Tìm hiểu Linux Security trên Ubuntu Server

A. LINUX USER AUTHENTICATION I. TÀI KHOẢN NGƯỜI DÙNG Như đã biết, trong hệ điều hành đa người dùng, cần phân biệt người dùng khác nhau do quyền sở hữu các tài nguyên trong hệ thống, chẳng hạn như, mỗi người dùng có quyền hạn với file, quá trình thực hiện thao tác của riêng họ. Điều này vẫn rất quan trọng thậm chí cả khi máy tính chỉ có một người sử dụng tại một thời điểm. Mọi truy cập hệ thống Linux đều thông qua tài khoản người dùng. Vì thế, mỗi người sử dụng được gắn với tên duy nhất (đã được đăng ký) và tên đó được sử dụng để đăng nhập. Tuy nhiên một người dùng thực sự có thể có nhiều tên đăng nhập khác nhau. Tài khoản người dùng có thể hiểu là tất cả các file, các tài nguyên, và các thông tin thuộc về người dùng đó. Khi cài đặt hệ điều hành Linux, đăng nhập “Root” sẽ được tự động tạo ra. Đăng nhập này được xem là thuộc về tài khoản của siêu người dùng (người dùng cấp cao nhất, người quản trị), vì khi đăng nhập với tư cách người dùng “root”, có thể làm bất cứ điều gì muốn trên hệ thống. Tốt nhất chỉ nên đăng nhập root khi thực sự cần thiết, và hãy đăng nhập vào hệ thống với tư cách là một người dùng bình thường. Nội dung phần này giới thiệu các lệnh để tạo một người dùng mới, thay đổi thuộc tính của một người dùng cũng như xóa bỏ một người dùng. Lưu ý, chỉ có thể thực hiện được các lệnh này nếu có quyền của một siêu người dùng – hay thực hiện bằng tài khoản của siêu người dùng “root”. II. CÁC LỆNH CƠ BẢN QUẢN LÝ NGƯỜI DÙNG Người dùng được quản lý thông qua tên người dùng (thực ra là chỉ số người dùng). Nhân hệ thống quản lý người dùng theo chỉ số, vì việc quản lý theo chỉ số sẽ dễ dàng và nhanh thông qua một cơ sở dữ liệu lưu trữ các thông tin về người dùng. Việc thêm một người dùng mới chỉ có thể thực hiện được nếu đăng nhập với tư cách là siêu người dùng. Để tạo một người dùng mới, cần phải thêm thông tin về người dùng đó vào trong cơ sở dữ liệu người dùng, và tạo một thư mục cá nhân cho riêng người dùng đó. Điều này rất cần thiết để thiết lập các biến môi trường phù hợp cho người dùng. Lệnh chính để thêm người dùng trong hệ thống Linux là useradd (hoặc adduser). 1. File/etc/passowd ........................ ........................ ........................

MỤC LỤC

A LINUX USER AUTHENTICATION

I TÀI KHOẢN NGƯỜI DÙNG

II CÁC LỆNH CƠ BẢN QUẢN LÝ NGƯỜI DÙNG

1 File/etc/passowd

2 Thêm người dùng với lệnh useradd

3 Thay đổi thuộc tính người dùng

4 Xóa bỏ một người dùng (lệnh userdel)

III CÁC LỆNH CƠ BẢN LIÊN QUAN ĐẾN NHÓM NGƯỜI DÙNG

1 Nhóm người dùng và file /etc/group

2 Thêm nhóm người dùng

3 Sửa đổi các thuộc tính của một nhóm người dùng (lệnh groupmod)

4 Xóa một nhóm người dùng (lệnh groupdel)

IV CÁC LỆNH CƠ BẢN LIÊN QUAN ĐẾN NGƯỜI DÙNG

1 Đăng nhập với tư cách một người dùng khác khi dùng lệnh su

2 Xác định người dùng đang đăng nhập (lệnh who)

3 Xác định các quá trình đang được tiến hành (lệnh w)

B DATA ENCRYTION

I DISK ENCRYTION

1 Tại sao sử dụng mã hóa

2 Mã hóa đĩa so với mã hóa hệ thống tập tin cấp

3 Mã hóa ổ đĩa và Trusted Platform Module

4 Triển khai thực hiện

5 Các mối quan ngại

II FILESYSTEM – LEVELENCRYPTION

1 Hệ thống tập tin có mục đích chung với mã hóa

5 SATAN, ISS, và Other Network Scanners

6 Các cuộc tấn công từ chối dịch vụ

7 NFS (Network File System) Security

8. NIS (Network Information Service) (trước đây là YP)

9 Firewalls (Tường lửa)

D PACKET FILTERING

I PACKET FILTERING (BỘ LỌC GÓI)

II IPTABLES

1 Định nghĩa

2 Netfilter/iptables

3 Iptables có thể được sử dụng để cấu hình ba loại bảng cho các gói tường lửa

4 Kỹ thuật sử dụng trong bộ lọc gói

5 Một gói khi đi qua bộ lọc sẽ gặp các trường hợp sau

II BỐI CẢNH SECURITY – ENHANCED LINUX

1 Sự chuyển tiếp miền

2 Bối cảnh SELinux cho quá trình

3 Bối cảnh SELinux cho người dùng

III CHÍNH SÁCH MỤC TIÊU

1 Quy trình giới hạn

2 Quy trình không giới hạn

3 Hạn chế và không giới hạn người dùng

IV LÀM VIỆC VỚI SELINUX

7 Bối cảnh SELinux – Ghi tệp tin

8 Các loại file_t và default_t

A LINUX USER AUTHENTICATION

I TÀI KHOẢN NGƯỜI DÙNG

Như đã biết, trong hệ điều hành đa người dùng, cần phân biệt người dùng khác nhau do quyền sở hữu các tài nguyên trong hệ thống, chẳng hạn như, mỗi người dùng có quyền hạn với file, quá trình thực hiện thao tác của riêng họ Điều này vẫn rất quan trọng thậm chí cả khi máy tính chỉ có một người sử dụng tại một thời điểm Mọi truy cập hệ thống Linux đều thông qua tài khoản người dùng

Vì thế, mỗi người sử dụng được gắn với tên duy nhất (đã được đăng ký) và tên đó được sử dụng để đăng nhập Tuy nhiên một người dùng thực sự có thể có nhiều tên đăng nhập khác nhau Tài khoản người dùng có thể hiểu là tất cả các file, các tài nguyên, và các thông tin thuộc về người dùng đó

Khi cài đặt hệ điều hành Linux, đăng nhập “Root” sẽ được tự động tạo ra Đăng nhập này được

xem là thuộc về tài khoản của siêu người dùng (người dùng cấp cao nhất, người quản trị), vì khi đăng

nhập với tư cách người dùng “root”, có thể làm bất cứ điều gì muốn trên hệ thống Tốt nhất chỉ nên đăng nhập root khi thực sự cần thiết, và hãy đăng nhập vào hệ thống với tư cách là một người dùng

bình thường

Nội dung phần này giới thiệu các lệnh để tạo một người dùng mới, thay đổi thuộc tính của một người dùng cũng như xóa bỏ một người dùng Lưu ý, chỉ có thể thực hiện được các lệnh này nếu có

quyền của một siêu người dùng – hay thực hiện bằng tài khoản của siêu người dùng “root”.

II CÁC LỆNH CƠ BẢN QUẢN LÝ NGƯỜI DÙNG

Người dùng được quản lý thông qua tên người dùng (thực ra là chỉ số người dùng)

Nhân hệ thống quản lý người dùng theo chỉ số, vì việc quản lý theo chỉ số sẽ dễ dàng và nhanh thông qua một cơ sở dữ liệu lưu trữ các thông tin về người dùng Việc thêm một người dùng mới chỉ

có thể thực hiện được nếu đăng nhập với tư cách là siêu người dùng

Để tạo một người dùng mới, cần phải thêm thông tin về người dùng đó vào trong cơ sở dữ liệu người dùng, và tạo một thư mục cá nhân cho riêng người dùng đó Điều này rất cần thiết để thiết lập các biến môi trường phù hợp cho người dùng

Lệnh chính để thêm người dùng trong hệ thống Linux là useradd (hoặc adduser).

1. File/etc/passowd

Danh sách người dùng cũng như các thông tin tương ứng được lưu trữ trong file/etc/passwd.

Ví dụ dưới đây là nội dung của file /etc/passwd:

Mỗi dòng trong file tương ứng với bảy trường thông tin của một người dùng, và các trường này

được ngăn cách nhau bởi dấu “:” Ý nghĩa của các trường thông tin đó lần lượt như sau:

 Tên người dùng (user name)

 Mật khẩu người dùng (passwd – được mã hóa)

 Chỉ số người dùng (user id)

 Tên đầy đủ hoặc thông tin khác về tài khoản người dùng (comment)

 Thư mục để người dùng đăng nhập

 Shell đăng nhập (chương trình chạy lúc đăng nhập

Bất kỳ người dùng nào trên hệ thống đều có thể đọc được nội dung file /etc/passwd, và có thể

đăng nhập với tư cách người dùng khác nếu họ biết được mật khẩu, đây chính là lý do vì sao mật khẩu đăng nhập của người dùng không hiển thị trong nội dung file

2. Thêm người dùng với lệnh useradd

Siêu người dùng (Root) sử dụng lệnh useradd để tạo một người dùng mới hoặc cập nhật ngầm

định các thông tin về người dùng

Cú pháp lệnh:

useradd [tùy-chọn] <tên-người-dùng>

useradd –D [tùy-chọn]

Nếu không có tùy chọn –D, lệnh useradd sẽ tạo một tài khoản người dùng mới sử dụng các giá

trị được chỉ ra trên dòng lệnh và các giá trị mặc định của hệ thống Tài khoản người dùng mới sẽ được

nhập vào trong các file hệ thống, thư mục cá nhân sẽ được tạo, hay các file khởi tạo được sao chép, điều này tùy thuộc vào các tùy chọn được đưa ra.

Các tùy chọn như sau:

• -c, comment: soạn thảo trường thông tin về người dùng.

• -d, home_dir: tạo thư mục đăng nhập cho người dùng.

• -e, expire_date: thiết đặt thời gian (YYYY-MM-DD) tài khoản người dùng sẽ bị hủy bỏ.

• -f, inactive_days: tùy chọn này xác định số ngày trước khi mật khẩu của người dùng hết hiệu

lực khi tài khoản bị hủy bỏ Nếu =0 thì hủy bỏ tài khoản người dùng ngay sau khi mật khẩu hết hiệu lực, =-1 thì ngược lại (mặc định là -1)

• -g, initial_group: tùy chọn này xác định tên hoặc số khởi tạo đăng nhập nhóm người dùng Tên

nhóm phải tồn tại, và số của nhóm phải tham chiếu đến một nhóm đã tồn tại Số nhóm ngầm định là 1

• -G, group: danh sách các nhóm phụ mà người dùng cũng là thành viên thuộc các nhóm đó Mỗi

nhóm sẽ được ngăn cách với nhóm khác bởi dấu “,”, mặc định người dùng sẽ thuộc vào nhóm khởi

tạo

• -m: với tùy chọn này, thư mục cá nhân của người dùng sẽ được tạo nếu nó chưa tồn tại.

• -M: không tạo thư mục người dùng.

• -n: ngầm định khi thêm người dùng, một nhóm cùng tên với người dùng sẽ được tạo Tùy chọn

này sẽ loại bỏ sự ngầm định trên

• -p, passwd: tạo mật khẩu đăng nhập cho người dùng.

• -s, shell: thiết lập shell đăng nhập cho người dùng.

• -u, uid: thiết đặt chỉ số người dùng, giá trị này phải là duy nhất.

o Thay đổi các giá trị ngầm định

Khi các tùy chọn –D được sử dụng, lệnh useradd sẽ bỏ qua các giá trị ngầm định và cập nhật các

giá trị mới

 -b, de default_home: thêm tên người dùng vào cuối thư mục cá nhân để tạo tên thư mục cá

nhân mới

 -e, default_expire_date: thay đổi thời hạn hết giá trị của tài khoản người dùng.

 -f, default_inactive: xác định thời điểm hết hiệu lực của mật khẩu đăng nhập khi tài khoản

người dùng bị xóa bỏ

 -g, default_group: thay đổi chỉ số nhóm người dùng.

 -s, default_shell: thay đổi shell đăng nhập.

Ngoài lệnh useradd, có thể tạo người dùng bằng cách sau:

Soạn thảo file /etc/passwd bằng vipw Lệnh vipw mở trình soạn thảo trên hệ thống và hiệu chỉnh bản sao tạm của file /etc/passwd Việc sử dụng file tạm và khóa file sẽ có tác dụng như một cơ chế

khóa để ngăn việc hai người dùng cùng soạn thảo file một lúc

Lúc đó sẽ thêm dòng thông tin mới về người dùng cần tạo Hãy cẩn thận trong việc soạn thảo

tránh nhầm lẫn Riêng trường mật khẩu nên để trống và tạo mật khẩu sau Khi file này được lưu, vipw

sẽ kiểm tra sự đồng nhất trên file bị thay đổi Nếu tất cả mọi thứ dường như thích hợp thì có nghĩa là

file /etc/passwd đã được cập nhật.

Ví dụ: Thêm người dùng có tên là new, chỉ số người dùng 503, chỉ số nhóm là 100, thư mục cá

nhân là /home/new và shell đăng nhập là shell bash:

# vipw

mail:x:8:12:mail:/var/spool/mail:

games:x:12:100:games:/usr/games:

gopher:x:13:30:gopher:/usr/lib/gopher-data:

bien:x:500:0:Nguyen Thanh Bien:/home/bien:/bin/bash

sang:x:17:100:Nguyen Minh Sang:/home/sangnm:/bin/bash

lan:x:501:0:Lan GNU:/home/lan:/bin/bash

new::503:100:them mot nguoi moi:/home/new:/bin/bash

Tạo thư mục cá nhân của người dùng mới với lệnh mkdir

#mkdir /home/new

• Sao chép các file từ thư mục /etc/skel/ (đây là thư mục lưu trữ các file cần thiết cho người dùng)

vào file cá nhân vừa tạo

• Thay đổi quyền sở hữu và các quyền truy nhập file /home/new với các lệnh chown và chmod.

# chown new /home/new

# chmod go=u,go-w /home/new

Thiết lập mật khẩu của người dùng với lệnh passwd

# passwd new

passwd:

Sau khi thiết lập mật khẩu cho người dùng ở bước cuối cùng, tài khoản người dùng sẽ làm việc Nên thiết lập mật khẩu người dùng ở bước cuối cùng, nếu không họ có thể vô tình đăng nhập trong khi đang sao chép các file

3. Thay đổi thuộc tính người dùng

Trong linux có rất nhiều lệnh cho phép thay đổi các thuộc tính của tài khoản người dùng như:

• chfn: thay đổi thông tin cá nhân của người dùng.

• chsh: thay đổi shell đăng nhập.

• passwd: thay đổi mật khẩu.

Một số các thuộc tính khác sẽ phải thay đổi bằng tay Ví dụ, để thay đổi tên người dùng, cần soạn

thảo lại trực tiếp trê file /etc/passwd (với lệnh vipw).

Nhưng có một lệnh tổng quát cho phép có thể thay đổi bất kỳ thông tin nào về tài khoản người

dùng, đó là lệnh usermod.

Cú pháp lệnh:

usermod [tùy-chọn] <tên-đăng-nhập>

Lệnh usermod sửa đổi các file tài khoản hệ thống theo các thuộc tính được xác định trên dòng

lệnh

Các tùy chọn của lệnh:

• -c, comment: thay đổi thông tin cá nhân của tài khoản người dùng.

• -d, home_dir: thay đổi thư mục cá nhân của tài khoản người dùng.

• -e, expire_date: thay đổi thời điểm hết hạn của tài khoản người dùng (YYYY-MM-DD)

• g, initial_group: tùy chọn này thay đổi tên hoặc số khởi tạo đăng nhập nhóm người dùng

Tên nhóm phải tồn tại, và số của nhóm phải tham chiếu đến một nhóm đã tồn tại Số nhóm ngầm định là 1

• -G, group: thay đổi danh sách các nhóm phụ mà người dùng cũng là thành viên thuộc các

nhóm đó Mỗi nhóm sẽ được ngăn cách với nhóm khác bởi dấu ',' mặc định người dùng sẽ

thuộc vào nhóm khởi tạo

• -l, login_name: thay đổi tên đăng nhập của người dùng Trong một số trường hợp, tên thư mục

riêng của người dùng có thể sẽ thay đổi để tham chiếu đến tên đăng nhập mới

• -p, passwd: thay đổi mật khẩu đăng nhập của tài khoản người dùng

• -s, shell: thay đổi shell đăng nhập

• -u, uid: thay đổi chỉ số người dùng

Lệnh usermod không cho phép thay đổi tên của người dùng đang đăng nhập Phải đảm bảo rằng người dùng đó không thực hiện bất kỳ quá trình nào trong khi lệnh usermod đang thực hiện thay đổi

các thuộc tính của người dùng đó

Ví dụ muốn thay đổi tên người dùng new thành tên mới là newuser, hãy gõ lệnh sau:

# usermod -l new newuser

4. Xóa bỏ một người dùng (lệnh userdel)

Để xóa bỏ một người dùng, trước hết phải xóa bỏ mọi thứ có liên quan đến người dùng đó

Lệnh hay được dùng để xóa bỏ một tài khoản người dùng là lệnh userdel với cú pháp:

userdel [-r] <tên-người-dùng>

Lệnh này sẽ thay đổi nội dung của các file tài khoản hệ thống bằng cách xóa bỏ các thông tin về người dùng được đưa ra trên dòng lệnh Người dùng này phải thực sự tồn tại

Tuỳ chọn -r có ý nghĩa:

-r: các file tồn tại trong thư mục riêng của người dùng cũng như các file nằm trong các thư mục

khác có liên quan đến người dùng bị xóa bỏ cùng lúc với thư mục người dùng

Lệnh userdel sẽ không cho phép xóa bỏ người dùng khi họ đang đăng nhập vào hệ thống Phải

hủy bỏ mọi quá trình có liên quan đến người dùng trước khi xoá bỏ người dùng đó

Ngoài ra cũng có thể xóa bỏ tài khoản của một người dùng bằng cách hiệu chỉnh lại file

Một người dùng cùng lúc có thể là thành viên của nhiều nhóm khác nhau, tuy nhiên tại một thời điểm, người dùng chỉ thuộc vào một nhóm cụ thể

Nhóm có thể thiết lập các quyền truy nhập để các thành viên của nhóm đó có thể truy cập thiết bị, file, hệ thống file hoặc toàn bộ máy tính mà những người dùng khác không thuộc nhóm đó không thể truy cập được

1. Nhóm người dùng và file/etc/group

Thông tin về nhóm người dùng được lưu trong file /etc/group, file này có cách bố trí tương tự như file /etc/passwd Ví dụ nội dung của file /etc/group có thể như sau:

Mỗi dòng file có bốn trường được phân cách bởi dấu ‘:’ Ý nghĩa của các trường hợp theo thứ tự

xuất hiện như sau:

 Tên nhóm người dùng (groupname).

 Mật khẩu nhóm người dùng (passwd - được mã hóa), nếu trường này rỗng, tức là nhóm người

dùng không yêu cầu mật khẩu

 Chỉ số nhóm người dùng (group id).

 Danh sách các người dùng thuộc nhóm đó (users).

 -g, gid: tùy chọn này xác định chỉ số nhóm người dùng, chỉ số này phải là duy nhất Chỉ số mới

phải có giá trị lớn hơn 500 và lớn hơn các chỉ số nhóm đã có trên hệ thống Giá trị từ 0 đến 499 chỉ dùng cho các nhóm hệ thống

 -r: tùy chọn này được dùng khi muốn thêm một tài khoản hệ thống.

 -f: tùy chọn này sẽ bỏ qua việc nhắc nhở, nếu nhóm người dùng đó đã tồn tại, nó sẽ bị ghi đè.

Ví dụ:

 Thêm nhóm người dùng bằng các soạn thảo file /etc/group

installer:x:102:hieu, huy, sang

tiengviet:x:103:minh, long, dung

Hai dòng trên sẽ bổ sung hai nhóm người dùng mới cùng danh sách các thành viên trong nhóm:

nhóm installer với chỉ số nhóm là 102 và các thành viên là các người dùng có tên hieu, huy, sang Tương tự là nhóm tiengviet với chỉ số nhóm là 103 và danh sách các thành viên là minh, long, dung Đây là hai nhóm (102, 103) người dùng hệ thống.

 Thêm nhóm người dùng mới với lệnh groupadd

# groupadd -r installer

Lệnh trên sẽ cho phép tạo một nhóm người dùng mới có tên là installer, tuy nhiên các thành viên trong nhóm sẽ phải bổ sung bằng cách soạn thảo file /etc/group.

3. Sửa đổi các thuộc tính của một nhóm người dùng (lệnh groupmod)

Trong một số trường hợp cần phải thay đổi một số thông tin về nhóm người dùng bằng lệnh

groupmod với cú pháp như sau:

groupmod [tùy-chọn] <tên-nhóm>

Thông tin về các nhóm xác định qua tham số tên-nhóm được điều chỉnh.

Các tùy chọn của lệnh:

 -g, gid: thay đổi giá trị chỉ số của nhóm người dùng

 -n, group_name: thay đổi tên nhóm người dùng.

4. Xóa một nhóm người dùng (lệnh groupdel)

Nếu không muốn một nhóm nào đó tồn tại nữa thì chỉ việc xóa tên nhóm đó trong file

/etc/group Nhưng phải lưu ý rằng, chỉ xóa được một nhóm khi không có người dùng nào thuộc nhóm

IV CÁC LỆNH CƠ BẢN LIÊN QUAN ĐẾN NGƯỜI DÙNG

Ngoài các lệnh như thêm người dùng, xóa người dùng , còn có một số lệnh khác có thể giúp ích rất nhiều nếu đang làm việc trên một hệ thống đa người dùng

1. Đăng nhập với tư cách một người dùng khác khi dùng lệnh su

Đôi lúc muốn thực hiện lệnh như một người dùng khác và sử dụng các file hay thiết bị thuộc

quyền sở hữu của người dùng đó Lệnh su cho phép thay đổi tên người dùng một cách hiệu quả và cấp

cho các quyền truy nhập của người dùng đó

Khi đó hệ thống sẽ yêu cầu nhập mật khẩu của siêu người dùng Nếu cung cấp đúng mật mã, thì

sẽ là người dùng root cho tới khi dùng lệnh exit hoặc CTRL+d để đăng xuất ra khỏi tài khoản này và trở về đăng nhập ban đầu Tương tự, nếu đăng nhập với tư cách root và muốn trở thành người dùng bình thường có tên là newer thì hãy gõ lệnh sau:

# su newer

Sẽ không bị hỏi về mật khẩu khi thay đổi từ siêu người dùng sang một người dùng khác Tuy nhiên nếu đăng nhập với tư cách người dùng bình thường và muốn chuyển đổi sang một đăng nhập người dùng khác thì phải cung cấp mật khẩu của người dùng đó.

2. Xác định người dùng đang đăng nhập (lệnh who)

• Lệnh who là một lệnh đơn giản, cho biết được hiện tại có những ai đang đăng nhập trên hệ

thống với cú pháp như sau:

who [tùy – chọn]

Các tùy chọn là:

 -H, heading: hiển thị tiêu đề của các cột trong nội dung lệnh

 -m: hiển thị tên máy và tên người dùng với thiết bị vào chuẩn

 -q, count: hiển thị tên các người dùng đăng nhập và số người dùng đăng nhập.

Ví dụ:

# who root tty1 Nov 15 03:54 lan pts/0 Nov 15 06:07

#

Lệnh who hiển thị ba cột thông tin cho từng người dùng trên hệ thống Cột đầu là tên của người

dùng, cột thứ hai là tên thiết bị đầu cuối mà người dùng đó đang sử dụng, cột thứ ba hiển thị ngày giờ người dùng đăng nhập

Ngoài who, có thể sử dụng thêm lệnh users để xác định được những người đăng nhập trên hệ

thống

Ví dụ:

# users lan root

#

• Trong trường hợp người dùng không nhớ nổi tên đăng nhập trong một phiên làm việc (điều này

nghe có vẻ như hơi vô lý nhưng là tình huống đôi lúc gặp phải), hãy sử dụng lệnh whoami và who

#

# who am i may9!lan pts/0 Nov 15 06:07

#

Lệnh who am i sẽ hiện kết quả đầy đủ hơn với tên máy đăng nhập, tên người dùng đang đăng

nhập, tên thiết bị và ngày giờ đăng nhập

Có một cách khác để xác định thông tin người dùng với lệnh id

• -g, group: chỉ hiển thị chỉ số nhóm người dùng

• -u, user: chỉ hiển thị chỉ số của người dùng

• help: hiển thị trang trợ giúp và thoát.

Ví dụ:

# id uid=506(lan) gid=503(lan) groups=503(lan)

#

# id –g 503

#

# id -u 506

#

# id root uid=0(root)gid=0(root)groups=0(root),1(bin),2(daemon), 3(sys),4(adm),6(disk),10(wheel)

#

3. Xác định các quá trình đang được tiến hành (lệnh w)

Lệnh w cho phép xác định được thông tin về các quá trình đang được thực hiện trên hệ thống và

những người dùng tiến hành quá trình đó

Cú pháp lệnh:

w [người – dùng]

Lệnh w đưa ra thông tin về người dùng hiện thời trên hệ thống và quá trình họ đang thực hiện

Nếu chỉ ra người dùng trong lệnh thì chỉ hiện ra các quá trình liên quan đến người dùng đó

Ví dụ:

# w root tty2 - 2:14pm 13:03 9.30s 9.10s /usr/bin/mc –P lan pts/1 192.168.2.213 3:20pm 0.00s 0.69s 0.10s w root pts/2:0 3:33pm 9:32 0.41s 0.29s /usr/bin/mc –P

B DATA ENCRYTION

I DISK ENCRYTION

1 Tại sao sử dụng mã hóa

Mã hóa đĩa là một công nghệ để bảo vệ thông tin bằng cách chuyển đổi nó thành mã không đọc được mà không thể được giải mã dễ dàng bởi những người trái phép mã hóa đĩa sử dụng phần mềm

mã hóa ổ đĩa hay phần cứng để mã hóa tất cả các bit dữ liệu mà đi vào một đĩa hoặc đĩa khối

lượng Mã hóa đĩa ngăn chặn truy cập trái phép vào dữ liệu lưu trữ

Biểu thức mã hóa toàn bộ đĩa (FDE) hay mã hóa toàn bộ đĩa thường biểu thị rằng tất cả mọi thứ

trên đĩa được mã hóa - bao gồm cả các chương trình có thể mã hóa khả năng khởi động hệ điều

hành phân vùng - khi một phần của đĩa nhất thiết không được mã hóa FileVault 2 mã hóa OS X khối lượng khởi động trong toàn bộ; thông tin người dùng được ủy quyền FDE 'được tải từ một khối lượng riêng không khởi động được mã hóa (phân vùng/slide loại Apple_Boot) Trên các hệ thống sử dụng một Master Boot Record (MBR), một phần của đĩa vẫn không được mã hóa Một số mã hóa đĩa đầy

đủ dựa trên phần cứng hệ thống thực sự có thể mã hóa toàn bộ đĩa khởi động, bao gồm MBR.

2 Mã hóa đĩa so với mã hóa hệ thống tập tin cấp

Mã hóa đĩa không thay thế mã hóa tập tin trong mọi tình huống Mã hóa đĩa đôi khi được sử dụng cùng với hệ thống tập tin mã hóa cấp với mục đích cung cấp một thực hiện an toàn hơn Kể từ khi mã hóa đĩa thường sử dụng cùng một chìa khóa để mã hóa toàn bộ khối lượng, tất cả các dữ liệu được

decryptable khi hệ thống chạy Tuy nhiên, một số giải pháp mã hóa đĩa sử dụng nhiều phím để mã

hóa các phân vùng khác nhau Nếu tăng tấn công truy cập vào máy tính ở thời gian chạy, kẻ tấn công

có quyền truy cập vào tất cả các file Truyền thống tập tin và thư mục mã hóa thay vì cho phép các phím khác nhau cho các phần khác nhau của đĩa Vì vậy, một kẻ tấn công không thể lấy thông tin từ các tập tin và thư mục vẫn được mã hóa

Không giống như mã hóa đĩa, mã hóa hệ thống tập tin cấp không thường mã hóa hệ thống tập tin siêu dữ liệu, chẳng hạn như cấu trúc thư mục, tên file, nhãn thời gian sửa đổi hoặc kích thước

3 Mã hóa ổ đĩa và Trusted Platform Module

Trusted Platform Module (TPM) là một cryptoprocessor an toàn gắn vào bo mạch chủ có thể

được sử dụng để xác thực một thiết bị phần cứng Vì mỗi chip TPM là duy nhất cho một thiết bị đặc

biệt, nó có khả năng thực hiện các nền tảng xác thực Nó có thể được sử dụng để xác minh rằng các hệ thống tìm kiếm truy cập là hệ thống dự kiến

Một số hạn chế của các giải pháp mã hóa đĩa có hỗ trợ cho TPM Những triển khai thực hiện có thể đưa chìa khóa giải mã bằng cách sử dụng TPM, do đó buộc các ổ đĩa cứng (HDD) với một thiết bị

cụ thể Nếu ổ cứng được lấy ra từ thiết bị cụ thể và được đặt trong một, quá trình giải mã sẽ thất

bại Recovery là có thể với sự giải mã mật khẩu hoặc thẻ.

Mặc dù điều này có lợi thế mà đĩa không thể được gỡ bỏ khỏi điện thoại, nó có thể tạo ra

một điểm duy nhất của sự thất bại trong việc mã hóa Ví dụ, nếu một cái gì đó xảy ra với TPM

hoặc bo mạch chủ, người dùng sẽ không thể truy cập dữ liệu bằng cách kết nối ổ cứng vào máy tính khác, trừ khi người dùng có một khóa khôi phục riêng biệt

4 Triển khai thực hiện

Có rất nhiều công cụ có sẵn trên thị trường mà cho phép mã hóa đĩa Tuy nhiên, chúng khác nhau rất nhiều trong tính năng và bảo mật Họ được chia thành ba loại chính: dựa trên phần mềm, dựa trên

phần cứng bên trong thiết bị lưu trữ, và dựa trên phần cứng ở nơi khác (chẳng hạn như CPU hoặc bộ

chuyển đổi chủ xe bus) mã hóa đĩa đầy đủ phần cứng dựa trên trong các thiết bị lưu trữ được gọi là tự

mã hóa ổ đĩa và không có ảnh hưởng đến hiệu suất nào Hơn nữa, chính phương tiện truyền thông mã hóa không bao giờ rời khỏi thiết bị chính nó và do đó không có sẵn cho bất kỳ virus trong hệ điều hành

Các Trusted Computing Group ổ Opal cung cấp ngành công nghiệp tiêu chuẩn được chấp nhận

cho các ổ đĩa tự mã hóa Phần cứng bên ngoài là nhanh hơn đáng kể so với các giải pháp dựa trên

phần mềm mặc dù phiên bản CPU vẫn có thể có tác động hiệu quả, và các phím encyption phương

tiện truyền thông không được bảo vệ là tốt

Tất cả các giải pháp cho các ổ đĩa khởi động đòi hỏi phải có Pre-Boot xác thực thành phần trong

đó có sẵn cho tất cả các loại của các giải pháp từ một số nhà cung cấp Điều quan trọng trong tất cả

các trường hợp các thông tin xác thực thường là một điểm yếu tiềm năng lớn kể từ khi là mật mã đối xứng thường là mạnh mẽ.

5 Các mối quan ngại

Hầu hết các chương trình mã hóa đĩa đầy đủ là dễ bị tổn thương đến một cuộc tấn công khởi

động lạnh, trong đó mã hóa các phím có thể bị đánh cắp bởi cold- khởi động một máy tính đang chạy

một hệ điều hành, sau đó bán phá giá các nội dung của bộ nhớ trước khi dữ liệu biến mất Các cuộc

tấn công dựa trên dữ liệu remanence tài sản của bộ nhớ máy tính, trong đó dữ liệu bit có thể mất đến vài phút để làm suy giảm sau khi quyền lực đã được gỡ bỏ Ngay cả một Trusted Platform

Module (TPM) là không có hiệu quả chống lại các cuộc tấn công, như điều hành hệ thống cần nắm

giữ chìa khóa giải mã trong bộ nhớ để truy cập đĩa Tất cả hệ thống mã hóa dựa trên phần mềm dễ bị

tổn thương khác nhau tấn công kênh bên như âm thanh giải mã và phần cứng keylogger Ngược lại,

các ổ đĩa tự mã hóa không phải là dễ bị tổn thương đến các cuộc tấn công từ các khóa mã hóa phần cứng không bao giờ rời bộ điều khiển đĩa

Vấn đề quan trọng khởi động

Một vấn đề cần giải quyết trong mã hóa đĩa đầy đủ là các khối nơi hệ điều hành được lưu trữ phải được giải mã trước khi hệ điều hành có thể khởi động, có nghĩa là phím đã có sẵn trước khi có một

giao diện người dùng yêu cầu một mật khẩu Hầu hết các giải pháp mã hóa đĩa đầy đủ sử dụng

Pre-Boot xác thực bằng cách tải nhỏ hệ điều hành an toàn cao, trong đó nghiêm khóa và băm so với các

biến hệ thống để kiểm tra tính toàn vẹn của các hạt nhân trước khi khởi động Một số triển khai

như BitLocker Drive Encryption có thể sử dụng phần cứng như một Trusted Platform Module để

đảm bảo tính toàn vẹn của môi trường khởi động, và do đó làm thất bại cuộc tấn công nhắm mục tiêu

bộ nạp khởi động bằng cách thay thế nó bằng một phiên bản sửa đổi Điều này đảm bảo rằng xác

thực có thể xảy ra trong một môi trường kiểm soát mà không có khả năng của một bootkit được sử

dụng để phá vỡ các giải mã trước khi khởi động

Với Pre-Boot xác thực môi trường, phím được sử dụng để mã hóa dữ liệu không được giải mã

cho đến khi một chính bên ngoài là nhập vào hệ thống

II FILESYSTEM – LEVELENCRYPTION

Mã hóa hệ thống tập tin cấp, thường được gọi là mã hóa tập tin / thư mục, là một hình thức mã hóa đĩa nơi các tập tin hoặc thư mục cá nhân được mã hóa bởi các hệ thống tập tin riêng của

mình Điều này trái ngược với mã hóa đĩa đầy đủ nơi mà toàn bộ phân vùng hoặc ổ đĩa, trong đó hệ thống tập tin cư trú, được mã hóa

Các loại hệ thống tập tin mã hóa cấp bao gồm:

việc sử dụng một "xếp lớp" hệ thống tập tin mã hóa lớp trên đầu trang của hệ thống tập tin chính

một đơn có mục đích chung hệ thống tập tin với mã hóa

Những lợi thế của hệ thống tập tin mã hóa cấp bao gồm:

_Tập tin dựa trên linh hoạt quản lý chủ chốt, do đó mỗi tập tin có thể được và thường được mã hóa với một mật mã riêng biệt quan trọng

_Quản lý cá nhân của các tập tin được mã hóa, ví dụ như sao lưu gia tăng của cá nhân thay đổi tập tin ngay cả ở dạng mã hóa, chứ không phải là bản sao lưu của toàn bộ khối lượng mã hóa

kiểm soát truy cập có thể được thực thi thông qua việc sử dụng mật mã khóa công khai, và

thực tế là khóa mật mã chỉ được tổ chức trong bộ nhớ trong khi các tập tin được giải mã bởi chúng được duy trì

1 Hệ thống tập tin có mục đích chung với mã hóa

Không giống như hệ thống mã hóa tập tin hoặc mã hóa đĩa đầy đủ, hệ thống tập tin có mục đích chung bao gồm hệ thống tập tin mã hóa cấp thường không mã hóa hệ thống tập tin siêu dữ liệu, chẳng hạn như cấu trúc thư mục, tên file, kích cỡ hoặc nhãn thời gian sửa đổi Điều này có thể có vấn đề nếu các siêu dữ liệu chính nó cần phải được giữ bí mật Nói cách khác, nếu các tập tin được lưu trữ với việc xác định tên tập tin, bất cứ ai có quyền truy cập vào ổ đĩa vật lý có thể biết được các tài liệu được lưu trữ trên đĩa, mặc dù không phải là nội dung của tài liệu

Một ngoại lệ cho điều này là sự hỗ trợ mã hóa được bổ sung vào ZFS hệ thống tập tin Hệ thống tập tin siêu dữ liệu như tên tập tin, quyền sở hữu, ACL, thuộc tính mở rộng tất cả đều được lưu trữ

được mã hóa trên đĩa Các siêu dữ liệu ZFS liên quan đến hệ thống lưu trữ được lưu trữ trong bản rõ,

vì vậy nó có thể xác định có bao nhiêu hệ thống tập tin (bộ dữ liệu) có sẵn trong hồ bơi, bao gồm cả những người thân mà được mã hóa Nội dung của các tập tin được lưu trữ và thư mục được mã hóa

2 Hệ thống tập tin mã hóa

Hệ thống tập tin mã hóa đặc biệt (không có mục đích chung) hệ thống tập tin được thiết kế đặc biệt với mã hóa và bảo mật Họ thường mã hóa tất cả các dữ liệu mà họ có – bao gồm cả siêu dữ liệu Thay vì thực hiện một định dạng trên đĩa của mình và phân bổ khối, các hệ thống tập tin thường được lớp trên đầu trang của các hệ thống tập tin hiện có như cư trú trong một thư mục trên một hệ thống tập tin host Nhiều hệ thống tập tin cũng cung cấp các tính năng tiên tiến, chẳng hạn như mã hóa có thể từ chối, chỉ đọc mã hóa an toàn cho phép hệ thống tập tin và các quan điểm khác nhau về cấu trúc thư mục tùy thuộc vào chính hoặc người sử dụng.

Một sử dụng cho một hệ thống tập tin mã hóa là khi một phần của một hệ thống tập tin hiện có được đồng bộ hóa với ' lưu trữ đám mây. Trong trường hợp này hệ thống tập tin mã hóa có thể được 'chồng' trên đầu trang, để giúp bảo vệ dữ liệu bí mật

III dm-crypt

Với người sử dụng máy tính ai cũng có phần dữ liệu cần được bảo mật ngay cả trường hợp đánh

mất máy tính Trên các hệ điều hành Windows hay Mac OS đều cung cấp những công cụ mã hoá của riêng họ và Linux cũng vậy, nó cũng có khá nhiều công cụ để thực hiện việc này và một công cụ đang được phát triển và được sử dụng khá rộng rãi là dm-encrypt.

Với Ubuntu nó đã tích hợp sẵn dm-crypt có hỗ trợ LUKS Nó là một tiêu chuẩn thực hiện việc

mã hoá dữ liệu, thông tin mã hoá dữ liệu được lưu ở partition header cho phép tương thích với nhiều

Sau đây là một ví dụ tạo một encrypted device dùng để chứa những dữ liệu cần được bảo mật.

Khởi tạo file hệ thống, bạn tạo một file trống có kích thước phù hợp với nhu cầu của bạn ở đây tôi tạo 1 file trống có kích thước là 8G

dd of=/home/haithang bs=1G count=0 seek=8

đảm bảo file chỉ được truy xuất với user sở hữu nó

chmod 600 /home/haithang

kết hợp file vừa tạo với một looopback device losetup /dev/loop0 /home/haithang

khởi tạo LUKS partition và khởi tạo key dùng để mã hoá dữ liệu

cryptsetup -y luksFormat /dev/loop0

mở LUKS partition và tạo một ánh xạ (secretfs) tới nó

ryptsetup luksOpen /dev/loop0 secretfs

kiểm tra trạng thái ánh xạ vừa tạo

cryptsetup status secretfs

khi bạn thực hiện việc copy các giá trị zero vào encrypted device, các giá trị này sẽ được mã hoá

và trông chúng giống như random data

dd if=/dev/zero of=/dev/mapper/secretfs

bạn có thể truy cập vào file và xem nội dung dạng mã hoá của nó

tạo file system và kiểm tra trạng thái của nó

mke2fs -j -O dir_index /dev/mapper/secretfs

tune2fs -l /dev/mapper/secretfs

bạn mount vào một thư mục nào đó để sử dụng encrypted device vừa tạo

mkdir /mnt/cryptofs/secretfs

mount /dev/mapper/secretfs /mnt/cryptofs/secretfs

để sử dụng nó bạn chỉ việc copy dữ liệu vào thư mục vừa mount

sau khi copy những dữ liệu cần được bảo vệ bạn thực hiện quá trình ngược lại

umount filesystem

umount /mnt/cryptofs/secretfs

xoá bỏ ánh xạ

cryptsetup luksClose secretfs

loại bỏ looopback device

losetup -d /dev/loop0

tương tự như vậy mỗi khi cần sử dụng bạn lại từng bước thực hiện như sau:

losetup /dev/loop0 /path/to/secretfs

cryptsetup luksOpen /dev/loop0 secretfs

ở đây bạn sẽ phải nhập password mà bạn đã tạo trong quá trinh tạo crypted device ở trên

rồi mount vào để sử dụng.

mount/dev/mapper/secretfs/mnt/cryptofs/secretfs

Việc đổi password đơn giản được thực hiện theo kiểu tạo thêm một ánh xạ mới với pasword mới thực hiện việc copy dữ liệu đã unencrypted sang ánh xạ mới, sau đó bạn có thể xoa bỏ file ứng với

ánh xạ có password cũ.

giả sử bạn muốn đổi password với ánh xạ đã tạo ở trên, các bước cần thực hiện như sau:

tạo một ánh xạ mới (có kích thước lơn hơn hoặc bằng kích thước ánh xạ cũ) với password mới.

dd of=/home/haithang1 bs=1G count=0 seek=8

chmod 600 /home/haithang1

losetup /dev/loop1 /home/haithang1

cryptsetup -y luksFormat /dev/loop1

nhập password mới khi được yêu cầu

ryptsetup luksOpen /dev/loop0 secretfs1

thực hiện việc copy dữ liệu

dd if=/dev/mapper/secretfs of=/dev/mapper/secretfs1 bs=4k

sau đó bạn có thể sử dụng ánh xạ secretfs1 như binh thường cùng password mới đông thời xoá

bỏ file /home/haithang ứng với ánh xạ có password cũ.

C NETWORK SECURITY

I ĐỊNH NGHĨA

Network security (An ninh mạng) là các thao tác, câu lệnh, chính sách do người quản trị mạng

quy định để theo dõi, quản lý quá trình truy cập và sử dụng tài nguyên của người dùng khi truy cập vào mạng máy tính Người truy cập sẽ được chọn hoặc bị chỉ định 1 id và mật khẩu hoặc thông tin xác thực khác cho phép họ tiếp cận thông tin và các chương trình trong phạm vi quyền hạn của mình.Ngày nay vấn đề an ninh mạng đang ngày càng thể hiện sự quan trọng của mình trong nền kinh

tế chính trị cũng như cuộc sống Đảm bảo vấn đề này các bản phân phối linux đều được hỗ trợ nhiều hơn từ các công cụ an ninh mạng

II NỘI DUNG

Một trong những cách phỏ biến mà kẻ xâm nhập hay sử dụng để truy cập nhiều hơn vào mạng

của bạn Đó là sử dụng một gói sniffers trên 1 máy chủ đã bị xâm nhập Điều này làm cho các thông

tin như mật khẩu và tài khoản bị ghi lại trong cổng athernet Qua đó kẻ tấn công có thể nhận được cả những thong tin về hệ thống họ không có chủ đích tấn công Dễ thấy mật khẩu văn bản rất dẽ bị tấn công

VD:

Giả sử host A đã bị xâm nhập Kẻ tấn công cài đặt 1 sniffers Sniffers sẽ được đưa lên vào phần quản trị đăng nhập đến máy chủ B từ host C Khi người quản lý máy chủ B đăng nhập thì kẻ tấn công sẽ nhận được thong tin của máy chủ B Sau đó , người quản trị telnet ( cung cấp những phiên giao dịch đăng nhập) tài khoản cảu mình lên máy chủ Z qua 1 trang web khác Bây h kẻ tấn công có 1 mật khẩu và tên đăng nhập vào máy chủ Z

Cách ngăn chặn:

Sử dụng các phương pháp mã hóa mật khẩu khác cản trở cuộc tấn công này

2. Dịch vụ hệ thống và tcp_wrappers

Trước khi bạn đặt hệ thống Linux của bạn trên bất kỳ mạng điều đầu tiên cần xem xét là những

dịch vụ mà bạn cần phải cung cấp Dịch vụ mà bạn không cần phải cung cấp nên được vô hiệu hóa để bạn có thể ít phải lo lắng hơn và kẻ tấn công có ít nơi để tìm kiếm lỗ hổng hơn

Có một số cách để vô hiệu hóa dịch vụ trong Linux Sử dụng dòng lệnh /etcinetd.conf nhờ đó

bạn có thể thấy các dịch vụ mà bạn được cung cấp Vô hiệu hóa bất kì dịch vụ nào không cần thiết

bằng cách thêm # ở đầu dòng và gửi tới quá trình inetd SIGHUP.

Bạn cần kiểm tra /etc/rc.d/rc[0-9] d trên Red hat; /erc/rc[0-9] d trên Debian xem và loại các

tập tin không cần thiết Các tập tin trong thư mục đó thực sự liên kết tượng trưng cho các tập tin trong

thư mục /etc/rc.d/init.d trên Red Hat; /etc/init.d trên Debian Đổi tên các tập tin trong init.d thư

mục vô hiệu hóa tất cả các biểu tượng liên kết trỏ đến tập tin đó Nếu bạn chỉ muốn vô hiệu hóa một dịch vụ cho một mức chạy cụ thể, đổi tên liên kết biểu tượng tương ứng bằng cách thay thế các chữ

hoa S với một trường hợp thấp hơn s , như thế này:

root # cd /etc/rc6.d

root # mv S45dhcpd s45dhcpd

Hầu hết các bản phân phối Linux với tcp_wrappers "gói" tất cả các dịch vụ TCP của bạn Một

tcp_wrapper (tcpd ) được gọi từ inetd thay vì các máy chủ thực sự Tcpd sau đó kiểm tra máy đang

yêu cầu dịch vụ, và thực thi các máy chủ thực sự, hoặc từ chối truy cập từ máy chủ đó Tcpd cho phép bạn hạn chế truy cập các dịch vụ TCP Bạn nên thực hiện một /etc/hosts.allow và chỉ đưa vào các

máy chủ mà cần phải có quyền truy cập vào các dịch vụ máy tính của bạn

Hãy nhớ rằng chỉ tcp_wrapper bảo vệ các dịch vụ thực thi từ inetd, và một vài lựa chọn

khác Có rất có thể là các dịch vụ khác đang chạy trên máy tính của bạn Bạn có thể sử dụng netstat

-ta để tìm thấy một danh sách tất cả các dịch vụ trên máy của bạn.

3. Xác minh thông tin DNS

Giữ thông tin cập nhật DNS về tất cả các host trên mạng của bạn có thể giúp tăng cường an ninh Nếu một máy không được phép kết nối với mạng của bạn, bạn có thể nhận ra nó bằng vì thiếu DNS

entry Nhiều dịch vụ có thể được cấu hình để không chấp nhận kết nối từ máy chủ mà không có mục DNS hợp lệ.

Identd là 1 chương trình nhỏ chạy bên ngoài máy chủ của bạn Nó theo dõi những gì người dùng

đang chạy dịch vụ TCP gì, và sau đó báo cáo khi có yêu cầu.

Nhiều người hiểu sai về tính hữu dụng của identd, và bỏ nó đi hoặc chặn tất cả các site yêu cầu

nó Không có identd ở đó giúp đỡ các trang web từ xa Thì không có cách nào để biết nếu các dữ liệu

bạn nhận được từ điều khiển từ xa là chính xác hay không

Khi chúng ta sử dụng indentd chúng ta sẽ dễ dàng tìm được kẻ cố gắng hack vào máy chủ của bạn, bạn có thể tìm ra phương án chống lại họ Nếu không cài indentd.

5. SATAN, ISS, và Other Network Scanners

Trên mạng ta có thể thấy các phần mềm tìm kiếm sửa chữa các lỗi mà nó tìm thấy Trong đó nổi

bật lên là SATAN, ISS, SAINT

SATAN (công cụ quản trị bảo mật cho mạng lưới phân tích ) là một phần mềm hoạt động tốt có

giao diện web Nó có thể chia làm các mức kiểm tra nhẹ, trung bình, hay mạnh mẽ máy tính hay mạng máy tính Phần mềm này sẽ quét máy tính hay mạng máy tính của bạn để tìm kiếm các lỗi và sửa chữa lại các lỗi đó Tuy vậy do không được cập nhật trong thời gian dài nên các phần mềm dưới đây sẽ có thể hoạt động tốt hơn

ISS (Internet Security Scanner) là một máy quét cổng cơ sở nó hoạt đọng nhanh hơn SATAN nên

có thể hoạt động với các mạng lớn Tuy nhiên nó lại cung cấp ít thong tin hơn so với SATAN

SAINT là một bản nâng cấp của SATAN hỗ trợ nhiều hơn nữa các chức năng kiểm tra so với SATAN

6 Các cuộc tấn công từ chối dịch vụ

"Từ chối dịch vụ" (DoS) là một trong những nơi mà các kẻ tấn công cố gắng để làm cho một số

tài nguyên quá bận rộn để trả lời yêu cầu chính đáng, hoặc từ chối người dùng hợp pháp truy cập vào máy tính của bạn

Tấn công từ chối dịch vụ đã tăng lên rất nhiều trong những năm gần đây Một số trong những phổ biến hơn và gần đây được liệt kê dưới đây:

• Flood SYN - SYN Flood là một mạng lưới các cuộc tấn công từ chối dịch vụ Nó

tận dụng kẽ hở trong các kết nối TCP được tạo ra Những phiên bản linux mới hơn có một số tùy chọn

để ngăn chặn kiểu tấn công như thế này