Quan tri linux - Kiểm tra độ an toàn của hệ thống với Nessus
Một trong những mối quan tâm hàng đầu của các nhà Quản trị hệ thống linux là làm sao biết có Quản trị hệ thống Linux của mình bị hổng ở chổ nào để có khả năng vá lại hoặc mục đích tấn công hay đột nhập vào nếu người quan tâm đến chúng là các hacker. Có rất những công cụ trợ giúp thời điểm việc xác định các lỗi bảo mất và nhiều điểm nhạy cảm của Quan tri linux như Retina của Eeye, nên GFI N.S.S của GFI… Nhưng công cụ có nhiều hacker và các nhà quản trị hệ thống yêu thích hơn cả vẫn là nessus, công cụ có xếp hạng thứ nhất vào lúc 75 công cụ bảo mật có đánh giá bởi sắp xếp Insecure .
Lý do mà Nessus có yêu thích như vậy bởi sự chúng có một cơ sở dữ liệu rất lớn về lổ hổng hệ thống có thông tin ngày càng, bố cục dễ dùng và kết quả có khả năng có lưu lại dưới khá nhiều dạng khác nhau như biểu đồ, XML hay PDF nhằm chắc hẳn đơn giản tham khảo. Ngoài ra khi tận dụng Nessus chúng ta không phải bận tâm về vấn đề bản quyền vì đây là một chương trình không tốn tiền. Thời điểm bài viết này tôi có tác dụng trình bày phương pháp cấu hình và setup nessus trên một Quan tri he thong linux Linux FC2 và tiến hành kiểm tra lỗi của một số máy chủ chạy hdh Windows, cùng với giải pháp phòng chống Nessus cũng như nhiều trường hợp tấn công DOS dựa vào honeypot.
Phần I: Cài đặt và cấu hình chương trình kiểm tra lỗi hệ thống Nessus
Đầu tiên chúng ta tải về bốn tập tin nessus-libraries-2.0.9.tar.gz, libnasl-2.0.9.tar.gz, nessus-core-2.0.9.tar.gz, nessus-plugins-2.0.9.tar.gz từ trang web www.nessus.org và tiến hành setup theo thứ tự sau:
#tar –zxvf nessus-libraries-2.0.9.tar.gz
#cd ../nessus-libraries-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf libnasl-2.0.9.tar.gz
#cd libnasl-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-core-2.0.9.tar.gz
#cd nessus-core-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-plugins-2.0.9.tar.gz
#cd nessus-plugins-2.0.9
#./configure && make && make install
Những dòng lệnh trên có tác dụng giải nén và lần lượt cài đặt các gói tin thư viện ">Quan tri he thong linux và các plug-in cần thiết cho chu trình quét lỗi. Khi tiến trình cài đặt hoàn tất bạn hãy cùng dùng trình soạn thảo vi, nên emac thêm dòng /usr/local/lib vào tập tin ld.so.conf trong thư mục /etc, lưu lại và chạy lệnh ldconfig.
Để kết nối với server nessus bằng giao thức an toàn SSL thì chúng mình cần tạo những SSL certificate cho nessus qua lệnh nessus-mkcert và tiến hành theo những chỉ thị đưa ra.
Tiếp theo ta cần tạo tài khoản dùng để Quản trị hệ thống Linux chạy nessus bằng tiện ích nessus-addusr. Điều này có khả năng giúp chúng ta tạo ra nhiều tài khoản chỉ có thể quét lỗi trên lớp mạng con mà mình quản lý.
# nessus-adduser
Addition of a new nessusd user
------------------------------
Login : secureprof
Authentication (pass/cert) [pass] : pass
Password : uncrackable
Như vậy ta đã hoàn thành các bước cài đặt cho máy chủ nessus, nào cùng khởi động bằng lệnh nessusd &, sau đó chạy trình khách nessus thông qua dòng lệnh nessus ở bất kỳ terminal như thế nào và cấu hình những tham số cần thiết cho quá trình quét lỗi.
- Lưu ý: server nessus cần được cấu hình trên những Quản trị hệ thống linux Linux-like, nhưng chương trình giao tiếp (nessus client) có cơ hội cài trên những hệ thống Windows OS hoặc Linux.
Đầu tiên chúng ta cần log-in vào server nessus thông qua trang đang nhập với tài khoản đã tạo ra. Tiếp theo là chọn nhiều plug-in để tiến hành quét lỗi, càng rất nhiều plug-in có chọn thì kết quả thu được sẽ tốt hơn tuy nhiên thời gian cũng có tác dụng lâu hơn, cùng click chuột vào ô check-box bên phải nhằm chọn các plug-in mình muốn:
Cuối cùng là nhập địa chỉ những máy cần kiểm tra lổi vào lúc trang Target selection rồi lưu lại với tùy chọn Save this section, nhấn phím Start the scan cho phép nessus bắt đầu kinh doanh:
Tùy vào số lượng máy có quét và số plug-in bạn chọn mà thời giờ tiến hành lâu nên mau. Kết quả thu được sẽ được mô tả như khung sau:
Dựa trên kết quả thu có chúng ta có thể xác định những điểm nhạy cảm cũng như nhiều lổ hổng mà các hacker có cơ hội lợi dụng cho phép tấn công hệ thống, ví dụ có một máy chủ Windows OS bị lỗi bảo mật Rpc dcom chắc hẳn cho những hacker chiếm quyền điều khiển từ xa hoặc những cổng TCP 139 đang mở trên số đông nhiều máy của nhân viên phòng Kinh Doanh có cơ hội bị tấn công bằng cơ chế brute force… Và đương nhiên là chúng mình hay vá chúng lại càng sớm càng tốt thông qua website của nhà cung cấp hoặc đặt password theo cách thức hoạt động phức tạp mục đích ngăn ngừa những phương pháp đoán password như brute force, yêu cầu người dùng thay đổi password sau một thời giờ dùng...
Nhằm Quản trị hệ thống linux phòng chống các dạng tấn công này thì chúng mình cần kịp thời cập nhật những bản vá hệ thống khi chúng được công bố, hoặc trên những mạng và hệ thống áp dụng Windwos 2000 về sau chúng mình có khả năng thông tin nhiều bản vá từ trang web Microsoft Update nên cài đặt WSUS server mục đích cập nhật cho các máy cùng lúc mỗi khi có các lổ hổng hệ thống mới được công bố. Đăng kí những bản tin cảnh báo từ các trang web của các nhà đưa ra giải pháp bảo mật (ví dụ www.eeye.com) mục đích có cơ hội đưa ra các giải pháp một cách kịp thời. Bên cạnh đó ta nên ngày càng giám sát các hệ thống máy chủ quan trọng, cài đặt những chương trình diệt Virus và Trojan (đối với nhiều hệ thống Windows OS các bạn hay cài Microsoft Anti Spyware, chương trình này cho kết quả rất tốt khi chạy), hình thành hệ thống dò tìm và phát hiện xâm nhập như Snort IDS, GFI Server Monitor hoặc là áp dụng kế nghi binh “Vườn Không Nhà Trống” nhằm đánh lừa và dẫn dụ những hacker tấn công vào các máy chủ ảo có tạo ra qua nhiều HoneyPot Server.
Lý do mà Nessus có yêu thích như vậy bởi sự chúng có một cơ sở dữ liệu rất lớn về lổ hổng hệ thống có thông tin ngày càng, bố cục dễ dùng và kết quả có khả năng có lưu lại dưới khá nhiều dạng khác nhau như biểu đồ, XML hay PDF nhằm chắc hẳn đơn giản tham khảo. Ngoài ra khi tận dụng Nessus chúng ta không phải bận tâm về vấn đề bản quyền vì đây là một chương trình không tốn tiền. Thời điểm bài viết này tôi có tác dụng trình bày phương pháp cấu hình và setup nessus trên một Quan tri he thong linux Linux FC2 và tiến hành kiểm tra lỗi của một số máy chủ chạy hdh Windows, cùng với giải pháp phòng chống Nessus cũng như nhiều trường hợp tấn công DOS dựa vào honeypot.
Phần I: Cài đặt và cấu hình chương trình kiểm tra lỗi hệ thống Nessus
Đầu tiên chúng ta tải về bốn tập tin nessus-libraries-2.0.9.tar.gz, libnasl-2.0.9.tar.gz, nessus-core-2.0.9.tar.gz, nessus-plugins-2.0.9.tar.gz từ trang web www.nessus.org và tiến hành setup theo thứ tự sau:
#tar –zxvf nessus-libraries-2.0.9.tar.gz
#cd ../nessus-libraries-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf libnasl-2.0.9.tar.gz
#cd libnasl-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-core-2.0.9.tar.gz
#cd nessus-core-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-plugins-2.0.9.tar.gz
#cd nessus-plugins-2.0.9
#./configure && make && make install
Những dòng lệnh trên có tác dụng giải nén và lần lượt cài đặt các gói tin thư viện ">Quan tri he thong linux và các plug-in cần thiết cho chu trình quét lỗi. Khi tiến trình cài đặt hoàn tất bạn hãy cùng dùng trình soạn thảo vi, nên emac thêm dòng /usr/local/lib vào tập tin ld.so.conf trong thư mục /etc, lưu lại và chạy lệnh ldconfig.
Để kết nối với server nessus bằng giao thức an toàn SSL thì chúng mình cần tạo những SSL certificate cho nessus qua lệnh nessus-mkcert và tiến hành theo những chỉ thị đưa ra.
Tiếp theo ta cần tạo tài khoản dùng để Quản trị hệ thống Linux chạy nessus bằng tiện ích nessus-addusr. Điều này có khả năng giúp chúng ta tạo ra nhiều tài khoản chỉ có thể quét lỗi trên lớp mạng con mà mình quản lý.
# nessus-adduser
Addition of a new nessusd user
------------------------------
Login : secureprof
Authentication (pass/cert) [pass] : pass
Password : uncrackable
Như vậy ta đã hoàn thành các bước cài đặt cho máy chủ nessus, nào cùng khởi động bằng lệnh nessusd &, sau đó chạy trình khách nessus thông qua dòng lệnh nessus ở bất kỳ terminal như thế nào và cấu hình những tham số cần thiết cho quá trình quét lỗi.
- Lưu ý: server nessus cần được cấu hình trên những Quản trị hệ thống linux Linux-like, nhưng chương trình giao tiếp (nessus client) có cơ hội cài trên những hệ thống Windows OS hoặc Linux.
Đầu tiên chúng ta cần log-in vào server nessus thông qua trang đang nhập với tài khoản đã tạo ra. Tiếp theo là chọn nhiều plug-in để tiến hành quét lỗi, càng rất nhiều plug-in có chọn thì kết quả thu được sẽ tốt hơn tuy nhiên thời gian cũng có tác dụng lâu hơn, cùng click chuột vào ô check-box bên phải nhằm chọn các plug-in mình muốn:
Cuối cùng là nhập địa chỉ những máy cần kiểm tra lổi vào lúc trang Target selection rồi lưu lại với tùy chọn Save this section, nhấn phím Start the scan cho phép nessus bắt đầu kinh doanh:
Tùy vào số lượng máy có quét và số plug-in bạn chọn mà thời giờ tiến hành lâu nên mau. Kết quả thu được sẽ được mô tả như khung sau:
Dựa trên kết quả thu có chúng ta có thể xác định những điểm nhạy cảm cũng như nhiều lổ hổng mà các hacker có cơ hội lợi dụng cho phép tấn công hệ thống, ví dụ có một máy chủ Windows OS bị lỗi bảo mật Rpc dcom chắc hẳn cho những hacker chiếm quyền điều khiển từ xa hoặc những cổng TCP 139 đang mở trên số đông nhiều máy của nhân viên phòng Kinh Doanh có cơ hội bị tấn công bằng cơ chế brute force… Và đương nhiên là chúng mình hay vá chúng lại càng sớm càng tốt thông qua website của nhà cung cấp hoặc đặt password theo cách thức hoạt động phức tạp mục đích ngăn ngừa những phương pháp đoán password như brute force, yêu cầu người dùng thay đổi password sau một thời giờ dùng...
Nhằm Quản trị hệ thống linux phòng chống các dạng tấn công này thì chúng mình cần kịp thời cập nhật những bản vá hệ thống khi chúng được công bố, hoặc trên những mạng và hệ thống áp dụng Windwos 2000 về sau chúng mình có khả năng thông tin nhiều bản vá từ trang web Microsoft Update nên cài đặt WSUS server mục đích cập nhật cho các máy cùng lúc mỗi khi có các lổ hổng hệ thống mới được công bố. Đăng kí những bản tin cảnh báo từ các trang web của các nhà đưa ra giải pháp bảo mật (ví dụ www.eeye.com) mục đích có cơ hội đưa ra các giải pháp một cách kịp thời. Bên cạnh đó ta nên ngày càng giám sát các hệ thống máy chủ quan trọng, cài đặt những chương trình diệt Virus và Trojan (đối với nhiều hệ thống Windows OS các bạn hay cài Microsoft Anti Spyware, chương trình này cho kết quả rất tốt khi chạy), hình thành hệ thống dò tìm và phát hiện xâm nhập như Snort IDS, GFI Server Monitor hoặc là áp dụng kế nghi binh “Vườn Không Nhà Trống” nhằm đánh lừa và dẫn dụ những hacker tấn công vào các máy chủ ảo có tạo ra qua nhiều HoneyPot Server.
0 nhận xét: