Đang tải... (xem toàn văn)
Hệ điều hành Linux là một khái niệm mới được sử dụng cách đây ít năm khi sử dụng hệ điều hành này thì nhất thiết không thể không tìm hiểu một cách tổng quát. Ngày nay, nhu cầu trao đổi dữ liệu qua mạng máy tính trở nên vô cùng quan trọng trong mọi hoạt động xã hội, song song với sự phát triển bùng nổ của mạng máy tính nói chung và mạng Internet nói riêng thì nguy cơ phải đối mặt với hàng loạt các đe dọa tiềm tàng như virus, sâu máy tính, các kiểu tấn công, xâm nhập,,..là rất lớn. Việc bảo vệ an toàn dữ liệu là một cấn đề cấp thiết, vì vậy việc lựa chọn một hệ điều hành phù hợp, có khả năng bảo mật tốt, độ tin cậy cao là rất quan trọng. Hệ điều hành Linux ra đời mang theo nhiều đặc tính an toàn bao hàm các cơ chế bảo mật, cùng với tính chất của một mã nguồn mở đã được đánh giá là một trong những hệ điều hành bảo mật tốt nhất hiện nay. Hơn nữa, Linux Server là một trong những thách thức lớn đối với tình trạng xâm nhập bất hợp pháp. Do đó, em nhận thấy vấn đề nghiên cứu về an toàn và bảo mật của hệ điều hành mã nguồn mở Linux là cần thiết.
Tìm hiểu an tồn bảo mật hệ điều hành Linux HỌC VIỆN NÔNG NGHIỆP VIỆT NAM KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO BÀI TẬP LỚN NGUYÊN LÝ HỆ ĐIỀU HÀNH ĐỀ TÀI TÌM HIỂU VỀ AN TOÀN VÀ BẢO MẬT TRONG HỆ ĐIỀU HÀNH LINUX Sinh viên: Nguyễn Thị Vân Mã sinh viên : 605132 Lớp : K60THA Giảng viên : ThS Nguyễn Thị Thảo HÀ NỘI – 2018 Tìm hiểu an tồn bảo mật hệ điều hành Linux MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG I : TỔNG QUAN VỀ HỆ ĐIỀU HÀNH LINUX .6 I LỊCH SỬ PHÁT TRIỂN II NHỮNG ƯU ĐIỂM KỸ THUẬT NỔI BẬT CỦA LINUX III NHƯỢC ĐIỂM CỦA LINUX CHƯƠNG II CÁCH THỨC TỔ CHỨC, CƠ CHẾ BẢO VỆ DỮ LIỆU TRONG LINUX I SƠ BỘ VỀ CẤU TRÚC FILE TRONG LINUX Hệ thống file .10 Cây thư mục – Inode 11 Ý nghĩa số thư mục gốc Linux 12 II QUẢN LÝ PHÂN QUYỀN TRONG LINUX 14 Hệ thống ghi nhật ký 14 2.Quyền truy nhập thư mục file 17 Một số phần mềm bảo mật khác Linux 23 CHƯƠNG III: AN TOÀN HỆ THỐNG, KERNEL 26 I NGƯỜI DÙNG VÀ VẤN ĐỀ TRUY CẬP HỆ .26 Vấn đề xác thực người dùng 26 Tài khoản Root 28 Các tài khoản đặc biệt 29 Ngăn chặn người sử dụng chuyển thành root lệnh "su" .30 II TĂNG CƯỜNG BẢO MẬT CHO (LIDS) 30 Các thành phần tính LIDS .33 2.Bảo vệ hệ thống 33 3.Thay đổi chế độ 33 4.Các file cấu hình LIDS: lids.conf: 34 Bảo vệ file/thư mục 34 Bảo vệ tiến trình 35 CHƯƠNG IV AN TOÀN VỚI CÁC GIAO DỊCH TRÊN MẠNG 37 I.LINUX FIREWALL .37 II CẤU HÌNH TỆP TIN QUAN TRỌNG 42 Tập tin "/etc/inetd.conf" 42 Tập tin "/etc/host.conf" 44 Tìm hiểu an tồn bảo mật hệ điều hành Linux Tập tin "/etc/services" 45 KẾT LUẬN 47 TÀI LIỆU THAM KHẢO 48 DANH MỤC HÌNH VẼ Hình 1:Cơ chế tổ chức tài ngun Linux Hình 2:Sector Hình 3:Hình ảnh Inode .10 Hình 4:Lệnh ls, thơng tin inode liệt kê phân biệt kiểu inode theo màu 11 Hình 5: Sơ đồ hệ thống file nhật ký .14 Hình 6: Hình ảnh thể vị trí VFS .15 Hình 7: Diễn tả chế phân quyền file 17 Hình 8: 10 ký tự dãy 18 Hình 9: Sơ đồ Netfilter/Iptables 36 Hình 10: Sơ đồ lọc xử lý gói iptables 39 Hình 11: Đường gói liệu 39 DANH MỤC CÁC BẢNG Bảng Bảng Bảng Bảng Bảng 1: Ý nghĩa số thư mục gốc Linux .13 2: Các kiểu thư mục Linux 18 3: Hệ áp dụng cách tính 21 4: Chế độ truy cập ban đầu (mặc định) .22 5: Các loại queues chain chức 39 Tìm hiểu an tồn bảo mật hệ điều hành Linux LỜI MỞ ĐẦU Ngày nay, nhu cầu trao đổi liệu qua mạng máy tính trở nên vô quan trọng hoạt động xã hội, song song với phát triển bùng nổ mạng máy tính nói chung mạng Internet nói riêng nguy phải đối mặt với hàng loạt đe dọa tiềm tàng virus, sâu máy tính, kiểu công, xâm nhập,, lớn Việc bảo vệ an toàn liệu cấn đề cấp thiết, việc lựa chọn hệ điều hành phù hợp, có khả bảo mật tốt, độ tin cậy cao quan trọng Hệ điều hành Linux đời mang theo nhiều đặc tính an tồn bao hàm chế bảo mật, với tính chất mã nguồn mở đánh giá hệ điều hành bảo mật tốt Hơn nữa, Linux Server thách thức lớn tình trạng xâm nhập bất hợp pháp Do đó, em nhận thấy vấn đề nghiên cứu an toàn bảo mật hệ điều hành mã nguồn mở Linux cần thiết Điều mang lại cho em say mê lý em chọn đề tài cho môn học : “ Tìm hiểu an tồn bảo mật hệ điều hành Linux” Đề tài giúp cải thiện đáng kết tư hiểu biết hệ điều hành Linux sinh viên Tìm hiểu an toàn bảo mật hệ điều hành Linux CHƯƠNG I : TỔNG QUAN VỀ HỆ ĐIỀU HÀNH LINUX Hệ điều hành Linux khái niệm sử dụng cách năm sử dụng hệ điều hành thiết khơng thể khơng tìm hiểu cách tổng quát I LỊCH SỬ PHÁT TRIỂN Linux tạo bùng nổ lĩnh vực tin học ngày trở nên phổ biến Rất nhiều công ty, tổ chức giới chấp nhận Linux platform cho sản phẩm họ, nhiều công ty, ISPs sử dụng máy chủ Linux Internet getway Vấn đề an toàn bảo mật cho Linux ngày trở nên quan trọng thiết Phiên đầy tiên Linux Torvalds viết vào năm 1991 ơng sinh viên, đưa sở cải tiến phiên Unix có tiên Minix giáo sư Andrew S Tanenbaum xây dựng phổ biến cho nhóm lập trình viên tình nguyện khắp nơi Internet viết hoàn thiện Linux Linux hệ điều hành mô Unix, xây dựng nhân Kernel gói phần mềm mã nguồn mở, công bố quyền GPL ( General Public Licence) Giống Unix, Linux gồm ba thành phần : nhân Kernel, Shell cấu trúc file II NHỮNG ƯU ĐIỂM KỸ THUẬT NỔI BẬT CỦA LINUX Linux có hấp dẫn người dùng? - Linux hồn tồn miễn phí Linux hệ điều hành mã nguồn mở, chi phí rẻ so với phần mềm truyền thống, mặt khác dễ nâng cấp, cải tiến (do cung cấp mã nguồn kèm theo) Chính thế, phát triển phần mềm mã nguồn mở tận dụng cơng nghệ tiên tiến có sẵn giới, cải tiến cho phù hợp với người Tìm hiểu an toàn bảo mật hệ điều hành Linux Việt Nam, tiết kiệm nhiều công sức so với việc phát triển từ đầu, tùy ý sửa chữa theo ý - Linux ổn định Windows Máy chủ chạy Linux hoạt động liên tục qua nhiều năm mà không gặp vấn đề Hệ điều hành xử lý nhiều kết nối, nhiều tiến trình đồng thời tốt nhiều so với Windows Và khơng bị hình xanh Windows - Linux vô bảo mật Linux mã nguồn mở – “Open Source”, hệ điều hành an toàn miễn nhiễm 100% với mã độc, virus Tuy nhiên tốt nhiều so với Windows, mã độc khó mà hoạt động mơi trường Linux - Phần cứng linh hoạt Linux tối ưu không yêu cầu phần cứng phải nâng cấp liên tục Windows Linux nhỏ gọn, linh hoạt khả mở rộng cao, hoạt động hầu hết nhiều loại phần cứng khác - Linux có sức mạnh với dòng lệnh thích hợp cho quản trị mạng Quản trị Linux tất qua dòng lệnh với giao thức SSH chủ yếu Hãy tưởng tượng bạn quản trị gõ lệnh dùng “thần chú” Câu lệnh tiếng rm –rf Giao thức TCP/IP mà ngày thường thấy giao thức truyền tin Linux III NHƯỢC ĐIỂM CỦA LINUX Mặc dù Linux có tốc độ phát triển nhanh hẳn Windows khách quan mà nói so với Windows, Linux chưa thể đến với người sử dụng Đó Linux có nhược điểm cố hữu - Người dùng phải thành thạo Hầu hết công việc phải thực dòng lệnh phải cấu hình nhờ sửa trực tiếp file Trước việc sử dụng cấu hình Linux xem cơng việc dành cho chuyên gia Mặc dù phiên gần đây, hệ điều hành Linux có cải tiến đáng kể, so với Windows tính thân thiện Linux vấn đề lớn - Phần cứng hỗ trợ Tìm hiểu an tồn bảo mật hệ điều hành Linux Linux chưa có đủ trình điều khiển cho tất thiết bị phần cứng có thị trường - Phần mềm ứng dụng chưa tinh xảo Các phần mềm ứng dụng Linux sẵn không tiền, đa số không tiện dụng, không phong phú Nhiều phần mềm ứng dụng thiếu chức thông dụng, đặc trưng mà người dùng quen với Microsoft Office - Thiếu chuẩn hóa Do Linux tồn miễn phí nên thích tự đóng gói, phân phối theo cách riêng Hiện có nhiều Linux phát triển từ nhân ban đầu tồn RedHat, SuSE, Knoppix,… người dùng trước cài đặt thường phải tự so sánh để tìm sản phẩm thích hợp - Số lượng ứng dụng hỗ trợ Linux hạn chế Mặc dù Windows có sản phẩm Linux gần có phần mềm tương tự (VD: OpenOffice Linux tương tự MSOffice, hay GIMP tương tự Photoshop, v v ) Tuy nhiên chất lượng sản phẩm chưa thể so sánh với sản phẩm viết cho Windows Ngoài ra, số nhà sản xuất phần cứng khơng có driver hỗ trợ Linux Tìm hiểu an toàn bảo mật hệ điều hành Linux CHƯƠNG II CÁCH THỨC TỔ CHỨC, CƠ CHẾ BẢO VỆ DỮ LIỆU TRONG LINUX Linux hệ điều hành quản lý tài ngun theo thư mục Nó khơng có khái niệm phân vùng windows Linux xếp liệu máy tính “cây thư mục nhất” Linux có tính kế thừa đặc tính cở từ Unix nên hầu hết mang đặc điểm hệ điều hành tiền nhiệm Hình 1:Cơ chế tổ chức tài nguyên Linux I SƠ BỘ VỀ CẤU TRÚC FILE TRONG LINUX Linux sử dụng cấu trúc hệ thống file có thứ bậc, mà giống cấu trúc từ xuống dưới, với root (/) sở hệ thống file tất thư mục khác trải từ - Một hệ thống file tập hợp file thư mục mà có đặc tính sau: Nó có thư mục gốc (/) mà chứa file thư mục khác Mỗi file thư mục xác định tên nó, thư mục mà cư trú, nhận diện nhất, gọi theo cách đặc trưng inode Theo quy ước, thư mục gốc có số inode thư mục lost+found có số inode Số inode không sử dụng Các số inode gửi trình xác định chức -i lệnh ls Nó có đặc tính khác tự chứa Khơng có phụ thuộc hệ thống file với hệ thống file khác Tìm hiểu an toàn bảo mật hệ điều hành Linux Hệ thống file - Các kiểu hệ thống file: Hệ thống file ổ cứng (Disk file systems): FAT, NTFS, ext2/3/4, HFS, … Riêng file Compact Diskhoặc DVD lưu theo hệ thống file ISO 9660 UDF Từ Linux 2.6 Windows Vista, đĩa DVD ghi theo format Mount Rainier (mở rộng UDF) đĩa mềm Hệ thống file flash (Flash file systems): tối ưu cho ghi vào nhớ flash (ổ USB) Hệ thống file mạng (Network file systems): SMB, NFS Hệ thống file ổ cứng mạng (Shared disk file systems): dùng truy cập file lưu cụm ổ cứng mạng (SAN) Thuộc loại có GFS Red Hat, GPFS IBM - Đơn vị lưu trữ file ổ cứng Sector(cung từ) đơn vị vật lý nhỏ ổ cứng Dung lượng sector từ 512B đến 1,2 4KiB (cấp số mũ 8bit) Hình 2:Sector Cluster (nhóm cung từ): lưu file quản lý theo sector nhỏ, liệu quản lý nhiều, làm chậm trình đọc, ghi Cluster đơn vị lưu trữ nhỏ để lưu file ổ cứng gồm từ 1-128 sector liên tục Tìm hiểu an tồn bảo mật hệ điều hành Linux Cây thư mục – Inode Inode cấu trúc liệu chứa metadata file, thư mục hệ thống file Linux Trong inode có metadata sau: Dung lượng file tính bytes Device ID : mã số thiết bị lưu file User ID : mã số chủ nhân file Group ID.: mã số nhóm chủ file File mode : gồm kiểu file quyền truy cập file (permissions) Hệ thống phụ cờ hạn chế quyền truy cập file Timestamps: mốc thời gian khi: thân inode bị thay đổi (ctime), nội dung file thay đổi (mtime) lần truy cập (atime) Link count : số lượng hard links trỏ đến inode Các trỏ (từ 11-15 trỏ) đến blocks ổ cứng dùng lưu nội dung file Theo trỏ biết file nằm đâu để đọc nội dung Hình 3:Hình ảnh Inode Khi truy cập đến file, hệ điều hành từ tên file tìm số inode dùng số inode để đọc nội dung inode, từ theo trỏ để đọc nội dung file 10 Tìm hiểu an tồn bảo mật hệ điều hành Linux Nếu thay đổi file cấu hình lids, sử dụng lệnh sau để nạp thông tin vào vùng nhớ kernel:# /sbin/lidsadm -S +RELOAD_CONF 4.Các file cấu hình LIDS: lids.conf: - lids.conf: file định nghĩa đối tượng bảo vệ hành động bảo vệ mà lids cần thực hiện, thêm, bớt đối tượng lidsadm - lids.cap: file chứa tính lids sử dụng, thêm, bớt tính cách đặt dấu + - trước tên tính - lids.net: file định nghĩa cách thức mà lids gửi email cho ta có kiện sảy hệ thống, chứa tên mail server, địa chỉ, tiêu đề thư File cần có biên dịch kernel với tuỳ chọn cầu hình “Send security alerts through network” - lids.pw: file chứa mật nhà quản trị, dùng để kích hoạt lệnh lidsadm File cần có biên dịch kernel với tùy chọn “Allow switching LIDS protections” Sử dụng lệnh lidsadm -P để thay đổi passwd lidsadm Bảo vệ file/thư mục Để bảo vệ file, thư mục đó, ví dụ file /etc/lilo.conf, khơng cho biết có mặt hệ thống, kể root:# lidsadm -A -o /etc/shadow -j DENY Cập nhật lại lại cấu hình lệnh:# /sbin/lidsadm -S +RELOAD_CONF Ta thấy file /etc/lilo:# cat /etc/lilo.conf cat: /etc/lilo.conf: No such file or directory Ngồi tuỳ chọn DENY, thay vào tuỳ chọn bảo vệ khác như: - READ: Chỉ đọc - WRITE: Có thể đọc, ghi - APPEND: Chỉ thêm vào liệu cuối file (có ích với file log /var/log/message,/var/log/secure, ) Cho phép file, thư mục chương trình đọc ghi:Vớ dụ, ta cấm tất đối tượng khác đọc/ghi thư mục /var/www/html vỡ thư mục chứa tài liệu web quan trọng Nhưng cần web server (chương trình httpd) sử dụng để cung cấp thông tin cho người: (Cấm tất người đọc/ghi) 32 Tìm hiểu an tồn bảo mật hệ điều hành Linux Ví dụ, ta cấm tất đối tượng khác đọc/ghi thư mục /var/www/html thư mục chứa tài liệu web quan trọng Nhưng cần web server (chương trình httpd) sử dụng để cung cấp thông tin cho người: (Cấm tất người đọc/ghi) # lidsadm -A -o /home/httpd -j DENY Cho phép web server đọc # lidsadm -A -s /usr/sbin/httpd -o /var/www/html -j READ Bảo vệ tiến trình Các tiến trình tiến trình init bảo vệ khỏi bị kill tuỳ chọn: -29:CAP_INIT_KILL file /etc/lids/lids.cap Ngoài ra, ta giấu tiến trình chạy lệnh: # lidsadm -A -s -t -o CAP_HIDDEN -j INHERIT Ví dụ, che giấu tiến trình httpd (web server): # lidsadm -A -s /usr/sbin/httpd -t -o CAP_HIDDEN -j INHERIT Các tiến trình che dấu khơng thể nhìn thấy lệnh ps bị lưu lại file thư mục /proc Ngồi nhiều tính hữu ích thiết lập /etc/lids/lids.cap để bảo vệ thao tác vào cấp thấp, thay đổi cấu hình mạng Ta nên xem chi tiết phiên lids Phát kẻ xâm nhập thông báo cho người quản trị Kẻ xâm nhập bị phát hành động sau: - Sử dụng công cụ quét cổng (scanner) nmap, satan, super scan, - Sử dụng thao tác vào cấp thấp với cổng truy nhập, - Thực thao tác trái phép với đối tượng lids bảo vệ Các hành động ghi lại hệ thống thơng qua file log, lids cho phép gửi thông báo tới người quản trị thông qua email (khai báo file /etc/lids/lids.net)Nếu kẻ xâm nhập chiếm truy nhập mức console, lids chấm dứt hoạt động phiên làm việc Nếu kẻ xâm nhập chiếm truy nhập mức console, lids chấm dứt hoạt động phiên làm việc 33 Tìm hiểu an toàn bảo mật hệ điều hành Linux Các cơng cụ bảo mật tốt là cơng cụ bị bẻ gẫy hacker Việc lập sách bảo mật tốt có quy trình giám sát, theo dõi chặt chẽ người điều quan trọng 34 Tìm hiểu an toàn bảo mật hệ điều hành Linux CHƯƠNG IV AN TOÀN VỚI CÁC GIAO DỊCH TRÊN MẠNG I LINUX FIREWALL Tính firewall chuẩn cung cấp sẵn kernel Linux xây dùng từ hai thành phần: ipchains IP Masquerading Linux IP Firewalling Chains chế lọc gói tin IP Những tính IP Chains cho phép cấu hình máy chủ Linux filtering gateway/firewall dễ dàng Một thành phần quan trọng khác kernel IP Masquerading, tính chuyển đổi địa mạng (network address translation- NAT) mà che giấu địa IP thực mạng bên Để sử dụng ipchains, cần thiết lập tập luật mà qui định kết nối cho phép hay bị cấm Các nguyên tắc Ipchains thực chức sau: - Accept: Cho phép chuyển gói tin qua chain thích hợp - Deny: Không đồng ý , bị lỗi - Reject: Khơng đồng ý,nhưng việc người gởi qua gói ICMP - Masq: Sử dụngcho IP masquerading (việc dịch địa mạng) -Redirect: Gởi gói tin đến người khác để xử lý -Return: Hoàn thành danh sách quy tắc Trong phần này, trình bày Iptable, tường lửa mạng hệ điều hành Linux Iptable tường lửa ứng dụng lọc gói liệu mạnh, miễn phí có sẵn Linux Netfilter/Iptables gồm phần Netfilter nhân Linux Iptable nằm nhân Iptable chịu trách nhiệm giao tiếp người dùng Netfilter để đầy luật người dùng vào cho Netfiler xử lí Netfilter tiến hành lọc gói liệu mức IP Netfilter làm việc trực tiếp nhân, nhanh không làm giảm tốc độ hệ thống 35 Tìm hiểu an tồn bảo mật hệ điều hành Linux Hình 9: Sơ đồ Netfilter/Iptables Một số chức Iptable Tích hợp tốt với Linux kernel , để cải thiện tin cậy tốc độ chạy iptables Quan sát kỹ tất gói liệu Điều cho phép firewall theo dõi kết nối thông qua , dĩ nhiên xem xét nội dung luồng liệu để từ tiên liệu hành động giao thức Điều quan trọng việc hỗ trợ giao thức FTP , DNS … Lọc gói dựa địa MAC cờ TCP header Điều giúp ngăn chặn việc công cách sử dụng gói dị dạng (malformed packets) ngăn chặn việc truy cập từ nội đến mạng khác bất chấp IP Ghi chép hệ thống (System logging) cho phép việc điều chỉnh mức độ báo cáo Hỗ trợ việc tính hợp chương trình Web proxy chẳng Squid Ngặn chặn kiểu công từ chối dịch vụ Cơ chế xử lý package Iptable Tất gói kiểm tra iptable qua chuỗi xây dựng bảng (hàng đợi) để xử lý Mỗi hàng đợi dành riêng cho loại hình cụ thể hoạt động gói điều khiển chuyển đổi gói tin liên quan / dây chuyền lọc Có loại bảng gồm: - Mangle : chịu trách nhiệm thay đổi bit chất lượng dịch vụ TCP header TOS (type of service), TTL (time to live), MARK - Filter : chịu trách nhiệm lọc gói liệu Nó gồm có quy tắc nhỏ (chain) để giúp ta thiết lập nguyên tắc lọc gói , gồm: Forward chain: lọc gói đến đến server khác 36 Tìm hiểu an tồn bảo mật hệ điều hành Linux Input chain: lọc gói vào server Output chain: lọc gói khỏi server NAT : gồm có loại : Pre-routing chain: thay đổi địa đến gói liệu cần thiết Post-routing chain: thay đổi địa nguồn gói liệu cần thiết 37 Tìm hiểu an tồn bảo mật hệ điều hành Linux Loại queues Filter Chức queues Lọc gói Quy tắc xử lý gói (chain) FORWARD Chức chain Lọc gói liệu đến server khác kết nối NIC khác firewall INPUT Lọc gói đến firewall OUTPUT Lọc gói khỏi firewall NAT Network PREROUTING Việc thay đổi địa diễn Address trước dẫn đường Thay đổi Translation địa đích giúp gói liệu (Biên dịch địa phù hợp với bảng đường mạng ) firewall Sử dụng destination NAT or DNAT POSTROUTING Việc thay đổi địa diễn sau dẫn đường Sử dụng source NAT, or SNAT OUTPUT NAT sử dụng cho gói liệu xuất phát từ firewall Hiếm dùng môi trường SOHO ( small office home office) Mangle Chỉnh sửa PREROUTING Điều chỉnh bit quy địch TCP header POSTROUTING chất lượng dịch vụ trước OUTPUT dẫn đường Hiếm dùng INPUT môi trường FORWARD SOHO ( small office - home office) Bảng 5: Các loại queues chain chức Để nhìn tổng quát việc lọc xử lý gói iptables , ta xem hình sau: 38 Tìm hiểu an tồn bảo mật hệ điều hành Linux Hình 10: Sơ đồ lọc xử lý gói iptables Ta xem qua ví dụ mơ tả đường gói liệu Hình 11: Đường gói liệu Đầu tiên, gói liệu đến mạng A , tiếp kiểm tra mangle-table PREROUTING chain (nều cần).Tiếp theo kiểm tra gói liệu nat table's PREROUTING chain để kiểm tra xem gói liệu có cần DNAT hay khơng? DNAT thay đổi địa đích gói liệu Rồi gói liệu dẫn 39 Tìm hiểu an tồn bảo mật hệ điều hành Linux Nếu gói liệu vào mạng bảo vệ, lọc FORWARD chain filter table, cần gói liệu SNAT POSTROUTING chain để thay đổi IP nguồn trước vào mạng B Nếu gói liệu định hướng vào bên firewall, kiểm tra INPUT chain mangle table, gói liệu qua kiểm tra INPUT chain filter table, vào chương trình server bên firewall Khi firewall cần gởi liệu Gói liệu dẫn qua kiểm tra OUTPUT chain mangle table( cần ), tiếp kiểm tra OUTPUT chain nat table để xem DNAT (DNAT thay đổi địa đến) có cần hay khơng OUTPUT chain filter table kiểm tra gói liệu nhằm phát gói liệu khơng phép gởi Cuối trước gói liệu đư lại Internet, SNAT and QoS kiểm tra POSTROUTING chain II CẤU HÌNH TỆP TIN QUAN TRỌNG Tập tin "/etc/inetd.conf" Inetd gọi "super server", nạp chương trình mạng dựa yêu cầu từ hệ thống mạng Tập tin "inetd.conf" báo cho inetd biết cổng (port) dùng để lắng nghe server khởi động cho port Việc cần xem xét mà ta đặt hệ thống Linux ta lên mạng ớt dịch vụ (service) mà ta cần đưa Các dịch vụ mà ta không cần đưa nên vơ hiệu hóa gỡ bỏ, ta có điều lo ngại nó, kẻ cơng có hội để tìm kiếm lỗ hổng hệ thống ta Nhìn vào tập tin "/etc /inetd.conf" để xem dịch vụ mà cung cấp chương trình inetd ta Vơ hiệu hóa mà ta không cần cách thêm dấu # đầu dòng, sau gửi đến tiến trình inetd ta lệnh SIGHUP để cập nhập tới tập tin "inetd.conf" hành: - Bước 1.Thay đổi quyền hạn tập tin 600 [root@localhost /]# chmod 600 /etc/inetd.conf - Bước 2.Bảo đảm người sở hữu root [root@localhost /]# stat /etc/inetd.conf 40 Tìm hiểu an toàn bảo mật hệ điều hành Linux File: "/etc/inetd.conf" Size: 2869 Filetype: Regular File Mode: (0600/-rw ) Uid: ( 0/ root) Gid: ( 0/root) Device: 8,6 Inode: 18219 Links: Access: Web Sep 22 16:24:16 1999(00000.00:10:44) Modify: Mon Sep 20 10:22:44 1999(00002.06:12:16) Change: Mon Sep 20 10:22:44 1999(00002.06:12:16) - Bước 3.Chỉnh sửa tập tin inetd.conf (vi /etc/inetd.conf) vơ hiệu hóa dịch vụ như: ftp, telnet, shell, login, exec, talk, imap, pop-2, finger, auth, v.v trừ ta có kế hoạch dựng Nếu bị tắt bớt rủi ro Ghi chú: Nên gửi tới tiến trình inetd tín hiệu SIGHUP (killall -HUP inetd) sau thực thay đổi tập tin inetd.conf Các dịch vụ kích hoạt host chọn phụ thuộc vào chức mà ta muốn host cung cấp Các chức hỗ trợ dịch vụ mạng chọn, dịch vụ khác host máy tính này, hay việc phát triển bảo trì hệ điều hành ứng dụng [root@localhost /]# killall -HUP inetd - Bước 4: Một biện pháp bảo mật mà ta áp dụng để bảo mật tập tin "inetd.conf" đặt khơng thay đổi, dùng lệnh chattr Để đặt tập tin khơng thay đổi gì, thi hành lệnh sau: [root@localhost /]# chattr +i /etc/inetd.conf Việc ngăn chặn thay đổi (xảy bất ngờ hay trường hợp khác) với tập tin "inetd.conf" Một tập tin với thuộc tính khơng thay đổi "i" làm cho tập tin hiệu chỉnh, xóa hay đổi tên, khơng có mối liên kết tạo cho tập tin khơng liệu ghi đến Chỉ có người đặt hay xóa thuộc tính super-user root Nếu ta muốn hiệu chỉnh tập tin inetd.conf ta cần phải gỡ bỏ cờ hiệu không thay đổi : Để gỡ cờ hiệu không thay đổi, đơn giản thi hành lệnh sau: [root@localhost /]# chattr -i /etc/inetd.conf 41 Tìm hiểu an toàn bảo mật hệ điều hành Linux Tập tin "/etc/host.conf" Linux sử dụng thư viện phân giải để lấy địa IP tương ứng với host name Tập tin "/etc/host.conf" rõ host phân giải Các mục tập tin "etc/host.conf" để bảo thư viện phân giải dịch vụ cần dùng, theo thứ tự để phân giải host Soạn thảo tập tin host.conf (vi /etc/host.conf) thêm vào dòng sau: # Lookup names via DNS first then fall back to /etc/hosts order bind,hosts # We have machines with multiple IP addresses multi on # Check for IP address spoofing nospoof on Tùy chọn order rõ thứ tự dịch vụ Ví dụ mẫu rõ ràng việc phân giải nên tham khảo name server để phân giải tên (name) sau kiểm tra tập tin "/etc/hosts" Để đạt hiệu cao bảo mật tốt nên đặt thư viện phân giải theo thứ tự kiểm tra name server (bind) sau tập tin hosts (hosts) cho việc thực thi bảo mật tốt tất server Dĩ nhiên phải có phần mềm DNS/BIND cài đặt sẵn hay việc cấu hình không làm việc Tùy chọn multi xác định host tập tin "/etc/hosts" có nhiều địa IP (multiple interface ethN) Các host mà có nhiều địa IP biết đến multiomed, diện nhiều địa IP bao hàm host có nhiều giao tiếp mạng Lấy ví dụ, Gateway Server ln có nhiều địa IP phải có tùy chọn đặt ON Tùy chọn nospoof rõ cẩn thận khơng phép ngụy trang IP-Spoofing thành tích bảo mật chói lọi, làm việc mẹo văt máy tính mối quan hệ đáng tin cậy mà ta người mà thật khơng phải Trong loại hình cơng này, máy cài đặt server hợp pháp sinh kết nối loại hoạt động mạng khác tới hệ thống đầu cuối hợp pháp, server khác hay hệ thông lưu trữ liệu lớn Tùy chọn phải đạt ON cho tất loại server 42 Tìm hiểu an toàn bảo mật hệ điều hành Linux Tập tin "/etc/services" Các số cổng (port number) dùng cho dịch vụ chuẩn đưa RFC 1700 "Assigned Numbers" Tập tin "/etc/services" cho phép chương trình server client để chuyển đổi tên dịch vụ tới số port Danh sách lưu giữ host tập tin "/etc/services" Chỉ người sử dụng "root" phép thay đổi nội dung tập tin phải chỉnh sửa tập tin "/etc/services" để tạo thay đổi kể từ chứa đựng nhiều tên dịch vụ tương ứng tới số port Để cải tiến việc bảo mật, làm tập tin trở nên không bị chỉnh sửa (immunize) để ngăn chặn việc xóa hay thêm vào dịch vụ mà không ủy quyền Để định cho tập tin "/etc/services" không thay đổi, dùng lệnh [root@localhost /]# chattr +i /etc/services 43 Tìm hiểu an tồn bảo mật hệ điều hành Linux So sánh chế an toàn bảo mật Windows Linux WINDOWS LINUX Ưu điểm Sử dụng chế xác thực LM – LAN MANAGER (sử dụng DES hash) Microsoft bán nhiều phần mềm firewall Tính bảo mật cao kiểm tra xác nhận hàng triệu người dùng chuyên gia giới Có thể nói file cụ thể bị thay đổi nhờ việc ghi nhật ký Hơn việc phân quyền chặt chẽ khiến cho việc xóa, ghi mà khơng phép trở nên khó khăn nhiều so với Windows Firewall thành phần hệ thống Firewall Linux tiếng đáng tin cậy HẠN CHẾ Bảo mật vấn đề mà Quyền truy cập file đơn giản: Microsoft thừa nhận khó khăn READ - WRITE - EXECUTE dành CHO Có nhiều lỗi báo cáo công USER - GROUP - OTHER bố Các lỗi gây thiệt hại lớn kinh tế cho thân Microsoft công ty khách hàng Chưa có chương trình thống kê, ghi nhận phát tác vụ không hợp lệ cách chun nghiệp 44 Tìm hiểu an tồn bảo mật hệ điều hành Linux KẾT LUẬN Khi làm nghiên cứu đề tài “Tìm hiểu an tồn bảo mật hệ điều hành Linux” em tự trang bị cho số kiến thức liên quan đến bảo mật, điều mang lại nhiều thuận lợi cho việc tiếp xúc trải nghiệm với thực tế sau Sau thời gian nghiên cứu tìm hiểu, đề tài em thực số việc sau: -Tìm hiểu hệ điều hành mã nguồn mở Linux, ý nghĩa cấu trúc file thư mục, file nhật ký -Tìm hiểu nghiên cứu chế bảo vệ an toàn liệu hệ điều hành -Tìm hiểu an tồn giao dịch mạng hệ điều hành linux -Chỉ mối nguy tiềm ẩn hệ thống mạng internet hệ điều hành mã nguồn mở Linux, đồng thời đưa biện pháp phòng chống bị cơng, biện pháp khắc phục hệ thống bị công Tuy nhiên thời gian làm tập có hạn nên số vấn đề chúng em chưa giải là: -Vẫn chưa thể nêu hết tất chế an toàn liệu hệ điều hành Linux, với chế bật journal quản lý phân quyền file thư mục -Chưa nghiên cứu chế tang cường bảo mật linux SELinux Trong trình tìm hiểu, hạn chế kiến thức, kĩ thời gian, nên nhiều thiếu sót, em mong thầy bảo thêm 45 Tìm hiểu an tồn bảo mật hệ điều hành Linux TÀI LIỆU THAM KHẢO Website: http://doc.edu.vn http://google.com http://wikipedia.org http://www.linux.org http://www.linuxjournal.com https://www.gocit.vn/ Ebooks Linux Filesystem Performance Comparison for QLTP (Rajendra Kulkarni, Peter Schay) Linux System Administration (O’reilly Media,inc march 1,2007) The Linux Kernel Hackers' Guide(Michael K.Johnson) Basic-Security-Testing-with-Kali-Linux-2014 LinuxFirewall Kali-Linux-CTF-Blueprints-Buchanan-Cam 46 ... điều hành Linux triển nhân Linux, chưa định tích hợp thức tính vào phiên nhân Linux tại, LIDS số nhà phân phối Linux sử dụng thức sản phẩm họ, điển hình EnGarde (http://www.engardelinux.com/)... giới chấp nhận Linux platform cho sản phẩm họ, nhiều công ty, ISPs sử dụng máy chủ Linux Internet getway Vấn đề an toàn bảo mật cho Linux ngày trở nên quan trọng thiết Phiên đầy tiên Linux Torvalds... Kernel, Shell cấu trúc file II NHỮNG ƯU ĐIỂM KỸ THUẬT NỔI BẬT CỦA LINUX Linux có hấp dẫn người dùng? - Linux hồn tồn miễn phí Linux hệ điều hành mã nguồn mở, chi phí rẻ so với phần mềm truyền