Cách đảm bảo an ninh hệ thống Linux của bạn – Phần 1

Lời người dịch: Dù sử dụng hệ điều hành GNU/Linux được cho là an ninh hơn so với Windows, thì bạn vẫn cần biết cách để bảo vệ các dữ liệu của bạn khỏi bị sao chép dễ dàng, khỏi bị in ra dễ dàng mà không như mong muốn của bạn. Bài này là một trong chuỗi bài chỉ cho bạn một số cách thức để bảo vệ hệ thống GNU/Linux của bạn đấy.

Bạn có đang chạy Linux chỉ vì bạn nghĩ nó an toàn hơn Windows không? Nghĩ lại đi. Chắc rồi, an ninh là một tính năng được xây dựng sẵn (và không phải là được vặn vào sẵn) và mở rộng ngay từ nhân Linux cho tới môi trường đồ họa để bàn, những nó vẫn để lại đủ không gian để những ai đó làm bẩn với thư mục /home của bạn.

Linux có thể là trơ trơ đối với các virus và sâu được viết cho Windows, nhưng điều đó chỉ là một tập phụ nhỏ của một vấn đề lớn. Những kẻ tấn công có hàng loạt những mưu mẹo trong tay để có được những bit và byte quý giá mà tạo nên mọi thứ từ chiếc ảnh của bạn cho tới các chi tiết về thẻ tín dụng của bạn.

Các máy tính kết nối tới Internet là những máy tính được phơi ra nhiều nhất đối với những kẻ tấn công, dù các máy tính mà không bao giờ thấy được hoạt động trực tuyến có thể bị tổn thưởng thế nào. Hãy nghĩ về chiếc máy tính xách tay cũ hoặc chiếc đĩa cứng cũ mà bạn chỉ mới bỏ đi mà không cần suy nghĩ gì. Động thái không tốt đâu.

Với dạng các công cụ phục hồi dữ liệu có sẵn ngày nay (nhiều thứ có thể tải về tự do) thì không có vấn đề về hệ điều hành nào đã được cài đặt trên đĩa cứng đó. Nếu nó có chứa các dữ liệu – bị hỏng hay gì đó khác – thì nó có thể lấy lại được, các tài khoản ngân hàng tạo lại được, các chữ viết khi chat xây dựng lại được, các hình ảnh khâu lại được. Nhưng đừng có sợ. Đừng có dừng sử dụng máy tính.

Trong khi hầu như không thể làm cho một máy tính kết nối được tới Internet là không thể xuyên thủng đối với các cuộc tấn công, thì bạn có thể làm cho một nhiệm vụ tấn công khó khăn và cũng đảm bảo chúng không biết được gì từ một hệ thống bị tổn thương cả. Tốt hơn cả, với Linux, và một số mẩu phần mềm nguồn mở, nó không mất nhiều sức để đảm bảo cho cài đặt Linux của bạn.

Không có qui tắc vàng nào cho an ninh mà áp dụng được trong mọi trường hợp, và thậm chí nếu có thì nó có thể đã bị đánh thủng rồi. An ninh là thứ gì đó mà cần phải được làm việc thường xuyên, và được cá nhân hóa. Tuân theo những mẹo và công cụ trong hướng dẫn này như chúng tôi chỉ ra cho bạn cách áp dụng chúng đối với cài đặt Linux rất riêng của bạn.

Hãy tuân theo 6 mẹo để có được một máy tính an toàn hơn theo một cách dễ dàng

1 Theo kịp các cập nhật an ninh

Tip 1

Tất cả các phát tán Linux để bàn dòng chính thống (như Debian, Ubuntu, Fedora, …) có các độ an ninh làm việc với các đội đóng gói để đảm bảo bạn nằm trên đỉnh của bất kỳ chỗ bị tổn thương nào về an ninh. Thường thì các đội này làm việc với nhau để chắc chắn rằng các bản vá an ninh sẵn sàng ngay khi chỗ bị tổn thương bị phát hiện.

Phát tán của bạn sẽ có một kho chỉ chuyên cho các cập nhật an ninh. Tất cả việc bạn phải làm là phải chắc chắn kho an ninh cụ thể được bật (thường nó là mặc định), và chọn liệu bạn có thích cài đặt các bản vá một cách tự động hay bằng tay khi nhấn một núm.

Ví dụ, trong Ubuntu, hãy chọn System > Administration > Software Sources. Ở đâydưới trang Updates, hãy chỉ định cách mà phát tán thường xuyên nên kiểm tra kho an ninh cho việc cập nhật, và liệu bạn có thích cài đặt chúng mà không cần có khẳng định không, hay chỉ được lưu ý về các cập nhật.

Cái sau là một lựa chọn tốt hơn, vì nó cho phép bạn xem xét lại các bản cập nhật trước khi cài đặt chúng. Mà những cơ hội là chúng sẽ tốt, và bạn có thể tiết kiệm cho mình chút thời gian bằng việc nhờ phát tán của bạn cài đặt chúng một cách tự động.

Bổ sung vào với các cập nhật, phát tán cũng có một danh sách thư an ninh để công bố những chỗ bị tổn thương, và cũng chia sẻ các gói để sửa chúng. thường thì một ý tưởng tốt để giám sát danh sách an ninh đối với phát tán của bạn, và nhìn ra bất kỳ cập nhật an ninh nào đối với các gói mà là sống còn đối với bạn.

Có một độ trễ nhỏ giữa sự tuyên bố và gói đang được đẩy vào kho; Các danh sách thư về an ninh chỉ dẫn cho những người thiếu kiên nhẫn cách chộp và cài các cập nhật bằng tay.

2. Vô hiệu hóa các dịch vụ không cần thiết

tip 2

Một phát tán Linux cho máy để bàn khởi động một số dịch vụ sẽ được sử dụng cho càng nhiều người có thể càng tốt. Nhưng một người thực sự không cần tất cả các dịch vụ đó.

Ví dụ, liệu bạn có thực sự cần Samba cho việc chia sẻ các tệp qua mạng trên máy chủ an ninh của bạn hay không, hay dịch vụ Bluetooth để kết nối tới các dịch vụ Bluetooth trên một máy tính mà không có một thiết bị adapter Bluetooth hay không?

Tất cả các phát tán cho phép bạn kiểm soát các dịch vụ mà chúng chạy trên cài đặt Linux của bạn, và bạn nên sử dụng đầy đủ tính năng tùy biến này.

Trong Ubuntu, hãy vào System > Preferences > Startup Applications. Ở đây bạn có thể loại bỏ các dấu cạnh các dịch vụ mà bạn muốn vô hiệu hóa. Nhưng hãy cẩn thận khi tắt các dịch vụ nhé. Một số ứng dụng có thể dừng hoạt động vì bạn đã quyết định vô hiệu một dịch vụ mà chúng dựa vào đấy.

Ví dụ, nhiều ứng dụng máy chủ dựa vào các cơ sở dữ liệu, nên trước khi bạn tắt MySQL hoặc PostgreSQL thì bạn nên chắc chắn bạn không chạy bất kỳ ứng dụng nào mà dựa vào chúng.

3. Hạn chế truy cập Root

tip 3

Hầu hết các phát tán ngày nay không cho phép bạn đăng nhập như là root khi khởi động, mà điều đó là tốt. Khi bạn phải thực hiện một nhiệm vụ đòi hỏi những quyền siêu cao của người sử dụng thì bạn sẽ được nhắc đưa vào mật khẩu. Nó có thể làm bạn bực mình một chút nhưng về lâu dài nó đảm bảo chắc chắn rằng các nhiệm vụ của người quản trị được tách rời khỏi người sử dụng.

Bạn có thể hạn chế các quyền truy cập cho một người sử dụng từ trong System > Administration > Users and Groups. Ở đây bạn có thể phân loại một cách rộng rãi một người sử dụng như một người sử dụng máy để bàn hay là như một người quản trị hệ thống hoặc các quyền truy cập tùy biến một cách bằng tay. Mặc định, những người sử dụng được tạo ra như là với các quyền của ‘người sử dụng máy để bàn’ và không thể cài đặt các phần mềm hoặc thay đổi các thiết lập mà ảnh hưởng tới những người sử dụng khác.

Trên dòng lệnh, lệnh su (trong Fedora, và tương tự …) cho phép những người sử dụng thông thường chuyển sang tài khoản root, trong khi lệnh sudo (trong Debian, Ubuntu, …) trao nhiều quyền hơn cho người sử dụng. Sử dụng các lệnh này có thể được hạn chế đối với một nhóm cụ thể nào đó, mà nó ngăn ngừa bất kỳ người sử dụng nào khỏi việc quản trị hệ thống, sudo cũng là an ninh hơn đối với cả 2, và nó giữ một nhật kỳ truy cập trong /var/log/auth.log.

Tạo một thói quen thường xuyên quét nhật ký đối với những dự định thành công và không thành công của lệnh sudo.

4. Không tự động mount các thiết bị

tip 4

Nếu bạn thực sự quan tâm về an ninh, thì bạn cần học về tính năng tùy biến các thiết lập Users And Groups. Một trong những khu vực để nhìn vào là các thiết bị tự động mount.

Hầu hết các phát tán tự động mount các ổ USB và CD ngay khi chúng được chèn vào. Điều này là tiện lợi, nhưng cho phép bất kỳ ai mà đi qua máy tính của bạn, găm vào một đĩa USB và sao chép tất cả các dữ liệu của bạn. Để tránh tình trạng như vậy, hãy vào System > Administration > Users and Groups, hãy chọn người sử dụng của bạn và nháy chọn tab Advanced Settings > User Privileges.

Hãy chắc chắn bạn không chọn các ô tương ứng với lựa chọn Access External Storage Devices Automatically, Mount Userspace Filesystems, và Use CD-ROM Drives. Khi bỏ chọn, những lựa chọn này sẽ nhắc người sử dụng một mật khẩu trước khi trao cho họ sự truy cập tới những thiết bị này.

Bạn cũng có thể muốn vô hiệu hóa việc chia sẻ tệp trên mạng, cũng như yêu cầu người sử dụng gõ vào một mật khẩu trước khi kết nối tới các thiết bị Ethernet và không giây. Bằng việc vô hiệu hóa sự truy cập để cấu hình cho các máy in mà bạn ngăn ngừa được các dữ liệu quan trọng khỏi việc bị in ra.

5. Không ở trên mép chảy máu

tip 5

Các gói được đưa vào trong một phát tán Linux máy để bàn được cập nhật thường xuyên. Ngoài các kho chính thức, có các kho tùy ý cho các phần mềm của bên thứ 3. Trong khi các lập trình viên quan tâm chăm sóc tới việc quét các gói tìm các chỗ bị tổn thương trước khi đẩy chúng vào kho, thì hầu như không thể được rằng một số cập nhật với các khiếm khuyết cũng đã đi được qua.

Trong khi là tốt để giữ cho hệ thống được cập nhật, từ quan điểm an ninh, không phải tất cả các cập nhật đều là tốt đối với hệ thống. Một số cập nhật xung đột với gói được cài đặt đang tồn tại hoặc thậm chí có thể tạo ra những sự phụ thuộc mới mà có thể làm cho hệ thống dễ bị tấn công hơn. Tất cả điều này giải thích vì sao bạn chỉ nên cập nhật các gói nếu bạn phải làm.

Hãy quét các cập nhật và tìm kiếm các cập nhật cho các gói mà là sống còn với bạn. Hầu hết những trình quản trị gói cũng là cho có khả năng kiểm tra một cập nhật và hiển thị nhật ký thay đổi của nó và một mô tả ngắn gọn về những thay đổi. Những thay đổi giao diện người sử dụng có thể được bỏ qua một cách an toàn hoặc được làm chậm lại cho tới khi một gói đã được kiểm tra kỹ lưỡng. Thay vào đó, hãy tìm và tóm lấy những cập nhật nào mà nó sửa các vấn đề đang tồn tại với các gói.

6.Không nâng cấp cứ mỗi 6 tháng một lần

tip 6

Hầu hết các phát tán Linux cho máy tính để bàn có phiên bản mới cứ 6 tháng một lần, nhưng bạn không phải cài đặt mỗi bản nâng cấp mới chỉ vì nó có. Ví dụ, Debian, đưa ra 3 phát tán để chọn dựa vào mức độ ổn định của phần mềm có sẵn trong đó. Sau Debian 6.0, các phiên bản ổn định sẽ được thực hiện 2 năm một lần.

Phát tán khác có một tiếp cận khác để đảm bảo an ninh cho các phiên bản. Ubuntu đánh dấu các phiên bản nhất định như là LTS – hỗ trợ dài hạn (Long Term Support). Một phiên bản LTS cho máy để bàn được hỗ trợ 3 năm, và phiên bản cho máy chủ được hỗ trợ 5 năm, mà là lâu hơn nhiều so với 18 tháng đối với một phiên bản tiêu chuẩn của Ubuntu.

Dù không cập nhật, nhưng những phiên bản này an ninh hơn nhiều từ quan điểm an ninh, với các gói mà ổn định hơn nhiều và được kiểm thử kỹ hơn nhiều so với những phiên bản mới nhất của chúng. Nếu chạy một hệ thống an ninh là mục tiêu của bạn, thì bạn nên nghĩ gắn vào với một trong những phiên bản hỗ trợ dài hạn và tránh bị lôi cuốn nâng cấp ngay khi phiên bản mới nhất trở nên sẵn sàng.

Dịch tài liệu: Lê Trung Nghĩa<[email protected]>

Theo: http://www.techradar.com/news/software/operating-systems/how-your-secure-your-linux-system-915651

Bài được đưa lên Internet ngày: 04/01/2011

Bình luận