Trang chủ » Thiết kế website giá rẻ
Red Hat Linux và những kinh nghiệm bảo mật - Phần I
Hiện nay Linux đang dần trở thành một hệ điều hành khá phổ biến, bởi tính kinh tế, khả năng bảo mật và sự uyển chuyển cao. Thế nhưng, mọi hệ thống dù an toàn đến đâu cũng dễ dàng bị xâm nhập nếu người dùng (và nhất là người quản trị - root) không đặt sự bảo mật lên hàng đầu. Sau đây là một số kinh nghiệm về bảo mật trên hệ điều hành Red Hat tôi muốn chia sẻ cùng các bạn và hi vọng công việc quản trị của bạn sẽ an toàn hơn.
1. Không cho phép sử dụng tài khoản root từ console
Sau khi cài đặt, tài khoản root sẽ không có quyền kết nối telnet vào dịch vụ telnet trên hệ thống, trong khi đó tài khoản bình thường lại có thể kết nối, do nội dung tập tin /etc/securetty chỉ quy định những console được phép truy nhập bởi root và chỉ liệt kê những console truy xuất khi ngồi trực tiếp tại máy chủ. Để tăng cường bảo mật hơn nữa, hãy soạn thảo tập tin /etc/securetty và bỏ đi những console bạn không muốn root truy nhập.
2. Xóa bớt tài khoản và nhóm đặc biệt
Người quản trị nên xóa bỏ tất cả tài khoản và nhóm được tạo sẵn trong hệ thống nhưng không có nhu cầu sử dụng (ví dụ: lp, sync, shutdown, halt, news, uucp, operator, games, gopher...). Thực hiện việc xóa bỏ tài khoản bằng lệnh userdel và xóa bỏ nhóm với lệnh groupdel.
3. Tắt các dịch vụ không sử dụng
Một điều khá nguy hiểm là sau khi cài đặt, hệ thống tự động bật chạy khá nhiều dịch vụ, trong đó đa số là các dịch vụ không mong muốn, dẫn đến tiêu tốn tài nguyên và sinh ra nên nhiều nguy cơ về bảo mật. Vì vậy người quản trị nên tắt các dịch vụ không dùng tới (ntsysv) hoặc xóa bỏ các gói dịch vụ không sử dụng bằng lệnh rpm.
4. Không cho "su" lên root
Lệnh su (Substitute User) cho phép người dùng chuyển sang một tài khoản khác. Nếu không muốn người dùng "su" thành root thì thêm hai dòng sau vào tập tin /etc/pam.d/su:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/Pam_wheel.so group=tên_nhóm_root
5. Che giấu tập tin mật khẩu
Giai đoạn đầu, mật khẩu toàn bộ tài khoản đã từng được lưu trong tập tin /etc/password, tập tin mà mọi người dùng đếu có quyền đọc. Đây là kẽ hở lớn trong bảo mật mặc dù mật khẩu được mã hóa nhưng việc giải mã không phải là không thể thực hiện được. Do đó, hiện nay các nhà phát triển Linux đã đặt riêng mật khẩu mã hóa vào tập tin /etc/shadow chỉ có root mới đọc được, nhưng yêu cầu phải chọn Enable the shadow password khi cài đặt RedHat.
6. Luôn nâng cấp cho nhân (kernel) Linux
Linux không hẳn được thiết kế với các tính năng bảo mật chặt chẽ, khá nhiều lỗ hổng có thể bị lợi dụng bởi tin tặc. Vì vậy, việc sử dụng một hệ điều hành với nhân được nâng cấp là rất quan trọng vì một khi nhân - phần cốt lõi nhất của hệ điều hành - được thiết kế tốt thì nguy cơ bị phá hoại sẽ giảm đi rất nhiều. Bạn có thể tham khảo các bài viết trước để biết cách cập nhật nhân hệ thống.
7. Tự động thoát khỏi shell
Người quản trị hệ thống và kể cả người dùng bình thường rất hay quên thoát ra khỏi dấu nhắc shell khi kết thúc công việc. Thật nguy hiểm nếu có một kẻ phá hoại chờ sẵn và hiển nhiên kẻ này sẽ có toàn quyền truy xuất hệ thống mà chẳng tốn chút công sức nào cả. Do vậy người quản trị nên cài đặt tính năng tự động thoát khỏi shell khi không có sự truy xuất trong khoảng thời gian định trước bằng cách sử dụng biến môi trường TMOUT và gán một giá trị quy định số giây hệ thống duy trì dấu nhắc. Tốt nhất, bạn nên đặt vào tập tin /etc/profile để lệnh luôn có tác dụng trong mọi phiên làm việc.