Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 26


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
/chroot sda7 256MB 256M Linux Native
/cache sda8 256MB 256M Linux Native
/var sda9 256Mb 256M Linux Native
<Swap> sda10 128MB 128M Linux Native
/tmp sda11 256MB 256M Linux Native
/ sda12 256MB 256M Linux Native
Drive Geom[C/H/S] Total(M) Free(M) Used(M) Used(%)
Sda [3079/64/32] 3079M 1M 3078M 99%
Chú ý:Chúng ta đang sử dụng một đĩa cứng SCSI bởi vì hai kí tự đầu tiên của thiết
bị là “sd”
Bây giờ chúng ta đang phân chia và chọn mount point cho các thư mục của
bạn ,chọn “ Next “để tiếp tục .Sau khi các partition được tạo ,chương trình cài đặt sẽ
hỏi bạn chọn partition để định dạng (format) .Chọn partition bạn muốn format và
chọn vào ô “ Check for bad blocks during format ) và nhấn “ Next”.Chương trình sẽ
format các partition và làm chúng có hiệu lực khi Linux sử dụng chúng .
Trên màn hình kế tiếp bạn sẽ thấy sự cấu hình LILO , ở đó bạn chọn cài đặt
LILO trên boot record:
Master Boot Record (MBR)
hoặc
First Sector of Boot Partition
Trong trường hợp Linux là hệ điều hành (OS) duy nhất trên máy tính của bạn
,bạn nên chọn “ Master Boot Record”. Kế đó bạn cần cấu hình mạng và giờ trên máy
của bạn .Sau khi hoàn thành việc cấu hình giờ ,bạn cần phải đặt mật khẩu
(password0 cho root và cấu hình việc kiểm tra tính xác thực trên server máy của

bạn .
Khi cấu hình Authetication đừng quên chọn :
.Enable MD5 passwords
.Enable Shadow

2.Sự lựa chọn những package(gói dữ kiệu ) riêng lẻ

Sau khi các partition đã định hình và được chọn đẻ format , bạn chuẩn bị chọn
những gói dữ liệu cho tíên trình cài đặt . Mặt định Linux là một hệ điều hành rất
mạnh có khả năng thực thi nhiều dịch vụ hữu ích .Tuy nhiên có nhiều dịch vụ không
cần thiết thì không đưa vào vì có thể tạo ra những lỗ hỗng trong việc bảo mật hệ
thống .
Một cách lý tưởng là cần cài đặt từng dịch vụ mạng trên máy phục vụ chuyên
biệt. Theo mặt định ,nhiều hệ điều hành Linux được cấu hình để cung ứng một dịch
vụ và ứng dụng rộng hơn những yêu câu cung cấp một dịch vụ mạng riêng biệt ,do
vậy cần cấu hình server để loại bỏ những dịch vụ mạng không cần thiết .Chỉ đưa ra
những dịch vụ chủ yếu trên máy chủ riêng biệt . Có thể tăng khả năng bảo mật trong
server theo một vài phương pháp sau:

 Những server khác không thể sử dụng để tấn công máy chủ và làm hư hại và
loại bỏ những dịch vụ như mong muốn.
 Những người khác nhau có thể quản lý những server khác nhau .Bằng cách cô
lập các service,mỗi máy chủ và service có thể riêng lẻ một người quản trị ,bạn
có thể giảm đến mức tối thiểu khả năng xung đột giữa các quản trị viên .
 Máy chủ có thể được cấu hình cho phù hợp hơn với yêu cầu của từng service
riêng biệt . Những server khác nhau có thể yêu cầu sự cấu hình phần cứng và
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 27



GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
phần mềm khác nhau , và những cấu hình đó có thể dẫn đến những tổn hại
không cần thiết hoặc giới hạn service.
 Bằng cách giảm bớt những service ,số tập tin log (logfile) và các thư mục ghi
cũng được giảm ,vì thế việc xoá bỏ những thông tin không cần thiết trở nên
dễ dàng hơn .
Một tiến trình cài đặt chính xác của Linux Server chính là bước đầu tiên cho
việc ổn định ,bảo vệ hệ thống của bạn .Trước hết bạn phải chọn những thành phần (
compoment) hệ thống nào bạn muốn cài đặt.Chọn những compoment và sau đó bạn
có thể tiếp tục chọn và không chọn mỗi gói dữ liệu riêng lẻ của mỗi thành phần bằng
cách chọn option ( Select inđiviual packages ) trên màn hình setup Red Hat.
Khi cấu hình một Linux server chúng ta không cần thiết phải cài đặt một
chương trình giao tiếp đồ hoạ ( Xfree86 ) trên máy tính .Việc giảm bớt giao tiếp
đồ hoạ ( graphical interface) có ý nghĩa lớn trong việc tăng các process ,tăng khả
năng xử lý của CPU ,bộ nhớ , giảm sự nguy hiểm trong bảo mật và giảm bớt một
vài bất tiện khác .Giao tiếp đồ hoạ ( Graphical interface) thường chỉ được sử dụng
trên các trạm làm việc (workstation).
Chọn nhứng gói dữ liệu dưới đây cho tiến trình cài đặt của bạn :
. Network Wordstation
. Network Management Workstation
. Utilities
Sau khi chọn những thành phần bạn muốn cài đặt bạn vẫn có thể chọn và
không chọn các gói dữ liệu .
Chú ý: Việc chọn tuỳ chọn ( Select inđiviual package) rất quan trọng trước khi
tiếp tục khả năng chọn và không chọn các gói dữ liệu
Lựa chọn các gói dữ liệu riêng lẻ ( Inđiviual package selection)
Trong phần chỉ dẫn cài đặt dưới tôi đưa ra những nhóm gói dữ liệu đã có trong
Linux , chọn một nhóm dữ liệu nào đó để xem xét.

Ngoài mục đích hướng dẫn cài đặt , trong chương trình này tôi cúng có ý đưa
vài vấn đề bảo mật và tối ưu hoá Linux vào trong tiến trình cài đặt .Những thành
phần được liệt kê dưới đây cần được loại bỏ từ của sổ chọn gói dữ liệu do vấn đề
bảo mật , tối ưu hoá cũng như một vài nguyên nhân khác sẽ được diễn giải dưới
đây.

Applications/File: git
Applications/Internet: finger.ftp,fwhois,ncftp,rsh,rsync,talk,
telnet
Applications/Publishing: ghostscript,ghostscript-fonts,groff-perl,
mpage,pnm2ppa,rhs-printfilters
Applications/System: arwatch,bind-utils,rdate,rdist,screen, ucd-
snmp-utils
Documentation: indexhtml
System Enviroment/Base: chkfontpath, yp-tools
System Enviroment/Daemons: XFree86-xfs,finger-server,lpr,nfs-utils,
pidentd,portmap,rsh-server,rusers,rusers-
server,rwall-server,rwho,talk-server,
telnet-server,tftp-server,ucd-snmp,
ypbind,ypserv
System Enviroment/Libraries: Xfree86-libs,libpng
User Interface/X: urw-fonts
Nếu những chương trình nhày không được cài đạt trên máy server của bạn thì những
tin tặc buộc phải sử dụng những chương trình này từ bên ngoài hoặc thử cài đặt trên
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 28


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang

Nguyễn Huy Chương
máy server của bạn .Trong những trường hợp này bạn có thể tìm ra dấu vết chúng
nhờ những chương trình giống như Tripwire .

Làm thế nào sử dụng những lệnh RPM

Phần này giới thiệu tổng quan về lệnh RPM, cách sử dụng lệnh RPM trên hệ thống
Linux của bạn
 Cài đặt một gói dữ liệu RPM ,sử dụng lệnh :
[root@deep/]# rpm –ivh foo-1.0-2.i386.rpm
Dòng lệnh trên có ý nghĩa cài đặt một gói dữ liệu rpm có tên là foo-1.0-2.i386.rpm
với các thành phần sau :
Tên gói dữ liệu : foo
Version : 1.0
Release: 2
Kiến trúc : i386
 Loại bỏ một gói dữ liệu : thay chữ in đậm ở trên bằng e.
 Nâng cấp (upgrade) : Uvh
 Truy vấn (query):q
 Trình bày thông tin:qi
 Liệt kê những tập tin trong gói dữ liệu : ql
 Kiểm tra một RPM signature gói dữ liệu :checksig
Lệnh kiểm tra chữ ký PGP của gói dữ liệu được chỉ định để đảo bảo tính toàn
vẹn và nguyên gốc của nó .Luôn sử dụng lệnh này đầu tiên trước khi cài đặt
gói dữ liệu RPM mới trên hệ thống của bạn .

Khởi động và dừng những dịch vụ daemon(starting and stopping daemon service)
Chương trình init của linux (cũng được hiểu như khởi tạo việc điều khiển tiến
trình) phụ trách việc khởi động tất cả tiến trình bình thường hoặc được uỷ quyền
chạy lúc khởi động hệ thống . Những tiến trình này có thể bao gồm

APACHE,NETWORK daemon và bất kỳ những tiến trình khác yêu cầu phải chạy khi
server bạn khởi động .Mỗi process này có tập tin script trong thư mục
“/etc/rc.d/init.d”. Bạn có thể thi hành những script vói những dòng lệnh sau :
Ví dụ :
 Khởi động httpd Web server bằng tay dưới Linux
:[root@deep/]#/etc/rc.d/init.d/httpd start
Starting http: [OK]
 Dừng httpd Web server bằng tay dưới Linux
:[root@deep/]#/etc/rc.d/init.d/httpd stop
Shutting down http: [OK]
 Khởi động lại httpd Web server bằng tay dưới Linux
:[root@deep/]#/etc/rc.d/init.d/httpd restart
Shutting down http: [OK]
Starting http: [OK]
Các phần mềm cần phải loại bỏ sau khi tiến trình cài đặt của server hoàn thành
Mặc định một số gói dữ liệu mà hệ thống Red Hat Linux không cho phép bạn
chọn để tháo gỡ suốt tiến trình setup . Vì nguyên nhân này bạn phải loại bỏ chúng
khi tiến trình cài đặt hoàn thành .
Pump kernel-pcmcia-cs kudzu gd
mt-st linuxconf raidtools pciutils
eject getty_ps gnupg rmt
mailcap isapnptools Red Hat-logos
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 29


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
apmd setderial Red Hat-release


Sử dụng lệnh RPM như dưới đây dểd tháo dỡ chúng .
 lệnh dùng để tháo gỡ phần mềm là :
[root@deep]#rpm –e<software names>
Ở đây <software names> là tên của phần mềm bạn muốn tháo gỡ .
Một số chương trình daemon như apmd,kudzu,sendmail dều chạy ở lúc khởi động
máy ,tốt nhất bạn nên dừng chúng trước khi tháo gỡ ra hệ thống của bạn .
 Dừng các process với những lệnh :
[root@deep/]# /etc/rc.d/apmd stop
[root@deep/]# /etc/rc.d/sendmail stop
[root@deep/]# /etc/rc.d/kudzu stop
Bây giờ bạn có thể tháo gỡ chúng cùng các gói dữ liệu khác một cách an toàn với
lệnh sau:
Bước 1:
Xoá bỏ những gói dữ liệu được chỉ định .
[root@deep /]# rpm –e –nodeps pump mt-st eject mailcap apmd kernel-pcmcia-cs
linuxconf getty_ps isapntools setserial kudzu raidtools gnupg Red Hat-logos Red
Hat-release gd pciutils mt

Bước 2:
Xoá bỏ các tập tin Linux.conf-instanlled bằng tay:
[root@deep /] # rm –f /ect/conf.linuxconf-instanlled
Chương trình hdparm cần cho các IDE hard dík nhưng không cần vho SCSI hard disk
bạn phải giữ lai chương trình này ,nhưng nếu không có IDE hard disk thì bạn có thể
xoá khỏi hệ thống .
[root@deep /]# rpm –e hdparm
Những chương trình như kbdconfig,mouseconfig,timeconfig,authconfig,ntsysvvà
setuptool theo thứ tự thiết lập loại keyboard ,mouse,time,NIS và shadow password
chúng ít khi thay đổi sau khi cài đặt vì thế bạn có thể tháo dỡ chúng khỏi hệ thống
,nếu trong tương lai bạn cần thay đổi keyboard ,mouse, thì bạn có thể cài đặt

chúng từ các gói dữ liệu RPM trên đĩa CD-ROM Red Hat

Các phần mềm có phải được cài đặt sau sự cài đặt của server
Để có thể tiện biên dịch những chương trình trên server của bạn .bạn phải cài
đặt những gói dữ liệu RPM sau .

Bước 1:
Đầu tiên chúng ta mount ổ đĩa CD-ROM và chuyển RPMS trên CD-ROM
Mount CD-ROM drive và chuyển tới thư mục RPMS sử dụng những lệnh sau :
[root@deep /]# mount /dev/cdrom /mnt/cdrom/
[root@deep /]# cd /mnt/cdrom/Red Hat/RPMS/
Dưới đây là những gói dữ liệu mà bạn cần biên dịch và cài đặt trên hệ thống Linux :
autoconf-2.13-5,noarch.rpm m4-1.4-12.i386.rpm
automake-1.4-6.noarch.rpm dev86-0.15.0-2.i386.rpm
bison-1.28-2.i386.rpm byacc-1.9-12.i386.rpm
cdecl-2.5-10.i386.rpm cpp-1.1.2-30.i386.rpm
cproto-4.6-3.i386.rpm ctags-3.4-1.i386.rpm
egcs-1.1.2-30.i386.rpm ElectricFence-2.1-3.i386.rpm
flex-2.5.4a-9i386,rpm kernel-headers-2.2.15.0.i386.rpm
glibc-devel-2.1.3-15.i386.rpm make-3.78.1-4.i386.rpm
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 30


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
path-2.5-10.i386.rpm

Bước 2:

Cài đặc những phần mềm cần thiết ở trên với một lệnh RPM:
 Lệnh RPM để cài đặt tất cả các phần mềm với nhau là:
[root@deep RPMS]# rpm –Uvh autoconf-2.13-5.noarch.rpm m4-1.4-
12.i386.rpm automake-1.4-6.noarch.rpm dev86-0.150-2.i386.rpm
bison-1.28-2.i386.rpm byacc-1.9-12.i386.rpm cdecl-2.5-10.i386.rpm
cpp-1.1.2-30.i386.rpm cproto-4.6-3.i386.rpm ctags-3.4-1.i386.rpm
egcs-1.1.2-30.i386.rpm ElectricFence-2.1-3.i386.rpm flex-2.5.4a-
9.i386.rpm egcs-1.1.
Bước 3:
Bạn phải thoát khỏi console và login trở lại để tất cả các thay đổi có hiệu lực
x Thoát khỏi console với lệnh:
[root@deep /]# exit
Sau khi đã cài đặt và biên dịch tất cả các chương trình bạn cần trên server của
bạn sẽ là một ý hay nếu bạn xoá bỏ các tập tin object được tạo ra do biên dịch ,các
trình biên dịch , , những tập tin mà bạn không còn cần nữa trong hệ thống của
bạn.Một trong những lí do là nếu một tên tin tặc xâm phạm server của bạn hẳn
không thể biên dịch hoặc thay đổi những chương trình nhị phân .Hơn nữa việc này
sẽ giải phóng nhiều khoảng trống và sẽ giúp đỡ việc cải tiến kiểm tra tính toàn vẹn
của những tập tin trên server.
Khi bạn chạy một server bạn sẽ truyền cho nó một công việc đặt biệt
để thực hiện .Bạn sẽ không bao giờ đặt tất cả các service bạn muốn cung cấp trên
một máy hoặc bạn sẽ làm chậm tốc độ ( tài nguyên có sẵn được chia bởi một số
tiến trình đang chạy trên server ) và làm suy yếu khả năng bảo mật của bạn ( với
nhiều service cùng chạy trên cùng một máy ,nếu một tin tặc xâm nhập vào server
này hắn có thể tấn công trực tiếp những gì có sẵn trên đó)
Có nhiều server khác nhau làm những công việc khác nhau sẽ đơn giản hoá
sự trông coi ,quản lý ( bạn biết công việc gì mỗi server sẽ làm ,những service nào có
hiệu lực ,port nào thì được mở cho những client truy cập và port nào thì đóng ,bạn
cũng sẽ biết những gì bạn cần thấy trong các log file ) và đặt cho bạn sự điều
khiển tính linh hoạt trên mỗi server ( server chuyên dành cho mail ,

web,database,backup )

3.Những chương trình đựơc cài đặt trên server của bạn:
Bước 1:
Do chúng ta chọn tối ưu hoá việc cài đặt hệ thống Linux của chúng ta , đây là
danh sách của tất cả các chương trình cài đặt mà bạn sẽ có sau khi hoàn tất việc cài
đặt Linux .Danh sách này phải so khớp một cách chính xác với nội dung tập tin
install.log trong thư mục /tmp. Đừng quên cài đặt tất cả các chương trình được liệt
kê trong “ Các phần mềm phải được cài đặt của server “để có thể biên dịch đúng
cách trên server của bạn .
Bước 2:
Sau khi chúng ta tất cả phần mềm cần tháo bỏ sau tiến trình cài đặt của
server và sau khi thêm những gói dữ liệu RPM cần thiết để có thể biên dịch chương
trình những chương trình trên server của chúng ta .Chúng ta kiểm tra lại danh sách
của tất cả các chương trình RPM đã được cài đặc với lệnh sau :
 kiểm tra danh sách tất cả gói dữ liệu được cài đặt trên server sử dụng lệnh :
[root@deep /] # rpm –qa >intalled_rpm