Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 31


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
Tham số “-qa” sẽ truy vấn tất cả các gói dữ liệu RPM được cài đặt trên hệ
thống và ký tự đặt biệt “>” sẽ ghi lại tất cả những gì xuất ra trên màn hình vào tập
tin intalled_rpm
Bước 2 này yêu cầu chúng ta chắc chắn không quên loại bỏ những gói dữ liệu RPM
không cần thiết và thêm vào những gói dữ liệu quan trọng ,những gói này cho phép
bạn biên dịch chương trình trên hệ thống .Nếu kết quả giống như tập tin dưới đây thì
ta có thể yên tâm với server Linux mới này.
Nội dung của tập tin intalled_rpm phải giống dưới đây:
setup-2.1.8-1 findutils-4.1-34 flex-2.5.4a-9
filesytem-1.3.5-1 gawk-3.0.4-2 ncomprocess-4.2.4-15
basesystem-6.0-4 patch-2.5-10 net-tools.54-4
idconfig-1.9.5-16 gdbm-1.8.0-3 newt-0.50.8-2
gbilc-2.1.3-15 bison-1.2.8-2 passwd-0.64.1-1
shadow-utils-19990827-10 glib-1.2.6-3 perl-5.00503-10
mktemp-1.5-2 gmp-2.0.2-13 popt-1.5-0.48
termpcap-10.2.7-9 autoconf-2.13-5 procmail-3.14-2
libtermcap-2.2.8-20 gbm-1.18.1-7 procps-2.0.6-5
bash-1.14.7-22 groff-1.15-8 psmisc-19-2
MAKEDEV-2.5.2-1 gzip-1.2.4a-2 quota-2.00pre3-2
SysVinit-2.5.2-1 inetd-0.16-4 gdb-4.18-11
anacron-2.1-6 initscripts-5.00-1 readline-2.2.2-6
chkconfig-1.1.2-1 ipchains-1.3.9-5 make-3.78.1-4

etcskel-2.3-1 mount-2.10f-1 glibc-devel-2.1.3-15
file-3.28-2

4.Định màu trên terminal của bạn
Đặt một vài màu trên terminal của bạn có thể giúp cho bạn phân biệt các thư
mục ,file ,thiết bị ,các liên kết và các tập tin thực thi (executable file ).Quan điểm
của tôi là những màu sẽ giúp giảm bớt những lỗi va sự định hướng nhanh trong hệ
thống . Đây là một vấn đề quan trọng và cần thiết chỉ cho Red Hat Linux 6.1 và
những version cũ hơn ,kể từ Red Hat Linux 6.2 đặc trưng này luôn có bởi mặc định
Hiệu chỉnh tập tin /etc/profile và thêm vào những dòng sau:
#Enable Colour Is
eval‟dircolors /etc/DIR_COLORS-b„
export LS_OPTION=‟-s –F –T 0 –color=yes‟
Hiệu chỉnh tập tin /etc/bashrc và thêm dòng :
alias Is=‟Is –color=auto‟
Sau đó logout va login lại . Đến lúc này ,biến môi trường COLORS mới được
thiết đặt và hệ thống sẽ chấp nhận điều này
Xin nhắc lại đặc trưng này chỉ cần cho Red Hat Linux 6.1và cũ hơn
Cập nhật phần mềm mới nhất
Chúng ta nên giữ và cập nhật tất cả các phần mềm (đặc biệt là phần mềm
mạng) với những version mới nhất .Chúng ta nên kiểm tra những trang đính chính ở
.Những trang này có lẽ là
tài nguyên tốt nhất vì đã sũa chữa gần 90% những vấn đề chung với Red Hat. Thêm
nữa các giải pháp về sữa chữa các lỗ hổng bảo mật cũng sẽ được đưa lên sau 24 giờ
Red Hat được thông báo ,bạn nên luôn kiểm tra web site này.

Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 32



GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
Phụ lục Các phần mền bảo mật
Linux sXid
Các tập tin SUID/SGID có thể trở thành một mối nguy cho vấn đề bảo mật và
an toàn của hệ thống . Để giảm các rủi ro này ,trước đây chúng ta đã remove các bit
„s‟ từ các chương trình được sở bởi root mà sẽ không yêu cầu nhiều quyền sử dụng
,nhưng tương lai các tập tin tồn tại khác có thể cài đặt với „s‟ bit được bật lên khi
không có sự thông báo của bạn .sXid là một chương trình theo dỏi hệ thống suid/sgid
được thiết kế chạy từ cron trên một nguyên lý cơ bản .
Cơ bản là nó theo dõi bất kỳ sự thay đổi nào trong các thư mục và các tập tin
s[ug]id của bạn .Nếu có bất kỳ một điều gì mới trong các thư mục hay tập tin ,các
thư mục và tập tin này sẽ thay đổi bit hoặc các mode khác sau đó sẽ tự độnng thực
hiện việc tìm kiếm tất cả suid/sgid trên máy server của bạn và thông báo về chúng
cho bạn .

Linux Logcheck
Một công việc quan trọng trong thế giới bảo mật và an toàn là phải kiểm tra
thường xuyên các tập tin xuất ra các kết quả theo dõi hệ thống (log file). Thông
thường các hoạt động hằng ngày của người quản trị hệ thống không cho phép anh ta
co thời gian để thực hiện những công việc này và có thể mang đến nhiều vấn đề .
Giải thích tính trưu tượng của logcheck:
Kiểm tra theo dõi và ghi nhận các sự kiện xãy ra thì rất quan trọng ! Đó là
những người quản trị của hệ thống nhận biết được các sự kiện này do vậy có thể
ngăn chặn các vấn đề chắc chắn xãy ra nếu bạn có một hệ thống kết nối với internet
.Thật không may cho hầu hết logfile là nó không có ai kiểm tra vá log đó ,mà nó
thường được kiểm tra khi có sự kiện nào đó xãy ra . Điều này logcheck sẽ giúp đỡ
cho bạn


Linux PortSentry
Bức tường lủa (firewall) giúp đỡ chúng ta bảo vệ mạng khỏi những xâm nhập
bất hợp pháp từ bên ngoài .Với firewall chúng ta có thể chọn những ports nào chúng
ta muốn mở và những port nào chúng sẽ đóng.Thông tin trên được giữ một cách bí
mật bởi những người chịu trách nhiệm đến firewall.Tuyệt đối không người nào từ bên
ngoài biết thông tin này , tuy nhiên các hackers (tintặc ) cũng như các spammers
biết một vài cách tấn công bạn ,họ có thể sử dụng một chương trình đặc biệt để quét
tất cả các ports trên server của bạn nhặt thông tin quí giá này (ports nào mở ,ports
nào đóng )
Như được giải thích trong lời giới thiệu của phần PortSentry
Một chương trình quét port là một dấu hiệu của một vấn đề lớn đang đến với
bạn .Nó thường là tiền thân cho một sự tấn công và là một bộ phận nguy hiểm trong
việc bảo vệ hữu hiệu tài nguyên thông tin của bạn .PortSentry là một chương trình
được thiết kế để phát hiện ra và phản hồi tới các port quét nhằm chồng lại một host
đích trong thời gian chúng ta thực hiện quét port và có một số tuỳ chọn để phát hiện
ra các port quét .Khi nó tìm thấy một port quét nó có thể phản ứng lại những cách
sau:
 Một logfile lưu các sự việc xảy qua thông qua syslog( )
 Tên host mục tiêu tự động được bỏ vào trong tập tin “/etc/hosts.deny” cho
những trình bao bọc TCP
 Host nội bộ tự động cấu hình lại để hướng tất cả các lưu thông tới host mục
tiêu trỏ tới một host không hoạt động ( deal host ) làm hệ thống mục tiêu
biến mất
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 33


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương

 Local host tự động cấu hình lại để loại bỏ tất cả các gói thông tin từ host mục
tiêu thông qua bộ lọc local host
Mục đích của PortSentry là để giúp người quản trị mạng có được công cụ khảo
sát kỹ lưỡng hệ thống của mình
Linux OpenSSH Clien/Server
Như được minh hoạ trong chương 2 ,”Sự cài đặt Linux Server”, rất nhiều dịch
vụ mạng được đưa vào ,nhưng không có hạn chế các dịch vụ như rsh ,rlogin, hoặc
rexec không bị xâm nhập với kiểu mà các tin tặc thường dùng như nghe trộm điện
tử.Như một hệ quả ,bất kỳ ai ,người mà đã truy cập tới bất kỳ máy tính nào đã được
kết nối vào mạng đều có thể lắng nghe trên đường truyền giao tiếp của họ và lấy về
mật khẩu của bạn ,và cũng như việc lấy bất kỳ thông tin riêng tư nào khác thông
qua đường mạng ở dạng văn bản .Hiện tại Telnet là chương trình rất cần thiết cho
công việc quản trị hằng ngày ,nhưng nó không an toàn khi nó truyền mật khẩu của
bạn ở dạng văn bản ( plain text ) thông qua mạng và cho phép bất kỳ trình lắng
nghe nào ( listener) ,theo cách này tin tặc sử dụng tài khoản của bạn đẻ làm bất kỳ
công việc phá hoại nào mà hắn ta muốn . Để giải quyết vấn đề này chúng tìm ta một
cách khác ,hoặc một chương trình để thay thế nó .Thật may mắn OpenSSH là một
dịch vụ thật sự vững chắc và bảo mật có thể thay thế cho cách cũ ,các chương trình
login từ xa không an toàn và cổ xưa chẳng hạn như telnet , rlogin, rsh,rdist hay rcp.
Thông qua tập tin README chính thức của OpenSSH :
Ssh ( Secure Shell ) là một chương trình để log vào một máy tính khác thông
qua một hệ thống hệ thống mạng , để thi hành các lệnh trong một máy tính ở xa ,và
để chuyển các tập tin từ một máy này tới một máy khác .Nó cung cấp tính năng xác
nhận hợp lệ “ authentication” và bảo mật sự trao đổi thông tin qua các kênh truyền
dẫn không an toàn .Nó cũng được dự trù để thay thế cho các chương trình rlgoin ,rsh
và rdist.
Trong việc cấu hình ,chúng ta phải cấu hình OpenSSH hỗ trợ tcp-wrappers (
inetd super server) để cải tiến việc bảo mật cho chương trình bảo mật sẵn có và luôn
tránh việc phải chạy chương trình daemon của nó theo kiểu background trên máy
server .Theo cách này ,chương trình sẽ chỉ chạy khi máy khách ( client ) kết nối đến

và sẽ tái thiết lập lại chúng thông qua trình daemon TCP-WRAPPERS cho việc xác
minh tính đúng đắn và cho phép trước khi được phép kết nối tới máy server
.OpenSSHthì miễn phí , một sự thay thế và cải tiến của SSH1 với tất cả các cản trở
của các giả thuật sáng tạo được công nhận bị xoá bỏ ( và trở thành các thư viện
được mở rộng ra bên ngoài ), tất cả các lỗi được nhận biết đã được sữa chữa , các
đặc trưng mới được giới thiệu và rất nhiều trình dọn dẹp rác ( clean-up) khác . Điều
được khuyên là bạn dùng phiên bản SSH ( miễn phí và các lỗi đã được sửa) thay cho
bản SSH1 ( miễn phí ,còn lỗi và lỗi thời ) hay SSH2 mà có nguồn gốc là được miễn
phí nhưng hiện nay đã trở thành một phiên bản thương mại . Đối với tất cả mọi người
mà dùng SSH2 như công Datafellows ,chúng tôi sẽ cung cấp trong quyển sách này cả
hai phiên bản ,và bắt đầu với OpenSSH ,và xem nó như là một chương trình SSh mới
mà mọi ngươiì sẽ phải chuyển sang sử dụng nó trong tương lai.

Linux Tripwire 2.2.1
Một tiến trình cài đặc Red Hat Linux Server tiêu biểu xử lý khoảng 30.400 tập
tin .Vào thời điểm bận rộn nhất của chúng ,các nhà quản trị hệ thống không thể
kiểm tra tính toàn vẹn của tất cả các tập tin ,và nếu một kẻ tấn công nào đó truy cập
máy server của bạn ,thì họ có thể cài đặt hay hiệu chỉnh các tập tin mà bạn không
de4ẽ nhận biết những điều này .Do khả năng của sự cố trên mà một số các chương
trình được tạo ra để đáp ứng loại vấn đề này .
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 34


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
Tripwire làm việc ở tầng cơ bản nhất ,bảo vệ các máy server và các máy trạm
làm việc mà chúng được cấu thành mạng hợp nhất .Tripwite làm việc bằng cách
trước tiên là quét một máy túnh và tạo một cơ sở dữ liệu của các tập tin của hệ

thống ,một dạng số hoá “snapshot “ của hệ thống trong hệ thống bảo mật đã biết
.Người sử dụng có thể cấu hình Tripwire một cách rất chính xác ,chỉ rõ tập tin và thư
mục sở hưu riêng cho mỗi máy để theo dõi ,hay tạo một dạng mâux chuẩn mà nó có
thể sử dụng trên tất cả các máy trong mạng .
Một khi cơ sở dữ liệu tạo ra ,một người quản trị hệ thống có thể dùng Triwire
để kiểm tra toàn vẹn của hệ thống ở bất kỳ thời điểm nào .Bằng cách quét một hệ
thống hiện hành và so sánh thông tin với dữ liệu lưu trữ trong cơ sở dữ liệu ,Triwire
phát hiện và báo cáo bất kỳ việc thêm vào hay xoá bớt ,hay thay đổi tới hệ thống
bên ngoài các ranh giới bên ngoài được chỉ định . Nếu việc thay đổi là hợp lệ thì quản
trị hệ thống có thể cập nhật cơ sở dữ liệu biên với thông tin mới . Nếu các thay đổi cố
tình làm hại được tìm thấy ,thì người quản trị hệ thống sẽ biết ngay các phần nào
của các thành phần của mạng đã bị ảnh hưởng .
Phiên bản Tripwire này là một sản phẩm có các phần được cải tiến đáng kể so
với phiên bản Tripwire trước đó .

Server Linux DNS và BIND
Một khi chúng ta đã cài đặt tất cả phần mềm bảo mật cần thiết trên Linux
server , đây là thời điểm để cải tiến và điều chỉnh phần mạng ( netword ) của server
của chúng ta . DNS là một trong những dịch vụ quan trọng nhất cho sự trao đổi
thông tin trên mạng IP ,và vì lí do này , tát cả các máy Linux client sẽ được cài đặt
những chức năng lưu giữ (caching) ở một mức độ tối thiểu nào đó .Việc cài đặt một
caching server cho các máy client nội bộ sẽ làm giảm bớt tải trên các máy primary
server . Mọt Caching chỉ rõ tên máy chủ sẽ tìm kiếm trả lời cho những tên ghi nhớ và
phần đáp án này để khi nào chúng ta cần , nó đáp ứng ngay không cần mất nhiều
thời gian vô ích
Vì những nguyên nhân bảo mật , điều rất quan trọng là DNS không tồn tại
sẵn giữa các máy trên mạng và máy bên ngoài . Để tăng tính năng an toàn hơn ,
đơn giản dùng các địa chỉ IP kết nối với những máy bên ngoài từ bên trong mạng và
ngược lại
Trong cấu hình cà cài đặt ,chúng ta sẽ chạy chương trình BIND/DNS với user

không phải root và trong một môi trường chrooted. Chúng tôi sẽ cung cấp cho bạn
ba cấu hình khác nhau : một cái chỉ đơn giản lưu tên máy (client ) , cái thứ hai la cho
slave (secondary server) và cái thứ ba là cho master name server ( primary server ).
Cấu hình thứ nhất simple caching name server sẽ được dùng cho máy chủ của
bạn mà không hoạt động như master hoặc slave name server , cấu hình của slave và
master sẽ được dùng cho máy chủ của bạn mà hoạt động như master và slave name
server .Thường thường ,cấu hình sẽ bao gồm : một cái sẽ hoạt động như master , cái
khác như slave và cái còn lại như simple caching client server










Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 35


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
Mục lục



I. An toàn cho các giao dịch trên mạng 2


II. Bảo mật Linux Server 7

III. Firewall 9

IV. Xây dựng hệ thống mạng Linux 23

Phụ lục Các phần mền bảo mật 31