CHỨNG CHỈ QUẢN TRỊ MẠNG LINUX - ChươngI 7

Linux SecurityTóm tắtLý thuyết: 10 tiết - Thực hành: 10 tiết. Mục tiêu Bài học giới thiệu các I. công cụ hỗ trợ cách II. thiết lập Firewall trên môi trường Linux như:
Nội dung trích xuất từ tài liệu:
CHỨNG CHỈ QUẢN TRỊ MẠNG LINUX - ChươngI 7Hướng dẫn giảng dạy BÀI 17 Linux SecurityTóm tắtLý thuyết: 10 tiết - Thực hành: 10 tiết. Bài tập bắt Bài tập làm Mục tiêu Các mục chính buộc thêm Bài tập 7.1Bài học giới thiệu các I. Log File (Linuxcông cụ hỗ trợ cách II. Giới hạn user security)thiết lập Firewall trênmôi trường Linux như: III. Network securityiptables, tcp_wrappers.Sử dụng iptables đểthực thi các kỹ thuậtNAT, Routing.Học phần 4 - Chứng chỉ quản trị mạng Linux Trang 224/271Hướng dẫn giảng dạyI. Log FileMột số file log chính trong hệ thống: File /var/log/messages: Chứa các thông tin log của hệ thống được daemon syslogd ghi nhận.- File /var/log/secure : chứa các thông tin về login fail, add user,…- File /var/log/wtmp lưu các log về logon/reboot thành công vào hệ thống(ta có thể sử dụng- last tool để xem thông tin này). File /var/run/utmp lưu các session hiện tại đang logon vào hệ thống(ta có thể dùng lệnh who,- w để xem thông tin này).II. Giới hạn userThông qua tập tin /etc/nologin, ta có thể ngăn chặn việc login của user trong hệ thống trừ userroot.Thư mục /etc/security/ cho phép người quản trị có thể giới hạn user CPU time, kích thước tối đacủa file, số kết nối vào hệ thống(file /etc/security/limits.conf)./etc/security/access.conf để giới hạn việc login của user và nhóm từ 1 vị trí cụ thể nào đó.Tham khảo về cú pháp của file /etc/security/limits.conf Trong đó: :username, groupname(sử dụng theo cú pháp @groupname) : hard, soft. : core, data, fsize,…(ta tham khảo file /etc/security/limits.conf)III. Network securityLinux phân chia Network security thành hai loại chính: Loại 1: host based security- Loại 2: port based security-III.1. Host Based securityTcp_wrappers cung cấp host based access control list cho nhiều loại network services như:xinetd, sshd, portmap,…Tcp_wrappers cung cấp hai file cấu hình /etc/hosts.allow và /etc/hosts.deny để ngăn chặn hoặccho phép các host request đến các dịch vụ trong hệ thống. Cú pháp của 2 file này như sau:Service : hosts [EXCEPT] hostsVí dụ: ALL: ALL EXCEPT .domain.comHọc phần 4 - Chứng chỉ quản trị mạng Linux Trang 225/271Hướng dẫn giảng dạyIII.2. Port based securityLinux kernel cho phép thực thi chức năng packet filtering trong hệ thống thông qua công cụiptables, ipchains.III.2.1 Giới thiệu về iptablesIptables do Netfilter organization viết ra để tăng tính năng bảo mật trên hệ thống Linux. Iptablescung cấp các tính năng sau: Tích hợp tốt với kernel của Linux.- Có khả năng phân tích package hiệu quả.- Lọc package dựa vào MAC và một số cờ hiệu trong TCP Header.- Cung cấp chi tiết các tuỳ chọn để ghi nhận sự kiện hệ thống.- Cung cấp kỹ thuật NAT- Có khả năng ngăn chặn một số cơ chế tấn công theo kiểu từ chối dịch vụ(denial of service- (DoS) attacks)III.2.2 Cài đặt iptablesIptables được cài đặt mặc định trong hệ thống Linux, package của Iptables là iptables-1.2.9-1.0.i386.rpm, ta có thể dung lệnh rpm để cài đặt package này:Rpm –ivh iptables-1.2.9-1.0.i386.rpmKhởi động iptables và xác định trạng thái của iptablesCho phép iptables start vào thời điểm hệ thống khởi động: #chkconfig iptables on start/stop/restart dịch vụ DNS: #service iptables restart Xác định trạng thái của iptables #service iptables statusIII.2.3 Cơ chế xử lý package trong iptablesIptables sẽ kiểm tra tất cả các package khi nó đi qua iptables host, quá trình kiểm tra này đượcthực hiện một cách tuần tự từ entries đầu tiên đến entry cuối cùng.Có ba loại bảng trong iptables: Mangle table: chịu trách nhiệm biến đổi quality of service bits trong TCP header. Thông- thường loại table này được ứng dụng trong SOHO. Filter queue: chịu trách nhiệm thiết lập bộ lọc packet(packet filtering), có ba loại built-in- chains được mô tả để thực hiện các chính sách về firewall (firewall policy rules). Forward chain: Lọc packets đi qua firewall. + Input chain: Lọc packets đi vào firewall. + Output chain: Lọc packets đi ra firewall. + NAT queue: thực thi chức năng NAT, cung cấp hai loại build-in chains sau đây:-Học phần 4 - Chứng chỉ quản trị mạng Linux ...