Bảo đảm an ninh linux
Chào anh em bài trước mình đã đưa ra danh sách cần thiết để nâng cao an ninh trên máy chủ Windows. Với những quản trị viên
cũng có thể dựa trên danh sách đó xây dựng checklist security cho đơn vị của mình đang làm việc hoặc tham khảo bổ sung kiến thức. Tất nhiên bài viết của mình chỉ mang tính tham khảo vì sẽ có nhiều tài liệu khác nhau cho vấn đề này. Bài này mình không đưa ra những chỉ mục như phần Windows mà chỉ liệt kê các tips để nâng cao an ninh máy chủ Linux nếu muốn xây dựng checklist các bạn có thể tham khảo chỉ mục bài bên Windows. 1. Encrypt Data Communication For Linux Server Tất cả dữ liệu truyền qua mạng đều có thể giám sát vậy nên mã hóa dữ liệu bằng mật khẩu, key, certificates là cần thiết để đảm bảo tính
an toàn của data trên đường truyền. 2. Tránh sử dụng các dịch vụ không mã hóa kém an toàn FTP, telnet, rsh là các dịch vụ thường sử dụng khi cấu hình mạng. Tên người dùng và mật khẩu có thể bị capture dễ dàng trên đường truyền. 3. Minimize Software to Minimize Vulnerability in Linux Một máy chủ web có cần thiết phải cài đầy đủ hệ điều hành như distro của nhà phát triển OS đó không. Tất nhiên bạn sẽ không cần dùng đến tất cả các ứng dụng trên bản distro Linux nào đó mà chỉ cần cài tối thiểu mà bộ cài cho phép. 4. Một dịch vụ chạy trên một máy chủ. Các dịch vụ mạng khác nhau nên chạy trên các máy chủ riêng biệt để tránh trường hợp máy chủ web bị tấn công có thể ảnh hưởng tới các dịch vụ khác như database, email, backup .... Giải pháp ảo hóa giải quyết triệt để vấn đề này và tận dụng được sức mạnh phần cứng server. 5. Auto update phần mềm và nhân Linux Luôn luôn áp dụng các bản vá an ninh là một phần quan trọng trong việc bảo trì máy chủ linux. Linux cung cấp sẵn các công cụ cần thiết để giữ hco hệ thống luôn cập nhật và dễ dàng nâng cấp các phiên bản. 6. Use Linux Security Extensions Linux đi kèm với các bản vá khác nhau có thể được sử dụng để chống lại các chương trình bị cấu hình sai hoặc bị xâm nhập. Nếu có thể chúng ta có thể sử dụng SELinux và các phần an ninh mở rộng khác để thực thi các chính sách an ninh cho máy chủ Linux. SELinux 7. Tài khoản người dùng Linux phải đi kèm chính sách mật khẩu mạnh Cấu hình chính sách mật khẩu đảm bảo các yếu tố tối thiểu 8 ký tự ,có chữ số, ký tự đặc biệt, chữ viết hoa viết thường. Quan trọng nhất là phải dễ nhớ tránh trường hợp đặt xong quên luôn lại phải reset mật
khẩu. 8. Bảo vệ máy chủ vật lý Bảo vệ quyền truy cập vào bảng điều khiển vật lý của máy chủ Linux như cổng usb, CD, card net. Cấu hình bios tắt tính năng khởi động từ các thiết bị cắm ngoài như usb, cd-dvd. Tất cả máy chủ phải được khóa trong tủ rách và chỉ cá nhân có thẩm quyền mới được tiếp cận. 9. Vô hiệu hóa khởi động cùng hệ thống các dịch vụ không cần thiết Việc vô hiệu hóa các dịch vụ không cần thiết khởi động cùng hệ thống giúp hệ thống chạy nhanh hơn mặc dù không đáng kể nhưng quan trọng là hạn chế dịch vụ running sẽ hạn chế được các lỗ hổng (không chạy thì không có cửa khai thác chui vào hệ thống). 10. Tìm kiếm và đóng tất cả các port không sử dụng Để dễ dàng thực hiện tips này các bạn chỉ cần bật iptables và đóng tất cả các port lại chỉ mở các port dịch vụ, remote cần thiết. 11. Logging Cấu hình và thu thập log của tất cả các hành động login fail nhằm tìm kiếm và chặn các nỗ lực tấn công vào hệ thống. Tất cả nhật ký log nằm trong var/log Một số logfile chú ý: 12. System Accounting with auditd Bản kiểm toán được cung cấp để đánh giá hệ thống. Nó chịu trách nhiệm ghi hồ sơ kiểm toán vào đĩa. Trong khi khởi động, các quy tắc trong /etc/audit.rules được đọc bởi daemon này. Bạn có thể mở tệp /etc/audit.rules và thực hiện các thay đổi như thiết lập vị trí nhật ký tệp kiểm tra và tùy chọn khác. Với Auditd, bạn có thể trả lời những câu hỏi sau: Sự kiện khởi động và tắt hệ thống (khởi động lại / tạm dừng). 13. Backup - Backup các
file cấu hình hệ thống để áp dụng cho máy chủ cài đặt lần sau. Còn rất nhiều tips nữa để nâng cao an ninh máy chủ Linux những tips đó thường đi sâu vào các ứng dụng nên mình sẽ không đưa ra ở đây. Rất mong ý kiến đóng góp của các bạn để bài viết hoàn thiện hơn. |