Mức độan ninh mạng hiện nay. Khiếm khuyết và nguyên
nhân
• Điểm yếu nhất của các mạng tin học hiện nay là lỗi lập trình ứng dụng
có sửdụng cơsởdữliệu SQL. Mô hình viết các ứng dụng bằng ngôn
ngữlập trình Visual Basic, Delphi, MicroSoft C++ phục vụWeb server với
kết nối vào CSDL Microsoft SQL là phổcập nhất. Các lập trình viên chưa
được đào tạo vềlập trình an tòan, hoặc không có thời đủtrong quá trình
lập trình, hoặc không cẩn thận dẫn đến lỗi các trình ứng dụng trên web là
phổbiến nhất hiện nay. Nếu chúng ta bịtấn công ồ ạt và trên diện rộng,
sẽcó nhiều website (trên 30 %) sẽbịthay đổi nội dung từng phần hoặc
tòan bộ.
• Mức độbảo mậtcủa các mạng tin học Việt nam trong 2003 nói chung đã
được nâng caoso với năm 2001. Điều đó thểhiện qua mức độkhó khăn
tăng lên khi tiến hành xâm nhập thửnghiệm, sốlượng ít các lọai sơhở
khác nhau tìm thấy trên server do nhóm nghiên cứu tiến hành trong hai đề
tài nghiên cứu ởhai thời điểm trên.
•Các hacker Việt nam hiện nay tập hợp trong một sốnhóm. Đơn cửlà
nhóm HVA, BabylearnHack, BlackHack, PTV5. Nhóm HVA là nhóm đông
thành viên, tổchức khá chặt chẽvà trình độcao. Kiến thức của các
hacker Việtnam hiện nay rất mạnh vềkhai thác lỗi trên các trình dịch vụ
Web. Khảnăng khai thác lỗi của mạng và mức hệ điều hành còn hạn chế.
Điều đó phần nào được thểhiện qua cuộc thi bugsearch và có thểlý giải
qua các chương trình đào tạo vềCNTT tại các trường hiện nay còn yếu,
nhất là vềthực hành, trong lĩnh vực mạng và hệthống.
•Hệthống dịch vụDNS do VNNIC quản lý hiện nay chưa phong phú về
dịch vụ, nhưng có mức độan tòan tốt.
•Các quản trịmạng phát hiện hệthống của mình bịtấn công còn rất
yếu. Chúng tôi không ghi nhận một phàn nàn nào từphía các quản trị
mạng khi mạng của họbị“quét” đểtìm sơhở. Kinh nghiệm thực tếcho
thấy các quản trịmạng nước ngòai phản ứng rất nhanh nhạy khi mạng
của họbịthăm viếng. Nhìn chung, chúng ta chưa có chuyên viên an
ninh mạng chuyên nghiệp. Thường là các quản trịmạng kiêm nhiệm
nhiều việc và chỉnghĩtới an ninh mạng khi nào rảnh rỗi. Đây có lẽlà
nguyên nhân quan trọng nhất của vấn đềan ninh mạng Việt nam còn kém
hiện nay.
•Nguyên nhân phát hiện bịtấn công kém cho thấy việc triển khai các hệ
thống phát hiện xâm nhập IDS là rất quan trọng. Các giải pháp hiện có
cho phép triển khai IDS cho các mạng qui mô từnhỏtới rất lớn.
•Trong hòan cảnh quản trịmạng còn chưa chuyên nghiệp nhưhiện nay,
tìm ra sơhở đểcảnh báo một cách cụthểlà phương án khảthi tốt
nhất đểnâng cao mức độbảo mật của mạng tin học Việt nam.
• Tổchức thitìm sơhởmột hệthống là cách tốt nhất đánh giá được trình
độhacker cũng nhưthửnghiệm mức độan tòan của mô hình/hệ
Đềtài khoa học Hỗtrợbảo mật các hệthống tin học Việt nam
68
thống. Tuy nhiên việc xây dựng một website phong phú dịch vụ, hấp dẫn
đểthu hút động đảo người tham gia thửnghiệm là một việc làm khó và
cần đầu tư đáng kểvề đường truyền kết nối Internet, trang thiết bịvà
nhân lực xây dựng dịch vụ, quản lý cuộc thi.
163 trang |
Chia sẻ: lethao | Lượt xem: 3337 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đề tài Hỗ trợ bảo mật hệ thống thông tin cho các mạng tin học Việt Nam, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
quản lý, sản
xuất. Vì vậy, cấu hình một nhân viên an ninh mạng bên cạnh các
quản trị mạng chưa thể là hiện thực trong tương lai gần. Phát hiện
sơ hở qua các khảo sát (auditing) thường xuyên, định kỳ và thông báo
cho quản trị mạng sửa chữa vẫn là phương án khả thi nhất hiện nay
nhằm tăng cường mức độ an ninh mạng của chúng ta.
Proxy, NAT,DNS…
Internal network
Internet
Dial-up/ADSL
IDS
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
71
• Xâm nhập thử nghiệm để tìm ra sơ hở là một công tác rất tế nhị, là công
tác mà tính hợp pháp của nó rất dễ bị đưa ra trước pháp luật. Vì vậy,
nhóm nghiên cứu tìm sơ hở phải là những cá nhân có thể tin tưởng
được, phải có được quyền danh chính ngôn thuận để thực hiện
công việc này. Đồng thời, nhóm xâm nhập thử nghiệm cũng phải bị
giám sát bới cơ quan an ninh, pháp luật.
• Phòng an ninh mạng trực thuộc Sở khoa học và công nghệ với một
người biên chế của Sở làm đầu mối kết nối với Sở Khoa học và một số
chuyên viên kỹ thuật là mộtmô hình khả thi. Kinh phí họat động cho nhóm
này không lớn vì chúng ta sử dụng người kiêm nhiệm từ các công ty,
doanh nghiệp, trường học là chính. Trang thiết bị máy tính, đường truyền
không cần phải đầu tư. Chi phí chủ yếu là phụ cấp nhân công cho chuyên
viên kỹ thuật và một số sinh họat seminar/hội thảo thường kỳ. Số lượng
nhân viên phòng an ninh mạng có thể là 5 người và được thay đổi trong
quá trình họat động nhằm tìm ra những người tâm huyết nhất, trình độ kỹ
thuật giỏi nhất cho công tác này. Kinh nghiệm trong quá trình nghiên cứu
an ninh mạng cho thấy số lượng cán bộ nghiên cứu không cần nhiều, chỉ
cần một vài người có nhiệt tình, trung thực và được hướng dẫn đúng đắn
là có thể thực hiện được công việc.
• Đối với mô hình hệ thống thông tin, nhất là những mô hình có nhiều công
nghệ mới như grid, portal, VPN … thi tìm sơ hở là một hình thức tốt để
thử nghiệm mức độ an tòan của công nghệ và trình độ của nhóm
quản trị hệ thống trước khi triển khai. Đặc biệt các Website mang tính
chất chính trị, hoặc các dịch vụ hành chính công cần được thử nghiệm để
đảm bảo mức độ an tòan cao nhất. Thông tin về cấu hình này sẽ được sử
dụng ở chỗ nào, hình thức nào hòan tòan bí mật trong cuộc thi.
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
72
6 Phụ lục A: Cấu hình máy chủ bugsearch
1. Yêu cầu đặt ra cho máy chủ web server bugsearch
a. bất khả xâm phạm đối với hacker
b. đứng vững trước các kiểu tấn công DOS
c. Đáp ứng đủ các yêu cầu đặt ra đối với các dịch vụ: nhanh, dễ sử
dụng đối với user
d. Có khả năng phát hiện các xâm nhập ở mức cơ bản nhất
2. Nguyên tắc bảo mật khi xây dựng máy chủ
a. thoả mãn đầy đủ các yêu cầu
b. đề ra cơ chế bảo mật cụ thể
c. tối thiểu hoá các dịch vụ và các tiện ích trên máy chủ
d. có report hằng ngày cho admin các thay đổi trên các file cấu hình
quan trọng
3. Lựa chọn Hệ điều hành cho máy chủ
a. căn cứ trên cơ sở vật chất hiện có
b. những đáp ứng có thể
c. so sánh giữa các hệ điều hành server
4. Cài đặt hệ điều hành Linux trên máy chủ
a. nắm vững cấu hình hardware của m áy ch ủ
b. ngắt máy chủ ra khỏi mạng
c. tạo đĩa mềm boot
d. tiến hành cài đặt máy chủ
• chọn kiểu cài đặt : custom
• chia partitions cho đĩa cứng
• chọn các packages
e. lệnh rpm
f. thuộc tính immutable (không thể thay đổi)
g. start & stop daemon services
h. những phần mềm cần loại bỏ sau khi cài đặt máy chủ
i. loại bỏ các document không cần thiết
j. loại bỏ các file, thư mục trống hoặc không cần thiết
k. những phần mềm cần install thêm vào
l. update các phần mềm ở phiên bản mới nhất( theo phiên bản của
hệ điều hành)
5. bảo mật và tối ưu máy chủ ở mức tổng thể
a. mức BIOS
b. chọn password cho user root
c. thiết lập login timeout
d. chế độ single login trong Linux
e. Lilo và file /etc/lilo.conf
f. loại bỏ cách dùng ctrlt-alt-del để reboot
g. khoá file /etc/services
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
73
h. file /etc/securetty
i. Loại bỏ các account default của hệ thống
j. mount /boot với mode chỉ đọc
k. secure rpm
l. shell logging
m. cấu hình syslog client
n. /etc/rc.d/init.d/
o. /etc/rc.local
p. tìm và tập trung các file có SUID/SGID, loại bỏ SUID/SGID ở các
file không cần thiết
q. tìm và loại bỏ các file ẩn và các file không bình thường
r. tìm và loại bỏ các file, thư mục mồ côi
s. tìm các file, thư mục world writable và giới hạn lại theo nhu cầu
t. các file .rhosts
u. Quản lý các truy cập vào server
v. giới hạn không gian đĩa cho user
w. Giới hạn các user được sử dụng lệnh su root
x. Mount /tmp with option NOSUID
y. Mount /home with option NOSUID
6. bảo mật và tối ưu các thành phần hổ trợ
a. static lib và shared lib
b. gcc
c. điều chỉnh các thông số cho đĩa cứng IDE
7. bảo mật kernel
a. tạo điã rescue
b. kiểm tra thư mục /boot
c. chọn kernel source từ
d. patch kernel chống lỗi buffer overflow
e. cấu hình kernel
f. biên dịch kernel
g. install kernel image
h. xoá các file, thư mục liên quan đến load module
i. remount patition /boot
j. tạo đĩa boot cho monolithic kernel
k. tối ưu hoá kernel
8. bảo mật các thông số network
a. s ố l ư ợng card m ạng tr ên m áy ch ủ
b. thi ết l ập c ác th ông s ố cho network
• chống DOS
• flood attack
• tự bảo vệ khi bị scan port
c. aa
9. xây dựng firewall- Iptables
a. firewall cho web server
b. firewall cho gateway server ( tham kh ảo)
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
74
c. firewall cho sendmail server
d. firewall cho DNS server
10. Mã hoá và cơ chế xác thực
a. GnuPG
b. Openssl
c. Openssh
11. Monitor và system integrity
a. sXid
b. Portsendtry
c. Tripwire
12. xây dựng môi trường mạng đặt máy chủ
a. mô hình mạng
b. máy sensor Snort
c. thiết bị sensor cisco IDS
d. cấu h ình các thiết bị mạng: VLAN, NAT
13. kiểm tra tổng thể hệ thống: máy chủ, thiết bị mạng
14. bỏ NAT cho IP của server và test trong mạng local các dịch vụ trên máy
chủ, test trong mạng của ĐHQG
15. đưa máy chủ vào mạng
16. Cập nhật các lỗi trên hệ điều hành Linux và các dịch vụ trên máy chủ trên
internet
====================================================
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
75
Xây dựng máy chủ Web “an tòan”: thử thách và kết quả.
1. Yêu cầu đặt ra cho máy chủ web server bugsearch
máy chủ bugsearch đ ược y êu cầu như làm ô hình chuẩn cho các web
server an to àn
a. bất khả xâm phạm đối với hacker:
®©y lµ yªu cÇu tiªn quyÕt ®èi víi mäi tæ chøc, c«ng ty trªn thÕ giíi. Cã thÓ m¸y chñ
cña b¹n chøa c¬ së d÷ liÖu quan träng hay chØ lµ mét server xoµng víi mét sè dÞch vô
h¹n chÕ vµ kh«ng cã d÷ liÖu quan träng, nh−ng cho dï m¸y chñ cña b¹n cã quan träng
hay kh«ng th× khi ®−a vµo ho¹t ®éng b¹n ®· ®Çu t− cho mét kho¶ng chi phÝ kh¸ lín
cho m¸y chñ, ®−êng truyÒn, c¬ së h¹ tÇng m¹ng. NÕu m¸y chñ cña b¹n bÞ x©m nhËp,
®ång nghÜa víi tµi s¶n cña b¹n bÞ ®¸nh c¾p, hacker cã thÓ lÊy trém d÷ liÖu cña b¹n,
xo¸ s¹ch mäi d÷ liÖu hoÆc dïng tµi s¶n cña b¹n ®Ó lµm bµn ®¹p tÊn c«ng c¸c hÖ thèng
kh¸c dÉn ®Õn viÖc b¹n bÞ thÊt tho¸t mµ kh«ng thÓ thÊy ®−îc. ở vÞ trÝ cña c¸c qu¶n trÞ
m¹ng, ®−îc vÝ nh− nh÷ng ng−êi b¶o vÖ cao cÊp, kh«ng ai muèn bÞ nh÷ng kÎ kh«ng
mêi ®Õn lÊy tµi s¶n cña m×nh hay bµy ®ñ mäi c¸ch bÞt m¾t b¹n, hay mét ngµy nµo ®ã
chît nhËn ra server cña m×nh n»m trong danh s¸ch ®en cña c¸c tæ chøc internet
services (®©y lµ danh s¸ch c¸c server chuyªn spam mail, open relay, DOS ®−îc c¸c tæ
chøc trªn internet cËp nhËt th−êng xuyªn vµ th−êng bÞ deny c¸c truy cËp xuÊt ph¸t tõ
c¸c m¸y nµy), hay cã mét tªn hacker newbie nµo ®ã rao tªn server cña b¹n trªn forum
cho mäi ng−êi cïng thö tay nghÒ hack. Tãm l¹i mét m¸y chñ kh«ng bÞ hacker x©m
nhËp lµ môc ®Ých mµ mäi tæ chøc, c«ng ty, qu¶n trÞ m¹ng ®Òu mong muèn ®¹t tíi.
b. đứng vững trước các kiểu tấn công DOS
daïng taán coâng phoå bieán nhaát vaø thöôøng thaáy nhaát laø DOS, ñeå choáng laïi kieåu taán
coâng naøy moät caùch hieäu quaû, chuùng ta phaûi thöïc hieän treân nhieàu möùc khaùc nhau:
network, heä thoáng, töø xa vaø cuïc bộ tuy nhieân ta cuõng caàn phaûi coù cô cheá treân chính
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
76
server ñeå khoâng phaûi bò crash server khi chöa giaûi quyeát ñöôïc DOS treân caùc thieát bò
maïng.
c. Đáp ứng đủ các yêu cầu đặt ra đối với các dịch vụ: nhanh, dễ sử
dụng đốI với user
Moät caâu hoûi maø chuùng toâi, nhöõng quaûn trò maïng, hay gaëp nhaát töø phía caùc end user,
ñoù laø: “ firewall laøm gì vaäy, sao khoâng boû firewall ñi ñeå moïi ngöôøi deã söû duïng ?”.
Nguyeân nhaân taïi sao user laïi khoâng thích firewall ñoù laø do caûm giaùc khoâng thoaûi
maùi khi vaøo maïng, gaëp phaûi nhöõng link bò deny, nhöõng trang web sao chaäm quaù,…
ña soá nhöõng phaûn aùnh cuûa user laø hôïp lyù ñoái vôùi caùc heä thoáng baûo maät chöa ñuùng
muïc ñích, chöa ñeà ra caùc cô cheá baûo maät hôïp lyù. Vì vaäy ñeå thoaû maõn caùc yeâu caàu
cuûa user, ta caàn xaây döïng server sao cho caùc truy caäp töø ngoaøi vaøo laø nhanh choùng
vaø deã daøng.
d. Có khả năng phát hiện các xâm nhập ở mức cơ bản nhất
Cuoäc chieán giöõa caùc hacker vaø nhöõng nhaø baûo maät heä thoáng laø luoân luoân gay caán
vaø ôû traïng thaùi ñoäng, coù theå hoâm nay server cuûa baïn ñaõ ñaït ñaày ñuû caùc tieâu chuaån
veà baûo maät vaø laø baát khaû xaâm phaïm nhöng coù theå vaøo luùc 00 giôø toái nay, traïng thaùi
ñoù ñaõ khoâng coøn nöõa. Laøm sao ñeå thaáy ñöôïc ñieàu ñoù, nhöng cô baûn nhaát vaø cuõng
khoâng ñôn giaûn laø baïn phaûi bieát ñöôïc maùy chuû cuûa mình ñaõ bò xaâm nhaäp, möùc ñoä
ñeán ñaâu,…
2. Nguyên tắc bảo mật cho máy chủ khi xây dựng máy chủ
a. Thoả mãn đầy đủ các yêu cầu
b. có cơ chế bảo mật cụ thể
khi xây dựng máy chủ, ta cần xác định rõ một số câu hỏi sau:
c. máy chủ của ta có chứa thông tin bí mật, nhạy cảm không ?
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
77
d. ta sắp xếp, quản lý thông tin đó như thế nào ?
e. những đối tượng nào sẽ bị ngăn ngừa ?
- người dùng ở xa có cần truy cập vào các thông tin trên máy chủ
của ta không ? nếu có thì thông tin nào sẽ được phép và thông tin
nào sẽ bị cấm.
- password và mã hoá đã đủ an toàn hay chưa ?
- từ máy chủ ta có cần truy xuất ra bên ngoài không ? nếu có thì ở
những dịch vụ gì ?
- ta sẽ làm gì khi server bị xâm nhập ?
f. t ối thi ểu ho á c ác d ịch vụ v à c ác ti ện ích tr ên m áy ch ủ
g. có report hằng ngày cho admin các thay đổi trên các file cấu hình
quan trọng
3. Lựa chọn Hệ điều hành cho máy chủ
a. căn cứ trên cơ sở vật chất hiện có
o Mô hình của máy chủ bugsearch được đưa ra dựa trên
điều kiện của một công ty vừa và nhỏ, với mức đầu tư vừa
phải
o Được sự hổ trợ của lãnh đạo ĐHQG, 1 server với cấu hình
không mạnh lắm được sử dụng để làm máy chủ.
o Đây là máy chủ được lắp ráp ở Việt Nam
b. những đáp ứng có thể
Trong điều kiện này, những hệ điều hành sau đã được chúng
tôi xét đến: Solaris for Intel, RedHat Linux, Windows server, Suse
Linux,
c. so sánh giữa các hệ điều hành server
o Solaris for Intel:
o RedHat Linux: đây là hệ điều hành quen thuộc với nhóm
quản trị. Hiện tại đã có Linux RedHat version 9.0, nhưng
chúng tôi chọn versions 7.1 do tính ổn định sau gần hai
năm triển khai trên các máy chủ của ĐHQG.
o Windows server: Đây là hệ điều hành gần gũi nhất với
người dùng ở Việt Nam. Tuy nhiên phải lựa chọn Windows
cho máy chủ Web server là một điều nguy hiểm vì trong
quá trình phát triển dự án, chúng tôi đã tìm ra nhiều lỗi hết
sức nghiêm trọng mà admin không lường trước được.
o Suse Linux: không phổ biến lắm ở Việtnam
Sau khi cân nhắc giữa các hệ điều hành, chúng tôi đã chọn RedHat
Linux 7.1 là hệ điều hành cho máy chủ bugsearch. Với mục đích
tạo sân chơi thì RedHat Linux quả là một phương tiện hữu ích để
tất cả các bạn trẻ Việt Nam ( vốn quen thuộc với RedHat ) thi thố
tài năng.
4. Cài đặt hệ điều hành Linux trên máy chủ
Theo như những kinh nghiệm nhỏ nhoi đúc kết được trong quá trình làm
việc, chúng tôi thấy những vấn đề sau đây cần được tuân thủ trong quá
trình xây dựng máy chủ.
d. Nắm vững cấu hình hardware của máy chủ
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
78
Đây là yêu cầu tiên quyết đối với các nhà quản trị hệ thống, bạn không kiểm soát được một ngôi nhà mà không biết
ngôi nhà đó được làm từ chất liệu gì ? tường ra sao ? mái thế nào ? …
Thực ra nắm được cấu hình của máy chủ rất quan trọng trong
phần cấu hình kernel cho máy chủ, bạn chỉ có thể tối ưu được
máy chủ của bạn khi bạn hiểu rõ tính năng các thiết bị.
Cấu hình của máy chủ Bugsearch như sau:
- 2 CPU Intel PIII, 850 MHz
- 1 IDE hard disk: 30 GB
- 256 MB RAM
- 1 CDROM
- 1 floppy disk
- 2 Network card
Đây là cấu hình của máy chủ được ghi nhận qua lệnh
/bin/dmesg
/*-------------------------start-dmesg------------------------------*/
Linux version 2.4.00-bugsearch (root@bugsearch) (gcc version 2.96 20000731 (Red Hat Linux
7.2 2.96-112.7.1)) #5 SMP Wed Aug 13 20:41:33 EDT 2003
BIOS-provided physical RAM map:
BIOS-e820: 0000000000000000 - 000000000009f400 (usable)
BIOS-e820: 000000000009f400 - 00000000000a0000 (reserved)
BIOS-e820: 00000000000e8000 - 0000000000100000 (reserved)
BIOS-e820: 0000000000100000 - 000000000fff0000 (usable)
BIOS-e820: 000000000fff0000 - 000000000ffffc00 (ACPI data)
BIOS-e820: 000000000ffffc00 - 0000000010000000 (ACPI NVS)
BIOS-e820: 00000000fec00000 - 00000000fec10000 (reserved)
BIOS-e820: 00000000fee00000 - 00000000fee01000 (reserved)
BIOS-e820: 00000000fff80000 - 0000000100000000 (reserved)
255MB LOWMEM available.
found SMP MP-table at 000f6ab0
hm, page 000f6000 reserved twice.
hm, page 000f7000 reserved twice.
hm, page 0009f000 reserved twice.
hm, page 000a0000 reserved twice.
On node 0 totalpages: 65520
zone(0): 4096 pages.
zone(1): 61424 pages.
zone(2): 0 pages.
Intel MultiProcessor Specification v1.4
Virtual Wire compatibility mode.
OEM ID: INTEL Product ID: Lancewood APIC at: 0xFEE00000
Processor #1 Pentium(tm) Pro APIC version 17
Processor #0 Pentium(tm) Pro APIC version 17
I/O APIC #2 Version 17 at 0xFEC00000.
Enabling APIC mode: Flat. Using 1 I/O APICs
Processors: 2
Kernel command line: auto BOOT_IMAGE=bugsearch ro root=301 BOOT_FILE=/boot/bugsearch
Initializing CPU#0
Detected 845.645 MHz processor.
Console: colour VGA+ 80x25
Calibrating delay loop... 1684.27 BogoMIPS
Memory: 256748k/262080k available (1271k kernel code, 4944k reserved, 293k data, 112k init,
0k highmem)
Dentry cache hash table entries: 32768 (order: 6, 262144 bytes)
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
79
Inode cache hash table entries: 16384 (order: 5, 131072 bytes)
Mount cache hash table entries: 512 (order: 0, 4096 bytes)
Buffer-cache hash table entries: 16384 (order: 4, 65536 bytes)
Page-cache hash table entries: 65536 (order: 6, 262144 bytes)
CPU: L1 I cache: 16K, L1 D cache: 16K
CPU: L2 cache: 256K
Intel machine check architecture supported.
Intel machine check reporting enabled on CPU#0.
CPU: After generic, caps: 0383fbff 00000000 00000000 00000000
CPU: Common caps: 0383fbff 00000000 00000000 00000000
Enabling fast FPU save and restore... done.
Enabling unmasked SIMD FPU exception support... done.
Checking 'hlt' instruction... OK.
POSIX conformance testing by UNIFIX
CPU: L1 I cache: 16K, L1 D cache: 16K
CPU: L2 cache: 256K
Intel machine check reporting enabled on CPU#0.
CPU: After generic, caps: 0383fbff 00000000 00000000 00000000
CPU: Common caps: 0383fbff 00000000 00000000 00000000
CPU0: Intel Pentium III (Coppermine) stepping 06
per-CPU timeslice cutoff: 731.25 usecs.
enabled ExtINT on CPU#0
ESR value before enabling vector: 00000000
ESR value after enabling vector: 00000000
Booting processor 1/0 eip 2000
Initializing CPU#1
masked ExtINT on CPU#1
ESR value before enabling vector: 00000000
ESR value after enabling vector: 00000000
Calibrating delay loop... 1690.82 BogoMIPS
CPU: L1 I cache: 16K, L1 D cache: 16K
CPU: L2 cache: 256K
Intel machine check reporting enabled on CPU#1.
CPU: After generic, caps: 0383fbff 00000000 00000000 00000000
CPU: Common caps: 0383fbff 00000000 00000000 00000000
CPU1: Intel Pentium III (Coppermine) stepping 06
Total of 2 processors activated (3375.10 BogoMIPS).
ENABLING IO-APIC IRQs
Setting 2 in the phys_id_present_map
...changing IO-APIC physical APIC ID to 2 ... ok.
init IO_APIC IRQs
IO-APIC (apicid-pin) 2-0, 2-9, 2-10, 2-11, 2-16, 2-17, 2-18, 2-20, 2-22, 2-23 not connected.
..TIMER: vector=0x31 pin1=2 pin2=0
number of MP IRQ sources: 17.
number of IO-APIC #2 registers: 24.
testing the IO APIC.......................
IO APIC #2......
.... register #00: 02000000
....... : physical APIC id: 02
....... : Delivery Type: 0
....... : LTS : 0
.... register #01: 00170011
....... : max redirection entries: 0017
....... : PRQ implemented: 0
....... : IO APIC version: 0011
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
80
.... register #02: 00000000
....... : arbitration: 00
.... IRQ redirection table:
NR Log Phy Mask Trig IRR Pol Stat Dest Deli Vect:
00 000 00 1 0 0 0 0 0 0 00
01 003 03 0 0 0 0 0 1 1 39
02 003 03 0 0 0 0 0 1 1 31
03 003 03 0 0 0 0 0 1 1 41
04 003 03 0 0 0 0 0 1 1 49
05 003 03 0 0 0 0 0 1 1 51
06 003 03 0 0 0 0 0 1 1 59
07 003 03 0 0 0 0 0 1 1 61
08 003 03 0 0 0 0 0 1 1 69
09 000 00 1 0 0 0 0 0 0 00
0a 000 00 1 0 0 0 0 0 0 00
0b 000 00 1 0 0 0 0 0 0 00
0c 003 03 0 0 0 0 0 1 1 71
0d 003 03 0 0 0 0 0 1 1 79
0e 003 03 0 0 0 0 0 1 1 81
0f 003 03 0 0 0 0 0 1 1 89
10 000 00 1 0 0 0 0 0 0 00
11 000 00 1 0 0 0 0 0 0 00
12 000 00 1 0 0 0 0 0 0 00
13 003 03 1 1 0 1 0 1 1 91
14 000 00 1 0 0 0 0 0 0 00
15 003 03 1 1 0 1 0 1 1 99
16 000 00 1 0 0 0 0 0 0 00
17 000 00 1 0 0 0 0 0 0 00
IRQ to pin mappings:
IRQ0 -> 0:2
IRQ1 -> 0:1
IRQ3 -> 0:3
IRQ4 -> 0:4
IRQ5 -> 0:5
IRQ6 -> 0:6
IRQ7 -> 0:7
IRQ8 -> 0:8
IRQ12 -> 0:12
IRQ13 -> 0:13
IRQ14 -> 0:14
IRQ15 -> 0:15
IRQ19 -> 0:19
IRQ21 -> 0:21
.................................... done.
Using local APIC timer interrupts.
calibrating APIC timer ...
..... CPU clock speed is 845.6892 MHz.
..... host bus clock speed is 99.4926 MHz.
cpu: 0, clocks: 994926, slice: 331642
CPU0
cpu: 1, clocks: 994926, slice: 331642
CPU1
checking TSC synchronization across CPUs: passed.
Waiting on wait_init_idle (map = 0x2)
All processors have done init_idle
PCI: PCI BIOS revision 2.10 entry at 0xfdab0, last bus=2
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
81
PCI: Using configuration type 1
PCI: Probing PCI hardware
PCI: Discovered primary peer bus ff [IRQ]
PCI: Using IRQ router PIIX [8086/7110] at 00:12.0
PCI->APIC IRQ transform: (B0,I12,P0) -> 19
PCI->APIC IRQ transform: (B0,I12,P0) -> 19
PCI->APIC IRQ transform: (B0,I14,P0) -> 21
PCI->APIC IRQ transform: (B0,I18,P3) -> 21
Linux NET4.0 for Linux 2.4
Based upon Swansea University Computer Society NET3.039
Initializing RT netlink socket
apm: BIOS not found.
Starting kswapd
VFS: Diskquotas version dquot_6.4.0 initialized
Journalled Block Device driver loaded
pty: 256 Unix98 ptys configured
Serial driver version 5.05c (2001-07-08) with MANY_PORTS SHARE_IRQ SERIAL_PCI enabled
ttyS00 at 0x03f8 (irq = 4) is a 16550A
ttyS01 at 0x02f8 (irq = 3) is a 16550A
Real Time Clock Driver v1.10e
Floppy drive(s): fd0 is 1.44M
FDC 0 is a National Semiconductor PC87306
eth0: 3c5x9 at 0x300, 10baseT port, address 00 60 8c ea 5a c3, IRQ 5.
3c509.c:1.19 16Oct2002 becker@scyld.com
eepro100.c:v1.09j-t 9/29/99 Donald Becker
eepro100.c: $Revision: 1.36 $ 2000/11/17 Modified by Andrey V. Savochkin
and others
eth1: PCI device 8086:1229, 00:D0:B7:88:34:D1, IRQ 21.
Board assembly 000000-000, Physical connectors present: RJ45
Primary interface chip i82555 PHY #1.
General self-test: passed.
Serial sub-system self-test: passed.
Internal registers self-test: passed.
ROM checksum self-test: passed (0x04f4518b).
Uniform Multi-Platform E-IDE driver Revision: 7.00beta4-2.4
ide: Assuming 33MHz system bus speed for PIO modes; override with idebus=xx
hda: ST330630A, ATA DISK drive
hdc: CRD-8520B, ATAPI CD/DVD-ROM drive
ide0 at 0x1f0-0x1f7,0x3f6 on irq 14
ide1 at 0x170-0x177,0x376 on irq 15
hda: attached ide-disk driver.
hda: 59777640 sectors (30606 MB) w/2048KiB Cache, CHS=3720/255/63
hdc: attached ide-cdrom driver.
hdc: ATAPI 52X CD-ROM drive, 128kB Cache
Uniform CD-ROM driver Revision: 3.12
ide-floppy driver 0.99.newide
Partition check:
hda: hda1 hda2
ide-floppy driver 0.99.newide
NET4: Linux TCP/IP 1.0 for NET4.0
IP Protocols: ICMP, UDP, TCP, IGMP
IP: routing cache hash table of 2048 buckets, 16Kbytes
TCP: Hash tables configured (established 16384 bind 16384)
IPv4 over IPv4 tunneling driver
ip_conntrack version 2.1 (2047 buckets, 16376 max) - 152 bytes per conntrack
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
82
ip_tables: (C) 2000-2002 Netfilter core team
arp_tables: (C) 2002 David S. Miller
NET4: Unix domain sockets 1.0/SMP for Linux NET4.0.
VFS: Mounted root (ext2 filesystem) readonly.
Freeing unused kernel memory: 112k freed
Adding Swap: 530104k swap-space (priority -1)
eth0: Setting 3c5x9/3c5x9B half-duplex mode if_port: 0, sw_info: 1310
eth0: Setting Rx mode to 1 addresses.
/*-------------------------end-dmesg------------------------------*/
e. Ngắt máy chủ ra khỏi mạng
Đây là điểm cần chú ý khi xây dựng máy chủ secure, tránh
trường hợp ngôi nhà xây chưa xong đã bị trộm khoét sạch.
f. Tạo đĩa mềm boot
Trong các tình huống khẩn cấp, có một đĩa mềm boot luôn là niềm hạnh phúc của các admin.
Có thể tạo đĩa mềm boot bằng bộ đĩa RedHat từ hệ điều hành Windows hay Linux một cách đơn giản.
Từ một máy window
C:\> E:
E:\> cd \dosutils
E:\dosutils> rawrite
Enter disk image source file name: ..\images\boot.img
Enter target diskette drive: a:
Please insert a formatted diskette into drive A: and press --ENTER-- :
E:\dosutils>
Từ một máy Linux
# mount /mnt/cdrom/
[root@test /]# cd /mnt/cdrom/images/
[root@test images]# dd if=boot.img of=/dev/fd
Display all 277 possibilities? (y or n)
[root@test images]# dd if=boot.img of=/dev/fd0H1440 bs=1440k
1+0 records in
1+0 records out
[root@test images]# cd /
[root@test /]# umount /mnt/cdrom/
g. Tiến hành cài đặt máy chủ
Sau các bước chuẩn bị cơ bản trên, ta tiến hành cài đặt máy chủ theo
quy trình sau:
o Chọn kiểu cài đặt : custom
Thông thường RedHat hổ trợ cho ta 3 phương thức cài đặt
như sau
- Workstation
- Laptop
- Server
- Custom
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
83
H01.serv01
Workstation, server là những cách cài đặt tương đối đơn giản và thích
hợp với những người mới làm quen với RedHat. Custom là một sự lựa
chọn tốt đối với các admin vì nó cho phép bạn lựa chọn số lượng
pations, dung lượng của các partion, số package cần cài đặt,…
o Chia partitions cho đĩa cứng
Có 2 lựa chọn khi chia partitions: automatics Partitioning và
manual partitioning, ta chọn manual.
Tiếp theo ta chọn công cụ để chia partition: Disk druid hay
fdisk, disk druid là công cụ có giao diện đồ hoạ và dễ sử
dụng hơn fdisk, tuy nhiên nếu ta đã quen với fdisk thì cũng
không có khác biệt lớn lắm giữa 2 công cụ này.
Vấn đề tiếp theo là ta chia đĩa thành nhiều partitions với
dung lượng sao cho hợp lý, vấn đề chia thành nhiều
patitions có thể giúp ta có những lợi điểm sau:
- tránh bị tấn công DOS
- hạn chế sự nguy hiểm của các chương trình SUID
- tăng tốc độ boot
- dễ dàng backup và quản lý việc nâng cấp
- có thể giới hạn dung lượng của các thư mục trong hệ thống file
Căn cứ theo dung lượng bộ nhớ và đĩa cứng trên máy chủ
mà ta đưa ra cơ chế phân chia các partition cho hợp lý.
Thông thường ta chia thành các partitions như sau:
- /boot 50 MB chứa image của kernel
-swap 512 MB bộ nhớ ảo của hệ điều hành Linux
- / tùy theo dung lượng đĩa cứng và số lượng user,
packages cần cài đặt mà ta thiết lập cho hợp lý.
-/usr : chứa file binary của Linux, thư viện
-/var : chứa log, cache của hệ thống
-/home: chia theo user, trung bình khoảng 100MB/user
-/tmp: vùng lưu trữ tạm trên Linux
o chọn các packages
trong quá trình cài đặt hệ điều hành, có rất nhiều packages
mặc định được chọn sẳn, ta chỉ chọn những package thật sự
cần thiết cho server. Một số điểm cần chú ý như sau:
- bỏ chọn tất cả các dấu chọn mặc
Các file đính kèm theo tài liệu này:
- Đề tài nghiên cứu ứng dụng hỗ tợ bảo mật hệ thống thông tin cho các mạng tin học Việt Nam.pdf