Quản trị mạng linux 8

  • 20 trang
  • file .pdf
CHUYÊN ĐỀ
QUẢN TRỊ VIÊN LINUX
1
PHẦN VIII
BẢO MẬT MẠNG
Ø Quản lý user
Ø Bảo mật console
Ø Firewall
2
Quản lý user
o Vị trí tài khoản root
o Thêm và xóa tài khoản
o Bảo mật user profile
o Chính sách mật khẩu
3
Vị trí tài khoản root
o Mặc định tài khoản root bị vô hiệu hóa trong Ubuntu vì lí
do bảo mật.
o Khi cần sử dụng tài khoản root cho việc cấu hình hệ thống,
ta sử dụng lệnh sudo.
o Để sử dụng tài khoản root cho việc đăng nhập hệ thống,
trước hết ta cấu hình mật khẩu cho root: sudo passwd
o Để vô hiệu hóa root, sử dụng lệnh: sudo passwd –l root
o Lưu ý: Mặc định, tài khoản đầu tiên thuộc nhóm admin
4
Thêm và xóa tài khoản
o Thêm tài khoản: sudo adduser
5
Thêm và xóa tài khoản
o Xóa tài khoản: sudo deluser
o Lưu ý:
n Khi xóa một tài khoản người dùng, home folder của người dùng
đó sẽ không bị xóa (mặc định).
n Nếu tài khoản mới được tạo có UID/GID trùng với tài khoản đã
xóa thì có toàn quyền trên các tài nguyên của tài khoản cũ.
n Để khóa hoặc mở khóa cho một tài khoản:
o Khóa: sudo passwd –l
o Mở khóa: sudo passwd –u
6
Thêm và xóa tài khoản
o Thêm một nhóm: sudo addgroup
n VD: sudo addgroup group01
o Xóa một nhóm: sudo delgroup
n VD: sudo delgroup group02
o Thêm tài khoản vào nhóm: sudo adduser

n VD: sudo adduser user01 admin
7
Bảo mật user profile
o Hồ sơ tài khoản người dùng được tạo ra từ nội dung thư
mục /etc/skel
o Mặc định, quyền truy cập trên home folder là read/execuse
cho tất cả các user trên hệ thống.
o Để xem việc phân quyền trên home folder của tài khoản
hiện hành: ls -ld /home/username
o Để hủy quyền đọc trên home folder của tài khoản hiện
hành: sudo chmod 0750 /home/username
8
Chính sách mật khẩu
o Chính sách mật khẩu mạnh là một trong những yếu tố
quan trọng để bảo mật hệ thống.
o Một số chính sách quan trọng về mật khẩu:
n Minimum Password Length
n Password Expiration
n SSH Access by Disabled Users
n External User Database Authentication
9
Bảo mật console
o Là phương pháp bảo mật khi tương tác với giao diện console.
o Một số phương pháp bảo mật console:
n Vô hiệu hóa Ctrl + Alt + Del
o Mở file /etc/event.d/control-alt-delete
o Sửa nội dung: #exec /sbin/shutdown -r now "Control-Alt-
Delete pressed"
n Mật khẩu GRUB
o Nhập mật khẩu và mã hóa bằng md5: grub-md5-crypt
o Mở file /boot/grub/menu.lst à password --md5
$1$s3YiK$M3lxAbqA6JLm2FbDWnClQ0 (mật khẩu đã
được mã hóa)
o Yêu cầu dùng mật khẩu để đăng nhập vào chế độ single user
#lockalternative=true
10
Firewall
o Giới thiệu
o Uncomplicated Firewall (ufw)
o Giả mạo IP
o Log Firewall
11
Giới thiệu
o Nhân Linux bao gồm hệ thống con netfilter, dùng để quản
lý lưu lượng và lọc gói tin ra vào mạng.
o Khi các gói tin đi vào máy chủ, chúng được cache lại để
đưa vào bộ lọc netfilter; sau đó mới thực hiện kiểm tra để
thực hiện khớp rule trên iptable à quyết định: cho phép đi
qua hay từ chối.
12
Uncomplicated Firewall (ufw)
o Công cụ cấu hình firewall mặc định trên ubuntu là ufw. Được phát
triển để dễ dàng cấu hình tường lửa iptables.
o ufw giúp người dùng dễ dàng quản lý tường lửa dựa trên IPv4 và
IPv6 host-based firewall.
o Mặc định ufw bị vô hiệu hóa trên hệ thống à Đầu tiên cần enable
ufw trên hệ thống:
n sudo ufw enable
o Để mở một port (chẳng hạn ssh):
n sudo ufw allow 22
o Các rules có thể được thêm vào bằng định dạng numbered:
n sudo ufw insert 1 allow 80
o Để đóng một port, sử dụng lệnh:
n sudo ufw deny 22
o Để xóa một rule, sử dụng lệnh:
n sudo ufw delete deny 80
13
Uncomplicated Firewall (ufw)
o Có thể chỉ định cụ thể host nào, network nào được phép truy cập vào
một host:
n VD1: sudo ufw allow proto tcp from 10.10.15.131 to any port
22
n VD2: sudo ufw allow proto tcp from 10.10.15.0/24 to any port
22
o Thêm tùy chọn --dry-run vào lệnh ufw thì kết quả của các rule sẽ
được kết xuất nhưng không được áp dụng:
n VD: sudo ufw --dry-run allow http
14
Uncomplicated Firewall (ufw)
o Để vô hiệu hóa ufw:
n sudo ufw disable
o Để xem trạng thái của firewall:
n sudo ufw status
o Để xem thông tin chi tiết về firewall:
n sudo ufw status verbose
o Để xem định dạng số cho các dịch vụ trên firewall:
n sudo ufw status numbered
15
Uncomplicated Firewall (ufw)
o Tích hợp ứng dụng ufw:
n Các cổng của các ứng dụng có thể chứa trong một profile của
ufw. Để chúng hoạt động đúng à Cần điều chỉnh thông tin trong
/etc/ufw/application.d
n Để xem các ứng dụng nào đã cài đặt profile:
o sudo ufw app list
n Để cho phép lưu lượng mạng đi vào một cổng của một ứng dụng
nào đó (vd: samba):
o sudo ufw allow samba
n Cú pháp trên tương tự như lệnh sau:
o sudo ufw allow from 10.10.15.0/24 to any app samba
n Để xem thông tin chi tiết về các cổng, các giao thức được sử
dụng của một dịch vụ (vd: samba):
o sudo ufw app info samba
16