Tải bản đầy đủ
CHƯƠNG IV: BẢO MẬT TRÊN LINUX

CHƯƠNG IV: BẢO MẬT TRÊN LINUX

Tải bản đầy đủ

Dịch vụ

Giới thiệu

NFS (Network File System) và các NFS là dịch vụ UNIX chuẩn để chia sẻ
dịch vụ liên quan: nfsd, lockd, các file thông qua mạng. Chỉ nên được
mountd, statd, portmapper...
sử dụng để chia sẻ các file thông qua
mạng LAN, không nên qua Internet.
Không nên bật hệ thống NFS trên hệ
thống độc lập.
r* services: rsh, rlogin, rexec, rcp… Sẽ được liệt kê trong các đầu ra netstat
mà không cần r (rlogin sẽ được liệt kê
là login). Nếu cần thiết, sử dụng ssh
thay thế.
Máy chủ telnet

Sử dụng sshd thay thế.

Máy chủ ftp

Chỉ sử dụng với các máy chủ ftp
chuyên dụng có thể được kiểm tra và
bảo mật. Đối với các file trao đổi khác,
sử dụng scp hoặc http.

BIND (named), gói DNS Server

Dịch vụ này được yêu cầu cho các
hoạt động hệ thống như là tên các máy
chủ cho miền. Chúng nên được hạn
chế hay đặt trong tường lửa khi sử
dụng qua Internet.

Nhân tố chuyển thư: sendmail, Những dịch vụ này là không cần thiết
exim, postfix, qmail
cho các máy tính độc lập mà sẽ sử
dụng một dịch vụ ISP’s POP nhận trực
tiếp thư từ các máy chủ Internet trên
mạng LAN, chỉ cho phép các dịch vụ
này sau tường lửa, truy nhập các chính
sách đúng chỗ.
Bảng : Các dịch vụ tiêu biểu không nên cho phép hoạt động trên Internet
Ghi chú trong bảng thật sự là rlogin, rsh và cần phải được ngắt. Chẳng
hạn, netstat thông báo rằng các dịch vụ login và shell đang chạy. Telnet và ftp

được liệt kê như những máy chủ chấp nhận các kết nối đầu vào tới máy. Bởi vì
đây là một hệ thống tách rời, cần phải tắt các dịch vụ này. Luôn luôn sử dụng
máy khách ftp hay telnet khi cần tải file xuống hay telnet qua Internet. Lệnh
netstat cũng thông báo rằng máy chủ http đang chạy, được yêu cầu bởi một số
phân phối truy nhập tài liệu trực tuyến. Nếu định giữ các dịch vụ này chạy thì sẽ
cần phải kiểm tra rằng xem có thể tiếp cận từ bên ngoài hệ thống được hay
không. Một máy chủ in cũng đang hoạt động. Máy chủ in có thể giữ cổng mở
nếu việc in ấn được thực hiện qua mạng. Một khi máy in được nối vật lý tới
máy, sẽ an toàn khi hoạt động. Cũng sẽ cần giữ hệ thống cửa sổ trong suốt mạng
mà tập hợp và phân phối người dùng được nhập vào các chương trình máy
khách. Nếu hệ thống được sử dụng như người dùng chuyên dụng, thì sẽ không
cần thiết nên tắt nó đi.
4.1.3. Tắt các dịch vụ không cần thiết
Một khi đó quyết định những dịch vụ nào
không cần thiết, có thể bắt đầu tắt chúng đi. Người dùng đăng nhập có khả năng
ngắt một dịch vụ bằng cách nhập tên đường dẫn tới mã dịch vụ theo tùy chọn
Stop. Chẳng hạn, để tắt nfs, nhập:
#/etc/init.d/nfsstop
Chú ý phiên bản Red Hat của Linux có thể sử dụng đường dẫn:
/etc/rc.d/init.d. Mặc dù đó tắt một dịch vụ, nhưng có thể nó không được tắt ngay
lập tức. Chẳng hạn, một dịch vụ có thể được cho phép khởi động lại hệ thống.
Vì thế để chắc chắn hãy chạy netstat sau lần khởi động lại và sau mỗi lần nâng
cấp hệ thống hay cài đặt mới.
4.2. An toàn cho các giao dịch trên mạng

Có rất nhiều dịch vụ mạng truyền thống giao tiếp thông qua giao thức
văn bản không mã hoá, như TELNET, FTP, RLOGIN, HTTP, POP3. Trong các
giao dịch giữa người dùng với máy chủ, tất cả các thông tin dạng gói được
truyền qua mạng dưới hình thức văn bản không được mã hoá. Các gói tin này
có thể dễ dàng bị chặn và sao chép ở một điểm nào đó trên đường đi. Việc giải
mã các gói tin này rất dễ dàng, cho phép lấy được các thông tin như tên người
dùng, mật khẩu và các thông tin quan trọng khác. Việc sử dụng các giao dịch
mạng được mã hoá khiến cho việc giải mã thông tin trở nên khó hơn và giúp
giữ an toàn các thông tin quan trọng. Các kỹ thuật thông dụng hiện nay là
IPSec, SSL, TLS, SASL và PKI.
Quản trị từ xa là một tính năng hấp dẫn của các hệ thống UNIX. Người

quản trị mạng có thể dễ dàng truy nhập vào hệ thống từ bất kỳ nơi nào trên
mạng thông qua các giao thức thông dụng như telnet, rlogin.
4.3. Nguyên tắc bảo vệ hệ thống mạng

4.3.1. Hoạch định hệ thống bảo vệ mạng
Trong môi trường mạng, phải có sự đảm bảo rằng những dữ liệu có
tính bí mật phải được cất giữ riêng, sao cho chỉ có người có thẩm quyền mới
được phép truy cập chúng. Bảo mật thông tin là việc làm quan trọng, và việc
bảo vệ hoạt động mạng cũng có tầm quan trọng không kém.
Bốn hiểm họa chính đối với sự an ninh của mạng là:
- Truy nhập mạng bất hợp pháp
- Sự can thiệp bằng phương tiện điện tử
- Kẻ trộm
- Tai họa vô tình hoặc có chủ ý
* Mức độ bảo mật: tuỳ thuộc vào dạng môi trường trong đó
mạng đang hoạt động
* Chính sách bảo mật: hệ thống mạng đòi hỏi một tập hợp nguyên
tắc, điều luật và chính sách nhằm loại trừ mọi rủi ro. Giúp hướng dẫn vược
qua các thay đổi và những tình huống không dự kiến trong quá trình phát
triển mạng.
Sự đề phòng: đề phòng những truy cập bất hợp pháp
Sự chứng thực: trước khi truy nhập mạng, ghi đúng tên đăng nhập và
password hợp lệ.
* Đào tạo: người dùng mạng được đào tạo chu đáo sẽ có ít khả
năng vô ý phá huỷ một tài nguyên.
* An toàn cho thiết bị: tuỳ thuộc ở quy mô công ty, độ bí mật dữ liệu, các
tài nguyên khả dụng. Trong môi trường mạng ngang hàng, có thể không có
chính sách bảo vệ phần cứng có tổ chức nào. Người dùng chịu trách nhiệm
đảm bảo an toàn cho máy tính và dữ liệu của riêng người đó.

4.3.2. Mô hình bảo mật
Hai mô hình bảo mật khác nhau đó phát triển, giúp bảo vệ an toàn dữ
liệu và tài nguyên phần cứng:
* Bảo vệ tài nguyên dùng chung bằng mật mã: gắn mật mã cho từng tài
nguyên dùng chung.
* Truy cập khi được sự cho phép: là chỉ định một số quyền nhất
định trên cơ sở người dùng, kiểm tra truy nhập tài nguyên dùng chung căn cứ
vào

CSDL user-access trên máy server.
4.3.3. Nâng cao mức độ bảo mật

* Kiểm toán: Theo dõi hoạt động trên mạnh thông qua tài khoản người
dùng, ghi lại nhiều dạng biến cố chọn lọc vào sổ nhật ký bảo mật của máy
server. Giúp nhận biết các hoạt động bất hợp lệ hoặc không chủ định. Cung cấp
các thông tin về cách dùng trong tình huống có phòng ban nào đó thu phí sử
dụng một số tài nguyên nhất định, và cần quyết định phí của những tài nguyên
này theo cách thức nào đó.
* Máy tính không đĩa: không có ổ đĩa cứng và ổ mềm. Có thể thi hành
mọi việc như máy tính thông thường, ngoại trừ việc lưu trữ dữ liệu trên đĩa
cứng hay đĩa mềm cục bộ. Không cần đĩa khởi động. Có khả năng giao tiếp với
server và đăng nhập nhờ vào một con chip ROM khởi động đặc biệt được cài
trên card mạng. Khi bật máy tính không đĩa, chip ROM khởi động phát tín
hiệu cho server biết rằng muốn khởi động. Server trả lời bằng cách tải phần
mềm khởi động vào RAM của máy tính không đĩa và tự động hiển thị màn hình
đăng nhập. Khi đó máy tính được kết nối với mạng.
* Mã hoá dữ liệu: người ta mã hoá thông tin sang dạng mật mã bằng một
phương pháp nào đó sao cho đảm bảo thông tin đó không thể nhận biết được
nếu nơi nhận không biết cách giải mã. Một người sử dụng hay một host có thể
sử dụng thông tin mà không sợ ảnh hưởng đến người sử dụng hay một host
khác.
* Chống virus:
- Ngăn không cho virus hoạt động.
- Sữa chữa hư hại ở một mức độ nào đó.

Chặn đứng virus sau khi bộc phát.
Ngăn chặn tình trạng truy cập bất hợp pháp là một trong những giải
pháp hiệu nghiệm nhất để tránh virus. Do biện pháp chủ yếu là phòng ngừa,
nên nhà quản trị mạng phải bảo đảm sao cho mọi yếu tố cần thiết đều đó sẵn
sàng:
- Mật mã để giảm khả năng truy cập bất hợp pháp
- Chỉ định các đặc quyền thích hợp cho mọi người dùng
- Các profile để tổ chức môi trường mạng cho người dùng có thể lập cấu
hình và duy trì môi trường đăng nhập, bao gồm các kết nối mạng và những
khoản mục chương trình khi người dùng đăng nhập.
- Một chính sách quyết định có thể tải phần mềm nào
4.4. Kiến trúc bảo mật của hệ thống mạng

Hình 4. : Mô hình các mức an toàn thông tin trên mạng

Không có điều gì là hoàn hảo trong việc an toàn hệ thống mạng như
Linux. Được thiết kế để là một hệ điều hành nối mạng và sự phát triển mạnh
mẽ chỉ để tập trung vào sự an toàn. Hệ điều hành mã nguồn mở là những gì mà
cho phép người quản trị mạng và những người phát triển, những người dùng
triền miên theo dõi và kiểm toán những gì dễ bị tấn công. Thật tốt nếu như
các tài nguyên được bảo mật và được bảo vệ tốt trước bất kỳ sự xâm phạm vô
tình hay cố ý.

An toàn hay bảo mật không phải là một sản phẩm, cũng không phải là
một phần mềm, là một cách nghĩ. Sự an toàn có thể được khởi động và dừng
như một dịch vụ. Bảo mật là cách an toàn. Tài liệu bảo mật là tư liệu mà
những thành viên của tổ chức muốn bảo vệ. Trách nhiệm của việc bảo mật là
người quản trị mạng.
Sự an toàn mạng có vai trò quan trọng tối cao. An toàn phải được đảm
bảo bắt đầu từ nhân kernel, tại phần cốt lõi của Linux server. Cơ chế bảo mật
cần phải bao gồm cấu hình mạng của Server, chu vi ứng dụng của tổ chức
mạng và thậm chí của những client truy nhập mạng từ xa. Có vài cách để
xem xét đó là:
- Sự an toàn vật lý.
- An toàn hệ thống.
- An toàn mạng.
- An toàn các ứng dụng.
- Sự truy nhập từ xa và việc chấp nhận.
4.4.1. Sự an toàn vật lý.
Điều này là cơ bản và giám sát được tốt khía cạnh an toàn của hệ điều
Linux. Sự an toàn vật lý bắt đầu với môi trường xung quanh ví dụ như
hành
đối với các nhà cung cấp dịch vụ xâm nhập. Có nên khoá các khối dữ liệu lại?
Những người nào được chấp nhận được vào trung tâm dữ liệu. Việc bảo vệ
thích hợp là phải thực hiện lại khi muốn xây dựng một cài đặt mới hay di
chuyển dữ liệu đến một vị trí mới.
4.4.2. An toàn hệ thống.
An toàn hệ thống bao gồm việc chọn phân phối hệ điều hành Linux, xây
dựng kernel hướng tới sự an toàn tài khoản người dùng, cho phép truy cập thư
mục file, mã hoá syslog và file system. Các tác vụ này được hoàn thành trước
khi dịch vụ nối vào Internet. Việc chọn một phân phối nào thì tuỳ thuộc vào
những nhu cầu như chính sách được phác thảo trong cơ chế an toàn. Việc
xây dựng một kernel sẵn có có hai lợi thế:
- Những lựa chọn an toàn của nhân được xác định bởi người quản trị

mạng và người quản trị mạng biết cái gì được xác định vào trong kernel và từ
đây có thể đồng thời nhận ra nếu điều đó nếu có. Phần nềm nguồn mở nói
chung và hệ điều hành Linux nói riêng, có những cải tiến để dễ dàng cho người
sử dụng và có những tiện ích dễ ứng dụng, chỉ cần update trong Red Hat.
- Sự an toàn các tài khoản người dùng có vai trò to lớn. Có những vùng
được vô hiệu hoá, những tài khoản không hoạt động, vô hiệu hoá việc truy cập
đến NFS lên root, hạn chế những đăng nhập vào trong môi trường điều khiển
hệ thống. Mã hoá file hệ thống sử dụng kỹ thuật mã hoá mà thường là phòng
thủ cuối cùng cho

Có hai cách tiếp cận chung: Hệ thống file mã hoá
mạng.
(CFS) và Practical Privacy Disk Driver(PPDD). Hệ thống có thể được theo dõi
và trong Linux, hệ thống logging được logged trong tiện ích syslog. Công cụ
theo dõi bao gồm swatch và logcheck. Swatch có công cụ thông báo thời gian
thực, trong khi logcheck cung cấp một công cụ mà phát sinh những báo cáo
định kỳ. Kiểm toán Password cũng có vai trò sống còn trong việc an toàn, bảo
mật hệ thống trong khi mối liên kết yếu nhất trong việc an toàn mạng là người
sử dụng và việc lựa chọn các mật khẩu.
4.4.3. An toàn mạng
Ở đây liên quan đến việc kết nối từ Linux server vào mạng. Cấu hình
dịch vụ mạng với sự an toàn ngày càng khó khăn cho những nhà quản trị mạng.
Lệnh netstat là một tiện ích mạnh cho phép người quản trị kiểm tra tình trạng
cấu hình mạng. Kiểm tra mạng là điều cần thiết của an toàn mạng. Điều này
đảm bảo rằng cơ chế an toàn đó được thực hiện có hiệu quả trong việc hoàn
thành những yêu cầu bảo mật. Điều đó đạt được bởi quyền thực hiện đến mạng
của họ . Cách tiếp cận việc kiểm định mạng hiệu quả nhất sẽ trong vai trò của
kẻ phá hoại. Có những công cụ kiểm định cục bộ và host .
Administrator's

Tool

for

Administrator's Integrated
Research

Analysing
Network

Networks),

Tool),

SATAN(Security

SAINT(

Security

SARA (Security

Auditor's

Assistant) là những công cụ tốt để kiểm định cơ bản. SATAN

được công nhận đầu tiên năm 1995.

SAINT mạnh hơn SATAN, trong khi

Nmap và Samba. Những cải tiến
SARA là một modul package, tương tác với
gần đây nhất là công cụ Nessus. Nessus là miễn phí, nguồn mở đầy đủ nổi
bật, công cụ kiểm toán vẫn được hỗ trợ cải tiến cải tiến

tích cực. Nessus đi

Nmap cho người
vào 2 thành phần: Client(nessus) và server( nesssus). Công cụ
quản trị giàu kinh nghiệm. Mặt khác Nmap có sức mạnh, công cụ quét cho
người có kinh nghiệm, được sử dụng tốt trong mạng LAN.

TARA(Tiger

sở host.
Auditors Research Assistant) là một ví dụ cho công cụ kiểm toán cơ
Theo dõi mạng dưới một sự tấn công. Công cụ để theo dõi đó là PortSentry và
Ethereal. Port Sentry quét trong chế độ ngầm định. Bảo mật mạng như một
trò chơi của trí tuệ và máy đếm trí tuệ. Trong khi mạng kiểm toán là một phần
của mạng bình thường, mạng theo dõi cần phải được ưu tiên cao hơn. Việc bảo
mật bao gồm việc kiểm toán chính xác và cả việc có nên để như thế hay không.
PortSentry là một ví dụ của công cụ theo dõi thời gian thực được thiết kế để
quét phát hiện ra hệ thống, và có tính khả dụng cho những hồi đáp.
4.4.4. Các ứng dụng an toàn.
Một vài chế độ chuẩn trong việc phân phối Linux hiện thời là những ứng
dụng đầy đủ mà có cấu trúc file phức tạp. Web, file, mail server sử dụng
những giao

thức phức tạp. An toàn có thể được thực hiện bởi các đặc tính bảo

mật của việc các cơ quan cho phép (MTA) như Sendmail, Qmail và Postfix.
Web Server có thể cũng được giữ an toàn bởi các modul cho phép: mod_auth,
mod_auth_dbm, mod_auth_db,….Việc cho phép Open SSh hỗ trợ cho Apache
sẽ cũng tương tác với web server. Samba có thể làm an toàn bởi việc đọc các
thông số đang chạy. Bước đầu tiên sẽ được bảo vệ bởi công cụ quản trị web
Samba với SLL nên các lệnh quản lý Samba được bảo vệ.
4.4.5. Chu vi an toàn.
Cấp số tự nhiên của cách tiếp cận được sắp từng lớp đến sự an toàn máy
tính ra khỏi lớp từ lớp mạng đến lớp ứng dụng, và từ đó đến lớp chu vi, đây là

vùng được

quan tâm. Firewalls là thành phần chính của miền chu vi an toàn,

chức năng bắt buộc tổ chức bảo mật an toàn bởi bộ lọc, bảo
là phần mềm mà
mật, đẩy mạnh hay yêu cầu nằm trong Linux server để kết nối đến cả mạng
chính và Internet. Firewall có thể được thực hiện nhiều cách dựa trên các lớp
của mô hình OSI: lớp mạng, lớp giao vận và ứng dụng. Có điểm tích cực và
tiêu cực trong việc triển khai firewall tại các lớp của mạng. Firewall mạng
được biết như các packet-filtering gateway, nơi mà chúng kiểm tra những
gói tin IP vào giao diện firewall và hoạt động phù hợp được giữ lại, hoạt động
bao gồm drop, cho phép hoặc log. Sự bất lợi là kiểu Firewall này không
khôn khéo. Firewall giao vận làm việc bởi khảo sát TCP hoặc UDP. Firewall
yêu cầu sự can thiệp người dùng sửa đổi những thủ tục. Firewall ứng dụng làm
cho các quyết định truy nhập ở tầng ứng dụng. Cho phép người quản trị
firewall cho yêu cầu của mỗi loại ứng dụng. Các bất tiện trong firewall là người
quản trị cần định hình triển khai theo dõi, và bảo trì quá trình firewall cho mỗi
ứng dụng mà cần truy

uôn thực hiện tốt bảo mật bởi việc sử
nhập điều khiển. L
dụng kết hợp một firewall tại ba tầng để tránh sự tổn thương. Firewall không
chỉ cản trở những người làm phiền không hợp pháp vào mạng nhưng phải cho
phép người sử dụng truy nhập bên ngoài vào nguồn tài nguyên, trong khi đó
chấp nhận phê chuẩn nhất định những kết nối sau cho người dùng. Đây là
nhận thức dễ nhưng đó là một thách thức khi thực hiện.
4.4.6. Firewall mạng
Có vài lợi thế trong việc sử dụng Linux như nền tảng firewall. Sự
quản lý đồng bộ, phần cứng, số người dùng, kiểm tra nền tảng, việc thực hiện,
đá n h giá giữa các lý do tại sao. Lọc gói là lợi ích hiệu quả và cách bảo báo
trong phạm vi tránh xâm

nhập. Người sử dụng không cần xác nhận để sử

dụng tin cậy những dịch vụ vùng bên ngoài.
Những giải pháp cho việc lọc gói trong Linux bao gồm ipchains và
ipfwadm. Tiện ích của việc lọc gói tin được sử dụng trong nhân từ phiên bản
1.2.1 về trước.

Phiên bản cuối cùng của ipfwadm vào tháng 7/1996, sau đó

. Những địa chỉ Ipchains là những giới hạn thiếu sót của
ipchains thay thế
ipfwadr như đếm 32 bit, không có khả năng giải quyết cấu thành địa chỉ
IP,..v.v. Ipchains chiến thắng các giới hạn đó bởi việc tận dụng lợi ích của ba
kênh riêng biệt hay những quy tắc nối tiếp để lọc. Ba kênh đó là: INPUT,
OUTPUT, và FORWARD.
Hiện nay có những thiết kế firewall bắt được hầu hết các cấu trúc mạng
phổ biến, báo hiệu đơn giản theo yêu cầu kết nối tới những nơi rất phức tạp như
khu vực được phi quân sự hoá (DMZ).
4.5. Bảo mật Linux Server

Một số biện pháp bảo mật linux server
Hiện nay Linux đang dần trở thành một hệ điều hành khá phổ biến bởi
tính kinh tế, khả năng bảo mật và sự uyển chuyển cao. Thế nhưng, mọi hệ
thống dù an toàn đến đâu cũng dễ dàng bị xâm nhập nếu người dùng (nhất là
người quản trị- root) không đặt sự bảo mật lên hàng đầu. Sau đây là một số
kinh nghiệm về bảo mật trên hệ điều hành Red Hat Linux.
4.5.1. Không cho phép sử dụng tài khoản root từ console
Sau khi cài đặt, tài khoản root sẽ không có quyền kết nối telnet vào
dịch vụ telnet trên hệ thống,

trong khi đó tài khoản bình thường lại có

/etc/security chỉ quy định những console
thể kết nối, do nội dung tập tin
được phép truy cập bởi root và chỉ liệt kê những console truy xuất khi ngồi trực
tiếp tại máy chủ. Để tăng cường bảo mật hơn nữa, hãy soạn thảo file
/etc/security và bỏ đi những console không muốn

root truy cập.

4.5.2. Xoá bớt tài khoản và nhóm đặc biệt
Người quản trị nên xoá bỏ tất cả các tài khoản và nhóm được tạo sẵn
trong hệ thống nhưng không có nhu cầu sử dụng ( ví dụ: lp, syne, shutdown,
halt, news, uucp, operator, game, gopher…). Thực hiện việc xoá bỏ tài khoản
bằng lệnh usedel và xoá bỏ nhóm với lệnh groupdel.

4.5.3. Tắt các dịch vụ không sử dụng
Một điều khá nguy hiểm là sau khi cài đặt, hệ thống tự động chạy khá
nhiều dịch vụ, trong đó đa số là các dịch vụ không mong muốn, dẫn đến tiêu
tốn tài nguyên và sinh ra nhiều nguy cơ về bảo mật. Vì vậy người quản trị
nên tắt các dịch vụ không dùng tới (ntsysv) hoặc xoá bỏ các gói dịch vụ không
sử dụng bằng lệnh rpm.
4.5.4. Không cho “SU” (Substitute) lên root
Lệnh su cho phép người dùng chuyển sang tài khoản khác. Nếu không
muốn người dùng “su” thành root thì thêm hai dòng sau vào file /etc/pam.d/su:
Auth sufficient/lib/security/pam_root ok so debug
Auth required/lib/security/pam_wheel.so

group= tên_nhóm_root

4.5.5. Che dấu file mật khẩu
Giai đoạn đầu, mật khẩu toàn bộ tài khoản được lưu trong file
/etc/password, file mà mọi người dùng đều có quyền đọc. Đây là khe hở lớn
trong bảo mật dù mật khẩu được mã hoá nhưng việc giải mã không phải là
không thể thực hiện được. Do đó, hiện nay các nhà phát triển Linux đó đặt
riêng mật khẩu mã hoá vào file /ect/shadow chỉ có root mới đọc được, nhưng
yêu cầu phải chọn Enable the shadow password khi cài Red Hat.
4.5.6. Luôn nâng cấp cho nhân (kernel) Linux
Linux không hẳn được thiết kế với tính năng bảo mật chặt chẽ, khá nhiều
lỗ hổng có thể bị lợi dụng bởi hacker. Vì vậy việc sử dụng một hệ điều hành
với nhân được nâng cấp là rất quan trọng vì một khi nhân, phần cốt lõi nhất của
hệ điều hành được thiết kế tốt thì nguy cơ bị phá hoại sẽ giảm đi rất nhiều.
4.5.7. Tự động thoát khỏi Shell
Người quản trị hệ thống và kể cả người sử dụng bình thường rất hay quên
thoát ra dấu nhắc shell khi kết thúc công việc. Thật nguy hiểm nếu có một kẻ
nào sẽ có toàn quyền truy xuất hệ thống mà chẳng tốn chút công sức nào cả.
Do vậy người quản trị nên cài đặt tính năng tự động thoát khỏi shell khi không
có sự truy xuất trong khoảng thời gian định trước bằng cách sử dụng biến môi