Quản Trị  Bảo Mật - Virus - Backup
 
Tổng quan bảo mật server Linux (CentOS) – Phần 1
08:54 | 17/04/2010
1. BIOS

Bạn hãy luôn thiết đặt Password cho BIOS và không cho phép các thiết bị như floppy disk hay CD-ROM boot khi hệ thống khởi động.

2. PASSWORD
Bạn hãy chọn một password phức tạp cho tài khoản của mình, password bao gồm ký tự hoa, thường, số và ký tự đặc biệt như . , * – …

Ngoài ra bạn hãy Edit file: /etc/login.defs

PASS_MIN_LEN 8

Yêu cầu nhập password có chiều dài ngắn nhất là 8.

3. ACCOUNT TIME OUT
Xác định thời gian time out của account
Edit file: /etc/profile

HITSFILESIZE=on
TMOUT=7200

4. DISABLE CONSOLE PROGRAM ACCESS
Disable tất cả các lệnh khi thực hiện qua console-equivalent

[root@longvnit] /#rm -f /etc/security/console.apps/

Khuyến cáo bạn nên loại bỏ các lệnh sau:

[root@longvnit] /# rm -f /etc/security/console.apps/halt
[root@longvnit] /# rm -f /etc/security/console.apps/poweroff
[root@longvnit] /# rm -f /etc/security/console.apps/reboot
[root@longvnit] /# rm -f /etc/security/console.apps/shutdown

5. Xóa bỏ bit SUID & SGID không cần thiết

[root@longvnit] /# chmod a-s /usr/bin/chage
[root@longvnit] /# chmod a-s /usr/bin/gpasswd
[root@longvnit] /# chmod a-s /usr/bin/wall
[root@longvnit] /# chmod a-s /usr/bin/chfn
[root@longvnit] /# chmod a-s /usr/bin/chsh
[root@longvnit] /# chmod a-s /usr/bin/newgrp
[root@longvnit] /# chmod a-s /usr/bin/write
[root@longvnit] /# chmod a-s /usr/sbin/usernetctl
[root@longvnit] /# chmod a-s /usr/sbin/traceroute
[root@longvnit] /# chmod a-s /bin/mount
[root@longvnit] /# chmod a-s /bin/umount
[root@longvnit] /# chmod a-s /bin/ping
[root@longvnit] /# chmod a-s /sbin/netreport
[root@longvnit] /# chmod a-s /etc/passwd

6. /etc/host.conf
Edit file /etc/hosts.conf như sau:

# Order lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# Machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on

7. /etc/services
Đảm bảo rằng quyền owner trên file /etc/services là của root

[root@longvnit] /# stat /etc/services

Chống thay đổi file

[root@longvnit] /# chattr  +i /etc/services

8. /etc/securetty
Thay đổi thành

tty1
#tty2
#tty3
#tty4
#tty5
#tty6
#tty7
#tty8

Mục đích của việc thay đổi này là chỉ đồng ý cho root login trên một tty.

9. Special accounts
Xóa những account & group không cần thiết ra khỏi hệ thống.
Xóa Users:

[root@longvnit] /# userdel adm
[root@longvnit] /# userdel lp
[root@longvnit] /# userdel sync
[root@longvnit] /# userdel shutdown
[root@longvnit] /# userdel halt
[root@longvnit] /# userdel news
[root@longvnit] /# userdel uucp
[root@longvnit] /# userdel operator
[root@longvnit] /# userdel games
[root@longvnit] /# userdel gopher

Xóa Groups:

[root@longvnit] /# groupdel adm
[root@longvnit] /# groupdel lp
[root@longvnit] /# groupdel news
[root@longvnit] /# groupdel uucp
[root@longvnit] /# groupdel games
[root@longvnit] /# groupdel dip
[root@longvnit] /# groupdel pppusers
[root@longvnit] /# groupdel popusers (Nếu có)
[root@longvnit] /# groupdel slipusers

Nếu hệ thống không cần thêm user & group bạn có thế chống thay đổi files

[root@longvnit] /# chattr   +i /etc/passwd
[root@longvnit] /# chattr   +i /etc/shadow
[root@longvnit] /# chattr   +i /etc/group
[root@longvnit] /# chattr   +i /etc/gshadow

10. Chống su lên root
Edit file /etc/pam.d/su thêm hai dòng sau:

auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel

Có nghĩa rằng chỉ những user thuộc group wheel (GID=10) có quyền su lên root.
Tiếp theo để thêm một tài khoản có quyền su lên root ví dụ: admin

[root@longvnit] /# usermod -g 10 admin

11. Mounting a file system
Đầu tiên bạn cần tìm hiểu một số option sau:
defaults: Allow everything quota, read-write, and suid on this partition.
noquota: Do not set users quotas on this partition.
nosuid: Do not set SUID/SGID access on this partition.
nodev: Do not set character or special devices access on this partition.
noexec: Do not set execution of any binaries on this partition.
quota: Allow users quotas on this partition.
ro: Allow read-only on this partition.
rw: Allow read-write on this partition.
suid: Allow SUID/SGID access on this partition.
Sau đó bạn edit file /etc/fstab

/dev/        /tmp        ext2    defaults        1 2
/dev/        /home        ext2    defaults        1 2

Thành

/dev/         /tmp         ext2     defaults,rw,nosuid,nodev,noexec    1 2
/dev/         /home         ext2     defaults,rw,nosuid,nodev    1 2

Sau đó bạn remote lại:

[root@longvnit] /#mount -oremount /home/
[root@longvnit] /#mount -oremount /tmp/

12. Disable dùng Ctrl-Alt-Delete để shutdown
Edit file /etc/inittab

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

Áp đặt thay đổi

[root@longvnit] /#/sbin/init q

13. /etc/rc.d/
Chỉ cho phép root sử dụng script trong /etc/rc.d/

[root@longvnit] /# chmod -R 700  /etc/rc.d/init.d/*

Nguyễn Thăng Long (Tổng hợp từ nhiều nguồn)
 
Ý kiến phản hồi và bình luận Góp ý kiến của bạn

Các tin mới nhất :
- Tấn Công dò mật khẩu Brute-Force Trên VPS
- Cấu hình phần mềm APC UPS
- Hướng dẫn backup trên Commvault Software (Phần 2)
- Tìm hiểu về DHCP Server Security (phần 2)
- Tìm hiểu về DHCP Server Security (phần 1)
- 10 công cụ backup của Linux
- Bảo mật cổng 445 trong Windows 2000/XP/2003
- Kỹ thuật hack password Gmail
- Tìm hiểu về phần mềm độc hại Backdoor.Win32.Bredolab.eua
- 8 bước để bảo vệ Router Cisco
Các tin liên quan :
- Suspend/Unsuspend một Account qua Command
- Dò tìm dấu vết chỉnh sửa được thực hiện trên hệ thống Linux
- Mẹo và thủ thuật bảo mật SSH nâng cao
- Backup Linux Server
- Cấu hình cho Syctl.conf
- Mật khẩu Windows có thể bị crack như thế nào – Phần 2
- Mật khẩu Windows có thể bị crack như thế nào – Phần 1
Bài nhiều người đọc cùng chuyên mục
Mật khẩu Windows có thể bị crack như thế nào – Phần 1
 
Kỹ thuật hack password Gmail
 
Mật khẩu Windows có thể bị crack như thế nào – Phần 2
 
Xóa cache trong Windows 7/ Vista / Xp/ 2000 / 2003/ 2008
 
Bảo mật cổng 445 trong Windows 2000/XP/2003
 
Tấn Công dò mật khẩu Brute-Force Trên VPS
 
Cấu hình phần mềm APC UPS
 
Trang chủ | Giới thiệu | Quảng cáo | Liên hệ
Giấy phép ICP số 199/GP-TTĐT. Bộ Thông tin và Truyền thông cấp.
Cơ quan quản lý  : Công Ty Cổ Phần Kênh Giải Pháp
Bản quyền © 2010-2011 Kenhgiaiphap.vn . Giữ toàn quyền.
Ghi rõ nguồn "Kenhgiaiphap.vn" khi phát hành lại thông tin từ website này.

return false; });