- Lưu ý: Bài viết này chỉ mang tính chất học hỏi và trao đổi kinh nghiệm…Các bạn có thể tự do sử dụng nó, nhưng mong các bạn tôn trọng Copright một chút.
- Vấn đề đầu tiên mà chúng ta cần kiểm tra có lẽ là sự phân cấp, quyền hạn, sở hữu các File trên hệ thống của bạn.
- Cho lý do này bạn lên thường xuyên kiểm toán hệ thống File trên Server của bạn..
- Có một số chương trình cho phép người sử dụng trên hệ thống của bạn có thể tự do Set UID mà không cần root.
- Chắc tôi không cần nói, bạn cũng biết là phải làm gì với các chương trình loại này rồi chứ ? Bây giờ chúng ta tìm các File có sự phân cấp, quyền hạn không ổn định trên hệ thống của bạn và sau đó điều chỉnh lại giá trị an toàn cho chúng:.
- Chúng ta tiếp tục tìm những File cho phép ghi lại trên hệ thống của bạn.
- Với việc sử dụng lệnh "lsattr".
- bạn có thể thay đổi đặc tính cho các File và thư mục dưới cấp độ cao cấp của một quản trị hệ thống như khả năng điều khiển quá trình xoá File, thay đổi File và với những tính năng khác mà lệnh "chmod".
- Việc cấp phát quyền hạn sở hữu cho File theo một quy tắc thống nhất, trong suốt, không thay đổi...Tỏ ra có hiệu quả đặc biệt trong việc ngăn chặn quá trình xoá, thay đổi các tập tin Log của kẻ tấn công, hay việc cài đặt Trojan vào những File nhị phân Binnary trên hệ thống của bạn..
- được sử dụng để gán hay gỡ bỏ quyền hạn sở hữu cho File, thì lệnh "lsattr".
- được sử dụng để liệt kê chúng..
- Để xiết chặt hơn an toàn cho File Log chúng ta cần sử dụng lệnh "chattr".
- Tóm lại! sau phần này bạn lên chú ý: Không bao giờ cho phép người sử dụng được phép chạy các chương trình Set UID, hay những chương trình khác có đặc quyền như root trên Home Directory của bạn.
- Luôn kiểm toán và quan tâm đến hệ thống File trên Server của bạn, đặc biệt là với những loại File có nguy cơ cao đã nêu ở trên..
- Bạn lên sử dụng tuỳ chọn nouid trong /etc/fstab để cho phép sự chỉnh sửa ghi lại ở các khu vực đã định với từng người sử dụng..
- 2) Vô hiệu hoá các Service không sử dụng.
- bạn lên vô hiệu hoá và gỡ bỏ những chương trình, Service không dùng đến trên hệ thống của mình.
- Bạn có thể sử dụng các công cụ quản lý để.
- Mỗi Service được định nghĩa đằng sau ký tự Bạn có thể vô hiệu hoá Service không sử dụng..
- Bạn có thể xoá bỏ hết những thứ liên quan đến những Service mà bạn không cần sử dụng.
- Đối với hệ thống Redhat, SuSE, Mandrake...bạn có thể sử dụng lệnh:.
- root@localhost#chkconfig --list.
- Bạn muốn kiểm tra xem Service nào đó thực sự đã được gõ bỏ khỏi hệ thống chưa.
- Trên Redhat, SuSE, Mandrake...chương trình được sử dụng để quản lý các gói phần mềm là /bin/rpm (Redhat Package Manager).
- root@localhost# rpm -e <package-name>.
- root@localhost# dpkg -r <package-name>.
- Với mục đích đảm bảo sự toàn vẹn của các gói phần mềm từ nhà cung cấp đến người sử dụng.
- Nó có thể cho ta biết về sự thay đổi của các gói phần mềm trên hệ thống của bạn..
- root@localhost# md5sum package-name.
- Khi kẻ tấn công đã đột nhập được vào hệ thống của bạn, chúng sẽ cài đặt và sử dụng các Rootkit.
- khi cài đặt hệ thống SuSE Linux của tôi là.
- root@localhost# md5sum /usr/bin/netstat.
- 4) Sử dụng Tripwire.
- Tripwire một chương trình theo dõi nhằm đảm bảo tính toàn vẹn của File bởi việc duy trì sự hoạt động của một cơ sở dữ liệu những File được cài đặt trên hệ thống...Cũng như sẽ cảnh báo khi chúng có sự thay đổi..
- Khi cài đặt Tripwire sẽ đọc, thu thập thông tin về trạng thái các File trên hệ thống của bạn và ghi chúng vào một cơ sở dữ liệu.
- Sau này khi Tripwire chạy nó sẽ đối chiếu các FIle trên hệ thống của bạn với cơ sở dữ liệu chuẩn.
- Có một File chính được sử dụng để cấu hình hoạt động tổng thể cho Tripwire.
- Nếu như bạn không rành về Tripwire, bạn lên sử dụng thông số mặc định của nó.
- root@localhost#: /usr/TSS/bin/tripwire -m c -t 1 -M.
- 5) Sử dụng giao thức SSH.
- Chi tiết về việc sử dụng OpenSSH bạn có thể tham khảo bài viết "Open SSH".
- Về căn bản OpenSSH sử dụng những Public Key để đảm bảo sự an toàn.
- Public Key được cấp phát cho bất cứ hệ thống nào mà bạn muốn truyền thông an toàn:.
- Tiếp đến Copy các Key để sử dụng:.
- Bây giờ từ hệ thống của bạn, nếu muốn Login vào hệ thống này chỉ việc phát lệnh:.
- root@localhost$ ssh host2.
- Chẳng khi tôi muốn Copy file từ hệ thống của mình sang một hệ thống khác đã được chấp nhận:.
- Nếu có thể lên hướng dẫn và khuyến khích các User trên hệ thống của bạn sử dụng: OpenSSH thay cho Telnet và FTP..
- 6) Sử dụng TCP Wrappers.
- Để gửi E-mail đến nhà quản trị hệ thống và thông báo những lần kết nối bị thất bại, bạn thêm vào các dòng sau:.
- Sử dụng tcpdchk để kiểm tra sự truy nhập File, sử dụng Syslog để ghi lại những lần đăng nhập thất bại...Bạn lên điều khiển sự truy nhập cho hệ thống của mình theo nguyên tắc:.
- 7) Sử dụng chế độ bảo mật mặc định của Kernel.
- Trong Kernel của một số hệ thống Linux mới hiện giờ có cấu hình sẵn một vài Rules chuẩn với mục đích cung cấp những thông số căn bản nhất để cấu hình cho hệ thống dành cho những Admin không có nhiều kinh nghiệm về bảo mật hệ thống.
- Sử dụng tuỳ chọn này nếu như bạn không muốn hệ thống của mình trả lời các yêu cầu Ping..
- Tuỳ chọn này được sử dụng để ngăn chặn nguy cơ hệ thống của bạn có thể bị lợi dụng khai thác cho những cuộc tấn công DDOS..
- ip_forward: Cho phép hay không cho phép sự chuyển tiếp IP giữa các giao diện mạng trong hệ thống của bạn.
- Tuỳ chọn này được sử dụng khi bạn muốn Server của mình hoạt động như Router..
- tcp_syncookies: Tuỳ chọn này được sử dụng để bảo vệ hệ thống của bạn chống các cuộc tấn công sử dụng kỹ thuật ngập SYN đã từng gây kinh hoàng một thời trên Internet..
- Tuỳ chọn này được sử dụng để bảo vệ hệ thống của bạn chống lại các cuộc tấn công giả mạo địa chỉ IP "IP Spoof"..
- Trong hệ thống Redhat, ở /etc/sysctl.conf chứa thông tin về những thiết bị mặc định được xử lý ngay khi khởi động hệ thống, những thông số đó được đọc, điều khiển và thực thi b ởi /usr/bin/s ysctl..
- đơn giản bạn chỉ việc sử dụng lệnh:.
- Sử dụng thông số trên để vô hiệu hoá toàn bộ sự truy cập vào hệ thống File không được cho phép bởi kẻ tấn công.
- Để vô hiệu mức tối thiểu các thông tin về Server có thể bị rỉ ra ngoài khi kẻ tấn công sử dụng kỹ thuật chộp Banner.
- Nó được dùng rất rộng rãi trên các hệ thống lớn..
- Để an toàn bạn lên sử dụng mật khẩu chứng thực cho việc truy cập đến tập tin /etc/httpd/conf/access.conf (tập tin chứa đựng thông tin cho phép, không cho phép giới hạn các IP truy cập):.
- Khởi động lại Apache Server và kiểm tra xem nó đã làm việc chưa ? Nếu bạn muốn Add thêm User vào file private-user...Bạn có thể sử dụng nguyên câu lệnh ở trên nhưng bỏ đi tuỳ chọn "c".
- Các yêu cầu phục vụ DNS thất bại có thể để lộ ra thông tin về những IP và Hostname của những người sử dụng không hợp pháp.
- Sử dụng User Access Control List để điều khiển sự truy cập, sửa đổi cho những người sử dụng đáng đáng tin cậy trên phạm vị mạng:.
- Thiếp lập User của DNS Server như một User bình thường trên hệ thống của bạn.
- Tôi nghĩ tính năng này rất hữu ích cho hệ thống của bạn.
- Nếu có thể tôi khuyên bạn lên bỏ nhiều thời gian quan tâm đến hệ thống của mình hơn, bạn có thể đăng ký vào danh sách các Mail List chuyên về Bug, Security...Để chủ động hơn trong các tình huống..
- Kernel OpenWall tỏ ra rất hữu ích trong việc ngăn ngừa các cuộc tấn công tràn bộ đệm Buffer Overflow, cảnh báo, ngăn chặn và hạn chế những sự thay đổi được thực hiện bởi các User trên hệ thống của bạn.
- Để sử dụng Kernel OpenWall bạn phải Compli lại Kernel..
- Đảm bảo rằng các thông tin về thời gian trên hệ thống của bạn phải hoàn toàn chính xác và hợp lý.
- Sẽ có rất nhiều rắc rối xảy ra khi thời gian trên hệ thống của bạn không chính xác.
- Nó sẽ gây rất nhiều khó khăn cho việc kiểm toán hệ thống sau này: Như phân tích nội dung, sự kiện của các Log File chẳng hạn.
- Để đảm bảo thời gian trên hệ thống của bạn luôn chính xác.
- Bạn chỉ việc Add thêm vào Crontab một lệnh với chức năng đối chiếu, so sánh thời gian trên hệ thống của bạn với một Host Time chuẩn:.
- Sử dụng Sudo để thiết lập quyền hạn thực hiện câu lệnh của User trên hệ thống của bạn.
- Tiếp đó bạn có thể dùng chính User này để điều khiển hệ, quản hệ thống của bạn mà không cần phải sử dụng đến Acc root.
- Nó có nhiệm vụ quét, cảnh báo, ngăn chặn, tiêu diệt các Virus khi chúng có ý định tấn công vào hệ thống của bạn.
- Lợi ích to lớn thực sự mà các Antivirus đem lại cho bạn có lẽ là việc nó sẽ phát hiện và ngăn chặn các Virus ngay từ Mail Server của bạn trước khi người sử dụng nhận được chúng.
- Hệ thống của bạn có thể sử dụng Unix/Linux, nhưng đâu phải tất cả các User trong hệ thống của bạn đều sử dụng Unix/Linux ? Nếu như không muốn nói rằng 90 % họ sử dụng Windows.
- Có rất nhiều Antivirus nhưng bản thân tôi thích sử dụng Kapersky Antivirus (KAVP) nhất..
- Nhưng có lẽ có 2 ông kẹ được sử dụng khá rộng rãi vì tính an toàn và sự phổ cập là: Ipchains/Iptables (Firewall) và Snort (Network Instrution Detection)....
- Do khuôn khổ của bài viết, với mục đích điểm qua các chỉ mục về bảo mật cần lưu ý lên tôi không thể nào hướng dẫn cụ thể cách cài đặt, cấu hình, sử dụng các Tools/Soft đã nêu như:.
- P/S: Trước thời điểm khi bài viết này được hoàn thành...Tôi đã hoàn thành xong các bài viết chi tiết hướng dẫn sử dụng chúng.
- /var/log/message 644 Những thông báo của hệ thống.
- /var/log/wtmp 660 Hiển thị thông tin về những ai đã Logged vào hệ thống.
- /var/log/lastlog 640 Ai đã Log vào hệ thống trước đây.
- /etc/ftpusers 600 Danh sách những User không được phép sử dụng FTP.
- /etc/passwd 644 Danh sách các User trên hệ thống.
- /etc/shutdown.allow 400 Danh sách những User được phép sử dụng tổ hợp phím: Ctrl + Alt.
- /etc/security 700 File thiết lập quy tắc an toàn chung cho hệ thống.
- /etc/rc.d/init.d 750 Thư mục chứa các File chương trình khởi động cùng hệ thống (Redhat).
- /etc/init.d 750 Thư mục chứa các File chương trình khởi động cùng hệ thống (Debian).
- /etc/sysconfig 751 Thư mục chứa các File cấu hình hệ thống và Network (Redhat).
- /etc/inetd.conf 600 File định nghĩa các Service trên hệ thống /etc/cron.allow 400 Danh sách các User được phép sử dụng.
- /etc/cron.denny 400 Danh sách các User không được phép sử dụng Cron.
- Bạn càng bỏ nhiều thời gian, có những chính sách bảo mật hợp lý cho hệ thống của mình…Thì khả năng bị tấn công càng thấp…Tuy nhiên tỷ lệ thấp không có nghĩa là không thể xảy ra