Giải Pháp  Giải pháp Sercurity
 
Red Hat Linux và những kinh nghiệm bảo mật
20:27 | 10/04/2010

Hiện nay Linux đang dần trở thành một hệ điều hành khá phổ biến, bởi tính kinh tế, khả năng bảo mật và sự uyển chuyển cao. Thế nhưng, mọi hệ thống dù an toàn đến đâu cũng dễ dàng bị xâm nhập nếu người dùng (và nhất là người quản trị - root) không đặt sự bảo mật lên hàng đầu. Sau đây là một số kinh nghiệm về bảo mật trên hệ điều hành Red Hat tôi muốn chia sẻ cùng các bạn và hi vọng công việc quản trị của bạn sẽ an toàn hơn.

1. Không cho phép sử dụng tài khoản root từ console

Sau khi cài đặt, tài khoản root sẽ không có quyền kết nối telnet vào dịch vụ telnet trên hệ thống, trong khi đó tài khoản bình thường lại có thể kết nối, do nội dung tập tin /etc/securetty chỉ quy định những console được phép truy nhập bởi root và chỉ liệt kê những console truy xuất khi ngồi trực tiếp tại máy chủ. Để tăng cường bảo mật hơn nữa, hãy soạn thảo tập tin /etc/securetty và bỏ đi những console bạn không muốn root truy nhập.

2. Xóa bớt tài khoản và nhóm đặc biệt

Người quản trị nên xóa bỏ tất cả tài khoản và nhóm được tạo sẵn trong hệ thống nhưng không có nhu cầu sử dụng (ví dụ: lp, sync, shutdown, halt, news, uucp, operator, games, gopher...). Thực hiện việc xóa bỏ tài khoản bằng lệnh userdel và xóa bỏ nhóm với lệnh groupdel.

3. Tắt các dịch vụ không sử dụng

Một điều khá nguy hiểm là sau khi cài đặt, hệ thống tự động bật chạy khá nhiều dịch vụ, trong đó đa số là các dịch vụ không mong muốn, dẫn đến tiêu tốn tài nguyên và sinh ra nên nhiều nguy cơ về bảo mật. Vì vậy người quản trị nên tắt các dịch vụ không dùng tới (ntsysv) hoặc xóa bỏ các gói dịch vụ không sử dụng bằng lệnh rpm.

4. Không cho "su" lên root

Lệnh su (Substitute User) cho phép người dùng chuyển sang một tài khoản khác. Nếu không muốn người dùng "su" thành root thì thêm hai dòng sau vào tập tin /etc/pam.d/su:

auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/Pam_wheel.so group=tên_nhóm_root

5. Che giấu tập tin mật khẩu

Giai đoạn đầu, mật khẩu toàn bộ tài khoản đã từng được lưu trong tập tin /etc/password, tập tin mà mọi người dùng đếu có quyền đọc. Đây là kẽ hở lớn trong bảo mật mặc dù mật khẩu được mã hóa nhưng việc giải mã không phải là không thể thực hiện được. Do đó, hiện nay các nhà phát triển Linux đã đặt riêng mật khẩu mã hóa vào tập tin /etc/shadow chỉ có root mới đọc được, nhưng yêu cầu phải chọn Enable the shadow password khi cài đặt RedHat.

6. Luôn nâng cấp cho nhân (kernel) Linux

Linux không hẳn được thiết kế với các tính năng bảo mật chặt chẽ, khá nhiều lỗ hổng có thể bị lợi dụng bởi tin tặc. Vì vậy, việc sử dụng một hệ điều hành với nhân được nâng cấp là rất quan trọng vì một khi nhân - phần cốt lõi nhất của hệ điều hành - được thiết kế tốt thì nguy cơ bị phá hoại sẽ giảm đi rất nhiều. Bạn có thể tham khảo các bài viết trước để biết cách cập nhật nhân hệ thống.

7. Tự động thoát khỏi shell

Người quản trị hệ thống và kể cả người dùng bình thường rất hay quên thoát ra khỏi dấu nhắc shell khi kết thúc công việc. Thật nguy hiểm nếu có một kẻ phá hoại chờ sẵn và hiển nhiên kẻ này sẽ có toàn quyền truy xuất hệ thống mà chẳng tốn chút công sức nào cả. Do vậy người quản trị nên cài đặt tính năng tự động thoát khỏi shell khi không có sự truy xuất trong khoảng thời gian định trước bằng cách sử dụng biến môi trường TMOUT và gán một giá trị quy định số giây hệ thống duy trì dấu nhắc. Tốt nhất, bạn nên đặt vào tập tin /etc/profile để lệnh luôn có tác dụng trong mọi phiên làm việc.

Nguồn : Echip

 
Ý kiến phản hồi và bình luận Góp ý kiến của bạn

Các tin mới nhất :
- Giải Pháp Xác Thực Mạnh 2 Yếu Tố Cho Dịch Vụ Vps, Dedicated Server
- Giải pháp SPF động và ứng dụng trong lọc thư rác
- Tầm nhìn mới giải pháp bảo mật dữ liệu
- Giải pháp phòng chống thư rác với “Cisco Ironport Antispam”
- Giải pháp bảo mật Oracle Defense in Dept
- Giải pháp chống Spam cho máy chủ email với eWall
- Giải pháp Web Filtering của Bluecoat
- Giải pháp bảo mật hệ thống với DeviceLock 7
- Bảo mật dữ liệu hiệu quả dựa trên Roxio Secure Burn Plus
- Bảo vệ Windows Server toàn diện với TekRADIUS
Các tin liên quan :
- Bảo mật hệ thống Linux với PAM
Bài nhiều người đọc cùng chuyên mục
Tìm hiểu IDS (Intrusion Detection System ) trong bảo mật hệ thống mạng
 
Giải pháp bảo mật dành cho các công ty chứng khoán
 
LogRhythm LR2000-XM – giải pháp giám sát hiệu quả dành cho hệ thống
 
Bảo vệ máy chủ bằng Scapy – Phần 1
 
Giải pháp Bảo mật của Cisco
 
Bảo mật lưu lượng mạng không dây – Phần 1
 
Giải pháp hệ thống dành cho doanh nghiệp với thiết bị mạng Fortinet (Phần 1)
 
Trang chủ | Giới thiệu | Quảng cáo | Liên hệ
Giấy phép ICP số 199/GP-TTĐT. Bộ Thông tin và Truyền thông cấp.
Cơ quan quản lý  : Công Ty Cổ Phần Kênh Giải Pháp
Bản quyền © 2010-2011 Kenhgiaiphap.vn . Giữ toàn quyền.
Ghi rõ nguồn "Kenhgiaiphap.vn" khi phát hành lại thông tin từ website này.