Cách đảm bảo an ninh hệ thống Linux của bạn - Phần 1

Cơ bản về an ninhcủa Linux

Howyour secure your Linux system

Ngườigiám hộ: Linux không làm cho máy tính của bạn tự độngkhông thể thâm nhập được

Tutorial:Linux doesn't make your system impenetrable automatically

By Mayank Sharma

Theo:http://www.techradar.com/news/software/operating-systems/how-your-secure-your-linux-system-915651

Bàiđược đưa lên Internet ngày: 04/01/2011

Lờingười dịch: Dù sử dụng hệ điều hành GNU/Linux đượccho là an ninh hơn so với Windows, thì bạn vẫn cần biếtcách để bảo vệ các dữ liệu của bạn khỏi bị saochép dễ dàng, khỏi bị in ra dễ dàng mà không như mongmuốn của bạn. Bài này là một trong chuỗi bài chỉ chobạn một số cách thức để bảo vệ hệ thống GNU/Linuxcủa bạn đấy.

Bạncó đang chạy Linux chỉ vì bạn nghĩ nó an toàn hơnWindows không? Nghĩ lại đi. Chắc rồi, an ninh là một tínhnăng được xây dựng sẵn (và không phải là được vặnvào sẵn) và mở rộng ngay từ nhân Linux cho tới môitrường đồ họa để bàn, những nó vẫn để lại đủkhông gian để những ai đó làm bẩn với thư mục /homecủa bạn.

Linuxcó thể là trơ trơ đối với các virus và sâu đượcviết cho Windows, nhưng điều đó chỉ là một tập phụnhỏ của một vấn đề lớn. Những kẻ tấn công cóhàng loạt những mưu mẹo trong tay để có được nhữngbit và byte quý giá mà tạo nên mọi thứ từ chiếc ảnhcủa bạn cho tới các chi tiết về thẻ tín dụng củabạn.

Cácmáy tính kết nối tới Internet là những máy tính đượcphơi ra nhiều nhất đối với những kẻ tấn công, dùcác máy tính mà không bao giờ thấy được hoạt độngtrực tuyến có thể bị tổn thưởng thế nào. Hãy nghĩvề chiếc máy tính xách tay cũ hoặc chiếc đĩa cứng cũmà bạn chỉ mới bỏ đi mà không cần suy nghĩ gì. Độngthái không tốt đâu.

Vớidạng các công cụ phục hồi dữ liệu có sẵn ngày nay(nhiều thứ có thể tải về tự do) thì không có vấn đềvề hệ điều hành nào đã được cài đặt trên đĩacứng đó. Nếu nó có chứa các dữ liệu - bị hỏng haygì đó khác - thì nó có thể lấy lại được, các tàikhoản ngân hàng tạo lại được, các chữ viết khi chatxây dựng lại được, các hình ảnh khâu lại được.Nhưng đừng có sợ. Đừng có dừng sử dụng máy tính.

Trongkhi hầu như không thể làm cho một máy tính kết nốiđược tới Internet là không thể xuyên thủng đối vớicác cuộc tấn công, thì bạn có thể làm cho một nhiệmvụ tấn công khó khăn và cũng đảm bảo chúng không biếtđược gì từ một hệ thống bị tổn thương cả. Tốthơn cả, với Linux, và một số mẩu phần mềm nguồn mở,nó không mất nhiều sức để đảm bảo cho cài đặtLinux của bạn.

Không có qui tắc vàngnào cho an ninh mà áp dụng được trong mọi trường hợp,và thậm chí nếu có thì nó có thể đã bị đánh thủngrồi. An ninh là thứ gì đó mà cần phải được làm việcthường xuyên, và được cá nhân hóa. Tuân theo những mẹovà công cụ trong hướng dẫn này như chúng tôi chỉ racho bạn cách áp dụng chúng đối với cài đặt Linux rấtriêng của bạn.

Hãytuân theo 6 mẹo để có được một máy tính an toàn hơntheo một cách dễ dàng

Areyou running Linux just because you think it's safer than Windows?Think again. Sure, security is a built-in (and not a bolt-on) featureand extends right f-rom the Linux kernel to the desktop, but it stillleaves enough room to let someone muck about with your /home folder.

Linuxmight be impervious to viruses and worms written for Windows, butthat's just a small subset of the larger issue. Attackers havevarious tricks up their sleeves to get to those precious bits andbytes that make up everything f-rom your mugshot to your credit carddetails.

Computersthat connect to the internet are the ones most exposed to attackers,although computers that never get to see online action are just asvulnerable. Think of that ageing laptop or that old hard disk youjust chucked away without a second thought. Bad move.

Withthe kind of data recovery tools available today (many as a freedownload) it doesn't matter what OS was installed on the disk. If itholds data – corrupted or otherwise – it can be retrieved, bankaccounts recre-ated, chat transcripts reconstructed, imagesrestitched. But don't be scared. Don't stop using the computer.

Whileit's virtually impossible to make a machine connected to the internetimpenetrable to attacks, you can make an attacker's task difficultand also ensure they have nothing to learn f-rom a compromised system.Best of all, with Linux, and some pieces of open source software, itdoesn't take much effort to secure your Linux installation.

Thereis no golden rule for security that applies in every single case, andeven if there were it would have been cracked already. Security issomething that needs to be worked upon, and personalised. Follow thetips and tools in this tutorial as we show you how to adapt them toyour very own Linux installation.

Followthese six tips to get a safer computer the easy way

1 Theo kịp các cậpnhật an ninh

1.Keep up with security up-dates

Tất cả các phát tánLinux để bàn dòng chính thống (như Debian, Ubuntu, Fedora,...) có các độ an ninh làm việc với các đội đóng góiđể đảm bảo bạn nằm trên đỉnh của bất kỳ chỗbị tổn thương nào về an ninh. Thường thì các đội nàylàm việc với nhau để chắc chắn rằng các bản vá anninh sẵn sàng ngay khi chỗ bị tổn thương bị phát hiện.

Phát tán của bạn sẽcó một kho chỉ chuyên cho các cập nhật an ninh. Tất cảviệc bạn phải làm là phải chắc chắn kho an ninh cụthể được bật (thường nó là mặc định), và chọnliệu bạn có thích cài đặt các bản vá một cách tựđộng hay bằng tay khi nhấn một núm.

Ví dụ, trong Ubuntu,hãy chọn System > Administration > Software Sources.Ở đâydưới trang Up-dates, hãy chỉ định cách màphát tán thường xuyên nên kiểm tra kho an ninh cho việccập nhật, và liệu bạn có thích cài đặt chúng màkhông cần có khẳng định không, hay chỉ được lưu ývề các cập nhật.

Cái sau là một lựachọn tốt hơn, vì nó cho phép bạn xem xét lại các bảncập nhật trước khi cài đặt chúng. Mà những cơ hộilà chúng sẽ tốt, và bạn có thể tiết kiệm cho mìnhchút thời gian bằng việc nhờ phát tán của bạn cài đặtchúng một cách tự động.

Bổ sung vào với cáccập nhật, phát tán cũng có một danh sách thư an ninh đểcông bố những chỗ bị tổn thương, và cũng chia sẻ cácgói để sửa chúng. thường thì một ý tưởng tốt đểgiám sát danh sách an ninh đối với phát tán của bạn, vànhìn ra bất kỳ cập nhật an ninh nào đối với các góimà là sống còn đối với bạn.

Có một độ trễ nhỏgiữa sự tuyên bố và gói đang được đẩy vào kho; Cácdanh sách thư về an ninh chỉ dẫn cho những người thiếukiên nhẫn cách chộp và cài các cập nhật bằng tay.

Allmainstream Linux desktop distros (such as Debian, Ubuntu, Fedora,etc) have security teams that work with the package teams to makesure you stay on top of any security vulnerabilities. Generally theseteams work with each other to make sure that security patches areavailable as soon as a vulnerability is discovered.

Yourdistro will have a repository solely dedicated to security up-dates.All you have to do is make sure the security specific repository isenabled (chances are it will be, by default), and choose whetheryou'd like to install the up-dates automatically or manually at thepress of a button.

Forexample, under Ubuntu, head over to System > Administration >Software Sources. Here, under the Up-dates tab, specify how frequentlythe distro should ping the security repository for up-dates, andwhether you'd like to install them without confirmation, or just benotified about the up-dates.

Thelatter is a better option, because it lets you review the up-datesbefore installing them. But chances are they'll be fine, and you cansave yourself some time by having your distro install themautomatically.

Inaddition to the up-dates, distros also have a security mailing list toannounce vulnerabilities, and also share packages to fix them. It'sgenerally a good idea to keep an eye on the security list for yourdistro, and look out for any security up-dates to packages that arecritical to you.

There'sa small lag between the announcement and the package being pushed tothe repository; the security mailing lists guide the impatient on howto grab and install the up-dates manually.

2. Vô hiệu hóa cácdịch vụ không cần thiết

2.Disable unnecessary services

Một phát tán Linuxcho máy để bàn khởi động một số dịch vụ sẽ đượcsử dụng cho càng nhiều người có thể càng tốt. Nhưngmột người thực sự không cần tất cả các dịch vụđó.

Ví dụ, liệu bạn cóthực sự cần Samba cho việc chia sẻ các tệp qua mạngtrên máy chủ an ninh của bạn hay không, hay dịch vụBluetooth để kết nối tới các dịch vụ Bluetooth trênmột máy tính mà không có một thiết bị adapter Bluetoothhay không?

Tất cả các phát táncho phép bạn kiểm soát các dịch vụ mà chúng chạy trêncài đặt Linux của bạn, và bạn nên sử dụng đầy đủtính năng tùy biến này.

Trong Ubuntu, hãy vàoSystem > Preferences > Startup Applications. Ở đâybạn có thể loại bỏ các dấu cạnh các dịch vụ màbạn muốn vô hiệu hóa. Nhưng hãy cẩn thận khi tắt cácdịch vụ nhé. Một số ứng dụng có thể dừng hoạtđộng vì bạn đã quyết định vô hiệu một dịch vụmà chúng dựa vào đấy.

Ví dụ, nhiều ứngdụng máy chủ dựa vào các cơ sở dữ liệu, nên trướckhi bạn tắt MySQL hoặc PostgreSQL thì bạn nên chắc chắnbạn không chạy bất kỳ ứng dụng nào mà dựa vàochúng.

ALinux desktop distro starts a number of services to be of use to asmany people as possible. But one really doesn't need all theseservices.

Forexample, do you really need Samba for sharing files over the networkon your secure server, or the Bluetooth service to connect toBluetooth devices on a computer that doesn't have a Bluetoothadapter?

Alldistros let you control the services that run on your Linuxinstallation, and you should make full use of this customisationfeature.

UnderUbuntu, head to System > Preferences > Startup Applications.Here you can remove check marks next to the services you wish todisable. But be careful when turning off services. Some applicationsmight stop functioning because you decided to disable a service onwhich they rely.

Forexample, many server applications rely on databases, so before youturn off MySQL or PostgreSQL you should make sure you aren't runningany applications that rely on them.

3. Hạn chế truycập Root

3.Restrict root access

Hầu hết các pháttán ngày nay không cho phép bạn đăng nhập như là root khikhởi động, mà điều đó là tốt. Khi bạn phải thựchiện một nhiệm vụ đòi hỏi những quyền siêu cao củangười sử dụng thì bạn sẽ được nhắc đưa vào mậtkhẩu. Nó có thể làm bạn bực mình một chút nhưng vềlâu dài nó đảm bảo chắc chắn rằng các nhiệm vụ củangười quản trị được tách rời khỏi người sử dụng.

Bạn có thể hạn chếcác quyền truy cập cho một người sử dụng từ trong System > Administration > Users and Groups. Ở đâybạn có thể phân loại một cách rộng rãi một ngườisử dụng như một người sử dụng máy để bàn hay lànhư một người quản trị hệ thống hoặc các quyềntruy cập tùy biến một cách bằng tay. Mặc định, nhữngngười sử dụng được tạo ra như là với các quyềncủa 'người sử dụng máy để bàn' và không thể càiđặt các phần mềm hoặc thay đổi các thiết lập màảnh hưởng tới những người sử dụng khác.

Trên dòng lệnh, lệnhsu (trong Fedora, và tương tự ...) cho phép nhữngngười sử dụng thông thường chuyển sang tài khoảnroot, trong khi lệnh sudo (trong Debian, Ubuntu, ...) traonhiều quyền hơn cho người sử dụng. Sử dụng các lệnhnày có thể được hạn chế đối với một nhóm cụ thểnào đó, mà nó ngăn ngừa bất kỳ người sử dụng nàokhỏi việc quản trị hệ thống, sudo cũng là an ninh hơnđối với cả 2, và nó giữ một nhật kỳ truy cập trong/var/log/auth.log.

Tạo một thói quenthường xuyên quét nhật ký đối với những dự địnhthành công và không thành công của lệnh sudo.

Mostdistros these days don't allow you to login as root at boot time,which is good. When you have to execute a task that requires superuser privileges you'll be prompted for a password. It might be alittle irritating but it goes a long way to making sure that admintasks are isolated f-rom the user.

Youcan restrict access privileges for a user f-rom under System >Administration > Users and Groups. Here you can broadly categorisea user as a desktop user or a system administrator or customiseaccess privileges manually. By default, users are cre-ated as with'Desktop user' permissions and can't install software or changesettings that affect other users.

Onthe command line, the su command (on Fedora, and the like) letsnormal users switch to the root account, while the sudo command (onDebian, Ubuntu, etc) grants more privileges to the user. The usage ofthese commands can be limited to a particular group, which preventsany user f-rom administering the system. sudo is also the more secureof the two, and it keeps an access log under /var/log/auth.log.

Makea habit of regularly scanning the log for failed and successful sudoattempts.

4. Không tự độngmount các thiết bị

4.Don't auto-mount devices

Nếu bạn thực sựquan tâm về an ninh, thì bạn cần học về tính năng tùybiến các thiết lập Users And Groups. Một trong nhữngkhu vực để nhìn vào là các thiết bị tự động mount.

Hầu hết các pháttán tự động mount các ổ USB và CD ngay khi chúng đượcchèn vào. Điều này là tiện lợi, nhưng cho phép bất kỳai mà đi qua máy tính của bạn, găm vào một đĩa USB vàsao chép tất cả các dữ liệu của bạn. Để tránh tìnhtrạng như vậy, hãy vào System > Administration >Users and Groups, hãy chọn người sử dụng của bạn vànháy chọn tab Advanced Settings > User Privileges.

Hãy chắc chắn bạnkhông chọn các ô tương ứng với lựa chọn AccessExternal Storage Devices Automatically, Mount UserspaceFilesystems, và Use CD-ROM Drives. Khi bỏ chọn, nhữnglựa chọn này sẽ nhắc người sử dụng một mật khẩutrước khi trao cho họ sự truy cập tới những thiết bịnày.

Bạn cũng có thểmuốn vô hiệu hóa việc chia sẻ tệp trên mạng, cũng nhưyêu cầu người sử dụng gõ vào một mật khẩu trướckhi kết nối tới các thiết bị Ethernet và không giây.Bằng việc vô hiệu hóa sự truy cập để cấu hình chocác máy in mà bạn ngăn ngừa được các dữ liệu quantrọng khỏi việc bị in ra.

Ifyou're really concerned about security, you need to lean on thecustomisation feature of the Users And Groups settings. One of theareas to look at is auto-mounting devices.

Mostdistros auto-mount USB drives and CDs as soon as they are in-serted.It's convenient, but allows anybody to just walk up to your machine,plug in a USB disk and copy all your data. To avoid such a situation,go to to System > Administration > Users and Groups, se-lectyour user and head to the Advanced Settings > User Privileges tab.

Makesure you uncheck the boxes corresponding to the Access ExternalStorage Devices Automatically option, the Mount UserspaceFilesystems, and Use CD-ROM Drives option. When unchecked, theseoptions will prompt the user for a password before giving them accessto these devices.

Youmight also want to disable sharing files on the network, as well asrequire the user to enter a password before connecting to theEthernet and wireless devices. By disabling access to configureprinters you prevent important data f-rom being printed.

5. Không ở trênmép chảy máu

5.Don't stay on the bleeding edge

Các gói được đưavào trong một phát tán Linux máy để bàn được cập nhậtthường xuyên. Ngoài các kho chính thức, có các kho tùy ýcho các phần mềm của bên thứ 3. Trong khi các lập trìnhviên quan tâm chăm sóc tới việc quét các gói tìm các chỗbị tổn thương trước khi đẩy chúng vào kho, thì hầunhư không thể được rằng một số cập nhật với cáckhiếm khuyết cũng đã đi được qua.

Trong khi là tốt đểgiữ cho hệ thống được cập nhật, từ quan điểm anninh, không phải tất cả các cập nhật đều là tốt đốivới hệ thống. Một số cập nhật xung đột với góiđược cài đặt đang tồn tại hoặc thậm chí có thểtạo ra những sự phụ thuộc mới mà có thể làm cho hệthống dễ bị tấn công hơn. Tất cả điều này giảithích vì sao bạn chỉ nên cập nhật các gói nếu bạnphải làm.

Hãy quét các cậpnhật và tìm kiếm các cập nhật cho các gói mà là sốngcòn với bạn. Hầu hết những trình quản trị gói cũnglà cho có khả năng kiểm tra một cập nhật và hiển thịnhật ký thay đổi của nó và một mô tả ngắn gọn vềnhững thay đổi. Những thay đổi giao diện người sửdụng có thể được bỏ qua một cách an toàn hoặc đượclàm chậm lại cho tới khi một gói đã được kiểm trakỹ lưỡng. Thay vào đó, hãy tìm và tóm lấy những cậpnhật nào mà nó sửa các vấn đề đang tồn tại vớicác gói.

Packagesincluded in a desktop Linux distribution are up-dated regularly.Besides the official repositories, there are custom repositories forthird-party software. While developers do take care to scan thepackages for vulnerabilities before pushing them on to therepository, it's almost inevitable that some up-dates with defects doget through.

Whileit's good to keep the system up-dated, f-rom a security point of view,not all up-dates are good for the system. Some up-dates conflict withexisting installed package or may even pull in new dependencies thatmay make the system more prone to attack. All this is why you shouldonly up-date packages if you have to.

Scanthe up-dates and look for up-dates to packages that are critical toyou. Most package managers also make it possible to check an up-dateand display its changelog and a brief description of the changes. UIchanges can safely be ignored or delayed until a package has beenthoroughly tested. Instead, look out for and grab up-dates that offera fix to existing issues with packages.

Không nâng cấp cứmỗi 6 tháng một lần

6.Don't upgrade every six months

Hầu hết các pháttán Linux cho máy tính để bàn có phiên bản mới cứ 6tháng một lần, nhưng bạn không phải cài đặt mỗi bảnnâng cấp mới chỉ vì nó có. Ví dụ, Debian, đưa ra 3phát tán để chọn dựa vào mức độ ổn định củaphần mềm có sẵn trong đó. Sau Debian 6.0, các phiên bảnổn định sẽ được thực hiện 2 năm một lần.

Phát tán khác có mộttiếp cận khác để đảm bảo an ninh cho các phiên bản.Ubuntu đánh dấu các phiên bản nhất định như là LTS -hỗ trợ dài hạn (Long Term Support). Một phiên bản LTS chomáy để bàn được hỗ trợ 3 năm, và phiên bản cho máychủ được hỗ trợ 5 năm, mà là lâu hơn nhiều so với18 tháng đối với một phiên bản tiêu chuẩn của Ubuntu.

Dù không cập nhật,nhưng những phiên bản này an ninh hơn nhiều từ quan điểman ninh, với các gói mà ổn định hơn nhiều và đượckiểm thử kỹ hơn nhiều so với những phiên bản mớinhất của chúng. Nếu chạy một hệ thống an ninh là mụctiêu của bạn, thì bạn nên nghĩ gắn vào với một trongnhững phiên bản hỗ trợ dài hạn và tránh bị lôi cuốnnâng cấp ngay khi phiên bản mới nhất trở nên sẵn sàng.

Mostmajor desktop Linux distributions make a new release every sixmonths, but you don't have to install every last upgrade just becauseit's there. Debian, for example, offers three distributions to choosef-rom based on the extent of the stability of the software availablein it. After Debian 6.0, stable releases will be made every twoyears.

Otherdistros take a different approach to guarantee secure releases.Ubuntu marks certain releases as LTS (or Long Term Support). Adesktop release of the LTS version is supported for three years, anda server release is supported for five years, which is a lot longerthan the 18 months for a standard Ubuntu release.

Althoughnot up to date, these releases are much more secure f-rom a securitypoint of view, with packages that are a lot more stable and morethoroughly tested than their latest versions. If running a securesystem is your goal, you should think of sticking to one of theselong-term stable releases and avoid the temptation to upgrade as soonas the latest version of your becomes available.

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com