Select Page

Cơ chế bảo mật trong Linux

Cơ chế bảo mật trong Linux

Hiện tại hệ điều hành Linux chiếm rất nhiều trong hệ thống máy chủ của thế giới vì cơ chế bảo mật của nó, nhưng nó bảo mật như thế nào để được mọi người tín nhiệm như vậy? Linux có sẵn tính bảo mật cao như thế nào? Hãy cùng chúng tôi xem qua bài viết này để giải quyết những câu hỏi của bạn.

“root” – Tài khoản người dùng tối cao

Điều đầu tiên mình muốn nhắc đến là một tài khoản người dùng tối cao của hệ thống – root. Trong các hệ thống LinuxUNIX, root là người dùng được phép làm mọi thao tác với hệ thống, có thể nói là toàn quyền. Trong trường hợp hệ thống của bạn hỏng hóc đâu đó thì root luôn là tài khoản có thể sửa các lỗi này, nhưng khi hệ thống của bạn đang ổn định thì cũng chỉ có root mới có thể làm nó hỏng. Dùng đúng cách thì hệ thống của bạn an toàn, dùng không đúng cách thì bạn sẽ âm thầm tạo một backdoor (cửa sau) cho người khác xâm nhập. Mình có một số lưu ý khi chúng ta sử dụng tài khoản đặc biệt này:

  • Luôn đặt mật khẩu dễ nhớ với bạn và khó đoán với người khác cho root, định kỳ thay đổi mật khẩu (3-6 tháng 1 lần)
  • Không thực thi các thao tác không chắc chắn an toàn (VD: câu lệnh rm -rf, chmod 777, ….)
  • Sử dụng công cụ sudo thay vì đăng nhập tài khoản root (do sudo có cơ chế buộc nhập lại mật khẩu sau một thời gian không sử dụng, mặc định là 15 phút)
  • Không cho phép bất cứ ai được sử dụng tài khoản này ngoài bạn (not shared)
  • Giữ an toàn cho tài khoản của bạn (kết hợp với việc sử dụng sudo, tài khoản của bạn an toàn thì root cũng thêm 1 lớp bảo mật an toàn)
  • Không dùng quyền root hoặc sudo nếu không cần thiết. Tốt nhất sử dụng quyền hạn của người dùng bình thường với các câu lệnh bất cứ khi nào không chắc chắn, nếu có thông báo cần phải dùng quyền root để thực thi câu lệnh thì nên cân nhắc trường hợp sử dụng phương án thay thế.

Sử dụng mật khẩu

Một khái niệm không còn xa lạ với mọi người từng sử dụng máy tính, những cũng là cách dễ dàng nhất để người khác có thể truy cập trái phép tới hệ thống máy tính của bạn. Mặc dù Windows vẫn đang là hệ điều hành được sử dụng phổ biến nhất trên thế giới, tuy nhiên cơ chế bảo mật của hệ điều hành này không khác gì “rác rưởi” (ý kiến cá nhân). Khi mà các hệ điều hành LinuxUNIX luôn yêu cầu bắt buộc phải có mật khẩu cho các tài khoản thì Windows vẫn cho phép người dùng máy tính sử dụng tài khoản mà không cần phải có mật khẩu. Mặc dù hiện nay mật khẩu không phải là thứ khó truy cập nữa, tuy nhiên thêm một lớp bảo mật cho hệ thống không bao giờ là thừa, ít nhất chúng ta cũng có thể yên tâm là khi rời khỏi hệ thống máy tính thì kẻ tấn công cũng phải mất thêm 1 khoảng thời gian nhất định để vượt qua được tầng bảo vệ này.

Quản lý gói phần mềm

Một số lượng lớn các công cụ quản lý phần mềm hiện nay đều phân chia các phần mềm thành nhiều package (gói) nhỏ. Mỗi package là một thư viện độc lập, có thể dùng để làm một chức năng gì đó trong một hoặc nhiều phần mềm khác nhau. Mục đích chính của việc quản lý gói phần mềm thì chỉ đơn giản là dễ dàng cài đặt, cập nhật cũng như gỡ bỏ các phần mềm trên hệ thống chứ cũng không liên quan gì đến việc bảo mật. Tuy nhiên, bản thân phần mềm không thể tự cài đặt, cũng như tự gỡ bỏ được. Luôn phải có tác động của người sử dụng, hoặc các đoạn mã (script) chạy tự động thì phần mềm mới xuất hiện hoặc biến mất trên hệ thống, và việc này luôn đòi hỏi quyền root. Như mình đã nói trong phần trước, mọi thao tác có sử dụng root đều có khả năng tạo một backdoor cho phép người khác truy cập trái phép hệ thống của bạn. Thật may mắn khi hiện nay các hệ điều hành Linux phổ biến đã có riêng một đội ngũ chuyên xử lý các vấn đề bảo mật của các gói phần mềm (VD: Ubuntu của công ty Carnonical, Fedora của công ty Red Hat …). Các hệ thống quản lý phần mềm luôn cập nhật liên tục các bản vá bảo mật, kiểm định qua nhiều bước để đảm bảo phần mềm đến tay người sử dụng luôn an toàn nhất có thể. Tuy nhiên mình cũng có một vài lưu ý cho các bạn khi sử dụng hệ thống quản lý gói phần mềm như sau:

  • Không nên cài đặt các phần mềm không cần thiết phải sử dụng hoặc gỡ bỏ chúng đi, nếu không chắc chắn hãy hỏi bạn bè người thân có kỹ năng về vấn đề này trước khi cài đặt.
  • Không nên cài đặt các phần mềm theo một hướng dẫn trên mạng internet mà không chắc chắn về tác dụng của nó.
  • Không tùy tiện thêm các kho phần mềm không được kiểm định bởi các trang web có ít tên tuổi.
  • Sử dụng tính năng cập nhật của chương trình quản lý gói phần mềm chỉ với những bản vá bảo mật, các phần mềm có cập nhật về tính năng thì không nên cập nhật luôn mà nên đợi một thời gian khi các chuyên gia bảo mật nghiên cứu kỹ và không thấy vấn đề gì thì mới nên cài đặt.
  • Nếu có thể, nên cài đặt phần mềm bằng tay, không sử dụng các đoạn script không rõ ràng.

Một số chương trình quản lý gói phần mềm phổ biến hiện nay:

  • apt hoặc dpkg của Debian, Ubuntu
  • yum hoặc rpm của Red Hat, Fedora, CentOS
  • pacman hoặc yaourt của Arch Linux, Manjaro

Firewall

Firewall hay tường lửa là một hệ thống hai chiều, là đầu ra cũng như đầu vào của hệ thống. Nó là ngõ chặn cuối cùng để đưa thông tin của bạn ra ngoài internet, đồng thời nó cũng là chốt chặn đầu tiên của mọi nỗ lực cố gắng xâm nhập hệ thống của bạn. Với sự phát triển mạnh mẽ của internet, việc truy cập hệ thống từ xa đã ngày càng phổ biến. Nó mang đến cho bạn sự tiện lợi nhất định khi ở cơ quan làm việc vẫn có thể truy cập vào máy cá nhân ở nhà để lấy một tài liệu quan trọng, tuy nhiên nó cũng là cách khiến cho các hệ thống máy tính dễ bị tấn công hơn. Lời khuyên cho mọi người là luôn luôn bật (hoặc khởi động) hệ thống Firewall bất cứ khi nào hệ thống đang làm việc, tự cấu hình để ngăn chặn các truy cập trái phép, đơn giản nhất là giới hạn các địa chỉ IP tin cậy có thể truy cập hệ thống. Mặc dù là không dễ dàng, nhưng mọi người cũng nên tìm hiểu cách tự thiết lập thủ công cho Firewall của mình, hoặc tham khảo lời khuyên từ bạn bè người thân các kinh nghiệm cấu hình sử dụng. Hạn chế tối đa việc truy cập hệ thống từ xa, nếu không chắc chắn thì vẫn nên truy cập trực tiếp hệ thống.

Bảo mật hệ thống lưu trữ

Một cách khác để bảo mật hệ thống là mã hóa ổ cứng của bạn. Cách này sử dụng cơ chế mật khẩu mã hóa để truy cập. Tuy nhiên đây lại là cách được rất ít người sử dụng. Trước hết mình sẽ nói về ưu điểm và nhược điểm của nó.

Ưu điểm

  • Thêm một tầng bảo mật cho hệ thống
  • Ngăn cản truy cập trái phép đến một hoặc nhiều file của hệ thống
  • Khi máy tính bị truy cập trái phép thì dữ liệu vẫn an toàn do đã được mã hóa

Nhược điểm

  • Nếu quên mật khẩu thì không thể truy cập lại file và thư mục bảo mật
  • Mỗi lần đọc/ghi hệ thống cần tiến hành mã hóa và giải mã => tốn nhiều thời gian hơn
  • Khi ổ cứng bị hỏng hóc, đặc biệt khi lỗi bad sector thì khả năng cao là dữ liệu sẽ mất do đã bị mã hóa, rất khó khôi phục lại.

Trên đây ta có thể dễ dàng nhận ra phương thức bảo mật này không đem lại được nhiều lợi ích mà rủi ro khi sử dụng lại cao, ta có thể bỏ qua hoặc chỉ dùng để tham khảo, nếu cần thiết phải sử dụng thì nên cân nhắc kỹ càng.

Tài liệu tham khảo

About The Author

Pao Pevil

Cuộc sống này đối với tôi là màu đen tối vô tận. Đen tối đó che chở, bảo vệ và tôi tôn thờ nó. Ánh sáng có thể cho chúng ta sự sống, nhưng đêm tối mới cho chúng ta sự vĩnh hằng. Máu thịt tôi là Quỷ dữ, tôi muốn sống với cội gốc của mình. Linh hồn tôi là Bóng tối, tôi muốn là chính tôi.

Trackbacks/Pingbacks

  1. Mã hóa AES và Blowfish trong VPN - Pao Pevil - […] Xem thêm: Cơ chế bảo mật trong Linux […]

Leave a Reply

Recommend

Subscribe

Nhận bài viết, thông tin mới qua Email bằng cách nhập Email của bạn vào ô dưới.

Join 12 other subscribers

Recent Tweets