Download miễn phí Đề tài An toàn và bảo mật trên hệ điều hành Linux
Mục lục
1. An toàn cho các giao dịch trên mạng
2. Bảo mật Linux server
3. Firewall
4. Xây dựng hệ thống mạng Linux
http://cloud.liketly.com/flash/edoc/jh2i1fkjb33wa7b577g9lou48iyvfkz6-swf-2014-01-13-de_tai_an_toan_va_bao_mat_tren_he_dieu_hanh_linux.l5UeeMziAa.swf /tai-lieu/de-tai-ung-dung-tren-liketly-54417/
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
sự đây là một cuộc tấncông nhằm xâm nhập vào hệ thống của bạn). Sao chép lại tất cả các files mà kẻ xâm
nhập để lại hay thay đổi (như những đoạn mã chương trình, log file, ...)
x Liên hệ nhà chức trách để báo cáo về vụ tấn công.
Những bước bạn nên làm để giảm rủi ro và đối phó với sự tấn công trong tương
lai :
o Xây dựng và trao quyền cho nhóm đối phó với sự tấn công
o Thi hành kiểm tra an ninh và đánh giá mức độ rủi ro của hệ thống
o Cài đặt các phần mềm an toàn hệ thống phù hợp để giảm bớt rủi ro
o Nâng cao khả năng của mình về an toàn máy tính
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 13
GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
Các bước kiểm tra để giúp bạn bảo đảm tính hiệu quả của hệ thống an ninh
o Kiểm tra hệ thống an ninh mới cài đặt : chắc chắn tính đúng đắn của chính sách
an ninh hiện có và cấu hình chuẩn của hệ thống.
o Kiểm tra tự động thường xuyên : để khám phá sự “viếng thăm” của những hacker
hay những hành động sai trái của nhân viên trong công ty.
o Kiểm tra ngẫu nhiên: để kiểm tra chính sách an ninh và những tiêu chuẩn, hay
kiểm tra sự hiện hữu của những lỗ hổng đã được phát hiện (chẳng hạn những lỗi được
thông báo từ nhà cung cấp phần mềm)
o Kiểm tra hằng đêm những file quan trọng: để đánh giá sự toàn vẹn của những file
và cơ sở dữ liệu quan trọng
o Kiểm tra các tài khoản người dùng: để phát hiện các tài khoản không sử dụng,
không tồn tại, ...
o Kiểm tra định kỳ để xác định trạng thái hiện tại của hệ thống an ninh của bạn
Thiết lập tường lửa Iptables cho Linux
Cấu hình Tables
Việc cài đặt Iptables là một phần trong việc cài đặt Red Hat ban đầu. Nguyên
bản khởi tạo tìm kiếm sự tồn tại của file Iptables, rules/etc/sysconfig/iptables, Và
nếu chúng đã tồn tại iptables khởi động với cầu hình đã được chỉ rõ. Một khi server
này là gởi mail và nhận mail, cấu hình Iptables nên cho phép những kết nối từ đầu
vào sendmail đến bất kỳ nơi đâu. Người quản trị hệ thống sẽ chỉ sử dụng shh từ bên
trong các máy, đặc biệt là MIS. Iptables rules sẽ cài đặt để cho phép các kết nối shh
từ 2 MIS. Ping ICMP sẽ cho phép bất kỳ đâu. Không có công nào khác cho phép kết
nối đến người phục vụ này. Đây là mức bổ sung cho việc phòng thủ của server trong
trường hợp Firewal được thoã hiệp. Thêm vào đó là việc bảo vệ cho ssh sẽ được
cung cấp bởi cấu hình các gói tcp bên dưới.
Những quy tắc để thực hiện cấu hình Iptables như sau:
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT(1)
/sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT(2)
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT(3)
/sbin/iptables -A INPUT -p tcp --dport 22 -s 10.100.200.0/24 -j ACCEPT(4)
/sbin/iptables -A INPUT -p tcp --dport 22 -s 10.100.201.0/24 -j ACCEPT(5)
/sbin/iptables -A INPUT -p udp --sport 53 -s 10.100.50.50 -j ACCEPT(6)
/sbin/iptables -A INPUT -p udp -sport 53 -s 10.100.42.42 -j ACCEPT(7)
/sbin/iptables -A INPUT -j LOG(8)
/sbin/iptables -P INPUT DROP(9)
(1) Cho phép những kết nối liên quan và đã thiết lập đến server
(2) Cho phép các host khác ping đến server sendmaid
(3) Cho phép kết nối SMTP đến server
(4), (5) Cho phép kết nối ssh từ 2 MÍ (subnets)
(6), (7) Cho phép người phục vụ tên DNS cho box sendmaid để cung cấp giải pháp
DNS. Nếu bạn có hơn một domain – DNS, thì thêm một dòng cho mỗi DNS.
(8) log bất kỳ kết nối nào cố gắng mà nó không đặc biệt cho phép
(9) Cài dặt chính sách mặc định cho bảng INPUT to DROP
Tất cả các kết nối đặc biệt không cho phép sẽ bị rớt. Chương trình losentry sẽ được
cấu hình để định rằng bất kỳ dòng nào log cũng như sự xâm phạm an toàn. Để giữ
được cấu hình qua reboot, ta phải chạy Iptables- Save. Chạy lệnh như sau:
/sbin/iptables-save > /etc/sysconfig/iptables
Khi hệ thống khởi động lên, file Iptables sẽ được đọc và cấu hình hiệu dụng.
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 14
GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
Iptables là một tường lửa ứng dụng lọc gói dữ liệu rất mạnh, miễn phí và có sẵn trên
Linux.. Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux và Iptables nằm
ngoài nhân. Iptables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để đẩy các
luật của người dùng vào cho Netfiler xử lí. Netfilter tiến hành lọc các gói dữ liệu ở mức
IP. Netfilter làm việc trực tiếp trong nhân, nhanh và không làm giảm tốc độ của hệ thống.
Cách đổi địa chỉ IP động (dynamic NAT)
Trước khi đi vào phần chính, mình cần giới thiệu với các bạn về công nghệ đổi địa chỉ NAT
động và đóng giả IP Masquerade. Hai từ này được dùng rất nhiều trong Iptables nên bạn
phải biết. Nếu bạn đã biết NAT động và Masquerade, bạn có thể bỏ qua phần này.
NAT động là một trong những kĩ thuật chuyển đổi địa chỉ IP NAT (Network Address
Translation). Các địa chỉ IP nội bộ được chuyển sang IP NAT như sau:
NAT Router đảm nhận việc chuyển dãy IP nội bộ 169.168.0.x sang dãy IP mới
203.162.2.x. Khi có gói liệu với IP nguồn là 192.168.0.200 đến router, router sẽ đổi IP
nguồn thành 203.162.2.200 sau đó mới gởi ra ngoài. Quá trình này gọi là SNAT (Source-
NAT, NAT nguồn). Router lưu dữ liệu trong một bảng gọi là bảng NAT động. Ngược lại, khi
có một gói từ liệu từ gởi từ ngoài vào với IP đích là 203.162.2.200, router sẽ căn cứ vào
bảng NAT động hiện tại để đổi địa chỉ đích 203.162.2.200 thành địa chỉ đích mới là
192.168.0.200. Quá trình này gọi là DNAT (Destination-NAT, NAT đích). Liên lạc giữa
192.168.0.200 và 203.162.2.200 là hoàn toàn trong suốt (transparent) qua NAT router.
NAT router tiến hành chuyển tiếp (forward) gói dữ liệu từ 192.168.0.200 đến
203.162.2.200 và ngược lại.
Đề tài: An toàn và bảo mật trên hệ điều hành Linux
Page 15
GVHD:Nguyễn Tấn Khôi Sinh viên thực hiện:
Lê Thị Huyền Trang
Nguyễn Huy Chương
Cách đóng giả địa chỉ IP (masquerade)
Đây là một kĩ thuật khác trong NAT.
NAT Router chuyển dãy IP nội bộ 192.168.0.x sang một IP duy nhất là 203.162.2.4
bằng cách dùng các số hiệu cổng (port-number) khác nhau. Chẳng hạn khi có gói dữ liệu
IP với nguồn 192.168.0.168:1204, đích 211.200.51.15:80 đến router, router sẽ đổi
nguồn thành 203.162.2.4:26314 và lưu dữ liệu này vào một bảng gọi là bảng
masquerade động. Khi có một gói dữ liệu từ ngoài vào với nguồn là 221.200.51.15:80,
đích 203.162.2.4:26314 đến router, router sẽ căn cứ vào bảng masquerade động hiện tại
để đổi đích từ 203.162.2.4:26314 thành 192.168.0.164:1204. Liên lạc giữa các máy
trong mạng LAN với máy khác bên ngoài hoàn toàn trong suốt qua router
Cấu trúc của Iptables
Iptables được chia làm 4 bảng (table): bảng filter dùng để lọc gói dữ liệu, bảng nat
dùng để thao tác với các gói dữ liệu được NAT nguồn hay NAT đích, bảng mangle dùng để
thay đổi các thông số trong gói IP và bảng conntrack dùng để theo dõi các kết nối. Mỗi
table gồm nhiều mắc xích (chain). Chain gồm nhiều luật (rule) để thao tác với các gói dữ
liệu. Rule có thể là ACCEPT (chấp nhận gói dữ liệu), DROP (thả gói), REJECT (loại bỏ gói)
hay tham chiếu (reference) đ