Cơ chế bảo mật của linux
Show Mở đầuTrong phần 1 của bài viết Tìm hiểu về cơ chế bảo mật trong hệ thống Linux mình đã giới thiệu một số biện pháp bảo mật thường hay được sử dụng nhất như mật khẩu, tài khoản Xác thực dữ liệuĐối với người dùng phổ thông, nhiều khi họ muốn sử dụng một file dữ liệu nào đó (hình ảnh, nhạc, tài liệu văn bản ...) thì họ đơn giản chỉ cần mở được file, xem được nội dung file là đủ. Hơn nữa, với các file có dung lượng không đáng kể thì cũng rất ít người để ý đến sự thay đổi kích cỡ của nó. Và đây chính là khe hở mà các người dùng xấu có thể lợi dụng để chèn thêm các đoạn mã tự thực thi vào file tài liệu, gây nguy hại cho hệ thống. Mặc dù không thể đảm bảo các file tài liệu sẽ tuyệt đối an toàn, nhưng với cơ chế xác thực dữ liệu thì ít nhất chúng ta có thể kiểm tra tính toàn vẹn của file. Cách đơn giản nhất để xác thực dữ liệu là dùng phép băm một chiều. Với cách này, ta có thể tính toán mã checksum (mã băm) của file rồi sau đó so sánh với mã gốc (có trên trang chủ phần mềm, hoặc do chủ sở hữu file cung cấp. Các chương trình hỗ trợ việc băm dữ liệu trên Linux thì bao gồm:
Truy cập từ xa qua SSHNgày nay, các hệ thống máy tính sử dụng các dòng hệ điều hành Linux phổ biến đều hỗ trợ kết nối từ xa an toàn qua tiêu chuẩn SSH (Secure Shell). Công cụ được sử dụng phổ biến nhất là OpenSSH một phiên bản mã nguồn mở của của SSH. Khi kết nối qua SSH, mặc định toàn bộ dữ liệu sẽ được mã hóa và hầu hết đều hỗ trợ các tính năng sau:
SSH không chỉ mã hóa kết nối giữa các hệ thống mà còn sử dụng hệ thống khóa để cung cấp xác thực lẫn nhau giữa mỗi bên kết nối. Tại máy khách sử dụng SSH sẽ có thể tự động kiểm tra danh tính của bất kỳ hệ thống từ xa nào mà nó kết nối vào, bằng cách xác minh khóa. Tương tự, người dùng có thể tự nhận mình vào các hệ thống có khóa, thay vì sử dụng mật khẩu và có khả năng bị trộm thông qua keylogger hoặc các phương pháp bẻ khóa khác. Hầu hết các dòng hệ điều hành Linux phổ biến đều bao gồm ứng dụng khách OpenSSH theo mặc định. Hệ thống máy chủ OpenSSH thường được cung cấp dưới dạng tùy chọn, mặc dù một số hệ điều hành Linux cũng cung cấp theo mặc định.
Theo dõi hệ thống qua nhật ký hoạt độngLinux là một hệ thống có khá nhiều thành phần cấu thành, và hầu hết đều hoạt động độc lập với nhau. Kể từ các chương trình ( May thay, hầu hết các chương trình, dịch vụ ... chạy trên hệ thống Linux đều có cơ chế lưu lại nhật kí hoạt động. Qua đó chúng ta có thể dễ dàng theo dõi hoạt động của các chương trình trong hệ thống, thậm chí có thể viết ra những đoạn mã tự động cảnh báo nếu nhật kí ghi lại một hoạt động bất thường. Thông thường
Linux (và cả các hệ thống UNIX-like) lưu trữ nhật ký hoạt động ( Và khi có được các file này, chúng ta có thể dùng các câu lệnh như Giới hạn sử dụng các chương trìnhĐôi khi chúng ta cần thử nghiệm một công cụ nào đó, nhưng không chắc chắn nó có gây hại cho hệ thống hay không. Linux cung cấp cho chúng ta một vài phương pháp để thử nghiệm chúng: Dùng công nghệ ảo hóaẢo hóa cho phép bạn chỉ định một số tài nguyên phần cứng giới hạn (lấy từ máy chủ - Hiện nay công nghệ ảo hóa đã cho phép chạy một hệ điều hành hoàn chỉnh, phổ biến nhất là Xen và KVM. Xen cho phép bạn định cấu hình một hệ thống để hoạt động như một máy chủ lưu trữ cho nhiều môi trường ảo, tất cả đều được điều khiển bởi một trình quản lý ảo hóa duy nhất. Tuy nhiên, các hệ điều hành Linux được cài đặt trên các máy có CPU có hỗ trợ ảo hóa có thể chạy KVM đơn giản và linh hoạt hơn. KVM hiện tại cung cấp hiệu suất cao hơn đáng kể so với trình giả lập máy QEMU (sử dụng lõi là KVM) vốn rất phổ biến trước đó. Phần mềm QEMU ban đầu hoạt động quá chậm cho các ứng dụng thành phẩm, mặc dù nó vẫn nắm vai trò nhất định cho công việc kiểm tra và phát triển. Dùng tiện ích DockerDocker là
khái niệm chỉ các cơ sở chứa Linux ( Các hệ thống Linux ngày nay bao gồm hỗ trợ cho các Dùng tiện ích chrootTiện ích Kết luậnTrong phần 2 này, mình đã tìm hiểu và giới thiệu thêm được một số biện pháp bảo mật đặc thù cho một vài trường hợp đặc biệt. Mình sẽ thử tìm hiểu tiếp các biện pháp bảo mật khác cho hệ thống và sẽ viết tiếp phần 3 trong một tương lai không xa. Cảm ơn các bạn đã đọc bài viết ^^. Tài liệu tham khảo
|