cả
các
thay
đổi
có
hi
ệu
l
ực
x
Thoát
khỏi
consol
e
với
l
ệnh:
[
root@deep
/]# exit
Sau
khi
đã
cài
đặt
và
bi
ên
dị
ch
tất
cả
các
chương
trì
nh
bạn
cần
trên
server
của
bạn
sẽ
l
à
một
ý
hay
nếu
bạn
xoá
bỏ
các
tập
ti
n
obj
ect
được
tạo
ra
do
bi
ên
dị
ch
,
các
trì
nh
bi
ên
dị
ch
,
.
.
.
,
những
tập
ti
n
mà
bạn
không
còn
cần
nữa
trong
hệ
thống
của
bạn.
Một
trong
những
l
í
do
l
à
nếu
một
tên
ti
n
tặc
xâm
phạm
server
của
bạn
hẳn
không
thể
bi
ên
dị
ch
hoặc
thay
đổi
những
chương
trì
nh
nhị
phân
.
Hơn
nữa
vi
ệc
này
sẽ
gi
ải
phóng
nhi
ều
khoảng
trống
và
sẽ
gi
úp
đỡ
vi
ệc
cải
ti
ến
ki
ểm
tra
tí
nh
toàn
vẹn
của
những
tập
ti
n
trên
server.
Khi
bạn
chạy
một
server
bạn
sẽ
truyền
cho
nó
một
công
vi
ệc
đặt
bi
ệt
để
thực
hi
ện
.
Bạn
sẽ
không
bao
gi
ờ
đặt
tất
cả
các
servi
ce
bạn
muốn
cung
cấp
trên
một
máy
hoặc
bạn
sẽ
l
àm
chậm
tốc
độ
(
tài
nguyên
có
sẵn
được
chi
a
bởi
một
số
ti
ến
trì
nh
đang
chạy
trên
server
)
và
l
àm
suy
yếu
khả
năng
bảo
mật
của
bạn
(
với
nhi
ều
servi
ce
cùng
chạy
trên
cùng
một
máy
,
nếu
một
ti
n
tặc
xâm
nhập
vào
server
này
hắn
có
thể
tấn
công
trực
ti
ếp
những
gì
có
sẵn
trên
đó)
Có
nhi
ều
server
khác
nhau
l
àm
những
công
vi
ệc
khác
nhau
sẽ
đơn
gi
ản
hoá
sự
trông
coi
,
quản
l
ý
(
bạn
bi
ết
công
vi
ệc
gì
mỗi
server
sẽ
l
àm
,
những
servi
ce
nào có
hi
ệu
l
ực
,
port
nào
thì
được
mở
cho
những
cl
i
ent
truy
cập
và
port
nào
thì
đóng
,
bạn
cũng
sẽ
bi
ết
những
gì
bạn
cần
thấy
trong
các
l
og
f
i
l
e.
.
.
)
và
đặt
cho
bạn
sự
đi
ều
khi
ển
t
í
nh
l
i
nh
hoạt
trên
mỗi
server
(
server
chuyên
dành
cho
mai
l
,
web,database,backup....)
3.
Những
chương
trì
nh
đựơc
cài
đặt
trên
server
của
bạn:
Bước
1:
Do
chúng
ta
chọn
tối
ưu
hoá
vi
ệc
cài
đặt
hệ
thống
Li
nux
của
chúng
ta
,
đây
l
à
danh
sách
của
tất
cả
các
chương
trì
nh
cài
đặt
mà
bạn
sẽ
có
sau
khi
hoàn
tất
vi
ệc
cài
đặt
Li
nux
.
Danh
sách
này
phải
so
khớp
một
cách
chí
nh
xác
với
nội
dung
tập
ti
n
i
nstal
l
.
l
og
trong
thư
mục
/tmp.
Đừng
quên
cài
đặt
tất
cả
các
chương
trì
nh
được
l
i
ệt
kê
trong
“
Các
phần
mềm
phải
được
cài
đặt
của
server
“để
có
thể
bi
ên
dị
ch
đúng
cách
trên
server
của
bạn
.
Bước
2:
Sau
khi
chúng
ta
tất
cả
phần
mềm
cần
tháo
bỏ
sau
ti
ến
trì
nh
cài
đặt
của
server
và
sau
khi
thêm
những
gói
dữ
l
i
ệu
RPM
cần
thi
ết
để
có
thể
bi
ên
dị
ch
chương
trì
nh
những
chương
trì
nh
trên
server
của
chúng
ta
.
Chúng
ta
ki
ểm
tra
l
ại
danh
sách
của
tất
cả
các
chương
trì
nh
RPM
đã
được
cài
đặc
với
l
ệnh
sau
:
ki
ểm
tra
danh
sách
tất
cả
gói
dữ
l
i
ệu
được
cài
đặt
trên
server
sử
dụng
l
ệnh
:
[root@deep /] # rpm –qa >intalled_rpm
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 31
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
Tham
số
“-qa”
sẽ
truy
vấn
tất
cả
các
gói
dữ
l
i
ệu
RPM
được
cài
đặt
trên
hệ
thống
và
ký
tự
đặt
bi
ệt
“>”
sẽ
ghi
l
ại
tất
cả
những
gì
xuất
ra
trên
màn
hì
nh
vào
tập
tin intalled_rpm
Bước
2
này
yêu
cầu
chúng
ta
chắc
chắn
không
quên
l
oại
bỏ
những
gói
dữ
l
i
ệu
RPM
không
cần
thi
ết
và
thêm
vào
những
gói
dữ
l
i
ệu
quan
trọng
,
những
gói
này
cho
phép
bạn
bi
ên
dị
ch chương
trì
nh
trên
hệ
thống
.
Nếu
kết
quả
gi
ống
như
tập
ti
n
dưới
đây
thì
ta
có
thể
yên
tâm
với
server
Li
nux
mới
này.
Nội
dung
của
tập
ti
n
i
nt
al
l
ed_rpm
phải
gi
ống
dưới
đây:
setup-2.1.8-1
findutils-4.1-34
flex-2.5.4a-9
filesytem-1.3.5-1
gawk-3.0.4-2
ncomprocess-4.2.4-15
basesystem-6.0-4
patch-2.5-10
net-tools.54-4
idconfig-1.9.5-16
gdbm-1.8.0-3
newt-0.50.8-2
gbilc-2.1.3-15
bison-1.2.8-2
passwd-0.64.1-1
shadow-utils-19990827-10 glib-1.2.6-3
perl-5.00503-10
mktemp-1.5-2
gmp-2.0.2-13
popt-1.5-0.48
termpcap-10.2.7-9
autoconf-2.13-5
procmail-3.14-2
libtermcap-2.2.8-20
gbm-1.18.1-7
procps-2.0.6-5
bash-1.14.7-22
groff-1.15-8
psmisc-19-2
MAKEDEV-2.5.2-1
gzip-1.2.4a-2
quota-2.00pre3-2
SysVinit-2.5.2-1
inetd-0.16-4
gdb-4.18-11
anacron-2.1-6
initscripts-5.00-1
readline-2.2.2-6
chkconfig-1.1.2-1
ipchains-1.3.9-5
make-3.78.1-4
...............................................................................................................
...............................................................................................................
etcskel-2.3-1
mount-2.10f-1
glibc-devel-2.1.3-15
file-3.28-2
4.Đị
nh
màu
trên
termi
nal
của
bạn
Đặt
một
vài
màu
trên
termi
nal
của
bạn
có
thể
gi
úp
cho
bạn
phân
bi
ệt
các
thư
mục
,
f
i
l
e
,
thi
ết
bị
,
các
l
i
ên
kết
và
các
tập
ti
n
thực
thi
(executabl
e
f
i
l
e
).
Quan
đi
ểm
của
tôi
l
à
những
màu
sẽ
gi
úp
gi
ảm
bớt
những
l
ỗi
va
sự
đị
nh
hướng
nhanh
trong
hệ
thống
.
Đây
l
à
một
vấn
đề
quan
trọng
và
cần
thi
ết
chỉ
cho
Red
Hat
Li
nux
6.
1
và
những
versi
on
cũ
hơn
,
kể
từ
Red
Hat
Li
nux
6.
2
đặc
trưng
này
l
uôn
có
bởi
mặc
đị
nh
Hi
ệu
chỉ
nh
tập
t
i
n
/etc/prof
i
l
e
và
thêm
vào
những
dòng
sau:
#Enable Colour Is
eval
‟
di
rcol
ors
/etc/DIR_COLORS-b„
export
LS_OPTION=‟
-s –F –T 0 –col
or=yes‟
Hi
ệu
chỉ
nh
tập
t
i
n
/etc/bashrc
và
thêm
dòng
:
al
i
as
Is=‟
Is
–col
or=auto‟
Sau
đó
l
ogout
va
l
ogi
n
l
ại
.
Đến
l
úc
này
,
bi
ến
môi
trường
COLORS
mới
được
thi
ết
đặt
và
hệ
thống
sẽ
chấp
nhận
đi
ều
này
Xi
n
nhắc
l
ại
đặc
trưng
này
chỉ
cần
cho
Red
Hat
Li
nux
6.
1và
cũ
hơn
Cập
nhật
phần
mềm
mới
nhất
Chúng
ta
nên
gi
ữ
và
cập
nhật
tất
cả
các
phần
mềm
(đặc
bi
ệt
l
à
phần
mềm
mạng)
với
những
versi
on
mới
nhất
.
Chúng
ta
nên
ki
ểm
tra
những
trang
đí
nh
chí
nh
ở
http://
www.RedHat.com/corp/support/errata/index.html
.
Những trang
này
có
l
ẽ
l
à
tài
nguyên
tốt
nhất
vì
đã
sũa
chữa
gần
90%
những
vấn
đề
chung
với
Red
Hat.
Thêm
nữa
các
gi
ải
pháp
về
sữa
chữa
các
l
ỗ
hổng
bảo
mật
cũng
sẽ
được
đưa
l
ên
sau
24
gi
ờ
Red
Hat
được
thông
báo
,
bạn
nên
l
uôn
ki
ểm
tra
web
si
te
này.
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 32
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
Phụ
l
ục
Các phần
mền
bảo
mật
Linux sXid
Các
tập
ti
n
SUID/SGID
có
thể
trở
thành
một
mối
nguy
cho
vấn
đề
bảo
mật
và
an
toàn
của
hệ
thống
.
Để
gi
ảm
các
rủi
ro
này
,
trước
đây
chúng
ta
đã
remove
các
bi
t
„
s‟
từ
các
chương
trì
nh
được
sở
bởi
root
mà
sẽ
không
yêu
cầu
nhi
ều
quyền
sử
dụng
,
nhưng
tương
l
ai
các
tập
ti
n
tồn
tại
khác
có
thể
cài
đặt
với
„
s‟
bi
t
được
bật
l
ên
khi
không
có
sự
thông
báo
của
bạn
.
sXi
d
l
à
một
chương
trì
nh
theo
dỏi
hệ
thống
sui
d/sgi
d
được
thi
ết
kế
chạy
từ
cron
trên
một
nguyên
l
ý
cơ
bản
.
Cơ
bản
l
à
nó
theo dõi
bất
kỳ
sự
thay
đổi
nào
trong
các
thư
mục
và
các
tập
ti
n
s[ug]i
d
của
bạn
.
Nếu
có
bất
kỳ
một
đi
ều
gì
mới
trong
các
thư
mục
hay
tập
ti
n
,
các
thư
mục
và
tập
ti
n
này
sẽ
thay
đổi
bi
t
hoặc
các
mode
khác
sau
đó
sẽ
tự
độnng
thực
hi
ện
vi
ệc
tì
m
ki
ếm
tất
cả
sui
d/sgi
d
trên
máy
server
của
bạn
và
thông
báo
về
chúng
cho
bạn
.
Linux Logcheck
Một
công
vi
ệc
quan
trọng
trong
thế
gi
ới
bảo
mật
và
an
toàn
l
à
phải
ki
ểm
tra
thường
xuyên
các
tập
ti
n
xuất
ra
các
kết
quả
theo
dõi
hệ
thống
(l
og
f
i
l
e).
Thông
thường
các
hoạt
động
hằng
ngày
của
người
quản
trị
hệ
thống
không
cho
phép
anh
ta
co
thời
gi
an
để
thực
hi
ện
những
công
vi
ệc
này
và
có
thể
mang
đến
nhi
ều
vấn
đề
.
Gi
ải
thí
ch
t
í
nh
trưu
tượng
của
l
ogcheck:
Ki
ểm
tra
theo
dõi
và
ghi
nhận
các
sự
ki
ện
xãy
ra
thì
rất
quan
trọng
!
Đó
là
những
người
quản
trị
của
hệ
thống
nhận
bi
ết
được
các
sự
ki
ện
này
do
vậy
có
thể
ngăn
chặn
các
vấn
đề
chắc
chắn
xãy
ra
nếu
bạn
có
một
hệ
thống
kết
nối
với
i
nternet
.
Thật
không
may
cho
hầu
hết
l
ogf
i
l
e
l
à
nó
không
có
ai
ki
ểm
tra
vá
l
og
đó
,
mà
nó
thường
được ki
ểm
tra
khi
có
sự
ki
ện
nào
đó
xãy
ra
.
Đi
ều
này
l
ogcheck
sẽ
gi
úp
đỡ
cho
bạn
Linux PortSentry
Bức
tường
l
ủa
(f
i
rewal
l
)
gi
úp
đỡ
chúng
ta
bảo
vệ
mạng
khỏi
những
xâm
nhập
bất
hợp
pháp
từ
bên
ngoài
.
Với
f
i
rewal
l
chúng
t
a
có
thể
chọn
những
ports
nào
chúng
ta
muốn
mở
và
những
port
nào
chúng
sẽ
đóng.
Thông
ti
n
trên
được
gi
ữ
một
cách
bí
mật
bởi
những
người
chị
u
trách
nhi
ệm
đến
f
i
rewal
l
.
Tuyệt
đối
không
người
nào
từ
bên
ngoài
bi
ết
thông
ti
n
này
,
tuy
nhi
ên
các
hackers
(ti
ntặc
)
cũng
như
các
spammers
bi
ết
một
vài
cách
tấn
công
bạn
,
họ
có
thể
sử
dụng
một
chương
trì
nh
đặc
bi
ệt
để
quét
tất
cả
các
ports
trên
server
của
bạn
nhặt
thông
ti
n
quí
gi
á
này
(ports
nào
mở
,
ports
nào
đóng
)
Như
được
gi
ải
thí
ch
trong
l
ời
gi
ới
thi
ệu
của
phần
PortSentry
Một
chương
trì
nh
quét
port l
à
một
dấu
hi
ệu
của
một
vấn
đề
l
ớn
đang
đến
với
bạn
.
Nó
thường
l
à
ti
ền
t
hân
cho
một
sự
tấn
công
và
l
à
một
bộ
phận
nguy
hi
ểm
trong
vi
ệc
bảo
vệ
hữu
hi
ệu
tài
nguyên
thông
ti
n
của
bạn
.
PortSentry
l
à
một
chương
trì
nh
được
thi
ết
kế
để
phát
hi
ện
ra
và
phản
hồi
tới
các
port
quét
nhằm
chồng
l
ại
một
host
đí
ch
trong
thời
gi
an
chúng
ta
thực
hi
ện
quét
port
và
có
một
số
tuỳ
chọn
để
phát
hi
ện
ra
các
port
quét
.
Khi
nó
tì
m
thấy
một
port
quét
nó
có
thể
phản
ứng
l
ại
những
cách
sau:
Một
l
ogf
i
l
e
l
ưu
các
sự
vi
ệc
xảy
qua
thông
qua syslog( )
Tên
host
mục
ti
êu
tự
động
được
bỏ
vào
trong
tập
ti
n
“/etc/hosts.
deny”
cho
những
trì
nh
bao
bọc
TCP
Host
nội
bộ
tự
động
cấu
hì
nh
l
ại
để
hướng
tất
cả
các
l
ưu
thông
tới
host
mục
ti
êu
trỏ
tới
một
host
không
hoạt
động
(
deal
host
)
l
àm
hệ
thống
mục
tiêu
bi
ến
mất
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 33
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
Local
host
tự
động
cấu
hì
nh
l
ại
để
l
oại
bỏ
tất
cả
các
gói
thông
ti
n
từ
host
mục
ti
êu
thông
qua
bộ
l
ọc
l
ocal
host
Mục
đí
ch
của
PortSentry
l
à
để
gi
úp
người
quản
t
rị
mạng
có
được
công
cụ
khảo
sát
kỹ
l
ưỡng
hệ
thống
của
mì
nh
Linux OpenSSH Clien/Server
Như
được
mi
nh
hoạ
trong
chương
2
,
”Sự
cài
đặt
Li
nux
Server”,
rất
nhi
ều
dị
ch
vụ
mạng
được
đưa
vào
,
nhưng
không
có
hạn
chế
các
dị
ch
vụ
như
rsh
,
rl
ogi
n,
hoặc
rexec
không
bị
xâm
nhập
với
ki
ểu
mà
các
ti
n
tặc
thường
dùng
như
nghe
trộm
đi
ện
tử.
Như
một
hệ
quả
,
bất
kỳ
ai
,
người
mà
đã
truy
cập
tới
bất
kỳ
máy
tí
nh
nào
đã
được
kết
nối
vào
mạng
đều
có
thể
l
ắng
nghe
trên
đường
truyền
gi
ao
ti
ếp
của
họ
và
l
ấy
về
mật
khẩu
của
bạn
,
và
cũng
như
vi
ệc
l
ấy
bất
kỳ
thông
ti
n
ri
êng
tư
nào
khác
thông
qua
đường
mạng
ở
dạng
văn bản
.
Hi
ện
tại
Tel
net
l
à
chương
trì
nh
rất
cần
thi
ết
cho
công
vi
ệc
quản
trị
hằng
ngày
,
nhưng
nó
không
an
toàn
khi
nó
truyền
mật
khẩu
của
bạn
ở
dạng
văn
bản
(
pl
ai
n
text
)
thông
qua
mạng
và
cho
phép
bất
kỳ
trì
nh
l
ắng
nghe nào ( listener) ,theo cách này tin tặc
sử
dụng
tài
khoản
của
bạn
đẻ
l
àm
bất
kỳ
công
vi
ệc
phá
hoại
nào
mà
hắn
ta
muốn
.
Để
gi
ải
quyết
vấn
đề
này
chúng
tì
m
ta
một
cách
khác
,
hoặc
một
chương
trì
nh
để
thay
thế
nó
.
Thật
may
mắn
OpenSSH
l
à
một
dị
ch
vụ
thật
sự
vững
chắc
và
bảo
mật
có
thể
thay
thế
cho
cách
cũ
,
các
chương
trì
nh
l
ogi
n
từ
xa
không
an
toàn
và
cổ
xưa
chẳng
hạn
như
tel
net
,
rl
ogi
n,
rsh,
rdi
st
hay
rcp.
Thông
qua
tập
ti
n
README
chí
nh
thức
của
OpenSSH
:
Ssh
(
Secure
Shel
l
)
l
à
một
chương
trì
nh
để
l
og
vào
một
máy
tí
nh
khác
thông
qua
một
hệ
thống
hệ
thống
mạng
,
để
thi
hành
các
l
ệnh
trong
một
máy
tí
nh
ở
xa
,
và
để
chuyển
các
tập
ti
n
từ
một
máy
này
tới
một
máy
khác
.
Nó
cung
cấp
tí
nh
năng
xác
nhận
hợp
l
ệ
“
authenti
cati
on”
và
bảo
mật
sự
trao
đổi
thông
ti
n
qua
các
kênh
truyền
dẫn
không
an
toàn
.
Nó
cũng
được
dự
trù
để
thay
thế
cho
các
chương
trì
nh
rl
goi
n
,
rsh
và rdist.
Trong
vi
ệc
cấu
hì
nh
,
chúng
ta
phải
cấu
hì
nh
OpenSSH
hỗ
trợ
tcp-wrappers (
i
netd
super
server)
để
cải
t
i
ến
vi
ệc
bảo
mật
cho
chương
trì
nh
bảo
mật
sẵn
có
và
l
uôn
tránh
vi
ệc
phải
chạy
chương
trì
nh
daemon
của
nó
theo
ki
ểu
background
trên
máy
server
.
Theo
cách
này
,
chương
trì
nh
sẽ
chỉ
chạy
khi
máy
khách
(
cl
i
ent
)
kết
nối
đến
và
sẽ
tái
thi
ết
l
ập
l
ại
chúng
thông
qua
trì
nh
daemon
TCP-WRAPPERS
cho
vi
ệc
xác
mi
nh
t
í
nh
đúng
đắn
và
cho
phép
trước
khi
được
phép
kết
nối
tới
máy
server
.
OpenSSHthì
mi
ễn
phí
,
một
sự
thay
thế
và
cải
ti
ến
của
SSH1
với
tất
cả
các
cản
trở
của
các
gi
ả
thuật
sáng
tạo
được
công
nhận
bị
xoá
bỏ
(
và
trở
thành
các
thư
vi
ện
được
mở
rộng
ra
bên
ngoài
),
tất
cả
các
l
ỗi
được
nhận
bi
ết
đã được
sữa
chữa
,
các
đặc
trưng
mới
được
gi
ới
thi
ệu
và
rất
nhi
ều
trì
nh
dọn
dẹp
rác
(
cl
ean-up)
khác
.
Đi
ều
được
khuyên
l
à
bạn
dùng
phi
ên
bản
SSH
(
mi
ễn
phí
và
các
l
ỗi
đã
được
sửa)
thay
cho
bản
SSH1
(
mi
ễn
phí
,
còn
l
ỗi
và
l
ỗi
thời
)
hay
SSH2
mà
có
nguồn
gốc
l
à
được
mi
ễn
phí
nhưng
hi
ện
nay
đã
trở
thành
một
phi
ên
bản
thương
mại
.
Đối
với
tất
cả
mọi
người
mà
dùng
SSH2
như
công
Dataf
el
l
ows
,
chúng
tôi
sẽ
cung
cấp
trong
quyển
sách
này
cả
hai
phi
ên
bản
,
và
bắt
đầu
với
OpenSSH
,
và
xem
nó
như
l
à
một
chương
trì
nh
SSh
mới
mà
mọi
ngươi
ì
sẽ
phải
chuyển
sang
sử
dụng
nó
trong
tương
l
ai
.
Linux Tripwire 2.2.1
Một
ti
ến
trì
nh
cài
đặc
Red
Hat
Li
nux
Server
ti
êu
bi
ểu
xử
l
ý
khoảng
30.
400
tập
ti
n
.
Vào
thời
đi
ểm
bận
rộn
nhất
của
chúng
,
các
nhà
quản
trị
hệ
thống
không
thể
ki
ểm
tra
tí
nh
toàn
vẹn
của
tất
cả
các
tập
ti
n
,
và
nếu
một
kẻ
tấn
công
nào
đó
truy
cập
máy
server
của
bạn
,
thì
họ
có
thể
cài
đặt
hay
hi
ệu
chỉ
nh
các
tập
ti
n
mà
bạn
không
de4ẽ
nhận
bi
ết
những
đi
ều
này
.
Do
khả
năng
của
sự
cố
trên
mà
một
số
các
chương
trì
nh
được
tạo
ra
để
đáp
ứng
l
oại
vấn
đề
này
.
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 34
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
Tri
pwi
re
l
àm
vi
ệc
ở
tầng
cơ
bản
nhất
,
bảo
vệ
các
máy
server
và
các
máy
trạm
l
àm
vi
ệc
mà
chúng
được
cấu
thành
mạng
hợp
nhất
.
Tri
pwi
te
l
àm
vi
ệc
bằng
cách
trước
ti
ên
l
à
quét
một
máy
túnh
và
tạo
một
cơ
sở
dữ
l
i
ệu
của
các
tập
ti
n
của
hệ
thống
,
một
dạng
số
hoá
“snapshot
“
của
hệ
thống
trong
hệ
thống
bảo
mật
đã
bi
ết
.
Người
sử
dụng
có
thể
cấu
hì
nh
Tri
pwi
re
một
cách
rất
chí
nh
xác
,
chỉ
rõ
tập
ti
n
và
thư
mục
sở
hưu
ri
êng
cho
mỗi
máy
để
theo
dõi
,
hay
tạo
một
dạng
mâux
chuẩn
mà
nó
có
thể
sử
dụng
trên
tất
cả
các
máy
trong
mạng
.
Một
khi
cơ
sở
dữ
l
i
ệu
tạo
ra
,
một
người
quản
trị
hệ
thống
có
thể
dùng
Tri
wi
re
để
ki
ểm
tra
toàn
vẹn
của
hệ
thống
ở
bất
kỳ
thời
đi
ểm
nào
.
Bằng
cách
quét
một
hệ
thống
hi
ện
hành
và
so
sánh
thông
ti
n
với
dữ
l
i
ệu
l
ưu
trữ
trong
cơ
sở
dữ
l
i
ệu
,
Tri
wi
re
phát
hi
ện
và
báo
cáo
bất
kỳ
vi
ệc
thêm
vào
hay
xoá
bớt
,
hay
thay
đổi
tới
hệ
thống
bên
ngoài
các
ranh
gi
ới
bên
ngoài
được
chỉ
đị
nh
.
Nếu
vi
ệc
thay
đổi
l
à
hợp
l
ệ
thì
quản
trị
hệ
thống
có
thể
cập
nhật
cơ
sở
dữ
l
i
ệu
bi
ên
với
thông
ti
n
mới
.
Nếu
các
thay
đổi
cố
tì
nh
l
àm
hại
được
tì
m
thấy
,
thì
người
quản
trị
hệ
thống
sẽ
bi
ết
ngay
các
phần
nào
của
các
thành
phần
của
mạng
đã
bị
ảnh
hưởng
.
Phi
ên
bản
Tri
pwi
re
này
l
à
một
sản
phẩm
có
các
phần
được
cải
ti
ến
đáng
kể
so
với
phi
ên
bản
Tri
pwi
re
trước
đó
.
Server Linux DNS và BIND
Một
khi
chúng
ta
đã
cài
đặt
tất
cả
phần
mềm
bảo
mật
cần
thi
ết
trên
Li
nux
server
,
đây
l
à
thời
đi
ểm
để
cải
ti
ến
và
đi
ều
chỉ
nh
phần
mạng
(
netword
)
của
server
của
chúng
ta
.
DNS
l
à
một
trong
những
dị
ch
vụ
quan
trọng
nhất
cho
sự
trao
đổi
thông
ti
n
trên
mạng
IP
,
và
vì
l
í
do
này
,
tát
cả
các
máy
Li
nux
cl
i
ent
sẽ
được
cài
đặt
những
chức
năng
l
ưu
gi
ữ
(cachi
ng)
ở
một
mức
độ
tối
thi
ểu
nào
đó
.
Vi
ệc
cài
đặt
một
cachi
ng
server
cho
các
máy
cl
i
ent
nội
bộ
sẽ
l
àm
gi
ảm
bớt
tải
trên
các máy primary
server
.
Mọt
Cachi
ng
chỉ
rõ
tên
máy
chủ
sẽ
tì
m
ki
ếm
trả
l
ời
cho
những
tên
ghi
nhớ
và
phần
đáp
án
này
để
khi
nào
chúng
ta
cần
,
nó
đáp
ứng
ngay
không
cần
mất
nhi
ều
thời
gi
an
vô
í
ch
Vì
những
nguyên
nhân
bảo
mật
,
đi
ều
rất
quan
trọng
l
à
DNS
không
tồn
tại
sẵn
gi
ữa
các
máy
trên
mạng
và
máy
bên
ngoài
.
Để
tăng
tí
nh
năng
an
toàn
hơn
,
đơn
gi
ản
dùng
các
đị
a
chỉ
IP
kết
nối
với
những
máy
bên
ngoài
từ
bên
trong
mạng
và
ngược
l
ại
Trong
cấu
hì
nh
cà
cài
đặt
,
chúng
ta
sẽ
chạy
chương
trì
nh
BIND/DNS
với
user
không
phải
root
và
trong
một
môi
trường
chrooted.
Chúng
tôi
sẽ
cung
cấp
cho
bạn
ba
cấu
hì
nh
khác
nhau
:
một
cái
chỉ
đơn
gi
ản
l
ưu
tên
máy
(cl
i
ent
)
,
cái
thứ
hai
l
a
cho
sl
ave
(secondary
server)
và
cái
thứ
ba
l
à
cho
master
name
server
(
pri
mary
server
).
Cấu
hì
nh
thứ
nhất
si
mpl
e
cachi
ng
name
server
sẽ
được
dùng
cho
máy
chủ
của
bạn
mà
không
hoạt
động
như
master
hoặc
sl
ave
name
server
,
cấu
hì
nh
của
sl
ave
và
master
sẽ
được
dùng
cho
máy
chủ
của
bạn
mà
hoạt
động
như
master
và
sl
ave
name
server
.
Thường
thường ,
cấu
hì
nh
sẽ
bao
gồm
:
một
cái
sẽ
hoạt
động
như
master
,
cái
khác
như
sl
ave
và
cái
còn
l
ại
như
si
mpl
e
cachi
ng
cl
i
ent
server
Đề
t
ài
:
An
t
oàn
và
bảo
mật
t
rên
hệ
đi
ều
hành
Li
nux
Page 35
GVHD:Nguyễn
Tấn
Khôi
Si
nh
vi
ên
t
hực
hi
ện:
Lê
Thị
Huyền
Trang
Nguyễn
Huy
Chương
Mục
l
ục
I.
An
toàn
cho
các
gi
ao
dị
ch
trên
mạng.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
2
II.
Bảo
mật
Li
nux
Server.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.............7
III.
Firewall.................................................................9
IV.
Xây
dựng
hệ
thống
mạng
Li
nux.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
23
Phụ
l
ục
Các
phần
mền
bảo
mật.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
31