Quản trị hệ thống Quản lý tiến trình Linux 1.1 Giới thiệu Linux HDH đa người sử dụng, đa tiến trình Linux thực tất công việc người sử dụng hệ thống tiến trình (process) Do đó, hiểu cách điều khiển tiến trình hoạt động HDH Linux quan trọng cho công việc quản trị hệ thống Định nghĩa : Tiến trình (process) chương trình đơn chạy khơng gian địa ảo Cần phân biệt tiến trình với lệnh dịng lệnh shell sinh nhiều tiến trình Dịng lệnh sau nroff -man ps.1 | grep kill | more sinh tiến trình khác Có loại tiến trình Linux : trình với đối thoại (Interactive processes) : tiến trình khởi động quản lý shell, kể tiến trình forthground background Tiến trình batch (Batch processes) : Tiến trình khơng gắn liền đến bàn điều khiển (terminal) nằm hàng đợi để thực Tiến trình ẩn nhớ (Daemon processes) : Là tiến trình chạy (background) Các tiến trình thường khởi động từ đầu Đa số chương trình server cho dịch vụ chạy theo phương thức Đây chương trình sau gọi lên nhớ, đợi thụ động yêu cầu chương trình khách (client) để trả lời sau cổng xác định (cổng khái niệm gắn liền với Tiến 85 giao thức TCP/IP BSD socket) Hầu hết dịch vụ Internet mail, Web, Domain Name Service … chạy theo nguyên tắc Các chương trình gọi chương trình daemon tên thường kết thúc ký tự "d" named, inetd … Ký tự "d" cuối phát âm rời "đê " tiếng việt Ví dụ named phát âm "nêm đê" Cách đơn giản để kiểm tra hệ thống tiến trình chạy sử dụng lệnh ps (process status) Lệnh ps có nhiều tùy chọn (option) phụ thuộc cách mặc định vào người login vào hệ thống Ví dụ : $ ps PID TTY STAT TIME COMMAND 41 v01 S 0:00 -bash 134 v01 R 0:00 ps cho phép hiển thị tiến trình liên quan tới người sử dụng hệ thống Cột PID (Process IDentification) Mỗi tiến trình Linux mang số ID thao tác liên quan đến tiến trình thông qua số PID Gạch nối – trước bash để thơng báo shell khởi động người sử dụng login Để hiển thị tất process, ta sử dụng lệnh ps –a Một người sử dụng hệ thống bình thường thấy tất tiến trình, điều khiển dược tiến trình tạo Chỉ có superuser có quyền điều khiển tất tiến trình hệ thống Linux người khác Lệnh ps –ax cho phép hiển thị tất tiến trình, tiến trình khơng gắn liền đến có bàn điều khiển (tty) Chúng ta coi tiến trình chạy với dịng lệnh đầy đủ để khởi động tiến trình ps –axl Lệnh man ps cho phép coi tham số tự chọn khác lệnh ps 86 1.2 Dừng tiến trình Lệnh kill : Trong nhiều trường hợp, tiến trình bị treo, bàn phím điều khiển khơng trả lời lệnh từ bàn phím, chương trình server cần nhận cấu hình mới, card mạng cần thay đổi địa IP …, phải dừng (kill) tiến trình có vấn đề Linux có lệnh kill để thực cơng tác Trước tiên bạn cần phải biết PID tiến trình cần dừng thơng qua lệnh ps Xin nhắc lại có super-user có quyền dừng tất tiến trình, cịn người sử dụng dừng tiến trình Sau đó, ta sử dụng lệnh kill -9 PID_của_ tiến_trình Tham số –9 gửi tín hiệu dừng khơng điều kiện chương trình Chú ý bạn logged vào hệ thống root, nhập số PID xác khơng bạn dừng tiến trình khác Khơng nên dừng tiến trình mà khơng biết làm treo máy dịch vụ Một tiến trình sinh tiến trình trình hoạt động Nếu bạn dừng tiến trình cha, tiến trình dừng theo, khơng tức Vì phải đợi khoảng thời gian sau kiểm tra lại xem tất tiến trình có dừng hay khơng Trong số hãn hữu trường hợp, tiến trình có lỗi nặng khơng dừng được, phương pháp cuối khởi động lại máy Lệnh at : Linux có lệnh cho phép thực tiến trình thời điểm mong muốn thơng qua lệnh at Thời điểm thực công việc nhập vào tham số lệnh at $ at 1:23 lp /usr/sales/reports/* Dấu ^D có nghĩa cần giữ phím , sau nhấn phím D bỏ phím lúc 87 Sau bạn kết thúc lệnh at, dịng thơng báo giống sau hình job 756001.a at Sat Dec 21 01:23:00 2000 Số 756001.a cho phép tham chiếu tới cơng tác (job) đó, để dùng bạn muốn xóa job lệnh at –r job_number Lệnh khác với phiên khác Ví dụ RedHat 6.2 lệnh xóa job atrm job_number Trong trường hợp coi manpage để biết lệnh tham số cụ thể Bạn dùng quy tắc chuyển hướng (redirect) để lập lịch trình cho nhiều lệnh lúc at 10:59 < tập_lệnh đó, tập_lệnh tập tin dạng text có lệnh Để kiểm tra tiến trình mà bạn nhập vào, dùng lệnh at –l Lệnh batch Khác với lệnh at tiến trình thực vào thời điểm người sử dụng chọn, lệnh batch hệ thống tự định tiến trình thực dựa mức độ tải hệ thống Thường tiến trình batch thi hành máy bận 20% Các tiến trình in ấn, cập nhật liệu lớn … thích hợp với kiểu lệnh Cú pháp batch sau : $ batch lp /usr/sales/reports/* 1.3 Crond Các lệnh at batch cho phép lập kế hoạch thực tiến trình lần Linux cịn cho phép lập kế hoạch có tính chất chu kỳ thơng qua lệnh cron (viết tắt chronograph) tập tin crontabs Chương trình daemon cron (crond) kích hoạt từ đầu với khởi động hệ thống Khi khởi động, cron 88 xem có tiến trình hàng đợi nhập vào lệnh at, sau xem xét các tập tin crontabs xem có tiến trình cần phải thực hay không "đi ngủ ":-) Cron "thức dậy" phút để kiểm tra xem có phải thực tiến trình khơng Super-user user đặt hàng tiến trình cho phép thực cron Để làm điều này, bạn cần tạo tập tin text theo cú pháp cron sau Phút ngày_của_tháng tháng_của_năm ngày_của_tuần lệnh * * /u/sartin/bin/status_report cho phép /u/sartin/bin/status_report thực vào 8giờ 00 phút thứ hai Mỗi hàng chứa thời gian lệnh Lệnh cron thực thời điểm ghi trước dòng Năm cột đầu liên quan tới thời gian thay dấu "*" với ý nghĩa "với mọi" Các giá trị cho trường : minute (0-59) hour (0-23) day of month (1-31) month of year (1-12) day of week (0-6, is Sunday) Command (rest of line) Sau dùng lệnh crontab để cài đặt tập tin lệnh vào thư mục /usr/spool/cron/crontabs Mỗi người sử dụng có tập tin crontab trùng tên (user name) để lưu tất lệnh cần thực theo chu kỳ thư mục Cú pháp sử dụng crontab: crontab tên_tập_tin_lệnh 89 Lệnh top Lệnh top cho phép hiển thị hoạt động tiến trình, đặc biệt thơng tin tài nguyên hệ thống việc sử dụng tài ngun tiến trình Với lệnh đơn giản top, ta có 10:08am up days, 1:41, user, load average: 0.00, 0.01, 0.00 65 processes: 64 sleeping, running, zombie, stopped CPU0 states: 0.0% user, 0.0% nice, 100.0% idle 0.0% system, CPU1 states: 0.1% user, 0.0% nice, 99.3% idle 0.1% system, Mem: 513896K av, 496896K used, 17000K free, 0K shrd, 26640K buff Swap: 1052248K av, 77380K used, 974868K free 176680K cached PID USER PRI NI SIZE %CPU %MEM TIME COMMAND RSS SHARE STAT 21280 root 15 1040 1040 832 R 0.3 0.2 0:00 top root 15 472 432 416 S 0.0 0.0 0:05 init root 15 keventd 0 0 SW 0.0 0.0 0:00 root 34 19 0 SWN 0.0 0.0 0:00 ksoftirqd_CPU0 root 34 19 0 SWN 0.0 0.0 0:00 ksoftirqd_CPU1 root 15 0 0 SW 0.0 0.0 0:06 90 kswapd root 25 bdflush 0 0 SW 0.0 0.0 0:00 root 15 kupdated 0 0 SW 0.0 0.0 0:00 root 25 mdrecoveryd 0 SW 0.0 0.0 0:00 14 root 25 0 0 SW 0.0 0.0 0:00 scsi_eh_0 15 root 25 0 0 SW 0.0 0.0 0:00 scsi_eh_1 18 root 15 0 0 SW 0.0 0.0 0:05 kjournald 97 root 16 0 0 SW 0.0 0.0 0:00 khubd 190 root 15 0 0 SW 0.0 0.0 0:00 kjournald Số % máy rảnh (idle) in đậm quan trọng Một máy rảnh 50% máy tải cần xem xét Lệnh top cho phép theo dõi xem có tiến trình chiếm dụng nhiều thời gian CPU truy cập đĩa khơng Ngồi ra, số lệnh khác vmstat mpstat, sar, iostat cho phép xem xét với mục đích khác hoạt động máy chủ Quản trị phần mềm Linux 2.1 Redhat Package Manager - rpm 91 Việc quản lý phần mềm kèm với Linux việc dễ dàng trở nên vơ khó khăn phức tạp Redhat phát triển hệ thống quản lý phần mềm cho Linux có giao diện thân thiện hiệu gọi RPM RPM chương trình quản lý package tự động làm trình cài đặt, nâng cấp, xố bảo trì phần mềm Linux Do tính tiện dụng nó, RPM hỗ trợ hầu hết Linux khác SuSe, Mandrake, Caldera, Corell Ngày nay, RPM dùng hệ Unix khác như: OS/2 Solaris SCO Unix HP-UX FreeBSD NetBSD Be OS 2.2 Câu truy vấn Lệnh rpm có nhiều tham số Để xem cách nhanh chóng danh sách phần mềm có hệ thống ta dùng rpm –qa Có nghĩa query all package Để tìm xác package mà ta muốn biết xem có hệ thống hay chưa ta dùng kết hợp lệnh grep [root@starturn root]# rpm -qa |grep mc kernel-pcmcia-cs-3.1.31-9 mc-4.5.55-12 [root@starturn root]# 92 Một vài công cụ tiện ích khác cho rpm dùng kết hợp với tham số -i , -l, test -i : Information -l : list Ví dụ: [root@starturn root]# rpm -qi telnet Name : telnet Relocations: (not relocateable) Version : 0.17 Vendor: Red Hat, Inc Release : 23 Build Date: Tue 23 Jul 2002 09:05:54 AM EDT Install date: Sun 08 Dec 2002 11:19:54 AM EST Build Host: stripples.devel.redhat.com Group : Applications/Internet 0.17-23.src.rpm Source RPM: telnet- Size : 91323 License: BSD Signature : DSA/SHA1, Tue 03 Sep 2002 05:41:07 PM EDT, Key ID 219180cddb42a60e Packager : Red Hat, Inc Summary : The client program for the telnet remote login protocol Description : Telnet is a popular protocol for logging into remote systems over the Internet The telnet package provides a command line telnet client 93 [root@starturn root]# [root@starturn root]# rpm -ql ftp /usr/bin/ftp /usr/bin/pftp /usr/share/man/man1/ftp.1.gz /usr/share/man/man1/pftp.1.gz /usr/share/man/man5/netrc.5.gz [root@starturn root]# 2.3 Cài đặt phần mềm Dùng lệnh: rpm -ivh Ví dụ: cài đặt Midnight Commander [root@starturn root]# rpm -ivh mc-4.5.55-12.i386.rpm warning: mc-4.5.55-12.i386.rpm: NOKEY, key ID db42a60e V3 DSA signature: Preparing ############################### [100%] 1:mc ############################### [100%] [root@starturn root]# rm -f mc-4.5.55-12.i386.rpm 2.4 Xoá phần mềm Dùng lệnh: rpm erase Ví dụ: rpm erase mc 2.5 Tiện ích kpackage 94 Một số quy ước: Field thứ khai báo zone file /etc/named (zone "vnuhcm.edu.vn" zone "1.16.172.in-addr.arpa")có thể giúp ta số khai báo nhanh chóng file sở liệu sau: vnuserv.vnuhcm.edu.vn INA172.16.1.2 viết: vnuservINA172.16.1.2 2.1.16.172.in-addr.arpa.IN vnuserv.vnuhcm.edu.vn PTR viết 2INPTRvnuserv.vnuhcm.edu.vn @ IN SOA al.robocop.movie.edu ( terminator.movie.edu ; Serial 10800 ; Refresh after hours 3600 ; Retry after hour 604800 ; Expire after week 86400 ) ; Minimum TTL of day tương đương với: vnuhcm.edu.vn IN SOA al.robocop.movie.edu ( terminator.movie.edu ; Serial 10800 ; Refresh after hours 3600 ; Retry after hour 604800 ; Expire after week 86400 ) ; Minimum TTL of day Nếu field đầu entry file sở liệu khoảng trắng hay spacebar lấy resource record dịng Ví dụ: 155 server1INA172.16.1.4 INA172.16.1.5 Tương đương với: server1INA172.16.1.4 server1INA172.16.1.5 7.3 Khởi động primary name server: Ta dùng script khởi động: Trong linux 6.2: /etc/rc.d/init.d/named start Trong linux 7.1: /etc/init.d/named start 7.4 Chương trình nslookup: Trong linux để khai báo dùng name server, ta cấu hình file /etc/resolv.conf Ta thêm dòng sau vào file /etc/resolv.conf: Nameserver 172.16.1.2 Để dùng chương trình nslookup ta gỏ lệnh nslookup dấu nhắc lệnh: bash-2.03# nslookup Default Server: vnuserv.vnuhcm.edu.vn Address: 172.16.1.2 > www.vnuhcm.edu.vn Server: vnuserv.vnuhcm.edu.vn Address: 172.16.1.2 Name: server.vnuhcm.edu.vn 156 Address: 172.16.1.4 Aliases: www.vnuhcm.edu.vn Để kiểm type=mx tra domain mail ta dùng lệnh: set Ví dụ: > set type=mx > vnuhcm.edu.vn Server: vnuserv.vnuhcm.edu.vn Address: 172.16.1.2 vnuhcm.edu.vn preference = 0, mail exchanger = vnuserv.vnuhcm.edu.vn vnuhcm.edu.vn vnuserv.vnuhcm.edu.vn nameserver vnuserv.vnuhcm.edu.vn 172.16.1.2 internet = address 157 = Bảo mật Linux Tại cần phải bảo mật hệ thống ? Trong giới thay đổi ngày việc truyền thông liệu toàn cầu, kết nối Internet rẻ tiền tốc độ ngày nhanh việc bảo mật hệ thống vấn đề hữu ích Bảo mật địi hỏi thiết yếu máy tính mang tính tồn cầu ngày trở nên an tồn Thử tưởng tượng gói liệu di chuyển từ điểm A sang điểm B, gói liệu qua nhiều điểm mạng máy người sử dụng lấy thơng tin gói liệu biết thơng tin chi tiết máy gửi, họ sử dụng kỹ thuật cao để truy nhập bất hợp pháp vào máy gửi phá hỏng máy toàn hệ thống tùy theo mức độ thao tác Những thao tác mà người sử dụng bất hợp pháp làm hệ thống ăn cắp thông tin hệ thống, từ chối dịch vụ sử dụng hệ thống Mục đích việc bảo mật thơng báo cho người sử dụng, phịng ban hệ thống biết vấn đề việc bảo vệ thông tin kỹ thuật họ Các luật bảo mật dẫn cho họ biết thông tin máy mà họ gặp đường mạng Bảo mật ? Trước hết phải nhận điều khơng có hệ thống hoàn toàn bảo mật tuyệt đối Tất mà nhà quản trị làm tăng thêm khó khăn cho người dùng họ có ý định thâm nhập hệ thống Nhà quản trị hệ thống cần phải định cân mục đích, ý định sử dụng hệ thống Cần phải định mức độ bảo mật cần thiết cho hệ thống Đối với nhà cung cấp sản phẩm mục tiêu họ cung cấp nhiều dịch vụ tốt, đơn giản hóa việc sử 158 dụng dịch vụ hệ thống, nói chung tất mà họ làm sản phẩm tiêu thụ nhiều Việc vơ hình chung làm cho nhà quản trị hệ thống trở nên phức tạp Bởi dịch vụ đa dạng má nhà cung cấp phát triển trở thành cổng sau cho cracker thâm nhập hệ thống Như vậy, mơ tả tác động việc nhà quản trị sau : + Các dịch vụ chống lại vấn đề bảo mật : nói dịch vụ mà nhà cung cấp sản phẩm phát triển cho phép người dùng sở hữu nguồn tài nguyên hệ thống dĩ nhiên điều hồn tồn khơng địi hỏi chứng thực Đây việc nguy hiểm cho hệ thống nhiệm vụ nhà quản trị cần phải định hạn chế dịch vụ cần thiết hệ thống bảo mật cho dịch vụ + Dễ dàng sử dụng khó khăn bảo mật : hệ thống mà dễ dàng cho phép thâm nhập người dùng điều nguy hiểm cho việc bảo mật hệ thống Nên có chế chứng thực cho sử dụng, điều gây rắc rối việc sử dụng làm cho hệ thống trở nên an tồn hơn, đặc biệt nên áp dụng chế chứng thực thường xuyên để tăng thêm phần bảo mật cho hệ thống + Kết bảo mật giảm mát thông tin : việc thiết lập chế bảo mật sử dụng firewall, chế chứng thực, nghiêm ngặt vấn đề sử dụng tương ứng làm giảm bớt mát thông tin, mát dịch vụ, … Điều tương ứng với giá phải trả cho nhà quản trị Cần phải bảo vệ hệ thống Trước định việc bảo mật hệ thống nhà quản trị cần phải biết xem cần phải bảo vệ hệ thống 159 Những thơng tin sau giúp cho nhà quản trị biết thêm thông tin vấn đề cần bảo vệ hệ thống : + Sự liều lĩnh bảo mật : khiến cho người thâm nhập khơng hợp pháp thành cơng việc thâm nhập Liệu người thực thi chương trình hệ thống, hay truy cập tập tin hệ thống làm hại đến hệ thống Những hoạt động khiến cho hệ thống ngừng hoạt động khơng, họ khiến cho hệ thống trở nên rối tung, … + Luồng : thông thường người sử dụng thâm nhập vào hệ thống khơng có chứng thực thread cách thông thường mà họ cung cấp Nhà quản trị cần phải định xem người phép truy cập vào hệ thống thông qua mạng phân luồng mà họ phép sử dụng Có nhiều người thâm nhập qua hệ thống thơng qua phân luồng này, nhà quản trị cần phải xem xét họ kiểu người thâm nhập : Curious : loại thâm nhập vào hệ thống muốn xem hệ thống thuộc loại liệu hệ thống Malicious : loại thường làm chết hệ thống mà họ xâm nhập, thay đổi website hệ thống, khiến cho nhà quản trị phải tốn nhiều thời gian việc khơi phục lại mà họ phá hoại Hight-Profile Intrunder : loại xâm nhập thường cố gắng sử dụng hệ thống mà họ thâm nhập để truy cập bên ngồi, để quảng cáo cho tài Competition : loại thích thú với thơng tin liệu hệ thống Họ người mà nghĩ hệ thống nhà quản trị có hấp dẫn họ 160 Borrower : loại thích thong dong hệ thống nhà quản trị, sử dụng dịch vụ server irc, DNS, … Leapfrogger : loại thích sử dụng hệ thống nhà quản trị để kết nối với hệ thống khác, hệ thống nhà quản trị có chức hoạt động gateway họ thường cố gắng làm cho hệ thống trở nên không tin tưởng hệ thống khác Phát triển quy tắc bảo mật Việc tạo nên quy tắc bảo mật đơn giản, tổng quát cho hệ thống để người dùng hệ thống có để đọc hiểu dễ dàng thực hành theo Điều bảo vệ liệu hệ thống an toàn thông tin riêng tư người dùng Một số điều cần nhận biết để thêm vào : người quyền kết nối vào hệ thống, phép cài đặt phần mềm, người sở hữu liệu, … Một quy tắc bảo mật tổng quát chấp nhận khởi đầu câu sau : Cái khơng cho phép bị cấm Các bước để phát triển quy tắc bảo mật Việc thiết lập quy tắc bảo mật đòi hỏi phải qua bước định mà nhà quản trị cần phải tuân thủ chặt chẽ : + tìm xem mà nhà quản trị cần phải bảo vệ hệ thống, tìm hiểu xem cần phải bảo vệ từ địa điểm 161 + định phân luồng, xem xét tiến trình tiếp diễn tìm xem tiến trình làm suy yếu hệ thống để tối ưu hệ thống Một lý quan trọng để thiết lập quy tắc bảo mật phải chắn có tác động đáng giá cho việc phát triển việc bảo mật Chẳn hạn cần phải biết tài sản hệ thống bao gồm gì, ví dụ hệ thống thông thường bao gồm tài nguyên sau : + phần cứng : CPU, bảng mạch chính, bàn phím, hình, máy trạm, máy cá nhân, máy in, ổ đĩa, đường truyền thông, router, … + phần mềm : nguồn chương trình, chương trình object, util, nhìn chung chương trình hữu ích cho hệ thống + liệu : thực thi, lưu trữ mạng, backup, nhật ký ngày, + nhân lực : người dùng, người cần thiết hoạt động hệ thống + tài liệu : chương trình, phần cứng, hệ thống, hàm cục quản trị + tài nguyên cung cấp : giấy, mẫu in, phương tiện hổ trợ hệ thống khác Có số vấn đề cần nhận rõ phát triển quy tắc bảo mật mà nhà quản trị bỏ qua liệt kê : + người phép sử dụng tài nguyên + mục đích việc sử dụng tài nguyên + người chứng thực cho việc sử dụng kết nối sử dụng + người quản trị hệ thống 162 + quyền lợi nhiệm vụ người dùng hệ thống + quyền lợi nhiệm vụ nhà quản trị ngược lại người dùng hệ thống + cần phải làm với thông tin nhạy cảm Chúng ta thảo luận rõ phần sau thơng tin nói : + người phép sử dụng tài nguyên : bước nhà quản trị phải định người phép sử dụng tài nguyên dịch vụ hệ thống Quy tắc thiết phải định rõ ràng người chứng thực sử dụng dịch vụ + mục đích việc sử dụng tài nguyên : sau định người phép sử dụng tài nguyên hệ thống điều cần thiết cung cấp hướng dẫn cho việc sử dụng tài nguyên hệ thống chấp nhận Nhất thiết nhà quản trị cần phải có hướng dẫn khác cho nhiều loại người dùng khác Quy tắc cần phải định sử dụng cho phép sử dụng không cho phép Cũng cần thiết định loại người dùng bị ngăn cấm Nên định cách hạn chế người dùng chứng thực Những điểm trình bày nên kiểm tra trước phát triển bảo mật sử dụng chấp nhận : có cho phép phá vỡ account có cho phép phá vỡ mật mã việc ngắt dịch vụ hệ thống có cho phép khơng người dùng có cần chứng thực để đọc thông tin tập tin đọc khơng 163 có cho phép người dùng hiệu chỉnh tập tin khơng thuộc sở hữu họ chí họ quyền thay đổi tập tin người dùng có nên chia xẻ account khơng đa số câu trả lời cho câu hỏi ‘không’ + người chứng thực sử dụng kết nối quyền lợi : quy tắc bảo mật hệ thống nên hiển thị người chứng thực cho phép sử dụng dịch vụ Sau định kiểu kết nối mà họ phép truy cập Nếu nhà quản trị không điều khiển người phép sử dụng kết nối đến hệ thống dĩ nhiên họ khơng thể điều khiển người dùng diện hệ thống Việc điều khiển người dùng phép truy cập vào hệ thống cịn giúp cho nhà quản trị phát sử dụng hệ thống có vấn đề xảy hệ thống Cũng xuất phát từ vấn đề bảo mật nhà quản trị cần phải xem xét chế mà họ tạo tài khoản Trong trường hợp lõng lẻo nhất, người sử dụng có chứng thực chấp nhận kết nối vào hệ thống trực tiếp truy cập vào hệ thống tạo tài khoản thủ công thông qua chế tạo tài khoản nhà cung cấp sản phẩm Tổng quát chế cung cấp tin tưởng tuyệt đối người vận hành chúng, dĩ nhiên người dùng có số lượng lớn đặc quyền hệ thống Nếu lựa chọn nhà quản trị họ nên lựa chọn số người tin tưởng để trình bày tác vụ Một lựa chọn khác sử dụng hệ thống thêm để người dùng chứng thực có tài khoản chạy + người có đặc quyền quản trị hệ thống : điều cần thiết vấn đề bảo mật cẩn thận việc định người có đặc quyền quản trị hệ thống Việc hạn chế đặc quyền 164 cần thiết Mặc khác nên cung cấp đầy đủ đặc quyền để họ thao tác dịch vụ mong muốn Một điều người dùng nắm giữ đặc quyền nên khai báo tài khoản đến trung tâm bảo mật hệ thống Nếu người dùng nhà quản trị cung cấp đặc quyền khơng có tài khoản họ nguy hiểm cho hệ thống + quyền lợi nghĩa vụ người dùng : người dùng nên biết rõ quyền lợi nghĩa vụ hệ thống nhằm đáp ứng đầy đủ yêu cầu nhà quản trị Những chủ đề số điều mà nhà quản trị cần phải hiểu rõ lĩnh vực : dẫn mà nhà quản trị cung cấp ( nơi mà người dùng bị ngăn cấm, ngăn cấm ) nơi mà người dùng chia tài khoản cho phép người khác sử dụng tài khoản họ bảo mật đến cỡ người dùng sử dụng password người dùng thường thay đổi mật mã mật mã bị chặn cho phép nơi mà nhà quản trị cung cấp người dùng backup ẩn giấu thơng tin mà hữu ích cho người khác quy tắc việc truyền thông điện tư + nên làm thơng tin nhạy cảm : trước cho phép người dùng sử dụng dịch vụ hệ thống, nhà quản trị phải định mức độ mà nhà quản trị cung cấp chế độ bảo mật Để định điều cần 165 phải định mức độ nhạy cảm liệu mà người dùng lưu trữ hệ thống Dĩ nhiên nhà quản trị không muốn người dùng lưu trữ thông tin nhạy cảm hệ thống mà họ không bảo mật tốt Nhà quản trị nên cung cấp thông tin cho người dùng để họ lưu trữ cách khác Ý nghĩa việc bảo mật hệ thống Việc bảo vệ site có ý nghĩa nhà quản trị bảo vệ tài nguyên hệ thống mà thường xuyên sử dụng : máy tính cục bộ, liệu hệ thống, người dùng, hệ thống mạng, … Thử tưởng tượng điều xảy người phá hoại xóa bỏ liệu người dùng, thay đổi website hệ thống, công bố kế hoạch tuyệt mật hệ thống bên ngồi Nếu có ý định thiết lập hệ thống mạng nhà quản trị phải định tài khoản thiết lập trước thiết lập máy cục nhà quản trị Nếu nhà quản trị nghĩ hệ thống họ nhỏ khơng có người có ý định phá hoại hệ thống họ sai lầm lớn kẻ phá hoại ghé thăm hệ thống họ Bởi thâm nhập vào hệ thống bạn họ nhờ vào hệ thống mà truy cập vào hệ thống khác cách dễ dàng, … Người phá hoại có nhiều thời gian để họ tìm hiểu hệ thống mục đích họ, việc bảo mật hệ thống khiến họ tốn nhiều thời gian để theo dõi thay đổi vấn đề bảo mật hệ thống + bảo mật máy tính hệ thống : có lẽ việc mà nhà quản trị thường làm để bảo mật cho hệ thống dựa việc bảo mật cho máy tính Và dĩ nhiên họ mong muốn người dùng tuân thủ theo ý muốn Công việc tương đối khơng khó người dùng bình thường chẳn hạn 166 chọn mật tốt ( khó bị đốn người khác, thay đổi mật thường xuyên, … ), bảo mật dịch vụ mạng máy cục bộ, nâng cấp thường xuyên chương trình bảo mật hệ thống mà từ phát nhiều lỗ hổng việc bảo mật hệ thống Mặc dù điều cần thiết nhiên thao tác cồng kềnh hệ thống mạng lớn + bảo mật mạng cục : việc bảo mật cho hệ thống mạng cục cần thiết không việc bảo mật cho máy tính hệ thống Thử tưởng tượng hệ thống mạng có tới hàng trăm hàng ngàn máy tính việc bảo mật hệ thống dựa máy tính khơng thể Đối với hệ thống lớn cần phải chắn có người chứng thực sử dụng hệ thống mạng, xây dựng hệ thống tường lửa ( firewall ) ngăn chặn xâm nhập bất hợp pháp, sử dụng giải thuật mã hoá mạnh mẽ, cần phải chắn khơng có máy tính an toàn nằm hệ thống nhà quản trị, trách nhiệm nhà quản trị + bảo mật theo kiểu ẩn giấu : điều có nghĩa nhà quản trị di chuyển tồn tập tin dịch vụ quan trọng hệ thống tới chổ khác an toàn mà kẻ phá hoại nghĩ tới ( điều có nghĩa chỗ di chuyển chổ không theo chuẩn mặc địch dịch vụ cài đặt ) họ khơng thể phá hoại hệ thống Tuy nhiên kiểu bảo mật hồn tồn chưa an tồn tuyệt đối kẻ phá hoại tìm nơi nhà quản trị cất giữ tập tin dịch An toàn vật lý Tầng việc bảo mật nhà quản trị cần phải bảo vệ vật lý hệ thống máy tính họ Ai người sử dụng máy tính hệ thống, liệu nhà quản trị bảo vệ hệ thống khỏi ý muốn riêng tư họ không Một câu hỏi đặt liệu mức độ bảo vệ cấp độ vật lý ??? Nếu người dùng cá nhân nhà 167 rõ ràng việc bảo vệ nhằm tránh bị đứa trẻ nhà vơ tình tiếp cận, cịn hệ thống phịng thí nghiệm có nhu cầu tiếp cận máy tính, số cơng ty việc rời khỏi máy tính mà khơng có tắt an tồn nguy hiểm Có thể liệt kê số phương thức để bảo vệ hệ thống cấp độ vật lý : khố cửa phịng, dây cáp, cabin, số phương thức tốt cho nhà quản trị Khóa máy tính : nhiều case máy tính đại có chức khóa chống việc bị người khác mở hộp máy lấy phần cứng máy tính Điều cịn giúp cho việc bảo vệ máy tính khỏi bị người khác khởi động lại Một vài case máy tính đại cịn có chức khác không cho phép người khác thay bàn phím khác thiết bị vật lý khác 168 TÀI LIỆU THAM KHẢO RedHat Linux Unleased Linux Maximum Security Building Internet Firewall Internet a www.linux.org b www.linux.com c www.kernel.org d www.sendmail.org e www.oreilly.com 169 ... 22 Dec 21 :27 :27 localhost xinetd[601]: START: sgi_fam pid=853 from= Dec 21 :29 :20 localhost sshd[ 122 5]: reverse map address 1 92. 168.10.100 Could not Dec 21 :29 :28 localhost sshd[ 122 5]:... bytes :26 06998 (2. 4 Mb) TX bytes :22 56640 (2. 1 Mb) Interrupt: 12 Base address:0x6000 eth0:0 Link encap:Ethernet HWaddr 00:C0 :26 :21 :96:99 inet addr:1 72. 16.10.100 Mask :25 5 .25 5 .25 5.0 Bcast:1 72. 16 .25 5 .25 5... address 1 92. 168.10.100 Could not Dec 22 :08 :25 localhost sshd[14 92] : Accepted password for root from 1 92. 168.10.100 port 11 42 ssh2 Dec 22 :08 :25 request for sftp localhost sshd[14 92] : Dec 22 :18:38