Bảo mật Linux cơ sở
Ngu
ồn : quantrimang.com
Thế giới hiện nay vốn tồn tại hai kiểu quan niệm về bảo mật: một bên là
những người nghĩ rằng bảo mật máy tính thật vui và thú vị, còn một bên lại
cho rằng nó thật bí ẩn và đáng sợ. Các chuyên gia quản trị hệ thống chắc
chắn sẽ nói bảo mật máy tính thực sự khá buồn tẻ. Bởi họ phải thường xuyên
đọc các file thông tin c
ơ sở (log file) khô khan và gắn liền với những đêm dài mất
ngủ, tâm trạng hoảng hốt khi liên tục chống lại các cuộc tấn công, nguy cơ xâm
nhập hệ thống và đôi khi còn có cả những hoạt động điên khùng.
Hàng tháng, bạn đọc các file log đều đặn lặp đi lặp lại tin báo giống nhau. Rồi
vào một buổi sáng bỗng dưng một cảnh báo lạ khác xuất hiện. Suy nghĩ đầu tiên
c
ủa bạn là: "Mình đã bị tấn công!". Muốn xác định xem liệu cuộc tấn công có
thành công hay không, bạn lùng sục trong các bản ghi log, kiểm tra file hệ thống,
tìm kiếm dấu hiệu khác thường. Nhưng rốt cuộc chẳng có gì xảy ra cả. Cuộc tấn
công đã thất bại? Cũng chưa hẳn, có thể kẻ tấn công thông minh hơn bạn. Rồi
hàng ngày, hàng tuần bạn tự hỏi không hiểu hàng rào bảo vệ củ
a mình có bị
xâm nhập không. Cuối cùng, bạn quên nó và đối phó với cuộc khủng hoảng mới.
Bảo mật máy tính, ở một số điểm cũng giống như việc lái xe vậy. Một số người
nghĩ rằng lái xe là thú vị, hồi hộp, nhưng số khác lại cho rằng nó nguy hiểm và
đáng sợ. Trong lái xe, tôi luôn tuân thủ các quy định đường bộ: đeo dây bảo
hiểm, tránh đường có hại, luôn quan sát đường đi, b
ảo dưỡng định kỳ. Vậy
những nguyên tắc tương ứng trong bảo mật trong máy tính thì như thế nào?
Xin được thông báo điều đầu tiên là: hầu hết chương trình bảo mật máy tính
không mang tính kỹ thuật nặng nề, giống như người lái xe không đòi hỏi phải
hiểu chi tiết động cơ hoạt động bên trong như thế nào. Lái xe tốt cũng có thể
chán như lái xe tồi, có thể chẳng vui vẻ gì h
ơn. Bảo mật máy tính đòi hỏi nhiều
nỗ lực. Bạn phải thực hiện kiểm tra có phương pháp các chi tiết cần thiết mới có
khả năng mang lại hiệu quả cho hệ thống máy tính vốn tẻ nhạt, và có thể dự
đoán trước được. Lái xe an toàn và an toàn trong máy tính đều đòi hỏi khả năng
kỹ thuật của bạn. Mục đích là giúp bạn tránh những điều có hạ
i ngay từ những
bước đầu tiên. Bài báo này có thể giống như một khoá học lái xe an toàn trên
đường cao tốc cho bạn vậy.
Bảo hiểm
Hầu hết các nước trên thế giới đều không cho phép bạn lái xe khi không có bảo
hiểm, một phương pháp rất cũ trong việc quản lý và phân phối các nguy hiểm.
Leo lên một chiếc ô tô, mức độ rủi ro nguy hiểm gây chết người và tổn thương
nghiêm trọng cho bạn gia tăng. Nhưng hầu hết mọi người đều lái xe. Cũng giống
như thế, kết nối máy tính với mạng đặt bạn trước nguy cơ bị mất mát hay bị ăn
trộm dữ liệu. Nhưng ai cũng đều có vẻ miễn cưỡng nếu buộc phải ngắt kết nối
Internet khi có sự cố xảy ra. Là một quản trị viên hệ thống Linux, có thể
bạn
không dự đoán được nguy hiểm, nhưng luôn quản lý được chúng.
Trước hết bạn cần biết mức độ tự nhiên của
các mối nguy hiểm rồi mới có thể quản lý
được chúng. Bảo hiểm ô tô có thể là các hoá
đơn thuốc, bảo hiểm nguy cơ cho xe ô tô, các
kiện cáo liên quan đến tai nạn, trộm cắp xe.
Khi đặt một máy tính vào mạng Internet,
những nguy hiểm gì phát sinh cho bạn?
Các chuyên gia bảo mật máy tính nói rằng
ng
ười dùng và người quản trị nên phát triển
mô hình đe doạ thử nghiệm để nghiên cứu.
Bạn muốn bảo vệ khả năng truy cập mạng,
khả năng in hay lưu trữ file? Bạn đang lo lắng
về tính cẩn mật của file nào đó trên hệ thống?
Bạn đang lo lắng mọi người có thể chỉnh sửa
hay phá huỷ dữ liệu? Bạn có muốn hacker
xoá website và đe do
ạ làm méo mó hình ảnh của bạn?
Thực thi bảo mật đòi hỏi ít nhất bạn phải hiểu được cái gì đe doạ mình. Các
điểm nguy hiểm trong bảo mật không giống như bảo hiểm.
Sao lưu trong bảo mật máy tính cũng giống như bảo hiểm ở lái xe: Tuỳ thuộc
vào mô hình nguy hiểm và cấu hình hệ thống, các phân vùng khác nhau của thủ
tục sao lưu có thể được nhấn mạnh. N
ếu hệ thống đang sử dụng là tiêu chuẩn
Linux không dùng đĩa CD với một chút tuỳ chỉnh trong các file cấu hình, bạn có
thể chỉ cần một đĩa nén để sao lưu file trong thư mục gốc. Nếu tuỳ chỉnh hệ
thống mở rộng, bạn cũng có thể sao lưu trong thư mục: /etc và /usr/local.
Nếu việc lưu trữ file với cơ chế cài đặt 'làm tươi'
đem lại sự chính xác cho hệ
thống, bạn có thể thực hiện cơ chế sao lưu đầy đủ thông thường.
Luật đường bộ
Hầu hết mọi chính phủ trên thế giới đều đòi hỏi bạn phải học luật khi muốn lái xe.
Trước khi cấp quyền được lái cho ai đó, họ phải vượt qua bài kiểm tra chứng
minh khả năng hiểu luật đườ
ng bộ. Còn đối với người dùng mạng, cuốn sách
luật cầm tay là các điều khoản dịch vụ trong hợp đồng với nhà cung cấp ISP.
Nếu dùng máy tính cho công việc, bạn cũng phải tuân theo các hướng dẫn tổng
Nguồn: tla.ch
hợp hay các chính sách tổng hợp.
Các điều khoản dịch vụ có thể gồm một mức giới hạn dịch vụ giám sát và thực
thi trên mạng, cùng với các điều khoản yêu cầu luật sở hữu trí tuệ khắt khe. Các
chính sách tổng hợp đòi hỏi phải có mật khẩu an toàn, việc dùng hệ thống cho
các hoạt động không liên quan đến công việc, các hợp đồng bảo mật…
Khi là một quả
n trị viên hệ thống, bạn phải xây dựng một số chính sách như mật
khẩu của tổ chức, giải mã lưu lượng mạng, quét tìm lỗ hổng bảo mật trên các
máy công ty. Nếu bạn nghĩ rằng đó không phải là vấn đề, hãy đọc về trường hợp
của Randal Schwartz và về vụ một số nhân viên CIA gần đây bị kỷ luật vì sử
dụng dịch vụ chat không rõ ngu
ồn gốc. Nếu bạn chưa có một chính sách nào,
hãy đầu tư phát triển chúng.
Hãy thắt dây an toàn
Lời khuyên tốt nhất khi tham gia giao thông là bạn nên ở vai trò của một người
bộ hành. Hầu hết các xâm phạm bảo mật nguy hiểm nhất lại không phải do
hacker, đối thủ cạnh tranh hay tổ chức chính phủ bất chính nào gây ra. Nguyên
nhân xuất phát từ chính các nhân viên không thực hiện điều luật quy định. Họ sử
d
ụng mật khẩu tồi trên laptop, đặt chúng vào mạng bảo hiểm ở nhà cũng như
trong các cuộc họp… Hãy chắc chắn rằng tất cả các nhân viên hiểu được chính
sách của bạn và giúp họ biết được các nguy hiểm cận kề kết hợp với sự xâm
phạm của họ. Thậm chí cho dù các xâm phạm không gây hại trực tiếp nhưng
chúng trở thành nguyên nhân làm gia tăng mức độ nguy hiểm, chính xác đối
ngược l
ại với những gì bạn đang cố gắng thực hiện.
Thắt dây an toàn cũng giống như cân bằng các mối đe doạ: những người bạn
luôn nói với tôi về một người nào đó đã bị giết khi anh ta thắt dây an toàn nhưng
thay vào đó là được bảo vệ an toàn. Cho dù một trong các câu chuyện đó không
phải là sự thực, nhưng cũng có những ngoại lệ, dẫu không phải là nguyên tắc.
Nh
ững người lái xe thận trọng hay hành khách biết điều đó. Thắt lưng an toàn
đã cứu được nhiều người. Tương tự, thực thi một số tính năng bảo mật máy tính
có thể khiến bạn phải đối mặt với nhiều thách thức hơn. Có khi chúng trở thành
đích nhắm thú vị cho hacker. Một câu hỏi luôn được đặt ra là: "Xét về tổng thể,
chừng này làm tăng hay giảm tính bảo mật?
"
Tránh đường xấu
Một chiếc ô tô tốt được thiết kế sao cho có
được sức bền càng lớn càng hay. Sức bền
trên Internet cũng tương tự với dòng hằng
của các chương trình quét mức thấp và các
máy dò hacker dùng để tìm kiếm hệ thống có
thể xâm nhập. Cách tốt nhất để tránh việc này
là giữ một profile thấp. Hầu hết các quản trị
viên Linux đều mở nhiều dịch vụ hơn mức
cần thiế
t trong khu vực làm việc. Tôi đã từng
chứng kiến hàng loạt máy bị hack qua các
bản copy lỗi thời của BIND cài đặt trên hệ
thống. Hệ thống đó thậm chí không dùng tên
dịch vụ cục bộ. Nếu tính năng 'named' không
thực thi, hệ thống sẽ không an toàn. Hãy tắt bất kỳ dịch vụ thừa và gỡ bỏ phần
mềm không cần thiết nếu có thể.
Nhiều chương trình nguy hiểm
đến từ inetd. Bạn có thể tắt chúng bằng cách
dẫn giải các dòng phù hợp tương ứng trong thư mục /etc/inetd.conf. Một
số hệ thống như Red Hat 7.0 sử dụng xinetd thay thế cho các file cấu hình
xinetd, dễ dàng trong sử dụng và cũng dễ dàng tắt các dịch vụ này. Nhiều dịch
vụ nguy hiểm khác xuất hiện trong các bản script khởi động ở /etc/rc[1-
5].d, /etc/init.d/rc[1-5].d, hay /sbin/rc[1-5].d. (Thư mụ
c này có
thể thay đổi tuỳ thuộc vào hệ thống phân phối của bạn), nhưng tốt nhất là nên
giới hạn lượng tối thiểu vừa đủ.
Cuối cùng là bảo vệ dữ liệu khi được truyền đi trên mạng. Các chương trình như
Telnet, FTP truyền tải tất cả mật khẩu và dữ liệu qua mạng dưới dạng văn bản
thuần tuý (cleartext). Bất kỳ ai có bộ sniffer m
ạng đều có thể đọc được chúng.
Bạn nên thay thế các gói này bằng OpenSSH
hoặc một phần mềm nào đó khác
bảo vệ dữ liệu bằng cách sử dụng phương pháp mã hoá.
Hãy luôn chú ý tới đường đi
Một người lái xe giỏi phải luôn quan sát được chướng ngại vật, biết các nguy cơ
có thể xảy đến và biết cách xử lý chúng ra sao. Trong bảo mật, danh sách
mailing là điểm then chốt để thực hiện điều này. CIAC
và CERT sử dụng bộ
danh sách mailing mức thấp với thông tin về các nguy cơ bảo mật cho nhiều
công ty phát triển Linux như Red Hat, SuSE, Debian và Mandrake. Nếu bạn
muốn biết cụ thể hơn các vấn đề diễn ra hàng ngày, BugTraq
là danh sách
mailing hữu hiệu, nơi nhiều vấn đề bảo mật được đưa ra đầu tiên.
Để luôn quan sát được những gì đang diễn ra, hãy đọc các file log cơ sở. Đó là
Nguồn: opensource
điều đầu tiên bạn nên làm mỗi sáng, sau khi kiểm tra e-mail đến. Nếu sử dụng
một hệ thống dò tìm xâm nhập như Snort
, bạn cũng nên đọc các file log.
Chương trình GIAC
(Global Incident Analysis Center) của học viện SANS
Institute cho phép bạn tìm ra hệ thống dò tìm xâm nhập không hoạt động của
người khá. Đọc file log của các admin khác là một cách thông minh để hiểu các
vấn đề cơ sở.
Bảo dưỡng định kỳ
Ngay cả những chiếc xe an toàn nhất, hiện đại nhất cũng cần phải được kiểm tra
và bảo dưỡng định kỳ mới có thể luôn duy trì được khả năng hoạt
động tốt nhất
của mình. Máy tính cũng vậy. Với các hệ thống Linux, bảo dưỡng định kỳ tức là
phải luôn cập nhật bản mới nhất cho phần mềm trong máy. Như với Red Hat
Linux chẳng hạn. Thời gian cập nhật cho các bản update mới nhất là khá thường
xuyên: một hoặc thậm chí hơn các bản update trong một tuần.
Mặc dù giữ tốc độ cập nhật liên tục cho phần m
ềm hệ
thống có nhiều thách thức, nhưng điều đó là cần thiết.
Hầu hết các hệ thống bị phá hoại xuất phát từ nguyên
nhân khai thác các lỗ hổng bảo mật trong phần mềm
chưa được update bản mới nhất. Bạn có thể ví nó như
một cuộc đua: bạn sẽ tìm thấy các lỗ hổng trước khi vá
chúng? Nhiều phân phối Linux hiện nay đều trang bị cơ
chế update tự động. Debian và các phân phối liên quan
hỗ trợ lệnh apt-get update, Mandrake có
MandrakeUpdate và Red Hat có 'up2date'. Sử dụng các
chức năng này hoặc tự nâng cấp cho tất cả phần mềm
trong hệ thống hiện thời của bạn là yếu tố quan trọng để giành chiến thắng trong
cuộc đua chống những kẻ xâm phạm bất hợp pháp.
Giống như lái xe, bảo mật máy tính cũng có những đi
ểm hết sức đáng chán. Để
giữ an toàn, bạn phải tiếp tục thực hiện các nguyên tắc cơ bản sau đây:
• Sao lưu hệ thống như là một hình thức bảo hiểm
• Biết mình đang cố gắng bảo vệ cái gì
• Thực hiện tất cả các chính sách thích hợp (nếu cần thì có thể xây dựng
chính sách riêng)
• Biết ước lượng khả năng của mình và giới hạn nó
• Luôn quan sát, theo dõi các m
ối đe doạ phù hợp
• Luôn cập nhật các bản mới nhất cho phần mềm
Để giữ an toàn cho hệ thống cần phải luôn kiên trì, kiên định và thường xuyên
nâng cao cảnh giác.
Nguồn: norman