Quản trị hệ thống Linux - Kiểm tra độ an toàn của hệ thống với Nessus
Một trong những mối quan tâm hàng đầu của những nhà Nghề quản trị hệ thống linux là làm sao biết được Quan tri linux của mình bị hổng ở chổ gì cho phép có thể vá lại hoặc nhằm tấn công hay đột nhập vào nếu người quan tâm đến chúng là những hacker. Có rất các công cụ trợ giúp thời điểm việc xác định các lỗi bảo mất và nhiều điểm nhạy cảm của Quan tri he thong Linux như Retina của Eeye, hoặc GFI N.S.S của GFI… Nhưng công cụ được những hacker và nhiều nhà quản trị hệ thống yêu thích hơn cả vẫn là nessus, công cụ được xếp hạng thứ nhất trong 75 công cụ bảo mật được đánh giá bởi tổ chức Insecure .
Lý do mà Nessus được yêu thích như vậy bởi sự chúng có một cơ sở dữ liệu rất lớn về lổ hổng hệ thống được thông tin liên tục, giao diện dễ áp dụng và kết quả chắc hẳn được lưu lại dưới các kiểu khác nhau như biểu đồ, XML hay PDF để chắc hẳn dễ dàng xem thêm. Ngoài ra khi trải nghiệm Nessus chúng ta không phải lo lắng về vấn đề bản quyền vì đây là một chương trình miễn phí. Vào lúc bài viết này tôi sẽ trình bày phương pháp thiết lập và cài đặt nessus trên một Quan tri he thong linux Linux FC2 và tiến hành kiểm tra lỗi của một số server chạy hdh Windows, cùng với giải pháp phòng chống Nessus cũng như các trường hợp tấn công DOS dựa vào honeypot.
Phần I: Setup và cấu hình chương trình kiểm tra lỗi hệ thống Nessus
Đầu tiên các bạn tải về bốn tập tin nessus-libraries-2.0.9.tar.gz, libnasl-2.0.9.tar.gz, nessus-core-2.0.9.tar.gz, nessus-plugins-2.0.9.tar.gz từ trang web www.nessus.org và tiến hành cài đặt theo thứ tự sau:
#tar –zxvf nessus-libraries-2.0.9.tar.gz
#cd ../nessus-libraries-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf libnasl-2.0.9.tar.gz
#cd libnasl-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-core-2.0.9.tar.gz
#cd nessus-core-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-plugins-2.0.9.tar.gz
#cd nessus-plugins-2.0.9
#./configure && make && make install
Các dòng lệnh trên sẽ giải nén và lần lượt cài đặt những gói tin thư viện ">Quan tri he thong Linux và các plug-in cần thiết cho quá trình quét lỗi. Khi tiến trình cài đặt hoàn tất bạn nào cùng dùng trình soạn thảo vi, hoặc emac thêm dòng /usr/local/lib vào tập tin ld.so.conf trong thư mục /etc, lưu lại và chạy lệnh ldconfig.
Để connect với server nessus bằng giao thức an toàn SSL thì chúng ta cần tạo những SSL certificate cho nessus thông qua lệnh nessus-mkcert và tiến hành theo nhiều chỉ thị đưa ra.
Tiếp theo ta cần tạo tài khoản dùng cho phép Quản trị hệ thống linux chạy nessus bằng tiện ích nessus-addusr. Điều này chắc hẳn giúp chúng mình tạo ra nhiều tài khoản chỉ chắc hẳn quét lỗi trên lớp mạng con mà mình quản lý.
# nessus-adduser
Addition of a new nessusd user
------------------------------
Login : secureprof
Authentication (pass/cert) [pass] : pass
Password : uncrackable
Như vậy ta đã hoàn thành các bước setup cho server nessus, hãy cùng khởi động bằng lệnh nessusd &, sau đó chạy trình khách nessus qua dòng lệnh nessus ở bất kỳ terminal như thế nào và thiết lập các tham số cần thiết cho chu trình quét lỗi.
- Lưu ý: máy chủ nessus cần được thiết lập trên nhiều Quản trị hệ thống Linux Linux-like, nhưng chương trình giao tiếp (nessus client) chắc hẳn cài trên nhiều hệ thống Windows OS hoặc Linux.
Đầu tiên các bạn cần log-in vào máy chủ nessus qua trang đang nhập với tài khoản đã tạo ra. Tiếp theo là chọn nhiều plug-in mục đích tiến hành quét lỗi, càng những plug-in được chọn thì kết quả thu được có tác dụng tốt hơn tuy nhiên thời gian cũng sẽ lâu hơn, hãy click chuột vào ô check-box bên phải mục đích chọn nhiều plug-in mình muốn:
Cuối cùng là nhập địa chỉ các máy cần kiểm tra lổi thời điểm trang Target selection rồi lưu lại với tùy chọn Save this section, nhấn phím Start the scan cho phép nessus bắt đầu phát triển:
Tùy vào số lượng máy được quét và số plug-in bạn chọn mà thời giờ tiến hành lâu hoặc mau. Kết quả thu được sẽ được trình bày như khung sau:
Dựa trên kết quả thu có các bạn chắc hẳn xác định nhiều điểm nhạy cảm cũng như các lổ hổng mà những hacker chắc hẳn lợi dụng nhằm tấn công hệ thống, ví dụ có một máy chủ Windows OS bị lỗi bảo mật Rpc dcom chắc hẳn cho các hacker chiếm quyền điều khiển từ xa hoặc những cổng TCP 139 đang mở trên hầu như nhiều máy của nhân viên phòng Kinh Doanh chắc hẳn bị tấn công bằng cách thức hoạt động brute force… Và đương nhiên là các bạn hay vá chúng lại càng sớm càng tốt qua website của nhà đưa ra hoặc đặt password theo cách thức hoạt động phức tạp nhằm ngăn ngừa nhiều phương pháp đoán password như brute force, yêu cầu khách hàng thay đổi password sau một thời giờ áp dụng...
Để Quan tri he thong Linux phòng chống nhiều kiểu tấn công này thì chúng mình cần kịp thời nâng cấp những bản vá hệ thống khi chúng có công bố, hoặc trên nhiều mạng và hệ thống trải nghiệm Windwos 2000 về sau các bạn có khả năng nâng cấp các bản vá từ trang web Microsoft Update nên setup WSUS server cho phép cập nhật cho nhiều máy cùng lúc mỗi khi có nhiều lổ hổng hệ thống mới có công bố. Đăng kí những bản tin cảnh báo từ nhiều trang web của những nhà đưa ra giải pháp bảo mật (ví dụ như www.eeye.com) để có cơ hội đưa ra những giải pháp một cách kịp thời. Bên cạnh đó ta hay mỗi lúc giám sát nhiều hệ thống máy chủ quan trọng, setup các chương trình diệt Virus và Trojan (đối với những hệ thống Windows OS các bạn hay cài Microsoft Anti Spyware, chương trình này cho kết quả rất tốt khi chạy), dựng hệ thống dò tìm và phát hiện xâm nhập như Snort IDS, GFI Server Monitor hoặc là sử dụng kế nghi binh “Vườn Không Nhà Trống” để đánh lừa và dẫn dụ các hacker tấn công vào những máy chủ ảo được tạo ra qua các HoneyPot Server.
Lý do mà Nessus được yêu thích như vậy bởi sự chúng có một cơ sở dữ liệu rất lớn về lổ hổng hệ thống được thông tin liên tục, giao diện dễ áp dụng và kết quả chắc hẳn được lưu lại dưới các kiểu khác nhau như biểu đồ, XML hay PDF để chắc hẳn dễ dàng xem thêm. Ngoài ra khi trải nghiệm Nessus chúng ta không phải lo lắng về vấn đề bản quyền vì đây là một chương trình miễn phí. Vào lúc bài viết này tôi sẽ trình bày phương pháp thiết lập và cài đặt nessus trên một Quan tri he thong linux Linux FC2 và tiến hành kiểm tra lỗi của một số server chạy hdh Windows, cùng với giải pháp phòng chống Nessus cũng như các trường hợp tấn công DOS dựa vào honeypot.
Phần I: Setup và cấu hình chương trình kiểm tra lỗi hệ thống Nessus
Đầu tiên các bạn tải về bốn tập tin nessus-libraries-2.0.9.tar.gz, libnasl-2.0.9.tar.gz, nessus-core-2.0.9.tar.gz, nessus-plugins-2.0.9.tar.gz từ trang web www.nessus.org và tiến hành cài đặt theo thứ tự sau:
#tar –zxvf nessus-libraries-2.0.9.tar.gz
#cd ../nessus-libraries-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf libnasl-2.0.9.tar.gz
#cd libnasl-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-core-2.0.9.tar.gz
#cd nessus-core-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-plugins-2.0.9.tar.gz
#cd nessus-plugins-2.0.9
#./configure && make && make install
Các dòng lệnh trên sẽ giải nén và lần lượt cài đặt những gói tin thư viện ">Quan tri he thong Linux và các plug-in cần thiết cho quá trình quét lỗi. Khi tiến trình cài đặt hoàn tất bạn nào cùng dùng trình soạn thảo vi, hoặc emac thêm dòng /usr/local/lib vào tập tin ld.so.conf trong thư mục /etc, lưu lại và chạy lệnh ldconfig.
Để connect với server nessus bằng giao thức an toàn SSL thì chúng ta cần tạo những SSL certificate cho nessus thông qua lệnh nessus-mkcert và tiến hành theo nhiều chỉ thị đưa ra.
Tiếp theo ta cần tạo tài khoản dùng cho phép Quản trị hệ thống linux chạy nessus bằng tiện ích nessus-addusr. Điều này chắc hẳn giúp chúng mình tạo ra nhiều tài khoản chỉ chắc hẳn quét lỗi trên lớp mạng con mà mình quản lý.
# nessus-adduser
Addition of a new nessusd user
------------------------------
Login : secureprof
Authentication (pass/cert) [pass] : pass
Password : uncrackable
Như vậy ta đã hoàn thành các bước setup cho server nessus, hãy cùng khởi động bằng lệnh nessusd &, sau đó chạy trình khách nessus qua dòng lệnh nessus ở bất kỳ terminal như thế nào và thiết lập các tham số cần thiết cho chu trình quét lỗi.
- Lưu ý: máy chủ nessus cần được thiết lập trên nhiều Quản trị hệ thống Linux Linux-like, nhưng chương trình giao tiếp (nessus client) chắc hẳn cài trên nhiều hệ thống Windows OS hoặc Linux.
Đầu tiên các bạn cần log-in vào máy chủ nessus qua trang đang nhập với tài khoản đã tạo ra. Tiếp theo là chọn nhiều plug-in mục đích tiến hành quét lỗi, càng những plug-in được chọn thì kết quả thu được có tác dụng tốt hơn tuy nhiên thời gian cũng sẽ lâu hơn, hãy click chuột vào ô check-box bên phải mục đích chọn nhiều plug-in mình muốn:
Cuối cùng là nhập địa chỉ các máy cần kiểm tra lổi thời điểm trang Target selection rồi lưu lại với tùy chọn Save this section, nhấn phím Start the scan cho phép nessus bắt đầu phát triển:
Tùy vào số lượng máy được quét và số plug-in bạn chọn mà thời giờ tiến hành lâu hoặc mau. Kết quả thu được sẽ được trình bày như khung sau:
Dựa trên kết quả thu có các bạn chắc hẳn xác định nhiều điểm nhạy cảm cũng như các lổ hổng mà những hacker chắc hẳn lợi dụng nhằm tấn công hệ thống, ví dụ có một máy chủ Windows OS bị lỗi bảo mật Rpc dcom chắc hẳn cho các hacker chiếm quyền điều khiển từ xa hoặc những cổng TCP 139 đang mở trên hầu như nhiều máy của nhân viên phòng Kinh Doanh chắc hẳn bị tấn công bằng cách thức hoạt động brute force… Và đương nhiên là các bạn hay vá chúng lại càng sớm càng tốt qua website của nhà đưa ra hoặc đặt password theo cách thức hoạt động phức tạp nhằm ngăn ngừa nhiều phương pháp đoán password như brute force, yêu cầu khách hàng thay đổi password sau một thời giờ áp dụng...
Để Quan tri he thong Linux phòng chống nhiều kiểu tấn công này thì chúng mình cần kịp thời nâng cấp những bản vá hệ thống khi chúng có công bố, hoặc trên nhiều mạng và hệ thống trải nghiệm Windwos 2000 về sau các bạn có khả năng nâng cấp các bản vá từ trang web Microsoft Update nên setup WSUS server cho phép cập nhật cho nhiều máy cùng lúc mỗi khi có nhiều lổ hổng hệ thống mới có công bố. Đăng kí những bản tin cảnh báo từ nhiều trang web của những nhà đưa ra giải pháp bảo mật (ví dụ như www.eeye.com) để có cơ hội đưa ra những giải pháp một cách kịp thời. Bên cạnh đó ta hay mỗi lúc giám sát nhiều hệ thống máy chủ quan trọng, setup các chương trình diệt Virus và Trojan (đối với những hệ thống Windows OS các bạn hay cài Microsoft Anti Spyware, chương trình này cho kết quả rất tốt khi chạy), dựng hệ thống dò tìm và phát hiện xâm nhập như Snort IDS, GFI Server Monitor hoặc là sử dụng kế nghi binh “Vườn Không Nhà Trống” để đánh lừa và dẫn dụ các hacker tấn công vào những máy chủ ảo được tạo ra qua các HoneyPot Server.
.jpg)
0 nhận xét: