Đề tài: An toàn và bảo mật trên hệ điều hành Linux Page 31 GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện: Lê Thị Huyền Trang Nguyễn Huy Chương Tham số “-qa” sẽ truy vấn tất cả các gói dữ liệu RPM được cài đặt trên hệ thống và ký tự đặt biệt “>” sẽ ghi lại tất cả những gì xuất ra trên màn hình vào tập tin intalled_rpm Bước 2 này yêu cầu chúng ta chắc chắn không quên loại bỏ những gói dữ liệu RPM không cần thiết và thêm vào những gói dữ liệu quan trọng ,những gói này cho phép bạn biên dịch chương trình trên hệ thống .Nếu kết quả giống như tập tin dưới đây thì ta có thể yên tâm với server Linux mới này. Nội dung của tập tin intalled_rpm phải giống dưới đây: setup-2.1.8-1 findutils-4.1-34 flex-2.5.4a-9 filesytem-1.3.5-1 gawk-3.0.4-2 ncomprocess-4.2.4-15 basesystem-6.0-4 patch-2.5-10 net-tools.54-4 idconfig-1.9.5-16 gdbm-1.8.0-3 newt-0.50.8-2 gbilc-2.1.3-15 bison-1.2.8-2 passwd-0.64.1-1 shadow-utils-19990827-10 glib-1.2.6-3 perl-5.00503-10 mktemp-1.5-2 gmp-2.0.2-13 popt-1.5-0.48 termpcap-10.2.7-9 autoconf-2.13-5 procmail-3.14-2 libtermcap-2.2.8-20 gbm-1.18.1-7 procps-2.0.6-5 bash-1.14.7-22 groff-1.15-8 psmisc-19-2 MAKEDEV-2.5.2-1 gzip-1.2.4a-2 quota-2.00pre3-2 SysVinit-2.5.2-1 inetd-0.16-4 gdb-4.18-11 anacron-2.1-6 initscripts-5.00-1 readline-2.2.2-6 chkconfig-1.1.2-1 ipchains-1.3.9-5 make-3.78.1-4 etcskel-2.3-1 mount-2.10f-1 glibc-devel-2.1.3-15 file-3.28-2 4.Định màu trên terminal của bạn Đặt một vài màu trên terminal của bạn có thể giúp cho bạn phân biệt các thư mục ,file ,thiết bị ,các liên kết và các tập tin thực thi (executable file ).Quan điểm của tôi là những màu sẽ giúp giảm bớt những lỗi va sự định hướng nhanh trong hệ thống . Đây là một vấn đề quan trọng và cần thiết chỉ cho Red Hat Linux 6.1 và những version cũ hơn ,kể từ Red Hat Linux 6.2 đặc trưng này luôn có bởi mặc định Hiệu chỉnh tập tin /etc/profile và thêm vào những dòng sau: #Enable Colour Is eval‟dircolors /etc/DIR_COLORS-b„ export LS_OPTION=‟-s –F –T 0 –color=yes‟ Hiệu chỉnh tập tin /etc/bashrc và thêm dòng : alias Is=‟Is –color=auto‟ Sau đó logout va login lại . Đến lúc này ,biến môi trường COLORS mới được thiết đặt và hệ thống sẽ chấp nhận điều này Xin nhắc lại đặc trưng này chỉ cần cho Red Hat Linux 6.1và cũ hơn Cập nhật phần mềm mới nhất Chúng ta nên giữ và cập nhật tất cả các phần mềm (đặc biệt là phần mềm mạng) với những version mới nhất .Chúng ta nên kiểm tra những trang đính chính ở http://www.RedHat.com/corp/support/errata/index.html .Những trang này có lẽ là tài nguyên tốt nhất vì đã sũa chữa gần 90% những vấn đề chung với Red Hat. Thêm nữa các giải pháp về sữa chữa các lỗ hổng bảo mật cũng sẽ được đưa lên sau 24 giờ Red Hat được thông báo ,bạn nên luôn kiểm tra web site này. Đề tài: An toàn và bảo mật trên hệ điều hành Linux Page 32 GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện: Lê Thị Huyền Trang Nguyễn Huy Chương Phụ lục Các phần mền bảo mật Linux sXid Các tập tin SUID/SGID có thể trở thành một mối nguy cho vấn đề bảo mật và an toàn của hệ thống . Để giảm các rủi ro này ,trước đây chúng ta đã remove các bit „s‟ từ các chương trình được sở bởi root mà sẽ không yêu cầu nhiều quyền sử dụng ,nhưng tương lai các tập tin tồn tại khác có thể cài đặt với „s‟ bit được bật lên khi không có sự thông báo của bạn .sXid là một chương trình theo dỏi hệ thống suid/sgid được thiết kế chạy từ cron trên một nguyên lý cơ bản . Cơ bản là nó theo dõi bất kỳ sự thay đổi nào trong các thư mục và các tập tin s[ug]id của bạn .Nếu có bất kỳ một điều gì mới trong các thư mục hay tập tin ,các thư mục và tập tin này sẽ thay đổi bit hoặc các mode khác sau đó sẽ tự độnng thực hiện việc tìm kiếm tất cả suid/sgid trên máy server của bạn và thông báo về chúng cho bạn . Linux Logcheck Một công việc quan trọng trong thế giới bảo mật và an toàn là phải kiểm tra thường xuyên các tập tin xuất ra các kết quả theo dõi hệ thống (log file). Thông thường các hoạt động hằng ngày của người quản trị hệ thống không cho phép anh ta co thời gian để thực hiện những công việc này và có thể mang đến nhiều vấn đề . Giải thích tính trưu tượng của logcheck: Kiểm tra theo dõi và ghi nhận các sự kiện xãy ra thì rất quan trọng ! Đó là những người quản trị của hệ thống nhận biết được các sự kiện này do vậy có thể ngăn chặn các vấn đề chắc chắn xãy ra nếu bạn có một hệ thống kết nối với internet .Thật không may cho hầu hết logfile là nó không có ai kiểm tra vá log đó ,mà nó thường được kiểm tra khi có sự kiện nào đó xãy ra . Điều này logcheck sẽ giúp đỡ cho bạn Linux PortSentry Bức tường lủa (firewall) giúp đỡ chúng ta bảo vệ mạng khỏi những xâm nhập bất hợp pháp từ bên ngoài .Với firewall chúng ta có thể chọn những ports nào chúng ta muốn mở và những port nào chúng sẽ đóng.Thông tin trên được giữ một cách bí mật bởi những người chịu trách nhiệm đến firewall.Tuyệt đối không người nào từ bên ngoài biết thông tin này , tuy nhiên các hackers (tintặc ) cũng như các spammers biết một vài cách tấn công bạn ,họ có thể sử dụng một chương trình đặc biệt để quét tất cả các ports trên server của bạn nhặt thông tin quí giá này (ports nào mở ,ports nào đóng ) Như được giải thích trong lời giới thiệu của phần PortSentry Một chương trình quét port là một dấu hiệu của một vấn đề lớn đang đến với bạn .Nó thường là tiền thân cho một sự tấn công và là một bộ phận nguy hiểm trong việc bảo vệ hữu hiệu tài nguyên thông tin của bạn .PortSentry là một chương trình được thiết kế để phát hiện ra và phản hồi tới các port quét nhằm chồng lại một host đích trong thời gian chúng ta thực hiện quét port và có một số tuỳ chọn để phát hiện ra các port quét .Khi nó tìm thấy một port quét nó có thể phản ứng lại những cách sau:  Một logfile lưu các sự việc xảy qua thông qua syslog( )  Tên host mục tiêu tự động được bỏ vào trong tập tin “/etc/hosts.deny” cho những trình bao bọc TCP  Host nội bộ tự động cấu hình lại để hướng tất cả các lưu thông tới host mục tiêu trỏ tới một host không hoạt động ( deal host ) làm hệ thống mục tiêu biến mất Đề tài: An toàn và bảo mật trên hệ điều hành Linux Page 33 GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện: Lê Thị Huyền Trang Nguyễn Huy Chương  Local host tự động cấu hình lại để loại bỏ tất cả các gói thông tin từ host mục tiêu thông qua bộ lọc local host Mục đích của PortSentry là để giúp người quản trị mạng có được công cụ khảo sát kỹ lưỡng hệ thống của mình Linux OpenSSH Clien/Server Như được minh hoạ trong chương 2 ,”Sự cài đặt Linux Server”, rất nhiều dịch vụ mạng được đưa vào ,nhưng không có hạn chế các dịch vụ như rsh ,rlogin, hoặc rexec không bị xâm nhập với kiểu mà các tin tặc thường dùng như nghe trộm điện tử.Như một hệ quả ,bất kỳ ai ,người mà đã truy cập tới bất kỳ máy tính nào đã được kết nối vào mạng đều có thể lắng nghe trên đường truyền giao tiếp của họ và lấy về mật khẩu của bạn ,và cũng như việc lấy bất kỳ thông tin riêng tư nào khác thông qua đường mạng ở dạng văn bản .Hiện tại Telnet là chương trình rất cần thiết cho công việc quản trị hằng ngày ,nhưng nó không an toàn khi nó truyền mật khẩu của bạn ở dạng văn bản ( plain text ) thông qua mạng và cho phép bất kỳ trình lắng nghe nào ( listener) ,theo cách này tin tặc sử dụng tài khoản của bạn đẻ làm bất kỳ công việc phá hoại nào mà hắn ta muốn . Để giải quyết vấn đề này chúng tìm ta một cách khác ,hoặc một chương trình để thay thế nó .Thật may mắn OpenSSH là một dịch vụ thật sự vững chắc và bảo mật có thể thay thế cho cách cũ ,các chương trình login từ xa không an toàn và cổ xưa chẳng hạn như telnet , rlogin, rsh,rdist hay rcp. Thông qua tập tin README chính thức của OpenSSH : Ssh ( Secure Shell ) là một chương trình để log vào một máy tính khác thông qua một hệ thống hệ thống mạng , để thi hành các lệnh trong một máy tính ở xa ,và để chuyển các tập tin từ một máy này tới một máy khác .Nó cung cấp tính năng xác nhận hợp lệ “ authentication” và bảo mật sự trao đổi thông tin qua các kênh truyền dẫn không an toàn .Nó cũng được dự trù để thay thế cho các chương trình rlgoin ,rsh và rdist. Trong việc cấu hình ,chúng ta phải cấu hình OpenSSH hỗ trợ tcp-wrappers ( inetd super server) để cải tiến việc bảo mật cho chương trình bảo mật sẵn có và luôn tránh việc phải chạy chương trình daemon của nó theo kiểu background trên máy server .Theo cách này ,chương trình sẽ chỉ chạy khi máy khách ( client ) kết nối đến và sẽ tái thiết lập lại chúng thông qua trình daemon TCP-WRAPPERS cho việc xác minh tính đúng đắn và cho phép trước khi được phép kết nối tới máy server .OpenSSHthì miễn phí , một sự thay thế và cải tiến của SSH1 với tất cả các cản trở của các giả thuật sáng tạo được công nhận bị xoá bỏ ( và trở thành các thư viện được mở rộng ra bên ngoài ), tất cả các lỗi được nhận biết đã được sữa chữa , các đặc trưng mới được giới thiệu và rất nhiều trình dọn dẹp rác ( clean-up) khác . Điều được khuyên là bạn dùng phiên bản SSH ( miễn phí và các lỗi đã được sửa) thay cho bản SSH1 ( miễn phí ,còn lỗi và lỗi thời ) hay SSH2 mà có nguồn gốc là được miễn phí nhưng hiện nay đã trở thành một phiên bản thương mại . Đối với tất cả mọi người mà dùng SSH2 như công Datafellows ,chúng tôi sẽ cung cấp trong quyển sách này cả hai phiên bản ,và bắt đầu với OpenSSH ,và xem nó như là một chương trình SSh mới mà mọi ngươiì sẽ phải chuyển sang sử dụng nó trong tương lai. Linux Tripwire 2.2.1 Một tiến trình cài đặc Red Hat Linux Server tiêu biểu xử lý khoảng 30.400 tập tin .Vào thời điểm bận rộn nhất của chúng ,các nhà quản trị hệ thống không thể kiểm tra tính toàn vẹn của tất cả các tập tin ,và nếu một kẻ tấn công nào đó truy cập máy server của bạn ,thì họ có thể cài đặt hay hiệu chỉnh các tập tin mà bạn không de4ẽ nhận biết những điều này .Do khả năng của sự cố trên mà một số các chương trình được tạo ra để đáp ứng loại vấn đề này . Đề tài: An toàn và bảo mật trên hệ điều hành Linux Page 34 GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện: Lê Thị Huyền Trang Nguyễn Huy Chương Tripwire làm việc ở tầng cơ bản nhất ,bảo vệ các máy server và các máy trạm làm việc mà chúng được cấu thành mạng hợp nhất .Tripwite làm việc bằng cách trước tiên là quét một máy túnh và tạo một cơ sở dữ liệu của các tập tin của hệ thống ,một dạng số hoá “snapshot “ của hệ thống trong hệ thống bảo mật đã biết .Người sử dụng có thể cấu hình Tripwire một cách rất chính xác ,chỉ rõ tập tin và thư mục sở hưu riêng cho mỗi máy để theo dõi ,hay tạo một dạng mâux chuẩn mà nó có thể sử dụng trên tất cả các máy trong mạng . Một khi cơ sở dữ liệu tạo ra ,một người quản trị hệ thống có thể dùng Triwire để kiểm tra toàn vẹn của hệ thống ở bất kỳ thời điểm nào .Bằng cách quét một hệ thống hiện hành và so sánh thông tin với dữ liệu lưu trữ trong cơ sở dữ liệu ,Triwire phát hiện và báo cáo bất kỳ việc thêm vào hay xoá bớt ,hay thay đổi tới hệ thống bên ngoài các ranh giới bên ngoài được chỉ định . Nếu việc thay đổi là hợp lệ thì quản trị hệ thống có thể cập nhật cơ sở dữ liệu biên với thông tin mới . Nếu các thay đổi cố tình làm hại được tìm thấy ,thì người quản trị hệ thống sẽ biết ngay các phần nào của các thành phần của mạng đã bị ảnh hưởng . Phiên bản Tripwire này là một sản phẩm có các phần được cải tiến đáng kể so với phiên bản Tripwire trước đó . Server Linux DNS và BIND Một khi chúng ta đã cài đặt tất cả phần mềm bảo mật cần thiết trên Linux server , đây là thời điểm để cải tiến và điều chỉnh phần mạng ( netword ) của server của chúng ta . DNS là một trong những dịch vụ quan trọng nhất cho sự trao đổi thông tin trên mạng IP ,và vì lí do này , tát cả các máy Linux client sẽ được cài đặt những chức năng lưu giữ (caching) ở một mức độ tối thiểu nào đó .Việc cài đặt một caching server cho các máy client nội bộ sẽ làm giảm bớt tải trên các máy primary server . Mọt Caching chỉ rõ tên máy chủ sẽ tìm kiếm trả lời cho những tên ghi nhớ và phần đáp án này để khi nào chúng ta cần , nó đáp ứng ngay không cần mất nhiều thời gian vô ích Vì những nguyên nhân bảo mật , điều rất quan trọng là DNS không tồn tại sẵn giữa các máy trên mạng và máy bên ngoài . Để tăng tính năng an toàn hơn , đơn giản dùng các địa chỉ IP kết nối với những máy bên ngoài từ bên trong mạng và ngược lại Trong cấu hình cà cài đặt ,chúng ta sẽ chạy chương trình BIND/DNS với user không phải root và trong một môi trường chrooted. Chúng tôi sẽ cung cấp cho bạn ba cấu hình khác nhau : một cái chỉ đơn giản lưu tên máy (client ) , cái thứ hai la cho slave (secondary server) và cái thứ ba là cho master name server ( primary server ). Cấu hình thứ nhất simple caching name server sẽ được dùng cho máy chủ của bạn mà không hoạt động như master hoặc slave name server , cấu hình của slave và master sẽ được dùng cho máy chủ của bạn mà hoạt động như master và slave name server .Thường thường ,cấu hình sẽ bao gồm : một cái sẽ hoạt động như master , cái khác như slave và cái còn lại như simple caching client server Đề tài: An toàn và bảo mật trên hệ điều hành Linux Page 35 GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện: Lê Thị Huyền Trang Nguyễn Huy Chương Mục lục I. An toàn cho các giao dịch trên mạng 2 II. Bảo mật Linux Server 7 III. Firewall 9 IV. Xây dựng hệ thống mạng Linux 23 Phụ lục Các phần mền bảo mật 31 . chỉnh các tập tin mà bạn không de4ẽ nhận biết những điều này .Do khả năng của sự cố trên mà một số các chương trình được tạo ra để đáp ứng loại vấn đề này . Đề tài: An toàn và bảo mật trên hệ điều. suid/sgid trên máy server của bạn và thông báo về chúng cho bạn . Linux Logcheck Một công việc quan trọng trong thế giới bảo mật và an toàn là phải kiểm tra thường xuyên các tập tin xuất. ports trên server của bạn nhặt thông tin quí giá này (ports nào mở ,ports nào đóng ) Như được giải thích trong lời giới thiệu của phần PortSentry Một chương trình quét port là một dấu hiệu của