Báo Cáo Đề Tài Hardening Linux Computer

Tổng quan về Đĩa cứng và phân vùngTại sao phải phân vùng?. Tổng quan về Đĩa cứng và phân vùng... Tổng quan về Đĩa cứng và phân vùng... Tổng quan về Đĩa cứng và phân vùng... •/swap: bộ n

Đ i H c Công Ngh Thông Tin ạ ọ ệ

1.Linux Filesystem and Navigation2.General Secure System Management

3.User and Filesystem Security Administration

4.Network Interface Configuration

5.Useful Linux Security Tools

TỔNG QUAN

I Linux file System & Negative

Tổng quan về hệ thống File

Linux có 4 kiểu File cơ bản:

Thư mục(container)

File đặc biệt(device, socket,pipe…)

Liên kết symbolic link(symlinks)

File thông thường(program, text, library,…)

Tổng quan về hệ thống File

Đường dẫn :

Đường dẫn tuyệt đối.

Đường dẫn tương đối.

Đường dẫn đặc biệt.

Tổng quan về Đĩa cứng và phân vùng

Tại sao phải phân vùng?

Mọi đĩa cứng (disk) đều cần được phân chia partition

Mỗi partition được xem như một phân vùng độc lập Khi

dữ liệu đầy, partition này không thể “overflow” (lấn chiếm) kích thước của partition khác

Có thể cài các hệ điều hành khác nhau lên các partition khác nhau

Sau đó, dùng một một trình quản lý boot loader để quản

lý quá trình boot

Phân loại và bố trí phân vùng:

Phân vùng dữ liệu: /usr, /home, /var ,/opt

Phân vùng trao đổi

Điểm lắp

Những ổ đĩa IDE sẽ có tên là hdX

X có giá trị từ [a-z] đại diện cho một ổ đĩa vật lý Vd: hda, hdb…

Khi được chia partition, partition sẽ có dạng: hdXY

X là kí tự ổ đĩa

Y là số thứ tự

Vd: hda1, hda2, hdb1, hdb2…

CDROM cũng được hiểu như một ổ đĩa IDE

Ổ đĩa SCSI sẽ có tên là sdX

Tổng quan về Đĩa cứng và phân vùng

Tổng quan về Đĩa cứng và phân vùng

Tổng quan về Đĩa cứng và phân vùng

Khái Niệm hệ thống File và Negative

•/swap: bộ nhớ ảo (virtual memory).

•/bin: lệnh quan trọng, chứa hầu hết các lệnh người dùng

•/boot: file cấu hình boot loader

•/dev: chứa các tập tin thiết bị

•/etc: file cấu hình hệ thống cục bộ theo máy

•/home: chứa dữ liệu tập tin của users

•/lib: file thư viện quan trọng, chứa các tập tin thư viện người dùng

•/man :chứa các tài liệu trực tuyến

•/include :chứa các tập tin include chuẩn của C

•/var/log : các tập tin lưu giữ thông tin làm việc hiện hành của người dùng

Tổ Chức Hệ Thống File trên Linux

Các lệnh trên hệ thống tập tin và danh mục

II.QUẢN LÝ TẬP TIN

Quản lý tập tin và thư mục

Quản lý File Systems

Mkdir: tạo thư mục.

Rmdir: xóa thư mục rỗng.

Touch,cat: tạo file.

Partition, ổ đĩa CD-ROM, floopy, usb… cần được mount, nhờ thế nội dung của nó mới có thể đọc được.

Mount là biến một partition, một thiết bị (CD-ROM, USB…) thành một thư mục trên cây thư mục Thư mục này được

Quản lý File Systems (tt)

Tạo một thư mục /mnt/cdrom Thư mục này dùng làm mount-point cho ổ đĩa CD-ROM

III.User and File system Security

Administration

N i dung ộ

 Những thông tin định nghĩa users

 Công cụ quản lý users.

 Users và cấp quyền users.

 Định nghĩa cấu hình mặc định cho người

dùng.

 Users được đ nh nghĩa trong m t h th ng đ xác đ nh ị ộ ệ ố ể ị

“ai? được quy n dùng cái gì?” trong h th ng đó.ề ệ ố

 V i Linux, m i user có m t đ nh danh duy nh t, g i là ớ ỗ ộ ị ấ ọUID (User ID)

• 0 – 99: user có quy n qu n tr ề ả ị

• > 99: user khác >= 500: không ph i user h th ng.ả ệ ố

• => UID có kh năng s d ng l i???ả ử ụ ạ

 M i user thu c ít nh t m t group M i group cũng có ỗ ộ ấ ộ ỗ

m t đ nh danh duy nh t là GID.ộ ị ấ

 M i users c n có nh ng thông tin: tên user, ỗ ầ ữ

UID, tên group, GID, home directory…

 Windows qu n lý thông tin b ng LDAP, ả ằ

Kerberos Linux qu n lý thông tin b ng file ả ằ

text.

 Có th ch nh s a thông tin c a users b ng công ể ỉ ử ủ ằ

c , ho c s a tr c ti p b ng text file ụ ặ ử ự ế ằ

 Nh ng file đ nh nghĩa thông tin users: ữ ị

• /etc/passwd: ch a thông tin user login, password mã ứhóa, UID, GID, home directory, và login shell M i ỗdòng là thông tin c a m t user.ủ ộ

• /etc/shadow: ch a thông tin password mã hóa, th i ứ ờgian s d ng password, th i gian ph i thay đ i ử ụ ờ ả ổ

password…

• /etc/group: ch a thông tin group.ứ

Ngày sau khi phải thay

đổi password

Ngày user bị warn nếu không thay đối pass Ngày trước khi phải

thay đổi password

• usermod: ch nh s a thông tin user.ỉ ử

• userdel: xóa user.

• groupadd: t o group.ạ

• groupdel: xóa group.

• groupmod: ch nh s a thông tin group.ỉ ử

 Qu n lý b ng giao di n đ h a ả ằ ệ ồ ọ

user | group | others

r w x r w x r w x

Quyền trong linux được phân chia như sau:

Quyền đọc: r (read)

Quyền ghi: w (write)

Quyền thực thi: x (excute)

Biểu diễn quyền truy cập

Tác vụ trên quyền truy cập

Thay Đổi Quyền

 Lệnh chmod : cho phép thay đổi quyền trên tập tin của

người dùng.

 Dùng các ký hiệu tượng trưng

• Cú pháp : chmod{a,u,g,o}{+,-,=}{r,w,x}<file name>

• Ví dụ : $chmod +x jdk-6u24-linux-i586.bin Ví dụ : $chmod

 Dùng thông số tuyệt đối

• Cú pháp : chmod <mode> <file name>

• Ví dụ : $chmod 777 *

Thay Đổi Quyền và Một Số Lệnh Hữu Dụng

 Thay đổi người hoặc nhóm sở hữu tập tin

Head, tail, cut, sort, uniq, tr, tac, wc.

 Thao tác trên hệ thống file:

File, dd, du, df, sync, find, grep.

 Tiện ích khác :

W, date, dmesg, dirname, basename, id, who…

C p quy n users (tt) ấ ề

Dùng cho file thực thi

C p quy n users (tt) ấ ề

 Sticky bit: ch cho phép owner, ho c root đ ỉ ặ ượ c quy n delete file ề

C u hình m c đ nh (tt) ấ ặ ị

 /etc/default/useradd: nh ng giá tr m c đ nh ữ ị ặ ị cho vi c t o account ệ ạ

 /etc/skel: th m c ch a n i dung m c đ nh s ư ụ ứ ộ ặ ị ẽ

t o trong home directory c a users ạ ủ

 /etc/login.defs: nh ng c u hình m c đ nh cho ữ ấ ặ ị shadow password.

l i các cu c t n công t bên ngoài ạ ộ ấ ừ

 M t firewall có th giúp b n phòng th theo ba ộ ể ạ ủ

cách chính.

• Ki m soát incoming traffic.ể

• Ki m soát outgoing traffic.ể

• X lý các traffic đáng ng , có d u hi u nguy hi m.ử ờ ấ ệ ể

C u hình firewall ấ

2 Iptables

 Iptables là m t t ộ ườ ng l a l c gói có tr ng thái ử ọ ạ

 Đ ượ c tích h p s n trong nhân Linux ợ ẵ

 G m 2 ph n ồ ầ

• Netfilter: trong nhân Linux X lí các rule.ở ử

• Iptables: ngoài, giao ti p v i ngở ế ớ ười dùng nh n các ậrule và chuy n cho Netfilter x lý.ể ử

 Các rule đ ượ c chia ra thành t ng nhóm nh g i là ừ ỏ ọ chains

hi n các chính sách v firewall (firewall policy rules).ệ ề

– Forward chain : Cho phép packet ngu n chuy n qua firewall.ồ ể

– Input chain : Cho phép nh ng gói tin đi vào t firewall.ữ ừ

– Output chain : Cho phép nh ng gói tin đi ra t firewall ữ ừ

C u hình firewall ấ

2 Iptables

• NAT : th c thi ch c năng NAT (Network Address ự ứ

Translation), cung c p hai lo i built-in chains sau đây:ấ ạ– Pre-routing chain : NAT t ngoài vào trong Quá trình NAT s ừ ẽ

th c hi n tr ự ệ ướ c khi khi th c thi c ch đ nh tuy n Đi u này ự ơ ế ị ế ề thu n l i cho vi c đ i đ a ch đích đ đ a ch t ậ ợ ệ ổ ị ỉ ể ị ỉ ươ ng thích v i ớ

b ng đ nh tuy n c a firewall, khi c u hình ta có th dùng khóa ả ị ế ủ ấ ể DNAT đ mô t k thu t này ể ả ỹ ậ

– Post-routing chain : NAT t trong ra ngoài Quá trình NAT s ừ ẽ

th c hi n sau khi th c hi n c ch đ nh tuy n Quá trình này ự ệ ự ệ ơ ế ị ế

nh m thay đ i đ a ch ngu n c a gói tin K thu t này đ ằ ổ ị ỉ ồ ủ ỹ ậ ượ c g i ọ

là NAT one-to-one ho c many-to-one, đ ặ ượ c g i là Source NAT ọ hay SNAT.

C u hình firewall ấ

3 Target và Jumps

 Jump: là c ch chuy n m t packet đ n m t ơ ế ể ộ ế ộ

target nào đó đ x lý thêm m t s thao tác khác ể ử ộ ố

 Target: là c ch ho t đ ng trong iptables, dùng ơ ế ạ ộ

đ nh n di n và ki m tra packet Các target đ ể ậ ệ ể ượ c xây d ng s n trong iptables nh : ự ẵ ư

• ACCEPT: iptables ch p nh n chuy n data đ n đích.ấ ậ ể ế

• DROP: iptables khóa các packet.

C u hình firewall ấ

3 Target và Jumps

• LOG: thông tin c a packet s g i vào syslog daemon ủ ẽ ở

iptables ti p t c x lý rule ti p theo trong iptables N u ế ụ ử ế ếrule cu i cùng không match thì s drop packet V i tùy ố ẽ ớ

ch n thông d ng là ọ ụ log-prefix=”string”, t c iptables ứ

s ghi nh n l i nh ng message b t đ u b ng chu i ẽ ậ ạ ữ ắ ầ ằ ỗ

“string”

• REJECT: ngăn ch n packet và g i thông báo cho sender ặ ở

V i tùy ch n thông d ng ớ ọ ụ là reject-with qualifier , t c ứqualifier ch đ nh lo i reject message s đỉ ị ạ ẽ ược g i l i cho ở ạ

ngườ ởi g i Các lo i qualifer sau: ạ icmp-port-unreachable (default), icmp-net-unreachable, icmp-host-

unreachable, icmp-proto-unreachable, …

c a firewall) Tùy ch n là ủ ọ [ to-ports <port>[-<port>]],

ch đ nh dãy port ngu n s ánh x v i dãy port ban đ u.ỉ ị ồ ẽ ạ ớ ầ

 Ki m tra t t c các gói khi đi qua iptables host ể ấ ả

 D a vào các rule đ ự ượ ấ c c u hình trong iptable đ x ể ử

lí các gói này.

 Quá trình x lí so sánh t rule đ u tiên đ n rule ử ừ ầ ế

cu i cùng N u match rule nào thì s x lí gói tin ố ế ẽ ử

đó và không ki m tra các rule khác n a ể ữ

• Xóa h t các lu tế ậ t đ nh nghĩa trongự ị chain: iptables -X

• Thi t l p policyế ậ : iptables -P

– Vd : iptables -P INPUT ACCEPT

• Li t kê các ệ rule có trong chain: iptables -L

• Xóa các lu t có trong chain (flush chain): iptables -F ậ

• reset b đ m packet v 0: iptables -Z ộ ế ề

• Ví d ụ 2: Firewall ch p nh n TCP packet đấ ậ ược đ nh ị

tuy n khi nó điế vào interface eth0 và đi ra interface eth1

đ đ n đích là ể ế 172.28.2.2 v i port ngu n b t đ u 1024-ớ ồ ắ ầ

>65535 và port đích là 8080

# iptables -A INPUT -s 0/0 -i eth0 -o eth1 -d 172.28.2.2 -p tcp –sport 1024:65535 –dport 8080 -j ACCEPT

 Sau khi t i v ta ti n hành cài đ t ả ề ế ặ

[root @localhost Desktop]$ tar -zxf rkhunter-1.3.8.tar.gz [root@localhost Desktop]$ cd rkhunter-1.3.8

[root@localhost rkhunter-1.3.8]# /installer.sh –install

 Ti n hành scan ế

[ root@localhost rkhunter-1.3.8]#rkhunter checkall

createlogfile

Các công c h u ích ụ ữ

1 Rootkit Hunter

 Sau khi scan xong thì nó t đ ng l u vào file ự ộ ư

/var/log/rkhunter.log có th m file này lên xem. ể ở

Các công c h u ích ụ ữ

2 John the Ripper

 Ch c năng: L ứ à m t công c ph n m m b khóa ộ ụ ầ ề ẻ

m t kh u ậ ẩ T ự đ ng phát hi n các ki u m t kh u ộ ệ ể ậ ẩ

và có m t b cracker có kh năng tùy ch nh ộ ộ ả ỉ Có th ể

đ ượ c ch y cho các đ nh d ng m t kh u đã đ ạ ị ạ ậ ẩ ượ c

mã hóa ch ng h n nh các ki u m t kh u mã hóa ẳ ạ ư ể ậ ẩ

v n th y trong m t s b n Unix khác (d a trên ẫ ấ ộ ố ả ự

DES, MDS ho c Blowfish), Kerberos AFS và ặ

Windows NT/2000/XP/2003 LM hash Bên c nh ạ

đó còn có các mođul b sung m r ng kh năng ổ ở ộ ả

g m có c các ki u m t kh u MD4 và các m t ồ ả ể ậ ẩ ậ

kh u đ ẩ ượ ư c l u trong LDAP, MySQL và các thành

ph n khác ầ

Các công c h u ích ụ ữ

2 John the Ripper

 Crack password v i John the ripper ớ

 Ti n hành các b ế ướ c sau.

• [root@localhost src]# cd /run

• [root@localhost run]# /john –test

• [root@localhost run]# umask 077

• [root@localhost run]# /unshadow /etc/passwd

/etc/shadow > mypass

• [root@localhost run]# /john mypass

 Đ ượ c dùng đ thăm dò và ki m tra an ninh m ng ể ể ạ

 Nó có th scan m t ho c nhi u host, s d ng các ể ộ ặ ề ử ụ gói tin IP đ tìm ki m các host, thi t b , port, các ể ế ế ị

d ch v , và các ng d ng đang ch y trên host ị ụ ứ ụ ạ

 Cài đ t: ặ

[globus@localhost ~]$ yum install nmap

• [root@localhost globus]# nmap [scan type(s)] [options]

<host(s) or network list>

• Scan type.

Snort, Tcpdump, Titan…