Security On Linux System Power by: N.X.Bi O==(=========> ^($)^ Supporter Of VTF) (E-mail: binhnx2000@yahoo.com | Home: http://www.vieteam.com/) Mở đầu: Tôi Fan Linux, người yêu thích Security Tơi thích Linux, đặc biệt khả tuyệt vời Tơi viết tài liệu với mục đích muốn chia sẻ với người chút hiểu biết ỏi tơi Security Linux Khơng có mục đích khác Những tơi chia sẻ tài liệu có nguồn gốc từ các: Magazine, Book, Site, Forum, List Linux Security giới Những tơi cảm thấy hay thực có ích, tơi thực hành thử tìm cách ghi lại cách ngắn gọn dễ hiểu tài liệu Thiếu xót điều khơng thể tránh khỏi, mong nhận góp ý bảo thẳng thắn từ phía bạn Đây Version Demo tài liệu Nếu nhận ủng hộ, đón nhận nhiệt tình góp ý giúp đỡ thẳng thắn từ phía bạn Tơi tiếp tục hồn thiện tài liệu để phục vụ người cách tốt Bạn tham gia diễn đàn trao đổi, thảo luận Unix/Linux với : http://www.vieteam.com/vtf (Unix/Linux Section) Lưu ý: Bài viết mang tính chất học hỏi trao đổi kinh nghiệm…Các bạn tự sử dụng nó, mong bạn tơn trọng Copright chút Khi cần trích dẫn chỗ tài liệu Vui lòng ghi rõ nguồn tên người viết…Rất cảm ơn bạn quan tâm đến viết 1) Về phân cấp, quyền hạn, sở hữu cho File Sự phân cấp, quyền sở hữu rõ ràng đơn giản tạo lên sức mạnh bảo mật Unix/Linux Vấn đề mà cần kiểm tra có lẽ phân cấp, quyền hạn, sở hữu File hệ thống bạn Nếu khơng cấu hình cách xác điều nguy hiểm Cho lý bạn lên thường xuyên kiểm toán hệ thống File Server bạn Đặc biệt lên ý đến ID root Có số chương trình cho phép người sử dụng hệ thống bạn tự Set UID mà không cần root Chắc khơng cần nói, bạn biết phải làm với chương trình loại ? Bây tìm File có phân cấp, quyền hạn không ổn định hệ thống bạn sau điều chỉnh lại giá trị an tồn cho chúng: root@localhotst# find / -type f -perm +6000 -ls 59520 30 -rwsr-xr-x root root 30560 Apr 15 1999 /usr/bin/chage 59560 16 -r-sr-sr-x root lp 15816 Jan 2000 /usr/bin/lpq root@localhotst# chmod -s /usr/bin/chage /usr/bin/lpq root@localhotst# ls -l /usr/bin/lpq /usr/bin/chage -rwxr-xr-x root root 30560 Apr 15 1999 /usr/bin/chage -r-xr-xr-x root lp 15816 Jan 2000 /usr/bin/lpq Các dịng lệnh tìm File có UID root hay tương đương root Tiếp gán thuộc tính cho phép root có quyền thực thi Chúng ta tiếp tục tìm File cho phép ghi lại hệ thống bạn Điều xảy kẻ cơng tự thay đổi nội dung File ? root@localhost# find / -perm -2 ! -type l -ls Trong thao tác bình thường việc ghi, thay đổi nội dung File thường thực thư mục /dev /tmp Nếu bạn thấy thư mục khác mà File lại tự ghi lại có lẽ có vấn đề nảy sinh Bạn lên quan tâm đến File khơng có chủ sở hữu (không thuộc User hay Group nào) Tất nhiên khơng sở hữu chúng kẻ cơng sở hữu chúng ;-( Để tìm File khơng có chủ sở hữu bạn dùng lệnh: root@localhost# find / -nouser -o -nogroup Với việc sử dụng lệnh "lsattr" "chattr" bạn thay đổi đặc tính cho File thư mục cấp độ cao cấp quản trị hệ thống khả điều khiển q trình xố File, thay đổi File với tính khác mà lệnh "chmod" thực Việc cấp phát quyền hạn sở hữu cho File theo quy tắc thống nhất, suốt, khơng thay đổi Tỏ có hiệu đặc biệt việc ngăn chặn q trình xố, thay đổi tập tin Log kẻ công, hay việc cài đặt Trojan vào File nhị phân Binnary hệ thống bạn Lệnh "chattr" sử dụng để gán hay gỡ bỏ quyền hạn sở hữu cho File, lệnh "lsattr" sử dụng để liệt kê chúng Các File Log cần phải bảo vệ cách hợp lý Khi liệu ghi vào File Log lần, khơng thể phép chỉnh sửa hay thay đổi Sở dỹ có nhu cầu này, có nhiều Script cho phép kẻ cơng cơng xố bỏ, chỉnh sửa nội dung File Log Để xiết chặt an toàn cho File Log cần sử dụng lệnh "chattr" "lsattr" với vài đối tượng: root@localhost# chattr +i /bin/login root@localhost# chattr +a /var/log/messages root@localhost# lsattr /bin/login /var/log/messages i - /bin/login -a /var/log/messages Tóm lại! sau phần bạn lên ý: Không cho phép người sử dụng phép chạy chương trình Set UID, hay chương trình khác có đặc quyền root Home Directory bạn Luôn kiểm toán quan tâm đến hệ thống File Server bạn, đặc biệt với loại File có nguy cao nêu - Bạn lên sử dụng tuỳ chọn nouid /etc/fstab phép chỉnh sửa ghi lại khu vực định với người sử dụng - Tính noexec nodev cho File Home Directory người dùng để không cho phép họ tự động thực thi chương trình hay tạo thiết bị Block 2) Vơ hiệu hố Service khơng sử dụng Để tránh tình trạng "đêm dài mộng" bạn lên vơ hiệu hố gỡ bỏ chương trình, Service khơng dùng đến hệ thống Bạn sử dụng công cụ quản lý để hiển thị danh sách gói phần mềm cài đặt để thực việc (Redhat Package Manager - Linux ) Về bản! Service định nghĩa hoạt động inetd (trên số hệ thống Linux xinetd) Nội dung Service định nghĩa hoạt động inetd chứa /etc/inetd.conf Mỗi Service định nghĩa đằng sau ký tự "#" Bạn vơ hiệu hố Service khơng sử dụng Thư mục /etc/rc*.d /etc/rc.d/rc* nơi chứa Shell Script thông số để điều khiển thực Network Service suốt thời gian hoạt động Bạn xố bỏ hết thứ liên quan đến Service mà bạn không cần sử dụng Đối với hệ thống Redhat, SuSE, Mandrake bạn sử dụng lệnh: root@localhost#chkconfig list root@localhost#chkconfig del Để hiển thị Service hoạt động xoá bỏ Service mà bạn muốn Bạn muốn kiểm tra xem Service thực gõ bỏ khỏi hệ thống chưa ? /bin/netstat -a -p inet Trên Redhat, SuSE, Mandrake chương trình sử dụng để quản lý gói phần mềm /bin/rpm (Redhat Package Manager) Trên Debian /usr/bin/dpkg (Debian Package ) Dưới số dòng lệnh dùng để quản lý gói phần mềm Dịng đầu rpm dòng thứ hai dpkg: Gỡ bỏ gói phần mềm: root@localhost# rpm -e root@localhost# dpkg -r Liệt kê danh sách gói cài đặt: root@localhost# rpm -qvl root@localhost# dpkg -c Liệt kê danh sách gói cài đặt với thông tin chi tiết cho gói: root@localhost# rpm -qvia root@localhost# dpkg -l Liệt kê thơng tin xác File gói định: root@localhost# rpm -qvpl root@localhost# dpkg -c Hiển thị thơng tin gói phần mềm: root@localhost# rpm -qpi root@localhost# dpkg -I Kiểm tra tính tồn vẹn cho gói phần mềm: root@localhost# rpm -Va root@localhost# debsums -a Cài đặt gói phần mềm mới: root@localhost# rpm -Uvh root@localhost# dpkg -i 3) Sự kiểm tra tính tồn vẹn gói phần mềm Lệnh "md5sum" dụng thuật toán 128 bit để xác định chuỗi Finger Print gói phần mềm Với mục đích đảm bảo tồn vẹn gói phần mềm từ nhà cung cấp đến người sử dụng Nó cho ta biết thay đổi gói phần mềm hệ thống bạn root@localhost# md5sum package-name 995d4f40cda13eacd2beaf35c1c4d5c2 package-name Có lẽ bạn chưa hiểu lợi ích thực "md5sum" giới bảo mật Tơi lấy ví dụ đơn giản Khi kẻ công đột nhập vào hệ thống bạn, chúng cài đặt sử dụng Rootkit Thực chất chương trình thơng dụng Admin như: netstat, ps, ls chỉnh sửa thông tin sai che mắt bạn Vậy làm để biết điều ? Chẳng hạn chuỗi MD5 mặc định "netstat" cài đặt hệ thống SuSE Linux "995d4f40cda13eacd2beaf35c1c4d5c2" Bây chạy "md5sum" với "netstat" : root@localhost# md5sum /usr/bin/netstat 995d4f40cda13eacd2beaf35c1c7d8c1 /usr/bin/netstat Thông tin chuỗi không khớp nhau, điều xảy ? Câu trả lời dành cho bạn 4) Sử dụng Tripwire Tripwire chương trình theo dõi nhằm đảm bảo tính tồn vẹn File việc trì hoạt động sở liệu File cài đặt hệ thống Cũng cảnh báo chúng có thay đổi Khi cài đặt Tripwire đọc, thu thập thông tin trạng thái File hệ thống bạn ghi chúng vào sở liệu Sau Tripwire chạy đối chiếu FIle hệ thống bạn với sở liệu chuẩn Nếu có thay đổi thơng báo cho bạn Có File sử dụng để cấu hình hoạt động tổng thể cho Tripwire Thơng thường với thơng số mặc định tỏ hiệu Nếu bạn không rành Tripwire, bạn lên sử dụng thông số mặc định Dưới số dịng lệnh thông dụng Tạo File nội quy từ Text File root@localhost#: /usr/TSS/bin/twadmin -m P policy.txt Khởi tạo sở liệu theo File nội quy chính: root@localhost#: /usr/TSS/bin/tripwire -init Hiển thị sở liệu: root@localhost#: /usr/TSS/bin/twprint -m d Tạo thông báo kết theo ngày: root@localhost#: /usr/TSS/bin/tripwire -m c -t -M Cập nhật sở liệu theo File nội quy báo cáo hàng ngày: root@localhost#: /usr/TSS/bin/tripwire update polfile policy/tw.pol \ twrfile report/-.twr 5) Sử dụng giao thức SSH Nếu tơi khuyên bạn lên cho Service "Telnet" nghỉ hưu thay vào Service "SSH" Mặc dù Telnet tuyệt lại khơng cung cấp khả mã hố liệu đường truyền, điều xảy có Sniffer đặt đường truyền Để cài đặt OpenSSH bạn cần Down gói *.rpm từ Site hãng cung cấp phiển Linux mà bạn dùng Việc cài đặt từ gói *.rpm đơn giản, không đề cập đến Lưu ý: Nhớ Down cài thêm OpenSSL, để hoạt động OpenSSH cần số Lib OpenSSL Chi tiết việc sử dụng OpenSSH bạn tham khảo viết "Open SSH" http://www.polarhome.com/~vicki Về OpenSSH sử dụng Public Key để đảm bảo an toàn Public Key cấp phát cho hệ thống mà bạn muốn truyền thơng an tồn: host2$ ssh-keygen Generating RSA keys: ooooooO ooooooO Key generation complete Enter file in which to save the key (/home/binhnx2000/.ssh/identity): Created directory '/home/binhnx2000/.ssh' Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/binhnx2000/.ssh/identity Your public key has been saved in /home/binhnx2000/.ssh/identity.pub The key fingerprint is: ac:42:11:c8:0d:b6:7e:b4:06:6a:a3:a7:e8:2c:b0:12 binhnx2000@host2 Tiếp đến Copy Key để sử dụng: host2$ mkdir -m 700 ~dave/.ssh host2$ cp /mnt/floppy/identity.pub ~binhnx2000/.ssh/authorized_keys Bây từ hệ thống bạn, muốn Login vào hệ thống việc phát lệnh: root@localhost$ ssh host2 Enter passphrase for RSA key 'binhnx2000@localhost': Last login: Sat Aug 15 17:13:01 2000 from localhost No mail host2$ Ngoài khả cung cấp Shell Login an tồn, OpenSSH cịn cung cấp cho bạn cơng cụ Copy FTP cách an tồn Chẳng tơi muốn Copy file từ hệ thống sang hệ thống khác chấp nhận: root@localhost$ scp /tmp/file.tar.gz host2:/home/binhnx2000 Enter passphrase for RSA key 'binhnx2000@localhost: file.tar.gz 100% |***************************| 98304 00:00 Nếu lên hướng dẫn khuyến khích User hệ thống bạn sử dụng: OpenSSH thay cho Telnet FTP 6) Sử dụng TCP Wrappers Trước Server FTP chạy Đầu tiên tcpd xác định địa nguồn cho phép, kết nối gửi đến Syslog để đối chiếu sau Nếu bạn muốn vơ hiệu hố tất Service, bạn việc thêm dòng sau vào File /etc/host.denny ALL:ALL Để gửi E-mail đến nhà quản trị hệ thống thông báo lần kết nối bị thất bại, bạn thêm vào dòng sau: ALL: ALL: /bin/mail \ -s “%s connection attempt from %c” admin@mydom.com Nếu bạn muốn cho phép địa tin cậy chạy dịch vụ mà họ phép, bạn chỉnh sửa nội dung File /etc/host.allow sshd: magneto.mydom.com, juggernaut.mydom.com in.ftpd: 192.168.1 Để đảm bảo an tồn bạn lên kiểm sốt điều khiển trình truy nhập cách cẩn thận Sử dụng tcpdchk để kiểm tra truy nhập File, sử dụng Syslog để ghi lại lần đăng nhập thất bại Bạn lên điều khiển truy nhập cho hệ thống theo nguyên tắc: Sự truy cập thực Client/Deadmon có địa phù hợp với nội dung cho phép /etc/hosts.allow 7) Sử dụng chế độ bảo mật mặc định Kernel Trong Kernel số hệ thống Linux có cấu hình sẵn vài Rules chuẩn với mục đích cung cấp thơng số để cấu hình cho hệ thống dành cho Admin khơng có nhiều kinh nghiệm bảo mật hệ thống Các File thơng số thường chứa /proc/sys Về giao thức IPV4, bên /proc/sys/net/ipv4 cung cấp tính bản: icmp_echo_ignore_all: Vơ hiệu hoá tất yêu phản hồi ICMP ECHO Sử dụng tuỳ chọn bạn không muốn hệ thống trả lời yêu cầu Ping icmp_echo_ignore_broadcasts: Vơ hiệu hố tất u cầu phản hồi ICMP ECHO Broadcast Multicast Tuỳ chọn sử dụng để ngăn chặn nguy hệ thống bạn bị lợi dụng khai thác cho công DDOS ip_forward: Cho phép hay không cho phép chuyển tiếp IP giao diện mạng hệ thống bạn Tuỳ chọn sử dụng bạn muốn Server hoạt động Router ip_masq_debug: Kích hoạt hay vơ hiệu hố q trình gỡ lỗi cho IP Masquerading tcp_syncookies: Tuỳ chọn sử dụng để bảo vệ hệ thống bạn chống công sử dụng kỹ thuật ngập SYN gây kinh hoàng thời Internet rp_filter: Chứng thực xác định địa IP nguồn hợp lệ Tuỳ chọn sử dụng để bảo vệ hệ thống bạn chống lại công giả mạo địa IP "IP Spoof" secure_redirects: Chỉ chấp nhận chuyển tiếp thông điệp ICMP cho Gateway tin tưởng danh sách log_martians: Ghi lại Packet không xử lý bở Kernel accept_source_route: Xác định xem liệu có phải Source Routed Packet chấp nhận hay từ chối Để an tồn bạn lên vơ hiệu hố tính Trong hệ thống Redhat, /etc/sysctl.conf chứa thông tin thiết bị mặc định xử lý khởi động hệ thống, thông số đọc, điều khiển thực thi /usr/bin/sysctl Nếu bạn muốn vơ hiệu hố tính "ip_foward" đơn giản bạn việc sử dụng lệnh: root@localhost# echo “0” > /proc/sys/net/ipv4/ip_forward Tương tự để kích hoạt tính bạn việc thay giá trị "0" "1"… 8) Bảo mật cho Apache Server Các thông tin hoạt động Apache Server /etc/httpd/conf/httpd.conf Bây xem xét nội dung Listen 127.0.0.1:80 Sử dụng thơng số để vơ hiệu hố tồn truy cập vào hệ thống File không cho phép kẻ công Để vô hiệu mức tối thiểu thơng tin Server bị rỉ ngồi kẻ cơng sử dụng kỹ thuật chộp Banner Nó dùng rộng rãi hệ thống lớn Options None AllowOverride None Order deny,allow Deny from all Bây đến phần giới hạn địa IP phép, không phép Bạn đọc file /etc/httpd/conf/access.conf : # Deny all accesses by default Order deny,allow # Allow access to local machine Allow from 127.0.0.1 # Allow access to entire local network Allow from 192.168.1 # Allow access to single remote host Allow from 192.168.5.3 # Deny from everyone else Deny from all Để an toàn bạn lên sử dụng mật chứng thực cho việc truy cập đến tập tin /etc/httpd/conf/access.conf (tập tin chứa đựng thông tin cho phép, không cho phép giới hạn IP truy cập): Order Deny,Allow Deny from All Allow from 192.168.1.11 AuthName “Private Information” AuthType Basic AuthUserFile /etc/httpd/conf/private-users AuthGroupFile /etc/httpd/conf/private-groups require group TạoFile chứa thông tin người phép truy nhập vào khu vực lệnh "htpasswd" Chẳng hạn bạn muốn add vào danh sách User phép truy nhập vào khu vực trên: root@localhost# htpasswd -cm /etc/httpd/conf/private-users binhnx2000 New password: Re-type new password: Adding password for user binhnx2000 Đừng quên Set quyền hạn hợp lý cho nó: root@localhost# chmod 700 /etc/httpd/conf/private-users root@localhost# chown root /etc/httpd/conf/private-users Khởi động lại Apache Server kiểm tra xem làm việc chưa ? Nếu bạn muốn Add thêm User vào file private-user Bạn sử dụng nguyên câu lệnh bỏ tuỳ chọn "c" 9) Bảo mật cho DNS Server (BIND Server) Zone Transfer phải cho phép Master Name Server với mục đích cập nhật thơng tin Slave Server Các yêu cầu phục vụ DNS thất bại để lộ thơng tin IP Hostname người sử dụng không hợp pháp Cho lý này, bạn cần hạn chế phản hồi Domain Public: // Allow transfer only to our slave name server Allow queries // only by hosts in the 192.168.1.0 network zone “mydomain.com” { type master; file “master/db.mydomain.com”; allow-transfer { 192.168.1.6; }; allow-query { 192.168.1.0/24; }; }; Vô hiệu hố ngăn chặn việc rị rỉ thơng tin từ DNS Server: // Disable the ability to determine the version of BIND running zone “bind” chaos { type master; file “master/bind”; allow-query { localhost; }; }; Để bổ xung thêm tính bảo mật cho DNS Server File /master/bind chứa đựng thông tin: $TTL 1d @ CHAOS SOA localhost root.localhost ( ; serial 3H ; refresh 15M ; retry 1W ; expire 1D ) ; minimum NS localhost Điều khiển định rõ giao diện mạng phục vụ cho DNS Server Việc hạn chế giao diện mạng khơng cần thiết giảm bớt nguy công vào DNS Server bạn: listen-on { 192.168.1.1; }; Sử dụng User Access Control List để điều khiển truy cập, sửa đổi cho người sử dụng đáng đáng tin cậy phạm vị mạng: acl “internal” { { 192.168.1.0/24; 192.168.2.11; }; }; Thiếp lập User DNS Server User bình thường hệ thống bạn Khơng lên thiết lập cho nhiều đặc quyền Tránh tính trạng bị kẻ công lợi dụng để thực thi công "Get Root" root@localhost# useradd -M -r -d /var/named -s /bin/false named root@localhost# groupadd -r named 10) Bảo mật cho Syslog Syslog ví Camera ghi lại gần toàn hoạt động Nếu Admin nêu lên chức tầm quan trọng thực Syslog Các thông số hoạt động Syslog dễ hiểu cấu hình /etc/syslog.conf, phần File cấu hình: # Monitor authentication attempts auth.*;authpriv.* /var/log/authlog # Monitor all kernel messages kern.* /var/log/kernlog # Monitor all warning and error messages *.warn;*.err /var/log/syslog # Send a copy to remote loghost Configure syslogd init # script to run with -r -s domain.com options on log # server Ensure a high level of security on the log # server! *.info @loghost auth.*;authpriv.* @loghost Có lẽ tơi khơng nêu lên tồn tính Syslog, bạn tự tìm hiểu Tơi nêu qua cách thức giúp bạn bảo vệ nội dung Syslog Tránh tình trạng bị chỉnh sửa kẻ cơng Bạn cần hạn chế truy cập đến thư mục, File Syslog User bình thường: root@localhost# chmod 751 /var/log /etc/logrotate.d root@localhost## chmod 640 /etc/syslog.conf /etc/logrotate.conf root@localhost## chmod 640 /var/log/*log 10) Một số kinh nghiệm Dưới số kinh nghiệm vụn vặt mà thu lượm sau lê la vài Site/Forum chuyên Security Unix/Linux Tôi định tổng hợp chúng viết lại cách dễ hiểu Số lượng Bug phát ngày nhiều AutoRPM (Redhat) app-get (Debian) có chức theo dõi tự động Down xuống Update, Patch Package từ Server nhà cung cấp Tơi nghĩ tính hữu ích cho hệ thống bạn Nếu khuyên bạn lên bỏ nhiều thời gian quan tâm đến hệ thống hơn, bạn đăng ký vào danh sách Mail List chuyên Bug, Security Để chủ động tình Cài đặt vài chương trình Scanner nhanh gọn nmap chẳng hạn Nó Scan cơng khai, Port, Service, OS ẩn giao thức TCP/UDP Rất tiện lợi Bạn đừng quên có chế bảo vệ hợp lý cho LiLo (trình quản lý khởi động Linux) Thiết lập chế chứng thực quyền hạn hợp lý cách thêm dòng sau vào File /etc/lilo.conf: /sbin/lilo: image = /boot/vmlinuz-2.2.17 label = Linux read-only restricted password = your-password Kernel OpenWall tỏ hữu ích việc ngăn ngừa công tràn đệm Buffer Overflow, cảnh báo, ngăn chặn hạn chế thay đổi thực User hệ thống bạn Để sử dụng Kernel OpenWall bạn phải Compli lại Kernel Đảm bảo thông tin thời gian hệ thống bạn phải hồn tồn xác hợp lý Sẽ có nhiều rắc rối xảy thời gian hệ thống bạn khơng xác Nó gây nhiều khó khăn cho việc kiểm tốn hệ thống sau này: Như phân tích nội dung, kiện Log File chẳng hạn Để đảm bảo thời gian hệ thống bạn ln xác Bạn việc Add thêm vào Crontab lệnh với chức đối chiếu, so sánh thời gian hệ thống bạn với Host Time chuẩn: 0-59/30 * * * * root /usr/sbin/ntpdate -su time.timehost.com Sử dụng Sudo để thiết lập quyền hạn thực câu lệnh User hệ thống bạn Có thể thiết lập quyền hạn cho User bình thường thực lệnh root Tiếp bạn dùng User để điều khiển hệ, quản hệ thống bạn mà không cần phải sử dụng đến Acc root Mặc dù lợi ích mà Sudo đem lại lớn, khơng cấu hình cách cẩn thận Sudo phá vỡ hồn tồn khái niệm phân quyền, cấp vốn coi yếu tố tạo lên sức mạnh Unix/Linux Đừng quên chọn cho Antivirus thích hợp Nó có nhiệm vụ qt, cảnh báo, ngăn chặn, tiêu diệt Virus chúng có ý định công vào hệ thống bạn Mặc dù khả bị công Virus Linux khơng phải khơng có Lợi ích to lớn thực mà Antivirus đem lại cho bạn có lẽ việc phát ngăn chặn Virus từ Mail Server bạn trước người sử dụng nhận chúng Hệ thống bạn sử dụng Unix/Linux, đâu phải tất User hệ thống bạn sử dụng Unix/Linux ? Nếu khơng muốn nói 90 % họ sử dụng Windows Hay trường hợp User ác ý muốn Up lên Server bạn Script, Tools cỡ như: PHP Bomb, CGI Telnet, DDOS Zombine Tất chúng liệt vào hàng Malicious Code dễ dàng bị phát Antivirus Có nhiều Antivirus thân tơi thích sử dụng Kapersky Antivirus (KAVP) Thật thiếu xót khơng nhắc đến "bảo kê" tin cậy hầu hết mạng máy tính Đó tường lửa (Firewall) hệ thống dị xâm nhập (Network Instrution Detection) Trên mơi trường Unix/Linux có nhiều Soft loại Nhưng có lẽ có ơng kẹ sử dụng rộng rãi tính an tồn phổ cập là: Ipchains/Iptables (Firewall) Snort (Network Instrution Detection) Để viết chi tiết tỉ mỉ Firewall Network Instrution Detection có lẽ khơng biết phải tốn trang… Do khuôn khổ viết, với mục đích điểm qua mục bảo mật cần lưu ý lên hướng dẫn cụ thể cách cài đặt, cấu hình, sử dụng Tools/Soft nêu như: Sudo, Ipchains/Iptables, Snort, OpenSSH Mong bạn thông cảm P/S: Trước thời điểm viết hồn thành Tơi hồn thành xong viết chi tiết hướng dẫn sử dụng chúng Tôi xem xét Update trực tiếp vào tài liệu thời gian sớm Một sồ File Security cần lưu ý Unix/Linux: Vị Trí /var/log Permission 751 /var/log/message /etc/crontab 644 600 /etc/syslog.conf /etc/logrotate.conf 640 640 /var/log/wtmp 660 /var/log/lastlog /etc/ftpusers 640 600 /etc/passwd /etc/shadow 644 600 /etc/pam.d /etc/hosts.allow 750 600 /etc/hosts.denny 600 /etc/lilo.conf 600 /etc/securetty 600 /etc/shutdown.allow 400 /etc/security 700 /etc/rc.d/init.d 750 /etc/init.d 750 /etc/sysconfig 751 /etc/inetd.conf /etc/cron.allow 600 400 /etc/cron.denny 400 /etc/ssh 750 Chức Năng Thưc mục chứa tất Log File hệ thống Những thông báo hệ thống Thư mục chứa File liên quan đến Crontab File cấu hình Syslog File cầu hình điều khiển luân phiên File Log Hiển thị thông tin Logged vào hệ thống Ai Log vào hệ thống trước Danh sách User không phép sử dụng FTP Danh sách User hệ thống Danh sách Password mã hoá cho User File cấu hình cho PAM File điều khiển cho phép địa chỉ, Host… File điều khiển ngăn cản địa chỉ, Host… File cấu hình trình quản lý khởi động Linux TTY Interface mà root phép đăng nhập Danh sách User phép sử dụng tổ hợp phím: Ctrl + Alt File thiết lập quy tắc an toàn chung cho hệ thống Thư mục chứa File chương trình khởi động hệ thống (Redhat) Thư mục chứa File chương trình khởi động hệ thống (Debian) Thư mục chứa File cấu hình hệ thống Network (Redhat) File định nghĩa Service hệ thống Danh sách User phép sử dụng Cron Danh sách User không phép sử dụng Cron Thơng tin cấu hình SSH 11) Nguồn Secuurity Tools ưa chuộng Linux • Ipchains/Iptables Firewall http://www.iptbales.org/ • Open SSH Secure Remote Access Tool http://www.openssh.com/ • Nmap Port Scanner http://www.insecure.org/nmap • Sudo Root Access Control Tool http://www.sudo.ws/ • Snort Network Intrusion Detection System http://www.snort.org/ • Tripwire File Integrity Tool http://www.tripwiresecurity.com/ • OpenWall Security Project http://www.openwall.com/ • Network Time Protocol information http://www.ntp.org/ • Kapersky AntiVirus Pro http://www.avp.ch 12) Lời kết Security ln lĩnh vực nóng bỏng, chiến dai dẳng Admin Intruder dường không kết thúc Bạn bỏ nhiều thời gian, có sách bảo mật hợp lý cho hệ thống mình…Thì khả bị cơng thấp…Tuy nhiên tỷ lệ thấp khơng có nghĩa khơng thể xảy Khơng có Firewall, Security Tools coi an toàn cách tuyệt đối Con người luôn yếu tố định tất Như nói phần đấu, Version Demo tài liệu Thiếu xót điều khơng thể tránh khỏi, mong nhận góp ý bảo thẳng thắn từ phía bạn Bạn liên hệ với tơi: My E-mail: binhnx2000@yahoo.com My GPG Public Key: http://www.polarhome.com/~binhnx/contact/binhnx2000.asc My Site & Group: http://www.vieteam.com/ (VTF Forum) http://www.polarhome.com/~vicki (Vicki Group H/C/A) http://binhnx.hypermart.net/ (My Site) ... độ bảo mật mặc định Kernel Trong Kernel số hệ thống Linux có cấu hình sẵn vài Rules chuẩn với mục đích cung cấp thơng số để cấu hình cho hệ thống dành cho Admin khơng có nhiều kinh nghiệm bảo mật. .. chương trình Scanner nhanh gọn nmap chẳng hạn Nó Scan cơng khai, Port, Service, OS ẩn giao thức TCP/UDP Rất tiện lợi Bạn đừng quên có chế bảo vệ hợp lý cho LiLo (trình quản lý khởi động Linux) ... chưa hiểu lợi ích thực "md5sum" giới bảo mật Tơi lấy ví dụ đơn giản Khi kẻ công đột nhập vào hệ thống bạn, chúng cài đặt sử dụng Rootkit Thực chất chương trình thơng dụng Admin như: netstat,