Upload
duy-nguyenduc
View
218
Download
0
Embed Size (px)
Citation preview
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 1/22
I. Cài đặt Apache trên Linux
Apache hay là chương trình máy chủ HTTP là một chương trình dành cho
máy chủ đối thoại qa giao th!c HTTP"
1 Cài đặt Apache 2 trên CentOs 6.7
#ài đ$t Apache % ta &' d(ng l)nh như &a*
#yum install httpd
+et đ, d-ch .( t/ 0h1i động c2ng h) thống*
chkconfig --levels 235 httpd on
3h1i động d-ch .(*
/etc/init.d/httpd start
4ào trình dy)t g5 .ào* http://192.168.1.2 67t hi)n như hình 89n
dư:i*
;ư<ng d=n m$c đ-nh ch!a +orce tại* /var/www/html> .à ?ile c7 hình đư@c
lư tại /etc/httpd/conf/httpd.conf . 4à các ?ile ch!a các c7 hình
m1 rộng đư@c lư tại* /etc/httpd/conf.d/ .
2 Cài đặt tường la !"#$securit% &ersi"n 2.'.1
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 2/22
2.1 (rư)c *hi cài đặt
Cài đặt c+c g,i c-n thit trư)c *hi cài đặt /"#securit%yum install gcc c++ libxml2 libxml2-devel httpd-
devel pcre-devel curl-develyum install lib-devel
yum install glibc-static
yum install lib!
yum install expat-devel
(0i &à cài đặt /"#securit%#cd /usr/src
#"get
https//""".modsecurity.org/tarball/2.$.%/modsecu
rity-2.$.%.tar.g
#gunip modsecurity-2.$.%.tar.g
#tar -xvf modsecurity-2.$.%.tar
#cd modsecurity-2.&.%
#./configure
#make
#make install
Cu hnh c3 40n ch" /"#securit%
#opy ?ile c7 hình cho od&ecrity
#cp modsecurity.conf-recommended
/etc/httpd/conf.d/modsecurity.conf
#cp unicode.mapping
/etc/httpd/conf.d/unicode.mapping
(5ch hp !"#securit% &à" apache
Th9m dBng &a .ào ?ile httpd"con? LoadModule security2_module modules/mod_security2.so Bỏ dấu # ở dòng LoadModule unique_id_module modules/mod_unique_id.so
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 3/22
h8i đ9ng l:i apache#service httpd restart
Cile c7 hình của modD&ecrity nEm 1 .- trF GetcGhttpdGcon?"d
II. h0" s+t h; th<ng
H) thống gm cI*
Jáy chủ Ke8* ApacheLđ-a chM NP* O%"OQR"O"%S"
JTư<ng l'a* modD&ecrityLđ-a chM NP*O%"OQR"O"%S
J42ng mạng an* ;-a chM OUV"OV"OQV"VG%W
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 4/22
X hình 0hYo &át h) thống máy chủ Ze8 h[c .i)n 3\ th]t ]t ^III. =h>n t5ch h; th<ng
?.1.@+c đnh c+c tài s0n trên !:ng
• #ác thi_t 8- ph`n c!ng như &Zitch> roter> dy cáp> các máy chủ Ze8>
máy trạm> hạ t`ng mạng nIi chng"• #ác ph`n mbm> các t)p tin> d li) &inh .i9n> giYng .i9n trong h[c
.i)n"
?.2. @+c đnh c+c rBi r"
• #ác t7n cXng .ào 0h ./c 0hi mà các .2ng đI chạy d-ch .(
Ze8"• #ác t7n cXng t:i ngư<i d2ng L+ocial engineeringS trong mạng"• T7n cXng .ào mạng Af của H[c .i)n"•
T7n cXng nghe trộm tr9n đư<ng trybn"• T7n cXng .ào t chối d-ch .( .ào h) thống máy chủ Ke8"• T7n cXng 8Eng m^ độc .ào h) thống mạng thXng qa ngư<i dng ho$c
các phương ti)n 0hác• ạng chưa cI h) thống d/ phBng> h) thống cn 8Eng tYi> .."" do .]y
tFnh &n &àng của h) thống cBn nhib đi,m hạn ch_"• 6m nh]p .]t l t:i các thi_t 8- c( th, của h) thống>• Thi9n tai> lj l(t ..""• 4.k
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 5/22
?.?.@+c đnh c+c %êu c-u
#ng c7p d-ch .( try c]p Ze8 cho giYng .i9n> nhn .i9n của h[c .i)nli9n t(c"
Ti_n hành phn loại> gán nh^n .à &' d(ng các th]t toán m^ hIa đ, 8Yo
m]t các ?ile đư@c trao đi trong .à ngoài h) thống"
+' d(ng ?ireZall đ, th/c thi các chFnh &ách đYm 8Yo an toàn chng cho h)
thống cjng như Ze8 &er.er"
an hành các chFnh &ách try c]p> chFnh &ách qy đ-nh trách nhi)m> t:i
các nhn .i9n> &inh .i9n> qYn tr- trong h) thống h[c .i)n"
6y d/ng các chFnh &ách đYm 8Yo an toàn cho máy chủ Ze8"
;ưa ra một &ố ngy9n tc nhEm chống lại các t7n cXng Ze8 &er.er"
I. Cu trDc ch5nh s+ch an t"àn ch" h; th<ngI.1. Ch5nh s+ch là gE
#hFnh &ách an toàn trong mXi trư<ng th/c là t]p h@p các l]t> qy đ-nh .à
th/c tin đib chMnh .i)c t ch!c qYn l> 8Yo .) .à phn phối tài ngy9n ra
&ao đ, đạt đư@c nhng m(c ti9 an toàn của mình"
F.2. Cu trDc ch5nh s+ch an t"àn
4.2.1. Mục đích.
;ưa ra các qy đ-nh ph2 h@p .:i th/c tin của h) thống gip Fch cho .i)c
t ch!c> qYn l nhn &/ hay tài ngy9n trong h) thống> gip cho h) thống
đư@c an toàn
4.2.2. Phạm vi
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 6/22
#hFnh &ách an toàn cI th, áp d(ng cho tng đối tư@ng hay cho t7t cY cán
8ộ cXng nhn .i9n trong h[c .i)n 3T> ho$c nhng ngư<i*
#h- trách nhi)m g'i d li) nhạy cYm hay cá nhn ra mXi trư<ng
ngoài"
fh]n d li) nhạy cYm hay cá nhn t mXi trư<ng 89n ngoài .ào trong
h) thống"
4.2.3. Nội dung của chính sách
#hFnh &ách an toàn tr9n cI nội dng là gì Trong nội dng của chFnh &ách
chM r5 nhng gì c`n làm> 0hXng c`n làm đ, đYm 8Yo an toàn cho h) thống
máy chủ mail" fgoài ra> nội dng của chFnh &ách cBn là tng qan .b qy
đ-nh> đib l]t phYi th/c hi)n trong h) thống"
#ác chFnh &ách an toàn cI th, là*
J #hFnh &ách try c]p"
J #hFnh &ách qy đ-nh trách nhi)m
J #hFnh &ách sác th/c> 8Yo m]t>"""""
.@>% #Gng ch5nh s+ch an t"àn ch" h; th<ng !+% chB Apache
H.1.@>% #Gng ch5nh s+ch ch" !+% chB Apache
5.1.1.Chính sách bả v! v"# $%
(c đFch*
J Yo .) h) thống 0hi nhng hi,m h[a .]t l"
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 7/22
J Yo .) d li) của 8ạn 0hi nhng 0u sm nh]p
J ;Ym 8Yo mXi trư<ng .]n hành an toàn cho các thi_t 8- ph`n c!ng
Phạm .i* vp d(ng cho toàn h) thống
fội dng*
w #hFnh &ách &' d(ng .xn phBng nơi đ$t máy chủ c2ng các thi_t 8-*
4xn phBng cI h) thống 8áo động"
+' d(ng 0hIa c'a 0_t h@p 0i,m tra đa nhn tố"
4xn phBng cI h) thống chống cháy>ht m> thXng giI>đư<ng mạng chạy
ng`m dư:i nbn nhà> h) thống cYnh 8áo cháy n"
w #hFnh &ách qy đ-nh nhng nơi trong .xn phBng chM dành cho nhng
ngư<i cI thm qybn ra .ào"
w Yn 0i,m 09 tài &Yn> 8ao gm &ố &eri &Yn phm .à các mX tY .]t l"
w Phương án ti9 hủy gi7y loại ch!a thXng tin nhạy cYm"
w #ác phương án 0hn c7p *
o fgư<i tr/c ti_p qYn l h) thống phYi đư@c thXng 8áo 0hi phát hi)n
h) thống 8- rB rM tin nhạy cYm ho$c 1 0hXng đng chz"
o #`n li9n h) ngư<i qYn l trong trư<ng h@p cI cháy> ng]p l(t ho$c
các tai h[a thi9n nhi9n 0hác sYy ra
o #ách th!c &'a cha 0hn c7p một loại 0hIa
o #ách th!c đ, cI th, li9n lạc .:i các cXng ty> t ch!c cng c7p d-ch
.( như đi)n> nư:c .à Nnternet
w #ách 0hXi ph(c thXng tin t h) thống lư tr ngoại ty_n"
5.1.2.Chính sách m"# &h'u mạnh
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 8/22
(c đFch* fhng 0{ h1 t Accont cI th, tạo cơ hội cho attac0er*
w Pa&&Zord qá y_ Lđộ dài pa&&Zord qá ngn> các 0F t/ đơn giYn>
l7y ngày tháng nxm &inh> t9n nhng 8ộ phim> đ-a danh> nhn .]t ni ti_ng >
đ$t cho pa&&ZordS"
w 2ng c2ng pa&&Zord cho nhib accont" pa&&Zord đư@c dán 8a
8^i l9n onitorG3ey8oard> ho$c lư pa&&Zord .ào một test ?ile 0hXng 8Yo
.)"
w #hia &{ pa&&Zord h) thống của mình cho 8ạn đng nghi)pk
Phạm .i*tài 0hoYn của h[c .i9n> nhn .i9n trong h[c .i)n"
fội dng* Th/c hi)n tr9n máy chủ Ke8"
• #hFnh &ách tạo pa&&Zord &ao cho an toàn th/c &ư là một trong nhng y_
tố chFnh đ, 8Yo .) tài 0hoYn" #hFnh &ách này 8ao gm các y_ tố chFnh
như &a*
• Th<i gian tối đa &' d(ng pa&&Zord Lmasimm pa&&Zord ageS* Hạn &'
d(ng tối đa của pa&&Zord trư:c 0hi &er phYi thay đi pa&&Zord" Thay đi
pa&&Zord theo đ-nh 0ì &{ gip txng cư<ng an toàn cho tài 0hoYn
• Th<i gian tối thi, pa&&Zord phYi đư@c &' d(ng trư:c 0hi cI th, thay đi
Lminimm pa&&Zord ageS" Admin cI th, thi_t l]p th<igian này 0hoYng .ài
ngày> trư:c 0hi cho ph|p &er thay đi pa&&Zord của h["
• Th/c thi pa&&Zord hi&tory* +ố l`n các pa&&Zord 0hác 8i)t nha phYi &'
d(ng qa> trư:c 0hi qay lại d2ng pa&&Zord cj" +ố Pa&&Zord hi&tory càng
cao thì độ an toàn càng l:n"
• #hib dài pa&&Zord tối thi, Lminimm pa&&Zord lengthS c`n phYi đ$t"
#àng dài càng an toàn
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 9/22
• Pa&&Zord phYi đạt y9 c` ph!c h@p* 0hXng chM .b độ dài mà cBn .b độ
ph!c h@p của các 0F t/ đ$t pa&&Zord L.F d( 8ạn cI th, th7y &/ 0hác 8i)t
gia password .à !ss"rd$
• 3hi d2ng pa&&Zord ph!c h@p c`n qan tm*
• 3hXng &' d(ng h[ .à t9n
• #h!a Ft nh7t Q 0F t/
•
#I th, đan sen ch hoa>LA""S thư<ng La""}S> .à các 0F t/ đ$c 8i)t như* JKMNPQR
Accont loc0ot* +{ 8- 0hIa tài 0hoYn QVV& n_ như &a ~ l`n logJon
0hXng thành cXng .ào h) thống" (c đFch của chFnh &ách này nhEm ngxn
ch$n các cộc t7n cXng dạng 8rte ?orce .ào accont đ, dB pa&&Zord"
5.1.3.Chính sách gi(i hạn đ)a ch*.
(c đFch* qy_t đ-nh máy tFnh cI đ-a chM NP đI cI đư@c ph|p &' d(ng d-ch
.( hay 0hXng"
Phạm .i*#ho t7t cY tài 0hoYn tr9n h) thống
fội dng*Th/c hi)n tr9n ?ireZall
odle modDacce&& của Apache cI 0hY nxng sác đ-nh đư@c đ-a chM NP của
máy trạm cI y9 c` &' d(ng d-ch .( Ze8> d/a tr9n đI nI áp d(ng các
chFnh &ách mà ngư<i qYn tr- đ^ 0hai 8áo đ, qy_t đ-nh máy tFnh cI đ-a
chM NP đI cI đư@c ph|p &' d(ng d-ch .( hay 0hXng"
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 10/22
4i)c 0hai 8áo các chFnh &ách đư@c th/c hi)n trong ?ile
GetcGhttpdGcon?Ghttpd"con?" # pháp 0hai 8áo các chFnh &ách acce&& như
&a*
AlloZ ?rom ho&tJorJnetZor0 •* #ho ph|p ho&t ho$c một giYi NP try c]p
eny ?rom ho&tJorJnetZor0 * #7m ho&t ho$c một giYi NP try c]p
Trong đI ho&tJorJnetZor0 cI th, là*
T9n ho&t ho$c t9n domain* http*GGact.n"ed".n
ột đ-a chM NP cI .7n đb* OV"V"U%"€
ột đ-a chM mạng ho$c &8net* OV"V"V"VG%~~"V"V"V
5.1.4.Chính sách +h,n -u/n.
(c đFch* Accont cho một &er &{ sác đ-nh nhng hành động mà &er đI
cI th, th/c hi)n"
4i)c phn loại accont &{ chM ra nhng c7p độ 8Yo .) thFch h@p 0hác nha"
Phạm .i*#ho t7t cY các tài 0hoYn trong h) thống"
fội dng*Th/c hi)n tr9n máy chủ Apache
#ác accont tr9n h) thống &{ nh]n đư@c % loại qybn cơ 8Yn*
w &er right& L‚ybn h) thốngS* à loại đ$c qybn mà &er đư@c h)
thống cho ph|p th/c thi nhng hành động đ$c 8i)t L.F d(* ‚ybn ac0p
Cile& 4à Colder&> thay đi th<i gian h) thống> &htdoZn h) thốngkS "type
command &ecpol"m&c tại ƒf> đ, open ocal +ecrity +etting&„ local policie&„
&er right& a&&ignment là nơi sác l]p các &er right& của h) thống
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 11/22
w Permi&&ion& L‚ybn try c]pS* ;ư@c 0i,m &oát 81i A#&
Li&cretionary acce&& control li&t&S của h) thống> đư@c ph|p try c]p .ào các
CileGColder hay Acti.e irectory o8…ect& Ltrong omainS L.F d( &er A đư@c
qybn ƒeadGodi?y đối .:i Colder #*„ata> &er đư@c Cll #ontrol đối .:i
† &ine&&""S
;ối .:i nhn .i9n qYn l h) thống*
ngư<i qYn l cao nh7t &{ nh]n t7t cY qybn đối .:i h) thống"
nhn .i9n qYn l 0hác*&{ nh]n đư@c t7t cY qybn permi&&ion&
;ối .:i các nhn .i9n 0hác> h[c .i9n &{ chM đư@c c7p qybn try c]p> read>
Zrite"
5.1.5.Chính sách 0ing #
(c đFch* đYm 8Yo tFnh 8F m]t thXng tin cá nhn
Phạm .i* #ho t7t cY các tài 0hoYn trong h) thống"
fội dng* T7t cY thXng tin cá nhn của ngư<i d2ng đb đư@c n" #hM hi,n th- t9n
đxng nh]p"
%.&.'.()*n) s+c) ,+c t)-c
(c đFch* ‡9 c` sác th/c trư:c 0hi cho ph|p try c]p .ào Ze8&er.er"
Phạm .i* #ho t7t cY các tài 0hoYn trong h) thống"
fội dng* Th/c hi)n tr9n ?ireZall
#ác thXng tin .b t9n tài 0hoYn .à m]t 0h đư@c tạo 8Eng chương trình
htpa&&Zd" #ác thXng tin này &{ đư@c lư .ào một ?ile test .:i tr<ng m]t
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 12/22
0h đ^ đư@c m^ hoá .à 0hi c`n sác th/c ngư<i d2ng Apache &{ giYi m^
m]t 0h mà ngư<i d2ng cng c7p &a đI mang &o &ánh .:i m]t 0h lư
tr" # pháp của c l)nh htpa&&Zd như &a*
htpass"d 'options( p"file username 'pass"ord(
#ác option& 8ao gm*
m* #h[n th]t toán m^ hoá m]t 0h là ~"
d* 2ng th]t toán m^ hoá của h) thống đ, m^ hIa m]t 0h"
&* ^ hIa m]t 0h theo th]t toán +HA"
8* fh]p m]t 0h tr/c ti_p .ào dBng l)nh"
c* $c đ-nh htpa&&Zd hi, rEng ?ile ch!a tài 0hoYn .à m]t 0h LpZ?ileS
đ^ tn tại" 4ì .]y đ, tạo một ?ile m:i 8ạn phYi &' d(ng tˆ ch[n Jc"
#ác tham &ố 0hác của l)nh
pZ?ile* à t9n ?ile lư tr t9n tài 0hoYn .à m]t 0h"
&ername* T9n tài 0hoYn c`n tạo"
pa&&Zord* ]t 0h của tài 0hoYn tương !ng LchM &' d(ng 0hi cI option là
J8S"
* $c đ-nh d-ch .( Ke8 &{ &' d(ng accont Apache đ, 0h1i động cjng
như sác đ-nh các qybn hạn đ[cGghi cho các ?ile .à thư m(c tr9n h) thống"
4ì .]y> tài 0hoYn này phYi cI qybn đ[c ?ile GetcGhttpdGcon?Gpa&&Zd đ,
8i_t đư@c m]t 0h ngư<i &' d(ng .à tài 0hoYn tương !ng" ;, làm .i)c
này 8ạn cI th, d2ng một trong hai l)nh &a*
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 13/22
# chmod ugo+r /etc/httpd/conf/pass"d
ho$c
# cho"n apache /etc/httpd/conf/pass"d
#jng giống như .i)c 0hai 8áo chFnh &ách cho đ-a chM NP> &a 0hi 0hai 8áo
lại ?ile c7 hình cho các thu Athfame> AthType> Ath&erCile .à
ƒeqire Apache> httpd y9 c` phYi đư@c 0h1i động lại đ, sác nh]n &/
thay đi này"
Thu Ath&erCile chM cho ph|p sác đ-nh tng ngư<i d2ng" 3hi mốn sác
đ-nh cho một nhIm ngư<i d2ng 8ạn phYi d2ng thu Ath‰ropCile> c
pháp của thu này là Ath‰ropCile Cilepath trong đI Cilepath là đư<ng
d=n t:i ?ile test ch!a t9n nhIm .à ngư<i d2ng" zi dBng của ?ile này 8ao
gm t9n nhIm> d7 phn cách hai ch7m L*S .à ngư<i &' d(ng trong nhIm
đI"
5.1..Chính sách bả m"#
(c đFch*8Yo .) h) thống 0hi nhng hi,m h[a 89n ngoài
Phạm .i*tr9n toàn h) thống
fội dng*th/c hi)n tr9n ?ireZall
H.1.S @>% #Gng ch5nh s+ch trên /"#securit% ch<ng l:i !9t s< tn cTng
UVL InWecti"n#ác t 0hIa chFnh thư<ng &' d(ng trong t7n cXng +‚ Nn…ection .à
các reglar espre&&ion& tương !ngfN†f +ŠŠ#T nion„&&electfN†f A +ŠŠ#T nion„&all„&&electNfT† †TCNŠ into„&ot?ile
ƒ†P TAŠ drop„&ta8leATŠƒ TAŠ alter„&ta8le
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 14/22
†ADCNŠ loadD?ile+ŠŠ#T ‹ &elect„&‹„& * đư@c đ-nh nghŒa trong P#ƒŠ là một reglar espre&&ion cho
ph|p phát hi)n m[i 0hoYng trng .à cY các m^ thay th_ L%VS
;, chống lại t7n cXng +‚ Nn…ection> ta d/a .ào các đ$c đi,m tr9n
t đI đưa ra rle &a*ecule 01 union3s4select t5lowercase6deny6msg578L 9n:ection7 ecule 01 union3s4all3s4select t5lowercase6deny6msg578L
9n:ection7 ecule 01 into3s4out;ile t5lowercase6deny6msg578L 9n:ection7 ecule 01 drop3s4ta<le t5lowercase6deny6msg578L 9n:ection7 ecule 01 alter3s4ta<le t5lowercase6deny6msg578L 9n:ection7 ecule 01 load_;ile t5lowercase6deny6msg578L 9n:ection7 ecule 01 select3s4= t5lowercase6deny6msg578L 9n:ection7
@UU Attac* ;b ngxn ch$n t7n cXng 6++> chng ta phYi đYm 8Yo t7t cY d li) mà
ngư<i d2ng g1i l9n đb đư@c cYn l[c" #( th,> chng ta cI th, thay th_
ho$c loại 8 các 0 t/> các chzi thư<ng đư@c d2ng trong t7n cXng 6++
như đ7 ngo$c gIc LŽ .à S> &cript"""
ư:i đy là danh &ách các 0 t/ n9n m^ hoá 0hi đư@c client cng c7p đ,
lư .ào cơ &1 d li)"
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 15/22
f_ chng ta mốn ngxn ch$n t7n cXng .:i od+ecrity> dư:i đy là các đoạn
&cript 6++ ph 8i_n .à các 8i, th!c chFnh qy đ, ngxn ch$n ngư<i d2ng
reqe&t ch!a các chzi này"
ecule 01 alert3s4=3> t5lowercase6deny6msg57?7
ecule 01 @3A.43 t5lowercase6deny6msg57?7
ecule 01 C.4D t5lowercase6deny6msg57?7
ecule 01 :aEascript5 t5lowercase6deny6msg57?7
ecule 01 E<script5 t5lowercase6deny6msg57?7
Xe4site #eYace!entecule FMGHF_0II .=
p)ase5J6deny6c)ain6t5md%6t5)e,Fncode6e,ec5/usr/<in/emailadmin.s) ecule FGKF_BGI !contains NAM0H(OFI_P0
Zrute Y"rce attac*s# # BlocQ ;urt)er login attempts a;ter R ;ailed attempts# CLocationMatc) S/loginD# 9nitaliTe 9 collection wit) user7s 9 address
ec0ction initcol5ipUNAFMGHF_0II6pass6nolog # Ietect ;ailed login attempts
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 16/22
ecule FGKF_BGI Vsername does not e,ist p)ase5J6pass6setEar5ip.;ailed_loginsU4&6e,pireEar5ip.;ailed_loginsU' # BlocQ su<sequent login attemptsecule 95W09LFI_LG19K !gt R deny
C/LocationD
# # H)rottle login attempts a;ter R ;ailed attempts# CLocationMatc) S/loginDec0ction initcol5ipUNAFMGHF_0II6pass6nolog ecule FGKF_BGI Vsername does not e,ist
p)ase5J6pass6setEar5ip.;ailed_loginsU4&6e,pireEar5ip.;ailed_loginsU& ecule 95W09LFI_LG19K !gt R p)ase5J6allow6pause5R C/LocationD
[irect"r% in#exing# # reEent directory listings ;rom accidentally <eing returned # ecule F8VFH_V9 /X p)ase5J6deny6c)ain6log6msg57Iirectory
inde, returned7 ecule FGKF_BGI C)&D9nde, o; /
[etecting the real I= a##ress "Y an attac*erecule 01 /etc/passwd pass6redirect5/log_ip.p)p /9t s< tn cTng *h+c
@Ylash ##"secule F8VFH_OF0IF_K0MF ,Y;las)YEersion deny
C"!!an# \xcuti"n an# Yile #iscl"sure
ecule 01_P0LVF S>unameZidZlsZcatZrmZQillZmail$
ecule 01 [>/)omeZ/EarZ/<ootZ/etcZ/<inZ/usrZ/tmp$\
](/L (ags
ecule 01 Capplet
ecule 01 CdiE
ecule 01 Cem<ed
ecule 01 Ci;rame
ecule 01 Cimg
ecule 01 Cmeta
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 17/22
ecule 01 Co<:ect
ecule 01 Cscript
ecule 01 Cte,tarea
Za# ̂ ser_Agent
ecule OHH_VF_01FKH
C>.Z3sZ3n$]>scriptZa<outZappletZactiEe,Zc)romeZo<:ect$>.Z3sZ3n$]
D.=C>.Z3sZ3n$]
>scriptZa<outZappletZactiEe,Zc)romeZo<:ect$
#O code in:ection attacQ
ecule OHH_VF_01FKH >C3]p)pZC^^5space5=3]^^5space5=p)p$
ecule OHH_VF_01FKH .=OHH_1FH_P0
ecule OHH_VF_01FKH Mosiac &3.=
ecule OHH_VF_01FKH Brutus/0FH
ecule OHH_VF_01FKH .="e<oot
#"e< leac)esecule OHH_VF_01FKH "e< Iownloader
ecule OHH_VF_01FKH "e<`9
ecule OHH_VF_01FKH "e<(opier
ecule OHH_VF_01FKH "e<ster
ecule OHH_VF_01FKH "e<`9
ecule OHH_VF_01FKH "e<tripper
ecule OHH_VF_01FKH teleport pro
ecule OHH_VF_01FKH com<ine
ecule OHH_VF_01FKH BlacQ Oole
ecule OHH_VF_01FKH itenagger
ecule OHH_VF_01FKH ro"e<"alQer
ecule OHH_VF_01FKH ()eeseBot
ecule OHH_VF_01FKH .=Kessus
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 18/22
ecule OHH_VF_01FKH .=KiQto
5.1.. Chính sách &im #0a đ)nh &6
(c đFch* 3-p th< phát hi)n các sm nh]p trái ph|p> lzi h) thống> các rủi ro0hXng đáng cI> 8Yo đYm h) thống .]n hành n đ-nh"
Phạm .i* các thi_t 8- ph`n c!ng> ph`n mbm của h) thống
fội dng*
Thư<ng sy9n 0i,m tra các hoạt động tr9n Ze8 &er.er một cách đ-nh 0ˆ theo
tng tháng
#ác ?ile d li9( đư@c 0i,m tra theo t`n"
áy chủ phYi đư@c đxng 0 trong h) thống qYn l của trư<ng> các thXng tin
c`n thi_t*
;-a chM &er.er> .- trF> thXng tin 8ac0p
ThXng tin ph`n c!ng> h) đib hành
#ác ch!c nxng chFnh> các !ng d(ng đư@c áp d(ng
ThXng tin trong h) thống phYi đư@c c]p nh]t thư<ng sy9n
Thay đi c7 hình phYi tn theo nhng y9 c` h@p l
5.1.17. Chính sách giám sá#
(c đFch*0i,m &oát các hoạt động tr9n h) thống
Phạm .i*toàn h) thống
fội dng*
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 19/22
#ác &/ 0i)n 8Yo m]t .b h) thống phYi đư@c đxng nh]p .à lư thXng tin
như &a*
‹ T7t cY các 8Yn ghi li9n qan đ_n an ninh &{ đư@c lư tr tr/c ty_n chotối thi, là O t`n"
‹ #ác 8Yn ghi hEng ngày phYi đư@c lư tr Ft nh7t O tháng
‹ #ác 8Yn ghi theo ngày trong t`n phYi đư@c lư tr Ft nh7t O tháng"
‹ #ác 8Yn ghi hàng tháng phYi đư@c lư tr tối thi, % nxm"
#ác &/ 0i)n 8Yo m]t &{ đư@c 8áo cáo cho ngư<i cI thm qybn đ, giYi
qy_t các &/ cố như*
‹ #ác t7n cXng q|t cng
‹ Eng ch!ng try c]p trái ph|p
‹ #I &/ s7t hi)n 87t thư<ng của !ng d(ng tr9n máy chủ
5.1.11. Chính sách -u đ)nh #0ách nhi!m
(c đFch* 6ác đ-nh r5 trách nhi)m của cá nhn 0hi .i phạm chFnh &ách h) thống
Phạm .i* T7t cY các tài 0hoYn trong h) thống
fội dng* #ác tài 0hoYn &pam h) thống &{ 8- 0hIa tài 0hoYn .Œnh .in"
#á nhn nào cố mốn sm nh]p> hủy hoại> đánh cp thXng tin nhạy cYm h)
thống &{ 8- try tố pháp l]t"
5.1.12. Chính sách d8 +h9ng.
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 20/22
(c đFch* ;Ym 8Yo h) thống hoạt động thXng &ốt> 0hXng 8- gián đoạn" ;b
phBng &/ cố sYy ra
Phạm .i*cho các thi_t 8- ph`n c!ng> ph`n mbm cho toàn h) thống"
fội dng* H) thống d/ phBng đ, chia &u tài ngy9n thXng tin .:i các h) thống
chFnh> chia &u tYi .à thay th_ h) thống chFnh 0hi c`n thi_t"
#ác ?ile d li) phYi đư@c m^ hIa> 8ac0 p"
H.2.(hGc thi !9t s< ch5nh s+ch `ua tường la
6y d/ng t]p l]t cho tư<ng l'a
fo fame+orce
Addre&&
+orce
Port
e&tination
Addre&&
e&tination
PortAction
O #h$n dYi ip OV"V"V"V Any O%"OQR"O"% Any eny
%Accept Nnternet to
Ke8+er.er Any Any OV"OV"V"€ WW€GRV AlloZ
€ eny Af to OUV"OV"OQV"VG%W Any O%"OQR"O"% any deny
WAccept Af to
NnternetO%"OQR"O"VG%W Any Any Any AlloZ
~ #leanp ƒle Any Any Any Any eny
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 21/22
PH‘ ‘#
O #ài đ$t chFnh &ách m]t 0h tr9n #ent†& Q"U
Thi_t l]p cI tại* GetcGlogin"de?&
PASS_MAX_DAYS – Số ngày tối đa mật khẩu được phép hot đ!ng
PASS_M"#_DAYS – Số ngày tối thi$u cho phép thay đ%i mật khẩu
PASS_M"#_&'# – (! )ài ng*n nh+t cho phép c,a mật khẩu
PASS_-A.#_A/' – Số ngày c0nh 12o t3ư4c khi mật khẩu h5t hn
Yêu cầu mật khẩu thỏa mãn điều kiện:
6hi5t 7ập t3ong pam8) 94i thư 9i:n pam_c3ack7i18;o8 password required pam_cracklib.so difok=DI lcredit=L ucredit=U
dcredit=D ocredit=O
<4i D"=&=>=D=?@B 9à
)c3C)itD Số 7ượng chE ;ố8
uc3C)it> Số 7ượng chE c2i in hoa
7c3C)it& Số 7ượng chE c2i thưFng8
oc3C)it? Số 7ượng c2c kG tH đIc 1i:t kh2c
)iJokD" ;ố 7ượng c2c kG tH c,a pa;;K) m4i được phép t3Lng 94i pa;;K) c
Chiều dài của mật khẩu hợp lệ
password requisite pam_cracklib.so minlen=N
<4i # N 7à chiOu )ài c,a pa;;Ko3) hợp 7:8
hQng cho phép ;R )ng 7i c2c mật khẩu c
6a ;R )ng thư 9i:n pam_uniT8;o8
pa&&Zord &??icient pamDnis"&o &eDathto0 &hadoZ remem8er’f
4:i f là &ố lư@ng pa&&Zord đ^ đ$t trư:c đI 0hXng đư@c tr2ng .:i pa&&Zord mà
ngư<i d2ng đang cố gEng thi_t l]p
i)i h:n s< l-n đưc phbp đng nhdp tht 4:i
6hi5t 7ập chUnh ;2ch này t3ong pam8) 94i thư 9i:n pam_tally.!8
uth required pam_tally.so onerr=fail deny=N<4i # 7à ;ố 7Vn được phép đWng nhập th+t 1i8
8/16/2019 Báo Cáo Pttkht-bo Xung
http://slidepdf.com/reader/full/bao-cao-pttkht-bo-xung 22/22
"hi#t lập th$i %ian m& kh'a t( đ)n% mà kh*n% cần ph+i c' ( can thiệp của
up,-u,-
auth required pam_tally.so onerr=fail deny=N unlock_time=
<4i M 7à thFi gian m kha tH đ!ng= # 7à ;ố 7Vn đWng nhập th+t 1i được phép8