Đề tài: An toàn và bảo mật trên hệ điều hành Linux Page 26 GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện: Lê Thị Huyền Trang Nguyễn Huy Chương /chroot sda7 256MB 256M Linux Native /cache sda8 256MB 256M Linux Native /var sda9 256Mb 256M Linux Native <Swap> sda10 128MB 128M Linux Native /tmp sda11 256MB 256M Linux Native / sda12 256MB 256M Linux Native Drive Geom[C/H/S] Total(M) Free(M) Used(M) Used(%) Sda [3079/64/32] 3079M 1M 3078M 99% Chú ý:Chúng ta đang sử dụng một đĩa cứng SCSI bởi vì hai kí tự đầu tiên của thiết bị là “sd” Bây giờ chúng ta đang phân chia và chọn mount point cho các thư mục của bạn ,chọn “ Next “để tiếp tục .Sau khi các partition được tạo ,chương trình cài đặt sẽ hỏi bạn chọn partition để định dạng (format) .Chọn partition bạn muốn format và chọn vào ô “ Check for bad blocks during format ) và nhấn “ Next”.Chương trình sẽ format các partition và làm chúng có hiệu lực khi Linux sử dụng chúng . Trên màn hình kế tiếp bạn sẽ thấy sự cấu hình LILO , ở đó bạn chọn cài đặt LILO trên boot record: Master Boot Record (MBR) hoặc First Sector of Boot Partition Trong trường hợp Linux là hệ điều hành (OS) duy nhất trên máy tính của bạn ,bạn nên chọn “ Master Boot Record”. Kế đó bạn cần cấu hình mạng và giờ trên máy của bạn .Sau khi hoàn thành việc cấu hình giờ ,bạn cần phải đặt mật khẩu (password0 cho root và cấu hình việc kiểm tra tính xác thực trên server máy của bạn . Khi cấu hình Authetication đừng quên chọn : .Enable MD5 passwords .Enable Shadow 2.Sự lựa chọn những package(gói dữ kiệu ) riêng lẻ Sau khi các partition đã định hình và được chọn đẻ format , bạn chuẩn bị chọn những gói dữ liệu cho tíên trình cài đặt . Mặt định Linux là một hệ điều hành rất mạnh có khả năng thực thi nhiều dịch vụ hữu ích .Tuy nhiên có nhiều dịch vụ không cần thiết thì không đưa vào vì có thể tạo ra những lỗ hỗng trong việc bảo mật hệ thống . Một cách lý tưởng là cần cài đặt từng dịch vụ mạng trên máy phục vụ chuyên biệt. Theo mặt định ,nhiều hệ điều hành Linux được cấu hình để cung ứng một dịch vụ và ứng dụng rộng hơn những yêu câu cung cấp một dịch vụ mạng riêng biệt ,do vậy cần cấu hình server để loại bỏ những dịch vụ mạng không cần thiết .Chỉ đưa ra những dịch vụ chủ yếu trên máy chủ riêng biệt . Có thể tăng khả năng bảo mật trong server theo một vài phương pháp sau:  Những server khác không thể sử dụng để tấn công máy chủ và làm hư hại và loại bỏ những dịch vụ như mong muốn.  Những người khác nhau có thể quản lý những server khác nhau .Bằng cách cô lập các service,mỗi máy chủ và service có thể riêng lẻ một người quản trị ,bạn có thể giảm đến mức tối thiểu khả năng xung đột giữa các quản trị viên .  Máy chủ có thể được cấu hình cho phù hợp hơn với yêu cầu của từng service riêng biệt . Những server khác nhau có thể yêu cầu sự cấu hình phần cứng và Đề tài: An toàn và bảo mật trên hệ điều hành Linux Page 27 GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện: Lê Thị Huyền Trang Nguyễn Huy Chương phần mềm khác nhau , và những cấu hình đó có thể dẫn đến những tổn hại không cần thiết hoặc giới hạn service.  Bằng cách giảm bớt những service ,số tập tin log (logfile) và các thư mục ghi cũng được giảm ,vì thế việc xoá bỏ những thông tin không cần thiết trở nên dễ dàng hơn . Một tiến trình cài đặt chính xác của Linux Server chính là bước đầu tiên cho việc ổn định ,bảo vệ hệ thống của bạn .Trước hết bạn phải chọn những thành phần ( compoment) hệ thống nào bạn muốn cài đặt.Chọn những compoment và sau đó bạn có thể tiếp tục chọn và không chọn mỗi gói dữ liệu riêng lẻ của mỗi thành phần bằng cách chọn option ( Select inđiviual packages ) trên màn hình setup Red Hat. Khi cấu hình một Linux server chúng ta không cần thiết phải cài đặt một chương trình giao tiếp đồ hoạ ( Xfree86 ) trên máy tính .Việc giảm bớt giao tiếp đồ hoạ ( graphical interface) có ý nghĩa lớn trong việc tăng các process ,tăng khả năng xử lý của CPU ,bộ nhớ , giảm sự nguy hiểm trong bảo mật và giảm bớt một vài bất tiện khác .Giao tiếp đồ hoạ ( Graphical interface) thường chỉ được sử dụng trên các trạm làm việc (workstation). Chọn nhứng gói dữ liệu dưới đây cho tiến trình cài đặt của bạn : . Network Wordstation . Network Management Workstation . Utilities Sau khi chọn những thành phần bạn muốn cài đặt bạn vẫn có thể chọn và không chọn các gói dữ liệu . Chú ý: Việc chọn tuỳ chọn ( Select inđiviual package) rất quan trọng trước khi tiếp tục khả năng chọn và không chọn các gói dữ liệu Lựa chọn các gói dữ liệu riêng lẻ ( Inđiviual package selection) Trong phần chỉ dẫn cài đặt dưới tôi đưa ra những nhóm gói dữ liệu đã có trong Linux , chọn một nhóm dữ liệu nào đó để xem xét. Ngoài mục đích hướng dẫn cài đặt , trong chương trình này tôi cúng có ý đưa vài vấn đề bảo mật và tối ưu hoá Linux vào trong tiến trình cài đặt .Những thành phần được liệt kê dưới đây cần được loại bỏ từ của sổ chọn gói dữ liệu do vấn đề bảo mật , tối ưu hoá cũng như một vài nguyên nhân khác sẽ được diễn giải dưới đây. Applications/File: git Applications/Internet: finger.ftp,fwhois,ncftp,rsh,rsync,talk, telnet Applications/Publishing: ghostscript,ghostscript-fonts,groff-perl, mpage,pnm2ppa,rhs-printfilters Applications/System: arwatch,bind-utils,rdate,rdist,screen, ucd- snmp-utils Documentation: indexhtml System Enviroment/Base: chkfontpath, yp-tools System Enviroment/Daemons: XFree86-xfs,finger-server,lpr,nfs-utils, pidentd,portmap,rsh-server,rusers,rusers- server,rwall-server,rwho,talk-server, telnet-server,tftp-server,ucd-snmp, ypbind,ypserv System Enviroment/Libraries: Xfree86-libs,libpng User Interface/X: urw-fonts Nếu những chương trình nhày không được cài đạt trên máy server của bạn thì những tin tặc buộc phải sử dụng những chương trình này từ bên ngoài hoặc thử cài đặt trên Đề tài: An toàn và bảo mật trên hệ điều hành Linux Page 28 GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện: Lê Thị Huyền Trang Nguyễn Huy Chương máy server của bạn .Trong những trường hợp này bạn có thể tìm ra dấu vết chúng nhờ những chương trình giống như Tripwire . Làm thế nào sử dụng những lệnh RPM Phần này giới thiệu tổng quan về lệnh RPM, cách sử dụng lệnh RPM trên hệ thống Linux của bạn  Cài đặt một gói dữ liệu RPM ,sử dụng lệnh : [root@deep/]# rpm –ivh foo-1.0-2.i386.rpm Dòng lệnh trên có ý nghĩa cài đặt một gói dữ liệu rpm có tên là foo-1.0-2.i386.rpm với các thành phần sau : Tên gói dữ liệu : foo Version : 1.0 Release: 2 Kiến trúc : i386  Loại bỏ một gói dữ liệu : thay chữ in đậm ở trên bằng e.  Nâng cấp (upgrade) : Uvh  Truy vấn (query):q  Trình bày thông tin:qi  Liệt kê những tập tin trong gói dữ liệu : ql  Kiểm tra một RPM signature gói dữ liệu :checksig Lệnh kiểm tra chữ ký PGP của gói dữ liệu được chỉ định để đảo bảo tính toàn vẹn và nguyên gốc của nó .Luôn sử dụng lệnh này đầu tiên trước khi cài đặt gói dữ liệu RPM mới trên hệ thống của bạn . Khởi động và dừng những dịch vụ daemon(starting and stopping daemon service) Chương trình init của linux (cũng được hiểu như khởi tạo việc điều khiển tiến trình) phụ trách việc khởi động tất cả tiến trình bình thường hoặc được uỷ quyền chạy lúc khởi động hệ thống . Những tiến trình này có thể bao gồm APACHE,NETWORK daemon và bất kỳ những tiến trình khác yêu cầu phải chạy khi server bạn khởi động .Mỗi process này có tập tin script trong thư mục “/etc/rc.d/init.d”. Bạn có thể thi hành những script vói những dòng lệnh sau : Ví dụ :  Khởi động httpd Web server bằng tay dưới Linux :[root@deep/]#/etc/rc.d/init.d/httpd start Starting http: [OK]  Dừng httpd Web server bằng tay dưới Linux :[root@deep/]#/etc/rc.d/init.d/httpd stop Shutting down http: [OK]  Khởi động lại httpd Web server bằng tay dưới Linux :[root@deep/]#/etc/rc.d/init.d/httpd restart Shutting down http: [OK] Starting http: [OK] Các phần mềm cần phải loại bỏ sau khi tiến trình cài đặt của server hoàn thành Mặc định một số gói dữ liệu mà hệ thống Red Hat Linux không cho phép bạn chọn để tháo gỡ suốt tiến trình setup . Vì nguyên nhân này bạn phải loại bỏ chúng khi tiến trình cài đặt hoàn thành . Pump kernel-pcmcia-cs kudzu gd mt-st linuxconf raidtools pciutils eject getty_ps gnupg rmt mailcap isapnptools Red Hat-logos Đề tài: An toàn và bảo mật trên hệ điều hành Linux Page 29 GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện: Lê Thị Huyền Trang Nguyễn Huy Chương apmd setderial Red Hat-release Sử dụng lệnh RPM như dưới đây dểd tháo dỡ chúng .  lệnh dùng để tháo gỡ phần mềm là : [root@deep]#rpm –e<software names> Ở đây <software names> là tên của phần mềm bạn muốn tháo gỡ . Một số chương trình daemon như apmd,kudzu,sendmail dều chạy ở lúc khởi động máy ,tốt nhất bạn nên dừng chúng trước khi tháo gỡ ra hệ thống của bạn .  Dừng các process với những lệnh : [root@deep/]# /etc/rc.d/apmd stop [root@deep/]# /etc/rc.d/sendmail stop [root@deep/]# /etc/rc.d/kudzu stop Bây giờ bạn có thể tháo gỡ chúng cùng các gói dữ liệu khác một cách an toàn với lệnh sau: Bước 1: Xoá bỏ những gói dữ liệu được chỉ định . [root@deep /]# rpm –e –nodeps pump mt-st eject mailcap apmd kernel-pcmcia-cs linuxconf getty_ps isapntools setserial kudzu raidtools gnupg Red Hat-logos Red Hat-release gd pciutils mt Bước 2: Xoá bỏ các tập tin Linux.conf-instanlled bằng tay: [root@deep /] # rm –f /ect/conf.linuxconf-instanlled Chương trình hdparm cần cho các IDE hard dík nhưng không cần vho SCSI hard disk bạn phải giữ lai chương trình này ,nhưng nếu không có IDE hard disk thì bạn có thể xoá khỏi hệ thống . [root@deep /]# rpm –e hdparm Những chương trình như kbdconfig,mouseconfig,timeconfig,authconfig,ntsysvvà setuptool theo thứ tự thiết lập loại keyboard ,mouse,time,NIS và shadow password chúng ít khi thay đổi sau khi cài đặt vì thế bạn có thể tháo dỡ chúng khỏi hệ thống ,nếu trong tương lai bạn cần thay đổi keyboard ,mouse, thì bạn có thể cài đặt chúng từ các gói dữ liệu RPM trên đĩa CD-ROM Red Hat Các phần mềm có phải được cài đặt sau sự cài đặt của server Để có thể tiện biên dịch những chương trình trên server của bạn .bạn phải cài đặt những gói dữ liệu RPM sau . Bước 1: Đầu tiên chúng ta mount ổ đĩa CD-ROM và chuyển RPMS trên CD-ROM Mount CD-ROM drive và chuyển tới thư mục RPMS sử dụng những lệnh sau : [root@deep /]# mount /dev/cdrom /mnt/cdrom/ [root@deep /]# cd /mnt/cdrom/Red Hat/RPMS/ Dưới đây là những gói dữ liệu mà bạn cần biên dịch và cài đặt trên hệ thống Linux : autoconf-2.13-5,noarch.rpm m4-1.4-12.i386.rpm automake-1.4-6.noarch.rpm dev86-0.15.0-2.i386.rpm bison-1.28-2.i386.rpm byacc-1.9-12.i386.rpm cdecl-2.5-10.i386.rpm cpp-1.1.2-30.i386.rpm cproto-4.6-3.i386.rpm ctags-3.4-1.i386.rpm egcs-1.1.2-30.i386.rpm ElectricFence-2.1-3.i386.rpm flex-2.5.4a-9i386,rpm kernel-headers-2.2.15.0.i386.rpm glibc-devel-2.1.3-15.i386.rpm make-3.78.1-4.i386.rpm Đề tài: An toàn và bảo mật trên hệ điều hành Linux Page 30 GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện: Lê Thị Huyền Trang Nguyễn Huy Chương path-2.5-10.i386.rpm Bước 2: Cài đặc những phần mềm cần thiết ở trên với một lệnh RPM:  Lệnh RPM để cài đặt tất cả các phần mềm với nhau là: [root@deep RPMS]# rpm –Uvh autoconf-2.13-5.noarch.rpm m4-1.4- 12.i386.rpm automake-1.4-6.noarch.rpm dev86-0.150-2.i386.rpm bison-1.28-2.i386.rpm byacc-1.9-12.i386.rpm cdecl-2.5-10.i386.rpm cpp-1.1.2-30.i386.rpm cproto-4.6-3.i386.rpm ctags-3.4-1.i386.rpm egcs-1.1.2-30.i386.rpm ElectricFence-2.1-3.i386.rpm flex-2.5.4a- 9.i386.rpm egcs-1.1. Bước 3: Bạn phải thoát khỏi console và login trở lại để tất cả các thay đổi có hiệu lực x Thoát khỏi console với lệnh: [root@deep /]# exit Sau khi đã cài đặt và biên dịch tất cả các chương trình bạn cần trên server của bạn sẽ là một ý hay nếu bạn xoá bỏ các tập tin object được tạo ra do biên dịch ,các trình biên dịch , , những tập tin mà bạn không còn cần nữa trong hệ thống của bạn.Một trong những lí do là nếu một tên tin tặc xâm phạm server của bạn hẳn không thể biên dịch hoặc thay đổi những chương trình nhị phân .Hơn nữa việc này sẽ giải phóng nhiều khoảng trống và sẽ giúp đỡ việc cải tiến kiểm tra tính toàn vẹn của những tập tin trên server. Khi bạn chạy một server bạn sẽ truyền cho nó một công việc đặt biệt để thực hiện .Bạn sẽ không bao giờ đặt tất cả các service bạn muốn cung cấp trên một máy hoặc bạn sẽ làm chậm tốc độ ( tài nguyên có sẵn được chia bởi một số tiến trình đang chạy trên server ) và làm suy yếu khả năng bảo mật của bạn ( với nhiều service cùng chạy trên cùng một máy ,nếu một tin tặc xâm nhập vào server này hắn có thể tấn công trực tiếp những gì có sẵn trên đó) Có nhiều server khác nhau làm những công việc khác nhau sẽ đơn giản hoá sự trông coi ,quản lý ( bạn biết công việc gì mỗi server sẽ làm ,những service nào có hiệu lực ,port nào thì được mở cho những client truy cập và port nào thì đóng ,bạn cũng sẽ biết những gì bạn cần thấy trong các log file ) và đặt cho bạn sự điều khiển tính linh hoạt trên mỗi server ( server chuyên dành cho mail , web,database,backup ) 3.Những chương trình đựơc cài đặt trên server của bạn: Bước 1: Do chúng ta chọn tối ưu hoá việc cài đặt hệ thống Linux của chúng ta , đây là danh sách của tất cả các chương trình cài đặt mà bạn sẽ có sau khi hoàn tất việc cài đặt Linux .Danh sách này phải so khớp một cách chính xác với nội dung tập tin install.log trong thư mục /tmp. Đừng quên cài đặt tất cả các chương trình được liệt kê trong “ Các phần mềm phải được cài đặt của server “để có thể biên dịch đúng cách trên server của bạn . Bước 2: Sau khi chúng ta tất cả phần mềm cần tháo bỏ sau tiến trình cài đặt của server và sau khi thêm những gói dữ liệu RPM cần thiết để có thể biên dịch chương trình những chương trình trên server của chúng ta .Chúng ta kiểm tra lại danh sách của tất cả các chương trình RPM đã được cài đặc với lệnh sau :  kiểm tra danh sách tất cả gói dữ liệu được cài đặt trên server sử dụng lệnh : [root@deep /] # rpm –qa >intalled_rpm . automake-1.4 -6. noarch.rpm dev 86- 0.150-2.i3 86. rpm bison-1.28-2.i3 86. rpm byacc-1.9-12.i3 86. rpm cdecl-2.5-10.i3 86. rpm cpp-1.1.2-30.i3 86. rpm cproto-4 .6- 3.i3 86. rpm ctags-3.4-1.i3 86. rpm egcs-1.1.2-30.i3 86. rpm ElectricFence-2.1-3.i3 86. rpm. cpp-1.1.2-30.i3 86. rpm cproto-4 .6- 3.i3 86. rpm ctags-3.4-1.i3 86. rpm egcs-1.1.2-30.i3 86. rpm ElectricFence-2.1-3.i3 86. rpm flex-2.5.4a-9i3 86, rpm kernel-headers-2.2.15.0.i3 86. rpm glibc-devel-2.1.3-15.i3 86. rpm. đặt trên hệ thống Linux : autoconf-2.13-5,noarch.rpm m4-1.4-12.i3 86. rpm automake-1.4 -6. noarch.rpm dev 86- 0.15.0-2.i3 86. rpm bison-1.28-2.i3 86. rpm byacc-1.9-12.i3 86. rpm cdecl-2.5-10.i3 86. rpm