Bảo mật Linux cơ sở

Thế giới hiện nay vốn tồn tại hai kiểu quan niệm về bảo mật: một bên là những người nghĩ rằng bảo mật máy tính thật vui và thú vị, còn một bên lại cho rằng nó thật bí ẩn và đáng sợ. Các chuyên gia quản trị hệ thống chắc chắn sẽ nói bảo mật máy tính thực sự khá buồn tẻ. Bởi họ phải thường xuyên đọc các file thông tin cơ sở (log file) khô khan và gắn liền với những đêm dài mất ngủ, tâm trạng hoảng hốt khi liên tục chống lại các cuộc tấn công, nguy cơ xâm nhập hệ thống và đôi khi còn có cả những hoạt động điên khùng.

Hàng tháng, bạn đọc các file log đều đặn lặp đi lặp lại tin báo giống nhau. Rồi vào một buổi sáng bỗng dưng một cảnh báo lạ khác xuất hiện. Suy nghĩ đầu tiên của bạn là: "Mình đã bị tấn công!". Muốn xác định xem liệu cuộc tấn công có thành công hay không, bạn lùng sục trong các bản ghi log, kiểm tra file hệ thống, tìm kiếm dấu hiệu khác thường. Nhưng rốt cuộc chẳng có gì xảy ra cả. Cuộc tấn công đã thất bại? Cũng chưa hẳn, có thể kẻ tấn công thông minh hơn bạn. Rồi hàng ngày, hàng tuần bạn tự hỏi không hiểu hàng rào bảo vệ của mình có bị xâm nhập không. Cuối cùng, bạn quên nó và đối phó với cuộc khủng hoảng mới.

Bảo mật máy tính, ở một số điểm cũng giống như việc lái xe vậy. Một số người nghĩ rằng lái xe là thú vị, hồi hộp, nhưng số khác lại cho rằng nó nguy hiểm và đáng sợ. Trong lái xe, tôi luôn tuân thủ các quy định đường bộ: đeo dây bảo hiểm, tránh đường có hại, luôn quan sát đường đi, bảo dưỡng định kỳ. Vậy những nguyên tắc tương ứng trong bảo mật trong máy tính thì như thế nào?

Xin được thông báo điều đầu tiên là: hầu hết chương trình bảo mật máy tính không mang tính kỹ thuật nặng nề, giống như người lái xe không đòi hỏi phải hiểu chi tiết động cơ hoạt động bên trong như thế nào. Lái xe tốt cũng có thể chán như lái xe tồi, có thể chẳng vui vẻ gì hơn. Bảo mật máy tính đòi hỏi nhiều nỗ lực. Bạn phải thực hiện kiểm tra có phương pháp các chi tiết cần thiết mới có khả năng mang lại hiệu quả cho hệ thống máy tính vốn tẻ nhạt, và có thể dự đoán trước được. Lái xe an toàn và an toàn trong máy tính đều đòi hỏi khả năng kỹ thuật của bạn. Mục đích là giúp bạn tránh những điều có hại ngay từ những bước đầu tiên. Bài báo này có thể giống như một khoá học lái xe an toàn trên đường cao tốc cho bạn vậy.

Bảo hiểm

Hầu hết các nước trên thế giới đều không cho phép bạn lái xe khi không có bảo hiểm, một phương pháp rất cũ trong việc quản lý và phân phối các nguy hiểm. Leo lên một chiếc ô tô, mức độ rủi ro nguy hiểm gây chết người và tổn thương nghiêm trọng cho bạn gia tăng. Nhưng hầu hết mọi người đều lái xe. Cũng giống như thế, kết nối máy tính với mạng đặt bạn trước nguy cơ bị mất mát hay bị ăn trộm dữ liệu. Nhưng ai cũng đều có vẻ miễn cưỡng nếu buộc phải ngắt kết nối Internet khi có sự cố xảy ra. Là một quản trị viên hệ thống Linux, có thể bạn không dự đoán được nguy hiểm, nhưng luôn quản lý được chúng.

Nguồn: tla.ch
Trước hết bạn cần biết mức độ tự nhiên của các mối nguy hiểm rồi mới có thể quản lý được chúng. Bảo hiểm ô tô có thể là các hoá đơn thuốc, bảo hiểm nguy cơ cho xe ô tô, các kiện cáo liên quan đến tai nạn, trộm cắp xe. Khi đặt một máy tính vào mạng Internet, những nguy hiểm gì phát sinh cho bạn?

Các chuyên gia bảo mật máy tính nói rằng người dùng và người quản trị nên phát triển mô hình đe doạ thử nghiệm để nghiên cứu. Bạn muốn bảo vệ khả năng truy cập mạng, khả năng in hay lưu trữ file? Bạn đang lo lắng về tính cẩn mật của file nào đó trên hệ thống? Bạn đang lo lắng mọi người có thể chỉnh sửa hay phá huỷ dữ liệu? Bạn có muốn hacker xoá website và đe doạ làm méo mó hình ảnh của bạn?

Thực thi bảo mật đòi hỏi ít nhất bạn phải hiểu được cái gì đe doạ mình. Các điểm nguy hiểm trong bảo mật không giống như bảo hiểm.

Sao lưu trong bảo mật máy tính cũng giống như bảo hiểm ở lái xe: Tuỳ thuộc vào mô hình nguy hiểm và cấu hình hệ thống, các phân vùng khác nhau của thủ tục sao lưu có thể được nhấn mạnh. Nếu hệ thống đang sử dụng là tiêu chuẩn Linux không dùng đĩa CD với một chút tuỳ chỉnh trong các file cấu hình, bạn có thể chỉ cần một đĩa nén để sao lưu file trong thư mục gốc. Nếu tuỳ chỉnh hệ thống mở rộng, bạn cũng có thể sao lưu trong thư mục: /etc/usr/local. Nếu việc lưu trữ file với cơ chế cài đặt 'làm tươi' đem lại sự chính xác cho hệ thống, bạn có thể thực hiện cơ chế sao lưu đầy đủ thông thường.

Luật đường bộ

Hầu hết mọi chính phủ trên thế giới đều đòi hỏi bạn phải học luật khi muốn lái xe. Trước khi cấp quyền được lái cho ai đó, họ phải vượt qua bài kiểm tra chứng minh khả năng hiểu luật đường bộ. Còn đối với người dùng mạng, cuốn sách luật cầm tay là các điều khoản dịch vụ trong hợp đồng với nhà cung cấp ISP. Nếu dùng máy tính cho công việc, bạn cũng phải tuân theo các hướng dẫn tổng hợp hay các chính sách tổng hợp.

Các điều khoản dịch vụ có thể gồm một mức giới hạn dịch vụ giám sát và thực thi trên mạng, cùng với các điều khoản yêu cầu luật sở hữu trí tuệ khắt khe. Các chính sách tổng hợp đòi hỏi phải có mật khẩu an toàn, việc dùng hệ thống cho các hoạt động không liên quan đến công việc, các hợp đồng bảo mật…

Khi là một quản trị viên hệ thống, bạn phải xây dựng một số chính sách như mật khẩu của tổ chức, giải mã lưu lượng mạng, quét tìm lỗ hổng bảo mật trên các máy công ty. Nếu bạn nghĩ rằng đó không phải là vấn đề, hãy đọc về trường hợp của Randal Schwartz và về vụ một số nhân viên CIA gần đây bị kỷ luật vì sử dụng dịch vụ chat không rõ nguồn gốc. Nếu bạn chưa có một chính sách nào, hãy đầu tư phát triển chúng.

Hãy thắt dây an toàn

Lời khuyên tốt nhất khi tham gia giao thông là bạn nên ở vai trò của một người bộ hành. Hầu hết các xâm phạm bảo mật nguy hiểm nhất lại không phải do hacker, đối thủ cạnh tranh hay tổ chức chính phủ bất chính nào gây ra. Nguyên nhân xuất phát từ chính các nhân viên không thực hiện điều luật quy định. Họ sử dụng mật khẩu tồi trên laptop, đặt chúng vào mạng bảo hiểm ở nhà cũng như trong các cuộc họp… Hãy chắc chắn rằng tất cả các nhân viên hiểu được chính sách của bạn và giúp họ biết được các nguy hiểm cận kề kết hợp với sự xâm phạm của họ. Thậm chí cho dù các xâm phạm không gây hại trực tiếp nhưng chúng trở thành nguyên nhân làm gia tăng mức độ nguy hiểm, chính xác đối ngược lại với những gì bạn đang cố gắng thực hiện.

Thắt dây an toàn cũng giống như cân bằng các mối đe doạ: những người bạn luôn nói với tôi về một người nào đó đã bị giết khi anh ta thắt dây an toàn nhưng thay vào đó là được bảo vệ an toàn. Cho dù một trong các câu chuyện đó không phải là sự thực, nhưng cũng có những ngoại lệ, dẫu không phải là nguyên tắc. Những người lái xe thận trọng hay hành khách biết điều đó. Thắt lưng an toàn đã cứu được nhiều người. Tương tự, thực thi một số tính năng bảo mật máy tính có thể khiến bạn phải đối mặt với nhiều thách thức hơn. Có khi chúng trở thành đích nhắm thú vị cho hacker. Một câu hỏi luôn được đặt ra là: "Xét về tổng thể, chừng này làm tăng hay giảm tính bảo mật?"

Tránh đường xấu

Nguồn: opensource
Một chiếc ô tô tốt được thiết kế sao cho có được sức bền càng lớn càng hay. Sức bền trên Internet cũng tương tự với dòng hằng của các chương trình quét mức thấp và các máy dò hacker dùng để tìm kiếm hệ thống có thể xâm nhập. Cách tốt nhất để tránh việc này là giữ một profile thấp. Hầu hết các quản trị viên Linux đều mở nhiều dịch vụ hơn mức cần thiết trong khu vực làm việc. Tôi đã từng chứng kiến hàng loạt máy bị hack qua các bản copy lỗi thời của BIND cài đặt trên hệ thống. Hệ thống đó thậm chí không dùng tên dịch vụ cục bộ. Nếu tính năng 'named' không thực thi, hệ thống sẽ không an toàn. Hãy tắt bất kỳ dịch vụ thừa và gỡ bỏ phần mềm không cần thiết nếu có thể.

Nhiều chương trình nguy hiểm đến từ inetd. Bạn có thể tắt chúng bằng cách dẫn giải các dòng phù hợp tương ứng trong thư mục /etc/inetd.conf. Một số hệ thống như Red Hat 7.0 sử dụng xinetd thay thế cho các file cấu hình xinetd, dễ dàng trong sử dụng và cũng dễ dàng tắt các dịch vụ này. Nhiều dịch vụ nguy hiểm khác xuất hiện trong các bản script khởi động ở /etc/rc[1-5].d, /etc/init.d/rc[1-5].d, hay /sbin/rc[1-5].d. (Thư mục này có thể thay đổi tuỳ thuộc vào hệ thống phân phối của bạn), nhưng tốt nhất là nên giới hạn lượng tối thiểu vừa đủ.

Cuối cùng là bảo vệ dữ liệu khi được truyền đi trên mạng. Các chương trình như Telnet, FTP truyền tải tất cả mật khẩu và dữ liệu qua mạng dưới dạng văn bản thuần tuý (cleartext). Bất kỳ ai có bộ sniffer mạng đều có thể đọc được chúng. Bạn nên thay thế các gói này bằng OpenSSH hoặc một phần mềm nào đó khác bảo vệ dữ liệu bằng cách sử dụng phương pháp mã hoá.

Hãy luôn chú ý tới đường đi

Một người lái xe giỏi phải luôn quan sát được chướng ngại vật, biết các nguy cơ có thể xảy đến và biết cách xử lý chúng ra sao. Trong bảo mật, danh sách mailing là điểm then chốt để thực hiện điều này. CIACCERT sử dụng bộ danh sách mailing mức thấp với thông tin về các nguy cơ bảo mật cho nhiều công ty phát triển Linux như Red Hat, SuSE, Debian và Mandrake. Nếu bạn muốn biết cụ thể hơn các vấn đề diễn ra hàng ngày, BugTraq là danh sách mailing hữu hiệu, nơi nhiều vấn đề bảo mật được đưa ra đầu tiên.

Để luôn quan sát được những gì đang diễn ra, hãy đọc các file log cơ sở. Đó là điều đầu tiên bạn nên làm mỗi sáng, sau khi kiểm tra e-mail đến. Nếu sử dụng một hệ thống dò tìm xâm nhập như Snort, bạn cũng nên đọc các file log. Chương trình GIAC (Global Incident Analysis Center) của học viện SANS Institute cho phép bạn tìm ra hệ thống dò tìm xâm nhập không hoạt động của người khá. Đọc file log của các admin khác là một cách thông minh để hiểu các vấn đề cơ sở.

Bảo dưỡng định kỳ

Ngay cả những chiếc xe an toàn nhất, hiện đại nhất cũng cần phải được kiểm tra và bảo dưỡng định kỳ mới có thể luôn duy trì được khả năng hoạt động tốt nhất của mình. Máy tính cũng vậy. Với các hệ thống Linux, bảo dưỡng định kỳ tức là phải luôn cập nhật bản mới nhất cho phần mềm trong máy. Như với Red Hat Linux chẳng hạn. Thời gian cập nhật cho các bản update mới nhất là khá thường xuyên: một hoặc thậm chí hơn các bản update trong một tuần.

Nguồn: norman
Mặc dù giữ tốc độ cập nhật liên tục cho phần mềm hệ thống có nhiều thách thức, nhưng điều đó là cần thiết. Hầu hết các hệ thống bị phá hoại xuất phát từ nguyên nhân khai thác các lỗ hổng bảo mật trong phần mềm chưa được update bản mới nhất. Bạn có thể ví nó như một cuộc đua: bạn sẽ tìm thấy các lỗ hổng trước khi vá chúng? Nhiều phân phối Linux hiện nay đều trang bị cơ chế update tự động. Debian và các phân phối liên quan hỗ trợ lệnh apt-get update, Mandrake có MandrakeUpdate và Red Hat có 'up2date'. Sử dụng các chức năng này hoặc tự nâng cấp cho tất cả phần mềm trong hệ thống hiện thời của bạn là yếu tố quan trọng để giành chiến thắng trong cuộc đua chống những kẻ xâm phạm bất hợp pháp.

Giống như lái xe, bảo mật máy tính cũng có những điểm hết sức đáng chán. Để giữ an toàn, bạn phải tiếp tục thực hiện các nguyên tắc cơ bản sau đây:

• Sao lưu hệ thống như là một hình thức bảo hiểm
• Biết mình đang cố gắng bảo vệ cái gì
• Thực hiện tất cả các chính sách thích hợp (nếu cần thì có thể xây dựng chính sách riêng)
• Biết ước lượng khả năng của mình và giới hạn nó
• Luôn quan sát, theo dõi các mối đe doạ phù hợp
• Luôn cập nhật các bản mới nhất cho phần mềm

Để giữ an toàn cho hệ thống cần phải luôn kiên trì, kiên định và thường xuyên nâng cao cảnh giác.

Thứ Năm, 09/11/2006 10:27
31 👨 965
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp