Cách đảm bảo an ninh cho hệ thống Linux của bạn – Phần 2

Lời người dịch: Bài này giúp bạn thiết lập tường lửa và mã hóa dữ liệu khi sử dụng hệ điều hành GNU/Linux trên các máy tính trạm.

Một cài đặt Linux là an ninh hơn nhiều so với các hệ điều hành khác. Điều này đúng, cho tới khi bạn kết nối tới Internet. Một khi trực tuyến, một cài đặt máy để bàn Linux, đánh cược sẽ được sử dụng như nhiều người sử dụng có thể, để lại chỗ đủ để phơi ra cho các cuộc tấn công và những vụ thâm nhập. Cho dù không đổ mồ hôi. Trợ giúp chỉ là một máy đầu cuối.

Tất cả các phát tán Linux đi với Iptables, mà nó là một phần của nhân mà cho phép sysadmins lọc các gói mạng. Việc thiết lập cấu hình cho nó bằng tay là không thể đối với tất cả mà chỉ những người giỏi, nhưng theo đúng tinh thần của nguồn mở thì cộng đồng đưa ra một số giao diện đồ họa mặt tiền mà làm cho một tường lửa trở thành cuộc dạo chơi ở ngoài công viên. Một tường lửa đồ họa như vậy là Firestarter.

Firestarter

Chúng ta đã không nhóm lửa

Firestarter đơn giản hóa quá trình thiết lập cấu hình các thiết lập cho một tường lửa. Nó có thể hạn chế sự truy cập vào các cổng mà đang chạy các dịch vụ mà có thể bị hỏng vì các cuộc tấn công từ bên ngoài, và bạn cũng có thể sử dụng nó để nhìn qua giao thông mạng đi qua máy mà bạn đang chạy trên đó.

Hầu hết các phát tán đưa Firestarter vào trong kho của họ, nên việc cài đặt nó không có vấn đề gì. Khi bạn bắt đầu nó lần đầu, tường lửa này đưa ra một thuật sỹ cấu hình đơn giản mà nó nhắc bạn chọn giao diện mạng trong đó nó sẽ là tích cực.

Nếu bạn có nhiều thiết bị với một kết nối tới mạng nội bộ, thì Firestarter có thể hành động như là cổng gateway và chia sẻ kết nối Internet với phần còn lại của mạng. Mặc định, Firestarter chỉ lọc thông qua các kết nối mà trả lời cho các yêu cầu kết nối từ máy chủ host của tường lửa. Ưu điểm của việc làm theo cách này là việc nó khóa sự truy cập tới các dịch vụ như Telnet, mà có thể bị khai thác để giành sự truy cập tới máy tính của bạn mà không cần tri thức của bạn.

Việc chỉnh tường lửa không mất nhiều sức. Nếu bạn có một ứng dụng mà đòi hỏi sự truy cập trên các cổng nhất định, như một máy trạm Torrent, thì bạn cần đục các lỗ hổng trong tường lửa của bạn để cho phép các kết nối tới. Điều đó dễ dàng thực hiện được từ trong tab Policy.

Nháy phải bên trong không gian dưới Allow Service và chọn Add Rule. Từ thực đơn kéo thả, hãy chọn dịch vụ mà bạn muốn cho phép, ví dụ là Samba, hãy chọn nguồn IP (bất kỳ ai mở cổng cho tất cả) và bạn đã làm xong.

Để hạn chế giao thông ra ngoài, hãy chọn Outbound Traffic Policy từ danh sách kéo thả. Bây giờ bạn có thể chọn hoặc lựa chọn Permissive hoặc Restrictive. Nếu bạn chọn lựa chọn Permissive thì bạn sẽ phải bổ sung các host mà bạn muốn khóa trong một danh sách đen. Restrictive là ngược lại, và chỉ cho phép các kết nối từ các hosts được liệt kê, từ chối những thứ còn lại.

Khi chạy trong chế độ hạn chế (restrictive), Firestarter sẽ ghi nhật ký lại tất cả những từ chối kết nối theo tab sự kiện Events. Khi bạn chọn một kết nối mà bạn muốn cho phép những người sử dụng của bạn, hãy nháy phải vào mục đó và chọn lựa chọn hoặc cho phép kết nối tới tất cả mọi người hoặc chỉ khi nó tạo ra từ một nguồn cụ thể.

Bạn cũng có thể giám sát các kết nối tích cực tới tường lửa từ giao diện chính của Firestarter. Nó chỉ cho bạn tình trạng của dịch vụ, trao cho bạn một tóm tắt các kết nối đến và đi, và số lượng các dữ liệu mà đã đi qua một giao diện. Bổ sung vào việc liệt kê nguồn và đích của giao thông, nó cũng sẽ nói cho bạn cổng các dữ liệu đang đi qua, dịch vụ chạy trên cổng đó và chương trình mà gọi để đánh.

Mã hóa hệ thống tệp của bạn

Nếu bạn thực sự muốn giữ cho những người khác khỏi đọc được các tệp của bạn, thì những mật khẩu của người sử dụng sẽ không cắt nó. Ví dụ, có rất ít người dừng một người sử dụng với các quyền truy cập cao hơn, như người sử dụng root, từ việc trố mắt ra nhìn vào thứ bên trong thư mục gốc của bạn. Những gì bạn cần là mã hóa dữ liệu của bạn sao cho nó là không thể hiểu được đối với mọi người mà không có công cụ để giải mã nó.

Cách thông minh để làm điều này là hãy mã hóa toàn bộ hệ thống tệp, mà có thể tự động mã hóa bất kỳ dữ liệu nào được giữ trong nó. Đây là nơi mà TrueCrypt chói sáng.

TrueCrypt

Nó để cho bạn cắt một vào lát ảo ngoài phân vùng Linux của bạn mà sẽ hành động như một hệ thống tệp được mã hóa đứng một mình. Bạn sau đó sẽ mount nó, sử dụng nó để lưu trữ và đọc các tệp nhu bạn có thể từ một phân vùng bình thường, sau đó unmount nó, và Bob là chú bác của bạn. Khi nó không được mount, thì hệ thống tệp được mã hóa dường như sẽ là một mớ lộn xộn ngẫu nhiên của các bits.

TrueCrypt không sẵn sàng trong kho của mọi phát tán vì các vấn đề cấp phép, nhưng việc cài đặt nó là một công việc bình thường. Hãy chộp nó từ website của nó, trích lưu trữ Tar, và cài đặt nó thông qua thiết lập đồ họa. Hãy chắc chắn phát tán của bạn có thư viện Fuse, và các công cụ mapper thiết bị.

Tạo một dung lượng được mã hóa

Trước khi bạn có thể sử dụng TrueCrypt thì bạn sẽ phải tạo một dung lượng được mã hóa để lưu trữ các tệp vào, nên hãy tung ra ứng dụng và nháy vào núm Create Volume (tạo dung lượng). Việc này sẽ tung ra thuật sỹ Volume Creation Wizard, mà nó cho phép bạn hoặc tạo một đĩa ảo được mã hóa bên trong một tệp hoặc một dung lượng được mã hóa bên trong toàn bộ một phân vùng, hoặc thậm chí một đĩa như là một đầu USB có thể tháo lắp được.

Nếu bạn chọn lựa chọn đầu để tạo ra một đĩa ảo, thì TrueCrypt sẽ hỏi bạn chỉ nó cho một tệp trong đĩa mà sẽ là dung lượng được mã hóa. Nếu tệp đó tồn tại, thì TrueCrypt sẽ tạo nó, sử dụng một trong 8 thuật toán mã hóa.

Tiếp theo, hãy chỉ định kích cỡ của dung lượng được mã hóa và định dạng nó như một hệ thống tệp FAT, mà làm cho nó truy cập được từ các hệ điều hành khác cũng như Linux. Cuối cùng, hãy chọn một mật khẩu để mount dung lượng được mã hóa.

Để lưu trữ các tệp trong dung lượng mà bạn sẽ phải mount nó. Hãy chọn tệp mà dung lượng được mã hóa của bạn từ giao diện chính TrueCrypt, và nhấn núm Mount. Ứng dụng sẽ nhắc bạn mật khẩu của dung lượng trước khi nó có thể được mount. Bạn cũng có lựa chọn để mount dung lượng như chỉ đọc, nếu tất cả điều bạn phải làm là đọc các tệp từ nó.

Mặc định, TrueCrypt chọn không nhớ tên của tệp mà bạn đã mã hóa dung lượng. Đây là một tính năng an ninh, và bổ sung thêm một khóa khác trên đường đi của một kẻ thâm nhập trái phép. Nếu bạn yêu cầu ứng dụng nhớ tên tệp, thì bất kỳ ai với sự truy cập vật lý tới máy tính cũng có thể chọn tệp đó từ một thực đơn kéo thả và mount dung lượng được mã hóa. Dù họ sẽ vẫn phải vượt qua mật khẩu của bạn.

Một khi dung lượng được mã hóa được mount thì bạn có thể lưu các tệp vào nó chỉ giống như bạn làm với một dung lượng bình thường. TrueCrypt sử dụng phần cứng hiện đại của bạn trong sự sắp đặt của nó để mã hóa và giải mã các tệp trong khi sử dụng; mà để nói nó giảm thiểu sự trễ vì chi phí để chuyển các dòng bit không thể đọc được thành các dữ liệu có nghĩa mà có thể đọc được bằng trình soạn thảo văn bản của bạn hoặc được chơi bằng máy chơi phương tiện của bạn.

Khi bạn vượt qua được rồi, hãy unmount dung lượng với núm Dosmount bên trong chương trình.

Dịch tài liệu: Lê Trung Nghĩa<[email protected]>

Theo: http://www.techradar.com/news/software/operating-systems/how-your-secure-your-linux-system-915651?artc_pg=2

Bài được đưa lên Internet ngày: 04/01/2011

Bình luận