Hướng dn ging dy
Hc phn 4 - Chng ch qun tr mng Linux Trang 224/271
BÀI 17
Linux Security
Tóm tt
Lý thuyết: 10 tiết - Thc hành: 10 tiết.
Mc tiêu Các mc chính Bài tp bt
buc
Bài tp làm
thêm
Bài hc gii thiu các
công c h tr cách
thiết lp Firewall trên
môi trường Linux như:
iptables, tcp_wrappers.
S dng iptables để
thc thi các k thut
NAT, Routing.
I. Log File
II. Gii hn user
III. Network security
Bài tp 7.1
(Linux
security)
Hướng dn ging dy
Hc phn 4 - Chng ch qun tr mng Linux Trang 225/271
I. Log File
Mt s file log chính trong h thng:
- File /var/log/messages: Cha các thông tin log ca h thng được daemon syslogd ghi nhn.
- File /var/log/secure : cha các thông tin v login fail, add user,…
- File /var/log/wtmp lưu các log v logon/reboot thành công vào h thng(ta có th s dng
last tool để xem thông tin này).
- File /var/run/utmp lưu các session hin ti đang logon vào h thng(ta có th dùng lnh who,
w để xem thông tin này).
II. Gii hn user
Thông qua tp tin /etc/nologin, ta có th ngăn chn vic login ca user trong h thng tr user
root.
Thư mc /etc/security/ cho phép người qun tr có th gii hn user CPU time, kích thước ti đa
ca file, s kết ni vào h thng(file /etc/security/limits.conf).
/etc/security/access.conf để gii hn vic login ca user và nhóm t 1 v trí c th nào đó.
Tham kho v cú pháp ca file /etc/security/limits.conf
<Domain> <type> <item> <value>
Trong đó:
<domain> :username, groupname(s dng theo cú pháp @groupname)
<type> : hard, soft.
<item>: core, data, fsize,…(ta tham kho file /etc/security/limits.conf)
III. Network security
Linux phân chia Network security thành hai loi chính:
- Loi 1: host based security
- Loi 2: port based security
III.1. Host Based security
Tcp_wrappers cung cp host based access control list cho nhiu loi network services như:
xinetd, sshd, portmap,…
Tcp_wrappers cung cp hai file cu hình /etc/hosts.allow và /etc/hosts.deny để ngăn chn hoc
cho phép các host request đến các dch v trong h thng. Cú pháp ca 2 file này như sau:
Service : hosts [EXCEPT] hosts
Ví d:
ALL: ALL EXCEPT .domain.com
Hướng dn ging dy
Hc phn 4 - Chng ch qun tr mng Linux Trang 226/271
III.2. Port based security
Linux kernel cho phép thc thi chc năng packet filtering trong h thng thông qua công c
iptables, ipchains.
III.2.1 Gii thiu v iptables
Iptables do Netfilter organization viết ra để tăng tính năng bo mt trên h thng Linux. Iptables
cung cp các tính năng sau:
- Tích hp tt vi kernel ca Linux.
-kh năng phân tích package hiu qu.
- Lc package da vào MAC và mt s c hiu trong TCP Header.
- Cung cp chi tiết các tu chn để ghi nhn s kin h thng.
- Cung cp k thut NAT
-kh năng ngăn chn mt s cơ chế tn công theo kiu t chi dch v(denial of service
(DoS) attacks)
III.2.2 Cài đặt iptables
Iptables được cài đặt mc định trong h thng Linux, package ca Iptables là iptables-1.2.9-
1.0.i386.rpm, ta có th dung lnh rpm để cài đặt package này:
Rpm –ivh iptables-1.2.9-1.0.i386.rpm
Khi động iptables và xác định trng thái ca iptables
Cho phép iptables start vào thi đim h thng khi động:
#chkconfig iptables on
start/stop/restart dch v DNS:
#service iptables restart
Xác định trng thái ca iptables
#service iptables status
III.2.3 Cơ chế x lý package trong iptables
Iptables s kim tra tt c các package khi nó đi qua iptables host, quá trình kim tra này được
thc hin mt cách tun t t entries đầu tiên đến entry cui cùng.
Có ba loi bng trong iptables:
- Mangle table: chu trách nhim biến đổi quality of service bits trong TCP header. Thông
thường loi table này được ng dng trong SOHO.
- Filter queue: chu trách nhim thiết lp b lc packet(packet filtering), có ba loi built-in
chains được mô t để thc hin các chính sách v firewall (firewall policy rules).
+ Forward chain: Lc packets đi qua firewall.
+ Input chain: Lc packets đi vào firewall.
+ Output chain: Lc packets đi ra firewall.
- NAT queue: thc thi chc năng NAT, cung cp hai loi build-in chains sau đây:
Hướng dn ging dy
Hc phn 4 - Chng ch qun tr mng Linux Trang 227/271
+ Pre-routing chain: NATs packets khi destination address ca packet cn thay đổi (NAT
t ngoài vào trong ni b).
+ Post-routing chain: NATs packets khi source address ca packet cn thay đổi(NAT tr
trong ra ngoài)
Loi hàng đợi
(Queue
Type)
Chc năng ca
hàng đợi
(Queue
Function)
Thay đổi packet
trong hàng đợi
(Packet
transformation
chain in Queue)
Chc năng ca Chain(Chain
Function)
Filter Packet filtering FORWARD Cho phép packet chuyn qua firewall
(Filters packets to servers accessible
by another NIC on the firewall)
INPUT Filters packets cho nhng gói tin đi
vào firewall (destined to the firewall)
OUTPUT Filters packets cho nhng gói tin đi
ra firewall (originating from the
firewall)
Nat Network Address
Translation
PREROUTING Quá trình NAT s thc hin trước
khi thc thi cơ chế routing. Điu này
thut li trong vic thay đổi địa ch
đích(NAT trong ra ngoài) để địa ch
đích cơ th tương thích vi bng
định tuyến ca firewall, khi cu hình
ta có th dùng t khoá DNAT để
t cho k thut này.
POSTROUTING Quá trình NAT s thc hin sau quá
trình định tuyến. quá trình này ng ý
rng ta không cn thay đổi địa ch
đích ca packet, ta ch cn thay đổi
địa ch ngun ca packet. K thut
này được gi là NAT one-to-one
hoc many-to-one. (được gi là
source NAT, hoc SNAT)
Hướng dn ging dy
Hc phn 4 - Chng ch qun tr mng Linux Trang 228/271
Loi hàng đợi
(Queue
Type)
Chc năng ca
hàng đợi
(Queue
Function)
Thay đổi packet
trong hàng đợi
(Packet
transformation
chain in Queue)
Chc năng ca Chain(Chain
Function)
OUTPUT Trong loi này firewall thc hin quá
trình NAT
Mangle Thay đổi TCP
header
PREROUTING
POSTROUTING
OUTPUT
INPUT
FORWARD
Thay đổi quality of service bits ca
TCP Header.