Đang tải... (xem toàn văn)
Fix lỗi cho phép chạy remview trên server
Fix lỗi cho phép chạy remview trên servertrang này đã được đọc lần Loại bỏ các account và được tạo sẵnmặc định khi cài đặt.Xố bỏ tất cả các account và nhóm (group) đãđược tạo sẵn trong hệ thốngnhưng khơng có nhu cầu sử dụng, ví dụ nhưlp, sync, shutdown, halt, news, uucp, operator, games, gopher, v.v .(Bạn cần biết rõ những account và nhóm nào khơngcần cho hệ thống của mình rồi hãy xố)Thực hiện việc xố bỏ account với lệnh :# userdel <account-name>Ví dụ, nếu khơng có nhu cầu về in ấn trênhệ thống, có thể xố account lp như sau:# userdel lpTương tự như vậy , có thể thựchiện việc xố bỏ các nhóm khơng cần thiếtvới lệnh# groupdel <group-name>Che giấu file chứa mật khẩuMặc định của Unix và cả Linux, mậtkhẩu của tồn bộ các account đã đượclưu ngay trong file /etc/password, file có quyền đọcbởi tất cả các account trong hệ thống!Đây là một kẽ hở lớn: Mặc dù cácmật khẩu đều được mã hố, nhưngviệc giải mã ngược là có thể thựchiện được (và có thể thực hiện khádễ dàng, đặc biệt vì cơ chế mã hỗmật khẩu khơng phải là khó phá). V ì lí do trên, gầnđây các nhà phát triển Unix và Linux đã phảiđặt riêng mật khẩu mã hố vào một file màchỉ có account root mới đọc được:file /etc/shadow. (Khi sử dụng phương pháp này,để đảm bảo tính tương thích, nơivốn đặt mật khẩu trong file /etc/passwordngười ta đánh dấu "x")Nếu bạn đang sử dụng các phiên bản RedHatgần đây (ví dụ RedHat 6.x hay 7.x) thì nhớ chọnlựa Enable the shadow password khi cài đặt RedHatđể sử dụng tính nǎng che giấu mậtkhẩu này (chọn lựa này là mặc định tronghầu hết các phiên bản Linux đang s& #7917; dụngrộng rãi hiện nay)Loại bỏ các dịch vụ khơng sử dụngMột điều khá nguy hiểm là sau khi cài đặt,hệ thống tự động bật chạy khánhiều dịch vụ (và đa số là các dịchvụ khơng mong muốn), dẫn tới tốn tài ngun vàgây nên nhiều nguy cơ về bảo mật. Loạibỏ ngay lập tức các dịch vụ khơng dùngtới hoặc đơn giản bằng cách xố bỏcác gói phần mềm/dịch vụ khơng sử dụng(qua cơng cụ quản lý rpm của RedHat) hoặc sửdụng cơng cụ ntsysv để duyệt xem tấtcả các dịch vụ đang cài đặ t rồi vơ hiệu hoá những dịch vụ không cần thiết(bằng cách bỏ đánh dấu các dịch vụ, khôngsử dụng với phím Space). Sau khi thoát ra khỏintsysv thì khởi động lại máy: các dịch vụkhông mong muốn sẽ không chạy nữa.Fix telnetDịch vụ cho phép truy xuất hệ thống từxa telnet có khả nǎng tiết lộ thông tin vềhệ thống, dễ tạo điều kiện chonhững kẻ phá hoại tấn công dựa vào nhữngđiểm yếu đã biết. Điều này rấtdễ nhận thấy: Mọi người dùng kếtnối từ xa vào dịch vụ telnet đềunhận & #273;ược thông tin về tên máy, phiên bảnLinux và phiên bản của nhân (kernel) của máy chủ.Để tránh điều này, ta cần thực hiệnviệc kích hoạt telnetd (telnet server) với tham số-h. (Tham số -h sẽ ngǎn telnet tiết lộ cácthông tin và chỉ in ra dấu nhắc "Login:" cho nhữngngười kết nối từ xa).Do các phiên bản RedHat 7.x khi chạy telnetd không còn sửdụng inetd nữa (mà sử dụng xinetd - một phiênbản nâng cấp và có nhiều cải tiến so vớiinetd) nên cách cấu hình lại telnetd sẽ khác nhautuỳ theo phiên bản RedHat đang sử dụng.* Với các phiên bản RedHat 6.x và trư& #7899;c đó,thực hiện các bước sau:Trong file /etc/inetd.conf, thay đổi dòngtelnet stream tcp nowait root /usr/sbin/tcpd in.telnetdchuyển thành :telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -hTiếp theo, khởi động lại inetd bằng câulệnh:# /etc/rc.d/init.d/inetd restart* Với các phiên bản RedHat 7.x, thực hiệnbước sau:Trong file /etc/xinetd.d/telnet , thêm chọn lựa:server_args = -hFile trên sẽ có dạng như sau;service telnet{disable = yesflags = REUSEsocket_type = streamwait = nouser = rootserver = /usr/sbin/in.telnetdlog_on_failure += USERIDserver_args = -h< BR>}Tiếp theo, khởi động lại xinetd bằng câulệnh:# /etc/rc.d/init.d/xinetd restartCấm sử dụng account root từ consolesSau khi cài đặt RedHat, account root sẽ không cóquyền kết nối telnet vào dịch vụ telnet trênhệ thống (chỉ những account thườngmới có thể kết nối). Nguyên nhân là do file/etc/securetty quy định những console được phép truy nhập bởi root chỉ liệt kê nhữngconsole "vật lý" (tức là chỉ truy xuấtđược khi ngồi trực tiếp tại máychủ) mà bỏ qua những kết nối qua mạng.Dịch vụ ftp cũng sẽ bị hạn ch ế này:account root không được phép truy xuất ftp quamạng.Để tǎng tính bảo mật hơn nữa,soạn thảo file /etc/securetty và bỏ đi nhữngconsole bạn không muốn root truy nhập từ đó.Cấm "su" lên rootTrong Linux, lệnh su (Substitute User) cho phép người dùngchuyển sang một account khác. Nếu không muốnmột su bất kỳ thành root, thêm hai dòng sau vào nộidung file /etc/pam.d/suauth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/Pam_wheel.so group=wheelNhư vậy, chỉ có những người cóđǎng ký là thành viên của nhóm wheel mới cóquyền "su" thành root. Để cho phép mN 97;tngười dùng có quyền này, người quảntrị chỉ việc gán account của người nàyvào nhóm wheel (qua file /etc/group)Cấm truy cập những file script khởi độngLinuxKhi khởi động Linux, các file script đượcđặt tại thư mục /etc/rc.d/init.d sẽđược thực hiện. nên hạn chếquyền truy xuất tới những file này chỉ choaccount root bằng lệnh sau:# chmod -R 700 /etc/rc.d/init.d/*Xoá bỏ những chương trình SUID/SGID không sửdụngThông thường, những ứng dụngđược thực hiện dưới quyềncủa account gọi t hực hiện ứng dụng. Tuynhiên, Unix và Linux sử dụng một kỹ thuậtđặc biệt cho phép một số chương trìnhthực hiện dưới quyền của ngườisử dụng (chứ không phải người thựchiện). Đây chính là lý do tại sao tất cảmọi user trong hệ thống đều có thểđổi mật khẩu của mình trong khi không hềcó quyền truy xuất lên file /etc/shadow: Nguyên nhân vìlệnh passwd có gán thuộc tính SUID và đượcquản lý bởi root, mà chỉ có root mới có quyềntruy xuất /etc/shadow.Khả nǎng này có thể gây nên những nguy cơtiềm tàng: Nếu một chư&# 417;ng trình có tínhnǎng thực thi được quản lý bởi root,do thiết kế tồi hoặc do được càiđặt có thuộc tính SUID thì mọi điềutồi tệ đều có thể xảy ra. Khá nhiềukỹ thuật xâm nhập hệ thống mà không cóquyền root được thực hiện nhờkỹ thuật này: kẻ phá hoại bằng cách nàođó tạo được một shell (ví dụ bash)được quản lý bởi root, có thuộc tính SUID.Sau đó mọi truy xuất phá hoạt sẽ được thực hiện qua shell này vì mọilệnh thực hiện trong shell sẽ đượcthực hiện dưới quyền c&# 7911;a root.Thuộc tính SGID cũng tương tự nhưthuộc tính SUID: Phải kiểm tra xem trong hệthống có những ứng dụng nào có thuộc tính SUIDhoặc SGID mà không được phép không?Để tìm tất cả các file có thuộc tính SUID/SGID,sử dụng lệnh find như sau:# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls ưlg {} \;Nếu phát hiện được một file có thuộctính SUID/SGID không cần thiết, có thể loại bỏcác thuộc tính này bằng lệnh:# chmod a-sTǎng tính bảo mật cho nhân (kernel) của LinuxLinux không hẳn được thiết kế vớicác tính n 62;ng bảo mật thật chặt chẽ: khánhiều lỗ hổng có thể bị lợi dụngbởi những tin tặc thông thạo về hệthống. Do đó, việc sử dụng một hệđiều hành với nhân được củng cốlà rất quan trọng: Một khi nhân - phần cốt lõinhất của hệ điều hành - đượcthiết kế tốt thì nguy cơ bị phá hoạisẽ giảm đi rất nhiều.Bạn có thể update nhân Linux thông qua các miếng vá(patch) tại website chuyên cung cấp các miếng vá bổsung cho nhân Linux về bảo mật tại địachỉ www.grsecurity.net. Tại đây bạn đọc c óthể tìm hiểu thông tin hữu ích và tải xuốngcác miếng vá bổ sung cho hệ thống Linux củamình. . Fix lỗi cho phép chạy remview trên servertrang này đã được đọc lần Loại bỏ các account và được. muốn sẽ không chạy nữa .Fix telnetDịch vụ cho phép truy xuất hệ thống từxa telnet có khả nǎng tiết lộ thông tin vềhệ thống, dễ tạo điều kiện chonhững kẻ phá