Nội dung Tăng bảo mật cho Linux: Hạn chế các dịch vụ không cần thiết
Học cách xác định và ngắt các dịch vụ không cần
thiết mà có thể làm tăng bảo mật cho một hệ thống Linux.
Mặc dù các mã cài đặt mặc định từ đĩa CD phân phối Linux khiến cho
việc cài đặt Linux dễ dàng hơn, nhưng chúng cũng thêm một số lượng lớn các dịch
vụ vào hệ thống, bạn có lẽ chưa bao giờ sử dụng dịch vụ này hoặc trường hợp xấu
nhất là rời các cổng để mở cho các cuộc tấn công từ bên ngoài. Càng chạy nhiều
dịch vụ thì càng nhiều cổng cho những kẻ xâm nhập. Vì thế để bảo vệ hệ thống của
bạn, tốt nhất là tắt các dịch vụ không cần thiết.
Tìm kiếm các dịch vụ đang sử dụng
Trước khi quyết định những dịch vụ nào không cần thiết, bạn cần biết những dịch
vụ nào đang được dùng. Để thực hiện điều này, chạy
netstat.
Đầu tiên mở một cửa sổ cuối và sử dụng lệnh
su để chuyển
tới gốc. Rồi nhập lệnh
# netstat –tap >
listening.services, theo sau bởi lệnh
# less listening.services.
Những lệnh này sẽ hiển thị một danh sách tất cả các dịch vụ hiện đang chạy với
Trạng thái LISTEN. Đồng thời cũng liệt kê PID của các dịch vụ và tên của chương
trình bắt đầu các dịch vụ.
Nói chung, nếu không thể xác định một dịch vụ được liệt kê, bạn có lẽ không cần
nó. Nếu dịch vụ này không hiển nhiên từ đầu ra
netstat một
dịch vụ là gì, sử dụng lệnh ps,
find,
grep
hoặc locate
để tìm thêm nhiều thông tin về các chương trình hay các PID đặc biệt. Đồng thời
cũng kiểm tra/etc/services cho một số tên dịch vụ hay số cổng.
Các dịch vụ hệ thống được bắt đầu bởi mã init được tìm thấy tại /etc/init.d/
(hay tại một số phân phối, kể cả Red Hat trong /etc/rc.d/init.d/). Sử
dụng ls trên thư mục này để đưa một danh sách các mã.
Quyết định ngắt các dịch vụ nào
Khi lập kế hoạch sử dụng hệ thống Linux như một máy để bàn độc lập với truy nhập
vào Internet, bạn cần phải kiểm tra đầu tiên liệu có bất kỳ dịch vụ nào được
liệt kê trong Bảng A đang hoạt động.
Bảng A:
Các dịch vụ tiêu biểu không nên cho phép hoạt động trên Internet
Dịch vụ
Giới thiệu
NFS (Network File System) và các dịch
vụ liên quan: nfsd, lockd, mountd, statd, portmapper...
NFS là dịch vụ UNIX chuẩn để chia sẻ
các tập tin thông qua mạng. Chỉ nên được sử dụng để chia sẻ các tập tin
thông qua mạng LAN, không nên qua Internet. Không nên bật hệ thống NFS trên
hệ thống độc lập.
r* services: rsh,
rlogin, rexec, rcp…
Sẽ được liệt kê
trong các đầu ra netstat mà không cần r (rlogin sẽ được liệt kê là login).
Nếu cần thiết, sử dụng ssh thay thế.
Máy chủ telnet
Sử dụng sshd thay thế.
Máy chủ ftp
Chỉ sử dụng với
các máy chủ ftp chuyên dụng có thể được kiểm tra và bảo mật. Đối với các tập
tin trao đổi khác, sử dụng scp hoặc http.
BIND (named), gói DNS Server
Dịch vụ này được yêu cầu cho các hoạt
động hệ thống như là tên các máy chủ cho miền. Chúng nên được hạn chế hay
đặt trong tường lửa khi sử dụng qua Internet.
Nhân tố chuyển thư:
sendmail, exim, postfix, qmail
Những dịch vụ này
là không cần thiết cho các máy tính độc lập mà sẽ sử dụng một dịch vụ ISP’s
POP nhận trực tiếp thư từ các máy chủ Internet trên mạng LAN, chỉ cho phép
các dịch vụ này sau tường lửa và truy nhập các chính sách đúng chỗ.
Chẳng hạn, netstat thông báo rằng
các dịch vụ login và shell
đang chạy. Như tôi ghi chú trong Bảng 1, thật sự là rlogin,
rsh và cần phải được ngắt. Telnet và
ftp được liệt kê như những máy chủ chấp nhận các kết nối đầu vào tới
máy. Xin nhắc lại, bởi vì đây là một hệ thống tách rời, tôi cần phải tắt các
dịch vụ này. Tôi luôn luôn sử dụng máy khách ftp hay telnet khi cần tải xuống
tập tin hay telnet qua Internet. Lệnh netstat cũng thông báo
rằng máy chủ http đang chạy, được yêu cầu bởi một số phân phối
truy nhập tài liệu trực tuyến. Nếu định giữ các dịch vụ này chạy, bạn sẽ cần
kiểm tra rằng có thể tiếp cận từ bên ngoài hệ thống được hay không.
Một máy chủ in cũng đang hoạt động. Máy chủ in có thể giữ cổng mở nếu việc in ấn
được thực hiện qua mạng. Một khi máy in được nối vật lý tới máy, sẽ an toàn khi
hoạt động. Cũng sẽ cần giữ /X, hệ thống cửa sổ trong suốt mạng
xách tay mà tập hợp và phân phối người dùng được nhập vào các chương trình máy
khách. Nếu hệ thống được sử dụng như người dùng chuyên dụng, thì /X
sẽ không cần thiết bạn nên tắt nó đi.
Tắt các dịch vụ không cần thiết
Một khi bạn đã quyết định những dịch vụ nào không cần thiết, bạn có thể bắt đầu
tắt chúng đi. Sẽ là một ý tưởng tốt khi tắt một dịch vụ và chạy hệ thống mà
không có dịch vụ để xem liệu có ổn hay không. Tiếp tục, dừng dịch vụ khác và lặp
lại quá trình cho đến khi tắt hết tất cả các dịch vụ không cần thiết.
Người dùng đăng nhập có khả năng ngắt một dịch vụ bằng cách nhập tên đường dẫn
tới mã dịch vụ theo tùy chọn Stop. Chẳng hạn, để tắt
nfs, bạn nhập:
# /etc/init.d/nfs stop.
Chú ý phiên bản Red Hat của Linux có thể sử dụng đường dẫn: /etc/rc.d/init.d.
Mặc dù bạn đã tắt một dịch vụ, nhưng có thể nó không được tắt ngay lập tức.
Chẳng hạn, một dịch vụ có thể được cho phép khởi động lại hệ thống. Vì thế để
chắc chắn hãy chạy netstat sau lần khởi động lại và sau mỗi lần nâng cấp hệ
thống hay cài đặt mới.
Theo Techrepublic
Source Tăng bảo mật cho Linux: Hạn chế các dịch vụ không cần thiết: ThongTinBaoMat.ComTăng bảo mật cho Linux: Hạn chế các dịch vụ không cần thiết Tags
Bảo mật | thông tin mật | virus | công cụ | quản trị mạng | thiết bị di động | hệ điều hành | Quản trị mạng Những bài viết tương tự Tăng bảo mật cho Linux: Hạn chế các dịch vụ không cần thiết:
3 thiếu sót về bảo mật của Google+ | Cách kiểm tra các kết nối không bảo mật | Những thao tác cơ bản để xóa bỏ phần mềm bảo mật giả mạo | Tăng tốc Mac - không khó | 4 mẹo ngăn chặn tấn công giả mạo | Cảnh báo “nghe lén” trên mạng | 5 mẹo giúp bảo vệ dữ liệu khỏi bị xâm phạm | 10 desktop Linux đáng chú ý nhất | 5 cách đảm bảo người dùng không bị “theo dõi” trên Internet | 5 mẹo cải thiện hiệu suất máy chủ Linux |
