Cách đảm bảo an ninh cho hệ thống Linux của bạn - Phần 2

Tường lửa và mãhóa phần mềm

Howyour secure your Linux system

Ngườigiám hộ: Linux không làm cho máy tính của bạn tự độngkhông thể thâm nhập được

Tutorial:Linux doesn't make your system impenetrable automatically

By Mayank Sharma

Theo:http://www.techradar.com/news/software/operating-systems/how-your-secure-your-linux-system-915651?artc_pg=2

Bàiđược đưa lên Internet ngày: 04/01/2011

Lờingười dịch: Bài này giúp bạn thiết lập tường lửavà mã hóa dữ liệu khi sử dụng hệ điều hành GNU/Linuxtrên các máy tính trạm.

Mộtcài đặt Linux là an ninh hơn nhiều so với các hệ điềuhành khác. Điều này đúng, cho tới khi bạn kết nối tớiInternet. Một khi trực tuyến, một cài đặt máy để bànLinux, đánh cược sẽ được sử dụng như nhiều ngườisử dụng có thể, để lại chỗ đủ để phơi ra cho cáccuộc tấn công và những vụ thâm nhập. Cho dù không đổmồ hôi. Trợ giúp chỉ là một máy đầu cuối.

Tấtcả các phát tán Linux đi với Iptables, mà nó là một phầncủa nhân mà cho phép sysadmins lọc các gói mạng. Việcthiết lập cấu hình cho nó bằng tay là không thể đốivới tất cả mà chỉ những người giỏi, nhưng theo đúngtinh thần của nguồn mở thì cộng đồng đưa ra một sốgiao diện đồ họa mặt tiền mà làm cho một tường lửatrở thành cuộc dạo chơi ở ngoài công viên. Một tườnglửa đồ họa như vậy là Firestarter.

Outof the box, a Linux installation is much more secure than otheroperating systems. That is, until you connect to the internet. Onceonline, a desktop Linux installation, in its bid to be of use to asmany users as possible, leaves enough room to be exposed to attacksand intrusions. Don't sweat though. Help is only a terminal away.

AllLinux distros ship with Iptables, which is a part of the kernel thatenables sysadmins to filter network packets. Configuring it manuallyis impossible for all but the elite, but in the true spirit of opensource the community offers a number of graphical front-ends thatmake setting up a firewall a walk in the park. One such graphicalfirewall is Firestarter.

Wedidn't start the fire

Chúngta đã không nhóm lửa

Firestarter đơn giảnhóa quá trình thiết lập cấu hình các thiết lập cho mộttường lửa. Nó có thể hạn chế sự truy cập vào cáccổng mà đang chạy các dịch vụ mà có thể bị hỏng vìcác cuộc tấn công từ bên ngoài, và bạn cũng có thểsử dụng nó để nhìn qua giao thông mạng đi qua máy màbạn đang chạy trên đó.

Hầu hết các pháttán đưa Firestarter vào trong kho của họ, nên việc càiđặt nó không có vấn đề gì. Khi bạn bắt đầu nó lầnđầu, tường lửa này đưa ra một thuật sỹ cấu hìnhđơn giản mà nó nhắc bạn chọn giao diện mạng trong đónó sẽ là tích cực.

Nếu bạn có nhiềuthiết bị với một kết nối tới mạng nội bộ, thìFirestarter có thể hành động như là cổng gateway và chiasẻ kết nối Internet với phần còn lại của mạng. Mặcđịnh, Firestarter chỉ lọc thông qua các kết nối mà trảlời cho các yêu cầu kết nối từ máy chủ host củatường lửa. Ưu điểm của việc làm theo cách này làviệc nó khóa sự truy cập tới các dịch vụ như Telnet,mà có thể bị khai thác để giành sự truy cập tới máytính của bạn mà không cần tri thức của bạn.

Việc chỉnh tườnglửa không mất nhiều sức. Nếu bạn có một ứng dụngmà đòi hỏi sự truy cập trên các cổng nhất định, nhưmột máy trạm Torrent, thì bạn cần đục các lỗ hổngtrong tường lửa của bạn để cho phép các kết nốitới. Điều đó dễ dàng thực hiện được từ trong tabPolicy.

Nháy phải bên trongkhông gian dưới Allow Service và chọn Add Rule. Từ thựcđơn kéo thả, hãy chọn dịch vụ mà bạn muốn cho phép,ví dụ là Samba, hãy chọn nguồn IP (bất kỳ ai mở cổngcho tất cả) và bạn đã làm xong.

Firestartersimplifies the process of configuring the settings for a firewall. Itcan limit access on ports that are running services that might beprone to outside attacks, and you can also use it to glance at thenetwork traffic passing across the machine you're running it on.

Mostdistros bundle Firestarter in their repos, so installing it shouldn'tbe a problem. When you start it for the first time, the firewalllaunches a simple configuration wizard that prompts you to se-lect thenetwork interface on which it will be active.

Ifyou have multiple devices with one connecting to the internalnetwork, Firestarter can act as gateway and share the internetconnection with the rest of the network. By default, Firestarter onlyfilters through connections that are in response to connectionrequests f-rom the firewall host. The advantage of doing things thisway is that it blocks access to services like Telnet, which can beexploited to gain access to your machine without your knowledge.

Tweakingthe firewall doesn't take much effort either. If you have an app thatrequires access on certain ports, such as a Torrent client, you needto punch holes in your firewall to allow incoming connections. That'seasily done f-rom under the Policy tab.

Right-clickinside the space under Allow Service and se-lect Add Rule. F-rom thepull-down menu, se-lect the service you want to allow, say Samba,se-lect the source IP (anyone opens the port to all) and you're done.

Để hạn chế giaothông ra ngoài, hãy chọn Outbound Traffic Policy từ danh sáchkéo thả. Bây giờ bạn có thể chọn hoặc lựa chọn Permissive hoặc Restrictive. Nếu bạn chọn lựa chọnPermissive thì bạn sẽ phải bổ sung các host mà bạn muốnkhóa trong một danh sách đen. Restrictive là ngược lại, vàchỉ cho phép các kết nối từ các hosts được liệt kê,từ chối những thứ còn lại.

Khi chạy trong chế độhạn chế (restrictive), Firestarter sẽ ghi nhật ký lại tấtcả những từ chối kết nối theo tab sự kiện Events. Khibạn chọn một kết nối mà bạn muốn cho phép nhữngngười sử dụng của bạn, hãy nháy phải vào mục đóvà chọn lựa chọn hoặc cho phép kết nối tới tất cảmọi người hoặc chỉ khi nó tạo ra từ một nguồn cụthể.

Bạn cũng có thểgiám sát các kết nối tích cực tới tường lửa từgiao diện chính của Firestarter. Nó chỉ cho bạn tình trạngcủa dịch vụ, trao cho bạn một tóm tắt các kết nốiđến và đi, và số lượng các dữ liệu mà đã đi quamột giao diện. Bổ sung vào việc liệt kê nguồn và đíchcủa giao thông, nó cũng sẽ nói cho bạn cổng các dữliệu đang đi qua, dịch vụ chạy trên cổng đó và chươngtrình mà gọi để đánh.

Torestrict outgoing traffic, se-lect Outbound Traffic Policy f-rom thed-rop-down list. Now you can se-lect either the Permissive or theRestrictive option. If you se-lect the Permissive option, you'll haveto add the hosts you want to block in a blacklist. Restrictive is theopposite, and only allows connections f-rom the listed hosts, denyingthe rest.

Whenrunning in restrictive mode, Firestarter will log all connectionrefusals under the Events tab. As you spot a connection you want toallow for your users, right-click on the entry and se-lect the optionto either allow the connection for everyone or just when itoriginates f-rom a particular source.

Youcan also monitor active connections to the firewall f-romFirestarter's main interface. It shows you the status of the service,gives you a summary of inbound and outbound connections, and theamount of data that has passed through an interface. In addition tolisting the source and destination of the traffic, it'll also tellyou the port the data is travelling through, the service running onthat port and the program that's calling the shots.

Mã hóa hệ thốngtệp của bạn

Nếu bạn thực sựmuốn giữ cho những người khác khỏi đọc được cáctệp của bạn, thì những mật khẩu của người sử dụngsẽ không cắt nó. Ví dụ, có rất ít người dừng mộtngười sử dụng với các quyền truy cập cao hơn, nhưngười sử dụng root, từ việc trố mắt ra nhìn vào thứbên trong thư mục gốc của bạn. Những gì bạn cần làmã hóa dữ liệu của bạn sao cho nó là không thể hiểuđược đối với mọi người mà không có công cụ đểgiải mã nó.

Cách thông minh đểlàm điều này là hãy mã hóa toàn bộ hệ thống tệp, màcó thể tự động mã hóa bất kỳ dữ liệu nào đượcgiữ trong nó. Đây là nơi mà TrueCrypt chói sáng.

Encryptyour filesystem

Ifyou really want to keep others f-rom reading your files, userpasswords won't cut it. For instance, there's very little to stop auser with higher access permissions, like the root user, f-rom gawkingat stuff under your home directory. What you need is to encrypt yourdata so that it's unintelligible to people without the means todecrypt it.

Thesmart way to do this is to encrypt the whole filesystem, which wouldautomatically encrypt any data kept on it. This is whe-re TrueCryptshines.

Nó để cho bạn cắtmột vào lát ảo ngoài phân vùng Linux của bạn mà sẽhành động như một hệ thống tệp được mã hóa đứngmột mình. Bạn sau đó sẽ mount nó, sử dụng nó để lưutrữ và đọc các tệp nhu bạn có thể từ một phân vùngbình thường, sau đó unmount nó, và Bob là chú bác củabạn. Khi nó không được mount, thì hệ thống tệp đượcmã hóa dường như sẽ là một mớ lộn xộn ngẫu nhiêncủa các bits.

TrueCrypt không sẵnsàng trong kho của mọi phát tán vì các vấn đề cấpphép, nhưng việc cài đặt nó là một công việc bìnhthường. Hãy chộp nó từ websitecủa nó, trích lưu trữ Tar, và cài đặt nó thông quathiết lập đồ họa. Hãy chắc chắn phát tán của bạncó thư viện Fuse, và các công cụ mapper thiết bị.

Itlets you carve a virtual slice out of your Linux partition that willact as a standalone encrypted filesystem. You then mount it, use itto store and read files as you would f-rom a normal partition, thenunmount it, and Bob's your uncle. When it isn't mounted, theencrypted filesystem appears to be a random jumble of bits.

TrueCryptisn't available in any distribution's repository due to licensingissues, but installing it is a trivial affair. Grab it f-rom itswebsite,extract the Tar archive, and install it via the graphical setup. Justmake sure your distro has the Fuse library, and the device mappertools.

Cre-atean encrypted volume

Tạomột dung lượng được mã hóa

Trước khi bạn cóthể sử dụng TrueCrypt thì bạn sẽ phải tạo một dunglượng được mã hóa để lưu trữ các tệp vào, nên hãytung ra ứng dụng và nháy vào núm Cre-ate Volume (tạo dunglượng). Việc này sẽ tung ra thuật sỹ Volume CreationWizard, mà nó cho phép bạn hoặc tạo một đĩa ảo đượcmã hóa bên trong một tệp hoặc một dung lượng đượcmã hóa bên trong toàn bộ một phân vùng, hoặc thậm chímột đĩa như là một đầu USB có thể tháo lắp được.

Nếu bạn chọn lựachọn đầu để tạo ra một đĩa ảo, thì TrueCrypt sẽhỏi bạn chỉ nó cho một tệp trong đĩa mà sẽ là dunglượng được mã hóa. Nếu tệp đó tồn tại, thìTrueCrypt sẽ tạo nó, sử dụng một trong 8 thuật toán mãhóa.

Tiếp theo, hãy chỉđịnh kích cỡ của dung lượng được mã hóa và địnhdạng nó như một hệ thống tệp FAT, mà làm cho nó truycập được từ các hệ điều hành khác cũng như Linux.Cuối cùng, hãy chọn một mật khẩu để mount dung lượngđược mã hóa.

Để lưu trữ các tệptrong dung lượng mà bạn sẽ phải mount nó. Hãy chọn tệpmà dung lượng được mã hóa của bạn từ giao diệnchính TrueCrypt, và nhấn núm Mount. Ứng dụng sẽ nhắc bạnmật khẩu của dung lượng trước khi nó có thể đượcmount. Bạn cũng có lựa chọn để mount dung lượng nhưchỉ đọc, nếu tất cả điều bạn phải làm là đọccác tệp từ nó.

Mặc định, TrueCryptchọn không nhớ tên của tệp mà bạn đã mã hóa dunglượng. Đây là một tính năng an ninh, và bổ sung thêmmột khóa khác trên đường đi của một kẻ thâm nhậptrái phép. Nếu bạn yêu cầu ứng dụng nhớ tên tệp,thì bất kỳ ai với sự truy cập vật lý tới máy tínhcũng có thể chọn tệp đó từ một thực đơn kéo thảvà mount dung lượng được mã hóa. Dù họ sẽ vẫn phảivượt qua mật khẩu của bạn.

Một khi dung lượngđược mã hóa được mount thì bạn có thể lưu các tệpvào nó chỉ giống như bạn làm với một dung lượng bìnhthường. TrueCrypt sử dụng phần cứng hiện đại củabạn trong sự sắp đặt của nó để mã hóa và giải mãcác tệp trong khi sử dụng; mà để nói nó giảm thiểusự trễ vì chi phí để chuyển các dòng bit không thểđọc được thành các dữ liệu có nghĩa mà có thể đọcđược bằng trình soạn thảo văn bản của bạn hoặcđược chơi bằng máy chơi phương tiện của bạn.

Khi bạn vượt quađược rồi, hãy unmount dung lượng với núm Dosmount bêntrong chương trình.

Beforeyou can use TrueCrypt you'll have to cre-ate an encrypted volume tostore files on, so launch the app and click on the Cre-ate Volumebutton. This will launch the Volume Creation Wizard, which lets youeither cre-ate a virtual encrypted disk within a file or an encryptedvolume within an entire partition, or even a disk such as a removableUSB drive.

Ifyou se-lect the first option to cre-ate a virtual disk, TrueCrypt willask you to point it to a file on the disk that'll be the encryptedvolume. If the file exists, TrueCrypt will recre-ate it, using one ofthe eight encryption algorithms.

Next,specify the size of the encrypted volume and format it as an FATfilesystem, which makes it accessible f-rom other operating systems aswell as Linux. Finally, choose a password to mount the encryptedvolume.

Tostore files on the volume you'll have to mount it. Se-lect the filethat's your encrypted volume f-rom the TrueCrypt main interface, andpress the Mount button. The app will prompt for the password of thevolume before it can be mounted. You also get the option to mount thevolume as read-only, if all you have to do is read files f-rom it.

Bydefault, TrueCrypt chooses not to remember the name of the filethat's your encrypted volume. This is a security feature, and addsanother roadblock in the path of an intruder. If you ask the app toremember the name of the file, anyone with physical access to thecomputer can se-lect the file f-rom a pull-down menu and mount theencrypted volume. They'll still have to get past your passwordthough.

Oncethe encrypted volume is mounted you can save files to it just likeyou do with a normal volume. TrueCrypt uses your modern hardware atits disposal to encrypt and decrypt files on the fly; which is to sayit minimises the lag due to the overhead of converting unreadablebitstream into meaningful data that can be read by your text editoror played by your media player.

Whenyou're through, unmount the volume with the Dismount button withinthe program.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com