- www.nhipsongcongnghe.net CÀI ĐẶT HỆ ĐIỀU HÀNH LINUX REDHAT 8.0 1. - Một số điều lưu ý trước khi cài: Để cài RedHat 8.0 chạy trơn tru thoải mái, bạn cần có hệ thống PII, 64MB Ram trở lên, và phân vùng ổ cứng dành để cài Linux cần khoảng 2GB trở lên. - Tuy nhiên không có gì cản trở bạn cài Linux trên một hệ thống có cấu hình thấp hơn, nhưng khi đó bạn chỉ có thể chạy với các ứng dụng hạn chế trên hệ thống. - Nên tìm hiểu thông số cấu hình của hệ thống trước khi cài đặt. - Điều này rất quan trọng, giúp bạn thuận lợi trong quá trình cấu hình hệ thống sau khi cài đặt. - Bạn sẽ phải lựa chọn cho đúng thông số của các linh kiện phần cứng trong quá trình cấu hình hệ thống như: loại card màn hình, loại màn hình( tần số quét ngang, dọc), card mạng, card âm thanh. - Đơn giản, bạn có thể dùng Partition Magic để phân chia đĩa. - Thông thường, dung lượng bộ nhớ ảo tối ưu sẽ gấp đôi dung lượng bộ nhớ RAM của hệ thống. - Bắt đầu cài đặt: Cách đơn giản và thông dụng nhất để cài Redhat Linux là cài đặt từ bộ CDROM: Khởi động hệ thống từ bộ đĩa CD cài đặt ( CD số 1), và nhấn Enter từ dấu nhắc khởi động để mặc định cài đặt theo chế độ đồ hoạ. - Chương trình cài đặt sẽ tự động dò thông số của bàn phím, chuột, card màn hình, màn hình và sau đó đi vào quá trình cài đặt. - Thông qua từng bước wizard để bạn chọn các thông số về hệ thống như bàn phím, chuột, ngôn ngữ trong quá trình cài đặt, giờ hệ thống. - Chọn kiểu cài đặt: www.nhipsongcongnghe.net - Personal Desktop: dành cho người mới bắt đầu với Linux hoặc cho những hệ thống desktop cá nhân. - Chương trình cài đặt sẽ chọn lựa những gói phần mềm cần thiết nhất cho cấu hình này. - Dung lượng đĩa cần cho kiểu cài đặt này chiếm khoảng 1,5GB, bao gồm cả môi trường đồ hoạ. - Server: cài đặt hệ thống đóng vai trò máy chủ như webserver, ftpsever, SQL server.v.v. - Custom: đây là lựa chọn linh hoạt cho bạn trong quá trình cài đặt. - Bạn có thể chọn các gói phần mềm, các môi trường làm việc, boot loader tuỳ theo ý bạn. - Thiết lập phân vùng cài Linux: Đây là quá trình nhạy cảm nhất và nguy hiểm nhất trong quá trình cài đặt, vì chỉ cần bất cẩn chọn sai thì dữ liệu trên ổ cứng của bạn có thể bị mất sạch. - Option “remove all Linux partition on this system” sẽ chỉ xoá các phân vùng của Linux mà thôi Ở đây, để thuận tiện thì bạn có thể dùng Partition Magic để phân chia đĩa trước. - Tới giai đoạn này chỉ là công việc tạo định dạng cho phân vùng cài đặt mà thôi. - Tuy nhiên bạn vẫn có thể thao tác phân chia phân vùng cài đặt dễ dàng với Disk Druid. - có kiểu file hệ thống là Linux Native ext3. - Một phân vùng swap cho Linux, kiểu của phân vùng này là Linux swap, kích thước tối ưu là gấp đôi dung lượng RAM của hệ thống hiện tại. - Các button trên màn hình giao diện cho phép bạn thao tác phân chia và định dạng phân www.nhipsongcongnghe.net vùng. - qui định lại kích thước, là thư mục gì trong hệ thống phân cấp bộ nhớ. - Bạn có thể Reset quá trình thao tác nếu chưa thoả mãn yêu cầu của mình, chưa có một thay đổi nào được thực hiện cho đến khi bạn hoàn thành công việc với Disk Druid. - Đối với Linux, mọi thiết bị phần cứng đều được coi như file hoặc thư mục nằm trong hệ thống phân cấp cây thư mục. - Chẳng hạn hệ thống của bạn có hai ổ cứng thì đĩa cứng thứ nhất là /dev/had, ổ cứng thứ hai là /dev/hdb. - Trong cùng một ổ dĩa, các hệ thống file được chia thành các phân vùng khác nhau. - Cài đặt boot loader Đây là chương trình dùng để khởi động Linux cũng như các hệ điều hành khác (dual boot) khi bạn có nhiều hơn một hệ điều hành được cài trên hệ thống. - Grub tự động dò các hệ điều hành hiện có trên hệ thống và thêm vào trong danh sách khởi động. - Với tuỳ chọn “ configure advance boot loader option” cho phép bạn chọn việc cài grub lên đâu trong ổ cứng: Nếu chọn Grub để khởi động hệ thống , grub sẽ được cài lên Master boot record ( /dev/hda). - Cấu hình account: www.nhipsongcongnghe.net Việc cấu hình acount dùng để thiết lập mật khẩu root và có thể tạo thêm các account khác để log in vào hệ thống khi việc cài đặt hoàn tất. - Tài khoản root là tài khoản có quyền cao nhất trong hệ thống. - Bạn có thể cài đặt, cấu hình hệ thống hay làm mọi chuyện một khi đăng nhập vào hệ thống với tài khoản này. - Các lưu ý lựa chọn gói phần mềm cài đặt: Với Redhat 8.0, việc chọn các gói phần mềm để cài đặt được thực hiện rất thuận tiên khi các gói phần mềm được gom lại thành nhóm. - Có thể chọn cài các gói phần mềm ngay lúc này các gói cần thiết hoặc có thể cài thêm sau khi hoàn tất cài đặt. - Sau khi lựa chọn xong, chương trình cài đặt sẽ duyệt các gói phụ thuộc để bạn cài thêm. - Trong suốt quá trình chọn gói phần mềm cài đặt, bạn được thông báo dung lượng cần để cài đặt. - Một điều chú ý là bạn nên cài các programming develop và kernerl source, các thư viện lập trình để thuận tiện cho việc sau này cần biên dịch lại nhân hệ điều hành hoặc cài đặt và biên dịch phần mềm và driver cho hệ thống. - Nếu không cần Linux tự dò tìm và cấu hình dùm bạn, bạn có thể mở file /etc/X11/XF86Config (hoặc XF86Config-4) để cấu hình bằng tay. - Sau khi nhấn nút test để kiểm tra hệ thống có chạy tốt với chế độ đồ họa chưa, nếu mọi việc suôn sẻ, chúc mừng bạn đã hoàn tất quá trình cài đặt Linux. - Lưu ý về card đồ họa www.nhipsongcongnghe.net Mặc dù Linux nhận dạng và hỗ trợ đúng nhiều loại card đồ hoạ được sản xuất trong 2 năm gần đây, sau khi cấu hình, card đồ hoạ vẫn chạy với bus PCI cho dù card đồ họa của bạn là loại AGP, và bạn vẫn chưa tận dụng được các chứng năng đồ hoạ 3D cao cấp của nó. - Tuy nhiên, hiện nay nhiều nhà sản xuất phần cứng đã bắt đầu hỗ trợ driver cho các linh kiện của mình trên các hệ thống Linux. - Chẳng hạn với nhà sản xuất Nvidia, bạn có thể tải driver của nó thông qua www.nvidia.com hoặc ftp://download.nvidia.com/XFree . - Các game 3D chạy với hình ảnh rất mịn màng không thua kém gì trên MS Window sau khi bạn đã cài driver cho hệ thống. - www.nhipsongcongnghe.net không phải người thực hiện). - Đây chính là lý do tại sao tất cả mọi user trong hệ thống đều có thể đổi mật khẩu của mình trong khi không hề có quyền truy xuất lên file /etc/shadow: Nguyên nhân vì lệnh passwd có gán thuộc tính SUID và được quản lý bởi root, mà chỉ có root mới có quyền truy xuất /etc/shadow. - Tuy nhiên, khả n ng này có thể gây nên những nguy cơ tiềm tàng: Nếu một chương trình có tính n ng thực thi được quản lý bởi root, do thiết kế tồi hoặc do được cài đặt cố tình bởi những kẻ phá hoại mà lại có thuộc tính SUID thì mọi điều tồi tệ đều có thể xảy ra. - Thực tế cho thấy, khá nhiều kỹ thuật xâm nhập hệ thống mà không có quyền root được thực hiện nhờ kỹ thuật này: kẻ phá hoại bằng cách nào đó tạo được một shell (ví dụ bash) được quản lý bởi root, có thuộc tính SUID. - Như vậy, người quản trị sẽ phải thường xuyên kiểm tra xem trong hệ thống có những ứng dụng nào có thuộc tính SUID hoặc SGID mà không được phép không? Để tìm tất cả các file có thuộc tính SUID/SGID, sử dụng lệnh find như sau. - Nếu phát hiện được một file có thuộc tính SUID/SGID một cách không cần thiết, có thể loại bỏ các thuộc tính này bằng lệnh. - T ng tính bảo mật cho nhân (kernel) của Linux Thực tế cho thấy, Linux không hẳn được thiết kế với các tính n ng bảo mật thật chặt chẽ: khá nhiều lỗ hổng có thể bị lợi dụng bởi những tin tặc thông thạo về hệ thống. - Bạn đọc có thể xem xét việc củng cố nhân Linux thông qua các miếng vá (patch). - Tôi xin giới thiệu một trong những website tốt nhất chuyên cung cấp các miếng www.nhipsongcongnghe.net vá bổ sung cho nhân Linux về bảo mật tại địa chỉ www.grsecurity.net. - Tại đây bạn đọc có thể tìm hiểu thông tin hữu ích và tải xuống các miếng vá bổ sung cho hệ thống Linux của mình. - www.nhipsongcongnghe.net Bảo mật hệ thống *nix với PAM 1. - Đặt vấn đề Chắc hẳn bạn đã từng tự hỏi tại sao các chương trình ftp, su, login, passwd, sshd, rlogin … lại có thể hiểu và làm việc với shadow password. - tại sao một số hệ thống chỉ cho một nhóm nào đó có quyền su, hay sudo, hay hệ thống chỉ cho phép một số người dùng, nhóm người dùng đến từ các host xác định và các thiết lập giới hạn cho những người dùng đó, …Tất cả đều có thể lý giải với PAM. - +access.conf – Điều khiển quyền truy cập, được sử dụng cho thư viện pam_access.so. - +time – Thiết lập hạn chế thời gian cho dịch vụ và quyền người dùng, sử dụng cho thư viện pam_time.so. - www.nhipsongcongnghe.net 3.1. - Chọn và cài đặt hệ điều hành cho reverse proxy Dĩ nhiên là tôi sử dụng linux cho máy chủ reverse proxy. - Tôi không mô tả quá trình cài đặt linux ở đây bởi có rất nhiều tài liệu hay trên Internet nói về đề tài này, và hơn nữa tôi nghĩ là một khi đã nghĩ đến chuyện làm reverse proxy thì chắc chắn chuyện cài đặt Linux không là vấn đề.Linux có quá trời distro, thế mrro chọn distro nào? Theo tôi thì distro nào cũng như nhau cả thôi, nhưng nếu ai đó hỏi tôi câu hỏi trên thì câu trả lời sẽ là Trustix -4-. - Bất kể chọn distro nào, nhớ là sau khi cài đặt xong, hãy dành một chút thời gian để secure cái distro của mình lại trước khi đọc tiếp -5-. - Phần tiếp theo chúng ta sẽ bàn về việc cài đặt Apache httpd cũng như các module kèm theo của nó. - Lý do thứ hai là Apache 2.x cung cấp một bộ filtering API tốt hơn so với phiên bản 1.3.x, cho phép các module có thể nhìn thấy và tương tác với nội dung của các request cũng như các response tương ứng từ trả lời từ server. - Biên dịch và cài đặt Apache httpd Câu hỏi kế tiếp là biên dịch các module theo kiểu nào. - Như chúng ta đều biết, có hai cách www.nhipsongcongnghe.net biên dịch các module trong Apache httpd. - Chúng ta tải Apache httpd 2.x ở http://httpd.apache.org/download.cgi và tải mod_security tại http://www.modsecurity.org sử dụng các lệnh sau: CODE localhost$ wget http://www.tux.org/pub/net/apache/dist/htt...d-2.0.54.tar.gz localhost$ wget http://www.modsecurity.org/download/modsecurity-1.8.7.tar.gz localhost$ tar -xzf httpd-2.0.54.tar.gz -C /usr/local/src localhost$ tar -xzf modsecurity-1.8.7.tar.gz -C /usr/local/src Tài liệu kèm theo của mod_security chỉ hướng dẫn cách biên dịch mod_security thành một thư viện chia sẻ của Apache httpd, do đó chúng ta cần phải chuẩn bị đôi chỗ để có thể biên dịch tĩnh mod_security: CODE localhost$ cd /usr/local/src localhost$ mkdir -p httpd-2.0.54/modules/security localhost$ cp modsecurity-1.8.7/apache2/mod_security.c httpd-2.0.54/modules/security localhost$ cp httpd-2.0.54/modules/echo/Makefile.in httpd-2.0.54/modules/security Okay, xong xuôi, bắt đầu biên dịch như sau: CODE localhost$ cd /usr/local/src/httpd-2.0.54 localhost$ ./configure \ --with-mpm=worker \ --disable-charset-lite \ --disable-include \ --disable-env \ --disable-status \ --disable-autoindex \ --disable-asis \ --disable-cgid \ --disable-cgi \ --disable-negotiation \ --disable-imap \ --disable-actions \ --disable-userdir \ --disable-alias \ --disable-so \ --with-module=security:mod_security.c \ --enable-modules='ssl rewrite proxy proxy_http' Nếu quá trình biên dịch thành công, chúng ta sẽ tiếp tục như sau để cài Apache httpd vào hệ thống (tại thư mục mặc định là /usr/local/apache): CODE localhost$ make localhost$ su localhost# umask 022 localhost# make install localhost# chown -R root:sys /usr/local/apache www.nhipsongcongnghe.net 3.5. - -0-: Thực tế phần tiếng Việt của tài liệu "Securing Apache 2: Step-by-Step" tôi sao chép khá nhiều từ bản dịch và mở rộng tài liệu "Securing Apache: Step-by-Step" (http://www.securityfocus.com/infocus/1694) của hnd aka conmale. - Tham khảo thêm về bản dịch và mở rộng của anh conmale tại http://www.hvaonline.net/forum/index.php?a...T&f=161&t ngoài web-server ra, giải pháp reverse proxy (hoặc tương tự) có thể áp dụng cho các dịch vụ khác như VNC (xem thử http://sourceforge.net/projects/vnc-reflector. - -2-: chúng ta vẫn có thể thiết lập reverse proxy để bảo vệ cho các web-server nằm ở ngay vùng DMZ, hoặc thiết lập một reverse-proxy đặt ngay trong vùng Internal để bảo vệ các web-server ở vùng Internal từ các mối hiểm họa đến từ bên trong. - -3-: Ngoài Apache httpd ra, còn có rất nhiều software khác có thể được ứng dụng để làm reverse proxy mà đáng kể nhất là pound. - Thao khảo thêm tại địa chỉ http://www.apsis.ch/pound/. - Tham khảo thêm tại www.trustix.org. - -5-: Tham khảo tài liệu Linux Security HOWTO có tại http://www.tldp.org để biết thêm chi tiết. - -6-: Chỉ có sử dụng Apache 2.x thì những luật cản lọc OUTPUT của mod_security mới có tác dụng. - -7-: Tham khảo thêm tài liệu về mod_security tại địa chỉ http://www.modsecurity.org và loạt kí sự của conmale về các vụ tấn công DDoS vào HVA. - Tham khảo thêm tài liệu về mod_ssl tại địa chỉ http://www.modssl.org. - -9-: Chọn lựa MPM cho Apache 2.x là một vấn đề cực kì quan trọng, ảnh hưởng rất nhiền đến performance của server, do đó tôi đề nghị những ai quan tâm đến Apache 2.x, nên tham khảo thêm tài liệu về MPM tại http://httpd.apache.org/docs-2.0/mpm.html -10-: Tại sao thread lại "ngon" hơn process về performance? Những ai quan tâm đến vấn đề này xin tìm các tìm đọc các tài liệu sau đây: Advanced Linux programming (http://www.advancedlinuxprogramming.com) Understanding the Linux kernel. - Tác giả Mrro - Nhóm HVAonline www.nhipsongcongnghe.net Ứng dụng tập tin htaccess trên máy chủ Apache Ứng dụng tập tin htaccess trên máy chủ Apache h:37 Bạn đã từng nghe về tập tin .htaccess trên các máy chủ hệ Unix (FreeBSD, Linux, Solaris, True64. - Bạn biết rằng tập tin này có thể điều khiển được khá nhiều thứ, thậm chí thay đổi được cả thiết lập mặc định của máy chủ Apache http://apache.org/. - Với .haccess thì bạn có thể tự tạo các trang báo lỗi hay hơn. - còn trangloi.html là trang web mà bạn muốn hiển thị khi lỗi phát sinh, có thể đưa vào tập tin này nội dung hay đồ hoạ gì tùy bạn, chẳng hạn liên kết trở về trang chính của trang web. - Sử dụng tập tin .htaccess là một giải pháp hoàn hảo, để ngăn chặn việc sử dụng hình ảnh trái phép trên website của bạn. - Bạn chỉ việc đưa vào tập tin .htaccess nội dung sau : RewriteEngine on RewriteCond %{HTTP_REFERER. - RewriteCond %{HTTP_REFERER} !^http://(www\.)?trangweb\.com. - [F] Ở đoạn mã trên tôi sử dụng module Rewrite của máy chủ Apache, bạn chỉ việc thay đổi trangweb.com thành địa chỉ website của mình. - Có thể sử dụng một hình ảnh nào đó cảnh cáo những kẻ “ăn trộm” băng thông, bạn dùng dòng lệnh sau: www.nhipsongcongnghe.net RewriteEngine on RewriteCond %{HTTP_REFERER. - [NC] RewriteRule \.(gif|jpg)$ http://www.trangweb.com/diehotlinker.jpg [R,L] Không cho hiện danh sách tập tin trong thư mục Trong trường hợp một thư mục nào đó không có tập tin index hoặc default, Apache sẽ hiển thị một danh sách liệt kê những tập tin có trong thư mục đó. - Tuy nhiên nếu đây là những tài liệu nhạy cảm, bạn không muốn người khác thấy, hãy thêm lệnh sau vào tập tin .htaccess Options –Indexes Thay thế trang index Thông thường khi truy nhập vào một trang web, Apache sẽ tìm tập tin index.htm hoặc default.htm trả kết quả về cho trình duyệt, bạn có thể dùng .htaccess thay đổi mặc định này. - Sử dụng dòng lệnh sau: Deny from all sẽ cấm tất cả mọi truy nhập đến các trang web trong thư mục, tuy nhiên các tập tin trong đó vẫn có thể được sử dụng từ bên ngoài thông qua các lệnh dạng require hay include (trong lập trình PHP), có thể xem thêm mã nguồn của PHPBB forum,IBF. - Tự động chuyển đến địa chỉ mới (Redirection) Bạn chuyển trang web của mình đến địa chỉ mới nhưng không phải ai cũng biết điều này, redirect truy nhập từ xa một cách đơn giản bằng lệnh sau: Redirect/olddirectory http://www.trangwebmoi.com/thumucmoi . - Tuỳ biến đuôi tập tin Thông thường, tuỳ thuộc vào ngôn ngữ lập trình web mà bạn sử dụng tập tin sẽ có phần mở rộng khác nhau như: html, htm, asp, aspx, php, cgi, …Tuy nhiên nếu sử dụng .htaccess bạn có thể tác động vào máy chủ Apache, Apache sẽ gọi đến tập tin của bạn và trả về cho trình duyệt web của người dùng với phần mở rộng do bạn quy định trong .htaccess. - Bạn sử dụng đoạn lệnh sau trong tập tin .htaccess: RewriteEngine on RewriteRule (.*)\.dll$ $1.html Html là phần mở rộng thực sự của những tập tin trên website, dll là phần mở rộng do bạn lựa chọn. - Lưu ý trong liên kết trên trang web, bạn phải gọi đúng đường dẫn đến tập tin với phần mở rộng mới (ở trên là dll), ví dụ http://www.trangweb.com/in dex.dll Lưu ý khi sử dụng tập tin .htaccess: www.nhipsongcongnghe.net - Chỉ áp dụng trên máy chủ Apache đã bật chế độ .htaccess, nếu chưa bạn hãy thử liên hệ với nhà cung cấp dich vụ hosting. - Để tạo ra tập tin này bạn có thể sử dụng ngay chương trình Notepad của Windows: chọn chế độ save as với tên .htaccess, nhưng khi lưu nhớ bỏ đuôi txt. - -.htaccess chỉ có tác dụng đối với những tập tin ngang hàng (trong cùng thư mục với nó) hoặc thư mục con. - Bạn có thể dùng một số chương trình FTP (Leaf FTP, WS FTP, Cute FTP) để tải tập tin .htaccess lên hosting của mình với chế độ ASCII, nếu nó không hoạt động bạn thử CHMOD với giá trị 644.
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt