Mẹo giữ server Ubuntu Linux của bạn an toàn

Mẹo giữ server Ubuntu Linux của bạn an toàn.Khi là quản trị viên hệ thống, một trong những nhiệm vụ trọng yếu của bạn là xử lý các vấn đề bảo mật server. Nếu server của bạn được kết nối Internet, bạn nên đặt nó trong vùng xung đột. Nếu đó chỉ là một server nội bộ, bạn vẫn cần xử lý (có thể là một cách ngẫu nhiên) những đối tượng nguy hiểm, các nhân viên chống đối hay gã kế toán nào đó muốn đọc trộm e-mail bí mật của sếp.Thông thường Ubuntu Server rất an toàn. Ubuntu...
Nội dung trích xuất từ tài liệu:
Mẹo giữ server Ubuntu Linux của bạn an toànMẹo giữ server Ubuntu Linux của bạn an toànKhi là quản trị viên hệ thống, một trong những nhiệm vụ trọng yếu củabạn là xử lý các vấn đề bảo mật server. Nếu server của bạn được kết nốiInternet, bạn nên đặt nó trong vùng xung đột. Nếu đó chỉ là một server nộibộ, bạn vẫn cần xử lý (có thể là một cách ngẫu nhiên) những đối tượng nguyhiểm, các nhân viên chống đối hay gã kế toán nào đó muốn đọc trộm e-mailbí mật của sếp. Thông thường Ubuntu Server rất an toàn. Ubuntu Server Team - nhóm sản xuất các phiên bản update bảo mật văn phòng - đã thực hiện lần lột xác thành công nhất trong lịch sử ngành công nghiệp bảo mật với Ubuntu Server.Ubuntu không được gắn với chính sách cổng mở. Có nghĩa là sau khi bạn càiđặt, để chế dộ desktop hay server cho Ubuntu xong, mặc định sẽ không cóchương trình ứng dụng nào chấp nhận kết nối đến internet. Giống nhưUbuntu desktop, Ubuntu Server sử dụng cơ chế sudo trong quản trị hệ thống,tránh sử dụng tài khoản gốc. Các bản update bảo mật còn được bảo hành ítnhất 18 tháng sau khi phát hành (một số bản lên đến 5 năm như Dapper) vàhoàn toàn miễn phí.Trong phần này chúng tôi muốn bàn về vấn đề bảo mật file hệ thống, các giớihạn nguồn hệ thống, xử lý các bản ghi và an ninh mạng. Nhưng bảo mậttrong Linux là một đề tài khó và rộng lớn nên chúng tôi chỉ xin cung cấp chocác bạn một số cách giải quyết xung đột cơ bản. Để trở thành một quản trịviên tốt, bạn nên quan tâm tới vấn đề này và học hỏi thêm từ các nguồn khácmà chúng tôi sẽ cung cấp trong bài.Quản trị tài khoản người dùngNhiều khía cạnh quản trị người dùng của hệ thống Linux được thực hiện nhấtquán trên các phân phối của nó. Trước đây, hãng Debian cung cấp một số tiệních như mã lệnh useadd, giúp bạn quản trị dễ dàng hơn. Sau này Ubuntu kếthừa đầy đủ mô hình quản trị người dùng của Debian. Chúng ta sẽ không đisâu vào chi tiết của Debian mặc dầu nó được coi là mô hình chuẩn trong quảntrị người dùng. Các bạn muốn tìm hiểu thêm có thể tham khảo tại website củaO’Reilly. Vấn đề chúng ta quan tâm ở đây là sự khác biệt của Ubuntu với môhình chuẩn: sudo.Ubuntu không cho phép đặt mặc định root, administrator, account. Nó cócách xử lý lợi ích bảo mật khá hay và một số phương án giảm cấp đáng kinhngạc. Đó là văn bản hoá tất cả trong các trang chính của file gốc sudo_root.Trong quá trình cài đặt, bạn thêm vào người dùng nào thì mặc định ngườidùng đó sẽ được đặt trong nhóm admin và có thể dùng sudo để thực hiện cácnhiệm vụ quản trị hệ thống. Sau khi thêm tên người dùng mới vào hệ thống,bạn có thể đưa họ vào nhóm admin bằng câu lệnh:$ sudo adduser username adminNếu muốn loại một người nào ra khỏi nhóm admin, đơn giản bạn chỉ cần đặtlệnh deluser thay thế adduser.Một điều bạn nên chú ý là sudo không chỉ cung cấp quyền truy cập thư mụcgốc. Nó còn có thể điều khiển các quyền nhỏ bên trong, chẳng hạn như việcra lệnh: “chỉ cho phép người dùng này thực thi 3 câu lệnh với các đặc quyềncủa superuser”Tài liệu mô tả các quyền này nằm trong trang “sudoers” nhưng nó khá khóhiểu. Bạn chỉ cảm thấy rõ ràng hơn đôi chút khi đọc đến phần ví dụ của nó,tài liệu này cung cấp hầu hết các tình huống bạn cần dùng đến sudo. Khi đãthực sự hiểu, đơn giản bạn chỉ cần chạy câu lệnh:$ visudoỞ đây bạn phải cẩn thận. Cơ sở dữ liệu sudoers, nằm trong “/etc/sudoers”không mở được bằng một trình soạn thảo. Bởi vì một trình soạn thảo khôngthể kiểm tra được cú pháp.Nếu bạn làm rối cơ sở dữ liệu sudoers, có thể bạn sẽ phải tự mình tra tìm dữliệu mà không thể trở thành người quản trị được.Bảo mật hệ thống fileMô hình bảo mật file được chuẩn hoá trong hầu hết các hệ thống tựa Unix vàđược gọi là mô hình POSIX. Mô hình này có 3 quyền truy cập file và thưmục mở rộng cho: người sở hữu, nhóm và các đối tượng khác. Tất cả đềuđược thực hiện giống nhau tại bất kỳ phân phối Linux nào. Đó là lý do vì saochúng ta không tập trung phân tích kỹ vấn đề này. Các bạn có thể tham khảothêm tại các trang “chmod” và “chown” trong phần trợ giúp của Linux hoặctrên Internet.Bây giờ chúng ta sẽ tập trung vào việc phân vùng bảo mật thông qua các tuỳchọn lắp ghép, một vấn đề quan trọng cần chú ý khi xử lý bảo mật hệ thống.Việc phân vùng sẽ có tác động mạnh nếu được dùng thích hợp. Khi giải thíchcách thức phân vùng hệ thống chúng tôi đã nhấn mạnh ưu điểm của Linuxtrong việc cung cấp các thư mục “/home”, “/tmp”, “/var” cho các phân vùngriêng. Các thư mục này đề cập đến cách dùng các tuỳ chọn đặc biệt khi ghépcác phần vùng vào hệ thống file.Nhiều tuỳ chọn lắp ghép là kiểu hệ thống file phụ thuộc. Nhưng những tuỳchọn chúng ta xét đến không phải loại này. Chúng ta có một số tuỳ chọn sau:nodev: Một hệ thống file lắp ghép với tuỳ chọn nod ...