Đề tài Hỗ trợ bảo mật hệ thống thông tin cho các mạng tin học Việt Nam

quản lý, sản xuất. Vì vậy, cấu hình một nhân viên an ninh mạng bên cạnh các quản trị mạng chưa thể là hiện thực trong tương lai gần. Phát hiện sơ hở qua các khảo sát (auditing) thường xuyên, định kỳ và thông báo cho quản trị mạng sửa chữa vẫn là phương án khả thi nhất hiện nay nhằm tăng cường mức độ an ninh mạng của chúng ta. Proxy, NAT,DNS… Internal network Internet Dial-up/ADSL IDS Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 71 • Xâm nhập thử nghiệm để tìm ra sơ hở là một công tác rất tế nhị, là công tác mà tính hợp pháp của nó rất dễ bị đưa ra trước pháp luật. Vì vậy, nhóm nghiên cứu tìm sơ hở phải là những cá nhân có thể tin tưởng được, phải có được quyền danh chính ngôn thuận để thực hiện công việc này. Đồng thời, nhóm xâm nhập thử nghiệm cũng phải bị giám sát bới cơ quan an ninh, pháp luật. • Phòng an ninh mạng trực thuộc Sở khoa học và công nghệ với một người biên chế của Sở làm đầu mối kết nối với Sở Khoa học và một số chuyên viên kỹ thuật là mộtmô hình khả thi. Kinh phí họat động cho nhóm này không lớn vì chúng ta sử dụng người kiêm nhiệm từ các công ty, doanh nghiệp, trường học là chính. Trang thiết bị máy tính, đường truyền không cần phải đầu tư. Chi phí chủ yếu là phụ cấp nhân công cho chuyên viên kỹ thuật và một số sinh họat seminar/hội thảo thường kỳ. Số lượng nhân viên phòng an ninh mạng có thể là 5 người và được thay đổi trong quá trình họat động nhằm tìm ra những người tâm huyết nhất, trình độ kỹ thuật giỏi nhất cho công tác này. Kinh nghiệm trong quá trình nghiên cứu an ninh mạng cho thấy số lượng cán bộ nghiên cứu không cần nhiều, chỉ cần một vài người có nhiệt tình, trung thực và được hướng dẫn đúng đắn là có thể thực hiện được công việc. • Đối với mô hình hệ thống thông tin, nhất là những mô hình có nhiều công nghệ mới như grid, portal, VPN … thi tìm sơ hở là một hình thức tốt để thử nghiệm mức độ an tòan của công nghệ và trình độ của nhóm quản trị hệ thống trước khi triển khai. Đặc biệt các Website mang tính chất chính trị, hoặc các dịch vụ hành chính công cần được thử nghiệm để đảm bảo mức độ an tòan cao nhất. Thông tin về cấu hình này sẽ được sử dụng ở chỗ nào, hình thức nào hòan tòan bí mật trong cuộc thi. Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 72 6 Phụ lục A: Cấu hình máy chủ bugsearch 1. Yêu cầu đặt ra cho máy chủ web server bugsearch a. bất khả xâm phạm đối với hacker b. đứng vững trước các kiểu tấn công DOS c. Đáp ứng đủ các yêu cầu đặt ra đối với các dịch vụ: nhanh, dễ sử dụng đối với user d. Có khả năng phát hiện các xâm nhập ở mức cơ bản nhất 2. Nguyên tắc bảo mật khi xây dựng máy chủ a. thoả mãn đầy đủ các yêu cầu b. đề ra cơ chế bảo mật cụ thể c. tối thiểu hoá các dịch vụ và các tiện ích trên máy chủ d. có report hằng ngày cho admin các thay đổi trên các file cấu hình quan trọng 3. Lựa chọn Hệ điều hành cho máy chủ a. căn cứ trên cơ sở vật chất hiện có b. những đáp ứng có thể c. so sánh giữa các hệ điều hành server 4. Cài đặt hệ điều hành Linux trên máy chủ a. nắm vững cấu hình hardware của m áy ch ủ b. ngắt máy chủ ra khỏi mạng c. tạo đĩa mềm boot d. tiến hành cài đặt máy chủ • chọn kiểu cài đặt : custom • chia partitions cho đĩa cứng • chọn các packages e. lệnh rpm f. thuộc tính immutable (không thể thay đổi) g. start & stop daemon services h. những phần mềm cần loại bỏ sau khi cài đặt máy chủ i. loại bỏ các document không cần thiết j. loại bỏ các file, thư mục trống hoặc không cần thiết k. những phần mềm cần install thêm vào l. update các phần mềm ở phiên bản mới nhất( theo phiên bản của hệ điều hành) 5. bảo mật và tối ưu máy chủ ở mức tổng thể a. mức BIOS b. chọn password cho user root c. thiết lập login timeout d. chế độ single login trong Linux e. Lilo và file /etc/lilo.conf f. loại bỏ cách dùng ctrlt-alt-del để reboot g. khoá file /etc/services Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 73 h. file /etc/securetty i. Loại bỏ các account default của hệ thống j. mount /boot với mode chỉ đọc k. secure rpm l. shell logging m. cấu hình syslog client n. /etc/rc.d/init.d/ o. /etc/rc.local p. tìm và tập trung các file có SUID/SGID, loại bỏ SUID/SGID ở các file không cần thiết q. tìm và loại bỏ các file ẩn và các file không bình thường r. tìm và loại bỏ các file, thư mục mồ côi s. tìm các file, thư mục world writable và giới hạn lại theo nhu cầu t. các file .rhosts u. Quản lý các truy cập vào server v. giới hạn không gian đĩa cho user w. Giới hạn các user được sử dụng lệnh su root x. Mount /tmp with option NOSUID y. Mount /home with option NOSUID 6. bảo mật và tối ưu các thành phần hổ trợ a. static lib và shared lib b. gcc c. điều chỉnh các thông số cho đĩa cứng IDE 7. bảo mật kernel a. tạo điã rescue b. kiểm tra thư mục /boot c. chọn kernel source từ d. patch kernel chống lỗi buffer overflow e. cấu hình kernel f. biên dịch kernel g. install kernel image h. xoá các file, thư mục liên quan đến load module i. remount patition /boot j. tạo đĩa boot cho monolithic kernel k. tối ưu hoá kernel 8. bảo mật các thông số network a. s ố l ư ợng card m ạng tr ên m áy ch ủ b. thi ết l ập c ác th ông s ố cho network • chống DOS • flood attack • tự bảo vệ khi bị scan port c. aa 9. xây dựng firewall- Iptables a. firewall cho web server b. firewall cho gateway server ( tham kh ảo) Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 74 c. firewall cho sendmail server d. firewall cho DNS server 10. Mã hoá và cơ chế xác thực a. GnuPG b. Openssl c. Openssh 11. Monitor và system integrity a. sXid b. Portsendtry c. Tripwire 12. xây dựng môi trường mạng đặt máy chủ a. mô hình mạng b. máy sensor Snort c. thiết bị sensor cisco IDS d. cấu h ình các thiết bị mạng: VLAN, NAT 13. kiểm tra tổng thể hệ thống: máy chủ, thiết bị mạng 14. bỏ NAT cho IP của server và test trong mạng local các dịch vụ trên máy chủ, test trong mạng của ĐHQG 15. đưa máy chủ vào mạng 16. Cập nhật các lỗi trên hệ điều hành Linux và các dịch vụ trên máy chủ trên internet ==================================================== Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 75 Xây dựng máy chủ Web “an tòan”: thử thách và kết quả. 1. Yêu cầu đặt ra cho máy chủ web server bugsearch máy chủ bugsearch đ ược y êu cầu như làm ô hình chuẩn cho các web server an to àn a. bất khả xâm phạm đối với hacker: ®©y lµ yªu cÇu tiªn quyÕt ®èi víi mäi tæ chøc, c«ng ty trªn thÕ giíi. Cã thÓ m¸y chñ cña b¹n chøa c¬ së d÷ liÖu quan träng hay chØ lµ mét server xoµng víi mét sè dÞch vô h¹n chÕ vµ kh«ng cã d÷ liÖu quan träng, nh−ng cho dï m¸y chñ cña b¹n cã quan träng hay kh«ng th× khi ®−a vµo ho¹t ®éng b¹n ®· ®Çu t− cho mét kho¶ng chi phÝ kh¸ lín cho m¸y chñ, ®−êng truyÒn, c¬ së h¹ tÇng m¹ng. NÕu m¸y chñ cña b¹n bÞ x©m nhËp, ®ång nghÜa víi tµi s¶n cña b¹n bÞ ®¸nh c¾p, hacker cã thÓ lÊy trém d÷ liÖu cña b¹n, xo¸ s¹ch mäi d÷ liÖu hoÆc dïng tµi s¶n cña b¹n ®Ó lµm bµn ®¹p tÊn c«ng c¸c hÖ thèng kh¸c dÉn ®Õn viÖc b¹n bÞ thÊt tho¸t mµ kh«ng thÓ thÊy ®−îc. ở vÞ trÝ cña c¸c qu¶n trÞ m¹ng, ®−îc vÝ nh− nh÷ng ng−êi b¶o vÖ cao cÊp, kh«ng ai muèn bÞ nh÷ng kÎ kh«ng mêi ®Õn lÊy tµi s¶n cña m×nh hay bµy ®ñ mäi c¸ch bÞt m¾t b¹n, hay mét ngµy nµo ®ã chît nhËn ra server cña m×nh n»m trong danh s¸ch ®en cña c¸c tæ chøc internet services (®©y lµ danh s¸ch c¸c server chuyªn spam mail, open relay, DOS ®−îc c¸c tæ chøc trªn internet cËp nhËt th−êng xuyªn vµ th−êng bÞ deny c¸c truy cËp xuÊt ph¸t tõ c¸c m¸y nµy), hay cã mét tªn hacker newbie nµo ®ã rao tªn server cña b¹n trªn forum cho mäi ng−êi cïng thö tay nghÒ hack. Tãm l¹i mét m¸y chñ kh«ng bÞ hacker x©m nhËp lµ môc ®Ých mµ mäi tæ chøc, c«ng ty, qu¶n trÞ m¹ng ®Òu mong muèn ®¹t tíi. b. đứng vững trước các kiểu tấn công DOS daïng taán coâng phoå bieán nhaát vaø thöôøng thaáy nhaát laø DOS, ñeå choáng laïi kieåu taán coâng naøy moät caùch hieäu quaû, chuùng ta phaûi thöïc hieän treân nhieàu möùc khaùc nhau: network, heä thoáng, töø xa vaø cuïc bộ tuy nhieân ta cuõng caàn phaûi coù cô cheá treân chính Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 76 server ñeå khoâng phaûi bò crash server khi chöa giaûi quyeát ñöôïc DOS treân caùc thieát bò maïng. c. Đáp ứng đủ các yêu cầu đặt ra đối với các dịch vụ: nhanh, dễ sử dụng đốI với user Moät caâu hoûi maø chuùng toâi, nhöõng quaûn trò maïng, hay gaëp nhaát töø phía caùc end user, ñoù laø: “ firewall laøm gì vaäy, sao khoâng boû firewall ñi ñeå moïi ngöôøi deã söû duïng ?”. Nguyeân nhaân taïi sao user laïi khoâng thích firewall ñoù laø do caûm giaùc khoâng thoaûi maùi khi vaøo maïng, gaëp phaûi nhöõng link bò deny, nhöõng trang web sao chaäm quaù,… ña soá nhöõng phaûn aùnh cuûa user laø hôïp lyù ñoái vôùi caùc heä thoáng baûo maät chöa ñuùng muïc ñích, chöa ñeà ra caùc cô cheá baûo maät hôïp lyù. Vì vaäy ñeå thoaû maõn caùc yeâu caàu cuûa user, ta caàn xaây döïng server sao cho caùc truy caäp töø ngoaøi vaøo laø nhanh choùng vaø deã daøng. d. Có khả năng phát hiện các xâm nhập ở mức cơ bản nhất Cuoäc chieán giöõa caùc hacker vaø nhöõng nhaø baûo maät heä thoáng laø luoân luoân gay caán vaø ôû traïng thaùi ñoäng, coù theå hoâm nay server cuûa baïn ñaõ ñaït ñaày ñuû caùc tieâu chuaån veà baûo maät vaø laø baát khaû xaâm phaïm nhöng coù theå vaøo luùc 00 giôø toái nay, traïng thaùi ñoù ñaõ khoâng coøn nöõa. Laøm sao ñeå thaáy ñöôïc ñieàu ñoù, nhöng cô baûn nhaát vaø cuõng khoâng ñôn giaûn laø baïn phaûi bieát ñöôïc maùy chuû cuûa mình ñaõ bò xaâm nhaäp, möùc ñoä ñeán ñaâu,… 2. Nguyên tắc bảo mật cho máy chủ khi xây dựng máy chủ a. Thoả mãn đầy đủ các yêu cầu b. có cơ chế bảo mật cụ thể khi xây dựng máy chủ, ta cần xác định rõ một số câu hỏi sau: c. máy chủ của ta có chứa thông tin bí mật, nhạy cảm không ? Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 77 d. ta sắp xếp, quản lý thông tin đó như thế nào ? e. những đối tượng nào sẽ bị ngăn ngừa ? - người dùng ở xa có cần truy cập vào các thông tin trên máy chủ của ta không ? nếu có thì thông tin nào sẽ được phép và thông tin nào sẽ bị cấm. - password và mã hoá đã đủ an toàn hay chưa ? - từ máy chủ ta có cần truy xuất ra bên ngoài không ? nếu có thì ở những dịch vụ gì ? - ta sẽ làm gì khi server bị xâm nhập ? f. t ối thi ểu ho á c ác d ịch vụ v à c ác ti ện ích tr ên m áy ch ủ g. có report hằng ngày cho admin các thay đổi trên các file cấu hình quan trọng 3. Lựa chọn Hệ điều hành cho máy chủ a. căn cứ trên cơ sở vật chất hiện có o Mô hình của máy chủ bugsearch được đưa ra dựa trên điều kiện của một công ty vừa và nhỏ, với mức đầu tư vừa phải o Được sự hổ trợ của lãnh đạo ĐHQG, 1 server với cấu hình không mạnh lắm được sử dụng để làm máy chủ. o Đây là máy chủ được lắp ráp ở Việt Nam b. những đáp ứng có thể Trong điều kiện này, những hệ điều hành sau đã được chúng tôi xét đến: Solaris for Intel, RedHat Linux, Windows server, Suse Linux, c. so sánh giữa các hệ điều hành server o Solaris for Intel: o RedHat Linux: đây là hệ điều hành quen thuộc với nhóm quản trị. Hiện tại đã có Linux RedHat version 9.0, nhưng chúng tôi chọn versions 7.1 do tính ổn định sau gần hai năm triển khai trên các máy chủ của ĐHQG. o Windows server: Đây là hệ điều hành gần gũi nhất với người dùng ở Việt Nam. Tuy nhiên phải lựa chọn Windows cho máy chủ Web server là một điều nguy hiểm vì trong quá trình phát triển dự án, chúng tôi đã tìm ra nhiều lỗi hết sức nghiêm trọng mà admin không lường trước được. o Suse Linux: không phổ biến lắm ở Việtnam Sau khi cân nhắc giữa các hệ điều hành, chúng tôi đã chọn RedHat Linux 7.1 là hệ điều hành cho máy chủ bugsearch. Với mục đích tạo sân chơi thì RedHat Linux quả là một phương tiện hữu ích để tất cả các bạn trẻ Việt Nam ( vốn quen thuộc với RedHat ) thi thố tài năng. 4. Cài đặt hệ điều hành Linux trên máy chủ Theo như những kinh nghiệm nhỏ nhoi đúc kết được trong quá trình làm việc, chúng tôi thấy những vấn đề sau đây cần được tuân thủ trong quá trình xây dựng máy chủ. d. Nắm vững cấu hình hardware của máy chủ Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 78 Đây là yêu cầu tiên quyết đối với các nhà quản trị hệ thống, bạn không kiểm soát được một ngôi nhà mà không biết ngôi nhà đó được làm từ chất liệu gì ? tường ra sao ? mái thế nào ? … Thực ra nắm được cấu hình của máy chủ rất quan trọng trong phần cấu hình kernel cho máy chủ, bạn chỉ có thể tối ưu được máy chủ của bạn khi bạn hiểu rõ tính năng các thiết bị. Cấu hình của máy chủ Bugsearch như sau: - 2 CPU Intel PIII, 850 MHz - 1 IDE hard disk: 30 GB - 256 MB RAM - 1 CDROM - 1 floppy disk - 2 Network card Đây là cấu hình của máy chủ được ghi nhận qua lệnh /bin/dmesg /*-------------------------start-dmesg------------------------------*/ Linux version 2.4.00-bugsearch (root@bugsearch) (gcc version 2.96 20000731 (Red Hat Linux 7.2 2.96-112.7.1)) #5 SMP Wed Aug 13 20:41:33 EDT 2003 BIOS-provided physical RAM map: BIOS-e820: 0000000000000000 - 000000000009f400 (usable) BIOS-e820: 000000000009f400 - 00000000000a0000 (reserved) BIOS-e820: 00000000000e8000 - 0000000000100000 (reserved) BIOS-e820: 0000000000100000 - 000000000fff0000 (usable) BIOS-e820: 000000000fff0000 - 000000000ffffc00 (ACPI data) BIOS-e820: 000000000ffffc00 - 0000000010000000 (ACPI NVS) BIOS-e820: 00000000fec00000 - 00000000fec10000 (reserved) BIOS-e820: 00000000fee00000 - 00000000fee01000 (reserved) BIOS-e820: 00000000fff80000 - 0000000100000000 (reserved) 255MB LOWMEM available. found SMP MP-table at 000f6ab0 hm, page 000f6000 reserved twice. hm, page 000f7000 reserved twice. hm, page 0009f000 reserved twice. hm, page 000a0000 reserved twice. On node 0 totalpages: 65520 zone(0): 4096 pages. zone(1): 61424 pages. zone(2): 0 pages. Intel MultiProcessor Specification v1.4 Virtual Wire compatibility mode. OEM ID: INTEL Product ID: Lancewood APIC at: 0xFEE00000 Processor #1 Pentium(tm) Pro APIC version 17 Processor #0 Pentium(tm) Pro APIC version 17 I/O APIC #2 Version 17 at 0xFEC00000. Enabling APIC mode: Flat. Using 1 I/O APICs Processors: 2 Kernel command line: auto BOOT_IMAGE=bugsearch ro root=301 BOOT_FILE=/boot/bugsearch Initializing CPU#0 Detected 845.645 MHz processor. Console: colour VGA+ 80x25 Calibrating delay loop... 1684.27 BogoMIPS Memory: 256748k/262080k available (1271k kernel code, 4944k reserved, 293k data, 112k init, 0k highmem) Dentry cache hash table entries: 32768 (order: 6, 262144 bytes) Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 79 Inode cache hash table entries: 16384 (order: 5, 131072 bytes) Mount cache hash table entries: 512 (order: 0, 4096 bytes) Buffer-cache hash table entries: 16384 (order: 4, 65536 bytes) Page-cache hash table entries: 65536 (order: 6, 262144 bytes) CPU: L1 I cache: 16K, L1 D cache: 16K CPU: L2 cache: 256K Intel machine check architecture supported. Intel machine check reporting enabled on CPU#0. CPU: After generic, caps: 0383fbff 00000000 00000000 00000000 CPU: Common caps: 0383fbff 00000000 00000000 00000000 Enabling fast FPU save and restore... done. Enabling unmasked SIMD FPU exception support... done. Checking 'hlt' instruction... OK. POSIX conformance testing by UNIFIX CPU: L1 I cache: 16K, L1 D cache: 16K CPU: L2 cache: 256K Intel machine check reporting enabled on CPU#0. CPU: After generic, caps: 0383fbff 00000000 00000000 00000000 CPU: Common caps: 0383fbff 00000000 00000000 00000000 CPU0: Intel Pentium III (Coppermine) stepping 06 per-CPU timeslice cutoff: 731.25 usecs. enabled ExtINT on CPU#0 ESR value before enabling vector: 00000000 ESR value after enabling vector: 00000000 Booting processor 1/0 eip 2000 Initializing CPU#1 masked ExtINT on CPU#1 ESR value before enabling vector: 00000000 ESR value after enabling vector: 00000000 Calibrating delay loop... 1690.82 BogoMIPS CPU: L1 I cache: 16K, L1 D cache: 16K CPU: L2 cache: 256K Intel machine check reporting enabled on CPU#1. CPU: After generic, caps: 0383fbff 00000000 00000000 00000000 CPU: Common caps: 0383fbff 00000000 00000000 00000000 CPU1: Intel Pentium III (Coppermine) stepping 06 Total of 2 processors activated (3375.10 BogoMIPS). ENABLING IO-APIC IRQs Setting 2 in the phys_id_present_map ...changing IO-APIC physical APIC ID to 2 ... ok. init IO_APIC IRQs IO-APIC (apicid-pin) 2-0, 2-9, 2-10, 2-11, 2-16, 2-17, 2-18, 2-20, 2-22, 2-23 not connected. ..TIMER: vector=0x31 pin1=2 pin2=0 number of MP IRQ sources: 17. number of IO-APIC #2 registers: 24. testing the IO APIC....................... IO APIC #2...... .... register #00: 02000000 ....... : physical APIC id: 02 ....... : Delivery Type: 0 ....... : LTS : 0 .... register #01: 00170011 ....... : max redirection entries: 0017 ....... : PRQ implemented: 0 ....... : IO APIC version: 0011 Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 80 .... register #02: 00000000 ....... : arbitration: 00 .... IRQ redirection table: NR Log Phy Mask Trig IRR Pol Stat Dest Deli Vect: 00 000 00 1 0 0 0 0 0 0 00 01 003 03 0 0 0 0 0 1 1 39 02 003 03 0 0 0 0 0 1 1 31 03 003 03 0 0 0 0 0 1 1 41 04 003 03 0 0 0 0 0 1 1 49 05 003 03 0 0 0 0 0 1 1 51 06 003 03 0 0 0 0 0 1 1 59 07 003 03 0 0 0 0 0 1 1 61 08 003 03 0 0 0 0 0 1 1 69 09 000 00 1 0 0 0 0 0 0 00 0a 000 00 1 0 0 0 0 0 0 00 0b 000 00 1 0 0 0 0 0 0 00 0c 003 03 0 0 0 0 0 1 1 71 0d 003 03 0 0 0 0 0 1 1 79 0e 003 03 0 0 0 0 0 1 1 81 0f 003 03 0 0 0 0 0 1 1 89 10 000 00 1 0 0 0 0 0 0 00 11 000 00 1 0 0 0 0 0 0 00 12 000 00 1 0 0 0 0 0 0 00 13 003 03 1 1 0 1 0 1 1 91 14 000 00 1 0 0 0 0 0 0 00 15 003 03 1 1 0 1 0 1 1 99 16 000 00 1 0 0 0 0 0 0 00 17 000 00 1 0 0 0 0 0 0 00 IRQ to pin mappings: IRQ0 -> 0:2 IRQ1 -> 0:1 IRQ3 -> 0:3 IRQ4 -> 0:4 IRQ5 -> 0:5 IRQ6 -> 0:6 IRQ7 -> 0:7 IRQ8 -> 0:8 IRQ12 -> 0:12 IRQ13 -> 0:13 IRQ14 -> 0:14 IRQ15 -> 0:15 IRQ19 -> 0:19 IRQ21 -> 0:21 .................................... done. Using local APIC timer interrupts. calibrating APIC timer ... ..... CPU clock speed is 845.6892 MHz. ..... host bus clock speed is 99.4926 MHz. cpu: 0, clocks: 994926, slice: 331642 CPU0 cpu: 1, clocks: 994926, slice: 331642 CPU1 checking TSC synchronization across CPUs: passed. Waiting on wait_init_idle (map = 0x2) All processors have done init_idle PCI: PCI BIOS revision 2.10 entry at 0xfdab0, last bus=2 Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 81 PCI: Using configuration type 1 PCI: Probing PCI hardware PCI: Discovered primary peer bus ff [IRQ] PCI: Using IRQ router PIIX [8086/7110] at 00:12.0 PCI->APIC IRQ transform: (B0,I12,P0) -> 19 PCI->APIC IRQ transform: (B0,I12,P0) -> 19 PCI->APIC IRQ transform: (B0,I14,P0) -> 21 PCI->APIC IRQ transform: (B0,I18,P3) -> 21 Linux NET4.0 for Linux 2.4 Based upon Swansea University Computer Society NET3.039 Initializing RT netlink socket apm: BIOS not found. Starting kswapd VFS: Diskquotas version dquot_6.4.0 initialized Journalled Block Device driver loaded pty: 256 Unix98 ptys configured Serial driver version 5.05c (2001-07-08) with MANY_PORTS SHARE_IRQ SERIAL_PCI enabled ttyS00 at 0x03f8 (irq = 4) is a 16550A ttyS01 at 0x02f8 (irq = 3) is a 16550A Real Time Clock Driver v1.10e Floppy drive(s): fd0 is 1.44M FDC 0 is a National Semiconductor PC87306 eth0: 3c5x9 at 0x300, 10baseT port, address 00 60 8c ea 5a c3, IRQ 5. 3c509.c:1.19 16Oct2002 becker@scyld.com eepro100.c:v1.09j-t 9/29/99 Donald Becker eepro100.c: $Revision: 1.36 $ 2000/11/17 Modified by Andrey V. Savochkin and others eth1: PCI device 8086:1229, 00:D0:B7:88:34:D1, IRQ 21. Board assembly 000000-000, Physical connectors present: RJ45 Primary interface chip i82555 PHY #1. General self-test: passed. Serial sub-system self-test: passed. Internal registers self-test: passed. ROM checksum self-test: passed (0x04f4518b). Uniform Multi-Platform E-IDE driver Revision: 7.00beta4-2.4 ide: Assuming 33MHz system bus speed for PIO modes; override with idebus=xx hda: ST330630A, ATA DISK drive hdc: CRD-8520B, ATAPI CD/DVD-ROM drive ide0 at 0x1f0-0x1f7,0x3f6 on irq 14 ide1 at 0x170-0x177,0x376 on irq 15 hda: attached ide-disk driver. hda: 59777640 sectors (30606 MB) w/2048KiB Cache, CHS=3720/255/63 hdc: attached ide-cdrom driver. hdc: ATAPI 52X CD-ROM drive, 128kB Cache Uniform CD-ROM driver Revision: 3.12 ide-floppy driver 0.99.newide Partition check: hda: hda1 hda2 ide-floppy driver 0.99.newide NET4: Linux TCP/IP 1.0 for NET4.0 IP Protocols: ICMP, UDP, TCP, IGMP IP: routing cache hash table of 2048 buckets, 16Kbytes TCP: Hash tables configured (established 16384 bind 16384) IPv4 over IPv4 tunneling driver ip_conntrack version 2.1 (2047 buckets, 16376 max) - 152 bytes per conntrack Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 82 ip_tables: (C) 2000-2002 Netfilter core team arp_tables: (C) 2002 David S. Miller NET4: Unix domain sockets 1.0/SMP for Linux NET4.0. VFS: Mounted root (ext2 filesystem) readonly. Freeing unused kernel memory: 112k freed Adding Swap: 530104k swap-space (priority -1) eth0: Setting 3c5x9/3c5x9B half-duplex mode if_port: 0, sw_info: 1310 eth0: Setting Rx mode to 1 addresses. /*-------------------------end-dmesg------------------------------*/ e. Ngắt máy chủ ra khỏi mạng Đây là điểm cần chú ý khi xây dựng máy chủ secure, tránh trường hợp ngôi nhà xây chưa xong đã bị trộm khoét sạch. f. Tạo đĩa mềm boot Trong các tình huống khẩn cấp, có một đĩa mềm boot luôn là niềm hạnh phúc của các admin. Có thể tạo đĩa mềm boot bằng bộ đĩa RedHat từ hệ điều hành Windows hay Linux một cách đơn giản. Từ một máy window C:\> E: E:\> cd \dosutils E:\dosutils> rawrite Enter disk image source file name: ..\images\boot.img Enter target diskette drive: a: Please insert a formatted diskette into drive A: and press --ENTER-- : E:\dosutils> Từ một máy Linux # mount /mnt/cdrom/ [root@test /]# cd /mnt/cdrom/images/ [root@test images]# dd if=boot.img of=/dev/fd Display all 277 possibilities? (y or n) [root@test images]# dd if=boot.img of=/dev/fd0H1440 bs=1440k 1+0 records in 1+0 records out [root@test images]# cd / [root@test /]# umount /mnt/cdrom/ g. Tiến hành cài đặt máy chủ Sau các bước chuẩn bị cơ bản trên, ta tiến hành cài đặt máy chủ theo quy trình sau: o Chọn kiểu cài đặt : custom Thông thường RedHat hổ trợ cho ta 3 phương thức cài đặt như sau - Workstation - Laptop - Server - Custom Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 83 H01.serv01 Workstation, server là những cách cài đặt tương đối đơn giản và thích hợp với những người mới làm quen với RedHat. Custom là một sự lựa chọn tốt đối với các admin vì nó cho phép bạn lựa chọn số lượng pations, dung lượng của các partion, số package cần cài đặt,… o Chia partitions cho đĩa cứng Có 2 lựa chọn khi chia partitions: automatics Partitioning và manual partitioning, ta chọn manual. Tiếp theo ta chọn công cụ để chia partition: Disk druid hay fdisk, disk druid là công cụ có giao diện đồ hoạ và dễ sử dụng hơn fdisk, tuy nhiên nếu ta đã quen với fdisk thì cũng không có khác biệt lớn lắm giữa 2 công cụ này. Vấn đề tiếp theo là ta chia đĩa thành nhiều partitions với dung lượng sao cho hợp lý, vấn đề chia thành nhiều patitions có thể giúp ta có những lợi điểm sau: - tránh bị tấn công DOS - hạn chế sự nguy hiểm của các chương trình SUID - tăng tốc độ boot - dễ dàng backup và quản lý việc nâng cấp - có thể giới hạn dung lượng của các thư mục trong hệ thống file Căn cứ theo dung lượng bộ nhớ và đĩa cứng trên máy chủ mà ta đưa ra cơ chế phân chia các partition cho hợp lý. Thông thường ta chia thành các partitions như sau: - /boot 50 MB chứa image của kernel -swap 512 MB bộ nhớ ảo của hệ điều hành Linux - / tùy theo dung lượng đĩa cứng và số lượng user, packages cần cài đặt mà ta thiết lập cho hợp lý. -/usr : chứa file binary của Linux, thư viện -/var : chứa log, cache của hệ thống -/home: chia theo user, trung bình khoảng 100MB/user -/tmp: vùng lưu trữ tạm trên Linux o chọn các packages trong quá trình cài đặt hệ điều hành, có rất nhiều packages mặc định được chọn sẳn, ta chỉ chọn những package thật sự cần thiết cho server. Một số điểm cần chú ý như sau: - bỏ chọn tất cả các dấu chọn mặc