YOMEDIA
ADSENSE
Tìm hiểu An toàn bảo mật trên Linux
80
lượt xem 20
download
lượt xem 20
download
Download
Vui lòng tải xuống để xem tài liệu đầy đủ
Tham khảo tài liệu 'tìm hiểu an toàn bảo mật trên linux', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
AMBIENT/
Chủ đề:
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Tìm hiểu An toàn bảo mật trên Linux
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 1 Gii h ệ ớ t iu N à n y tê mạ g I tr e k dệ ,n ư it đ n tự hệ g y a , rn n nen t ỳ iu g ờ a a g h c in h n t đ l ga dc mỗ n à (tê d ớ 2 n à t U D mỗ n m) à g ỷ ô a io ị h i g y rn ư i g n ỷ S iă . Mộ k ố lợ gh n h áv t nb ck ổ gl đ n đ ợ t t c cđệ t h iư n à g o à i ạ h n ồ a g ư c ỷ ỷ á in ề t t h n c u ể đ v n tự s l min mồ b ob c on ữ g ty ử í o h yn i à ó h c ự à ếg ié ở h hn a ă tộ h y k ủ g b c c “ti h c. S p á tin n a h c ó g n r m a h n ố ó ó r tứ ” ự h t r ể hn hn c amạ gmá t hl đề tt ế . à gn à c k ô gbế b on iu ủ n y í à iu ấ y u H n g y ó h n it a hê n n ư i h m ga v o h tố g tô g t tà c u mà c ú g t g i à g ờ ta i à ệ hn hn i on ần hn a ọ l I tr e.N ữ g c n t ln c c d a h n hệ ,c c tư n đ ih c nen t h n ô g y ớ , á o n g ip á r ờ g ạ ọ c n n ư c ctư n p ổ tô g n à c n tn v h n c tế c rt ù g h á rờ g h h n g y à g ă g à ơ ả h ó ấ rtn iu n ư i a g n i n tự ty n s ố 2 / 4 gờ mỗ n à , ấ hề g ờ đ n ố mạ g r c u ế u t 4 2 i i gy b yn à to gtầ . r n b i ả hmộ l nmạ gtà c uv i à g ả g y rn u n To g ố c n tiê n on ầ ớ hn c ụ tiun ư i ử d n n ư I tr e tì ấ đ a tà tô gt tở hcr ệ g ờ s ụ g h ne n t h v n ề n o n h n i r n n n p ứ tp v c p tith n D đ mộ c u h i h n mấ d c ị ê h c ạ à ấ hế ơ . o ó t â ỏ kôg y ễ hu đ t al :l umạ gmá t hc ac ú gt s p ả b tnc n b t ứ ặr à i ệ n y í ủ h n a ẽ h i ịấ ô g ấ c n lúc nào? S b ov c ab t ỳmạ gmá t hn ođ ut nc n l f ự ả ệ ủ ấk n yín à ầ i ũgà i ê rewall v p ầ mề n u n mở n ư Ln x V c u c u ệ v a tà mạ g à hn n gồ h iu . à â h y n ề n o n n k ô g c h i ế tú . icgữ a tà mộ h tố g k ote c ú g h n ó ồ k t h c Vệ i n o n t ệ hn é ho hn t p ả c n ư gkế tứ tt ềh đề h n , n T P I c s v a h i ó h n in h c ố v ệ iu à h mạ g C /P ơ ở à q ả tịdc v .C n v is g iý c a gá vê h ớ g d n v tm un r ị h ụ ùg ớ ự ợ ủ i in ư n ẫ à ầ q a tọ g c a vệ a tà tô g t l n mạ g ở đ y c ú g ti h u n r n ủ ic n o n h n i i nê n , â h n ô cỉ tìhb ymộ c c tn q a n ữ gv n n i iu c tểv c np ả r nà t á h ổ g u n h n ù g ơ Ln x ó h à ầ h i đ ợ gữ a tà , h n tê v o đ l c cln c b n n ữ g kn ư c i n o n n ữ g h m à ó à á ệ h ơ ả , h n ih n im to gn u ê tca tà v b ov h tố gmạ g gệ r n g y n ắ n o n à ả ệ ệ h n n. N ó s hvê tự hệ : h m i in h c in n - N u ễ H yC ư n g yn u h ơg - L T ị u ề Ta g ê h H y n rn G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 2 I. A t à c oc cga d c tê mạ g n o n h á io ịh r n n C rtn iu dc v mạ g tu ề t ố g ga t p t ô g q a ga t ứ v n b n ó ấ hề ịh ụ n r y n h n io i h n u io h c ă ả ế k ô g mã h á n ư T L E ,F P R O I ,H T ,P P .T o g c c ga dc gữ hn o , h E N T T , L G N T P O 3 rn á io ịh ia n ư i ù g v i y c ủ ttc c ct ô g t d n g i ư ctu ề q a mạ g d ớ g ờ d n ớ má h , ấ ả á h n i ạ g ó đ ợ r y n u n n ưi hn tứ v nb nk ô gđ ợ mãh á C cg i i n yc t ểd d n b c ặ v s o ìh h c ă ả h n ư c o . á ó t à ó h ễ à g ịh n à a n c é ởmộ để n ođ tê đ ờ gđ. icgả mãc cg i i n yrt ễd n , h hp t im à ó rn ư n i Vệ ii á ó t à ấ d à g co n p é ly đ ợ c ct ô g t n ư tn n ư i ù g mậ k ẩ v c ct ô g t q a hp ấ ưc á hn i h ê gờ dn, t hu à á hn i un n n tọ g k á .Vệ s d n c cga dc mạ g đ ợ mã h á k in c o vệ gả mã rn h c ic ử ụ g á io ịh n ưc o hế h ic ii t ô g t tởn n k óh n v gú b n gữ a tà c ct ô g t q a tọ g C ck h n i r ê h ơ à ip ạ i n o n á h n i u n rn . á ỹ n n t u t h n d n hệ n yl IS c S L T S S S v P I h ậ t ô g ụ g in a à P e , S , L , A L à K . Q ả tị ừ x l mộ t h n n h p d n c a c ch t ố g U I .N ư i u n tị u n rt a à tín ă g ấ ẫ ủ á ệ h n NX g ờ q ả r mạ gc t ểd d n tu n ậ v oh t ố gt b t ỳn i à tê mạ gt ô gq a n ó h ễ à g r y h p à ệ h n ừ ấ k ơ n o rn n hn u c cga t ứ t ô g d n n ư tle,r gn Mộ s c n c q ả tị ừ x đ ợ s á io h c h n ụ g h en t l i. t ố ô g ụ u n r t a ư c ử o d n rn ri h l u c n, b n c n d n ga t ứ k ô g mãh á Vệ t a ụ g ộ g ã n ư i x o f we mi ũ g ù g io h c h n n o . ic h y t ếtt ảc cdc v mạ gd n ga t ứ k ô gmãh áb n ga tứ c mãh á h ấ c á ịh ụ n ù g io h c h n o ằ g io h c ó o l rtk ó T yn in b n n n c n c p vệ tu c p c cdc v tu ề t ố g n ư à ấ h . u hê , ạ ê u g ấ ic r y ậ á ịh ụ r y n h n h H T / O 3t ô gq aS L c n n ưt a t ếc cdc v tle, lgnb n S H T P P P h n u S , ũ g h h y h á ịh ụ en t r i ằ g S . o Ng y n t cb ov h t ố g mạ g uê ắ ả ệ ệhn n 1. H ạ hđn h t ố gb ov mạ g o c ịh ệ h n ả ệ n T o g mô tư n mạ g p ả c s đ m b o rn n ữ g d l u c t h bí rn i rờ g n, hió ự ả ả ằg hn ữ i ệ óí n mậ p ả đ ợ c t i r n , a c oc ỉ ón ư i ót ẫ q y nmớ đ ợ p é tu t h i ư c ấ gữ i g s o h h c g ờ c h m u ề ê i ư c h p ry c pc ú g B omậ t ô gt l vệ lm q a tọ g v vệ b ov h ạ đ n mạ g ậ hn. ả t h n i à ic à n u n rn , à ic ả ệ o t ộ g n c n c tm q a to gk ô gk m. ũg óầ u n rn h n é Mạ g má t h c n đ ợ b o v a tà ,tá h k ỏ n ữ g hể h ạ d v n yí n ầ ư c ả ệ n o n r n h i h n im o o ô t h h y c ýT y n in mộ n à q ả tị n c n p ả bế b tc c i ì ũ g c ìn a ố .u hê t h u n r mạ g ầ h i it ấ ứ á g c n ó mứ đ ,k ô g n n t á q á Mạ g k ô g n a t t itp ả đ ợ b o v q á c n c ộ h n ê h i u . n h n h as hế h i ư c ả ệ u ẩ mậ, ế mứ n ư i ù glô g pk ók ă k i r yn ậ mạ gđ tự hệ n im tđ n c g ờ d n u n ặ h h n h tu h p n ể h c in hệ v c a mìh K ô g n n đ h t ấ v n k i ố g n tu c p c tp t c a c íh ụủ n . h n ê ể ọ h t ọ g h c ắ g r y ậ á ậ i ủ hn n mìhB nhể h ạc íhđ i ớ s a nn c amạ gl: n . ố im o hn ố v i ự n ih ủ nà o T u n ậ mạ gb t ợ p á ry h p n ấ hp hp o S c nt ipb n p ư n t nđệ t ự a hệ ằ g h ơ g i in ử ệ o K tộ ẻ rm o T i o v t hh ặ c c ủý ahạ ô ì n oc ó h Mứ đ b o mậ : u t u c v o d n mô tư n to g đ cộả t Tỳ hộ à ạg i r ờ g rn ó mạ gđ n h ạ đ n n ag ot ộg C íh s c b o mậ : H t ố g mạ g đ ih imộ tp h p hn á h ả t ệ hn n òỏ tậ ợ n u ê tc đề lậ v c íh s c n ằ lạ từ mọ r i o G ú h ớ g d n v ợ g y n ắ , iu u t à hn á h h m o i r i ủ r. ip ư n ẫ ư c q a c c t a đ iv n ữ g t h h ố g k ô g d kế to g q á tìh p á tin u á hy ổ à hn ì n u n h n ự in rn u r n ht r ể mạ g n. S đ p ò g đ p ò gn ữ gtu c pb t ợ p á ự ề h n : ề h n h n ry ậ ấ h p h p S c ứ g tự :tư c k itu n ậ mạ g b n g đ n tn đ n n ậ v ự h n h c r ớ h ry h p n, ạ õ úg ê ăg hp à p s wodh pl. as r ợ ệ Đ oto N ư i ù gmạ gđ ợ đ otoc u đ os c í k ả à ạ: g ờ dn n ưc à ạ h á ẽ ót h n n v ýp áh ỷmộ ti guyên ăg ô hu tà n A tà c ot it ị T ỳt u cở q ymôc n t, ộb mậ n o n h hế b: u h ộ : u ôg y đ í t d l u c cti g y nk ảd n . rn mô tư n mạ gn a gh n , ót ểk ô g ữ i , á à n u ê h ụ g To g ệ irờ g n gn àg c h hn G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 3 c c íh s c b o v p à c n c t c ứ n o N ư i ù g c ị tá h n im đ m ó hn á h ả ệ h n ứ g ó ổ h c à . g ờ d n hu rc hệ ả b oa tà c omá t hv d l uc ar n mìh ả n on h yín à ữi ủ i g n. ệ ê 2. Môhn b omậ ìh ả t Hi a môhn b omậ k á n a đ p á tin gú b ov a tà d l uv ìh ả t h c h u ã h t r , ip ả ệ n o n ữ i à ể ệ ti g y np ầ c n : ànuê hn ứ g B o v ti g y n d n c u g b n mậ mã g n mậ mã c o ả ệ à nuê ùg hn ằg t :ắ t h t n ti g y nd n c u g ừ g ànuê ùg hn T u c p k i ư cs c op é :l c ỉ ịh mộ s q y n n ấ r y ậ h đ ợ ự h h p à h đn t ố uề ht đn tê c s n ư i ù g kể ta tu n ậ ti g y n d n c u g c n c v o ịh rn ơ ở g ờ d n , im r r y h p à n u ê ù g h n ă ứ à CSDL user-access trên máy server 3. N n c omứ đ b omậ âg a cộả t Kể tá :T e d i o t ộ gtê mạ ht ô gq ati h ả im o n h o õ h ạ đ n rn n hn u àkon n ư i ù g g i ạ n iu d n bế c c ọ lcv o s n ậ k b o mậ c a má g ờ d n , h li hề ạ g in ố h n ọ à ổ h t ý ả tủ y s re. ip n ậ bế c ch ạ đ n b th p l h ặ k ô g c ủ đn . u g c p c c ev r G ú h n it á o t ộ g ấ ợ ệ o c h n h ịh C n ấ á t ô gt v c c d n to gt hh ố gc p ò gb nn ođ t u p í ử d n mộ h n i ề á h ù g rn ì n n un ó hn a à ó hn hs ụg t s ti g y n n ấ đn , àc n q y tđn p í ủ n ữ g ti g y n n yt e c c ố à n u ê h t ịh v ầ u ế ịh h c a h n à n u ê à h o á h t ứ n ođ . hc à ó Má t h k ô g đa K ô g c ổ đa c n v ổ mề C t ểt i yí n h n ĩ: h n ó ĩ ứg à m. ó h h h n mọ vện ư má t ht ô gt ư n , g ạ từ vệ lutữ d l utê đac n àh ii h y í h n h ờ g n o i r ic ư r ữ i rn ĩ ứ g n ệ h yđamề c cb . h n c n đak ở đ n . ók ả n n ga t p v i ev rv aĩ m ụ ộ K ô g ầ ĩ h i ộ g C h ă g io i ế ớ s re à đ n n ậ n ờ v o mộ c n c i R M k ở đ n đ cbệ đ ợ c i rn c r mạ g ăg hp h à t o hp O h i ộ g ặ it ư c à tê a d n. K i ậ má t h k ô g đa c i R M k ở đ n p á t hệ c o s re bế rn h bt y í n h n ĩ, hp O h i ộ g h t í iu h ev r it ằ g n n mu n k ở đ n . ev rtả li ằ g c c ti h n mề k ở đ n v o R M c a ó ố h i ộ g S re r ờ b n á n ả p ầ m hi ộg à A ủ má t h k ô g đav t đ n hể tị n hn đ n n ậ . h đ má t h đ ợ yín h n ĩ à ự ọ g in h mà ìh ă g h p K i ó yín ưc kt ố vi n . ế n i ớ mạ g Mãh ád l u N ư i amãh átô gt s n d n mậ mã o ữi : gờt ệ o hn i ag ạg n t b n mộ p ư n p á n o đ s o c o đ m b o t ô g t đ k ô g t ể n ậ bế ằg t hơg hp à ó a h ả ả h n i ó h n h h n it n đ ợ n u n i h n k ô g bế c c gả mã Mộ n ư i ử d n h ymộ h s c t ể ư c ế ơ n ậ h n it á h ii . t g ờ s ụ g a t ot ó h s d n t ô gt màk ô gs ả hh ở gđ nn ư i ửd n h ymộ h s k á . ử ụg hn i n hn ợ n ưn ế gờs ụg a t ot h c C ố gvr s: hn i u - N ă k ô gc ovr sh ạ đ n gn hn h i u ot ộg - S ac ữ h h i mộ mứ đ n ođ ữ ha ư ạở t cộà ó - C ặ đ n vr ss uk i ób cp á hn ứg i u a hn ộ ht N ă c ặ t h tạ g tu c p b th p p á l mộ to g n ữ g gả p á g n h n ì rn r y ậ ấ ợ h p à n t rn h n ii h p hệ n im n ấ đ tá h vr s D bệ p á c ủ y u l p ò gn ừ , ê n àq ả iu hệ h t ể rn i . o in h p h ế à h n g a n n h u n u tị n p ả b ođ m s oc omọ y ut c ntit ề đ s ns n : r mạ g h i ả ả a h i ế ố ầ hế đ u ã ẵ à g - Mậ mãđ gả k ản n tu c pb t ợ p á t ể im h ă g r y ậ ấ h p h p - C ỉ ịhc cđ cq y ntíhh pc omọ n ư i ù g h đn á ặ u ề hc ợ h igờdn - C cp oi đ t c ứ mô tư n mạ g c o n ư i ù g c á r fe ể ổ h c l i rờ g n h gờ dn ó t ểlpc u hn v d ytì i r ờ g đ n n ậ , a g m h ậ ấ ìh à u r mô tư n ă g h p b o ồ c c k tn imạ g v n ữ g k o n mụ c ư n tìh k i áếố n à hn hả c hơg r nh n ư i ù gđ n n ậ . gờdn ăg hp - Mộ c íhs c q y t ịhc t ểti h nmề n o t hn á h u ế đn ó h ả p ầ m à. G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 4 K ế tú b o mậ c ah t ố g mạ g in r c ả tủ ệhn n 1) C cmứ a tà t ô gt tê mạ g á c n o n h n i rn n n K ô g c đề g g il h à h o to g vệ a tà h t ố g mạ g n ư h n ó iu ì ọ à o n ả rn ic n o n ệ h n nh Ln x N đ ợ t itk đ l mộ h đề h n n i n v s p á tin mạ h mẽ iu . ó ư c hế ế ể à t ệ iu à h ố mạ g à ự h t r ể n c an c ỉ ểtptu gv os a tà . ệđề h n mãn u nmởl c i ì ủ ó h đ ậ r n à ự n o n H iu à h gồ à á g màc o h p é n ư i u n tị n v n ữ g n ư i h ttin n ữ g n ư i ù g tin min h p g ờ q ả r mạ g à h n g ờ p á r , h n g ờ d n r ể ề ê t e d i à kể tá n ữ g g d b tn c n .Ở đ y k ô g c g h y n b v a h o õ v im o n h n ì ễ ị ấ ô g ấ hn ó ì uề ì ề n tà t ô g t . h t àttn u n ư c cti g y n đ ợ b omậ v đ ợ b ov tt on hn i Tậ l ố ế h á à nuê ưc ả n t à ưc ả ệ ố tư cb t ỳs x m p ạ v t hh yc ý rớ ấ k ự â hm ô ì n a ố. A tà h yb omậ k ô gp ả l mộ s np ẩ n c n k ô gp ả l mộ n on a ả t h n h ià t ả h m, ó ũ g h n h ià t p ầ mề . ól mộ c c n h. ự a tà c t ểđ ợ k ở đ n v d n n ư mộ hn nN à t á h g ĩS n o n ó h ư c h i ộ g à ừ g h t dc v .B o mậ l c c a tà .T iiu b o mậ l t l u mà n ữ g t à h vê ịh ụ ả t à áh n o n à l ệả tà ư iệ h n h n in c at c ứ mu nb ov . r c n im c avệ b omậ l n ư i u ntị n . ủ ổ h c ố ả ệ T á h hệ ủ ic ả t à g ờ q ả r mạ g S a tà mạ gc v i r q a tọ gti a . ntà p ả đ ợ đ m b ot ự n on n ó a tò u n rn ố c o A o n h i ư c ả ảừ n ữ g n â t b n n o i en l ti h n c tli ủ Ln x s re.C c ế b o mậ h n h n ố ê g à k r e, ạ p ầ ố õ c a iu ev r ơ h ả t c n p ả b og m c u hn mạ gc aS re, h v ứ g d n c at c ứ mạ g v ầ hia ồ ấ ìh n ủ ev r c u i n ụ g ủ ổ h c nà t ậ c í ủ n ữ g c e ttu n ậ mạ g t x .C v i á h mà t c n p ả x m h m h c a h n l n ry h p i n ừ a ó à cc a ầ hi e xét: o S a tà v t ý ự n on ậ l o A tà h t ố g n on ệ hn o A tà mạ g n on n o A tà c cứ gd n n on á n ụ g o S tu n ậ t x v vệ c ầ n ậ ự r y h p ừ a à ic h p h n 1. S a tà v t ý ự n on ậ l Đ ề n yl c b n v gá s tđ ợ ttk í c n a tà c ah đề h n iu à à ơ ả à im á ư c ố ha ạ h n o n ủ ệ iu à h Ln x S a tà v tl b tđ u v i i r ờ g x n q a h v d n ư đ i ớ c c iu . ự n o n ậ ý ắ ầ ớ mô tư n u g u n í ụ h ố v i á n à c n c p dc v h m h iC n n k o c ck ố d l u li N ữ g n ư i à h u g ầ ịh ụ ã ạ? ó ê h á á h i ữ i ạ? h n g ờ n o ệ đ ợ c ấ n ậ đ ợ v otu g tm d l u Vệ b ov t íh h pl p ả t ự hệ ư c h p h n ư c à rn â ữ i . ic ả ệ hc ợ à h i h c in ệ li h mu nx yd n mộ c i ặ mớ h yd c u ể d l uđ nmộ v tí i ạki ố â ự g t à đ t i a ih yn ữ i ế ệ t ị r mớ. G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 5 2. A tà h t ố g n on ệ hn S a tà h t ố g b oq a h vệ c ọ p â p ố h đề h n Ln x x y ự n o n ệ h n a u n ic h n h n h i ệ iu à h iu , â d n k r e, i ự a tà ti h ả n ư i ù g c op é tu c pt ư mụ tpt , ư g en l ớ s n o n à k o n g ờ d n , h h p r y ậ h t cậ i n mãh ás so v fes se C ctcv n yđ ợ h à t à h tư ck i ịh v n i o y lg à i y tm. á á ụ à ư c o n h n r ớ h dc ụ ố l v o I tr e.Vệ c ọ mộ p â p ố n o t ìtỳ t u c v o n ữ g n u c u h à n en t ic h n t hn hi à h u hộ à hn h ầnư c íh s c đ ợ p á t ả to g c c ế a tà .C mộ t u c u n đ c ọ mộ hn á h ư c h c h o rn ơ h n o n ó ti ê hẩ ể hn t p â p ố n ư gn k ô gt u cp ạ v c ab i à . icx yd n mộ k r e s n h n h i h n ó h n h ộ h m i ủ à n yVệ â ự g t en l ẵ c c h iợ t ế ó ó a li h : o N ữ go t na tà c an â đ ợ x cđn b i g ờ q ả tị n h n pi o n o n ủ h n ư c á ịh ở n ư i u n r mạ g v n ư i u n tị n bế c i ì ư cx cđn v o to g k r e v t đ y c t ể à g ờ q ả r mạ g it á g đ ợ á ịh à rn en l à ừ â ó h đ n t ờ n ậ r n u đề đ n u c .P ầ n m n u n mở n i h n v h đề ồ g h i h n a ế iu ó ế ó h n ề gồ ó c u g à ệ iu h n Ln xn i in , ặ bệ c n ữ gc i inđ d d n c on ư i ử d n v c à h iu ó r g đ c it ó h n ả t ê ế ể ễ àg h gờs ụg à ó n ữ gt níhd ứ gd n . h c nu d t to gR dH t h n i c ễ n ụ g C ỉ ầ p ae r n e a . ệ o S a tà c cti h ả gn ư i ù gc v i r t ln C n ữ gv n ự n o n á à k o n g ờ d n ó a tò o ớ . ó h n ù g đ ợ v hệ h á n ữ gti h ả gk ô gh ạ đ n , ôhệ h ávệ tu c pđ n ư c ô iu o , h n à k o n h n o t ộ g v iu o ic r y ậ ế N S ln g c h n c ến ữ gđ n n ậ v oto gmô tư n đề kể h t ố gMã F ê ố , ạ h h n ă g h p à rn i r ờ g iu in ệ h n . h á fe h t ô g s d n k t u tmã h á mà t ư n l p ò g t ủ c ố c n c o o i ệ hn ử ụg ỹ hậ l o hờg à hn h uiùg h mạ g n. C h i á h t p c n c u g H t ố g fe mã h á ( ó a cc i ậ h n : ệ h n i ế l o CFS) và Practical Privacy D s D ie( P D .H t ố g c t ểđ ợ t e d i à to g Ln x h t ố g lg ig ik r rP D ) ệ h n ó h ư c h o õ v r n iu , ệ h n o gn v đ ợ lg e to g t n íh s so .C n c t e d i a g m s th v lg h c . ư c o g d r n i c y lg ô g ụ h o õ b o ồ ệ wac à o c e k S th c c n c t ô g b o t ờ ga t ự , rn k io c e kc n c p mộ c n wac ó ô g ụ h n á h i in h c to g h lg h c u g ấ t ôg c mà p á sn n ữ g b o c o đn k . im tá P s wod c n c v i r s n ụ h t ih h n á á ịh ỳ Kể o n a s r ũ g ó a tò ố g c n to g vệ a tà , ả mậ h t ố g to g k i iin k ty u n ấ to g vệ ò rn ic n o n b o t ệ h n rn h mố l ê ế ế h t rn ic a tà mạ gl n ư i ửd n v vệ lac ọ c cmậ k ẩ p s wo d n on n à g ờ s ụ g à ic ự h n á t h u a s r. 3. An toàn mạ g n Ở đ y l n q a đ n vệ k tn i ừ Ln x s re v o mạ g C u hn dc v âi ê u n ế i ế ố t iu ev r à n . ấ ìh ịh ụ mạ gv i ự a tà n à c n k ók ă c on ữ gn àq ả tị n . The xinetd n ớ s n o n g y à g h h n h h n h u n r mạ g daemon c np ả đ ợ đn hn t c ứ b omậ. ệ hnetstat L mộ t níhmạ h ầ h i ư c ịh ìh ổ h c ả tLn à ti c ệ n c o p é n ư i u n tị im ta t h tạ g c u hn mạ g Kể ta mạ g l đề h h p g ờ q ả r kể r ì rn ấ ìh n n . im r n à iu c n titủ vệ a tà . iu n yđ m b orn c c ếa tà đ đ ợ t ự hệ ầ hếc a ic n o n Đ ề à ả ả ằ g ơ h n o n ã ư c h c in c hê q ả to g vệ h à t à h n ữ g y u c u b o mậ.Đ ề đ đ tđ ợ b i ó iu u rn ic o n h n h n ê ầ ả t iu ó ạ ư c ở q y n t ự hệ đ n mạ g c a b n C c t p c n vệ kể đn mạ g hệ q ả u ề h c in ế n ủ ạ . áh i ế ậ ic im ịh n iu u n ấ s to gv i r c an ư ià p in C n ữ gc n c kể đn c s v h s h t ẽ r n a tò ủ g ờ lm hề . ó h n ô g ụ im ịh ơ ở à o t c s. ơở SATAN(Security Administrator's Tool for Analysing Networks), SAINT( Security Administrator's Integrated Network Tool), SARA (Security Auditor's Research A ssa t l n ữ g c n c ttđ kể đn c b n S T N đ ợ đ u t n c n s itn ) à h n ô g ụ ố ể im ịh ơ ả . A A ưc ầ i ê ôg n ậ n m 1 9 , óđ ợ c n n ậ đ n đ ob i hn ă 9 5 n ư c ô g h n ô g ả ở mãn u nmở gồ . S I T mạ h h n S N N to g k i A A l mộ mo u a k g ,t ơ g tcv i AN n ơ A A , rn h S R à t d l ca e ư n á ớ Nmap và Samb .N ữ g c i in g n đ y n ấ l c n c N s u .N s u l min a hn ảt ế ầ â h t à ô g ụ es s es s à ễ p í n u n mởđ y đ n i ậ,c n c kể tà v n đ ợ h tợ c i in c i in h, g ồ ,ầ ủ ổ b t ô g ụ im o n ẫ ư c ỗ r ả t ế ảt ế t h c cN s u đ v o2 t à h p ầ :- Cin ( e s s v s re(n s s s. ô g c í ự .es s i à c hn hn l tn s u ) à ev r e s u ) C n ụ e N p c o n ư i u n tị iu kn n hệ Mặ k á N p c s cmạ h c n c ma h g ờ q ả r gà ih g im. t h c ma ó ứ n, ôg ụ q é c on ư i ókn n hệ N đ ợ s d n tt r n mạ gL N u t h g ờ c ih g im. ó ư c ử ụ g ố to g n A. T R ( ie A dtr R s a c A ssa tl mộ v d c oc n c kể tá c A A Tg r u i s e e rh s itn ) o à t í ụ h ô g ụ im o n ơ s h s. h od i n d ớ mộ s tn c n . ô g c đ t e d i ól P rS n r ở o t T e õ mạ g ư i t ự ấ ô g C n ụ ể h o õ đ à ot e ty v Eh ra.P r S n r q é to g c ế đ n ầ đn .B o mậ mạ g n ư mộ tò à t e e l ot e ty u t r n h ộ g m ịh ả tnh tr c ơ gữ mè v c u t c atí u v má đ m tí u . rn k i n kể tá l h i ia o à h ộ, ủ r t ệ à y ế r t ệ T o g h mạ g im o n à mộ p ầ c amạ gbn t ư n , n t e d i ầ p ả đ ợ ư t nc oh n Vệ t hn ủ n ìh h ờ g mạ g h o õ c n h i ư c u i a ơ . ic ê G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 6 b omậ b og m vệ kể tá c íhx cv c vệ c n nđ n ư t ếh yk ô g ả ta ồ ic im o n hn á à ả ic ó ê ể h h a h n . P rS n r l mộ v d c a c n c t e d i h i in t ự đ ợ t itk đ q é ot e ty à t í ụ ủ ô g ụ h o õ t ờ ga h c ư c hế ế ể u t p á hệ r h t ố g v c k ảc ob nn ữ gh i á . h t in a ệ h n , à ó h h ạ h n ồ đ p 4. C cứ gd n a tà á n ụ g n on Mộ v i e mo sc u nto gvệ p â p ố Ln xhệ t ờ l n ữ gứ gd n t à d a n h ẩ rn ic h n h i iu in h ià h n n ụ g đ y đ mà n c c u tú fe p ứ tp We ,fe mal ev rs d n n ữ g ga ầủ ó ó ấ r c i h c ạ . b i , is re ử ụ g h n io l l t ứ p ứ tp A tà c t ểđ ợ t ự hệ b i á đ ct h b omậ c avệ c c h c h c ạ . n o n ó h ư c h c in ở c c ặ í nả t ủ ic á đ iýc op é ( As n ưS n malQ iv P sf . ạ l h h p MT ‟ h e d i mal à o t x ) , i We S re c t ểc n đ ợ gữ a tà b i á mo u c op é :mo _ u h b ev r ó h ũ g ư c i n o n ở c c d l h h p d a t, mo _ u h d m, d a t _ b…. icc op é O e S h tợc oA a h s c n d a t _ b mo _ u h d , Vệ h h p p n S ỗ r h p c e ẽ ũ g c n tcv i b s re. a a c t ểlm a tà b i icđ cc ct ô g s đ n ô g á ớ we ev r S mb ó h à n o n ở vệ ọ á h n ố a g c ạ . ư cđ u t n s đ ợ b o v b i ô g c q ả tị b S mb ( A )v i L h y B ớ ầ i ẽ ư c ả ệ ở c n ụ u n r we a a S T ớ S L ê n nc cln q ả l S mb đ ợ b ov . ê á ệh uný a a ưc ả ệ 5. Chu vi an toàn C ps t n inc ac c t pc nđ ợ s pt n lpđ ns a tà má t h ấ ố ự hê ủ á h i ậ ư c ắ ừ g ớ ế ự n o n ế yín r k ỏ lpt lpmạ gđ nlpứ gd n , àt đ đ nlpc uv. â l v n đ ợ a h iớ ừ ớ n ế ớ n ụ g v ừ ó ề ớ h iĐ y à ù g ư c q a tm.Frwal l tà h p ầ c íh c a min c u v a tà ,l p ầ mề mà un â ie l à h n h n hn ủ s ề h i n on à hn n c ứ n n b t u ct c ứ b omậ a tà b i ộlc b omậ, ẩ mạ h h yy u hc ăg ắ bộ ổ hc ả t n o n ở b ọ, ả tđ y n, a ê c u n m to g Ln x s re đ k tn i ế c mạ g c íh v I tr e.Frwa e c ầ ằ rn iu ev r ể ế ố đ n ả n hn à n en t i eró t ểđ ợ t ự hệ n iuc c d atê c clpc amôhn O I lpmạ g lpga h ư c h c in hề á h ự rn á ớ ủ ìh S : ớ n , ớ io v n v ứ g d n . óđể t h c cv t u c cto g vệ tin k a f e r ti á ậ à n ụ g C im í ự à i ự rn ic r c ê ể h i i wa e ạ c c r lp c a mạ gFrwalmạ g đ ợ bế n ư c c packet-ftr g g twa ,n imà ớủ n .iel n ư c it h á iei ln ae y ơ c ú gkể tan ữ g i i I v oga dệ f e r v h ạ đ n p ùh pđ ợ gữ h n im r h g ó t P à io in i wa e à o t ộ g h ợ ư c i n r li h ạ đ n b o g m d o ,c o p é /h ặ lg S b tlil kể Frwaln y ạ. o t ộ g a ồ rp h h p o c o . ự ấ ợ à iu i e là k ô gk ô k é . i lga v n lm vệ b i h os tT Ph ặ U P Frwal ê h n h n h o Fr l io ậ à wa ic ở k ả á C o c D . i e ly u c u s c n t ip n ư i ù g s ađ i h n tủ t c Frwal n d n lm c oc c ầ ự a hệ g ờ d n ử ổ n ữ g h ụ . i e lứ g ụ g à há q y tđn tu n ậ ở tn ứ g d n . ó c o p é n ư i u n tị yf e lc o u ế ịh r y h p ầ g n ụ gN h h p g ờ q ả r ma i wal h r y uc uc amỗ lạ ứ gd n . a i ấ t nto gf e ll n ư i u ntị ầ đn êầủ io i n ụ g C c b t i rn i walà g ờ q ả r c n ịh ệ r hn tin k a te d i v b otì u tìh f e lc omỗ ứ g d n màc n tu ìh r ể h i h o õ, à ả r q á r n i wal h r i n ụg ầ ry n ậ đề k in h p iu hể . N lô l tt ẻt ự hệ b omậ b i ics d n k t ợ mộ f e lti ó u n à ô đ h c in ả t ở vệ ử ụ g ế h p t i wal ạ r ttc b tn đ tá h s tn t ư n .Frwal h n c ỉ ả tở n ữ g n ư ià ấ ả a ầ g ể rn ự ổ h ơ g i e lk ô g h c n r h n g ờ lm p in k ô gh pp á v omạ gn ư gp ả c op é n ư i ử d n tu n ậ b n hề h n ợ h p à n h n h i h h p g ờ s ụ g ry h p ê n o i à n u nti g y n to gk i óc ấ n ậ p êc u nn ấ đn n ữ gk t g à v o g ồ à n u ê , rn h đ h p h n h h ẩ h t ịh h n ế n is u c o n ư i ù g Đ y l n ậ tứ d n ư g đ l mộ t á h t ứ khi thi ố a h gờ dn. â à hn hc ễ hn ó à t hc h c hành. o Frwal n ie lmạ g C v ilit ế to g vệ s d n Ln x n ư n n tn f e r.S q ả l ó à ợ h rn ic ử ụ g iu h ề ả g i wa e ự u n ý r đ n b , h n c n , ố n ư i ù g kể tan n tn , ict ự hệ , i gữ c c ồ g ộ p ầ ứ g s g ờ d n , im r ề ả g vệ h c in gá ia á l d ti a . ự lcg iàlic hệ q ả v c c b o v po g p ậ vi tránh xâm ý o ạ s o S o ó l ợ íh iu u à á h ả ẩ tn h m n ậ .N ư i ử d n k ô g c n x cn ậ đ s d n t c y n ữ g dc v v n h p g ờ s ụ g h n ầ á h n ể ử ụ g i ậ h n ịh ụ ù g n bên ngoài. N ữ g gả p á c o vệ lcg i rn Ln x b o g m ic an v if d h n ii h p h ic ọ ó to g iu a ồ p h is à pwa m. t níhc avệ lcg i i đ ợ s d n to gn â t p inb n121v tư c i c ủ ic ọ ó t ư c ử ụ g rn h n ừ hê ả .. ề r ớ . ệ n P inb nc ố c n c aif d v ot á g7 1 9 , a đ ic an ta t ế hê ả u i ù g ủ pwa m à h n / 9 6 s u ó p h is h y h n . h n đa c ỉ p h isl n ữ g gớ h n tiu s tc aif d n ư đ m 3 bt ó N ữ g ị h I c an à h n ii ạ hế ó ủ pwa r h ế 2i , k ô g c k ả n n gả q y tc u t à h đa c ỉ P. ..I c an c in t ắ g c c h n ó h ă g ii u ế ấ h n ị h I, vv p h is hế h n á . gớ h n đ b i ictn d n li c c a b k n r n bệ h y n ữ g q y tcn i ii ạ ó ở vệ ậ ụ g ợ íh ủ a ê h i g it a h n u ắ ố ê t pđ lc B k n đ l :I P T O T U , àF R R . i ể ọ . a ê h ó à N U , U P T v O WA D ế G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 7 Tệ íhI c an t e c p á : in c p h is h o ú h p ipchains command chain rule-specification [options] -j action T i â c t ể mộ to g s k n I P T O T U h ặ F R R .N ư n â ạ đy ó h t r n ố ê h N U , U P T o c O WA D h h n 24 v tư c t h h ạ đ n mộ ln c a I c an đ ợ t a t ế b iN tl rv . ề rớ , í n ot ộg t ầ ủ p h is ư c h y h ở eft ie à k o n q ytcI tbe .N t l rđ ợ h tợ b i ô g n h Wac g ad I ca ls h ả g u ắ pa ls eft ư c ỗ r ở c n g ệ ie th u r . p tbe đ ợ p á tin t t n í c aI c an v n c ỉ h ytê n ữ g p in b n 23 v ưc htr ể ừ i c ủ p h is à ó h c ạ rn h n hê ả . ề ệh tư c rớ . Mộ v d v ln I tbe : t í ụ ề ệ h pa ls iptables -A INPUT -p tcp – dport smtp -j ACCEPT. - H ệ n y c n ữ g t itk f e l b tđ ợ h u h tc cc u tú mạ g p ổ in a ó h n hế ế i wal ắ ư c ầ ế á ấ r c r nh bế , á hệ đ ngả t e y uc uk t ố ti h n n i ấ p ứ tpk ot e k u in b o iu ơ in h o ê ầ ế n i ớ n ữ g ơ rt h c ạ é h o h v cđ ợ p i u ns h á D ) ự ư c h q â ự o ( MZ . II. B omậ Ln xS r e ả t iu e v r Nh n kn n h ệ b o mậ ữ g i h g im ả t H ệ n y Ln x đ n d n tở t à h mộ h đề h n k á p ổ bế b i íh in a iu a g ầ r h n t ệ iu à h h h in ở t n kn t, h n n b o mậ v s u ể c u ể c o T ến ư g mọ h t ố g d a ih ế k ả ă g ả t à ự yn h yn a. h h n , i ệ hn ù n toàn đ n đ u c n d d n b x m n ậ n u n ư i ù g v n ấ l n ư i u n tị ế â ũg ễ àg ịâ h p ế g ờ d n (à h t à g ờ q ả r - r o)k ô g đ ts b o mậ ln h n đ u S u đ y l mộ s kn n hệ v b o ot hn ặ ự ả tê à g ầ . â â à t ó ih g im ề ả mậ tê h đề h n R dH t iu màc ú gti ố c i s c n c cb n t rn ệ iu à h e a Ln x h n ô mu n ha ẽ ù g á ạ : 1. K ô g c o p é s d n ti h ả g r o t c n oe S u k i à đ t h n h h p ử ụ g à k o n o t ừ o s l: a h c i ặ, ti h ả g ro s k ô g c q y n k tn i en tv o dc v tle tê h t ố g à k o n o t ẽ h n ó u ề ế ố tle à ịh ụ en t rn ệ h n , to g k i đ ti k o n bn t ư n li c t ể k t n i d n i d n tp t rn h ó à hả ìh h ờ g ạ ó h ế ố, o ộ u g ậ i n / t/e u i c ỉ u đn n ữ g c n oeđ ợ p é tu c p b i o tv c ỉitk ecs c r y h q y ịh h n o s l ư c h p r y ậ ở ro à h l t ệê n ữ g c n oetu x ấ k i g i r ct p ti yc ủ Đ tn c ờ g b omậ h n h n o s l r y u t h n ồ tự i ạ má h . ể ă g ư n ả ế tơ n a h y s ạ t ả tp t / t/e u i v b đ n ữ g c n oe b n k ô g mu n ữ , ã o n h o ậ i ecs c r y à ỏ i h n o s l ạ h n n t ố r o tu c p o t ry ậ . 2. X áb t à k o n v n ó đ cbệ: g ờ q ả tị ê x áb tt ả o ớ ti h ả g à h m ặ itN ư i u n r n n o ỏ ấ c c cti h ả g v n ó đ ợ to s n to g h t ố g n ư g k ô g c n u c u s á à k o n à h m ư c ạ ẵ rn ệ h n h n h n ó h ầ ử d n . v d :l, y e s u d wn h l n ws u c , p rtr g me g p ẻ .T ự ụ g( í ụ p s n , h to , at e , u p o eao , a , o h …) h c , hệ vệ x áb ti h ả gb n ln u e e v x áb n ó v iệ hg o p e in ic o ỏ à k o n ằ g ệ h s d l à o ỏ h m ớ ln ru d l 3. T t á dc v k ô gs d n :Mộ đề k án u hể l s u k i à ắ c c ịh ụ h n ử ụ g t iu h g y im à a h c i đ t h t ố g t đ n c ạ k á n iu dc v , r n đ đ s l c cdc v k ô g ặ, ệ h n ự ộ g h y h hề ịh ụ to g ó a ố à á ịh ụ h n mo g mu n d n đ n t u tn ti g y n v sn r n iu n u c v b o mậ.V n ố , ẫ ế i ố à n u ê à ih a hề g y ơ ề ả ê tì v y n ư i u n tị ê ttc cdc v k ô g d n ti ty v h ặ x á b c cg i ậ g ờ q ả r n n ắ á ịh ụ h n ù g ớ( s s ) o c o ỏ á ó n dc v k ô gs d n b n ln r m ịh ụ h n ử ụ g ằ g ệ h p 4. K ô g c o “ U ( u si t)ln r o:L n s c o p é n ư i ù g h n h S ” S b t ue ê o t ệ h u h h p g ờ d n t c u ể s n ti h ả gk á . ế k ô gmu nn ư i ù g“u t à hr o t ì h m h yn a g à kon h c N u h n ố g ờ d n s ” h n o t h tê hai dòng sau v otpt / t/ a d s : à ậ i ecp m./u n Auth sufficient/lib/security/pam_root ok so debug Auth required/lib/security/pam_wheel.so group= tên_nhóm_root 5. C ed utpt mậ k ẩ :G a đ ạ đ u mậ k ẩ tà b ti h ả g hấậi n t h u ii o n ầ , t h u o n ộ à k o n đ ợ lu to gtpt / t/ a s r , ậ t màmọ n ư i ù gđ uc q y n đ c ư c ư rn ậ i ecp s wo d tp i n n i g ờ d n ề ó u ề ọ. Đ yl k h lnto gb omậ d mậ k ẩ đ ợ mãh án ư gvệ gả mãk ô g â à ẻ ở ớ rn ả tù t hu ưc o h n ic ii hn p ả l k ô g t ể t ự hệ đ ợ .D đ ,hệ n y c cn à p á tin Ln x đ đ t h ià h n h h c in ư c o ó in a á h h t r ể iu ã ặ G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 8 r n mậ k ẩ mã h á v o tp t / c/h d w c ỉ ó r o mớ đ cđ ợ ,n ư g ig ê t hu o à ậ i e ts a o h c o t i ọ ư c h n n y uc up ả c ọ E a l t es a o p s wo dk i à R dH t ê ầ h i h n n be h h d w a s r h c i e a. 6. L ô n n c pc on â ( en l Ln x Ln xk ô gh n đ ợ t it ế u n â g ấ h h n k r e) iu :iu h n ẵ ư c hế k v i íh n n b o mậ c ặ c ẽ k á n iu l h n c t ể b li ụ g b i i tc V ớt n ăg ả t h t h , h hề ỗ ỏ g ó h ịợ d n ở t ặ . ì n v yvệ s d n mộ h đề h n v i h nđ ợ n n c pl rt u ntọ gv mộ ậ ic ử ụ g t ệ iu à h ớ n â ư c â g ấ à ấ q a rn ì t k i h n p ầ c t õ n ấ c ah đề h n đ ợ t it ếtt h n u c b p áh ạ h n â , h n ố li h t ủ ệ iu à h ư c hế k ố tì g y ơ ị h o i s gả đ rt hề . ẽ im i ấ n iu 7. T đ n t o tk ỏ S el N ư i u n tị ệ tố g v k c n ư i ử ự ộ g h á h i h l g ờ q ả rh h n à ể ả g ờ s : d n bn t ư n rth yq ê t o tr d u n ắ s el h k tt ú c n vệ . h t ụ g ìh h ờ g ấ a u n h á a ấ h c h lk i ế h c ô g ic T â n u hể n u c mộ k n o s c tà q y n tu s ấ h t ố g mà c ă g tn g y im ế ó t ẻ à ẽ ó o n u ề ry u t ệ h n hn ố c ú c n s cn oc . ov yn ư i u ntị ê c i ặ t hn n t đ n t o t h i h t ô g ứ à ả D ậ g ờ q ả rn n à đ t í n ăg ự ộg há kỏ s el h k ô gc s tu x ấ to gk o n t ờ ga đn tư cb n c c s d n h lk i h n ó ự r y u t rn h ả g h i in ịh r ớ ằ g á h ử ụ g bế mô tư n in ir ờ g v g nmộ gátị u đn S gâ h t ố gd ytì ấ n ắ , àá t i r q y ịh ố iy ệ h n u r d u h c b nn nv otpt ạ ê à â i / c/p oi đ lô tcd n to gmọ p inlm vệ . n e t rfe ể u n á ụ g rn l i hê à ic 8. K ô gc op é tu n ậ tpt kc b nk ở đ n c aLn x K i ệ h n h h p r y h p ậ i ị ả h i ộ g ủ iu : h h nh đề h n Ln x k ở đ n ,c c tp t kc b n (cit đ ợ đ t titư mụ iu à h iu h i ộ g á ậ i ịh ả s r ) ư c ặ ạ h n p c / t/cd ii ds đ ợ g i h ctiV t ế đ tá hn ữ gs t mòk ô gc nt it ecr./ t ẽ ư c ọ t ự h. ì h , ể rn h n ự ò n. h n ầ hế t p í n ư i ù g v i ư c c n ư i u n tị b n n n h n c ếq y n tu x ấ ti ừ ha g ờ d n , ớ t á h g ờ q ả r ạ ê ạ h u ề r y u t ớ , c ctpt n yv c ỉ h p é ti h ả gr o x l b n ln s u á ậ i à à h co h p à k o n o t ử ý ằ g ệ h a : n #chmod – 700/etc/rc.d/init.d* R 9. G ớ h n vệ t ý g i h n t ô g t t s el T e mặ đn ,ttc ii ạ ic ự h nậ hn i ừ hl ho n : c ịh ấ ả ln đ ợ t ự titid u n ắ s elc a tik o n đ u đ ợ g iv o tp t ệh ưc h c h ạ ấ hc hl ủ à hảg ề ưc h à ậ i n .a h hsoy n u s b s s el to g t ư mụ c n â c a t n ti h ả g Đ ề b s _ itr( ế d a h h l rn h) c á h n ủ ừ g à k o n . iu n yg yn nv s n u hể t m ẩ , ặ bệ đ i ớ n ữ gứ gd n đ i ỏ n ư i à â ê ô ố g y im i ề n đ c it ố v i h n n ụ g ò h i g ờ d n p ả g t ô g t mậ k ẩ .D đ n ư i u n tị ê gớ h n vệ t ý g i ùg hi õ hn i n t h u o ó g ờ q ả r n n ii ạ ic ự h n ậ t ô gt t s el ự v oh i inmô tư n H S FL S Z v H S S Z : h n h n i ừ h ld a à a bế n i r ờ g I T IE I E à I T I E - Bế mô tư n H S FL S Z q y đn s ln g tid u n ắ s els in i r ờ g I T IE I E u ịh ố ệ h õ ạ ấ h c h l ẽ đ ợ luli h lntu c ps u ư c ư ạ c o ầ ry ậ a . - Bế mô tư n H S S Z q y đn s ln s đ ợ g i h to g p in in i r ờ g I T I E u ịh ố ệ h ẽ ư c h n ớ rn hê lm vệ hệ h n . à ic in à h V v y t s p ả gả gátị ủ H S S Z v c ogátị I T IE I Eb n ì ậ , a ẽ h i im i r c a I T I E à h i r H S FL S Z ằ g 0 đ gả t iu ti an ữ gn u hể B n t ự hệ vệ n yb n c c t a đ i ể im hể ố đ h n g y im. ạ h c in ic à ằ g á h h y ổ gátị a bế n utê to gtpt / t/ r fen ưs u i r h i in ê rn rn ậ i ecp oi h a : n l HISTFILESIZE = 0 HISTSIZE = xx T o gđ x l s ln màs el ẽg i h , ồ gt ờ k ô gg iạ b t ỳmộ rn ó x à ố ệ h h ls h n ớ đ n h i h n h li ấ k t ln n od n ư i ù gđ g k i g ờ d n to t h i h l ệ h à o g ờ d n ã õ h n ư i ù g h á k ỏ s el . 10. T cc ct n tìh S I / G D :Bn t ư n ,c ct n tìh đ ợ t ự ắái r ế n UD S I ìh h ờ g á i rế n ưc hc hệ d ớ q y n c ati h ả g i h cti n d n đ . ól d ớ wid ws n ư g in ư i u ề ủ à k o n ọ t ự h ứ g ụ g ó Đ à ư i n o , h n U i/iu lis d n mộ k t u tđ c bệ c o p é mộ s c ư n tìh đ ợ nx Ln x ạ ử ụ g t ỹ h ậ ặ it h h p t ố hơg r n ưc t ự hệ d ớ q y n c an ư i u n l c ư n tìh c ứ k ô g p ả n ư i ọ t ự h c in ư i u ề ủ g ờ q ả ý h ơ g r n h h n h i g ờ g ih c ti h ơ g tìh V đ yc íh l l d ti a ttc mọ n ư i ù gto g h t ố g h c ư n r . à â hn à ý o ạ s o ấ ả n i g ờ d n rn ệ h n đ uc t ểđ i t h uc amìhto gk i h n h c q y ntu x ấ lntpt ề ó h ổ mậ k ẩ ủ n rn h k ô g ề ó u ê r y u t ê ậ i n / t/h d w, ól v ln p s wd đ đ ợ g n t u ct h S I v đ ợ q ả l b i ecs a o đ à ìệ h a s ã ưc á hộ í n UD à ư c u n ý ở r o, o t màr o liàn ư i ù gd yn ấ c q y ntu x ấ / t/h d w. o t ạ l g ờ d n u h t ó u ề r y u t ecs a o G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 9 T yt ế k ản n t nt nn yc t ểg yn n n ữ gn u c k áp ứ tpv u h, h ăg i i ê ế à ó h â ê hn gy ơ h hcạ ì n umộ c ư n tìhc k ản n t ự t i ư cq ả l b i o t d t it ếti o c ế thơg r n ó h ă g h c h đ ợ u n ý ở r o, o hế k ồ h ặ d đ ợ c i ặ c t h b i h n k p á h ạ mà li ư cđ tt u ct h S I t ì o ưc à đt ố ì n ở n ữ g ẻ h oi ạđợ ặ hộ í n UD h mọ đề “k ủ g k ip đ u c t ểx yr.T ự t c o t ấ c k á n iu k t u t i iu h n hế ” ề ó h ả a h c ế h h y ó h hề ỹ h ậ x m p ạ h t ố gmàk ô gc q y nr o đ ợ t ự hệ b n c ck t u t à : â hm ệ hn h n ó u ề o t ư c h c in ằ g á ỹ h ậ n y k p á h ạ b n c c n o đ to mộ s el ư c q ả l b ir o,c t u c t h ẻ h o i ằ g áh à ó ạ t h lđ ợ u n ý ở o t ó h ộ í n S I , ếđ nmọ tu x ấ p áh ạ s đ ợ t ự hệ q as el ừ tov mọ ln UD k ế i r y u t h o i ẽ ư c h c in u h lv a ạ ì iệ h t ự hệ to gs el ẽđ ợ t ự hệ gố gn ưd ớ q y nr o. h c in rn h ls ư c h c in in h ư i u ề o t T u ct hS I c n t ơ gt n ư S I :c cc ư n tìhđ ợ t ự hệ v i hộ í n GD ũ g ư n ự h UD á h ơ g r n ư c h c in ớ q y n n ó q ả l c ư n tìh c ứ k ô g p ả n ó c a n ư ic ạ c ư n uề hm un ý h ơg r n h hn hi hm ủ gờ hy h ơg tìh N ư v y n ư iq ả tịs p ả t ư n x y n kể ta to g h t ố g c r . h ậ g ờ u n r ẽ h i h ờ g u ê im r rn ệ h n ó n n ữ g ứ g d n n o c t u ct h S I h ặ S I mà k ô g đ ợ s q ả l c a hn n ụg à ó hộ í n UD o c G D hn ưc ự un ý ủ r o k ô g n u p á hệ đ ợ tpt c t u ct hS I / G D “n o iu n ” b n o t h n , ế h t in ư c ậ i ó h ộ í n n UD S I g à lồ g , ạ c t ểlạ b c ct u ct hn yb n ln : ó h oiỏ á h ộ ì n à ằgệh #chmod a-s III. Linux Firewall A tà h tố g lô lô l mộ v n đ s n c n c amạ gmá t h v f e ll n on ệ hn un un à t ấ ề ốg ò ủ n yín à i walà r mộ tà hp ầ c t ế c ovệ đ m b oa nn . t h n h n ố y u h ic ả ả n ih Mộ f e ll mộ tp h p c cq i ắ ,ứ g d n v c íh s c đ m b o c o n ư i t i walà r t ậ ợ á u tc n ụ g à hn á h ả ả h gờ d n tu c pc cdc v mạ gto gk i n b nto gv na tà đ i ớ c ck tn ù g ry ậ á ị ụ h n r n h mạ g ê r n ẫ n o n ố v i á ẻ ấ c n t I tr e h y t c c mạ g k á . C h ilạ kế tú f e l c b n l : ô g ừ nen t a ừ á n h c ó a o i in r c i wal ơ ả à r Prox / p l ainf e lv ftr gg twa f e l H uh t á h tố gf e lhệ y A pi t c o i wal à ie i r l n ae y i wal ầ ế c c ệ h n i wal in r . r đ iàlạ li h b i)c ac h io irn ạ l o ia ( y r d ủ ả a lạ tê . N iu c n t v n à c n c p dc v I tr e s d n má c ủ Ln x n ư mộ hề ô g y à h u g ấ ị h ụ nen t ử ụ g y h iu h t I tr e g twa . h n má c ủ n ytư n p ụ v n ư má c ủ mal we , t, a nen t ae y N ữ g y h à hờg hc ụ h yh i, b f hyp dau . ơ n a c ú g c n t ư n h ạ đ n n ư c cf e l t i à h c cc íh s c ilp H n ữ , h n ũ g h ờ g o t ộ g h á i wal h h n á hn á h r , kể s á gữ I tr e v mạ gc ac n t. h n n u ể c u ể k inc oLn xtu im o t ia nen t à n ủ ô g y K ả ă g y n h y n hế h iu h h t h l mộ t a tếc on ữ gh đề h n t ư n mạ. ú nưà t h y h h h n ệ iu à h h ơ g i Tn n n f e lc u n đ ợ c n c ps nto gk r e c aLn xđ ợ x yd n t íh ă g i wal h ẩ ư c u g ấ ẵ r n en l ủ iu ư c â ự g ừ r h ih n p ầ :ic an v I Ma q ea ig a t à h h n p h is à P s u rdn . Ln x I Frwal g C an l mộ c c ế lc g it I .N ữ g t h n n c a I iu P i e lni h is à t ơ h ọ ó i P hn í n n ăg ủ P C an c op é c uhn má c ủLn xn ư mộ ftr gg twa /i wal ễd n . t h is h h p ấ ìh y h iu h t ie i l n ae y f e ld à g Mộ r tà h p ầ q a tọ g k á c a n to g k r e l I Ma q ea ig mộ t h n n h n h n u n r n h c ủ ó r n en l à P s u r dn , tí n ăg c u ể đ i ị c ỉ n ( ewo ka d e sta s t n N T mà c t ểc egấ c cđa h y n ổ đa h mạ g n t r d rs rn l i - A ) ao ó h h iu á ị c ỉ Ptự c amạ gb n to g Đ s d n ic an , ạ c n t itlpmộ tp c clậ hI hc ủ n ê r n . ể ử ụ g p h is b n ầ hế ậ tậ á ut màq i ịhc ck t ố đ ợ c op é h yb c m. u đn á ế n i ư c h h p a ị ấ C cn u ê tcI c an T ự hệ c cc ứ n n s u á g y n ắ p h is h c in á h c ă g a : Accept: The packet is okay; allow it to pass to the appropriate chain C op é c u ể g i i q ac antíhh p h h p h y n ó t u h i hc ợ n Deny: The packet is not okay; silently drop it in the bit bucket. Không đ n ý, ị ớ. ồg b rt Reject: The packet is not okay; but inform the sender of this fact via a I MPp c e. h n đ n ý n ư gs vệ c an ư i ởq ag i C nC a k t K ô g ồ g , h n ự ic ủ g ờ g iu ó I MP Masq: U e fr I ma q ea ig ( ewo k a d e s ta sain .S sd o P s u rdn n t r d rs rn lt ) ử o d n c oI ma q ea ig(vệ dc đac ỉ n ) ụg h P s u rdn ic ịh ị h mạ g Redirect: S n t i p c e t s me n es frp o e sn . ở g i i e d hs a k t o o o e le o r c s ig G i ó t n n yđ nmộ n ư i h cđ s l àế t gờká ể ử ý Return: Terminate the rule list. Hoàn thành d n s c c cq ytc a h áh á u ắ. G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 10 C ú ý C c g iI f iftr/ tbe d ớ h đề h n B D c n c p h ạ đ n h : á ó pw( iesi a l) ư i ệ iu à h S pl p u g ấ ot ộg t ơ gt I c an . ư n ự p h is Vd: íụ # C op é c ck t ố we ti bS re c ab n h h p á ế n i b ớ We ev r ủ ạ /sbin/ipchains -A your_chains_rules -s 0.0.0.0/0 www -d 192.16.0.100 1024: -j ACCEPT # C op é c ck t ố t b nto gti á We S re b nn o i h h p á ế n iừ ê r n ớ c c b ev r ê g à /sbin/ipchains -A your_chains_rules -s 192.168.0.0/24 1024: -d 0.0.0.0/0 www -j ACCEPT # T c ố tu c ptt ảc cdc v k á ừ h ir y ậ ấ c á ị u h c h /sbin/ipchains -P your_chains_rules input DENY N o i a b n c tểd n c cs n p ẩ f e lt ư n mạ n ư C e kP it i Wal g à r, ạ ó h ù g á ả h m i wal h ơ g r i h h c on Fr el - 1 P o nx A a t e Fr wal G twa G ada ,X e ty Frwal R po ,. h y rt , h e i d pi vi e l ae y u r in S nr i , e l a tr . a ấ , . n iuc cp inb nminp ímãn u nmởc oLn xn ưTR xFrwalD ne S NUS, hề á hê ả ễ h, gồ h iu h . e i e l a t, I , TIS Firewall Toolkit, ... 1.DÙNG CÔNG C DÕ T M ĐỂK O S THỆ T Ụ Ì HẢ Á HỐNG T â n ậ v o mộ h tố g b tk n o c n c n c s c u n b.H c e p ả x c hm hp à t ệ h n ấ ỳ à ũ g ầ ó ự h ẩ ị ak r h i á đn r má đc v t x m n ữ g p r n ođ n mởtư ck i ệtố g c tểb x m ịh a y í àì e h m h n ot à a g rớ h h h n ó h ị â p ạ Q á tìh n y t ư n đ ợ t ự hệ b i á c n c d t (c n ig to) k h m. u r n à h ờ g ư c h c in ở c c ô g ụ ò ì s a nn o l ỹ m , tu tc íh đ t r má đc v c cp r đ n mở tê đ .D t l b ớ đ u t n h ậ hn ể ì a m yí h à á ot a g rn ó ò ì à ư c ầ i m ê h c e s s d n tư ck i h chệ tn c n .B n c c s d n c cc n c d t a k r ẽ ử ụ g r ớ h tự in ấ ô g ằ g á h ử ụ g á ô g ụ ò ì m n ư N p h c e c t ể r k ắ c cmạ g đ t r c cmá đc c t ể b tn c n . h ma , a k r ó h à h p á n ểì aá m y í ó h ịấ ô g h Mộ k i á đn đ ợ c cmá n y k x m n ậ c tểd t c cp r đ n ln n h . t h x c ịh ư c á y à, ẻ â h p ó h ò ì á ot a g ắ g g e m N p c n s d n mộ s k tu tc o p é x c đn k á c íh x c lạ má đ n ma ũ g ử ụ g t ố ỹ h ậ h h p á ịh h hn á o i y a g kể ta im r. B n c c s d n n ữ gc n c c ac íh c ch c e tư n d n , g ờ q ả tị ằ g á h ử ụ g h n ô g ụ ủ hn á a k r h ờ g ù g n ư i u n r h tố gc tển ì v oh tố gc amìht g cđ c ac ch c e v gú tn c ờ g ệ h n ó h hn à ệ h n ủ n ừ ó ộ ủ á a k r à ip ă g ư n t h a tà c a h tố g C rtn iu c n c d t c t ể s d n n ư N p í n n o n ủ ệ h n . ó ấ hề ô g ụ ò ì ó h ử ụ g h : ma , m strobe, sscan, SATAN, ... Nmap L c ữ vế tt ủ " ewo ke po ain to a ds c r ys a n r . â l c ư n tìh à h it ắ c a N t r x lrt o o l n e u i c n e" Đ y à h ơ g r t n q é h n đ uv iố đ c cn a hv c cmạ h N c tểq é tê mạ gdệ r n v u t à g ầ ớ tc ộ ự h n à ự n . ó ó h u t rn n in ộ g à đ cbệ ttđ i ớ mạ g đ n l. MA gú b n x m n ữ g dc v n ođ n c ạ tê ặ it ố ố v i n ơ ẻ N P ip ạ e h n ị ụ à a g h y rn h s re (evc sp rswe s re, p ev r o 3. ) s re đ n d n h đề h n g, ev r s ri / o t: b ev r ts re, p , ., ev r a g ù g ệ iu à h ì e f p . lạ t ờ glamàs re s d n , . v r t hề t hn n k á . ó c u gN Ph tợ o iư n ử ev r ử ụ g . à ấ n iu í . n ă g h c N i h n MA ỗ r h uh t á k tu t u t h :I MP( iga e ) I p oo o, ull scan, TCP SYN (half ầ ế cc ỹ h ậ q é n ư C pn we p , P r tc lN o e ) . N P đ ợ đ n gá l c n c h n đ u c a c cH c e c n n ư c cn à p n , . MA ư c á h i à ô g ụ à g ầ ủ á a k r ũ g h á h . q ả tị n tê tếgớ. u n r mạ g r n h ii Q é a tà N p l mộ to g s c n c q é a tà đ ợ s d n rn u t n o n ma à t rn ố ô g ụ u t n o n ư c ử ụ g ộ g ri h t ẵ c . ma l mộ c n q é màc ố gli á n â t, á c c k á tn ã n ấ sn ó N p à t ổg ut h n ạ cc h n ố cc áh h c à p áđ n mạ g c ab n N c t ểp á sn r n iu kể g i hế n ủ ạ . ó ó h h t ih a hề iu ó màtă d c cn ă hm ò á gn x pT P I tê n ữ gh t ố gc ab n ế C /P rn h n ệ h n ủ ạ . N pc t ểp á sn r mộ d n s c c an ữ gc n mởdc v tê h ma ó h h t ih a t a h áh ủ h n ổ g ịh ụ rn ệ t ố g c a b nt â n ậ f e l ,v c n c p n ữ g t q ấ ry k ô g t c y h n ủ ạ , m h p i wal à u g ấ h n i u y ầ , h n i ậ h r s n n đ n c ạ tê h s c ab n N ps c r yc s nti http://www.insecure.org a g h y rn o t ủ ạ . ma e u i ó ẵ ạ : t . ư i â l mộ v d s d n N p D ớđyà t í ụ ử ụ g ma : # nmap -sS -O 192.168.1.200 Starting nmap V. 2.54 by Fyodor (fyodor@dhp.com, www.insecure.org/nmap/) Interesting ports on comet (192.168.1.200): Port State Protocol Service 7 open tcp echo 19 open tcp chargen G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 11 21 open tcp ftp ... TCP Sequence Prediction: Class=random positive increments Difficulty=17818 (Worthy challenge) Remote operating system guess: Linux 2.2.13 Nmap run completed -- 1 IP address (1 host up) scanned in 5 seconds T y n in s d n c cc n c n y k ô g t ể t a tế c o mộ n ư i u n tị ó kế u hê , ử ụ g á ô g ụ à h n h h y h h t g ờ q ả r c in tứ . ở v vệ d t t ư n d b o mộ c ộ tn c n , á s en n ư t n c o vệ h c B i ì ic ò ì h ờ g ự á m t u c ấ ô g c c i ê u i h ic t ê te d i h n . ớ c cc n c d t c cn àq ả tị ệtố gmạ gc tểp á hệ h o õ cú g V iá ô g ụ ò ì m, á h u n r h h n n ó h h t in r n ữ gg màc ch c e c tểtấ k i òtê h tố gc amìh a hn ì á a k r ó h h y h d rn ệ h n ủ n. 2.P THI N S X M NHẬ QUA MẠ HÁ Ệ ỰÂ P NG N uh tố gc ab n c k t ố v oitr e, ạ c tểtởt à hmộ mụ t ub d ế ệ h n ủ ạ ó ế n i à n en t b n ó h r h n t ci ê ịò t c cl h n v b omậ. cd h tố gc ab nc g i h nđề n yh yk ô gt ì ì á ỗ ổg ề ả m t Mặ ù ệ h n ủ ạ ó h n ậ iu à a h n h v nk ô gđ đ x cđn v p á hệ vệ d t n y Mộ v nđ c nq a tm k á l ẫ h n ủ ể á ịh à h t in ic ò ì à . t ấ ề ầ u n â m h cà c cc ộ tn c n g y n ừ g dc v ( e il fS ri s- D S ,lm t ế n o đ n ă á u c ấ ô g â g n ị ụ D na o evch e o ) à h à ể gn n ừ , h t inv đ i h v i h n n ub nk ô gmu nh tố gc ab nn ư gtệ g a p á hệ à ố p ó ớ c ú g ế ạ h n ố ệ h n ủ ạ g n r. H tố gp á hệ x m n ậ q amạ g( ewo kI tu in D tcin S se - NIDS) ệ h n h t in â hp u n N t r nr s o ee t o y tm te d i á t ô g t tu ề tê mạ g v p á hệ n u c h c e đ n c x m n ậ h o õ c c h n i r y n rn n n à h t in ế ó a k r a g ố â hp v o h tố g ( o cg y g y r mộ v tn c n D S .Mộ v d để hn l h tố g à ệ hn hặ â â a t ụ ấ ôg o) t í ụ in ìh à ệ h n te d i ố lợ g ln c cy u c u k tn i C đ n n iu p r tê mộ má n o đ ,d h o õ s ư n ớ á ê ầ ế ố T P ế hề o t rn t yà ó o v yc tểp á hệ r n u c a đ đ n tử mộ tcv d t T Pp r. tN D c ậ ó h h t in a ế ó i ó a g h t á ụ ò ì C o t Mộ I S ó m tể c ạ tê má c n t e d i o ctê mộ má đ clp te d i o n b tô g t h h y rn y ầ h o õ h ặ rn t y ộ ậ h o õ tà ộ h n i n tê mạ g rn n. C cc n c c tểđ ợ k th p đ tomộ h t ố g p á hệ x m n ậ q amạ g á ôg ụ ó h ưc ế ợ ể ạ t ệ h n h t in â hp u n. C ẳ g h n d n tp a p rđ đề k in g i h n c cdc v đ đ ợ đ n k .C c h n ạ ù g c wr p e ể iu hể , h n ậ á ị ụ ã ư c ă g ý á h c ư n tìhp â t hn ậ k h tố g n ư s th c tểd n đ x cđn c ctcv hơg r n h n í h t ý ệ h n , h wac , ó h ù g ể á ịh á á ụ c d t tê h tố g V đề q a tọ gn ấ l c cc n c c tểp â t h c ctô g ò ì rn ệ h n . à iu u n r n h t à á ô g ụ ó h h n í á h n m c t tê mạ g đ p á hệ c c tn c n D S h ặ đ n c p tô g t n ư tp u , i rn n n ể h t in á ấ ô g o o c á h ắ h n i h c d mp n ethereal, ngrep, NFR (Network Flight Recorder), PortSentry, Sentinel, Snort, ... K i in tự mộ h tố g p á hệ x m n ậ q a mạ g b n c n p ả lu tm đ n h hệ h c t ệ h n h t in â hp u n ạ ầ h iư â ế hệ s ấ c ah tố gc n n ưc cc íhs c b ođ m s r n t . iu u t ủ ệ h n ũ g h á hn á h ả ả ự i g ư ê 3.K Ể T A K IM R HẢ NĂNG B X M NHẬ ỊÂ P Kể tak ản n b x m n ậ l n q a đ n vệ x cđn v s px p c cl h n a im r h ă g ị â hp i ê u n ế ic á ịh à ắ ế á ỗ ổ g n nn to g h tố g b n c c d n mộ s c n c kể ta N iu c n c kể ta ih r n ệ h n ằ g á h ù g t ố ô g ụ im r. hề ô g ụ im r c n c k ản n k a t á mộ s l h n t t ấ đ lm r q átìh tâ n ậ tá ũ g ó h ă g h ih c t ốỗ ổg ì hy ểà õ u r m n h m h p ri p é s đ ợ tự hệ n ưtến o V d , tỗ tà b đ m c ac ư n tìhp ụ v h p ẽ ư c h c in h h à . í ụ mộ lir n ộ ệ ủ h ơ g r n hc ụ dc v F P c tể d n đ n vệ tâ n ậ v o h tố g v i u ề „ o‟ N u n ư i ịh ụ T ó h ẫ ế ic h m h p à ệ h n ớ q y n r t ế g ờ o. q ả tị n c kế t ứ v kể tak ản n b x m n ậ tư ck i óx yr, ọc u n r mạ g ó in h c ề im r h ă g ị â h p rớ h n ả a h ó tểt nh n c ctcv đ n n c omứ đ a nn c ah tố gmạ g h i àh á á ụ ể âg a ế c ộ n ih ủ ệ h n n. C rt hề c cc n c mạ gmàb nc tểs d n to gvệ kể tak ản n b ó ấ n iu á ô g ụ n ạ ó h ử ụ g r n ic im r h ă g ị x m n ậ .H u h tc cq á tìh kể ta đ u d n í n ấ mộ c n c t đ n p â â hp ầ ế á u r n im r ề ù g t h t t ô g ụ ự ộ g h n t hc cl h n a nn . á c n c n yt ă d h tố gđ x cđn c cdc v hệ í á ỗ ổ g n ih C c ô g ụ à h m ò ệ h n ể á ịh á ị ụ in c h c . h n t lyt c cdc v n ys đ ợ s s n v i ơs d l uc cl h n a nn ó T ô g i ấ ừ á ị ụ à ẽ ư c o á h ớ c ở ữ i á ỗ ổ g n ih n h ệ đ đ ợ t t ấ tư cđ . ã ư c ì h y rớ ó m C cc n c tư n đ ợ s d n đ tự hệ c ckể ta lạ n y l I S S a n r á ô g ụ h ờ g ư c ử ụ g ể h c in á im r o i à à S c n e, Cybercop, Retina, Nessus, cgiscan, CIS, ... Kể ta k ả n n b x m n ậ c n đ ợ t ự hệ b i h n n ư i ó tá h n im im r h ă g ị â h p ầ ư c h c in ở n ữ g g ờ c rc hệ mộ c c c n tậ .S t iu kế tứ v s d n s i á h c tể s d n đ n h u q ả t á h ẩ h n ự hế in h c à ử ụ g a c c ó h ẽ ẫ ế ậ u n hê tọ gk ô gtểlờ gtư cđ ợ . g im r n h n h ư n r ớ ư c G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 12 4.ĐỐIPHÓ KHIHỆTHỐNG CỦA B N B T N C Ạ ỊẤ ÔNG G n đ y mộ lạ c c v tn c n n ắ v o c c s e c a n ữ g c n t ln n ư ầ â, tot á ụ ấ ôg hm à á i ủ h n ôg y ớ h t Yahoo!, Buy.com, E-B y A z n v C N I tr cie g y r n ữ g t ith iv c n a , ma o à N ne a t v â a h n hệ ạ ô ù g n hê tọ g N ữ g tn c n n y l d n tn c n g y n ừ g dc v " e il - g im r n . h n ấ ô g à à ạ g ấ ô g â g n ị h ụ D na-Of S ri "mà đ ợ t itk đ lm n ư g h ạ đ n c a mộ mạ g má t h h y mộ evc e ư c hế ế ể à gn ot ộg ủ t n yína t we s e b n c c g iin tcv i ố lợ g ln c cd l u ti ct u tn c n k in bi ằ g áh ử l t ê ụ ớ s ư n ớ á ữ i ớ mụ i ấ ô g hế ệ ê c o h t ố g b tn c n b n ừ g h ạ đ n ,đề n y t ơ g t n ư h n tă n ư i h ệ h n ị ấ ô g ị g n o t ộ g iu à ư n ự h à g rm g ờ c n g i h n n ừ gti s đệ t o i hế n l ntcb b n ù g ọ k ô g g n ớ 1 ố in h ạ k in ó i ụ ị ậ . ê T o g k i h n tể n o tá h đ ợ mọ n u hể t c cc ộ tn c n ,c ú g ti r n h k ô g h à rn ư c i g y im ừ á u c ấ ô g h n ô k u ê b nmộ s b ớ màb nn nte k i ạ p á hệ r r n h t ố gc ab nb h yn ạ tố ưc ạ ê h o h b n h t in a ằ g ệ h n ủ ạ ị tn c n . h n ti ũ g đ ar mộ s c c đ gú b n b ođ m t h hệ q ac ah ấ ô g C ú g ô cn ư a t ố á h ể ip ạ ả ả í n iu ủ ủ ệ tố g a nn v n ữ g b ớ b n n n lm đ gả r i o v c tể đ i h v i h n h n n ih à h n ư c ạ ê à ể im ủ r à ó h ố p ó ớ n ữ g c ộ tnc n . ucấ ôg Nế p á h ệ r r n h t ố g c a b n đ n b t n c n ,h y b n t h S u u h t in a ằ g ệ h n ủ ạ a g ị ấ ô g ã ìh ĩ . a n đ yl n ữ g b ớ b n n n lm: â à hn ưc ạ ê à T ph p1n ó đ đ i h v i ựtnc n : ậợ hm ể ốpó ớs ấ ôg N ó n y p ả b o g m n ữ g n â vê kn n hệ n ữ g n ư i hm à hi a ồ h n h n in ih g im, h n g ờ mà o c tểgú hn tà hmộ k h ạ hh n đ n đ i h v i ựtnc n . ó h ip ìh h n t ế oc àh ộg ốpó ớs ấ ôg D a te c íh s c v c cq ytìh tự hệ v a nn c ac n t,s d n ự h o hn á h à á u r n h c in ề n ih ủ ô g y ử ụ g c cb ớ tí h pk ih n b oc omọ n ư i a t c ứ v c ộ tnc n . á ư c hc ợ h t ô g á h h igờhy ổ hc ề ucấ ôg Tm s gú đ t n àc n c pdc v I tr e v c q a p ụtá hv a nn ì ự ip ỡ ừ h u g ấ ị ụ nen t à ơ u n h r c ề n ih h máy tính: Lê h n à c n c p dc v I tr e c a b n đ tô g b o v c ộ tn in ệ h u g ấ ịh ụ nen t ủ ạ ể h n á ề u c ấ o c n . ótển àc n c pdc v I tr e c ab ns c ặ đ n đ ợ c ộ tnc n . ô g C h h u g ấ ị ụ nen t ủ ạ ẽ h n ứ g ư c u c ấ ô g h Lê h c q a p ụ tá h v a nn má t h đ tô g b o v c ộ tn in ệ ơ u n h rc ề n ih yín ể hn á ề uc ấ o công T m tờ d n p ư n t ứ tu ề tô g k á (h n h n n ư q a đệ to i ạ h i ù g h ơ g h c r y n h n h c c ẳ g ạ h u in h ạ) k irođ ih n t đ đ m b rn k x m n ậ k ô gtểc ặ v lyđ ợ tô gt . h ta ổ tô g i ể ả n o ằg ẻ â hp hn h hn àấ ưchn i n G iạ ttc c ch ạ đ n c ab n (h n h n n ư g i in to i ta đ i i , h li ấ ả á o t ộ g ủ ạ c ẳ g ạ h ọ đệ h ạ, h y ổ fe l ...) T e d i á h tố gq a tọ gto gq atìhb tnc n b n c cp ầ mề h o õ c c ệ h n u n rn rn ú r n ịấ ô g ằ g á h n m h y dc v p á hệ s x m n ậ ( tu in d tcin s f r/evc s.Đ ề n y c a ị ụ h t in ự â h h p i rs n o ee t o ot e s ri ) iu à ó wa e tểgú lm gả n ẹs tn c n c n n ư p á hệ n ữ g d u hệ c as tn c n h ip à im h ự ấ ô g ũ g h h t in h n ấ iu ủ ự ấ ô g tự s h yc ỉàs q ấ r i h m đ n lch ớ gs c úýc ab n c ẳ gh nmộ tn hc ự a hl ự uy ốnằ áhạ ưn ự h ủ ạ (h n ạ tấ c n D S v i ụ gýlm s oln s c úýc ab nto gk ih cs đ yl mộ c ộ tn ôg o ớdn à a ãg ự h ủ ạ rn h tự ự â à tucấ c n n ằ x m n ậ v o h tố g c a b n .S o c é li ấ c c cfe mà k x m ôg hm â h p à ệ h n ủ ạ ) a h p ạ tt ả á i s l ẻâ n ậ đ li a ta đ i n ưn ữ gđ ạ mãc ư n tìh lgfe . ) h p ể ạ h y h y ổ (h h n o n h ơ g r ,o i , . n l. Lê h n àc ứ tá hđ b oc ov v tnc n . in ệ h h c r c ể á á ề ụ ấ ô g Nh n b ớ b n n n lm đ g ả r i o v đ i h v i ự t n c n to g t ơ g ữg ưc ạ êà ể im ủ r à ố p ó ớ s ấ ô g r n ư n lai : o X yd n v ta q y nc on ó đ i h v i ựtnc n â ự g à ro u ề h h m ố p ó ớ s ấ ô g o T i à hkể taa nn v đ n gámứ đ r i oc ah tố g h h n im r n ih à á h i c ộ ủr ủ ệ hn o C i ặ c cp ầ mề a tà h tố gp ùh pđ gả b t ủ r àđtá hn m n o n ệ h n h ợ ể im ớ r i o o N n c ok ản n c amìhv a tà má t h âg a h ăg ủ n ề n on yí n G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 13 C cb ớ kể tađ g ú b n b o đ m t h h ệ q ảc ah t ố g a n n á ư c im r ể i p ạ ả ả í n iu u ủ ệ h n n i h o Kể tah tố g a nn mớ c i ặ :c ắ c ắ t h đ n đ n c ac íh s c im r ệ h n n ih iàđt hc hn í n ú g ắ ủ hn á h a nn hệ c v c uhn c u nc ah tố g n ih in ó à ấ ìh h ẩ ủ ệ h n . o Kể tat đ n tư n x y n:đ k á p ás “ in t ă c an ữ gh c e im r ự ộ g h ờ g u ê ể h m h ự vế g h m” ủ h n a k r h yn ữ gh n đ n s iri ủ n â vê to gc n t. a h n à h ộ g a tá c a h n in r n ô g y o Kể ta n ẫ n in đ kể ta c íh s c a nn v n ữ g t u c u n h ặ im r g u hê : ể im r hn á h n ih à h n i h ẩ , o c ê kể ta s hệ h u c a n ữ g l h n đ đ ợ p á hệ (h n h n n ữ g li ư c im r ự in ữ ủ h n ỗ ổ g ã ư c h t in c ẳ g ạ h n ỗ đ ợ tô gb ot n àc n c pp ầ mề hn á ừ h ug ấ hn m) o Kể tah n đ m n ữ gfeq a tọ g đ đ n gás tà v nc an ữ gfe im r ằ g ê h n i u n rn : ể á h i ự o n ẹ ủ h n i l l v c s d l uq a tọ g à ơ ở ữ i u n rn ệ o Kể ta c cti h ả n ư i ù g đ p á hệ c cti h ả k ô g s d n , im r á à k o n g ờ d n : ể h t in á à k o n h n ử ụ g k ô gtnti. h n ồ ạ, .. o Kể tađn k đ x cđn tạ gt á hệ ti ủ h tố ga nn c ab n im r ịh ỳ ể á ịh r n h i in ạ c a ệ h n n ih ủ ạ T it ậ t ờ g l aI t b e c oLn x h ế lp ư n ử p a ls h i u C u h n T be ấ ì h a ls Vệ c i ặ I tbe l mộ p ầ to gvệ c i ặ R dH t a đ u N u ê ic à đ t pa ls à t h n rn ic à đ t e a b n ầ . g y n b n k ở to t kế s tn tic a fe I tbe ,r ls ả h i ạ ì im ự ồ ạ ủ i pa ls ue /etc/sysconfig/iptables, Và m l n u c ú g đ tn tipa lsk ở đ n v i ầ hn đ đ ợ c ỉ õ Mộ k i ev r ế h n ã ồ ạ itbe h i ộ g ớ c u ìh ã ư c h r. t h s re n yl g i iv n ậ mal c u hn I tbe n n c o p é n ữ g k tn i ừ đ u à à ở mal à h n i ấ ìh pa ls ê h h p h n ế ố t ầ , vào sendmaiđ nb t ỳn i â . g ờ q ả tị ệt ố gs c ỉ ử d n s ht b n l ế ấ k ơ đ u N ư i u n rh h n ẽ h s ụ g h ừ ê to gc cmá , ặ bệ l MI . pa lsr lss c i ặ đ c op é c ck t ố s h rn á y đ c it à S I tbe ue ẽ à đ t ể h h p á ế n i h t 2 MI . ig I MPs c op é b tk đ u K ô g c c n n ok á c op é k t ừ S Pn C ẽ h hp ấ ỳ â. hn ó ôg à hc h hp ế n i ế n ư i h cv n y Đ yl mứ b s n c ovệ p ò gt ủc as re to g ố đn g ờ p ụ ụ à. â à c ổ u g h ic h n h ủ ev r r n tư n h p Frwalđ ợ t o hệ .T ê v o đ l vệ b o v c o s h s đ ợ rờ g ợ i e l ư c h ã ip h m à ó à ic ả ệ h s ẽ ư c c n c pb i ấ hn c cg i c b nd ớ. u g ấ ở c u ìh á ó tp ê ư i N ữ gq ytcđ t ự hệ c uhn I tbe n ưs u h n u ắ ể h c in ấ ìh pa ls h a : /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT(1) /sbin/iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT(2) /sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT(3) /sbin/iptables -A INPUT -p tcp --dport 22 -s 10.100.200.0/24 -j ACCEPT(4) /sbin/iptables -A INPUT -p tcp --dport 22 -s 10.100.201.0/24 -j ACCEPT(5) /sbin/iptables -A INPUT -p udp --sport 53 -s 10.100.50.50 -j ACCEPT(6) /sbin/iptables -A INPUT -p udp -sport 53 -s 10.100.42.42 -j ACCEPT(7) /sbin/iptables -A INPUT -j LOG(8) /sbin/iptables -P INPUT DROP(9) ( )C op é n ữ gk t ố l nq a v đ tit ậ đ ns re 1 h h p h n ế n ii u n à ã hế lp ế ev r ê ( )C op é c ch s k á pn đ ns re s n mad 2 h h p á o t h c ig ế ev r e d i ( )C op é k t ố S Pđ ns re 3 h h p ế n i MT ế ev r ( ) ( )C op é k t ố s ht 2MÍ s b es 4, 5 h h p ế n i s ừ (u n t) ( ) ( )C o p é n ư i h cv tn D S c o b x s n mad đ c n c p gả p á 6 , 7 h h p g ờ p ụ ụ ê N h o e d i ể u g ấ ii h p D S N ub nc h nmộ d man–D S t ì h m mộ d n c omỗ D S N.ế ạ ó ơ to i N , h tê t òg h iN. ( )lgb t ỳk t ố n oc g n màn k ô gđ cbệ c op é 8 o ấ k ế nià ố ắg ó h n ặ it h h p ( )C i ặ c íhs c mặ đn c ob n I P Tt D O 9 à d t hn á h c ịh h ả g N U o R P T tc c ck tn i ặ bệ k ô g c op é s b rt C ư n tìh ls n r s đ ợ ấ ả á ế ố đ c it h n h h p ẽ ị ớ. h ơ g r n o e ty ẽ ư c c u hn đ đn rn b tk d n n o lg c n n ư s x m p ạ a tà . ểgữ ấ ìh ể ịh ằ g ấ ỳ ò g à o ũ g h ự â hm n on Đ i đ ợ c uhn q arb o, ap ả c ạ I tbe - S v . h yln n ưs u ư c ấ ìh u e o t t h i h y pa ls a e C ạ ệ h h a : /sbin/iptables-save > /etc/sysconfig/iptables K i ệt ố gk ở đ n ln feI tbe s đ ợ đ cv c uhn hệ d n . h h h n h i ộ g ê , i pa ls ẽ ư c ọ à ấ ìh iu ụ g l G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 14 I tbe l mộ t ờ g la ứ g d n lcg i ữ l u rtmạ h min p í à c s n tê pa ls à tưn ử n ụg ọ ó d i ấ ệ n , ễ h v ó ẵ rn Ln x.N tl rI tbe g m 2 p ầ l N t l rở to g n â Ln x v I tbe n m iu . eft /pa ls ồ ie h n à eft ie r n h n iu à pa ls ằ ngoài n â .I tbe c ị tá h n im ga t p gữ n ư i ù g v N t l rđ đ y c c h n pa ls hu rc hệ io i ế ia g ờ d n à eft ể ẩ á ie lậ c a n ư i ù g v o c o N tlrx l N tl rt n h n lcc cg i ữ l u ở mứ u t ủ g ờ d n à h efe ử í eft i i . ie ế à h ọ á ó d i ệ c I . eftr à vệ tự t pto gn â , h n v k ô glm gả tcđ c ah tố g P N tl lm ic r c i r n h n n a h à h n à ie ế im ố ộ ủ ệ h n . C c đ i ị c ỉ Pđ n ( y a cN T á h ổ đa h I ộ g d n mi A ) T ư ck i i à p ầ c íh mìhc ngớ tiuv i á b nv c n n h đ i ị c ỉ A r ớ h đ v o h n hn , n ầ iihệ ớ c c ạ ề ô g g ệ ổ đa h N T đ n v đ n gảI Ma q ea e H i ừ n yđ ợ d n r t hề to gI tbe n nb n ộ g à ó g i P s u rd . a t à ư c ù g ấ n iu r n pa ls ê ạ p ả bế. ế b nđ bế N Tđ n v Ma q ea e b nc t ểb q ap ầ n y h i it N u ạ ã it A ộ g à s u r d , ạ ó h ỏ u h n à . NA đ n l mộ to g n ữ g k tu tc u ể đ iđa c ỉI N T ( ewo k A d e s T ộg à t r n h n ĩ h ậ h y n ổ ị h P A N t r d rs T a s t n . á đac ỉ Pn i ộđ ợ c u ể s n I N Tn ưs u rn l i ) C c ị h I ộ b ư c h y n a g P A h a : ao N T R ue đ m n ậ vệ c u ể d y I n ib 1 91 80x s n d y I mớ A o tr ả h n ic h y n ã P ộ ộ 6 .6 .. a g ã P i 2 31 22x K i ó g iiu v i P n u n l 1 21 802 0 đ n r u e,r ue s đ i P 0 .6 ... h c ó l ệ ớ I g ồ à 9 .6 ..0 ế o tr o tr ẽ ổ I n u ntà h2 31 222 0s uđ mớ g i an o iQ átìhn yg iàS A ( o re g ồ h n 0 . 6 .. 0 a ó i ở r g à. u r n à ọ l N T S uc - N T N Tn u n . o tr ư d l uto gmộ b n g iàb n N Tđ n . g ợ lik i A , A g ồ ) R ue lu ữ i r n ệ t ả g ọ l ả g A ộ g N ư c ạ, h c mộ g i ừ l u t g i ừ n o i à v i Pđc l 2 31 222 0 r u e s c n c v o ó t ó t i ừ ở t g à v o ớ I í à 0 .6 ..0 , o tr ẽ ă ứ à ệ h b n N T đ n hệ tiđ đ iđa c ỉđc 2 31 222 0 t à h đa c ỉđc mớ l ảg A ộ g in ạ ể ổ ị h í h 0 .6 .. 0 h n ị h í h ià 1 21 802 0 Q á tìh n y g il D A ( e t ain N T N T đc ) Lê lc gữ 9 .6 ..0 . u r n à ọ à N T D si t - A , A í . in ạ ia no h 192.168.0.200 và 203.162.2.200 là hoà tà to g s ố (r n p rn)q a N T r ue. n o n r n u t ta s ae t u A o tr N T r ue t n h n c u ể t p (o wad g i d l u t 1 21 802 0 đ n A o tr i ế àh h yn i ế fr r ) ó ữ i ệ ừ 9 . 6 .. 0 ế 2 31 222 0v n ư cli 0 .6 ..0 à g ợ ạ. G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 15 C c đ n g ảđ a c ỉ P ( s u r d ) á h ó g i ị h I ma q e a e Đ yl mộ k t u t h cto gN T âà t ĩh ậ k á r n A . N T R ue c u ể d y I n i ộ 1 21 80x s n mộ I d y n ấ l 2 31 224 A o tr h y n ã P ộ b 9 .6 .. a g t P u h t à 0 . 6 .. b n c c d n c cs hệ c n ( o tn mb r k á n a . h n h nk i óg i ữ l u ằ g á h ù g á ố iu ổ g p r- u e) h c h u C ẳ g ạ h c ó d i ệ I v in u n 1 21 801 8 1 0 , đc 2 12 05 .5 8 đ n r u e, r ue s đ i P ớ gồ 9 . 6 . .6 : 2 4 í h 1 .0 .11 : 0 ế o tr o tr ẽ ổ n u n t à h 2 31 224 2 3 4 v lu d l u n y v o mộ b n g i l b n gồ hn 0 . 6 . .: 6 1 àư ữi ệ à à t ảg ọ à ảg ma q e a e đ n .K i ó mộ g i ữ l u t n o i à v i g ồ l 2 12 05 .5 8 , s u rd ộ g h c t ó d i ừ g à v o ớ n u n à 2 . 0 .1 1 : 0 ệ đc 2 31 224 2 3 4đ nr ue, o tr ẽc nc v ob n ma q ea eđ n hệ ti í 0 .6 ..: 6 1 ế o tr r u e s ă ứ à ả g h s u rd ộ g in ạ đ đ iđc t 2 31 224 2 3 4 tà h 1 21 801 4 1 0 .Lê lc gữ c c má ể ổ í ừ 0 .6 . .: 6 1 h n h 9 .6 ..6 : 2 4 in ạ ia á y to gmạ gL N v i yk á b nn o i o ntà to gs ố q ar ue rn n A ớ má h c ê g à h à o n r n u t u o tr C u tú c aI t b e ấ r c ủ p a ls I tbe đ ợ c i lm 4 b n (a l) b n ftrd n đ lc g i ữ l u b n n t pa ls ư c ha à ả g tbe : ả g ie ù g ể ọ ó d i , ả g a l ệ d n đ t a tcv i á g i ữ l uđ ợ N Tn u nh yN Tđc , ả gma ged n đ ù g ể h o á ớ cc ó d i ư c A g ồ a A í b n ệ h nl ùg ể ta đ i á t ô g s to g g i P v b n c n ta k d n đ te d i á k tn i Mỗ h y ổ c c h n ố r n ó I à ả g o n rc ù g ể h o õ c c ế ố. i tbeg m n iumắ xc (h i) C ang m n iulậ (ue đ t a tcv i á g i ữ al ồ hề c í c an . h i ồ h hề u t r l) ể h o á ớ c c ó d l u R l c tểl A C P (h pn ậ g i ữ l u , R P(h g i R J C ( ạ b g i i . ue ó h à C E T c ấ h n ó d i ) D O tả ó) E E T l i ỏ ó) ệ ệ , o h ặ t a c iu(eee c )đ nmộ c ank á . o c h m hế rfrn e ế thi hc Qu tì h c u ể g i ữ l u q aNe f t r á rn h y n ó d i ệu ti e l G i ữ l u ( a k t c ạ tê c ạ tê c p s u đ đ v o c r mạ g (h n h n n ư ó d i p c e) h y rn h y rn á , a ó i à ad ệ n cẳ g ạ h eh ) Đ ut np c e s q ac anP E O T N (r ớ k i ịhty n . ạ đ y p c e t0 . ầ i ê a k t ẽ u h i R R U I G tư c h đn u ế ) T i â , a k t c tểb t a đ i h n s ( n l)h ặ b đ i ị c ỉ Pđc ( N T . ố v i a k t i ó h ị h y ổ tô g ố ma ge o c ị ổ đa h I í D A ) Đ i ớ p c e đ h v omá , ós q ac anI P T T i h i I P T p c e c tểđ ợ c ấ n ậ h ặ b à y n ẽ u h i N U . ạ c an N U , a k t ó h ư c h p h n o c ị h y b .Tế te p c e s đ ợ c u ể ln c o c cứ g d n (l n/ev r x lv ủ ỏ ip h o a k t ẽ ư c h y n ê h á n ụ g c e ts re) ử í à i t p t e l đ ợ c u ể r c an O T U .T i h i O T U ,p c e c tể b t a đ i i h o à ư c h y n a h i U P T ạ c an U P T a k t ó h ị h y ổ ế c c tô g s v b lc c ấ n ậ r h y b h y b .Đ i ớ p c e fr r q a má , á h n ố à ị ọ h p h n a a ị ủ ỏ ố v i a k t o wad u y p c e s u k i ờ c an P E O T N s q a c an F R R .T i h i F R R ,n a k t a h r i h i R R U I G ẽ u h i O WA D ạ c an O WA D ó c n b lcA C P h ặ D N . a k ts u k i u c an F R R h ặ c an O T U ũ g ịọ C E T o c E Y P c e a h q a h i O WA D o c h i U P T s đ nc anP S R U I G (a k i ịhty n . ạ c anP S R U I G p c e c t ể ẽ ế h i O T O T N s u h đn u ế ) T i h i O T O T N , a k t ó h đ ợ đ i ị c ỉ P n u n ( N T h ặ MA Q E A E P c e s u k i a c r mạ g s ư c ổ đa h I g ồ S A ) o c S U R D . a k t a h r ad nẽ đ ợ c u ể lnc pđ đ đ nmá t hk á tê mạ g ư c h yn ê á ể iế y í h c rn n n. G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 16 C ct a s d n ln t ư n g pc aI tbe á h m ố ò g ệ h h ờ g ặ ủ pa ls 1 Gọ tợ g ú . i r ip Đ g ir gú v I tbe , ạ g ln $ man iptables h ặ $ iptables --help. h n h n ể ọ tợ ip ề pa ls b n õ ệ h oc C ẳg ạ n ub nc nbế v c ct yc ọ c a match limit, ạ g ln $ iptables -m limit --help. ế ạ ầ it ề á ù h n ủ bn õệh 2 C ct yc ọ đ c ỉ ị h t ô g s . á ù h n ể h đn h n ố - c ỉ ịhtntbe -t ê _a l>, í ụ-t filter, -t nat, . ế k ô gc ỉ ịhtbe gá h đn ê a l: , ư n t n ư--sport h đn ổ g í h p r
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 17 # iptables -A INPUT -i eth0 -p tcp --dport 23 -j DROP tảc cp c e đ nc n 2 d n h á ak t ế ổ g 3 ù g ga tứ T Ptê c r mạ geh io h c C rn ad n t0 # iptables -A INPUT -i eth1 -s ! 10.0.0.1-10.0.0.5 --dport 22 -j REJECT --reject-with tcp- reset g i ó T Pv i ờR T c oc ck t ố k ô gđ nt d yđac ỉ P1 .... ở g i C ớ c S =1 h á ế n i h n ế ừ ã ị h I 0001. 5 tê c n 2 , admạ geh rn ổ g 2 c r n t1 # iptables -A INPUT -p udp --dport 139 -j REJECT --reject-with icmp-port-unreachable g i ó I MP` o tu ra h be c oc ck t ố đ nc n 1 9 d n ga t ứ U P ở g iC p r- n e c a l` h á ế n i ế ổ g 3 , ù g io h c D P â b ệ g ữ NE , S A L S D v R L T D h n it i a W E T B I HE à EA E - N W:mởk t ố mớ E ế ni i - E T B I H D đ t itậ k t ố S A LS E : ã hế lp ế n i - R L T D mởmộ k t ố mớ to gk t ố hệ ti EA E : t ế n i ir n ế n i in ạ Vd: íụ # iptables -P INPUT DROP đ t hn s c c oc anI P Tl D O ặ c íh á h h h i N U à R P # iptables -A INPUT -p tcp --syn -m state --state NEW -j ACCEPT c ỉ h pn ậ c cg i h cấ h n á ó T Pmởk t ố đ s t ờS N C ế n i ã e c Y =1 # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT k ô gđ n c c hn óg á k t ố đ n đ ợ t itậ ,ồ gtờ c n c op é mởc ck t ố mớ to gk t ố ế n i a g ư c hế lpđ n h i ũ g h h p á ế n i ir n ế n i đ ợ t itậ ư c hế lp # iptables -A INPUT -p tcp -j DROP c cg i C c nli ề b D O á óT P ò ạđu ị R P T yc ọ --limit, --limit-burst ù hn --limit-b rt mứ đn , íhb n s p c e u s: c ỉh t n ằ g ố ak t --l t tcđ k i h m mứ đn , íhb n s p c e/( iy , p ú) d gờ h ặ i :ố ộ h cạ mi c ỉh t n ằ g ố a k tsgâ ) m( h t, ( i) o c h(ngày) Mìhlyv d c tểđ b nd hể : n ấ í ụ ụ h ể ạ ễ iu # iptables -N test # iptables -A test -m limit --limit-burst 5 --limit 2/m -j RETURN # iptables -A test -j DROP # iptables -A INPUT -i lo -p icmp --icmp-type echo-request -j test Đ u t n ln iptables -N test đ to mộ c an mớ tn l ts (a l mặ đn l ầ i ệh ê ểạ t hi i ê à e t tbe c ịh à ftr.T y c ọ -A test ( p e d đ tê lậ mớ v o c an ts.Đ i ớ c an ts, ie) ù h n l a p n ) ể h m u t i à h i et ố v i h i et mìh gớ h n l tb rtở mứ 5 g i l t l 2 g i h t n u tỏ lậ s tở v n ii ạ i - u s mi c ó, i mi à ó/ ú, ế h a u t ẽ r ề p ( E U N c n k ô g s b D O .S u đ mìh n i h m c an ts v o c an I P T v i R T R ) ò h n ẽ ị R P a ó n ố tê h i et à h i N U ớ tyc ọ c r mạ gv ol l, iotứ i ,o ic ù h n ad n à à o ga h c c mp lạ i mpl echo-rq e t L ậ n ys gớ à e u s. u t à ẽ ii h n c cg i I G tio l 2 g i h ts u k i ãđ tti g i ạ t ử pn đ n lc lo t ạ á ó PN ớ l à ó/ ú a h đ ạ ớ 5 ó. n h ig ế o ah s p B xem sao? $ ping -c 10 localhost C ỉ g i ầ to g p ú đ u t n đ ợ c ấ n ậ , h alậ R T R đ . â gờđ đ t h 5 ó đ u rn h t ầ i ê ư c h p h n tỏ u t E U N ó B y i ã ạ đ n mứ đn l 5 gói, ậ t cI tbe s gớ h n P N tiol 2 g i r n mỗ p ú b t ế c ỉh à lp ứ pa ls ẽ ii ạ I G ớ l à ó tê iht ấ c ấ c b on iug i ư cP N tiođ n a N uto gp ú ti h n c g i à P N h p ó a hê ó đ ợ I G ớ l i ữ . ế r n h t ớ k ô g ó ó n o I G tiI tbe s gả l t i g i ứ l tcđ đ n l 2g i h t ẽtn ln4g i h t ớ, pa ls ẽ im i đ 2 ó t c à ố ộ a g à mi ó/ ú s ă g ê p ó/ ú . p N u to g p ú n a k ô g c g i ế ,l ts gả đ 2 n a l tở v li rn t á c ế rn h t ữ h n ó ó đ n i mi ẽ im i ữ à r ề ạ tạ g h i ũ c ư đ t ế mứ đn 5 g iQ átìhc t pt cn ư v y B nc ỉ ầ n ớđ ngả l h a ạ đn c ỉh ó. u r n ứ i ụ h ậ . ạ h c n h ơ in à ế k i ã đ tti cđn ,tcđ s b gớ h n b i h m s --l t N u to g mộ đ n v h đ ạ ớ mứ ỉh ố ộ ẽ ị ii ạ ở t a ố i . ế rn mi tơ ị tờ ga ti h n c g i ế , ố đ s tn ln đ n b n --l t ế k i r li rn h i in ớ k ô g ó ó đ n tc ộ ẽ ă g ê ú g ằ g i đ n h tở ạ tạ g mi tá c ư đ t c--limit-burst thì thôi. h i h a ạ mứ Đ x m c clậ to gI tbe b n g ln $ itbe -L -nv (-Ltt ảc clậ to gtt ể e á u t r n pa ls ạ õ ệ h pa ls ấ c á u t rn ấ c c cc an tbemặ đn là filter, -nl t êởd n s , đ x m c iit ả á h i, a l c ịh ik ệ ạg ố v ể e ht ) ế # iptables -L -nv Chain INPUT (policy ACCEPT 10 packets, 840 bytes) pkts bytes target prot opt in out source destination 10 840 test icmp -- lo * 0.0.0.0/0 0.0.0.0/0 icmp type 8 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 18 pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 15 packets, 1260 bytes) pkts bytes target prot opt in out source destination Chain test (1 references) pkts bytes target prot opt in out source destination 5 420 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/min burst 5 5 420 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 # iptables -Z reset counter # iptables -F f s lậ l hut u # iptables -X x ac anđ to ó hi ã ạ R dr c c n e ie t ổ g I tbe h tợtyc ọ -j REDIRECT ch p é b nđ i ư n c n mộ c c d d n . í pa ls ổ r ù h n o hp ạ ổhớg ổg t áh ễ à g V d n ư S U D đ n l tn tê c n 3 2 /c .Đ rdrc c n 8 đ n c n 3 2 n y ụ h Q I a g i e rn ổ g 1 8 tp ể e i t ổ g 0 ế ổ g 1 8 à s e b nlm n ưs u ạà h a: # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 L uý tyc ọ -j REDIRECT cho có trong chain PREROUTING ư :ù hn SNAT & MASQUERADE Đ to k tn i ta s a e t gữ mạ g L N 1 21 801 v i nen tb n lp c u hn ể ạ ế ố `r n p r n` ia nA 9 .6 .. ớ I tr e ạ ậ ấ ìh c ot ờ glaI tbe n ưs u h ư n ử pa ls h a : # echo 1 > /proc/sys/net/ipv4/ip_forward c op é fr r c cp c e q amá c ủ đ t h h p o wad á a k t u yh ặ Iptables # iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 210.40.2.71 đ i Pn u n ổI gồ c oc cp c e r c r mạ geh l 2 04 ..1 K i h nđ ợ p c e v ot I tr e, h á a k t a ad n t 0 à 1 . 027 . h n ậ ư c a k t à ừ n e n t I tbe s t đ n đ i Pđc 2 04 ..1 t à h I đc t ơ g ứ g c amá t h to g pa ls ẽ ự ộ g ổ I í 1 .027 h n P í ư n n ủ h h y í rn n mạ gL N 1 21 80 2 . n A 9 . 6 ./ 4 H ặ b nc t ểd n MA Q E A Eta c oS A n ưs u oc ạ ó h ù g S U R D hy h N T h a: # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ( S U R D tư n đ ợ d n k i ế n i ế I tr e l p 0v d n đac ỉ P MA Q E A E h ờ g ư c ù g h k t ố đ n nen tà p à ù g ị h I đn) ộg G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 19 DNAT G ảs b nđ t á má c ủP o y Mal àD S to gmạ gD . ểtok t ố trong i ử ạ ặ c c y h r x , iv N r n n MZ Đ ạ ế n i s ố t I tr e v oc cmá c ủn yb nl n ưs u u t ừ nen t à á y h à ạ à h a: # echo 1 > /proc/sys/net/ipv4/ip_forward # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2 # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to-destination 192.168.1.3 # iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j DNAT --to-destination 192.168.1.4 L p c u h n I t b e c o má c ủ p ụ v W e ậ ấ ì h p a ls h y h hc ụ b P ầ n ymì s tn b yq av d c tểv cỉ ư n d nccb nl p ce vào. Các packet hn à n ẽ r h à u í ụ ụ h à h h ớ g ẫ á ạ ọ akt h ì c `ow r`v ' tu' ạ t l n a Gảs n ưmá củp ụ v We kt ố mạ gt ct pvo fr ad à o p tb n ự à h . i ử h u m y h hc ụ b ế ni n r i à ựế Itre q acr mạ geh , ị cỉPl 1234 B ncnl cuh htờ glacoItb sđ p nen t u ad n t0 đa h I à .... ạ ầ ậ ấ ì ư n ử h pa l á p n e ứ gcc ê cusu n á yu ầ a : - cn T P8 (h ya ah ) comọ n ư irycpw b ổ g C 0 cạ p ce mở h ig ờt uậ e - cn 2 (h ypotd cỉ cow b s r d n đ u l df l p bchml ổ g 1 cạ rf ) h mở h e mat (ù g ể p a i ê u l_ t ) p e o ln e i - cn 2 (h yo e sh cỉ coa mi (u gcpse `o t coa mi đ n n cp&p t l ổ g 2 cạ p ns) h mở h d n cn ấ h l ro` h d n ể â g ấ l ac ỗ hi cosre k iầ ) h ev r h cn - cn U P5 (h yt y n) ểp ụ v tnmi (â cỉ v d ) ổ g D 3 cạ i d s đ h c ụ ê ề đ y h l í ụ n n à - cỉh pn ậ IM PN ti ớ cd = x 8 cco i akt ò l đ ub t cố h cấ h n C P I G ớ v io e 0 0 , á l p ce cn ạ ề ịừ h i ạ i . B ớ 1 t itậ c ct a s c on â ư c : hế lp á h m ố h h n echo 1 > /proc/sys/net/ipv4/tcp_syncookies echo 10 > /proc/sys/net/ipv4/tcp_fin_timeout echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time echo 0 > /proc/sys/net/ipv4/tcp_window_scaling echo 0 > /proc/sys/net/ipv4/tcp_sack echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_source_route tc _ y c o is b t h cn n c ố gD S S N q as n o kec aLn x p s n o ke =1 ậ c ứ ă g h n o Y u y c o i ủ iu tp f _ i o t 0đ t h i int o t h q átìhđ n k t ố T Pl 1 gâ c _i tn me u =1 ặ t ờ ga i u c o u r me n ó g ế n i C à 0 iy tp k e aie t =1 0 đ t h i ingữk t ố T Pl 1 0 gâ c _ e p l _i v me 8 0 ặ tờ ga i ế n i C à 8 0 iy ... C ct a s k á b nc tểx m c iit r n tiiuđ k m c an â Ln x á h m ố h c ạ ó h e h t to g à l ế ệ i è ủ h n iu . B ớ 2 n pc cmô u c nt it h I tbe ưc : ạ á đ n ầ hế c o pa ls Đ s d n I tbe , ạ c np ả n ptư cc cmô u c nt it V d n ub nmu n ể ử ụ g pa ls b n ầ h i ạ r ớ á đ n ầ hế. í ụ ế ạ ố d n c ứ n n L G to gI tbe , ạ p ả n pmô u itL G v otư cb n ln # ù g h c ă g O r n pa ls b n h i ạ đ n p_ O à rớ ằ g ệ h modprobe ipt_LOG. G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
- Đ ti A tà v b omậ tê h đề h n Ln x ề à: n o n à ả t rn ệ iu à h iu Page 20 MODULES="ip_tables iptable_filter ipt_LOG ipt_limit ipt_REJECT ipt_state for i in $MODULES; do /sbin/modprobe $MODULES done B ớ 3 n u ê tcđ t u tà" r ptư c a c p s u ư c : g y n ắ ặ lậ l d o r ớ , c e t a " Đ yl n u ê tcmàb nn ntâ te . ầ t nh yđ n h t á c n , a đ mở â à g yn ắ ạ ê u n h o Đ u i ã ó g ế cc ổ g su ó ê d nc c c n c nt it C c n ytá hc ob ng ps i ó to gk i ặ lậ c o ầ á h ổ g ầ hế. á h à rn h ạ ặ a s t r n h đ tu t h Iptables. iptables -P INPUT DROP t ảp c e tư c h a k t rớ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT gữc ck t ố hệ i á ế n i in ti àc ấ n ậ c ck t ố c l nq a ạ v h p h n á ế n ió i u n ê iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT c ấ n ậ c cg i à lo a kt I hp hn á óvoobc ừ P 127.0.0.1 iptables -A INPUT -i lo -s 1.2.3.4 -j ACCEPT và 1.2.3.4 BANNED_IP="10.0.0.0/8 192.168.0.0/16 172.16.0.0/12 224.0.0.0/4 240.0.0.0/5" for i in $BANNED_IP; do iptables -A INPUT -i eth0 -s $i -j DROP t ảc cg i ữl uđ nt c cI n m to g h á ó d i ế ừ á P ằ rn ệ d n s c c m B N E _P a h áh ấ ANRI done B ớ 4 lcI MPv ov c ặ n ậ lt I G ư c :ọ C à à h n g p ụ PN L G c aI tbe s đ ợ g i à fe/ a/ g f e llg B np ả s ali ấ hn c o O ủ pa ls ẽ ư c h v o i v rl /i walo . ạ h i ử ạ c u ìh h l or . S S O n ưs u Y L G h a: # vi /etc/syslog.conf kern.=debug /var/log/firewall.log # /etc/rc.d/init.d/syslogd restart Đ i ớ c cg i C ố v i á ó I MPđ n c ú gt s đ yq ac anC E K P N F O D đ kể ta ế, h n a ẽ ẩ u h i H C _ IG L O ể im r x m hệ ti a gb n ậ lt I G h yk ô g s uđ mớ c op é g i à . ế đ n b e in ạ đ n ị g p ụ P N a hn,a ó ih h p ó v o N u a g ị n ậ lt I G mô u L G s t nh n g i h t í mứ gớ h n--limit $LOG_LIMIT và g p ụ PN , đ n O ẽ i à h h n ậ k ở ế c ii ạ --limit-b rt L G LMI _ U S , á g i I G n ậ lt ẽb t ảh t u s $ O _ I T B R T c c ó PN g p ụ s ịh ế. LOG_LEVEL="debug" LOG_LIMIT=3/m LOG_LIMIT_BURST=1 PING_LIMIT=500/s PING_LIMIT_BURST=100 iptables -A CHECK_PINGFLOOD -m limit --limit $PING_LIMIT --limit-burst $PING_LIMIT_BURST -j RETURN iptables -A CHECK_PINGFLOOD -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=PINGFLOOD:warning a=DROP " iptables -A CHECK_PINGFLOOD -j DROP iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j CHECK_PINGFLOOD iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j ACCEPT B ớ 5 rjc q é c n T Pv UDP ư c : ee t u t ổ g C à Ở đ yb n tos n c an rjc q é c n , h n t s đ yv oc an I P Ts u Đ i â ạ ạ ẵ h i ee t u t ổ g c ú g a ẽ ẩ à h i N U a . ố v i ó T P c ú gt rjc b n g i C v i ờS N ớ g i C , h n a ee t ằ g ó T P ớ c Y =1c nđ i ớ g i D , h n t s ò ố v i ó U P cú g a ẽ rjc b n g i C ee t ằ g ó I MP` o tunreachable` p r- G H : g y nT nK ô V DN uễ ấ hi Sn vê tự hệ : ih in h c in L T ị u ề Ta g ê h H y n rn N u ễ H yC ư n g yn u h ơg
ADSENSE
CÓ THỂ BẠN MUỐN DOWNLOAD
Thêm tài liệu vào bộ sưu tập có sẵn:
Báo xấu
LAVA
AANETWORK
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn