Cách đảm bảo an ninh cho hệ thống Linux của bạn – Phần 3

Lời người dịch: Bài này dạy cách xóa tệp để không để lại dấu vết gì và cách sử dụng các proxy để hoạt động trên Internet như một người nặc danh, đảm bảo an ninh cho máy tính của bạn khi sử dụng với GNU/Linux.

Bạn nghĩ việc định dạng lại đĩa là đủ ư? Hãy nghĩ lại đi

Việc loại bỏ một tệp từ đĩa dường như giống một hoạt đồng bình thường: chỉnh nháy phải vào tệp đó và gửi nó tới sọt rác. Những người dùng dòng lệnh có thể sử dụng lệnh rm để làm việc y hệt.

Tiếc thay, không có phương pháp nào thực sự xóa được một tệp hoặc một thư mục. Chúng chỉ thôi miên hệ thống tệp để quên đi nơi một tệp nằm trên đĩa. Những vị trí tự do mới của đĩa sau đó sẽ được bổ sung tới kho của hệ thống tệp địa chỉ tự do, và có thể trỏ tới các tệp mới.

Điều đó làm việc được trên lý thuyết, nhưng trong thực tế thì kích thước kinh dị đó của các phân vùng có nghĩa là những vị trí đĩa mà giữ tệp bị xóa đó có thể thực sự che giấu chúng đủ lâu cho các công cụ phục hồi dựng chúng dậy được.

SRM

Đó là nới mà các mảnh vụn tới. Các mảnh vụn ghi đè một không gian tệp trên đĩa để chắc chắn không gian đó chỉ có chứa rác. Bạn cũng có thể muốn sử dụng – lựa chọn loại bỏ để chắc chắn nó xóa tệp gốc rồi.

Việc chẻ vụn một tệp có thể là một công việc lâu la, khi nó ghi đè vị trí đó 25 lần. Bạn có thể điều khiển số lượng lần ghi lại với n lần, như thế này:

$ shred –remove -n 5 -v top-secret.txt
shred: top-secret.txt: pass 1/5 (random)…
shred: top-secret.txt: pass 2/5 (ffffff)…
shred: top-secret.txt: pass 3/5 (random)…
shred: top-secret.txt: pass 4/5 (000000)…
shred: top-secret.txt: pass 5/5 (random)…
shred: top-secret.txt: removing
shred: top-secret.txt: renamed to 0000
shred: 0000: renamed to 000
shred: 000: renamed to 00
shred: 00: renamed to 0
shred: top-secret.txt: removed

Mảnh vụn làm việc tốt trên các thiết bị như /dev/sdb, mà chúng phủ định việc sử dụng của – loại bỏ chuyển mạch, vì bạn sẽ không muốn loại bỏ thiết bị. Có một cái hang ở đây. Mảnh vụn giả thiết là hệ thống tệp ghi đè tệp đúng vị trí. Điều này có thể trả nó về trừ phi trong các hệ thống tệp hiện đại được ghi lại như là ext3.

Mảnh vụn cũng không xóa được các dấu vết của các dữ liệu đang bị xóa trong một vài chỗ, như trong các tệp hoán đổi, trong RAM, và trong nhật ký của hệ thống tệp. Một chiến lược xóa có an ninh và hiệu quả đòi hỏi các công cụ xóa có an ninh.

Xóa có an ninh

Các công cụ xóa có an ninh bao gồm srm để loại bỏ các tệp một cách an ninh, smemsswap để xóa sạch các dấu vết của dữ liệu khỏi bộ nhớ vật lý và chuyển đổi SWAP, và sfill để đảm bảo không gian trống trên đĩa không trỏ tới các tệp cũ đã bị xóa. Các công cụ này sử dụng một thuật toán mật mã được thiết kế đặc biệt để chắc chắn các tệp được xóa là không thể phục hồi lại được.

Một khi nó được cài đặt, hãy chắc chắn bạn loại bỏ tệp hoặc một thư mục với:

$ srm -v ../the-hole/eicar.com.txt

Sử dụng /dev/urandom cho đầu vào ngẫu nhiên.

Chế độ xóa an ninh (38 lần đặc biệt)
Xóa ../the-hole/eicar.com.txt *********************************** *** Removed

tệp ../the-hole/eicar.com.txt … Done.

Once it’s installed, make sure you remove the file or a directory with:

$ srm -v ../the-hole/eicar.com.txt
Using /dev/urandom for random input.
Wipe mode is secure (38 special passes)
Wiping ../the-hole/eicar.com.txt *********************************** *** Removed file ../the-hole/eicar.com.txt … Done

Bổ sung -r để xóa một cách đệ qui một thư mục. Khi bạn làm xong, phải chắc chắn bạn quét sạch các dấu vết khỏi RAM của bạn với smem, mà nó có thể lấy một số lượng thời gian đáng kể phụ thuộc vào kích thước của bộ nhớ vật lý mà nó phải quét sạch. Bạn có thể tăng tốc quá trình này với -l, mà nó giảm thiểu số lượng các bước ghi lại (điều này là ít an ninh hơn).

Thực hiện xong qui trình bằng việc vô hiệu hóa hoán đổi với swapoff <phân vùng swap>, việc quét nó sẽ xóa với sswap <phân vùng swap>, và sau đó kích hoạt lại nó bằng swapon <phân vùng swap>. Lệnh sfill sẽ trở nên thuận tiện khi bạn đang dọn một đĩa. Hãy sử dụng nó từ một đĩa Live CD trên một phân vùng không mount để quét sạch không gian trống.

Loại bỏ rác

Chúng có thể không tệ như hệ điều hành khác, nhưng tất cả các phát tán Linux có xu hướng tích cóp nhiều rác qua một khoảng thời gian. Nhưng sao lại nói Linux chứ?

Các tệp rác là di sản của trạng thái dư thừa các ứng dụng mà bạn có chạy trên đỉnh của nhân của bạn. Bạn có thể gim thói quen của chúng đối với việc thu thập những thứ ra khỏi đường mà các ứng dụng được thiết lập để trao cho bạn một kinh nghiệm tốt hơn của người sử dụng. Và không chỉ làm tất cả các tệp nhật ký, các tệp Internet tạm thời và một loạt các bộ nhớ đệm cho các ứng dụng tích tụ lại để chiếm một số lượng đáng kể không gian đĩa, chúng đặt ra một mối đe dọa lớn cho tính riêng tư của bạn.

Thay vì đi tiếp qua hệ thống tệp và làm rỗng một loạt các thư mục tạm tmp/ , hãy sử dụng BleachBit. Đây là một cửa cho việc loại bỏ tất cả những tạp nhạp mà các ứng dụng đã giữ lại.

Bleachbit

BleachBit có một tập hợp khoảng 70 trình dọn sách được xác định trước, mỗi thứ trong đó làm việc trên một ứng dụng cụ thể như Firefox, Google Chrome, Adobe Reader, OpenOffice.org và hơn nữa. Những trình dọn sạch này được bật sang xóa sạch để xóa hết các ứng dụng và trao lại cho chúng một hiệu năng tốt hơn.

BleachBit nhẹ cân nhất là sẵn sàng trong các kho của tất cả các phát tán, dù bạn có thể muốn chộp lấy thư được xây dựng mới nhất từ website của nó. Dự án này cũng tung ra bộ các trình dọn sạch phần thưởng cho những phiên bản cũ hơn.

Giao diện người sử dụng GUI của BleachBit được chia thành 2 khung. Một bên tay trái bạn chọn các ứng dụng mà bạn muốn xóa; cái này mở rộng để trao cho bạn nhiều sự lựa chọn hơn đặc biệt đối với ứng dụng đó. Khung bên tay phải, bạn có một giải thích ngắn gọn đối với mỗi lựa chọn được đánh dấu này.

Làm sạch

Để làm sạch một vùng, như là bộ nhớ đệm của Firefox, chỉ đơn giản nháy vào ô chọn cạnh nó. Một số hoạt động làm sạch đòi hỏi bạn phải giăng lưới qua một vị trí rộng lớn và liên quan tới hơn một hành động xóa đơn giản. BleachBit sẽ làm ấm bạn khi chọn một tác vụ như vậy mà có thể mất thời gian đáng kể, ví dụ, quét sạch bộ nhớ hoán đổi.

Trước khi bạn yêu cầu BleachBit vứt đi những tệp vô dụng trong các ứng dụng mà bạn đã chọn, hãy sử dụng núm Preview – xem trước để rà soát lại danh sách các tệp nó sẽ xóa. Nếu bạn thấy một tệp mà bạn không muốn xóa, như là bộ nhớ đệm của một người sử dụng Firefox nào đó, thì bạn có thể bổ sung nó vào một danh sách trắng.

Đây là một danh sách các tệp mà BleachBit sẽ không động tới, thậm chí nếu trình xóa rộng hơn mà chúng đã được đánh dấu để xóa. Bạn có thể chỉ định bất kỳ các tệp hoặc thư mục nào để bỏ qua tab Whitelist theo Edit > Preferences.

BleachBit cũng có một giao diện dòng lệnh. Ví dụ, lệnh sau đây sẽ xóa các cookies trong Firefox và Google Chrome:

$ bleachbit –delete firefox.cookies google_chrome.cookies

Hãy sử dụng – preview để có một danh sách các tệp trước khi loại bỏ. Giao diện dòng lệnh CLI làm cho BleachBit có thể viết script được để chạy hàng ngày một cách tự động.

Để bổ sung một công việc cron để xóa các tệt được tạo ra thường xuyên, như các nhật ký được xoay vòng và các cookies hàng ngày lúc 2.00 sáng, hãy soạn thảo crontab với crontab -e và bổ sung dòng sau:

0 2 * * * bleachbit –delete firefox.cookies google_chrome. cookies system.rotated_logs

Nếu hàng ngày mà là quá thường xuyên, thì bạn nên ít nhất chạy ứng dụng trước khi tạo các bản sao. Bạn cũng có thể sử dụng BleachBit để tăng tốc những ứng dụng nhất định nào đó, làm sạch phát tán bàng việc sửa các phím tắt bị hỏng, xóa các gói ngôn ngữ và làm rỗng RAM vật lý và bộ nhớ hoán đổi.

Duyệt một cách ẩn danh

Kéo một Keyser Soze lên Internet – làm cho nó nghĩ bạn không tồn tại…

Trên Internet, đôi khi dạng tốt nhất về tính riêng tư là vô danh. Khó cho một kẻ tấn công với tới bạn nếu chúng không vồ được bạn trên mạng. Và không ai dấu các dấu vết của bạn tốt hơn là sự kết hợp của Privoxy và Tor.

Tor bảo vệ sự riêng tư thông qua một mạng phân tán của rơ le chạy bởi những người tự nguyện lan truyền khắp thế giới. Điều này giúp ngăn ngừa bất kỳ ai giám sát các kết nối Internet của bạn khỏi việc biết bạn viếng thăm site nào. Tor làm việc với các trình duyệt web, các chương trình thông điệp tức thì (chat) và nhiều ứng dụng dựa trên TCP khác. Nhưng một loạt các giao thức ứng dụng và các chương trình có liên quan có thể bị đánh lừa vào trong việc phát lộ thông tin về người sử dụng, mà là nơi mà Privoxy tới. Tor phụ thuộc vào Privoxy và các khả năng lọc của nó để cải thiện tính riêng tư.

Privoxy

Bắt đầu bằng việc kéo Privoxy từ các kho của phát tán của bạn, rỗi vào các thiết lập tiên tiến của trình duyệt của bạn nơi mà bạn có thể thay đổi các thiết lập proxy của nó. Ở đây chỉ điền trong 127.0.0.1 cho proxy của HTTP, và chỉ định cổng 8118. Đó là tất cả những điều phải làm.

Khi bạn làm xong, hãy bắt đầu Privoxy với /etc/ init.d/privoxy start. Bạn bây giờ có thể truy cập giao diện Privoxy từ http://config.privoxy.org or http://p.p.

Để móc Privoxy với Tor, bạn trước hết cần thiết lập kho các gói của Tor. Điều này là dễ dàng thực hiện bằng việc bổ sung dòng sau đây vào cài đặt Ubuntu hoặc Debian của bạn:

deb http://deb.torproject.org/torproject.org <DISTRIBUTION> main

Thay thế <Phát tán> bằng tên phát tán của bạn, như Karrmic, hoặc sid. Rồi bổ sung khóa GPG được sử dụng để ký các gói bằng việc chạy thứ sau:

gpg –keyserver keys.gnupg.net –recv 886DDD89 gpg –export A3C4F0F979CAA22CDBA8 F512EE8CBC9E886DDD89 | sudo apt-key add –

Nếu bạn sử dụng Yum, hãy tạo một torproject.repo trong /etc/ yum/repos.d với nội dung sau:

[torproject] name=Tor and Vidalia
enabled=1
autorefresh=0
baseurl=http://deb.torproject.org/torproject.org/rpm/
DISTRIBUTION/
type=rpm-md gpgcheck=1
gpgkey=http://deb.torproject.org/torproject.org/rpm/RPMGPG- KEY-torproject.org

Một lần nữa thay thế PHÁT-TÁN bằng tên của phiên bản của Fedora hoặc CentOS, như là centos5 hoặc fc13. Bây giờ đặt Tor thông qua trình quản lý gói, mà nó cũng sẽ kéo trong các gói bổ sung như trình kiểm soát giao diện người sử dụng Vidalia Tor.

Phải chắc chắn bạn không cài đặt ứng dụng Polipo web proxy, vì chúng ta đang sử dụng Privoxy và 2 thứ này có thể xung đột vì chúng hoạt động trên cùng một cổng.

Bước cuối cùng là để Privoxy và Tor nói chuyện với nhau. Để làm thế chỉ cần sửa tệp thiết lập của Privoxy trong /etc/privoxy và bỏ bình luận cho dòng sau:

# forward-socks4a / 127.0.0.1:9050

Also uncomment the following lines to make sure the local network is still reachable:

# forward 192.168.*.*/ .
# forward 10.*.*.*/ .
# forward 127.*.*.*/

Tuyệt vời! Bây giờ tất cả giao thông Internet của chúng ta mà đi qua các proxy Tor và Privoxy được đánh mặt nạ.

Dịch tài liệu: Lê Trung Nghĩa<letrungnghia.foss@gmail.com>

Theo: http://www.techradar.com/news/software/operating-systems/how-your-secure-your-linux-system-915651?artc_pg=3

Bài được đưa lên Internet ngày: 04/01/2010

Bình luận