PCWorld VN 11/99

    Bài "Mạng và Linux" đăng trên PC World VN số tháng 10/1999 trang 89 hẳn đã mang lại cho bạn nhiều điều lý thú về các tính năng mạng của hệ điều hành (HĐH) Linux.

    Bài sau đây đề cập tới thuật ngữ "heterogeneous network", tạm dịch là "mạng hỗn hợp". Thuật ngữ quả có hơi khó hiểu trừ phi bạn thường xuyên xem các quảng cáo của IBM.

    Một cách vắn tắt, "mạng hỗn hợp" là mạng trong đó các máy tính chạy những HĐH khác nhau hoặc các phiên bản khác nhau của cùng một HĐH. Trở ngại đối với mô hình mạng này là một số công ty công nghệ thông tin không quan tâm tới việc hỗ trợ "hệ thống hỗn hợp". Họ thích mô hình "mạng đồng nhất" hơn thứ mạng trong đó các máy tính chạy cùng một HĐH ố hơn bởi vì chúng dễ quản lý, lại vừa cho phép duy trì tốt các biện pháp bảo mật.

    Tuy nhiên, Linux lại rất thích hợp với môi trường mạng hỗn hợp vì nó có thể phối hợp hiệu quả với nhiều HĐH cũng như hệ thống tập tin khác nhau. HĐH Windows của Microsoft dường như thống lĩnh thế giới PC, nên ý tưởng nảy sinh đầu tiên là chạy Linux trong mạng có các máy tính dùng những phiên bản Windows khác nhau.

    Nếu một công ty có những dàn máy tính chạy các phiên bản Windows khác nhau, mối quan tâm của công ty đó sẽ là xây dựng mạng cục bộ cộng tác (corporate LAN) bằng cách liên kết các PC này lại. Khi đó, nếu các máy tính chạy Windows for Workgroup (WFW) 3.11 hay Windows 95/98 thì một số phần mềm mạng đã được chứa trong các HĐH này, vì vậy phần việc còn lại chỉ là mua và cài đặt thiết bị phần cứng như card mạng LAN hay cáp cho phù hợp.

    Cả WFW và Win95/98 đều cung cấp các tính năng mạng ngang hàng (peer-to-peer LAN), nghĩa là bạn có thể chia sẻ máy in và ổ đĩa với người dùng khác trong mạng cục bộ. Kiến trúc ngang hàng thích hợp với mô hình nhóm làm việc nhỏ, song lại bị hạn chế trong vấn đề quản trị, bảo mật và tính năng, nên không phù hợp với mạng cộng tác.

    Giải pháp tốt nhất là cài đặt server quản lý tập tin (file-server). Đây là PC mạnh, đóng vai trò trung tâm, lưu trữ toàn bộ thông tin dùng chung, đồng thời cung cấp các tính năng bổ sung như bảo mật truy nhập và đơn giản hoá việc quản trị. Đây chính là điểm mạnh của Linux trên phương diện HĐH mạng phục vụ thương mại.

    Ngoài ra, bạn hoàn toàn không phải trả tiền cấp phép cho Linux bất kể số người dùng là bao nhiêu. Đi kèm với Linux là bộ phần mềm SAMBA miễn phí (http://samba.anu.edu.au/samba/) cung cấp các tính năng của server tập tin và in ấn trong mạng cục bộ Windows.

    SAMBA hỗ trợ giao thức SMB (Session Message Block), giao thức này được Windows sử dụng để chia sẻ tập tin và máy in. Hiện các phiên bản Unix và Novell cũng hỗ trợ giao thức này.

    Hai việc bạn có thể thực hiện với SAMBA là:

1. Cho phép máy tính chạy Windows truy nhập ổ đĩa và máy in mạng Linux.

2. Truy nhập máy in hay ổ đĩa Windows từ máy chạy Linux (để chạy file-server chuẩn, chỉ cần tới chức năng đầu).

    Nếu bạn có bản Linux Red Hat, trình quản lý RPM sẽ đảm nhiệm việc cài đặt. Nếu không, bạn phải chép các tập tin SAMBA bằng tay.

    Hai tập tin chương trình chính của SAMBA là smbd (giao thức SMB) và nmbd (chương trình cung cấp hỗ trợ và tên server mức NETBIOS). Hai trình này tự động kích hoạt khi khởi động hệ thống và tồn tại trong suốt quá trình hệ thống hoạt động.

    Để cấu hình SAMBA, bạn phải biên soạn tập tin văn bản /etc/smb.conf, trong đó mô tả các dịch vụ in ấn và tập tin có sẵn, đồng thời có thể ấn định các tùy chọn về bảo mật và tính năng. Thông qua tập tin này, SAMBA biết được những thư mục Linux nào người dùng Windows có thể truy nhập và quyền truy nhập của họ đến đâu. Do SAMBA không xung đột với cơ chế bảo mật của UNIX nên cách tốt nhất là cấp toàn bộ quyền truy nhập trong tập tin /etc/smb.conf, sau đó giới hạn lại bằng các lệnh UNIX.

    Ví dụ, nếu bạn muốn bảo vệ thư mục chứa dữ liệu quan trọng bằng cách giới hạn quyền truy nhập, trước hết, hãy bổ sung thư mục này vào danh sách dịch vụ tập tin, cấp toàn bộ quyền truy nhập (đọc/ghi). Sau đó, định ra một nhóm người dùng thư mục này trong Linux, xác lập quyền sở hữu thư mục cho nhóm và hủy bỏ quyền truy nhập thư mục trên với những người còn lại. Phương pháp này đảm bảo chỉ có các thành viên trong nhóm và người quản trị hệ thống mới có thể đọc dữ liệu trong thư mục nói trên.

    Windows coi server Linux như một máy tính trong mạng. Khi nhấn đúp lên biểu tượng Network Neighborhood, server quản lý tập tin Linux sẽ xuất hiện cùng với tên của nó trong danh sách máy tính hiện thời trên mạng. Mở file-server bằng cách nhấn đúp lên biểu tượng của nó, bạn sẽ thấy danh sách thư mục và máy in theo đúng mô tả ban đầu trong tập tin /etc/smb.conf. Tất nhiên, file-server chỉ có thể mở được khi bạn nhập đúng tên và mật khẩu của người dùng hợp lệ. Win95/98 sử dụng thông tin gõ vào hộp thoại "Network Password" để kiểm tra tính hợp lệ. Tất nhiên, bạn cũng phải có tài khoản trên server Linux để được phép truy nhập. Bạn có thể sử dụng tiện ích Windows Explorer để định hướng trên hệ thống tập tin của server. Điều lý thú là SAMBA hỗ trợ toàn bộ tính năng Windows chuẩn như tên tập tin dài, các thuộc tính tập tin, khoá tập tin, ánh xạ ổ đĩa, v.v... nên người dùng trên máy trạm hoàn toàn quen thuộc với việc truy nhập tập tin.

    Bây giờ chuyển sang bảo mật. Đây quả là vấn đề nan giải và gây đau đầu cho các nhà quản trị hệ thông tin quản lý (MIS Manager). Chẳng có gì phải bàn cãi khi nói rằng bảo mật là vấn đề sống còn đối với môi trường điện toán cộng tác. Nếu làm việc trong mạng LAN nhỏ tách rời, việc bảo mật có thể không mấy quan trọng, tuy nhiên, khi bổ sung kết nối mạng diện rộng (WAN ố Wide Area Network), các đường line-in hay kết nối mạng LAN cộng tác vào Internet, bạn sẽ thấy tầm quan trọng của vấn đề bảo mật.

    Lý do thật đơn giản: các doanh nghiệp dù là nhỏ nhất đều lưu trữ thông tin quan trọng trên máy tính của họ. Dữ liệu kế toán, đơn đặt hàng, thư từ buôn bán... đều là những thứ cần được bảo mật. Việc không kiểm soát quyền truy nhập tới những thông tin quan trọng có thể làm hỏng các thao tác nghiệp vụ, gây thiệt hại cho công ty. Trước kia, người ta chỉ đơn giản khoá tất cả tài liệu quan trọng vào két sắt, với cơ chế bảo mật là chìa khóa và / hoặc khóa số.

    Vấn đề chính là máy móc chứ không phải con người. Máy tính phải quyết định trao quyền truy nhập thông tin bảo mật cho ai. Nó thực hiện việc này dựa vào các điều kiện khác nhau (thông thường là mật khẩu do người dùng nhập vào), và so sánh thông tin chứng thực của người dùng với "chìa khoá" thật.

    Linux thừa kế toàn bộ cơ chế bảo mật từ HĐH UNIX nên nó mang đầy đủ những ưu điểm và hạn chế của hệ thống bảo mật này. Sơ đồ bảo mật thực hiện qua thủ tục đăng nhập: người dùng cung cấp tên và mật khẩu, căn cứ trên thông tin này, Linux sẽ đồng ý hoặc từ chối cấp quyền truy nhập. Quyền truy nhập có thể là đọc, hiệu chỉnh hay chạy tập tin chương trình.

    Có ba mức cấp quyền truy nhập: quyền sở hữu riêng, quyền theo nhóm và quyền cho mọi người dùng. Sử dụng quyền theo nhóm sẽ đơn giản hoá rất nhiều việc quản trị hệ thống. Thay vì phải định ra và duy trì quyền truy nhập cho từng người dùng, người quản trị chỉ phải xây dựng tập quyền một lần cho một nhóm người dùng, rồi sau đó gán những người dùng này vào tài khoản nhóm. Một tính năng cao cấp khác có tên là "sticky-bit" ố là bit cấp quyền đặc biệt, được thiết lập cho các tập tin chương trình riêng. Với stickybit, một chương trình có thể thay đổi quyền đã xác lập cho nó thành quyền sở hữu riêng trong khi đang chạy. Tùy chọn này cho phép nhà quản trị bảo vệ hiệu quả các vùng của hệ thống tập tin bằng cách chỉ cho một số chương trình sử dụng những vùng này. Tuy nhiên, một tính năng tương tự cũng có thể tạo ra "lỗ hổng" trong bảo mật nếu người quản trị sử dụng thiếu thận trọng.

    Linux lưu danh sách người dùng, các định danh và mật khẩu trong tập tin /etc/password; danh sách nhóm, các định danh nhóm và các thành viên của nhóm trong tập tin /etc/group. Tưởng chừng mọi người đều đọc được tập tin /ect/passwd, song do nó được mã hóa nên không thể tìm thấy mật khẩu gốc.

    Thật không may, có một số trình bẻ khoá có thể giải mã mật khẩu được mã hoá trong Linux. Các trình bẻ khoá này luôn sẵn sàng và miễn phí cho những người biết "chỗ để" của chúng. Trình bẻ khoá giải mã mật khẩu bằng thuật toán "brute-force", so sánh mật khẩu đã mã hoá với các mục trong từ điển. Việc bẻ khoá đòi hỏi phải có máy tính mạnh và nhiều thời gian tính toán, song cả hai yếu tố này đều nằm trong tầm tay của các hacker.

    Một biện pháp hỗ trợ là dùng tính năng mật khẩu mờ (shadow-password), khi đó tập tin /etc/passwd sẽ lưu thông tin khác thay vì mật khẩu thật. Mật khẩu thật được chứa trong tập tin ẩn. Song đáng tiếc, người ta thậm chí vẫn tìm được tập tin chứa mật khẩu thật. Tóm lại, nếu ai đó quyết tâm truy nhập bằng được vào mạng của bạn, sẽ không có gì đảm bảo an toàn tuyệt đối. Dù bạn áp dụng sơ đồ bảo mật nào, chắc chắn vẫn có "khe hở" ố hoặc do sơ xuất của người quản trị hệ thống, hoặc do phần mềm bảo mật.

    Bức tường lửa (firewall) là tính năng bảo mật khác của UNIX gần đây đã trở nên phổ biến nhờ có Internet. Bức tường lửa thường được sử dụng để bảo vệ mạng cục bộ khi có kết nối Internet, tuy nhiên, công nghệ này cũng được áp dụng với từng mạng con dựa trên nền TCP/IP trong mạng cộng tác lớn.

    Tường lửa là hệ thống hoạt động tương tự gateway giữa các phần khác nhau của mạng. Một bên là thế giới bên ngoài, lưu thông trên mạng không được kiểm soát; bên còn lại là mạng riêng của bạn. Tường lửa làm nhiệm vụ bảo vệ mạng riêng khỏi truy nhập bất hợp pháp từ bên ngoài; nó cũng có thể ngăn cản toàn bộ lưu thông từ bên ngoài vào mạng, kiểm soát quyền truy nhập mức IP hoặc có thể được dùng như server bảo mật (proxy server) để cấp quyền truy nhập cho các tài nguyên định trước. Hai phương pháp đầu có độ an toàn cao, trong khi mức an toàn của phương pháp thứ ba phụ thuộc vào cách cấu hình thiết bị trên mạng và hình thức truy nhập được server bảo mật cho phép.

    Sau cùng, bạn có thể đặt câu hỏi về mức độ an toàn bảo mật trong Linux. Câu trả lời quả không đơn giản. Tất nhiên, Linux không phải là "lá chắn thần kỳ", tuy nhiên, nó vượt trội so với các môi trường HĐH khác, đặc biệt là môi trường tương đối dễ "mất an toàn" như Windows. Mọi thứ còn tuỳ thuộc vào người quản trị hệ thống sử dụng các tính năng bảo mật của UNIX ra sao trong bối cảnh cả bảo mật và phá bảo mật "nối đuôi nhau phát triển".

PcLeHoan 1996 - 2002
Mirror : http://www.pclehoan.com
Mirror : http://www.lehoanpc.net
Mirror : http://www.ktlehoan.com