Dùng chứng chỉ Client

Dùng chứng chỉ Client.Trong phần này, chúng ta sẽ cố gắng truy cập đường dẫn URL của website một lần nữa. Nếu phần trên đã hoàn thành một cách thành công, mỗi lần được yêu cầu, chúng ta có thể xem và chọn chứng chỉ đã được thiết lập từ danh sách, như hình 6 bên dưới:Chọn chứng chỉ client khi đã làm xong nền. Chọn chứng chỉ client khi đã làm xong nền. Sau khi chọn xong chứng chỉ, người dùng phải nhập mật khẩu yêu cầu để giải mã khoá private tương ứng, như trong Nhập cụm...
Nội dung trích xuất từ tài liệu:
Dùng chứng chỉ ClientDùng chứng chỉ ClientTrong phần này, chúng ta sẽ cố gắng truy cập đường dẫn URL của websitemột lần nữa. Nếu phần trên đã hoàn thành một cách thành công, mỗi lần đượcyêu cầu, chúng ta có thể xem và chọn chứng chỉ đã được thiết lập từ danhsách, như hình 6 bên dưới: Hình 6. Chọn chứng chỉ client khi đã làm xong nền.Chọn chứng chỉ client khi đã làm xong nền.Sau khi chọn xong chứng chỉ, người dùng phải nhập mật khẩu yêu cầu để giảimã khoá private tương ứng, như trong hình 7: Hình 7. Nhập cụm mật khẩu cho chứng chỉ.Nhập cụm mật khẩu cho chứng chỉ.Bây giờ, chúng ta truy cập vào website an toàn, như minh hoạ trong hình 8: Hình 8. Truy cập an toàn, dùng chứng chỉ đã được chấp nhận.Truy cập an toàn, dùng chứng chỉ đã được chấp nhận.Điều khiển truy cập tuỳ biếnVới các thư mục thêm server-side, chúng ta có thể điều khiển các phầnwebsite của cá nhân hoặc một nhóm người dùng được thông qua hay bị từchối. Ví dụ khi một tổ chức phải giao dịch một cách an toàn với nhiều côngty khác nhau, chúng ta có thể giới hạn quyền truy cập website chỉ trong mộtcông ty cụ thể (O-secure) bằng cách thêm vào httpd.conf các chỉ dẫn sau: SSLRequire %{SSL_CLIENT_S_DN_O} eq Seccure Ví dụ khác minh hoạ cho việc làm cách nào chỉ cho phép truy cập một vănphòng nào đó (OU= “Secure Labs”) bên trong một công ty (O= “Seccure”). SSLRequire %{SSL_CLIENT_S_DN_O} eq Seccure and %{SSL_CLIENT_S_DN_OU } eq Seccure LabsHoặc chỉ cung cấp quyền truy cập một vài phòng ban (OU=”Seccure Labshoặc OU=”development””) trong cùng công ty (O = “Seccure”). SSLRequire %{SSL_CLIENT_S_DN_O} eq Seccure and %{SSL_CLIENT_S_DN_OU } in {Seccure Labs, Development}Cuối cùng, thậm chí có thể cấp quyền truy cập cho một người dùng cụ thể(CN = “Frodo Baggins”) từ một công ty cụ thể (O=”Seccure”): SSLRequire %{SSL_CLIENT_S_DN_O} eq Seccure and %{SSL_CLIENT_S_DN_CN} in {Frodo Baggins}Chú ý rằng có thể cung cấp các biến môi trường trên cho tập lệnh CGI (baogồm PHP và những ngôn ngữ khác) bằng cách thêm vào tham số+StdEnvVars trong chỉ dẫn SSLOptions. Thành phần này cho phép chúngta dùng tên DN bên trong các ứng dụng web (như PHP và một số ngôn ngữkhác) để cung cấp các quyền thẩm định chi tiết hơn hoặc các điều khiển truycập. SSLOptions +StdEnvVarsThu hồi một chứng chỉ clientNếu một chứng chỉ trở nên gây hại hoặc bị mất, bạn sẽ làm gì? Trong trườnghợp này, chúng ta cần thu hồi lại chứng chỉ đó như đã nói trong các phầntrước. Tiếp theo chúng ta phải sao chép lại một file CRL vào thư mục Apachenhư sau: install -m 644 -o root -g sys crl.pem /usr/local/apache2/conf/ssl.crl/Chúng ta cũng cần chắc chắn rằng SSLCARevocationFile trong httpd.conftrỏ vào file trên: SSLCARevocationFile /usr/local/apache2/conf/ssl.crl/crl.pemSau đó chúng ta cần khởi động lại Apache để có được hiệu quả của sự thayđổi. Chứng chỉ được thu hồi sẽ không cho phép truy cập website, như đuợcchỉ trong hình 9: Hình 9. Cố gắng truy cập với chứng chỉ bị thu hồi.Cố gắng truy cập với chứng chỉ bị thu hồi.Chrooting serverĐể nâng cao độ an toàn web server của bạn và làm cho Apache có ít lỗ hổngbị tấn công tràn bộ nhớ đêm hơn, bạn nên chạy Apache trong môi trườngchrooted. Chrooting web server cách ly tiến trình tạo thư mục gốc mới đểchúng không thấy được các file còn lại của server.Tiến trình chooting Apache đươc mô tả trong Securing Apache 2.0: Step-by-Step. Vì thế các bạn nên theo các bước đã nói trên. Cùng với việc thêm phầnhỗ trợ cho SSL/TLS, chúng ta cần cài đặt thêm một số thư viện và tạo mộtvài thư mục con. Trong trường hợp FreeBSD 5.1, danh sách các thư viện vàthư mục như sau: cp /usr/lib/libssl.so.3 /chroot/httpd/usr/lib/ cp /usr/lib/libcrypto.so.3 /chroot/httpd/usr/lib/ cp -R /usr/local/apache2/conf/ssl.key /chroot/httpd/usr/local/apache2/conf/ cp -R /usr/local/apache2/conf/ssl.crt /chroot/httpd/usr/local/apache2/conf/ cp -R /usr/local/apache2/conf/ssl.crl /chroot/httpd/usr/local/apache2/conf/Chúng ta cũng cần thêm ổ ngẫu nhiên như sau. Ví dụ bên dưới được lấy ra từFreeBSD 5.1: ls -al /dev/*random crw-rw-rw- 1 root wheel 2, 3 Jan 4 12:10 /dev/random lrwxr-xr-x 1 root wheel 7 Jan 4 12:10 /dev/urandom -> random cd /chroot/httpd/dev mknod ./random c 2 3 ln -s ./random ./urandom chown root:sys ./random chmod 666 ./randomTrong trường hợp các hệ điều hành khác, người đọc có thể tạo ra danh sáchcác file cần thiết bằng cách dùng các câu lệnh như truss, strace, ktracev.v…như đã được mô tả chi tiết trong phần: “Chrooting the server ” ở bài báoSecurity focus: “Secirity Apache: Step-by-step”Mỗi lần các bước này hoàn thành, bạn có thể chạy Apache trong môi trườngenviroment như sau: chroot /chroot/httpd /usr/local/apache2/bin/httpdCác kiểu tấn công SSL/TL ...