5 thủ thuật bảo mật cho Linux

06:35 Sáng - 20/11/2020
0 Bình luận
245
bởi Đàm Hằng

    Linux cung cấp sức mạnh cho phần lớn web và máy trạm trên toàn cầu. Một trong những lý do chính sau sự phổ biến ngày càng đi lên của các hệ thống Linux và BSD chính là nhờ những chính sách vững chắc về bảo mật.

    Tuy nhiên, không có hệ thống nào là không thể phá vỡ. Và nếu như người dùng không tăng cường bảo mật cho máy trạm hoặc máy chủ Linux của mình bằng các tiêu chuẩn mới nhất. Rất có thể bạn sẽ trở thành nạn nhân của nhiều loại tấn công vi phạm dữ liệu. Để hạn chế vấn đề xảy ra, itctoday sẽ đưa ra 5 mẹo hữu ích giúp bạn tăng cường bảo mật máy chủ Linux của mình.

    1. Ghi lại thông tin về host

    Ghi lại thông tin về host sẽ trở nên cực kỳ có lợi về lâu dài. Nếu người đùng có ý định duy trì cùng một hệ thống theo thời gian, rất có thể một lúc nào đó mọi thứ sẽ trở nên lộn xộn. Mặc dù vậy, nếu bạn ghi lại thông tin về máy trạm hoặc máy chủ của mình ngay từ ngày cài đặt. Vậy bạn sẽ có ngay cho mình một ý tưởng vững chắc về CSHT hệ thống tổng thể và các chính sách được sử dụng.

    Hệ thống trong tài liệu của bạn nên bao gồm các thông tin sau. Nếu có thể bạn hãy thêm một số tính năng bổ sung dựa trên yêu cầu máy chủ của mình.

    • Tên hệ thống
    • Ngày cài đặt
    • Số định danh – Asset number (Giá trị gắn thẻ host trong môi trường doanh nghiệp)
    • Địa chỉ MAC
    • Địa chỉ IP
    • Tên quản trị viên
    • Phiên bản kernel

    2. Bảo mật BIOS và vô hiệu hóa USB boot

    Bạn nên bảo mật BIOS của mình bằng mật khẩu thích hợp. Như vậy người dùng khác không thể truy cập hoặc sửa đổi cài đặt. Vì việc truy cập menu BIOS trong các bo mạch chủ hiện đại khá đơn giản. Những người dùng cuối rất dễ dàng ghi đè các cài đặt hiện có và thao tác với những cấu hình nhạy cảm.

    Hơn nữa, người dùng cũng có thể sử dụng hệ thống có thể boot được để truy cập dữ liệu host. Điều này có khả năng gây ra các mối đe dọa đến tính toàn vẹn của máy chủ. Người dùng có thể vô hiệu hóa hoàn toàn các thiết bị USB bằng lệnh sau.

    # echo 'install usb-storage /bin/true' >> /etc/modprobe.d/disable-usb-storage.conf

    Tính năng USB boot cũng có thể bị vô hiệu hóa từ menu BIOS. Tuy nhiên, điều này không hoàn toàn bắt buộc nếu như bạn đang chạy một máy trạm cá nhân mà người dùng khác không thể truy cập.

    Bảo mật BIOS và vô hiệu hóa USB boot
    Bảo mật BIOS và vô hiệu hóa USB boot

    3. Mã hóa bộ nhớ

    Mã hóa bộ nhớ có khả năng mang lại lợi ích rất lớn về lâu dài. Việc này sẽ giúp ngăn chặn rò rỉ dữ liệu nhất là trong trường hợp máy bị đánh cắp hoặc có bất kỳ sự xâm nhập nào của bên thứ ba. Hiện nay, có rất nhiều công cụ mã hóa Linux giúp quản trị viên thực hiện nhiệm vụ này mà không gặp quá nhiều rắc rối.

    Ngoài ra, các bản phân phối Linux hiện đại cũng cung cấp cho quản trị viên khả năng mã hóa hệ thống file Linux trong quá trình cài đặt. Tuy vậy, bạn cần biết rằng mã hóa có thể ảnh hưởng đến hiệu suất và có thể gây khó khăn cho việc khôi phục dữ liệu.

    4. Mã hóa việc truyền dữ liệu

    Vì dữ liệu được truyền qua mạng có thể dễ dàng được thu thập, phân tích bằng các công cụ bảo mật mã nguồn mở. Vậy nên người dùng nên ưu tiên việc mã hóa dữ liệu lên hàng đầu trong quá trình củng cố bảo mật Linux. Nhiều công cụ truyền dữ liệu cũ không sử dụng mã hóa thích hợp. Chính vì thế nó có thể khiến dữ liệu của bạn dễ bị tấn công.

    Người dùng cũng nên sử dụng các service giao tiếp bảo mật như ssh, scp, rsync hoặc sftp để truyền dữ liệu từ xa. Linux cũng cho phép người dùng mount các hệ thống file từ xa bằng những công cụ đặc biệt. Ví dụ như fuse hoặc sshfs. Bạn cũng nên cố gắng sử dụng mã hóa GPG để mã hóa và ký dữ liệu của mình. Các công cụ Linux cung cấp dịch vụ mã hóa dữ liệu bao gồm OpenVPN, Lighthttpd SSL, Apache SSL hay Let’s Encrypt.

    5. Tránh các service truyền dữ liệu cũ

    Một số lượng lớn các chương trình Unix cũ không cung cấp bảo mật trong quá trình truyền dữ liệu. Ví đụ như FTP, Telnet, rlogin và rsh. Bất kể bạn đang bảo mật máy chủ Linux hay hệ thống cá nhân thì cũng hãy ngừng sử dụng các service này.

    Bạn cũng có thể sử dụng các lựa chọn thay thế khác cho loại nhiệm vụ truyền dữ liệu này. Ví dụ, các service như OpenSSH, SFTP hoặc FTPS để đảm bảo việc truyền dữ liệu có thể diễn ra qua một kênh bảo mật. Một vài tùy chọn trong số chúng sử dụng mã hóa SSL hoặc TLS giúp tăng cường cho việc giao tiếp dữ liệu. Bạn có thể sử dụng lệnh dưới đây để xóa service cũ như NIS, telnet và rsh khỏi hệ thống của mình.

    # yum erase xinetd ypserv tftp-server telnet-server rsh-server  # apt-get --purge remove xinetd nis yp-tools tftpd atftpd tftpd-hpa telnetd rsh-server rsh-redone-server

    Sử dụng lệnh đầu tiên cho các bản phân phối dựa trên RPM. Như RHEL và CentOS hoặc bất kỳ hệ thống nào sử dụng trình quản lý gói yum. Lệnh thứ 2 sẽ hoạt động trên các hệ thống dựa trên Debian/Ubuntu.

      Theo: Phạm Anh

      Nguồn: quantrimang.com

      Tags:

      *
      *

      Website này sử dụng Akismet để hạn chế spam. Tìm hiểu bình luận của bạn được duyệt như thế nào.

      Scroll Top