TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn MH/MĐ: QUẢN TRỊ MẠNG LINUX Bài 1: TRIỂN KHAI VÀ QUẢN TRỊ HỆ ĐIỀU HÀNH LINUX Bài 2: QUẢN TRỊ TÀI KHOẢN NGƯỜI DÙNG VÀ LẬP TRÌNH SHELL Bài 3: TRIỂN KHAI DỊCH VỤ DNS VÀ DHCP Bài 4: TRIỂN KHAI DỊCH VỤ SAMBA VÀ NFS Bài 5: TRIỂN KHAI DỊCH VỤ WEB VÀ FTP Bài 6: TRIỂN KHAI DỊCH VỤ MAIL Bài 7: BẢO MẬT HỆ THỐNG LINUX ÔN TẬP BÁO CÁO ĐỒ ÁN THI TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn Bài 7: BẢO MẬT HỆ THỐNG LINUX • Bảo mật hệ thống mạng bằng Squid Proxy • Bảo mật cho hệ thống Linux bằng Iptables Bảo mật hệ thống bằng squid proxy và iptables Bảo mật hệ thống bằng squid proxy và iptables TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn MỤC TIÊU BÀI HỌC Trình bày được khái niệm và các đặc điểm của hệ thống proxy. Giải thích được các thông số cấu hình của squid. Cấu hình được squid hoạt động ở chế độ cache và transparent. Nhận biết hệ thống firewall dùng iptables. Giải thích các thông số của iptables. Cấu trúc lệnh của iptables. Triển khai firewall dùng iptables. TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn Tầm quan trọng của cache Proxy Chia sẻ và cân bằng tải. Sử dụng lại các object đã được lưu trữ trong cache. Giảm tải truy xuất trên đường truyền. Cài đặt, cấu hình squid proxy Cài đặt, cấu hình squid proxy TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn Yêu cầu hệ thống cho cache proxy Server Tốc độ truy xuất đĩa nhanh Yêu cầu dung lượng RAM lớn TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn Giới thiệu Squid proxy Squid là chương trình Internet proxy-caching có vai trò tiếp nhận các yêu cầu từ client và truy vấn đến các Internet Server thí ch hợp. TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn Giao thức được hỗ trợ trên Squid Squid hỗ trợ những giao thức sau: HTTP FTP Secure Socket Layer … TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn Cơ chế cache của Squid TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn Cài đặt Squid Proxy Cài đặt squid từ package rpm Cài đặt từ package squid-version.i386.rpm trong CDROM. Cài đặt từ lệnh yum: #yum install squid Cấu trúc thư mục mặc định của Squid /usr/sbin: Lưu những thư viện của Squid . /etc/squid: Lưu các tập tin cấu hình squid (/etc/squid/squid.conf). /var/log/squid: Lưu các tập tin log của squid /var/spool/squid: lưu trữ squid cache. TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn Cấu hình squid proxy visible_hostname: Nếu không gán hostname khi đó việc khởi động squid sẽ thất bại. visible_hostname bigboy http_port: cấu hình cổng mà Squid sẽ lắng nghe những yêu cầu được gởi đến. http_port 3128 cache_dir: chỉ định nơi cache data được lưu trữ cache_dir ufs /var/spool/squid 100 16 256 [...]... khai hệ thống firewall trên Linux dùng iptables Triển khai hệ thống firewall trên Linux dùng iptables Cho phép thực thi chức năng lọc gói tin (packet filtering) thông qua iptables TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn Port Based Security(tt) Giới thiệu iptables: Iptables do tổ chức Netfilter cung cấp để tăng tính năng bảo mật trên hệ thống Linux Tích hợp tốt với kernel của Linux. .. start|stop|restart TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn Bảo mật Linux TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn Log file Triển khai bảo mật cơ bản trên Linux Triển khai bảo mật cơ bản trên Linux Log file: File log để ghi nhận lại các sự kiện, một số file log chính trong hệ thống /var/log/messages /var/log/secure /var/log/wtmp /var/log/utmp TRƯỜNG TRUNG... built-in chains được mô tả để thực hiện các chính sách về firewall (firewall policy rules)  Forward chain : lọc những gói tin đi qua hệ thống (đi vào một hệ thống khác)  Input chain: lọc những gói tin đi vào hệ thống  Output chain : lọc những gói tin đi ra từ hệ thống TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn Port Based Security(tt) NAT: thực thi chức năng NAT (Network Address... localhost src 1 27. 0.0.1/255.255.255.255 to_localhost dst 1 27. 0.0.0/8 SSL_ports port 443 563 Safe_ports port 80 # http Safe_ports port 21 # ftp Safe_ports port 443 563 # https, snews Safe_ports port 70 # gopher Safe_ports port 210 # wais Safe_ports port 1025-65535 # unregistered ports Safe_ports port 280 # http-mgmt Safe_ports port 488 # gss-http Safe_ports port 591 # filemaker Safe_ports port 77 7 # multiling... cấp hai loại built-in chains sau:  Pre-routing: sửa địa chỉ đích của gói tin trước khi nó được routing bởi bảng routing của hệ thống (destination NAT hay DNAT)  Post-routing: ngược lại với Pre-routing, nó sửa địa chỉ nguồn của gói tin sau khi gói tin đã được routing bởi hệ thống (SNAT) Chú ý: Mỗi rule mà bạn tạo ra phải tương ứng với một chain, table nào đấy Nếu bạn không xác định tables nào thì... đến một target nào đó để xử lý thêm thao tác khác Một số built-in Targets: ACCEPT: iptables chấp nhận gói tin, đưa nó qua hệ thống mà không tiếp tục kiểm tra nó nữa DROP: iptables loại bỏ gói tin, không tiếp tục xử lý nó nữa LOG: thông tin của gói tin sẽ được ghi lại bởi syslog hệ thống, iptables tiếp tục xử lý gói tin bằng những rules tiếp theo REJECT: chức năng của nó cũng giống như DROP tuy nhiên... vào đuôi một chain - p : so sánh protocol gói tin - s : so sánh địa chỉ nguồn của gói tin - d : so sánh địa chỉ đích của gói tin - i : so sánh tên card mạng mà gói tin đi vào hệ thống - o : so sánh tên card mạng mà gói tin từ hệ thống đi ra -p tcp sport : xác định port nguồn của gói tin TCP -p tcp dport : xác định port đích của gói tin TCP -p udp sport : xác định port nguồn của gói tin UDP -p udp... http://www.vietkhoa.edu.vn Cấu hình squid proxy(tt) Tuỳ chọn Giải thích cache_dir Định nghĩa những giá trị của thư mục cache được dùng cho Squid ufs Unix file system (ufs) Squid cho biết rằng hệ thống đang chạy trên Linux /var/spool/squid Thư mục lưu trữ cache /var/spool/squid 100 Tổng dung lượng của thư mục cache 16 Số thư mục con được tạo trong thư mục cache 256 Số thư mục con cấp 2 được tạo trong thư... với kernel của Linux Có khả năng phân tích package hiệu quả Lọc package dựa vào MAC và một số cờ hiệu trong TCP header Cung cấp kỹ thuật NAT … Cài đặt iptables: iptables được cài đặt mặc định trong hệ thống Linux TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn Port Based Security(tt) Cơ chế và chức năng hoạt động của iptables: Iptables sẽ kiểm tra tất cả các package khi nó đi qua iptables... -A OUTPUT -p tcp sport 25 -j ACCEPT TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn Port Based Security(tt) Dùng địa chỉ IP nguồn và đích # iptables -A INPUT -s 172 .24.0.0/16 -j DROP # iptables -A OUTPUT -d 172 .24.0.0/16 -j DROP Lọc bởi interface # iptables -A INPUT -s 192.168.9.0/24 -i eth0 -j DROP # iptables -A FORWARD -s 192.168.9.0/24 -i eth0 -j DROP # iptables -A FORWARD -s !192.168.9.0/24 . FTP Bài 6: TRIỂN KHAI DỊCH VỤ MAIL Bài 7: BẢO MẬT HỆ THỐNG LINUX ÔN TẬP BÁO CÁO ĐỒ ÁN THI TRƯỜNG TRUNG CẤP VIỆT KHOA Website: http://www.vietkhoa.edu.vn Bài 7: BẢO MẬT HỆ THỐNG LINUX • Bảo mật. BẢO MẬT HỆ THỐNG LINUX • Bảo mật hệ thống mạng bằng Squid Proxy • Bảo mật cho hệ thống Linux bằng Iptables Bảo mật hệ thống bằng squid proxy và iptables Bảo mật hệ thống bằng squid proxy và iptables TRƯỜNG. MẠNG LINUX Bài 1: TRIỂN KHAI VÀ QUẢN TRỊ HỆ ĐIỀU HÀNH LINUX Bài 2: QUẢN TRỊ TÀI KHOẢN NGƯỜI DÙNG VÀ LẬP TRÌNH SHELL Bài 3: TRIỂN KHAI DỊCH VỤ DNS VÀ DHCP Bài 4: TRIỂN KHAI DỊCH VỤ SAMBA VÀ NFS Bài