Cài đặt hệ điều hành LINUX REDHAT 8.0

Chia sẻ: Hai Hoang | Ngày: | Loại File: PDF | Số trang:33

0
693
lượt xem
214
download

Cài đặt hệ điều hành LINUX REDHAT 8.0

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Để cài đặt hệ điều hành chay trơn tru thoải mái, bạn cần có hệ thống PII, 64MB Ram trở lên , và phân vùng ổ cứng dành để cài Linux cần khoảng 2GB trở lên

Chủ đề:
Lưu

Nội dung Text: Cài đặt hệ điều hành LINUX REDHAT 8.0

 1. www.nhipsongcongnghe.net CÀI TH I U HÀNH LINUX REDHAT 8.0 1. M t s đi u lưu ý trư c khi cài: cài RedHat 8.0 ch y trơn tru tho i mái, b n c n có h th ng PII, 64MB Ram tr lên, và phân vùng c ng dành đ cài Linux c n kho ng 2GB tr lên. Tuy nhiên không có gì c n tr b n cài Linux trên m t h th ng có c u hình th p hơn, nhưng khi đó b n ch có th ch y v i các ng d ng h n ch trên h th ng. Nên tìm hi u thông s c u hình c a h th ng trư c khi cài đ t. i u này r t quan tr ng, giúp b n thu n l i trong quá trình c u hình h th ng sau khi cài đ t. B n s ph i l a ch n cho đúng thông s c a các linh ki n ph n c ng trong quá trình c u hình h th ng như: lo i card màn hình, lo i màn hình( t n s quét ngang, d c), card m ng, card âm thanh. v.v. C n chu n b phân vùng đĩa còn tr ng đ cài Linux. Linux c n t i thi u hai phân vùng là Linux Native (ext3) và Linux swap. ơn gi n, b n có th dùng Partition Magic đ phân chia đĩa. § M t partition là Linux native ext3. C n kho ng 2GB tr lên đ cài Linux, bao g m c KDE và Gnome, các ti n ích đ h a, multimedia, và l p trình. T i thi u b n c n 400MB và cài toàn b là 4,5GB. § M t partition là Linux swap, là phân vùng tráo đ i c a Linux dành cho vi c s d ng b nh o, làm không gian trao đ i. Thông thư ng, dung lư ng b nh o t i ưu s g p đôi dung lư ng b nh RAM c a h th ng. 2. B t đ u cài đ t: Cách đơn gi n và thông d ng nh t đ cài Redhat Linux là cài đ t t b CDROM: Kh i đ ng h th ng t b đĩa CD cài đ t ( CD s 1), và nh n Enter t d u nh c kh i đ ng đ m c đ nh cài đ t theo ch đ đ ho . Chương trình cài đ t s t đ ng dò thông s c a bàn phím, chu t, card màn hình, màn hình và sau đó đi vào quá trình cài đ t. Thông qua t ng bư c wizard đ b n ch n các thông s v h th ng như bàn phím, chu t, ngôn ng trong quá trình cài đ t, gi h th ng. a. Ch n ki u cài đ t:
 2. www.nhipsongcongnghe.net - Personal Desktop: dành cho ngư i m i b t đ u v i Linux ho c cho nh ng h th ng desktop cá nhân. Chương trình cài đ t s ch n l a nh ng gói ph n m m c n thi t nh t cho c u hình này. Dung lư ng đĩa c n cho ki u cài đ t này chi m kho ng 1,5GB, bao g m c môi trư ng đ ho . - WorkStation: dành cho nh ng tr m làm vi c v i ch c năng đ ho cao c p và các công c phát tri n. - Server: cài đ t h th ng đóng vai trò máy ch như webserver, ftpsever, SQL server.v.v. - Custom: đây là l a ch n linh ho t cho b n trong quá trình cài đ t. B n có th ch n các gói ph n m m, các môi trư ng làm vi c, boot loader tuỳ theo ý b n. b. Thi t l p phân vùng cài Linux: ây là quá trình nh y c m nh t và nguy hi m nh t trong quá trình cài đ t, vì ch c n b t c n ch n sai thì d li u trên c ng c a b n có th b m t s ch. Ch c năng “automatic partition” s giúp b n t đ ng t o các phân vùng cho Linux. Hãy c n th n n u b n ch n option “remove all partition on this system”, vì như th t t c các phân vùng trên c ng c a b n đ u b xoá. Option “remove all Linux partition on this system” s ch xoá các phân vùng c a Linux mà thôi đây, đ thu n ti n thì b n có th dùng Partition Magic đ phân chia đĩa trư c. T i giai đo n này ch là công vi c t o đ nh d ng cho phân vùng cài đ t mà thôi. Tuy nhiên b n v n có th thao tác phân chia phân vùng cài đ t d dàng v i Disk Druid. Thông thư ng, b n nên ch n “ Manually partition with Disk Druid ” đ t o các phân vùng: M t phân vùng ch a mount point là “/”, có ki u file h th ng là Linux Native ext3. M t phân vùng swap cho Linux, ki u c a phân vùng này là Linux swap, kích thư c t i ưu là g p đôi dung lư ng RAM c a h th ng hi n t i. Các button trên màn hình giao di n cho phép b n thao tác phân chia và đ nh d ng phân
 3. www.nhipsongcongnghe.net vùng. Nút New, Delete đ t o m i hay xoá m t phân vùng. Nút Edit đ đ nh d ng phân vùng đó, có ki u là gì (ext3, swap, fvat…), qui đ nh l i kích thư c, là thư m c gì trong h th ng phân c p b nh . B n có th Reset quá trình thao tác n u chưa tho mãn yêu c u c a mình, chưa có m t thay đ i nào đư c th c hi n cho đ n khi b n hoàn thành công vi c v i Disk Druid. c. Cách qu n lý đĩa trong Linux: Trong c u trúc cây th b c c a Linux, cao nh t là “/”, dư i đó là /boot, /etc, /root, /mnt .v.v. i v i Linux, m i thi t b ph n c ng đ u đư c coi như file ho c thư m c n m trong h th ng phân c p cây thư m c. Ch ng h n h th ng c a b n có hai c ng thì đĩa c ng th nh t là /dev/had, c ng th hai là /dev/hdb. Trong cùng m t dĩa, các h th ng file đư c chia thành các phân vùng khác nhau. M t c ng có 4 phân vùng chính (primary) đư c đánh s th t t 1 đ n 4. tương ng v i c ng đ u tiên s là hda1, hda2 .v.v, phân vùng thu c ph n m r ng (extended) đư c đánh s b t đ u t s 5: ví d hda5, hda6 … d. Cài đ t boot loader ây là chương trình dùng đ kh i đ ng Linux cũng như các h đi u hành khác (dual boot) khi b n có nhi u hơn m t h đi u hành đư c cài trên h th ng. Grub là boot loader m c đ nh khi cài RedHat 8.0. ây là chương trình r t m nh và uy n chuy n. Grub t đ ng dò các h đi u hành hi n có trên h th ng và thêm vào trong danh sách kh i đ ng. Các tuỳ ch n trên màn hình tương đ i d hi u. V i tuỳ ch n “ configure advance boot loader option” cho phép b n ch n vi c cài grub lên đâu trong c ng: N u ch n Grub đ kh i đ ng h th ng , grub s đư c cài lên Master boot record ( /dev/hda). N u ch n m t chương trình khác đ kh i đ ng như system commander ch ng h n, b n hãy ch n cài grub lên “first sector of boot partition”. Như v y, system commander s t đ ng nh n ra Linux và thêm vào m c nh p kh i đ ng cho Linux. e. C u hình account:
 4. www.nhipsongcongnghe.net Vi c c u hình acount dùng đ thi t l p m t kh u root và có th t o thêm các account khác đ log in vào h th ng khi vi c cài đ t hoàn t t. Tài kho n root là tài kho n có quy n cao nh t trong h th ng. B n có th cài đ t, c u hình h th ng hay làm m i chuy n m t khi đăng nh p vào h th ng v i tài kho n này. f. Các lưu ý l a ch n gói ph n m m cài đ t: V i Redhat 8.0, vi c ch n các gói ph n m m đ cài đ t đư c th c hi n r t thu n tiên khi các gói ph n m m đư c gom l i thành nhóm. Có th ch n cài các gói ph n m m ngay lúc này các gói c n thi t ho c có th cài thêm sau khi hoàn t t cài đ t. B n ch n m c “select individual package” đ cài thêm các gói mà m c đ nh s không cài cho b n. Ví d như mc (Midnight Commander, tương t NC trong DOS). Sau khi l a ch n xong, chương trình cài đ t s duy t các gói ph thu c đ b n cài thêm. Trong su t quá trình ch n gói ph n m m cài đ t, b n đư c thông báo dung lư ng c n đ cài đ t. Nên chú ý đ không vư t quá dung lư ng phân vùng mà b n đã dành cho Linux trong quá trình ch n l a. M t đi u chú ý là b n nên cài các programming develop và kernerl source, các thư vi n l p trình đ thu n ti n cho vi c sau này c n biên d ch l i nhân h đi u hành ho c cài đ t và biên d ch ph n m m và driver cho h th ng. g. C u hình X làm vi c đư c v i giao di n đ ho , b n c n c u hình cho X Window. N u may m n, card đ ho và màn hình c a b n s n m trong danh sách đư c Linux h tr . Còn n u không, cách ch c ch n v i lo i card đ h a đ ch y đư c là ch n lo i vesa. V màn hình, Linux s t dò cho b n ho c b n s c u hình b ng tay vi c ch n t n s quét cho màn hình. Hãy c n th n vì quá trình này d làm h ng màn hình và card đ ho c a b n. ây chính là lý do b n c n n m v ng thông s c a các linh ki n ph n c ng. N u không c n Linux t dò tìm và c u hình dùm b n, b n có th m file /etc/X11/XF86Config (ho c XF86Config-4) đ c u hình b ng tay. Sau khi nh n nút test đ ki m tra h th ng có ch y t t v i ch đ đ h a chưa, n u m i vi c suôn s , chúc m ng b n đã hoàn t t quá trình cài đ t Linux. Lưu ý v card đ h a
 5. www.nhipsongcongnghe.net M c dù Linux nh n d ng và h tr đúng nhi u lo i card đ ho đư c s n xu t trong 2 năm g n đây, sau khi c u hình, card đ ho v n ch y v i bus PCI cho dù card đ h a c a b n là lo i AGP, và b n v n chưa t n d ng đư c các ch ng năng đ ho 3D cao c p c a nó. Lý do là các nhà s n xu t linh ki n vì lý do b o m t và b n quy n nên chưa h tr cho các nhà phát tri n Linux. Tuy nhiên, hi n nay nhi u nhà s n xu t ph n c ng đã b t đ u h tr driver cho các linh ki n c a mình trên các h th ng Linux. Ch ng h n v i nhà s n xu t Nvidia, b n có th t i driver c a nó thông qua www.nvidia.com ho c ftp://download.nvidia.com/XFree86_40/1.0-3123. Các game 3D ch y v i hình nh r t m n màng không thua kém gì trên MS Window sau khi b n đã cài driver cho h th ng.
 6. www.nhipsongcongnghe.net Cách cài đ t font và in n ti ng Vi t trên Linux Có 2 cách cài đ t Unicode fonts cho X Window. 1. S d ng ttmkfdir (cách cũ) 2. S d ng fontconfig (cách m i cho Mandrake-9.0, RedHat-8.0) 1. S d ng ttmkfdir (cách cũ): a. T o /usr/share/fonts, n u chưa có, b ng l nh: mkdir /usr/share/fonts b. M utf8.tar.gz trong thư m c /usr/share/fonts b ng l nh: cd /usr/share/fonts && tar xvzf utf8.tar.gz c. T o danh sách ch a fonts b ng l nh: cd utf8 && ttmkfdir > fonts.scale && mkfontdir d. Báo cho fonts server bi t đ a đi m c a Unicode fonts b ng l nh: chkfontpath --add /usr/share/fonts/utf8 e. Kh i đ ng l i X font server b ng l nh: /etc/rc.d/init.d/xfs restart 2. S d ng fontconfig (cách m i cho Mandrake-9.0, RedHat-8.0): a. B utf8.tar.gz vô /usr/share/fonts và m nó ra b ng l nh: cp utf8.tar.gz /usr/share/fonts && cd /usr/share/fonts && tar xvzf utf8.tar.gz b. C p nh t danh sánch fonts b ng l nh: fc-cache Ch v y thôi không c n kh i đ ng l i xfs hay X. B n cũng có th b arial font (t i v đ a ch dư i) vô trong ~/.fonts và không ph i restart cái chi h t n u b n xài fontconfig (Red Hat 8 ho c 9 ho c Mandrake-9.1).
 7. www.nhipsongcongnghe.net Ví d : cd ~ mkdir ~/.fonts (n u chưa có) tar xvjf arial.tar.bz2 cp arialuni.ttf ~/.fonts Xem trang web ti ng Vi t và cách in ti ng Vi t: Thông thư ng n u b n xem trang web b ng Mozilla thì không c n ph i set font gì c . N u b n xài Konqueror trên Red Hat 8.0 thì b n ph i set fonts trong Konqueror như hình đây thì m i xem và in đư c ti ng Vi t. N u b n xài b n Mandrake m i nh t (9.1) thì b n s không c n làm gì h t. Vi c hi n th và in n ti ng Vi t đư c h tr r t t t. Thêm chi ti t: .Unicode fonts: có th t i v t http://www.vnlinux.org/fonts/utf8.tar.gz ho c http://www.vnlinux.org/arial.tar.bz2 n u b n v n chưa hi n th đư c tiêng Vi t 100% .fontconfig homepage t i http://www.fontconfig.org. .ttmkfdir có th t i v t http://www.joerg-pommnitz.de/TrueType/xfsft.html .mkfontdir n m trong gói XFree86-3x (ho c XFree86-4x) . Viet Unicode có nhi u fonts http://sourceforge.net/project/showfiles.p...lease_id=132517
 8. www.nhipsongcongnghe.net Th thu t b o m t cho Linux Trong bài vi t này, chúng tôi xin gi i thi u m t s kinh nghi m nh m nâng cao tính an toàn cho m t h th ng Linux (đ d theo dõi cho b n đ c, chúng tôi s minh ho b ng RedHat, m t phiên b n Linux r t ph bi n Vi t Nam và trên th gi i). Hi n nay, trên môi trư ng máy ch , Linux ngày càng chi m m t v trí quan tr ng. Nguyên nhân khi n Linux d n tr thành m t đ i th ti m n ng c a h đi u hành Microsoft Windows là do tính n đ nh, đ linh ho t và kh n ng ch u t i l n: đây là nh ng đ c đi m quan tr ng hàng đ u c a m t h th ng máy ph c v . Tính b o m t t t cũng là m t trong nh ng đi m n i b t c a Linux. Tuy nhiên, đ m th th ng Linux có kh n ng ch ng l i các cu c t n công, ngư i qu n tr cũng c n ph i n m đư c m t s k n ng nh t đ nh. Trong bài vi t này, chúng tôi xin gi i thi u m t s kinh nghi m nh m nâng cao tính an toàn cho m t h th ng Linux (đ d theo dõi cho b n đ c, chúng tôi s minh ho b ng RedHat, m t phiên b n Linux r t ph bi n Vi t Nam và trên th gi i). 1.1. Lo i b t tc các account và nhóm đ c bi t Ngay sau khi cài đ t Linux, ngư i qu n tr nên xoá b t tc các account và nhóm (group) đã đư c t o s n trong h th ng nhưng không có nhu c u s d ng, ví d như lp, sync, shutdown, halt, news, uucp, operator, games, gopher, v.v... (Tuy nhiên b n đ c c n bi t rõ nh ng account và nhóm nào không c n cho h th ng c a mình r i hãy xoá) Th c hi n vi c xoá b account v i l nh : # userdel Ví d , n u không có nhu c u v in n trên h th ng, có th xoá account lp như sau: # userdel lp Tương t như v y, có th th c hi n vi c xoá b các nhóm không c n thi t v i l nh
 9. www.nhipsongcongnghe.net # groupdel 2.2. Che gi u file ch a m t kh u T l ch s xa xưa c a Unix và c Linux, m t kh u c a toàn b các account đã t ng đư c lưu ngay trong file /etc/password, file có quy n đ c b i t t c các account trong h th ng! ây là m t k h l n cho các k phá ho i: M c dù các m t kh u đ u đư c mã hoá, nhưng vi c gi i mã ngư c là có th th c hi n đư c (và có th th c hi n khá d dàng, đ c bi t vì cơ ch mã hoã m t kh u không ph i là khó phá và ngày nay kh n ng tính toán và x lý c a máy tính r t m nh). Vì lí do trên, g n đây các nhà phát tri n Unix và Linux đã ph i đ t riêng m t kh u mã hoá vào m t file mà ch có account root m i đ c đư c: file /etc/shadow. (Khi s d ng phương pháp này, đ đ m b o tính tương thích, nơi v n đ t m t kh u trong file /etc/password ngư i ta đánh d u "x") N u b n đ c đang s d ng các phiên b n RedHat g n đây (ví d RedHat 6.x hay 7.x) thì nh ch n l a Enable the shadow password khi cài đ t RedHat đ s d ng tính n ng che gi u m t kh u này (Cũng th t may vì ch n l a này là m c đ nh trong h u h t các phiên b n Linux đang s d ng r ng rãi hi n nay) 3.3. T đ ng thoát kh i shell Ngư i qu n tr h th ng r t hay quên thoát ra kh i d u nh c shell khi k t thúc công vi c. B n thân tôi cũng đã t ng nhi u l n khi đang th c hi n vi c qu n tr v i account root thì b đi vì m t s công vi c khác. Th t nguy hi m n u lúc đó có m tk phá ho i đó: K này có th d dàng có quy n truy xu t h th ng m c cao nh t mà ch ng c n t n m t chút công s c nào c . gi m nguy cơ này, ngư i qu n tr nên cài đ t tính n ng t đ ng thoát ra kh i shell khi không có s truy xu t nào trong m t kho ng th i gian đ nh trư c b ng cách đ t m t tham s quy đ nh kho ng th i gian h th ng v n duy trì d u nh c shell. Mu n cài đ t tham s này, ngư i s d ng bi n môi trư ng TMOUT và gán cho nó m t giá tr s th hi n kho ng th i gian tính b ng giây h th ng v n duy trì d u nh c. th c hi n đi u này cho t t c các account trong h th ng, cách đơn gi n nh t là đ t nó vào file /etc/profile dòng l nh sau: (gi s ta đ t kho ng th i gian là 600 giây)
 10. www.nhipsongcongnghe.net TMOUT=600 Như v y là n u trong kho ng 10 phút ngư i s d ng không truy xu t shell, shell s t đ ng thoát ra. Tuy nhiên c n chú ý: M o này s không " n" n u lúc đó ngư i dùng đang ch y m t chương trình nào đó như vi hay mc,... Có nghĩa là ngư i dùng ph i đang làm vi c tr c ti p v i shell ch không ph i v i b t kỳ m t chương trình nào khác. 4.4. Lo i b các d ch v không s d ng M t đi u khá nguy hi m là sau khi cài đ t, h th ng t đ ng b t ch y khá nhi u d ch v (và đa s là các d ch v không mong mu n), d n t i t n tài nguyên và gây nên nhi u nguy cơ v b o m t. Ngư i qu n tr nên lo i b ngay l p t c các d ch v không dùng t i ngay sau khi cài máy. Ho c đơn gi n b ng cách xoá b các gói ph n m m/d ch v không s d ng (qua công c qu n tr gói ph n m m rpm c a RedHat) ho c s d ng công c ntsysv đ duy t xem t t c các d ch v đang cài đ t r i vô hi u hoá nh ng d ch v không c n thi t (b ng cách b đánh d u các d ch v không s d ng v i phím Space). Sau khi thoát ra kh i ntsysv thì kh i đ ng l i máy: các d ch v không mong mu n s không ch y n a. 5.5. Không ti t l thông tin v h th ng qua telnet D ch v cho phép truy xu t h th ng t xa telnet có kh n ng ti t l thông tin v h th ng, d t o đi u ki n cho nh ng k phá ho i t n công d a vào nh ng đi m y u đã bi t. i u này r t d nh n th y: M i ngư i dùng k t n i t xa vào d ch v telnet đ u nh n đư c thông tin v tên máy, phiên b n Linux và phiên b n c a nhân (kernel) c a máy ch . tránh đi u này, ta c n th c hi n vi c kích ho t telnetd (telnet server) v i tham s -h. (Tham s -h s ng n telnet ti t l các thông tin và ch in ra d u nh c "Login:" cho nh ng ngư i k t n i t xa). Do các phiên b n RedHat 7.x khi ch y telnetd không còn s d ng inetd n a (mà s d ng xinetd - m t phiên b n nâng c p và có nhi u c i ti n so v i inetd) nên cách c u hình l i telnetd s khác nhau tuỳ theo phiên b n RedHat đang s d ng. + V i các phiên b n RedHat 6.x và trư c đó, th c hi n các bư c sau: Trong file /etc/inetd.conf, thay đ i dòng
 11. www.nhipsongcongnghe.net telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd chuy n thành : telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h Ti p theo, kh i đ ng l i inetd b ng câu l nh: # /etc/rc.d/init.d/inetd restart + V i các phiên b n RedHat 7.x, th c hi n bư c sau: Trong file /etc/xinetd.d/telnet , thêm ch n l a: server_args = -h File trên s có d ng như sau; service telnet { disable = yes flags = REUSE socket_type = stream wait = no user = root server = /usr/sbin/in.telnetd log_on_failure += USERID server_args = -h } Ti p theo, kh i đ ng l i xinetd b ng câu l nh: # /etc/rc.d/init.d/xinetd restart 6.6. Tránh s d ng các d ch v không mã hoá thông tin trên đư ng truy n M c dù trên chúng tôi đã trình bày cách ng n d ch v telnet ti t l thông tin, nhưng chúng tôi xin có l i khuyên: Tuy t đ i tránh s d ng nh ng d ch v ki u như telnet, ftp (ngo i tr ftp anonymous) vì nh ng d ch v này hoàn toàn không h mã hoá m t kh u khi truy n qua m ng. B t kỳ m t k phá ho i nào cũng có
 12. www.nhipsongcongnghe.net th d dàng "tóm" đư c m t kh u c a b n b ng nh ng công c nghe lén ki u như sniffer. Ơ' nh ng trư ng h p có th , nên s d ng d ch v ssh thay th cho c ftp và telnet: d ch v SSH (Secure Shell) dùng cơ ch mã hoá công khai đ b om t thông tin, th c hi n mã hoá c m t kh u l n thông tin chuy n trên đư ng truy n. Hi n đang đư c s d ng khá r ng rãi, gói ph n m m c a SSH cũng đư c đóng kèm trong h u h t các phiên b n g n đây c a Linux. Ch ng h n, các phiên b n RedHat t 7.0 tr lên m c đ nh đ u cài OpenSSH, m t s n ph m mã ngu n m có th s d ng hoàn toàn mi n phí. (B n đ c có th tham kh o website www.openssh.org v s n ph m này). Ngoài ra, nh ng d ch v "r" ki u như rsh, rcp hay rlogin chúng tôi cũng khuyên nên tuy t đ i tránh s d ng. Lý do là các d ch v này ngoài vi c truy n m t kh u không mã hoá còn th c hi n vi c ki m tra quy n truy xu t d a trên đ a ch máy k t n i, là m t đi u c c kỳ nguy hi m. Các k phá ho i s d ng k thu t spoofing đ u có th d dàng đánh l a đư c cách ki m tra này khi "làm gi " đư c đ a ch c a máy truy xu t d ch v h pl . 7. 7. C m s d ng account root t consoles Có th b n đ c đ u nh n th y, ngay sau khi cài đ t RedHat, account root s không có quy n k t n i telnet vào d ch v telnet trên h th ng (ch nh ng account thư ng m i có th k t n i). Nguyên nhân là do file /etc/securetty quy đ nh nh ng console đư c phép truy nh p b i root ch li t kê nh ng console "v t lý" (t c là ch truy xu t đư c khi ng i tr c ti p t i máy ch ) mà b qua nh ng k t n i qua m ng. D ch v ftp cũng s b h n ch này: account root không đư c phép truy xu t ftp qua m ng. t ng tính b o m t hơn n a, so n th o file /etc/securetty và b đi nh ng console b n không mu n root truy nh p t đó. 8.8. C m "su" lên root Trong Linux, l nh su (Substitute User) cho phép ngư i dùng chuy n sang m t account khác. N u không mu n m t ngư i b t kỳ "su" thành root, thêm hai dòng sau vào n i dung file /etc/pam.d/su auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/Pam_wheel.so group=wheel
 13. www.nhipsongcongnghe.net Như v y, ch có nh ng ngư i có đ ng ký là thành viên c a nhóm wheel m i có quy n "su" thành root. cho phép m t ngư i dùng có quy n này, ngư i qu n tr ch vi c gán account c a ngư i này vào nhóm wheel (qua file /etc/group) 9.9. H n ch các thông tin ghi b i bash shell Thông thư ng, t t c các l nh đư c th c hi n t i d u nh c shell c a các account đ u đư c ghi vào file ".bash_history" n m trong thư m c cá nhân c a các account. i u này cũng gây nên nh ng nguy hi m ti m n, đ c bi t v i nh ng ng d ng đòi h i ph i gõ các thông m t như m t kh u trên dòng l nh. Ngư i qu n tr nên h n ch nguy cơ này d a trên 2 bi n môi trư ng HISTFILESIZE và HISTSIZE: Bi n môi trư ng HISTFILESIZE xác đ nh s l nh (gõ t i d u nh c shell) s đư c lưu l i cho l n truy nh p sau, còn bi n môi trư ng HISTSIZE xác đ nh s l nh s đư c ghi nh trong phiên làm vi c hi n th i. Ta có th gi m giá tr c a HISTSIZE và đ t b ng 0 giá tr HISTFILESIZE đ gi m t i đa nh ng nguy hi m đã nêu trên. th c hi n vi c này, ch c n đơn gi n thay đ i giá tr hai bi n này trong file /etc/profile như sau: HISTFILESIZE=0 HISTSIZE=20 Như v y, t i phiên làm vi c hi n th i, shell ch ghi nh 20 l nh g n nh t, đ ng th i không ghi l i các l nh ngư i dùng đã gõ khi ngư i dùng thoát ra kh i shell. 10.10. C m nhòm ngó t i nh ng file script kh i đ ng Linux Khi kh i đ ng Linux, các file script đư c đ t t i thư m c /etc/rc.d/init.d s đư c th c hi n. tránh nh ng s tò mò không c n thi t, ngư i qu n tr nên h n ch quy n truy xu t t i nh ng file này ch cho account root b ng l nh sau: # chmod -R 700 /etc/rc.d/init.d/* 11.11. Xoá b nh ng chương trình SUID/SGID không s d ng Thông thư ng, nh ng ng d ng đư c th c hi n dư i quy n c a account g i th c hi n ng d ng. Tuy nhiên, Unix và Linux s d ng m t k thu t đ c bi t cho phép m ts chương trình th c hi n dư i quy n c a ngư i qu n lý chương trình (ch
 14. www.nhipsongcongnghe.net không ph i ngư i th c hi n). ây chính là lý do t i sao t t c m i user trong h th ng đ u có th đ i m t kh u c a mình trong khi không h có quy n truy xu t lên file /etc/shadow: Nguyên nhân vì l nh passwd có gán thu c tính SUID và đư c qu n lý b i root, mà ch có root m i có quy n truy xu t /etc/shadow. Tuy nhiên, kh n ng này có th gây nên nh ng nguy cơ ti m tàng: N u m t chương trình có tính n ng th c thi đư c qu n lý b i root, do thi t k t i ho c do đư c cài đ t c tình b i nh ng k phá ho i mà l i có thu c tính SUID thì m i đi u t it đ u có th x y ra. Th c t cho th y, khá nhi u k thu t xâm nh p h th ng mà không có quy n root đư c th c hi n nh k thu t này: k phá ho i b ng cách nào đó t o đư c m t shell (ví d bash) đư c qu n lý b i root, có thu c tính SUID. Sau đó m i truy xu t phá ho t s đư c th c hi n qua shell này vì m i l nh th c hi n trong shell s đư c th c hi n dư i quy n c a root. Thu c tính SGID cũng tương t như thu c tính SUID: các chương trình đư c th c hi n v i quy n nhóm là nhóm qu n lý chương trình ch không ph i nhóm c a ngư i ch y chương trình. Như v y, ngư i qu n tr s ph i thư ng xuyên ki m tra xem trong h th ng có nh ng ng d ng nào có thu c tính SUID ho c SGID mà không đư c phép không? tìm t t c các file có thu c tính SUID/SGID, s d ng l nh find như sau: # find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls ưlg {} \; N u phát hi n đư c m t file có thu c tính SUID/SGID m t cách không c n thi t, có th lo i b các thu c tính này b ng l nh: # chmod a-s 12.12. T ng tính b o m t cho nhân (kernel) c a Linux Th c t cho th y, Linux không h n đư c thi t k v i các tính n ng b o m t th t ch t ch : khá nhi u l h ng có th b l i d ng b i nh ng tin t c thông th o v h th ng. Do đó, vi c s d ng m t h đi u hành v i nhân đư c c ng c là r t quan tr ng: M t khi nhân - ph n c t lõi nh t c a h đi u hành - đư c thi t k t t thì nguy cơ b phá ho i s gi m đi r t nhi u. B n đ c có th xem xét vi c c ng c nhân Linux thông qua các mi ng vá (patch). Tôi xin gi i thi u m t trong nh ng website t t nh t chuyên cung c p các mi ng
 15. www.nhipsongcongnghe.net vá b sung cho nhân Linux v b o m t t i đ a ch www.grsecurity.net. T i đây b n đ c có th tìm hi u thông tin h u ích và t i xu ng các mi ng vá b sung cho h th ng Linux c a mình.
 16. www.nhipsongcongnghe.net B om th th ng *nix v i PAM 1. tv nđ Ch c h n b n đã t ng t h i t i sao các chương trình ftp, su, login, passwd, sshd, rlogin … l i có th hi u và làm vi c v i shadow password; hay t i sao các chương trình su, rlogin l i đòi hòi password; t i sao m t s h th ng ch cho m t nhóm nào đó có quy n su, hay sudo, hay h th ng ch cho phép m t s ngư i dùng, nhóm ngư i dùng đ n t các host xác đ nh và các thi t l p gi i h n cho nh ng ngư i dùng đó, …T t c đ u có th lý gi i v i PAM. ng d ng c a PAM còn nhi u hơn nh ng gì tôi v a nêu nhi u, và nó bao g m các module đ ti n cho ngư i qu n tr l a ch n. 2. C u trúc PAM - Các ng d ng PAM đư c thi t l p trong thư m c /etc/pam.d hay trong file /etc/pam.conf ( login, passwd, sshd, vsftp, …) - Thư vi n các module đư c lưu trong /lib/security ( pam_chroot.so, pam_access.so, pam_rootok.so, pam_deny.so, … ) - Các file c u hình đư c lưu trong /etc/security ( access.conf, chroot.conf, group.conf ,… ) +access.conf – i u khi n quy n truy c p, đư c s d ng cho thư vi n pam_access.so. +group.conf – i u khi n nhóm ngư i dùng, s d ng b i pam_group.so +limits.conf – thi t l p các gi i h n tài nguyên h th ng, đư c s d ng b i pam_limits.so. +pam_env – i u khi n kh năng thay đ i các bi n môi trư ng, s d ng cho thư vi n pam_env.so . +time – Thi t l p h n ch th i gian cho d ch v và quy n ngư i dùng, s d ng cho thư vi n pam_time.so. 3. Cách ho t đ ng c a PAM Thu t ng - Các chương trình login, pass, su, sudo, … trên đư c g i là privilege-granting application ( chương trình trao đ c quy n ). - PAM-aware application: là chương trình giúp các privile-granting application làm vi c v i thư vi n PAM. Các bư c ho t đ ng: 1. Ngư i dùng ch y m t ng d ng đ truy c p vào d ch v mong mu n, vd login.
 17. www.nhipsongcongnghe.net 2. PAM-aware application g i thư vi n PAM đ th c hi n nhi m v xác th c. 3. PAM library s d a vào file c u hình c a chương trình đó trong /etc/pam.d ( vd đây là login -> file c u hình /etc/pam.d/login ) xác đ nh lo i xác th c nào đư c yêu c u cho chương trình trên. Trong trư ng h p không có file c u hình, thì file /etc/pam.d/other s đư c s d ng. 4. PAM library s load các module yêu c u cho xác th c trên. 5. Các modules này s t o m t liên k t t i các hàm chuy n đ i ( conversation functions ) trên chương trình. 6. Các hàm này d a vào các modules mà đưa ra các yêu c u v i ngư i dùng, vd chúng yêu c u ngư i dùng nh p password. 7. Ngư i dùng nh p thông tin vào theo yêu c u. 8. Sau khi quá trình xác th c k t thúc, chương trình này s d a vào k t qu mà đáp ng yêu c u ngư i dùng ( vd cho phép login vào h th ng ) hay thông báo th t b i v i ngư i dùng. 4. Bây gi chúng ta s nghiên c u file config Listing 10-1: The /etc/pam.d/rlogin file #%PAM-1.0 auth required /lib/security/pam_securetty.so auth sufficient /lib/security/pam_rhosts_auth.so auth required /lib/security/pam_stack.so service=system-auth auth required /lib/security/pam_nologin.so account required /lib/security/pam_stack.so service=system-auth password required /lib/security/pam_stack.so service=system-auth session required /lib/security/pam_stack.so service=system-auth Các dòng trong file config có d ng sau: module-type control-flag module-path module-args ----MODULE TYPE auth: th c hi n xác th c. Thông thư ng, m t auth module s yêu c u password đ ki m tra, hay thi t l p các đ nh danh như nhóm ngư i dùng, hay th kerberos. Account đi u khi n s ki m tra “b m t” v i yêu c u xác th c. Ví d , nó có th ki m tra ngư i dùng truy c p d ch v t m t host và trong th i gian cho phép hay không.
 18. www.nhipsongcongnghe.net Password: thi t l p password. Thông thư ng, nó luôn có s tương ng gi a m t module auth và m t module password.. Session: đi u khi n các nhi m v qu n lý session. ư cs d ng đ đ m b o r ng ngư i dùng s d ng tài kho n c a h khi đã đư c xác th c.. ----PAM MODULE CONTROL FLAGS Require: c đi u khi n này nói v i PAM library yêu c u s thành công c a modules tương ng, vd “auth required /lib/security/pam_securetty.so” à module pam_securetty.so ph i thành công. N u module đó không đư c th c hi n thành công thì quá trình xác th c th t b i. Nhưng lúc đó, PAM v n ti p t c v i các module khác, tuy nhiên nó ch có tác d ng nh m tránh kh i vi c ngư i dùng có th đoán đư c quá trình này đã b th t b i giai đo n nào. Sufficient: c này khác v i c trên ch , khi có m t module th c hi n thành công nó s thông báo hoàn thành ngay quá trình xác th c, mà không duy t các module khác n a. Requisite: c này có ý nói PAM library lo i b ngay quá trình xác th c khi g p b t kỳ thông báo th t b i c a module nào. Optional: c này ít khi đư c s d ng, nó có ý nghĩa là module này đư c th c hi n thành công hay th t b i cũng không quan tr ng, không nh hư ng quá trình xác th c. ----MODULE-PATH – ư ng d n đên thư vi n PAM. ----ARGUMENTS – Các bi n tùy ch n cho các module. Các module ( auth, account, password, session ) đư c th c hi n trong stack và chúng đư c th c hi n theo th t xu t hi n trong file config. Các chương trình yêu c u xác th c đ u có th s d ng PAM. 5.Sau đây tôi xin gi i thi u ch c năng c a m t s module _ pam_access.so: - Support module type :account - Module này s d ng file thi t l p trong etc/security/access.conf .
 19. www.nhipsongcongnghe.net File c u hình này có d ng như sau: < + or - > : : + : grant permission - : deny permission V i username list là ngư i dùng hay nhóm ngư i dùng, tty list là login qua console, host list xác đ nh các host hay domain. Chúng ta có th s d ng các t khóa ALL=t t c , EXCEPT=tr , LOCAL=c c b . Ví d sau cho c m osg login t t t c , và cho phép linet login t xa. account required pam_access.so -:osg:ALL +:linet:ALL EXCEPT LOCAL pam_chroot.so: Support module type :account; session; authentication Dùng đ chroot cho các user thi t l p trong /etc/security/chroot.conf Ví d , tôi th c hi n chroot cho sshd đ ngư i dùng linet ch có quy n truy c p trong /home/osg mà không có quy n truy c p đ n các thư m c home c a ngư i dùng khác Thêm dòng sau trong /etc/pam.d/sshd ( lưu ý trong /etc/sshd/sshd_config ph i thi t l p UsePAM = yes ) session required pam_chroot.so _ pam_deny.so: Support module type: account; authentication; password; session Module này luôn tr v giá tr false. Vd nó đư c dùng trong /etc/pam.d/other đ t ch i m i truy c p c a ngư i dùng khi truy c p vào các PAM-aware program mà không có file c u hình PAM - Acount module type: T ch i ngư i dùng quy n truy c p vào h th ng #add this line to your other login entries to disable all accounts login account required pam_deny.so - Authentication module type: t ch i truy c p, thi t l p giá tr m c đ nh. vd trong /etc/pam.d/other. Khi ngư i dùng login vào h th ng, đ u tiên s g i các module trong /etc/pam.d/login ra và yêu c u ngư i dùng nh p thông tin tương ng ( username, password ), n u các thông tin này không đáp ng thì PAM s g i /etc/pam.d/other ra đ deny quy n truy c p. #/etc/pam.d/other
Đồng bộ tài khoản