Cơ bản về an ninh của Linux
How your secure your Linux system
Người giám hộ: Linux không làm cho máy tính của bạn tự động không thể thâm nhập được
Tutorial: Linux doesn't make your system impenetrable automatically
By Mayank Sharma
Theo: http://www.techradar.com/news/software/operating-systems/how-your-secure-your-linux-system-915651
Bài được đưa lên Internet ngày: 04/01/2011
Lời người dịch: Dù sử dụng hệ điều hành GNU/Linux được cho là an ninh hơn so với Windows, thì bạn vẫn cần biết cách để bảo vệ các dữ liệu của bạn khỏi bị sao chép dễ dàng, khỏi bị in ra dễ dàng mà không như mong muốn của bạn. Bài này là một trong chuỗi bài chỉ cho bạn một số cách thức để bảo vệ hệ thống GNU/Linux của bạn đấy.
Bạn có đang chạy Linux chỉ vì bạn nghĩ nó an toàn hơn Windows không? Nghĩ lại đi. Chắc rồi, an ninh là một tính năng được xây dựng sẵn (và không phải là được vặn vào sẵn) và mở rộng ngay từ nhân Linux cho tới môi trường đồ họa để bàn, những nó vẫn để lại đủ không gian để những ai đó làm bẩn với thư mục /home của bạn.
Linux có thể là trơ trơ đối với các virus và sâu được viết cho Windows, nhưng điều đó chỉ là một tập phụ nhỏ của một vấn đề lớn. Những kẻ tấn công có hàng loạt những mưu mẹo trong tay để có được những bit và byte quý giá mà tạo nên mọi thứ từ chiếc ảnh của bạn cho tới các chi tiết về thẻ tín dụng của bạn.
Các máy tính kết nối tới Internet là những máy tính được phơi ra nhiều nhất đối với những kẻ tấn công, dù các máy tính mà không bao giờ thấy được hoạt động trực tuyến có thể bị tổn thưởng thế nào. Hãy nghĩ về chiếc máy tính xách tay cũ hoặc chiếc đĩa cứng cũ mà bạn chỉ mới bỏ đi mà không cần suy nghĩ gì. Động thái không tốt đâu.
Với dạng các công cụ phục hồi dữ liệu có sẵn ngày nay (nhiều thứ có thể tải về tự do) thì không có vấn đề về hệ điều hành nào đã được cài đặt trên đĩa cứng đó. Nếu nó có chứa các dữ liệu - bị hỏng hay gì đó khác - thì nó có thể lấy lại được, các tài khoản ngân hàng tạo lại được, các chữ viết khi chat xây dựng lại được, các hình ảnh khâu lại được. Nhưng đừng có sợ. Đừng có dừng sử dụng máy tính.
Trong khi hầu như không thể làm cho một máy tính kết nối được tới Internet là không thể xuyên thủng đối với các cuộc tấn công, thì bạn có thể làm cho một nhiệm vụ tấn công khó khăn và cũng đảm bảo chúng không biết được gì từ một hệ thống bị tổn thương cả. Tốt hơn cả, với Linux, và một số mẩu phần mềm nguồn mở, nó không mất nhiều sức để đảm bảo cho cài đặt Linux của bạn.
Không có qui tắc vàng nào cho an ninh mà áp dụng được trong mọi trường hợp, và thậm chí nếu có thì nó có thể đã bị đánh thủng rồi. An ninh là thứ gì đó mà cần phải được làm việc thường xuyên, và được cá nhân hóa. Tuân theo những mẹo và công cụ trong hướng dẫn này như chúng tôi chỉ ra cho bạn cách áp dụng chúng đối với cài đặt Linux rất riêng của bạn.
Hãy tuân theo 6 mẹo để có được một máy tính an toàn hơn theo một cách dễ dàng
Are you running Linux just because you think it's safer than Windows? Think again. Sure, security is a built-in (and not a bolt-on) feature and extends right from the Linux kernel to the desktop, but it still leaves enough room to let someone muck about with your /home folder.
Linux might be impervious to viruses and worms written for Windows, but that's just a small subset of the larger issue. Attackers have various tricks up their sleeves to get to those precious bits and bytes that make up everything from your mugshot to your credit card details.
Computers that connect to the internet are the ones most exposed to attackers, although computers that never get to see online action are just as vulnerable. Think of that ageing laptop or that old hard disk you just chucked away without a second thought. Bad move.
With the kind of data recovery tools available today (many as a free download) it doesn't matter what OS was installed on the disk. If it holds data – corrupted or otherwise – it can be retrieved, bank accounts recreated, chat transcripts reconstructed, images restitched. But don't be scared. Don't stop using the computer.
While it's virtually impossible to make a machine connected to the internet impenetrable to attacks, you can make an attacker's task difficult and also ensure they have nothing to learn from a compromised system. Best of all, with Linux, and some pieces of open source software, it doesn't take much effort to secure your Linux installation.
There is no golden rule for security that applies in every single case, and even if there were it would have been cracked already. Security is something that needs to be worked upon, and personalised. Follow the tips and tools in this tutorial as we show you how to adapt them to your very own Linux installation.
Follow these six tips to get a safer computer the easy way
1 Theo kịp các cập nhật an ninh
1. Keep up with security updates
Tất cả các phát tán Linux để bàn dòng chính thống (như Debian, Ubuntu, Fedora, ...) có các độ an ninh làm việc với các đội đóng gói để đảm bảo bạn nằm trên đỉnh của bất kỳ chỗ bị tổn thương nào về an ninh. Thường thì các đội này làm việc với nhau để chắc chắn rằng các bản vá an ninh sẵn sàng ngay khi chỗ bị tổn thương bị phát hiện.
Phát tán của bạn sẽ có một kho chỉ chuyên cho các cập nhật an ninh. Tất cả việc bạn phải làm là phải chắc chắn kho an ninh cụ thể được bật (thường nó là mặc định), và chọn liệu bạn có thích cài đặt các bản vá một cách tự động hay bằng tay khi nhấn một núm.
Ví dụ, trong Ubuntu, hãy chọn System > Administration > Software Sources. Ở đâydưới trang Updates, hãy chỉ định cách mà phát tán thường xuyên nên kiểm tra kho an ninh cho việc cập nhật, và liệu bạn có thích cài đặt chúng mà không cần có khẳng định không, hay chỉ được lưu ý về các cập nhật.
Cái sau là một lựa chọn tốt hơn, vì nó cho phép bạn xem xét lại các bản cập nhật trước khi cài đặt chúng. Mà những cơ hội là chúng sẽ tốt, và bạn có thể tiết kiệm cho mình chút thời gian bằng việc nhờ phát tán của bạn cài đặt chúng một cách tự động.
Bổ sung vào với các cập nhật, phát tán cũng có một danh sách thư an ninh để công bố những chỗ bị tổn thương, và cũng chia sẻ các gói để sửa chúng. thường thì một ý tưởng tốt để giám sát danh sách an ninh đối với phát tán của bạn, và nhìn ra bất kỳ cập nhật an ninh nào đối với các gói mà là sống còn đối với bạn.
Có một độ trễ nhỏ giữa sự tuyên bố và gói đang được đẩy vào kho; Các danh sách thư về an ninh chỉ dẫn cho những người thiếu kiên nhẫn cách chộp và cài các cập nhật bằng tay.
All mainstream Linux desktop distros (such as Debian, Ubuntu, Fedora, etc) have security teams that work with the package teams to make sure you stay on top of any security vulnerabilities. Generally these teams work with each other to make sure that security patches are available as soon as a vulnerability is discovered.
Your distro will have a repository solely dedicated to security updates. All you have to do is make sure the security specific repository is enabled (chances are it will be, by default), and choose whether you'd like to install the updates automatically or manually at the press of a button.
For example, under Ubuntu, head over to System > Administration > Software Sources. Here, under the Updates tab, specify how frequently the distro should ping the security repository for updates, and whether you'd like to install them without confirmation, or just be notified about the updates.
The latter is a better option, because it lets you review the updates before installing them. But chances are they'll be fine, and you can save yourself some time by having your distro install them automatically.
In addition to the updates, distros also have a security mailing list to announce vulnerabilities, and also share packages to fix them. It's generally a good idea to keep an eye on the security list for your distro, and look out for any security updates to packages that are critical to you.
There's a small lag between the announcement and the package being pushed to the repository; the security mailing lists guide the impatient on how to grab and install the updates manually.
2. Vô hiệu hóa các dịch vụ không cần thiết
2. Disable unnecessary services
Một phát tán Linux cho máy để bàn khởi động một số dịch vụ sẽ được sử dụng cho càng nhiều người có thể càng tốt. Nhưng một người thực sự không cần tất cả các dịch vụ đó.
Ví dụ, liệu bạn có thực sự cần Samba cho việc chia sẻ các tệp qua mạng trên máy chủ an ninh của bạn hay không, hay dịch vụ Bluetooth để kết nối tới các dịch vụ Bluetooth trên một máy tính mà không có một thiết bị adapter Bluetooth hay không?
Tất cả các phát tán cho phép bạn kiểm soát các dịch vụ mà chúng chạy trên cài đặt Linux của bạn, và bạn nên sử dụng đầy đủ tính năng tùy biến này.
Trong Ubuntu, hãy vào System > Preferences > Startup Applications. Ở đây bạn có thể loại bỏ các dấu cạnh các dịch vụ mà bạn muốn vô hiệu hóa. Nhưng hãy cẩn thận khi tắt các dịch vụ nhé. Một số ứng dụng có thể dừng hoạt động vì bạn đã quyết định vô hiệu một dịch vụ mà chúng dựa vào đấy.
Ví dụ, nhiều ứng dụng máy chủ dựa vào các cơ sở dữ liệu, nên trước khi bạn tắt MySQL hoặc PostgreSQL thì bạn nên chắc chắn bạn không chạy bất kỳ ứng dụng nào mà dựa vào chúng.
A Linux desktop distro starts a number of services to be of use to as many people as possible. But one really doesn't need all these services.
For example, do you really need Samba for sharing files over the network on your secure server, or the Bluetooth service to connect to Bluetooth devices on a computer that doesn't have a Bluetooth adapter?
All distros let you control the services that run on your Linux installation, and you should make full use of this customisation feature.
Under Ubuntu, head to System > Preferences > Startup Applications. Here you can remove check marks next to the services you wish to disable. But be careful when turning off services. Some applications might stop functioning because you decided to disable a service on which they rely.
For example, many server applications rely on databases, so before you turn off MySQL or PostgreSQL you should make sure you aren't running any applications that rely on them.
3. Hạn chế truy cập Root
3. Restrict root access
Hầu hết các phát tán ngày nay không cho phép bạn đăng nhập như là root khi khởi động, mà điều đó là tốt. Khi bạn phải thực hiện một nhiệm vụ đòi hỏi những quyền siêu cao của người sử dụng thì bạn sẽ được nhắc đưa vào mật khẩu. Nó có thể làm bạn bực mình một chút nhưng về lâu dài nó đảm bảo chắc chắn rằng các nhiệm vụ của người quản trị được tách rời khỏi người sử dụng.
Bạn có thể hạn chế các quyền truy cập cho một người sử dụng từ trong System > Administration > Users and Groups. Ở đây bạn có thể phân loại một cách rộng rãi một người sử dụng như một người sử dụng máy để bàn hay là như một người quản trị hệ thống hoặc các quyền truy cập tùy biến một cách bằng tay. Mặc định, những người sử dụng được tạo ra như là với các quyền của 'người sử dụng máy để bàn' và không thể cài đặt các phần mềm hoặc thay đổi các thiết lập mà ảnh hưởng tới những người sử dụng khác.
Trên dòng lệnh, lệnh su (trong Fedora, và tương tự ...) cho phép những người sử dụng thông thường chuyển sang tài khoản root, trong khi lệnh sudo (trong Debian, Ubuntu, ...) trao nhiều quyền hơn cho người sử dụng. Sử dụng các lệnh này có thể được hạn chế đối với một nhóm cụ thể nào đó, mà nó ngăn ngừa bất kỳ người sử dụng nào khỏi việc quản trị hệ thống, sudo cũng là an ninh hơn đối với cả 2, và nó giữ một nhật kỳ truy cập trong /var/log/auth.log.
Tạo một thói quen thường xuyên quét nhật ký đối với những dự định thành công và không thành công của lệnh sudo.
Most distros these days don't allow you to login as root at boot time, which is good. When you have to execute a task that requires super user privileges you'll be prompted for a password. It might be a little irritating but it goes a long way to making sure that admin tasks are isolated from the user.
You can restrict access privileges for a user from under System > Administration > Users and Groups. Here you can broadly categorise a user as a desktop user or a system administrator or customise access privileges manually. By default, users are created as with 'Desktop user' permissions and can't install software or change settings that affect other users.
On the command line, the su command (on Fedora, and the like) lets normal users switch to the root account, while the sudo command (on Debian, Ubuntu, etc) grants more privileges to the user. The usage of these commands can be limited to a particular group, which prevents any user from administering the system. sudo is also the more secure of the two, and it keeps an access log under /var/log/auth.log.
Make a habit of regularly scanning the log for failed and successful sudo attempts.
4. Không tự động mount các thiết bị
4. Don't auto-mount devices
Nếu bạn thực sự quan tâm về an ninh, thì bạn cần học về tính năng tùy biến các thiết lập Users And Groups. Một trong những khu vực để nhìn vào là các thiết bị tự động mount.
Hầu hết các phát tán tự động mount các ổ USB và CD ngay khi chúng được chèn vào. Điều này là tiện lợi, nhưng cho phép bất kỳ ai mà đi qua máy tính của bạn, găm vào một đĩa USB và sao chép tất cả các dữ liệu của bạn. Để tránh tình trạng như vậy, hãy vào System > Administration > Users and Groups, hãy chọn người sử dụng của bạn và nháy chọn tab Advanced Settings > User Privileges.
Hãy chắc chắn bạn không chọn các ô tương ứng với lựa chọn Access External Storage Devices Automatically, Mount Userspace Filesystems, và Use CD-ROM Drives. Khi bỏ chọn, những lựa chọn này sẽ nhắc người sử dụng một mật khẩu trước khi trao cho họ sự truy cập tới những thiết bị này.
Bạn cũng có thể muốn vô hiệu hóa việc chia sẻ tệp trên mạng, cũng như yêu cầu người sử dụng gõ vào một mật khẩu trước khi kết nối tới các thiết bị Ethernet và không giây. Bằng việc vô hiệu hóa sự truy cập để cấu hình cho các máy in mà bạn ngăn ngừa được các dữ liệu quan trọng khỏi việc bị in ra.
If you're really concerned about security, you need to lean on the customisation feature of the Users And Groups settings. One of the areas to look at is auto-mounting devices.
Most distros auto-mount USB drives and CDs as soon as they are inserted. It's convenient, but allows anybody to just walk up to your machine, plug in a USB disk and copy all your data. To avoid such a situation, go to to System > Administration > Users and Groups, select your user and head to the Advanced Settings > User Privileges tab.
Make sure you uncheck the boxes corresponding to the Access External Storage Devices Automatically option, the Mount Userspace Filesystems, and Use CD-ROM Drives option. When unchecked, these options will prompt the user for a password before giving them access to these devices.
You might also want to disable sharing files on the network, as well as require the user to enter a password before connecting to the Ethernet and wireless devices. By disabling access to configure printers you prevent important data from being printed.
5. Không ở trên mép chảy máu
5. Don't stay on the bleeding edge
Các gói được đưa vào trong một phát tán Linux máy để bàn được cập nhật thường xuyên. Ngoài các kho chính thức, có các kho tùy ý cho các phần mềm của bên thứ 3. Trong khi các lập trình viên quan tâm chăm sóc tới việc quét các gói tìm các chỗ bị tổn thương trước khi đẩy chúng vào kho, thì hầu như không thể được rằng một số cập nhật với các khiếm khuyết cũng đã đi được qua.
Trong khi là tốt để giữ cho hệ thống được cập nhật, từ quan điểm an ninh, không phải tất cả các cập nhật đều là tốt đối với hệ thống. Một số cập nhật xung đột với gói được cài đặt đang tồn tại hoặc thậm chí có thể tạo ra những sự phụ thuộc mới mà có thể làm cho hệ thống dễ bị tấn công hơn. Tất cả điều này giải thích vì sao bạn chỉ nên cập nhật các gói nếu bạn phải làm.
Hãy quét các cập nhật và tìm kiếm các cập nhật cho các gói mà là sống còn với bạn. Hầu hết những trình quản trị gói cũng là cho có khả năng kiểm tra một cập nhật và hiển thị nhật ký thay đổi của nó và một mô tả ngắn gọn về những thay đổi. Những thay đổi giao diện người sử dụng có thể được bỏ qua một cách an toàn hoặc được làm chậm lại cho tới khi một gói đã được kiểm tra kỹ lưỡng. Thay vào đó, hãy tìm và tóm lấy những cập nhật nào mà nó sửa các vấn đề đang tồn tại với các gói.
Packages included in a desktop Linux distribution are updated regularly. Besides the official repositories, there are custom repositories for third-party software. While developers do take care to scan the packages for vulnerabilities before pushing them on to the repository, it's almost inevitable that some updates with defects do get through.
While it's good to keep the system updated, from a security point of view, not all updates are good for the system. Some updates conflict with existing installed package or may even pull in new dependencies that may make the system more prone to attack. All this is why you should only update packages if you have to.
Scan the updates and look for updates to packages that are critical to you. Most package managers also make it possible to check an update and display its changelog and a brief description of the changes. UI changes can safely be ignored or delayed until a package has been thoroughly tested. Instead, look out for and grab updates that offer a fix to existing issues with packages.
Không nâng cấp cứ mỗi 6 tháng một lần
6. Don't upgrade every six months
Hầu hết các phát tán Linux cho máy tính để bàn có phiên bản mới cứ 6 tháng một lần, nhưng bạn không phải cài đặt mỗi bản nâng cấp mới chỉ vì nó có. Ví dụ, Debian, đưa ra 3 phát tán để chọn dựa vào mức độ ổn định của phần mềm có sẵn trong đó. Sau Debian 6.0, các phiên bản ổn định sẽ được thực hiện 2 năm một lần.
Phát tán khác có một tiếp cận khác để đảm bảo an ninh cho các phiên bản. Ubuntu đánh dấu các phiên bản nhất định như là LTS - hỗ trợ dài hạn (Long Term Support). Một phiên bản LTS cho máy để bàn được hỗ trợ 3 năm, và phiên bản cho máy chủ được hỗ trợ 5 năm, mà là lâu hơn nhiều so với 18 tháng đối với một phiên bản tiêu chuẩn của Ubuntu.
Dù không cập nhật, nhưng những phiên bản này an ninh hơn nhiều từ quan điểm an ninh, với các gói mà ổn định hơn nhiều và được kiểm thử kỹ hơn nhiều so với những phiên bản mới nhất của chúng. Nếu chạy một hệ thống an ninh là mục tiêu của bạn, thì bạn nên nghĩ gắn vào với một trong những phiên bản hỗ trợ dài hạn và tránh bị lôi cuốn nâng cấp ngay khi phiên bản mới nhất trở nên sẵn sàng.
Most major desktop Linux distributions make a new release every six months, but you don't have to install every last upgrade just because it's there. Debian, for example, offers three distributions to choose from based on the extent of the stability of the software available in it. After Debian 6.0, stable releases will be made every two years.
Other distros take a different approach to guarantee secure releases. Ubuntu marks certain releases as LTS (or Long Term Support). A desktop release of the LTS version is supported for three years, and a server release is supported for five years, which is a lot longer than the 18 months for a standard Ubuntu release.
Although not up to date, these releases are much more secure from a security point of view, with packages that are a lot more stable and more thoroughly tested than their latest versions. If running a secure system is your goal, you should think of sticking to one of these long-term stable releases and avoid the temptation to upgrade as soon as the latest version of your becomes available.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.