Quản trị hệ thống linux - Dùng Nessus hiệu quả có tin dùng
Một trong nhiều mối quan tâm hàng đầu của những nhà Quản trị hệ thống linux là làm sao biết được Quản trị hệ thống linux của mình bị hổng ở chổ như thế nào nhằm chắc hẳn vá lại hoặc để tấn công nên đột nhập vào nếu người quan tâm đến chúng là các hacker. Có rất rất nhiều công cụ trợ giúp thời điểm việc xác định các lỗi bảo mất và nhiều điểm nhạy cảm của Nghề quản trị hệ thống linux như Retina của Eeye, hoặc GFI N.S.S của GFI… Nhưng công cụ có nhiều hacker và những nhà quản trị hệ thống yêu thích hơn cả vẫn là nessus, công cụ có xếp hạng thứ nhất vào lúc 75 công cụ bảo mật có đánh giá bởi tổ chức Insecure .Lý do mà Nessus được yêu thích như vậy do là chúng có một cơ sở dữ liệu rất lớn về lổ hổng hệ thống được thông tin mỗi lúc, giao diện dễ sử dụng và kết quả có cơ hội có lưu lại dưới những dạng khác nhau như biểu đồ, XML hay PDF để chắc hẳn dễ dàng xem thêm. Ngoài ra khi tận dụng Nessus chúng ta không phải bận tâm về vấn đề bản quyền vì đây là một chương trình miễn phí. Thời điểm bài viết này tôi sẽ trình bày phương pháp cấu hình và setup nessus trên một Quan tri linux Linux FC2 và tiến hành kiểm tra lỗi của một số server chạy hdh Windows, cùng với giải pháp phòng chống Nessus cũng như các trường hợp tấn công DOS dựa vào honeypot.
Phần I: Cài đặt và thiết lập chương trình kiểm tra lỗi hệ thống Nessus
Đầu tiên chúng ta tải về bốn tập tin nessus-libraries-2.0.9.tar.gz, libnasl-2.0.9.tar.gz, nessus-core-2.0.9.tar.gz, nessus-plugins-2.0.9.tar.gz từ trang web www.nessus.org và tiến hành setup theo thứ tự sau:
#tar –zxvf nessus-libraries-2.0.9.tar.gz
#cd ../nessus-libraries-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf libnasl-2.0.9.tar.gz
#cd libnasl-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-core-2.0.9.tar.gz
#cd nessus-core-2.0.9
#./configure && make && make install
#cd ../
#tar –zxvf nessus-plugins-2.0.9.tar.gz
#cd nessus-plugins-2.0.9
#./configure && make && make install
Các dòng lệnh trên có tác dụng giải nén và lần lượt setup những gói tin thư viện ">Quan tri he thong Linux và các plug-in cần thiết cho quá trình quét lỗi. Khi tiến trình cài đặt hoàn tất bạn hãy dùng trình soạn thảo vi, hoặc emac thêm dòng /usr/local/lib vào tập tin ld.so.conf trong thư mục /etc, lưu lại và chạy lệnh ldconfig.
Nhằm kết nối với máy chủ nessus bằng giao thức an toàn SSL thì chúng mình cần tạo nhiều SSL certificate cho nessus thông qua lệnh nessus-mkcert và tiến hành theo những chỉ thị đưa ra.
Tiếp theo ta cần tạo tài khoản dùng nhằm Quản trị hệ thống Linux chạy nessus bằng tiện ích nessus-addusr. Điều này chắc hẳn giúp chúng mình tạo ra những tài khoản chỉ có thể quét lỗi trên lớp mạng con mà mình quản lý.
# nessus-adduser
Addition of a new nessusd user
------------------------------
Login : secureprof
Authentication (pass/cert) [pass] : pass
Password : uncrackable
Như vậy ta đã hoàn thành các bước setup cho server nessus, nào cùng khởi động bằng lệnh nessusd &, sau đó chạy trình khách nessus thông qua dòng lệnh nessus ở bất kỳ terminal nào và cấu hình các tham số cần thiết cho quá trình quét lỗi.
- Lưu ý: server nessus cần được cấu hình trên những Quản trị hệ thống Linux Linux-like, nhưng chương trình giao tiếp (nessus client) có thể cài trên những hệ thống Windows OS hoặc Linux.
Đầu tiên chúng ta cần log-in vào máy chủ nessus thông qua trang đang nhập với tài khoản đã tạo ra. Tiếp theo là chọn những plug-in để tiến hành quét lỗi, càng khá nhiều plug-in được chọn thì kết quả thu được có tác dụng tốt hơn tuy nhiên thời gian cũng sẽ lâu hơn, hãy cùng click chuột vào ô check-box bên phải để chọn những plug-in mình muốn:
Cuối cùng là nhập địa chỉ các máy cần kiểm tra lổi trong trang Target selection rồi lưu lại với tùy chọn Save this section, nhấn phím Start the scan cho phép nessus bắt đầu vận động:
Tùy vào số lượng máy được quét và số plug-in bạn chọn mà thời gian tiến hành lâu nên mau. Kết quả thu được có tác dụng được mô tả như khung sau:
Dựa trên kết quả thu được chúng ta có thể xác định các điểm nhạy cảm cũng như nhiều lổ hổng mà các hacker có thể lợi dụng mục đích tấn công hệ thống, ví dụ có một máy chủ Windows OS bị lỗi bảo mật Rpc dcom có cơ hội cho các hacker chiếm quyền điều khiển từ xa hoặc nhiều cổng TCP 139 đang mở trên phần lớn các máy của nhân viên phòng Kinh Doanh có cơ hội bị tấn công bằng cơ chế brute force… Và đương nhiên là các bạn hay vá chúng lại càng sớm càng tốt thông qua website của nhà cung cấp hoặc đặt password theo cơ chế phức tạp để ngăn ngừa những phương pháp đoán password như brute force, yêu cầu khách hàng thay đổi password sau một thời gian sử dụng...
Cho phép Quan tri he thong Linux phòng chống những kiểu tấn công này thì các bạn cần kịp thời thông tin những bản vá hệ thống khi chúng được công bố, hoặc trên những mạng và hệ thống trải nghiệm Windwos 2000 về sau chúng ta có khả năng nâng cấp những bản vá từ trang web Microsoft Update hoặc cài đặt WSUS server cho phép thông tin cho các máy cùng lúc mỗi khi có những lổ hổng hệ thống mới được công bố. Đăng kí nhiều bản tin cảnh báo từ những trang web của các nhà cung cấp giải pháp bảo mật (ví dụ như www.eeye.com) nhằm có cơ hội đưa ra các giải pháp một cách kịp thời. Bên cạnh đó ta hay liên tục giám sát nhiều hệ thống máy chủ quan trọng, setup các chương trình diệt Virus và Trojan (đối với nhiều hệ thống Windows OS chúng ta nên cài Microsoft Anti Spyware, chương trình này cho kết quả rất tốt khi chạy), dựng hệ thống dò tìm và phát hiện xâm nhập như Snort IDS, GFI Server Monitor hoặc là áp dụng kế nghi binh “Vườn Không Nhà Trống” cho phép đánh lừa và dẫn dụ các hacker tấn công vào những máy chủ ảo có tạo ra thông qua những HoneyPot Server.
Đăng nhận xét