Tải bản đầy đủ (.pdf) (36 trang)

Tài liệu An toàn và bảo mật trên hệ điều hành Linux doc

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (706.33 KB, 36 trang )






An toàn và bảo mật trên
hệ điều hành Linux
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 1


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
Giới thiệu

Ngày nay, trên mạng Internet kỳ diệu, người ta đang thực hiện
hàng tỷ đô la giao dịch mỗi ngày( trên dưới 2 ngàn tỷ USD mỗi năm).
Một khối lượng hàng hoá và tiền bạc khổng lồ đang được tỷ tỷ các điện
tử tí hon chuyển đi và nó thực sự là miếng mồi béo bở cho những tay
ăn trộm hay khủng bố có có “ tri thức”. Sự phát triển nhanh chóng
của mạng máy tính là điều tất yếu. Hàng ngày có không biết bao nhiêu
người tham gia vào hệ thống thông tin toàn cầu mà chúng ta gọi là
Internet. Những công ty lớn, các doanh nghiệp, các trường đại học
cùng như các trường phổ thông ngày càng tăng và hơn cả thế có rất
rất nhiều người đang nối mạng trực tuyến suốt 24/24 giờ mỗi ngày,
bảy ngày trong tuần. Trong bối cảnh một liên mạng toàn cầu với hàng
chục triệu người sử dụng như Internet thì vấn đề an toàn thông tin trở
nên phức tạp và cấp thiết hơn. Do đó một câu hỏi không mấy dễ chịu
đặt ra là : liệu mạng máy tính của chúng ta sẽ phải bị tấn công bất cứ
lúc nào?


Sự bảo vệ của bất kỳ mạng máy tính nào đầu tiên cũng là firewall
và phần mền nguồn mở như Linux. Và câu chuyện về an toàn mạng
không có hồi kết thúc. Việc giữ an toàn một hệ thống kéo theo chúng
ta phải có nhưng kiến thức tốt về hệ điều hành, mạng TCP/IP cơ sở và
quản trị dịch vụ. Cùng với sự gợi ý của giá viên hướng dẫn và tầm
quan trọng của việc an toàn thông tin liên mạng, ở đây chúng tôi chỉ
trình bày một cách tổng quan những vùng nơi Linux có thể và cần phải
được giữ an toàn, những thêm vào đó là các lệnh cơ bản, những kinh
ngiệm trong nguyên tắc an toàn và bảo vệ hệ thống mạng.
Nhóm sinh viên thực hiện:
- Nguyễn Huy Chương
- Lê Thị Huyền Trang















Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 2



GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương

I. An toàn cho các giao dịch trên mạng

Có rất nhiều dịch vụ mạng truyền thống giao tiếp thông qua giao thức văn bản
không mã hoá, như TELNET, FTP, RLOGIN, HTTP, POP3. Trong các giao dịch giữa
người dùng với máy chủ, tất cả các thông tin dạng gói được truyền qua mạng dưới
hình thức văn bản không được mã hoá. Các gói tin này có thể dễ dàng bị chặn và sao
chép ở một điểm nào đó trên đường đi. Việc giải mã các gói tin này rất dễ dàng, cho
phép lấy được các thông tin như tên người dùng, mật khẩu và các thông tin quan
trọng khác. Việc sử dụng các giao dịch mạng được mã hoá khiến cho việc giải mã
thông tin trở nên khó hơn và giúp bạn giữ an toàn các thông tin quan trọng. Các kỹ
thuật thông dụng hiện nay là IPSec, SSL, TLS, SASL và PKI.
Quản trị từ xa là một tính năng hấp dẫn của các hệ thống UNIX. Người quản trị
mạng có thể dễ dàng truy nhập vào hệ thống từ bất kỳ nơi nào trên mạng thông qua
các giao thức thông dụng như telnet, rlogin. Một số công cụ quản trị từ xa được sử
dụng rộng rãi như linuxconf, webmin cũng dùng giao thức không mã hoá. Việc thay
thế tất cả các dịch vụ mạng dùng giao thức không mã hoá bằng giao thức có mã hoá
là rất khó. Tuy nhiên, bạn nên cung cấp việc truy cập các dịch vụ truyền thống như
HTTP/POP3 thông qua SSL, cũng như thay thế các dịch vụ telnet, rlogin bằng SSH.

Nguyên tắc bảo vệ hệ thống mạng

1. Hoạch định hệ thống bảo vệ mạng
Trong môi trường mạng, phải có sự đảm bảo rằng những dữ liệu có tính bí
mật phải được cất giữ riêng, sao cho chỉ có người có thẫm quyền mới được phép truy
cập chúng. Bảo mật thông tin là việc làm quan trọng, và việc bảo vệ hoạt động mạng

cũng có tầm quan trong không kém.
Mạng máy tính cần được bảo vệ an toàn, tránh khỏi những hiểm hoạ do vô
tình hay cố ý.Tuy nhiên một nhà quản trị mạng cần phải biết bất cứ cái gì cũng có
mức độ, không nên thái quá. Mạng không nhaats thiết phải được bảo vệ quá cẩn
mật, đến mức người dùng luôn gặp khó khăn khi truy nhập mạng để thực hiện nhiệm
vụ của mình. Không nên để họ thất vọng khi cố gắng truy cập cá tập tin của chính
mình.Bốn hiểm hoạ chính đối với sự an ninh của mạng là:
o Truy nhập mạng bất hợp pháp
o Sự can thiệp bằng phương tiện điện tử
o Kẻ trộm
o Tai hoạ vô tình hoặc có chủ ý
x Mức độ bảo mật :Tuỳ thuộc vào dạng môi trường trong đó
mạng đang hoạt động
x Chính sách bảo mật : Hệ thống mạng đòi hỏi một tập hợp
nguyên tắc, điều luật và chính sách nhằm loại trừ mọi rủi ro. Giúp hướng dẫn vược
qua các thay đổi và những tình huống không dự kiến trong quá trình phát triển
mạng.
Sự đề phòng: đề phòng những truy cập bất hợp pháp
Sự chứng thực: trước khi truy nhập mạng, bạn gõ đúng tên đăng nhập và
password hợp lệ.
x Đào tạo: Người dùng mạng được đào tạo chu đáo sẽ có ít khả
năng vô ý phá huỷ một tài nguyên
x An toàn cho thiết bị: Tuỳ thuộc ở: quy mô công ty, độ bí mật
dữ liệu, các tài nguyên khả dụng. Trong môi trường mạng ngang hàng, có thể không
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 3


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang

Nguyễn Huy Chương
có chính sách bảo vệ phàn cứng có tổ chức nào. Người dùng chịu trách nhiệm đảm
bảo an toàn cho máy tính và dữ liệu của riêng mình.

2. Mô hình bảo mật
Hai mô hình bảo mật khác nhau đã phát triển, giúp bảo vệ an toàn dữ liệu và
tài nguyên phần cứng:
x Bảo vệ tài nguyên dùng chung bằng mật mã: gắn mật mã cho
từng tài nguyên dùng chung
x Truy cập khi được sự cho phép : là chỉ định một số quyền nhất
định trên cơ sở người dùng, kiểm tra truy nhập tài nguyên dùng chung căn cứ vào
CSDL user-access trên máy server

3. Nâng cao mức độ bảo mật
x Kiểm toán : Theo dõi hoạt động trên mạnh thông qua tài khoản
người dùng, ghi lại nhiều dạng biến cố chọn lọc vào sổ nhật ký bảo mật của máy
server. Giúp nhận biết các hoạt động bất hợp lệ hoặc không chủ định. Cung cấp các
thông tin về cách dùng trong tình huống có phòng ban nào đó thun phí sử dụng một
số tài nguyên nhất định, và cần quyết định phí của những tài nguyên này theo cách
thức nào đó.
x Máy tính không đĩa:Không có ổ đĩa cứng và ổ mềm. Có thể thi
hành mọi việ như máy tính thông thường, ngoại trừ việc lưu trữ dữ liệu trên đĩa cứng
hay đĩa mềm cục bộ. Không cần đĩa khởi động. Có khả năng giao tiếp với server và
đăng nhập nhờ vào một con chip ROM khởi động đặc biệt được cài trên card mạng.
Khi bật máy tính không đĩa, chip ROM khởi động phát tín hiệu cho server biết rằng
nó muốn khởi động. Server trả lời bằng cácn tải phần mềm khởi động vào RAM của
máy tính không đĩa và tự đọng hiển thị màn hình đăng nhập . Khi đó máy tính được
kết nối với mạng.
x Mã hoá dữ liệu: Người ta mã hoá thông tin sang dạng mật mã
bằng một phương pháp nào đó sao cho đảm bảo thông tin đó không thể nhận biết

được nếu nơi nhận không biết cách giải mã. Một người sử dụng hay một host có thể
sử dụng thông tin mà không sợ ảnh hưởng đến người sử dụng hay một host khác.
x Chống virus :
- Ngăn không cho virus hoạt động
- Sữa chữa hư hại ở một mức độ nào đó
- Chặn đứng virus sau khi nó bộc phát
Ngăn chặn tình trạng truy cập bất hợp pháp là một trong những giải pháp
hiệu nhiệm nhất để tránh virus. Do biện pháp chủ yếu là phòng ngừa, nên nhà quản
trị mạng phải bảo đảm sao cho mọi yếu tố cần thiết đều đã sẵn sàng:
- Mật mã để giảm khả năng truy cập bất hợp pháp
- Chỉ định các đặc quyền thích hợp cho mọi người dùng
- Các profile để tổ chức môi trường mạng cho người dùng có
thể lập cấu hình và duy trì môi trường đăng nhập, bao gồm
các kết nối mạng và những khoản mục chương trình khi
người dùng đăng nhập.
- Một chính sách quyết định có thể tải phần mềm nào.






Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 4


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương


Kiến trúc bảo mật của hệ thống mạng

1) Các mức an toàn thông tin trên mạng



Không có điều gì gọi là hoàn hảo trong việc an toàn hệ thống mạng như
Linux. Nó được thiết kế để là một hệ điều hành nối mạng và sự phát triển mạnh mẽ
của nó chỉ để tập trung vào sự an toàn. Hệ điều hành mã nguồn mở là cái gì mà cho
phép người quản trị mạng và những người phát triển, những người dùng triền miên
theo dõi và kiểm toán những gì dễ bị tấn công. Ở đấy không có gì huyền bì về an
toàn thông tin. Thật là tốt nếu như các tài nguyên được bảo mật và được bảo vệ tốt
trước bất kỳ sự xâm phạm vô tình hay cố ý.
An toàn hay bảo mật không phải là một sản phẩm, nó cũng không phải là một
phần mền. Nó là một cách nghĩ. Sự an toàn có thể được khởi động và dừng như một
dịch vụ. Bảo mật là cách an toàn. Tài liệu bảo mật là tư liệu mà những thành viên
của tổ chức muốn bảo vệ. Trách nhiệm của việc bảo mật là người quản trị mạng.
Sự an toàn mạng có vai trò quan trọng tối cao. An toàn phải được đảm bảo từ
những nhân tố bên ngoài kernel, tại phần cốt lõi của Linux server. Cơ chế bảo mật
cần phải bao gồm cấu hình mạng của Server, chu vi ứng dụng của tổ chức mạng và
thậm chí của những client truy nhập mạng từ xa. Có vài cách mà ta cần phải xem
xét:
o Sự an toàn vật lý
o An toàn hệ thống
o An toàn mạng
o An toàn các ứng dụng
o Sự truy nhập từ xa và việc chầp nhận

1. Sự an toàn vật lý
Điều này là cơ bản và giám sát được tốt khía cạnh an toàn của hệ điều hành

Linux. Sự an toàn vật lý bắt đầu với môi trường xung quanh ví dụ như đối với các
nhà cung cầp dịch vụ hãm hại?Có nên khoá các khối dữ liệu lại? Những người nào
được chấp nhận được vào trung tâm dữ liệu. Việc bảo vệ thích hợp là phải thực hiện
lại khi muốn xây dựng một cài đặt mới hay di chuyển dữ liệu đến một vị trí mới.


Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 5


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
2. An toàn hệ thống
Sự an toàn hệ thống bao quanh việc chọn phân phối hệ điều hành Linux, xây
dưng kernel,tới sự an toàn tài khoản người dùng, cho phép truy cập thư mục tập tin,
mã hoá syslog và file system. Các tác vụ này được hoàn thành trước khi dịch vụ nối
vào Internet. Việc chọn một phân phối nào thì tuỳ thuộc vào những nhu cầunhư
chính sách được phác thảo trong cơ chế an toàn. Có một tiêu chuẩn để chọn một
phân phối nhưng nó không thuộc phạm vi của bài này.Việc xây dựng một kernel sẵn
có có hai lợi thế:
o Những option an toàn của nhân được xác định bởi người quản trị mạng
và người quản trị mạng biết cái gì được xác định vào trong kernel và từ đây có thể
đồng thời nhận ra nếu điều đó nếu có. Phần nềm nguồn mở nói chung và hệ điều
hành Linux nói riêng, đặc biệt có những cải tiến để dễ dàng cho người sử dụng và có
những tiện ích dễ ứng dụng. Chỉ cần update trong Red Hat.
o Sự an toàn các tài khoảng người dùng có vai trò to lớn. Có những vùng
được vô hiệu hoá, những tài khoảng không hoạt động, vô hiệu hoá việc truy cập đến
NFS lên gốc, hạn chế những đăng nhập vào trong môi trường điều kiển hệ thống.Mã
hoá file hệ thông sử dụng kỹ thuật mã hoá mà thường là phòng thủ cuối cùng cho

mạng.
Có hai cách tiếp cận chung: Hệ thống file mã hoá (CFS) và Practical Privacy
Disk Driver(PPDD). Hệ thống có thể được theo dõi và trong Linux, hệ thống logging
được logged trong tiện ích syslog. Công cụ theo dõi bao gồm swatch và logcheck.
Swatch có công cụ thông báo thời gian thực, trong khi logcheck cung cấp một công
cụ mà phát sinh những báo cáo định kỳ. Kiểm toán Password cũng có vai trò sống
còn trong việc an toàn, bảo mật hệ thống trong khi mối liên kết yếu nhất trong việc
an toàn mạng là người sử dụng và việc lựa chọn các mật khẩu password.

3. An toàn mạng
Ở đây liên quan đến việ kết nối từ Linux server vào mạng. Cấu hình dịch vụ
mạng với sự an toàn ngày càng khó khăn cho những nhà quản trị mạng. The xinetd
daemon cần phải được định hình tổ chức bảo mật. Lệnh netstat Là một tiện ích mạnh
cho phép người quản trị kiểm tra tình trạng cấu hình mạng. Kiểm tra mạng là điều
cần thiếtcủa việc an toàn. Điều này đảm bảo rằng cơ chế an toàn đã được thực hiện
có hiêu quả trong việc hoàn thành những yêu cầu bảo mật. Điều đó đạt được bởi
quyền thực hiện đến mạng của bạn. Cách tiếp cận việc kiểm định mạng hiệu quả
nhất sẽ trong vai trò của người làm phiền. Có những công cụ kiểm định cơ sở và host
cơ sở.
SATAN(Security Administrator's Tool for Analysing Networks), SAINT( Security
Administrator's Integrated Network Tool), SARA (Security Auditor's Research
Assistant) là những công cụ tốt để kiểm định cơ bản. SATAN được đầu tiên công
nhận năm 1995, nó được công nhận đông đảo bởi mã nguồn mở.
SAINT mạnh hơn SANAN, trong khi SARA là một modul ackage, tương tác với
Nmap và Samba. Những cải tiến gần đây nhất là công cụ Nessus. Nessus là miễn
phí, nguồn mở,đầy đủ nổi bật, công cụ kiểm toàn vẫn được hỗ trợ cải tiến cải tiến
tích cực.Nessus đi vào 2 thành phần : - Client(nessus) và server( nesssus). Công cụ
Nmap cho người quản trị giàu kinh nghiệm. Mặt khác Nmap có sức mạnh, công cụ
quét cho người có kinh nghiệm. Nó được sử dụng tốt trong mạng LAN.
TARA(Tiger Auditors Research Assistant)là một ví dụ cho công cụ kiểm toán cơ

sở host. Theo dõi mạng dưới một sự tấn công. Công cụ để theo dõi đó là PortSentry
và Ethereal. Port Sentry quét trong chế độ ngầm định. Bảo mật mạng như một trò
chơi giữa mèo và chuột, của trí tuệ và máy đếm trí tuệ. Trong khi mạng kiểm toán là
một phần của mạng bình thường, mạng theo dõi cần phải được ưu tiên cao hơn. Việc
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 6


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
bảo mật bao gồm việc kiểm toán chính xác và cả việc có nên để như thế hay không.
PortSentry là một ví dụ của công cụ theo dõi thời gian thực được thiết kế để quét
phát hiện ra hệ thống, và có khả cho bạn những hồi đáp.

4. Các ứng dụng an toàn
Một vài deamons chuẩn trong việc phân phối Linux hiện thời là những ứng dụng
đầy đủ mà nó có cấu trúc file phức tạp. Web, file, mail server sử dụng những giao
thức phức tạp. An toàn có thể được thực hiện bởi các đặc tính bảo mật của việc các
đại lý cho phép(MTA‟s) như Sendmail, Qmail và Postfix.
Web Server có thể cũng được giữ an toàn bởi các modul cho phép: mod_auth,
mod_auth_dbm, mod_auth_db,….Việc cho phép Open SS hỗ trợ cho Apache sẽ cũng
công tác với web server. Samba có thể làm an toàn bởi việc đọc các thông số đang
chạy. Bước đầu tiên sẽ được bảo vệ bởi công cụ quản trị web Samba (SAT) với SLL
nên các lệnh quản lý Samba được bảo vệ.

5. Chu vi an toàn
Cấp số tự nhiên của cách tiếp cận được sắp từng lớp đến sự an toàn máy tính
ra khỏi lớp từ lớp mạng đến lớp ứng dụng, và từ đó đền lớp chu vi. Đây là vùng được
quan tâm. Firewalls là thành phần chính của miền chu vi an toàn, là phần mền mà

chức năng bắt buộc tổ chức bảo mật an toàn bởi bộ lọc, bảo mật, đẩy mạnh, hay yêu
cầu nằm trong Linux server để kết nối đến cả mạng chính và Internet. Fireware có
thể được thực hiện nhiều cách dựa trên các lớp của mô hình OSI: lớp mạng, lớp giao
vận và ứng dụng. Có điểm tích cực và tiêu cực trong việc triển khai fireware tại các
lớp của mạng.Firewall mạng được biết như các packet-filtering gateway, nơi mà
chúng kiểm tra nhữg gói tin IP vào giao diện fireware và hoạt động phù hợp được giữ
lại. hoạt động bao gồm drop, cho phép/ hoặc log. Sự bất lợi là kiểu Firewall này
không khôn khéo. Firwall giao vận làm việc bởi khảo sát TCP hoặc UDP. Firewall yêu
cầu sự can thiệp người dùng sửa đổi những thủ tục. Firewall ứng dụng làm cho các
quyết định truy nhập ở tầng ứng dụng.Nó cho phép người quản trị may firewall cho
yêu cầu của mỗi loại ứng dụng. Caci bất tiện trong firewall là người quản trị cần định
hình triển khai theo dõi, và bảo trì quá trình firewall cho mỗi ứng dụng mà cần truy
nhập điều khiển.
Nó luôn là tôt đẻ thực hiện bảo mật bởi việc sử dụng kết hợp một firewall tại
tất cả ba tầng để tránh sự tổn thương. Firewall không chỉ cản trở những người làm
phiền không hợp pháp vào mạng nhưng phải cho phép người sử dụng truy nhập bên
ngoài vào nguồn tài nguyên, trong khi đó chấp nhận phê chuẩn nhất định những kết
nối sau cho người dùng. Đây là nhận thức dễ nhưng đó là một thách thức khi thi
hành.
o Firewall mạng
Có vài lợi thế trong việc sử dụng Linux như nền tảng fireware. Sự quản lý
đồng bộ, phần cứng, số người dùng, kiểm tra nền tảng, việc thực hiện, giá giữa các
lý do tại sao. Sự loc gói là lợi ích hiệu quả và cách bảo vẩptong phậm vi tránh xâm
nhập. Người sử dụng không cần xác nhận để sử dụng tin cậy những dịch vụ vùng
bên ngoài.
Những giải pháp cho việc lọc gói trong Linux bao gồm ipchains và ipfwadm.
tiện ích của việc lọc gói tin được sử dụng trong nhân từ phiên bản 1.2.1 về trước.
Phiên bản cuối cùng của ipfwadm vào tháng 7/1996, sau đó ipchains thay thế
nó. Những địa chỉ Ipchains là những giới hạn thiếu sót của ipfwadr như đếm 32 bit,
không có khả năng giải quyết cấu thành địa chỉ IP,..v.v. Ipchains chiến thắng các

giới hạn đó bởi việc tận dụng lợi ích của ba kênh riêng biệt hay những quy tắc nối
tiếp để lọc. Ba kênh đó là : INPUT, OUTPUT, và FORWARD.
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 7


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
Tiện ích Ipchains theo cú pháp:
ipchains command chain rule-specification [options] -j action
Tại đây có thể một trong số kênh INPUT, OUTPUT hoặc FORWARD. Như nhân
2.4 về trước, tính hoạt động một lần của Ipchains được thay thế bởi Netfilter và
khoảng quy tắc Iptables. Netfilter được hỗ trợ bởi công nghệ Watchguard. Ipctables
được phát triển từ tiện ích của Ipchains và nó chỉ chạy trên những phiên bản 2.3 về
trước.
Một ví dụ về lệnh Iptables:
iptables -A INPUT -p tcp –-dport smtp -j ACCEPT.
Hiện nay có những thiết kế firewall bắt được hầu hết các cấu trúc mạng phổ
biến, báo hiệu đơn giản theo yêu cầu kết nối tới những nơi rất phức tạp kéo theo khu
vực được phi quân sự hoá(DMZ).

II. Bảo mật Linux Server

Những kinh nghiệm bảo mật
Hiện nay Linux đang dần trở thành một hệ điều hành khá phổ biến bởi tính
kinh tế, khả năng bảo mật và sự uyển chuyển cao. Thế nhưng, mọi hệ thống dù an
toàn đến đâu cũng dễ dàng bị xâm nhập nếu người dùng(và nhất là người quản trị-
root) không đặt sự bảo mật lên hàng đầu. Sâu đây là một só kinh nghiệm về bảo
mật trên hệ điều hành Red Hat Linux mà chúng tôi muốn chia sẽ cùng các bạn:

1. Không cho phép sử dụng tài khoảng root từ console: Sau khi cài đặt,
tài khoảng root sẽ không có quyền kết nối telnet vào dịch vụ telnet trên hệ thống,
trong khi đó tài khoản bình thường lại có thể kết nối, do nội dung tập tin
/etc/security chỉ quy định những console được phép truy cập bởi root và chỉ liệt kê
những console truy xuất khi ngồi trực tiếp tại máy chủ. Để tăng cường bảo mật hơn
nữa, hãy soạn thảo tập tin /etc/security và bỏ đi những console bạn không muốn
root truy cập.

2. Xoá bớt tài khoảng và nhóm đặc biệt:Người quản trị nên xoá bỏ tất cả
các tài khoảng và nhóm được tạo sẵn trong hệ thống nhưng không có nhu cầu sử
dụng.( ví dụ: lp, syne, shutdown, halt, news, uucp, operator, game, gophẻ…). Thực
hiện việc xoá bỏ tài khoảng bằng lệnh usedel và xoá bỏ nhóm với lệnh groupdel

3. Tắt các dịch vụ không sử dụng: Một điều khá nguy hiểm là sau khi cài
đặt, hệ thống tự động chạy khá nhiều dịch vụ, trong đó đa số là các dịch vụ không
mong muốn, dẫn đến tiêu tốn tài nguyên và sinh ra nhiều nguy cơ về bảo mật. Vì
vậy người quản trị nên tắt các dịch vụ không dùng tới(ntsysv) hoặc xoá bỏ các gói
dịch vụ không sử dụng bằng lệnh rpm

4. Không cho “SU” (Substitute) lên root: Lệnh su cho phép người dùng
chuyển sang tài khoảng khác. Nếu không muốn người dùng “su” thành root thì thêm
hai dòng sau vào tập tin /etc/pam.d/su:
Auth sufficient/lib/security/pam_root ok so debug
Auth required/lib/security/pam_wheel.so group= tên_nhóm_root

5. Che dấu tập tin mật khẩu: Giai đoạn đầu, mật khẩu toàn bộ tài khoảng
được lưu trong tập tin /etc/password, tập tin mà mọi người dùng đều có quyền đọc.
Đây là kẻ hở lớn trong bảo mật dù mật khẩu được mã hoá nhưng việc giải mã không
phải là không thể thực hiện được. Do đó, hiện nay các nhà phát triển Linux đã đặt
Đề tài: An toàn và bảo mật trên hệ điều hành Linux

Page 8


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
riêng mật khẩu mã hoá vào tập tin /ect/shadow chỉ có root mới đọc được, nhưng
yêu cầu phải chọn Enable the shadow password khi cài Red Hat.

6. Luôn nâng cấp cho nhân (kernel) Linux:Linux không hẵn được thiết kế
với tính năng bảo mật chặt chẽ, khá nhiều lỗ hỏng có thể bị lợi dụng bởi tin tặc. Vì
vậy việc sử dụng một hệ điều hành với nhân được nâng cấp là rất quan trọng vì một
khi nhân, phần cốt lõi nhất của hệ điều hành được thiết kế tốt thì nguy cơ bị phá hoại
sẽ giảm đi rất nhiều.

7. Tự động thoát khỏi Shell: Người quản trị hệ thống và kể cả người sử
dụng bình thường rất hay quên thoát ra dấu nhắc shell khi kết thúc công việc. Thât
nguy hiểm nếu có một kẻ nào sẽ có toàn quyền truy suất hệ thống mà chăng tốn
chút công sức nào cả. Do vậy người quản trị nên cài đặt tính năng tự động thoát khỏi
shell khi không có sự truy xuất trong khoảng thời gian định trước bằng cách sử dụng
biến môi trường và gán một giá trị quy định Số giây hệ thống duy trì dấu nhắc,
bạn nên vào tâp tin /ect/ profile để luôn tác dụng trong mọi phiên làm việc.

8. Không cho phép truy nhập tập tin kịch bản khởi động của Linux: Khi hệ
điều hành Linux khởi động, các tập tin kịch bản (script) được đặt tại thư mục
/etc/rc.d/init.d sẽ được gọi thực thi. Vì thế, để tránh những sự tò mò không cần thiết
từ phía người dùng, với tư cách người quản trị, bạn nên hạn chế quyền truy xuất tới
các tập tin này và chỉ cho phép tài khoảng root xử lý bằng lệnh sau:
#chmod –R 700/etc/rc.d/init.d*


9. Giới hạn việc tự ý ghi nhận thông tin từ shell: Theo mặc định, tất cả
lệnh được thực thi tại dấu nhắc shell của tài khoảng đều được ghi vào tập tin
.bash_history( nếu sd bashshell) trong thư mục cá nhân của từng tài khoảng. Điều
này gây nên vô số nguy hiểm tiềm ẩn, đặc biệt đối với những ứng dụng đòi hỏi người
dùng phải gõ thông tin mật khẩu. Do đó người quản trị nên giới hạn việc tự ý ghi
nhận thông tin từ shell dựa vào hai biến môi trường HISTFILESIZE và HISTSIZE:
- Biến môi trường HISTFILESIZE quy định số lệnh gõ tại dấu nhắc shell sẽ
được lưu lại cho lần truy cập sau.
- Biến môi trường HISTSIZE quy định số lệnh sẽ được ghi nhớ trong phiên
làm việc hiện hành.
Vì vậy, ta sẽ phải giảm giá trị của HISTSIZE và cho giá trị HISTFILESIZE bằng
0 để giảm thiểu tối đa những nguy hiểm. Bạn thực hiện việc này bằng cách thay đổi
giá trị hai biến nêu trên trong tập tin /etc/profile như sau:
HISTFILESIZE = 0
HISTSIZE = xx
Trong đó xx là số lệnh mà shell sẽ ghi nhớ, đồng thời không ghi lại bất kỳ một
lệnh nào do người dùng đã gõ khi người dùng thoát khỏi shell.

10. Tắc các tiến trình SUID/SGID : Bình thường, các tiến trình được thực
hiện dưới quyền của tài khoản gọi thực thi ứng dụng đó. Đó là dưới windows, nhưng
Unix/Linux lại sử dụng một kỹ thuật đặc biệt cho phép một số chương trình được
thực hiện dưới quyền của người quản lý chương trình chứ không phải người gọi thực
thi chương trình. Và đây chính là lý do tại sao tất cả mọi người dùng trong hệ thống
đều có thể đổi mật khẩu của mình trong khi không hề có quyên truy xuất lên tập tin
/etc/shadow, đó là vì lệnh passwd đã được gán thuộc tính SUID và được quản lý bởi
root, mà root lại là người dùng duy nhất có quyền truy xuất /etc/shadow.
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 9



GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
Tuy thế, khả năng tiên tiến này có thể gây nên những nguy cơ khá phức tạp vì
nếu một chương trình có khả năng thực thi được quản lý bởi root, do thiết kế tồi hoặc
do được cài đặt cố tình bởi những kẻ phá hoại mà lại được đặt thuộc tính SUID thì
mọi điều “ khủng khiếp” đều có thể xảy ra. Thực tế cho thấy có khá nhiều kỹ thuật
xâm phạm hệ thống mà không có quyền root được thực hiện bằng các kỹ thuật này:
kẻ phá hoại bằng cách nào đó tạo một shell được quản lý bởi root, có thuộc tính
SUID, kế đến mọi truy xuất phá hoại sẽ được thực hiện qua shell vừa tạo vì mọi lệnh
thực hiện trong shell sẽ được thực hiện giống như dưới quyền root.
Thuộc tính SGID cũng tương tự như SUID: các chương trình được thực hiện với
quyền nhóm quản lý chương trình chứ không phải nhóm của người chạy chương
trình. Như vậy người quản trị sẽ phải thường xuyên kiểm tra trong hệ thống có
những ứng dụng nào có thuộc tính SUID hoặc SGID mà không được sự quản lý của
root không, nếu phát hiện được tập tin có thuộc tính SUID/SGID “ ngoài luồng”, bạn
có thể loại bỏ các thuộc tình này bằng lệnh:
#chmod a-s

III. Linux Firewall

An toàn hệ thống luôn luôn là một vấn đề sống còn của mạng máy tính và firewall là
một thành phần cốt yếu cho việc đảm bảo an ninh.
Một firewall là một tập hợp các qui tắc, ứng dụng và chính sách đảm bảo cho người
dùng truy cập các dịch vụ mạng trong khi mạng bên trong vẫn an toàn đối với các kẻ tấn
công từ Internet hay từ các mạng khác. Có hai loại kiến trúc firewall cơ bản là :
Proxy/Application firewall và filtering gateway firewall. Hầu hết các hệ thống firewall hiện
đại là loại lai (hybrid) của cả hai loại trên.
Nhiều công ty và nhà cung cấp dịch vụ Internet sử dụng máy chủ Linux như một
Internet gateway. Những máy chủ này thường phục vụ như máy chủ mail, web, ftp, hay

dialup. Hơn nữa, chúng cũng thường hoạt động như các firewall, thi hành các chính sách
kiểm soát giữa Internet và mạng của công ty. Khả năng uyển chuyển khiến cho Linux thu
hút như là một thay thế cho những hệ điều hành thương mại.
Tính năng firewall chuẩn được cung cấp sẵn trong kernel của Linux được xây dựng từ
hai thành phần : ipchains và IP Masquerading.
Linux IP Firewalling Chains là một cơ chế lọc gói tin IP. Những tính năng của IP
Chains cho phép cấu hình máy chủ Linux như một filtering gateway/firewall dễ dàng. Một
thành phần quan trọng khác của nó trong kernel là IP Masquerading, một tính năng
chuyển đổi địa chỉ mạng (network address translation- NAT) mà có thể che giấu các địa
chỉ IP thực của mạng bên trong. Để sử dụng ipchains, bạn cần thiết lập một tập các luật
mà qui định các kết nối được cho phép hay bị cấm.
Các nguyên tắc Ipchains Thực hiện các chức năng sau:
± Accept: The packet is okay; allow it to pass to the appropriate chain
Cho phép chuyển gói tin qua chain thích hợp
± Deny: The packet is not okay; silently drop it in the bit bucket. Không
đồng ý , bị rớt.
± Reject: The packet is not okay; but inform the sender of this fact via
an ICMP packet. Không đồng ý, nhưng sự việc của người gởiqua gói ICMP
± Masq: Used for IP masquerading (network address translation). Sử
dụng cho IP masquerading ( việc dịch địa chỉ mạng)
± Redirect: Send this packet to someone else for processing. Gởi gói tin
này đến một người khác để sử lý
± Return: Terminate the rule list. Hoàn thành danh sách các quy tắc.
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 10


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương

Chú ý: Các gói Ipfw(ipfilters/iptable) dưới hệ điều hành BSD cung cấp hoạt động
tương tự Ipchains.
Ví dụ:
# Cho phép các kết nối web tới Web Server của bạn
/sbin/ipchains -A your_chains_rules -s 0.0.0.0/0 www -d 192.16.0.100 1024: -j ACCEPT
# Cho phép các kết nối từ bên trong tới các Web Server bên ngoài
/sbin/ipchains -A your_chains_rules -s 192.168.0.0/24 1024: -d 0.0.0.0/0 www -j
ACCEPT
# Từ chối truy cập tất cả các dịch vu khác
/sbin/ipchains -P your_chains_rules input DENY
Ngoài ra, bạn có thể dùng các sản phẩm firewall thương mại như Check Point FireWall-
1, Phoenix Adaptive Firewall, Gateway Guardian, XSentry Firewall, Raptor, ... hay rất
nhiều các phiên bản miễn phí, mã nguồn mở cho Linux như T.Rex Firewall, Dante, SINUS,
TIS Firewall Toolkit, ...

1.DÙNG CÔNG CỤ DÕ TÌM ĐỂ KHẢO SÁT HỆ THỐNG

Thâm nhập vào một hệ thống bất kỳ nào cũng cần có sự chuẩn bị. Hacker phải xác
định ra máy đích và tìm xem những port nào đang mở trước khi hệ thống có thể bị xâm
phạm. Quá trình này thường được thực hiện bởi các công cụ dò tìm (scanning tool), kỹ
thuật chính để tìm ra máy đích và các port đang mở trên đó. Dò tìm là bước đầu tiên
hacker sẽ sử dụng trước khi thực hiện tấn công. Bằng cách sử dụng các công cụ dò tìm
như Nmap, hacker có thể rà khắp các mạng để tìm ra các máy đích có thể bị tấn công.
Một khi xác định được các máy này, kẻ xâm nhập có thể dò tìm các port đang lắng nghe.
Nmap cũng sử dụng một số kỹ thuật cho phép xác định khá chính xác loại máy đang
kiểm tra.
Bằng cách sử dụng những công cụ của chính các hacker thường dùng, người quản trị
hệ thống có thể nhìn vào hệ thống của mình từ góc độ của các hacker và giúp tăng cường
tính an toàn của hệ thống. Có rất nhiều công cụ dò tìm có thể sử dụng như: Nmap,
strobe, sscan, SATAN, ...

Nmap
Là chữ viết tắt của "Network exploration tool and security scanner" . Đây là chương trình
quét hàng đầu với tốc độ cực nhanh và cực mạnh. Nó có thể quét trên mạng diện rộng và
đặc biệt tốt đối với mạng đơn lẻ. NMAP giúp bạn xem những dịch vụ nào đang chạy trên
server (services/ports:webserver,ftpserver,pop3,...), server đang dùng hệ điều hành gì,
loại tường lửa mà server sử dụng, ... và rất nhiều tính năng khác. Nói chung NMAP hỗ trợ
hầu hết các kỹ thuật quét như : ICMP (ping aweep), IP protocol, Null scan, TCP SYN (half
open), ... NMAP được đánh giá là công cụ hàng đầu của các Hacker cũng như các nhà
quản trị mạng trên thế giới.
Quét an toàn Nmap là một trong số công cụ quét an toàn được sử dụng rộng
rãi nhất sẵn có. Nmap là một cổng quét mà chống lại các nhân tố, các cách khác tàn
phá đến mạng của bạn. Nó có thể phát sinh ra nhiều kiểu gói mà thăm dò các ngăn
xếp TCP/IP trên những hệ thống của bạn.
Nmap có thể phát sinh ra một danh sách của những cổng mở dịch vụ trên hệ
thống của bạn,thâm nhập firewalls, và cung cấp những tin quấy rầy, không tin cậy
đang chạy trên host của bạn. Nmap security có sẵn tại :
.Dưới đây là một ví dụ sử dụng Nmap:
# nmap -sS -O 192.168.1.200
Starting nmap V. 2.54 by Fyodor (, www.insecure.org/nmap/)
Interesting ports on comet (192.168.1.200):
Port State Protocol Service
7 open tcp echo
19 open tcp chargen
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 11


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương

21 open tcp ftp
...
TCP Sequence Prediction: Class=random positive increments
Difficulty=17818 (Worthy challenge)
Remote operating system guess: Linux 2.2.13
Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds
Tuy nhiên, sử dụng các công cụ này không thể thay thế cho một người quản trị có kiến
thức. Bởi vì việc dò tìm thường dự báo một cuộc tấn công, các site nên ưu tiên cho việc
theo dõi chúng. Với các công cụ dò tìm, các nhà quản trị hệ thống mạng có thể phát hiện
ra những gì mà các hacker có thể thấy khi dò trên hệ thống của mình.

2.PHÁT HIỆN SỰ XÂM NHẬP QUA MẠNG

Nếu hệ thống của bạn có kết nối vào internet, bạn có thể trở thành một mục tiêu bị dò
tìm các lỗ hổng về bảo mật. Mặc dù hệ thống của bạn có ghi nhận điều này hay không thì
vẫn không đủ để xác định và phát hiện việc dò tìm này. Một vấn đề cần quan tâm khác là
các cuộc tấn công gây ngừng dịch vụ (Denial of Services - DoS), làm thế nào để ngăn
ngừa, phát hiện và đối phó với chúng nếu bạn không muốn hệ thống của bạn ngưng trệ.
Hệ thống phát hiện xâm nhập qua mạng (Network Intrusion Detection System - NIDS)
theo dõi các thông tin truyền trên mạng và phát hiện nếu có hacker đang cố xâm nhập
vào hệ thống (hoặc gây gây ra một vụ tấn công DoS). Một ví dụ điển hình là hệ thống
theo dõi số lượng lớn các yêu cầu kết nối TCP đến nhiều port trên một máy nào đó, do
vậy có thể phát hiện ra nếu có ai đó đang thử một tác vụ dò tìm TCP port. Một NIDS có
thể chạy trên máy cần theo dõi hoặc trên một máy độc lập theo dõi toàn bộ thông tin
trên mạng.
Các công cụ có thể được kết hợp để tạo một hệ thống phát hiện xâm nhập qua mạng.
Chẳng hạn dùng tcpwrapper để điều khiển, ghi nhận các dịch vụ đã được đăng ký. Các
chương trình phân tích nhật ký hệ thống, như swatch, có thể dùng để xác định các tác vụ
dò tìm trên hệ thống. Và điều quan trọng nhất là các công cụ có thể phân tích các thông
tin trên mạng để phát hiện các tấn công DoS hoặc đánh cắp thông tin như tcpdump,

ethereal, ngrep, NFR (Network Flight Recorder), PortSentry, Sentinel, Snort, ...
Khi hiện thực một hệ thống phát hiện xâm nhập qua mạng bạn cần phải lưu tâm đến
hiệu suất của hệ thống cũng như các chính sách bảo đảm sự riêng tư.

3.KIỂM TRA KHẢ NĂNG BỊ XÂM NHẬP

Kiểm tra khả năng bị xâm nhập liên quan đến việc xác định và sắp xếp các lỗ hổng an
ninh trong hệ thống bằng cách dùng một số công cụ kiểm tra. Nhiều công cụ kiểm tra
cũng có khả năng khai thác một số lỗ hổng tìm thấy để làm rõ quá trình thâm nhập trái
phép sẽ được thực hiện như thế nào. Ví dụ, một lỗi tràn bộ đệm của chương trình phục vụ
dịch vụ FTP có thể dẫn đến việc thâm nhập vào hệ thống với quyền „root‟. Nếu người
quản trị mạng có kiến thức về kiểm tra khả năng bị xâm nhập trước khi nó xảy ra, họ có
thể tiến hành các tác vụ để nâng cao mức độ an ninh của hệ thống mạng.
Có rất nhiều các công cụ mạng mà bạn có thể sử dụng trong việc kiểm tra khả năng bị
xâm nhập. Hầu hết các quá trình kiểm tra đều dùng ít nhất một công cụ tự động phân
tích các lỗ hổng an ninh. Các công cụ này thăm dò hệ thống để xác định các dịch vụ hiện
có. Thông tin lấy từ các dịch vụ này sẽ được so sánh với cơ sở dữ liệu các lỗ hổng an ninh
đã được tìm thấy trước đó.
Các công cụ thường được sử dụng để thực hiện các kiểm tra loại này là ISS Scanner,
Cybercop, Retina, Nessus, cgiscan, CIS, ...
Kiểm tra khả năng bị xâm nhập cần được thực hiện bởi những người có trách nhiệm
một cách cẩn thận. Sự thiếu kiến thức và sử dụng sai cách có thể sẽ dẫn đến hậu quả
nghiêm trọng không thể lường trước được.
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 12


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương


4.ĐỐI PHÓ KHI HỆ THỐNG CỦA BẠN BỊ TẤN CÔNG

Gần đây, một loạt các vụ tấn công nhắm vào các site của những công ty lớn như
Yahoo!, Buy.com, E-Bay, Amazon và CNN Interactive gây ra những thiệt hại vô cùng
nghiêm trọng. Những tấn công này là dạng tấn công gây ngừng dịch vụ "Denial-Of-
Service" mà được thiết kế để làm ngưng hoạt động của một mạng máy tính hay một
website bằng cách gửi liên tục với số lượng lớn các dữ liệu tới mục tiêu tấn công khiến
cho hệ thống bị tấn công bị ngừng hoạt động, điều này tương tự như hàng trăm người
cùng gọi không ngừng tới 1 số điện thoại khiến nó liên tục bị bận.
Trong khi không thể nào tránh được mọi nguy hiểm từ các cuộc tấn công, chúng tôi
khuyên bạn một số bước mà bạn nên theo khi bạn phát hiện ra rằng hệ thống của bạn bị
tấn công. Chúng tôi cũng đưa ra một số cách để giúp bạn bảo đảm tính hiệu qủa của hệ
thống an ninh và những bước bạn nên làm để giảm rủi ro và có thể đối phó với những
cuộc tấn công.

Nếu phát hiện ra rằng hệ thống của bạn đang bị tấn công, hãy bình tĩnh. Sau
đây là những bước bạn nên làm:

x Tập hợp 1 nhóm để đối phó với sự tấn công:
o Nhóm này phải bao gồm những nhân viên kinh nghiệm, những người mà
có thể giúp hình thành một kế hoạch hành động đối phó với sự tấn công.
x Dựa theo chính sách và các quy trình thực hiện về an ninh của công ty, sử dụng
các bước thích hợp khi thông báo cho mọi người hay tổ chức về cuộc tấn công.
x Tìm sự giúp đỡ từ nhà cung cấp dịch vụ Internet và cơ quan phụ trách về an ninh
máy tính:
o Liên hệ nhà cung cấp dịch vụ Internet của bạn để thông báo về cuộc tấn
công. Có thể nhà cung cấp dịch vụ Internet của bạn sẽ chặn đứng được cuộc tấn công.
o Liên hệ cơ quan phụ trách về an ninh máy tính để thông báo về cuộc tấn
công

x Tạm thời dùng phương thức truyền thông khác (chẳng hạn như qua điện thoại)
khi trao đổi thông tin để đảm bo rằng kẻ xâm nhập không thể chặn và lấy được thông tin.
x Ghi lại tất cả các hoạt động của bạn (chẳng hạn như gọi điện thoại, thay đổi file,
...)
x Theo dõi các hệ thống quan trọng trong qúa trình bị tấn công bằng các phần mềm
hay dịch vụ phát hiện sự xâm nhập (intrusion detection software/services). Điều này có
thể giúp làm giảm nhẹ sự tấn công cũng như phát hiện những dấu hiệu của sự tấn công
thực sự hay chỉ là sự quấy rối nhằm đánh lạc hướng sự chú ý của bạn(chẳng hạn một tấn
công DoS với dụng ý làm sao lãng sự chú ý của bạn trong khi thực sự đây là một cuộc tấn
công nhằm xâm nhập vào hệ thống của bạn). Sao chép lại tất cả các files mà kẻ xâm
nhập để lại hay thay đổi (như những đoạn mã chương trình, log file, ...)
x Liên hệ nhà chức trách để báo cáo về vụ tấn công.

Những bước bạn nên làm để giảm rủi ro và đối phó với sự tấn công trong tương
lai :
o Xây dựng và trao quyền cho nhóm đối phó với sự tấn công
o Thi hành kiểm tra an ninh và đánh giá mức độ rủi ro của hệ thống
o Cài đặt các phần mềm an toàn hệ thống phù hợp để giảm bớt rủi ro
o Nâng cao khả năng của mình về an toàn máy tính




Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 13


GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương


Các bước kiểm tra để giúp bạn bảo đảm tính hiệu quả của hệ thống an ninh
o Kiểm tra hệ thống an ninh mới cài đặt : chắc chắn tính đúng đắn của chính sách
an ninh hiện có và cấu hình chuẩn của hệ thống.
o Kiểm tra tự động thường xuyên : để khám phá sự “viếng thăm” của những hacker
hay những hành động sai trái của nhân viên trong công ty.
o Kiểm tra ngẫu nhiên: để kiểm tra chính sách an ninh và những tiêu chuẩn, hoặc
kiểm tra sự hiện hữu của những lỗ hổng đã được phát hiện (chẳng hạn những lỗi được
thông báo từ nhà cung cấp phần mềm)
o Kiểm tra hằng đêm những file quan trọng: để đánh giá sự toàn vẹn của những file
và cơ sở dữ liệu quan trọng
o Kiểm tra các tài khoản người dùng: để phát hiện các tài khoản không sử dụng,
không tồn tại, ...
o Kiểm tra định kỳ để xác định trạng thái hiện tại của hệ thống an ninh của bạn

Thiết lập tường lửa Iptables cho Linux

Cấu hình Tables
Việc cài đặt Iptables là một phần trong việc cài đặt Red Hat ban đầu. Nguyên
bản khởi tạo tìm kiếm sự tồn tại của file Iptables, rules/etc/sysconfig/iptables, Và
nếu chúng đã tồn tại iptables khởi động với cầu hình đã được chỉ rõ. Một khi server
này là gởi mail và nhận mail, cấu hình Iptables nên cho phép những kết nối từ đầu
vào sendmail đến bất kỳ nơi đâu. Người quản trị hệ thống sẽ chỉ sử dụng shh từ bên
trong các máy, đặc biệt là MIS. Iptables rules sẽ cài đặt để cho phép các kết nối shh
từ 2 MIS. Ping ICMP sẽ cho phép bất kỳ đâu. Không có công nào khác cho phép kết
nối đến người phục vụ này. Đây là mức bổ sung cho việc phòng thủ của server trong
trường hợp Firewall được thoã hiệp. Thêm vào đó là việc bảo vệ cho ssh sẽ được
cung cấp bởi cấu hình các gói tcp bên dưới.
Những quy tắc để thực hiện cấu hình Iptables như sau:
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT(1)

/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT(2)
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT(3)
/sbin/iptables -A INPUT -p tcp --dport 22 -s 10.100.200.0/24 -j ACCEPT(4)
/sbin/iptables -A INPUT -p tcp --dport 22 -s 10.100.201.0/24 -j ACCEPT(5)
/sbin/iptables -A INPUT -p udp --sport 53 -s 10.100.50.50 -j ACCEPT(6)
/sbin/iptables -A INPUT -p udp -sport 53 -s 10.100.42.42 -j ACCEPT(7)
/sbin/iptables -A INPUT -j LOG(8)
/sbin/iptables -P INPUT DROP(9)
(1) Cho phép những kết nối liên quan và đã thiết lập đến server
(2) Cho phép các host khác ping đến server sendmaid
(3) Cho phép kết nối SMTP đến server
(4), (5) Cho phép kết nối ssh từ 2 MÍ (subnets)
(6), (7) Cho phép người phục vụ tên DNS cho box sendmaid để cung cấp giải pháp
DNS. Nếu bạn có hơn một domain – DNS, thì thêm một dòng cho mỗi DNS.
(8) log bất kỳ kết nối nào cố gắng mà nó không đặc biệt cho phép
(9) Cài dặt chính sách mặc định cho bảng INPUT to DROP
Tất cả các kết nối đặc biệt không cho phép sẽ bị rớt. Chương trình losentry sẽ được
cấu hình để định rằng bất kỳ dòng nào log cũng như sự xâm phạm an toàn. Để giữ
được cấu hình qua reboot, ta phải chạy Iptables- Save. Chạy lệnh như sau:
/sbin/iptables-save > /etc/sysconfig/iptables
Khi hệ thống khởi động lên, file Iptables sẽ được đọc và cấu hình hiệu dụng.

×