Hướng dẫn cuối cùng về bảo mật Linux trên máy tính để bàn


Bảo mật máy tính để bàn Linux thường được coi là mạnh hơn về cơ bản so với Windows. Tuy nhiên, điều đó không có nghĩa là bạn có thể cài đặt và quên đi về máy tính để bàn Linux của bạn. Nó cần được bảo vệ nhiều như bất kỳ hệ điều hành nào khác. Trong bài viết này, chúng tôi sẽ cung cấp một số lời khuyên thiết thực về cách thực hiện điều đó.

Bắt đầu, một đánh giá ngắn gọn về cách Linux được hình thành và phát triển sẽ giúp hiểu được lý do tại sao bảo mật Linux trên máy tính để bàn lại khó bẻ khóa hơn một số hệ điều hành máy tính để bàn khác. 

Sơ lược về lịch sử của Linux

Vào đầu những năm 90, một sinh viên Đại học Phần Lan tên Linus Torvalds bắt đầu làm việc với một nhân giống như Unix sau khi được truyền cảm hứng bởi một hệ điều hành giống như Unix được thu nhỏ tên là MINIX. Hạt nhân trưởng thành và cuối cùng trở thành hạt nhân cho các hệ điều hành như Android, ChromeOS và HĐH máy tính để bàn / máy chủ mà chúng ta gọi là Linux ngày nay.

Linux thích hợp chỉ là nhân hệ điều hành mà con người không thể tương tác với. Mọi thứ bạn đã từng thấy trên máy Linux là một ứng dụng chứ không phải Linux, tuy nhiên cái tên này đã chiếm ưu thế để biểu thị toàn bộ hệ điều hành, gây ra sự thất vọng cho Richard Stallman và Dự án GNU (Gnu không phải Unix).

Dự án GNU bắt đầu khi Torvalds 14 tuổi và 7 năm trước khi nhân Linux được hình thành. Cựu sinh viên MIT Richard Stallman (RMS trong nhóm tin tặc) đã nhận ra trước đó rằng để mọi người thực sự sở hữu dữ liệu số của họ, mọi thứ được sử dụng để tạo dữ liệu đó, bao gồm cả hệ điều hành và tất cả các thành phần phụ trợ, phải không thuộc quyền sở hữu. Cuối cùng, RMS đã thành lập Dự án GNU và viết giấy phép Phần mềm miễn phí (như không độc quyền) đầu tiên được gọi là Giấy phép công cộng GNU vào năm 1989. Đến năm 1991, dự án GNU đã tạo ra một số tiện ích nhưng vẫn không có kernel hoạt động, được đặt tên là GNU Hurd. Hạt nhân Torvald sườn Linux đã trở thành một sự thay thế khả thi hơn cho Hurd và vì Torvald đã phát hành nó theo Giấy phép Công cộng GNU, nên việc kết hợp nó với các tiện ích GNU trở nên tiện lợi hơn. Do đó, hệ điều hành không độc quyền đầu tiên ra đời.

Lý lịch:

Từ Free trong vòng tròn phần mềm dùng để chỉ phần mềm không thuộc quyền sở hữu và có thể được sử dụng bởi bất kỳ ai cho bất kỳ mục đích nào. Sự khác biệt giữa hai nghĩa có thể có của từ miễn phí được mô tả bằng cụm từ Miễn phí như trong lời nói hoặc miễn phí như trong bia. Trong nỗ lực làm cho sự khác biệt này trở nên dễ dàng hơn để truyền đạt, thuật ngữ Phần mềm nguồn mở miễn phí / Libre (F / LOSS, hoặc FLOSS, đôi khi chỉ là FOSS) được đặt ra như một cách để tự do và tự do. Trong cả hai trường hợp, takeaway là từ miễn phí trong ngữ cảnh này đề cập đến thực tế là phần mềm này không độc quyền, và miễn phí sử dụng và sửa đổi.

Dự án GNU duy trì rằng ngày nay Linux Linux thực sự là phần mềm GNU hoạt động với nhân Linux và do đó nên được gọi đúng là GNU / Linux để đảm bảo dự án GNU có được tín dụng phù hợp cho các công cụ của họ. Đáng buồn thay, con người đã chỉ ra rằng họ không có khả năng bận tâm đến việc cố gắng nói tiếng lạ của mình xung quanh cụm từ GNU / Linux để trận chiến bị mất hoàn toàn.

Trở lại hạt nhân Torvald sườn: MINIX là một hệ điều hành giáo dục cơ bản được viết bởi Andrew Tanenbaum như một công cụ giảng dạy cho cuốn sách văn bản của ông mà Torvalds sử dụng tại Đại học. MINIX vẫn tồn tại cho đến ngày nay và chủ yếu nhắm vào các hệ thống nhúng tài nguyên thấp. Torvalds đã sử dụng kiến ​​thức đó để tạo ra hạt nhân của riêng mình và Linux đã ra đời.

Định nghĩa

Hạt nhân

Linux là một hạt nhân nguyên khối. Không bị sa lầy vào cỏ dại, điều này về cơ bản có nghĩa là hạt nhân hoạt động hoàn toàn trong không gian hạt nhân. Một bộ nhớ máy tính được cung cấp theo nhiều cách khác nhau. Bộ nhớ mà các ứng dụng người dùng có thể truy cập được gọi là không gian người dùng. Bộ nhớ chỉ có các quy trình đặc quyền như các yêu cầu của hệ điều hành chỉ có sẵn cho không gian kernel. Điều này có nghĩa là các ứng dụng người dùng khó có thể ảnh hưởng đến hệ điều hành do các ứng dụng không có quyền truy cập vào các quy trình kernel..

Phần mềm độc hại

Phần mềm độc hại là thuật ngữ chung cho bất kỳ loại phần mềm nào làm điều gì đó xấu. Virus, các chương trình không mong muốn tiềm tàng (PUP) và phần mềm gián điệp là tất cả các ví dụ về phần mềm độc hại.

Phần mềm gián điệp

Phần mềm gián điệp cố gắng đánh cắp thông tin nhạy cảm từ máy tính của bạn và truyền nó cho kẻ xấu. Các phương thức gián điệp phổ biến là keylogger, truyền mọi phím bạn nhấn và trình theo dõi trình duyệt theo dõi các trang web bạn truy cập trên web.

Botnet

Botnet là Rongười máy MẠNG LƯỚIcác tác phẩm được sử dụng để khởi động các cuộc tấn công từ chối dịch vụ phân tán (DDoS) đối với các trang web. Để hạ bệ một trang web mục tiêu, một kẻ tấn công thường cần hàng ngàn, nếu không phải hàng trăm ngàn máy tính theo ý của mình. Vì nó không thực tế để sở hữu hoặc thuê nhiều máy tính, kẻ xấu sử dụng máy tính của bạn.

Họ làm điều này bằng cách lừa bạn cài đặt mã botnet của họ vào máy tính của bạn, thường là thông qua các kỹ thuật lừa đảo tiêu chuẩn. Khi phần mềm độc hại botnet được cài đặt trên hệ thống của bạn, nó sẽ báo cáo cho kẻ xấu, thường là trong kênh IRC và sau đó chuyển sang chế độ ngủ. Khi kẻ xấu có đủ bot sẵn sàng để đi, anh ta ra lệnh cho chúng và bot trên máy tính của bạn, và nhiều người khác, sống lại và bắt đầu gửi lưu lượng truy cập lạm dụng tại trang web được nhắm mục tiêu. Bạn, người dùng, vẫn vui vẻ không biết rằng máy tính của bạn đang được sử dụng theo cách này.

Virus và giun

Virus hoặc sâu là một phần mềm độc hại có đặc tính bổ sung là có thể tự sao chép. Hầu hết các phần mềm độc hại tự cài đặt một lần và nếu kẻ xấu muốn lây nhiễm một máy tính khác, anh ta phải thuyết phục chủ sở hữu của máy tính đó cũng cài đặt phần mềm độc hại của mình, v.v. Ngược lại, virus hoặc sâu sẽ tự cài đặt và sau đó tìm kiếm các máy tính được kết nối mạng khác mà nó có thể tự sao chép vào.

Sự bùng phát gần đây của WannaCry và các cuộc tấn công ransomware khác là sâu. Một người trong tổ chức đã bấm nhầm vào một liên kết lừa đảo và sâu đã được cài đặt trên máy tính của họ. Sau đó, nó đã bò qua mạng để tìm các máy tính khác và trong một thời gian rất ngắn, mọi máy tính trong mạng đều bị nhiễm.

Những cách mà Linux an toàn hơn Windows

Đặc quyền theo mặc định

Một nguyên tắc bảo mật rất cơ bản là đặc quyền tối thiểu. Nguyên tắc này nói rằng bất kỳ thực thể, người dùng hoặc cách khác, chỉ nên được cấp số lượng đặc quyền tối thiểu cần thiết để thực hiện công việc của mình và không hơn thế nữa. Ví dụ: người dùng chỉ cần tạo tài liệu và in chúng cũng không cần khả năng thay đổi trình bảo vệ màn hình hoặc truy cập internet.

Đối với hệ điều hành nhiều người dùng, một nguyên tắc quan trọng không kém thứ hai là Cách ly. Nguyên tắc cách ly được sử dụng theo nhiều cách. Trong trường hợp này, nó được sử dụng tốt nhất để mô tả sự tách biệt người dùng. Các hoạt động của một người dùng không được phép ảnh hưởng đến người khác và dữ liệu thuộc về một người dùng sẽ được truy cập bởi người dùng khác trừ khi được cho phép cụ thể.

Linux được xây dựng như một hệ điều hành nhiều người dùng từ ngày đầu và do đó, các nguyên tắc này được áp dụng. Windows được thiết kế như một hệ thống máy tính để bàn một người dùng và đã được bổ sung nhiều chức năng theo thời gian để giải quyết các điểm yếu của thiết kế ban đầu một thế giới kết nối internet.

Các bản phân phối Linux phổ biến hơn tạo tài khoản người dùng không có đặc quyền để sử dụng hàng ngày trong khi người dùng Windows trên máy tính để bàn thường là người dùng cấp quản trị viên. Kiểm soát tài khoản người dùng (UAC) đã được giới thiệu trong Windows Vista để tạo thêm rào cản cho việc cài đặt và yêu cầu người dùng ủy quyền cụ thể một số hành động nhất định bằng cách nhấp vào nút OK khi được nhắc.

Bằng cách yêu cầu đặc quyền của quản trị viên để cài đặt chương trình, việc triển khai phần mềm độc hại sẽ khó khăn hơn. Tuy nhiên, liên kết yếu nhất trong bất kỳ chuỗi bảo mật nào là người dùng. Mặc dù các công cụ leo thang đặc quyền này hiện có đầy đủ chức năng trên thế giới, nhiều người dùng sẽ chỉ cần nhập mật khẩu quản trị viên của họ hoặc nhấp vào nút OK để cho phép các hoạt động đặc quyền cao xảy ra mỗi khi có dấu nhắc xuất hiện. Một cơ sở người dùng lớn không có kiến ​​thức để hiểu lý do tại sao họ được nhắc cung cấp thông tin đăng nhập nâng cao khiến cho các công cụ này rất khó thực sự hiệu quả.

Con nuôi

Có nhiều cuộc thảo luận về việc liệu tỷ lệ chấp nhận các thuộc tính Linux thấp hơn có phải là mục tiêu nhỏ hơn cho phần mềm độc hại hay không và do đó, ít xảy ra sự lây nhiễm hơn.

Tất cả phần mềm độc hại không được tạo ra bằng nhau. Các tác giả phần mềm độc hại viết chương trình của họ với một số mục tiêu cụ thể trong tâm trí. Nhiều chương trình phần mềm độc hại được sử dụng để tuyển dụng các máy tính không nghi ngờ trở thành một phần của mạng botnet. Một số phần mềm độc hại được viết để đánh cắp thông tin đăng nhập cho các trang web nhạy cảm. Một số được viết để đơn giản phá hỏng máy tính được cài đặt trên đó. Trong bất kỳ trường hợp nào, tác giả phần mềm độc hại muốn có hiệu quả. Mục tiêu là viết mã một lần và sau đó triển khai nó nhiều lần đến càng nhiều máy tính khác nhau càng tốt. Với mục tiêu đó, rõ ràng viết phần mềm độc hại cho Windows là mục tiêu tốt hơn so với viết phần mềm độc hại cho Linux.

Nó hầu như không thể khám phá tỷ lệ thực sự của việc áp dụng Linux. Một phần của vấn đề là Linux được nhúng rất nhiều thiết bị tiêu dùng đến nỗi nó thậm chí còn không rõ cách tính một thiết bị như một thiết bị Linux. Một trở ngại lớn khác là Linux máy tính để bàn là phần mềm FLOSS nên không có số lượng bán hàng có thể được sử dụng. Tất cả những gì chúng ta thực sự có thể làm là xem xét dữ liệu thứ cấp như tải xuống Linux hoặc yêu cầu mọi người đăng ký làm người dùng Linux. Các phương pháp khác nhau đã đưa việc áp dụng máy tính để bàn Linux vào bất cứ nơi nào từ một đến 34 phần trăm, đó là một biến thể rộng lớn đến mức tất cả đều vô dụng. Một số người trong ngành lưu ý rằng các số liệu trong hầu hết các nghiên cứu đều tập trung vào Mỹ, vì vậy chúng không phản ánh thị phần toàn cầu và có thể cao tới 12% trên toàn thế giới.

Tuy nhiên, những gì chúng ta biết là rất khó có nhiều máy tính để bàn Linux được sử dụng hơn máy tính để bàn Windows. Là một tác giả phần mềm độc hại, việc viết mã Windows sẽ hợp lý hơn vì nó sẽ cung cấp cơ sở tấn công rộng hơn để làm việc với.

Mã nguồn mở

Phương pháp phát triển phần mềm nguồn mở trái ngược với cách phần mềm thường được phát triển trong quá khứ. Hầu hết các ứng dụng phần mềm được tạo trong nhà và mã nguồn là độc quyền và ẩn khỏi bất kỳ ai bên ngoài công ty. Ngược lại, phần mềm Nguồn mở chỉ có thế – mở. Nó được xuất bản trong kho lưu trữ mã công khai để cho phép bất kỳ ai nhìn thấy mã, xem xét lỗi và thậm chí sửa đổi nó và đóng góp các thay đổi của họ trở lại dự án chính.

Những người đề xướng nguồn mở sử dụng Luật Linus Hiện để minh họa tại sao nó là phương pháp phát triển tốt hơn.

Luật Linus xông hơi:

cho đủ nhãn cầu, tất cả các lỗi là nông.

Các đối thủ của Nguồn mở sử dụng quan sát của Robert Glass, vì số lượng lỗi được phát hiện trong mã không mở rộng tuyến tính với số lượng người đánh giá, nên luật này là một lời ngụy biện. Dường như có một số công đức cho điều này. Có các ví dụ về các dự án nguồn mở có lỗi phát hiện nhiều năm sau khi chúng được giới thiệu lần đầu tiên.

Ứng dụng

Ứng dụngthuốc mê Giáp là một tính năng Kiểm soát truy cập bắt buộc (MAC) ở cấp độ nhân, giới hạn các ứng dụng truy cập các lớp tài nguyên máy tính. Ví dụ: AppArmor có thể cho phép trình xử lý văn bản đọc và ghi tệp vào ổ cứng cục bộ, nhưng từ chối nó truy cập internet để gửi tin nhắn.

Hãy nhớ lại rằng sau khi viết phần mềm độc hại, kẻ xấu, nhiệm vụ khó khăn nhất tiếp theo là lừa mọi người triển khai nó trên hệ thống của họ. Một cách phổ biến để làm điều này là dán phần mềm độc hại bên trong một số loại tệp hoàn toàn khác, ví dụ: tệp phụ đề phim. Một ứng dụng như AppArmor có thể được cấu hình để không cho phép các tệp này bất kỳ khả năng ghi hoặc internet nào vì tệp phụ đề sẽ không cần các chức năng đó. Khi làm như vậy, mọi phần mềm độc hại trong tệp sẽ không thể tự sao chép hoặc gọi về nhà với tư cách là thành viên botnet mới được tuyển dụng.

AppArmor được đưa vào nhân Linux 2.6.36 (tháng 10 năm 2010) và lần đầu tiên xuất hiện trong OpenSUSE Linux và được bật theo mặc định trong Ubuntu kể từ 7.10. AppArmor có thể không cần điều chỉnh nhiều cho một hệ thống máy tính để bàn tiêu chuẩn vì các cài đặt mặc định của nó đủ tốt để chống lại hầu hết các nỗ lực của phần mềm độc hại. Một lời giải thích sâu hơn về cách AppArmor hoạt động và cách nó có thể được tùy chỉnh là trên wiki Ubuntu.

TỰ TIN

Ssinh thái Enhuyễn Linux là một hệ thống MAC khác có trước AppArmor vài năm. Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) đã tạo ra SELinux như một loạt các bản vá nhân và các công cụ không gian người dùng. Nó lần đầu tiên được đưa vào phiên bản thử nghiệm 2.6.0 của nhân Linux (2003).

Hầu hết người dùng máy tính để bàn thấy Selinux phức tạp để định cấu hình và nó cũng yêu cầu một hệ thống tệp hỗ trợ nhãn trong khi AppArmor không quan tâm đến loại hệ thống tệp. Vì những lý do đó, AppArmor đã tiếp quản hệ thống MAC chiếm ưu thế cho các hệ thống Linux trên máy tính để bàn.

Cách bảo vệ máy Linux của bạn

Diệt virus

Có một số bài viết trên internet cho rằng phần mềm chống vi-rút không cần thiết trên máy tính để bàn Linux. Cái nhìn thiển cận về thế giới này giúp phát tán phần mềm độc hại. Mọi máy tính kết nối internet đều tham gia vào mạng đó và có khả năng nhận các tệp độc hại. Theo nghĩa đen, nó không tốn kém gì khi chạy chương trình chống vi-rút trên Linux, do đó, nó là một bí ẩn tại sao một số nhà văn cảm thấy rằng việc không sử dụng phần mềm chống vi-rút Linux là đáng để mạo hiểm. Có nhiều bằng chứng về phần mềm độc hại Linux tồn tại.

Điều quan trọng là chạy chương trình chống vi-rút trên máy Linux ngay cả khi bạn cảm thấy bạn không có nguy cơ bị lây nhiễm. Hầu hết các máy tính để bàn Linux là một phần của mạng gia đình hoặc văn phòng cũng bao gồm các máy tính Windows. Mặc dù không chắc là máy Linux có thể bị nhiễm vi-rút Windows, nhưng nó có thể dễ dàng vận chuyển phần mềm độc hại đến các máy Windows. Để làm cho vấn đề tồi tệ hơn, các máy chủ Linux thường được sử dụng làm máy chủ tệp hoặc máy chủ thư trong môi trường văn phòng, điều đó có nghĩa là chúng liên tục trao đổi các tệp với các máy tính khác trong văn phòng. Một tệp độc hại được lưu trữ trên một máy Linux mà dịch vụ của Windows được cung cấp cho các máy trạm Windows là một điều xấu mà phần mềm chống vi-rút sẽ giúp phát hiện.

ClamAV là một ứng dụng chống vi-rút F / LOSS phổ biến có thể dễ dàng cài đặt từ kho Ubuntu. Bài viết mà tôi đã liên kết để có hướng dẫn chi tiết cách cài đặt và định cấu hình ClamAV.

Cài đặt nó trên một dòng Debian như chính Debian hoặc bất kỳ biến thể Ubuntu nào thường đơn giản như sử dụng apt-get.

sudo apt-get cập nhật && sudo apt-get cài đặt clamav clamtk

Lệnh đó nên cài đặt clamav, Freshclam (trình cập nhật chữ ký) và giao diện người dùng đồ họa (clamtk). Bạn sẽ muốn cập nhật ClamAV ngay sau khi cài đặt để đảm bảo bạn có chữ ký mới nhất. Điều đó có thể được thực hiện từ bảng cài đặt trong giao diện người dùng ClamTK.

ClamTK-cần cập nhật

Hoặc bạn có thể làm điều đó từ dòng lệnh bằng lệnh Freshclam.

$ sudo Freshclam
Quá trình cập nhật ClamAV bắt đầu vào ngày 16 tháng 7 08:58:18 2017
main.cld được cập nhật (phiên bản: 58, sigs: 4566249, f-level: 60, builder: sigmgr)
Daily.cld được cập nhật (phiên bản: 23568, sigs: 1740160, f-level: 63, builder: neo)
bytecode.cld được cập nhật (phiên bản: 306, sigs: 65, f-level: 63, builder: raynman)

Tiếp theo, đảm bảo ClamAV sẽ quét mọi loại phần mềm độc hại trong tùy chọn Cài đặt.

ClamTK-select-all-Options-1

Cuối cùng, việc thiết lập lịch quét cũng có thể được thực hiện từ bảng Lập lịch.

ClamTK-lịch trình-thiết lập

ClamAV có thể được cài đặt trong các bản phân phối dựa trên Redhat Packagmage Manager (RPM) bằng cách sử dụng yum hoặc trình quản lý gói dành riêng cho bản phân phối.

sudo yum cài đặt clamav clamd

Rễ cây

Rootkit là một mối nguy hiểm khác và các chương trình chống vi-rút có thể không thể phát hiện ra chúng. Vì vi-rút chỉ có thể thực sự lây nhiễm vào hệ thống nếu nó được điều hành bởi người dùng root hoặc quản trị viên, nên một vectơ tấn công phổ biến cho Linux là lừa người dùng cài đặt một trong những rootkit này. Rootkit là một phần mềm độc hại có thể có được quyền cấp độ gốc trên hộp Linux mà người dùng không biết. Rootkit thường được gói cùng với các phần mềm khác, tìm kiếm hợp pháp, lừa người dùng trở thành root để cài đặt. Vào thời điểm đó, rootkit cũng cài đặt và vì quá trình cài đặt được thực hiện với tư cách là người dùng root, giờ đây rootkit cũng có quyền root. Rootkit rất khó phát hiện vì chúng có khả năng thay đổi bất kỳ tệp nào trên hệ thống, điều đó có nghĩa là chúng có thể che dấu vết của chúng. Tuy nhiên, một số kẻ xấu rất cẩu thả và việc quét tìm rootkit bằng ứng dụng như chkrootkit đôi khi có thể phát hiện ra nó. Nếu hệ thống của bạn đã bị nhiễm rootkit, cách hành động tốt nhất của bạn là giả định toàn bộ hệ thống đã bị xâm phạm và định dạng nó. Bạn cũng nên cảnh giác khi cài đặt bất kỳ ứng dụng nào từ bản sao lưu sau khi cài đặt lại hệ thống của bạn nếu bạn không thể xác định được rootkit đến từ đâu. Bạn có thể sẽ cài đặt lại rootkit.

Chkrootkit có thể được cài đặt từ kho Ubuntu bằng apt-get.

$ sudo apt-get cài đặt chkrootkit

Lệnh đồng quy trong hệ thống dựa trên RPM là:

$ sudo yum cài đặt chkrootkit

Để xem các thử nghiệm mà ckrootkit có thể thực hiện, hãy sử dụng công tắc -l (L):

$ chkrootkit -l
/ usr / sbin / chkrootkit: tests: aliens asp bindshell lkm rexedcs sniffer w55808 wted scalper slapper z2 chkutmp OSX_RSPLUG amd lsof mail mingetty netstat có tên passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute vdir w write

Lệnh sudo chkrootkit có thể được chạy mà không có bất kỳ tùy chọn nào sẽ chạy tất cả các bài kiểm tra. Có rất nhiều đầu ra từ loại kiểm tra này. Mức độ quan trọng của từng kết quả nằm ở cột bên phải và có thể nằm trong khoảng từ rootkit có thể đến các tệp đáng ngờ đến không tìm thấy gì.

Sarch cho Linux / Ebury – Chiến dịch Windigo ssh … Có thể Linux / Ebury – Cài đặt Windigo cài đặt

Tìm kiếm Linux Rootkit 64 bit … không tìm thấy gì

Tìm kiếm các tệp và thư mục đáng ngờ, có thể mất một lúc … Các tệp và thư mục đáng ngờ sau đây đã được tìm thấy:
/usr/lib/python3/dist-packages/PyQt4/uic/widget-plugins/.noinit

Kiểm tra ‘chfn’ … không bị nhiễm

Một quản trị viên hệ thống có thẩm quyền sẽ cần phải đánh giá các tin nhắn này. Rootkit, về bản chất, rất khó phát hiện nên chkrootkit thường chỉ có thể cho bạn biết khi thấy điều gì đó không hoàn toàn đúng. Một sysadmin sẽ cần điều tra từng trường hợp để xác định xem có rủi ro thực sự hay nếu đó là dương tính giả.

Bẫy ưu đãi

Thật khó để có một cuộc thảo luận về bảo mật Linux mà không có Tripwire. Tripwire là một hệ thống phát hiện xâm nhập dựa trên máy chủ. Điều đó chỉ có nghĩa là nó được cài đặt trên máy chủ (máy tính) thay vì mạng và nó có thể phát hiện nếu các tệp bị thay đổi bởi kẻ xâm nhập.

Tôi chỉ đề cập đến nó trong bài viết này để chỉ ra rằng Tripwire được thiết kế để sử dụng trên các máy chủ, không phải máy tính để bàn. Về mặt lý thuyết, có thể cài đặt nó trên máy tính để bàn, mặc dù đó không phải là mục đích của nó.

Bức tường lửa

Bây giờ chúng ta đã trở nên quen thuộc với tường lửa từ, nhưng có thể không rõ nó làm gì. Tường lửa thực, vật lý là một bức tường chống cháy ngăn chặn đám cháy trong một phòng lan sang phòng khác. Tường lửa thực sự là phổ biến trong các tòa nhà văn phòng và khu chung cư. Đưa khái niệm đó lên internet, tường lửa là phần mềm ngăn chặn lưu lượng truy cập từ một phân đoạn của mạng đi vào phân khúc khác. Cụ thể, nó dừng lưu lượng truy cập từ internet vào mạng gia đình của bạn trừ khi được yêu cầu cụ thể.

Hầu hết các nhà có thể có một bộ định tuyến ngày nay và bộ định tuyến thực hiện một số chức năng tường lửa cơ bản. Một bộ định tuyến không nên được cấu hình để chấp nhận các kết nối đến, nhưng tốt nhất là luôn luôn kiểm tra các hướng dẫn của bộ định tuyến để chắc chắn. Một kiểm tra kép tốt cho các cổng đến mở là Gibson Research Nhóm Shield Shield Up! kiểm tra cảng.

Các biến thể Ubuntu đi kèm với Tường lửa tối thượng (UFW) được cài đặt hoặc trong kho. Để xem nếu nó được cài đặt, hãy gõ ufw tại dòng lệnh. Nếu bạn nhận được một cái gì đó như $ ufw
LRI: không đủ args sau đó nó được cài đặt. Nếu nó không được cài đặt, apt-get sẽ làm điều đó cho bạn. Tùy chọn, cài đặt gufw nếu bạn muốn giao diện người dùng đồ họa định cấu hình UFW, mặc dù nó cực kỳ dễ xử lý chỉ từ trình bao.

$ sudo apt-get cài đặt ufw gufw

UFW sẽ không kích hoạt sau khi cài đặt.

$ sudo ufw trạng thái
Tình trạng: không hoạt động

Bạn cần phải thực hiện một hoặc hai quy tắc trước, sau đó bạn có thể kích hoạt nó. Để chỉ cho phép truy cập IP của tôi thông qua SSH, lệnh này trông như thế này (sử dụng IP của riêng bạn, không phải 11,22.33.44):

$ sudo ufw cho phép proto tcp từ 11,22.33.44 đến bất kỳ cổng 2222 nào

Để kiểm tra xem có mất không, sử dụng trạng thái:

$ sudo ufw trạng thái
Trạng thái: Đang hoạt động

Hành động từ
— —— —-
2222 CHO PHÉP 11,22.33,44

Để loại bỏ một quy tắc, nó dễ dàng nhất để thực hiện theo quy tắc. Chạy trạng thái với tùy chọn số đó và sau đó xóa quy tắc số đó:

$ sudo ufw trạng thái được đánh số
Trạng thái: Đang hoạt động

Hành động từ
— —— —-
[1] 2222 CHO PHÉP TRONG 11,22.33.44 $ sudo ufw xóa 1
Xóa:
cho phép từ 11,22.33,44 đến bất kỳ cổng 2222 proto tcp
Tiến hành hoạt động (y | n)?

Để kích hoạt tường lửa, sử dụng enable:

$ sudo ufw cho phép
Lệnh có thể phá vỡ các kết nối ssh hiện có. Tiến hành hoạt động (y | n)? y
Tường lửa đang hoạt động và được bật khi khởi động hệ thống

Để tắt nó, sử dụng vô hiệu hóa:

$ sudo ufw vô hiệu hóa
Tường lửa dừng và tắt khi khởi động hệ thống

UFW thực sự chỉ là một giao diện người dùng cho IPTables vì ​​bạn có thể thấy nếu bạn chạy sudo iptables -L khi UFW được bật. Có nhiều giao diện người dùng cho IPTables hoặc IPTables có thể được sử dụng trực tiếp, nhưng UFW làm cho nó rất dễ dàng.

Giao diện người dùng đồ họa cho phép tất cả các chức năng giống nhau.

Kích hoạt UFW

Cập nhật

Một số vectơ tấn công dễ khai thác nhất trong bất kỳ phần mềm nào đều được biết là điểm yếu. Theo cách nói của hacker, thuật ngữ [khai thác 0 ngày] (https://en.wikipedia.org/wiki/Zero-day_ (tính toán) (hoặc chỉ 0 ngày) dùng để chỉ một khai thác đã được phát hiện nhưng chưa được biết đến bởi nhà cung cấp phần mềm. Thực tế, điều này mang lại cho nhà cung cấp 0 ngày để sửa nó một khi họ nhận ra điều đó. Điều này có nghĩa là zero-day là nguy hiểm nhất trong tất cả các khai thác vì kẻ xấu đang tích cực khai thác nó trong khi nhà cung cấp đang chạy đua để vá nó. Sớm hay muộn, nhà cung cấp sẽ vá nó và đưa ra bản cập nhật cho sản phẩm của họ, đóng cửa khai thác.

Khi nhà cung cấp phát hành bản vá, lỗ hổng sẽ được biết đến rất rộng rãi. Những kẻ xấu khác chưa biết về lỗ hổng này có thể tải xuống bản cập nhật và phân tích nó. Trong nhiều trường hợp, họ có thể khám phá những gì khai thác dựa trên những gì đã được thay đổi trong bản cập nhật. Sau đó, họ có thể sử dụng thông tin này để săn lùng các phiên bản của ứng dụng này chưa được cập nhật.

Bạn có thể suy ra rằng việc chờ đợi để cập nhật phần mềm trên máy tính của bạn chỉ đơn giản là để hệ thống của bạn mở trong một khoảng thời gian dài hơn khi nó có thể bị tấn công thành công. Điều quan trọng là áp dụng các bản cập nhật, ít nhất là các bản cập nhật bảo mật cho hệ thống của bạn, ngay khi thiết thực sau khi chúng có sẵn.

Là một ví dụ cực kỳ đồ họa về sự nguy hiểm của 0 ngày, cuộc tấn công ransomware WannaCry gần đây đã lây nhiễm hơn một phần tư triệu máy tính ở hơn 150 quốc gia đã sử dụng khai thác 0 ngày trong giao thức Microsoft Windows Server Message Block (SMB) có tên EternalBlue. Trong trường hợp này, EternalBlue không phải là mới; người ta thường đồng ý rằng nó đã được Cơ quan An ninh Quốc gia Hoa Kỳ phát hiện ra cách đây nhiều năm. Thay vì thông báo cho Microsoft về lỗ hổng vào thời điểm đó, NSA đã giữ im lặng về nó và sử dụng nó để tấn công các máy tính trên toàn thế giới trong nhiều năm. NSA chỉ tiết lộ lỗ hổng cho Microsoft sau khi khai thác bị đánh cắp từ họ bởi nhóm tin tặc The Shadow Brokers và công bố với thế giới.

Internet

Internet là hệ thống phân phối phần mềm độc hại hiệu quả nhất từng được con người nghĩ ra. Bất cứ ai, bất cứ nơi nào cũng có thể gửi phần mềm độc hại cho bạn thông qua các phương thức phổ biến hàng ngày như email. Nếu bạn rơi vào nó và cài đặt phần mềm độc hại, thì máy tính của bạn có thể bắt đầu gửi dữ liệu cho kẻ xấu qua internet ngay lập tức. Trong trường hợp của ransomware, nó sẽ trở nên khá rõ ràng khá nhanh khi máy tính của bạn bị nhiễm bệnh. Tuy nhiên, nếu phần mềm độc hại được thiết kế để tuyển dụng máy tính của bạn vào mạng botnet hoặc âm thầm đăng nhập tất cả tên người dùng và mật khẩu của bạn, bạn có thể không bao giờ nhận thấy nó được cài đặt trừ khi bạn sử dụng phần mềm chống vi-rút và phần mềm độc hại.

Một kẻ xấu có thể khó vượt qua tường lửa, bộ định tuyến và chống vi-rút. Nó dễ dàng tấn công từ bên trong hơn bằng cách lừa bạn chạy các chương trình. Trong khi nhiều người trong chúng ta đang trở nên hiểu biết về các email lừa đảo, thì việc phát hiện các cuộc tấn công tải xuống bằng ổ đĩa khó hơn nhiều. Các cuộc tấn công bằng lái xe đề cập đến các trang web tải Javascript độc hại hoặc nội dung thực thi khác vào trình duyệt của bạn mà bạn không biết về nó. Trong số nhiều cách để làm điều này, Javascript và Flash, là những kẻ phạm tội tồi tệ nhất.

Javascript

Lướt web với Javascript được kích hoạt là mời tấn công. Có nhiều người sẽ nói rằng Internet bị hỏng hoàn toàn nếu không có Javacript và do đó, nó không thực tế để tắt nó, nhưng điều đó không đúng. Sử dụng một plugin như ScriptBlock cho Chrome hoặc NoScript cho Firefox sẽ cho phép bạn truy cập bằng một cú nhấp chuột để bật Javascript cho các trang web cần nó. Vị trí mặc định là tắt Javascript và sau đó kích hoạt nó trên cơ sở từng trang web. Điều này có nghĩa là các lượt truy cập trong tương lai vào các trang web mà bạn đã tin tưởng sẽ được phép chạy Javascript.

Tốc biến

Adobe Flash nguy hiểm đến nỗi tôi đã viết toàn bộ nội dung về chủ đề lỗ hổng Flash. Flash có một trong những tỷ lệ lỗ hổng nghiêm trọng cao nhất của bất kỳ phần mềm nào mà tôi nhận ra.

NoScript cho Firefox chặn Flash cũng như Javascript và Chrome đã tắt Flash theo mặc định. Bạn phải đi ra khỏi http: // chrome / settings / content để bật Flash trong Chrome. Nếu bạn cần làm như vậy, bạn có thể sử dụng một plugin như Flashcontrol để kiểm soát những trang web nào được phép thực thi Flash.

Mạng riêng ảo (VPN)

Logo OpenVPN

VPN là một lớp bảo mật tiêu chuẩn mà hầu hết mọi người có ý thức về bảo mật và quyền riêng tư đều biết. Máy tính để bàn Linux chỉ là một máy kết nối internet khác và do đó, không có biện pháp bảo vệ đặc biệt nào chống lại việc rình mò mạng. Do đó, sử dụng VPN trên máy Linux cũng cần thiết như sử dụng VPN với bất kỳ hệ điều hành nào khác.

Khi sử dụng VPN, lưu lượng truy cập mạng rời khỏi máy tính để bàn của bạn được mã hóa và không được giải mã cho đến khi nó đến máy chủ VPN mà bạn sử dụng. Lưu lượng truy cập đến được mã hóa tại máy chủ VPN và chỉ được giải mã khi nó đến trên máy của bạn. Điều đó có nghĩa là bạn được bảo vệ phần nào trước việc rình mò bởi ISP của bạn. Nếu bạn sử dụng mạng trong trường hợp bạn sử dụng mạng không tin cậy, chẳng hạn như wifi công cộng, thì VPN là điều cần thiết vì mã hóa sẽ ngăn kẻ xấu trên cùng mạng đó có thể đọc các gói của bạn.

Ngày càng có nhiều hỗ trợ cho VPN hỗ trợ Linux. Nếu bạn có chút hiểu biết về công nghệ, bạn có thể chọn xây dựng máy chủ VPN của riêng mình bằng cách sử dụng phiên bản Amazon EC2. Nếu bạn chỉ muốn có một cái gì đó hoạt động tốt, thì so sánh bạn sẽ duy trì một danh sách các nhà cung cấp Linux VPN tại đây.

OpenVPN là giao thức VPN phổ biến nhất trên Linux và nhiều dịch vụ của nhà cung cấp thực sự sử dụng OpenVPN. OpenVPN rất phổ biến vì nó sử dụng giao thức SSL đáng tin cậy, có thể hoạt động trên bất kỳ cổng nào và hỗ trợ Bảo mật Chuyển tiếp Hoàn hảo. Nếu bạn sử dụng VPN do nhà cung cấp cung cấp, hãy tìm VPN sử dụng OpenVPN.

Tải về toàn vẹn

Các email lừa đảo thường cố gắng khiến bạn thực hiện một trong hai điều sau: lừa bạn đăng nhập vào trang giả mạo để kẻ xấu có thể đánh cắp tên người dùng và mật khẩu của bạn hoặc lừa bạn cài đặt một số phần mềm vào hệ thống của bạn sẽ có lợi cho kẻ xấu một cách nào đó. Khi hiệu quả của email lừa đảo giảm xuống, kẻ xấu phải tìm cách khác để lừa chúng tôi. Một trong những cách đó là làm cho phần mềm độc hại của chúng trông giống như phần mềm tốt và chúng tôi cài đặt nó trên mục đích.

Tiện ích mở rộng phần mềm độc hại thường sẽ cài đặt quảng cáo trên hệ thống của bạn hoặc chuyển hướng tìm kiếm của bạn sang một số công cụ tìm kiếm tạo doanh thu hoặc chúng sẽ cài đặt các ứng dụng khác mà bạn không muốn dùng cùng với tiện ích mở rộng bạn muốn. Thực tế này phổ biến đến mức những kẻ xấu đang mua các tiện ích mở rộng bị bỏ rơi với xếp hạng tốt và tiêm phần mềm độc hại vào chúng. Điều này hiệu quả hơn so với việc phát triển một tiện ích bổ sung mới bởi vì các tiện ích bổ sung mới bắt đầu không có xếp hạng và phải chịu sự giám sát cao hơn bởi các cửa hàng tiện ích bổ sung của trình duyệt.

Nguồn tải xuống

Điều quan trọng là phải cảnh giác với chính xác những gì bạn tải về và tải xuống từ đâu. Ví dụ, tải xuống một chương trình chống vi-rút từ trang web hợp pháp của nhà cung cấp có lẽ là OK. Tải xuống từ một số trang web của bên thứ ba với một tên miền mà dường như không liên quan đến nhà cung cấp có lẽ không ổn. Điều này cũng áp dụng cho kho lưu trữ phân phối Linux, được trình bày sau trong bài viết này.

Tổng kiểm tra hồ sơ

Một số ứng dụng không thực sự có lợi khi được tải xuống từ một vị trí như trang web của nhà cung cấp. Nhiều ứng dụng, đặc biệt là các ứng dụng bảo mật và quyền riêng tư, được phân phối trên các phương thức khác như torrent. Nếu không có một nguồn tải xuống có thể nhận dạng duy nhất, sẽ khó xác định hơn nếu bạn có thể hoàn toàn tin tưởng vào ứng dụng. Một phương pháp mà một số tác giả phần mềm sử dụng là cung cấp tổng kiểm toán cho ứng dụng của họ. Sau đó, người dùng có thể chạy cùng một hàm toán học đối với tệp họ đã tải xuống và nếu hai tổng khớp khớp nhau, thì có khả năng tệp đó đã không bị thay đổi.

MD5

Mặc dù MD5 đã không được coi là một tổng kiểm tra đáng tin cậy, nhưng nó vẫn được sử dụng rộng rãi. Sử dụng chkrootkit làm ví dụ, tôi thấy rằng chữ ký MD5 cho tệp zip được xuất bản trên trang web chkrootkit dưới dạng a6d7851f76c79b29b053dc9d93e0a4b0. Tôi có thể tin tưởng rằng vì nó xuất phát trực tiếp từ một liên kết trên trang web chkrootkit chính thức.

Sau đó, tôi nhận được một bản sao của cùng một tệp zip từ một torrent hoặc một số nguồn khác và chạy md5sum đối với tệp mới tải xuống của mình:

$ md5sum chkrootkit-m.zip
a6d7851f76c79b29b053dc9d93e0a4b0 chkrootkit-m.zip

Vì tổng kiểm trùng khớp, đó là một đảm bảo hợp lý rằng tệp không bị vô tình làm hỏng. Nhưng, do các điểm yếu trong thuật toán MD5, nên có thể đảm bảo rằng tệp không bị thay đổi và chế tạo theo cách cố ý để đảm bảo tổng kiểm MD5 không thay đổi.

Quá trình tương tự với một thuật toán mạnh hơn sẽ cung cấp mức độ tin cậy cao hơn mà việc tải xuống không bị thay đổi. Sử dụng chữ ký SHA256 để tải xuống OpenOffice là một ví dụ. Chữ ký OpenOffice SHA256 có trên trang tải xuống OpenOffice

f54cbd0908bd918aa42d03b62c97bfea485070196d1ad1fe27af892da1761824 Apache_OpenOffice_4.1.3_Linux_x86_install-deb_en-GB.tar.gz

Tôi cần cả tệp tổng kiểm tra SHA256 cũng như bản tải xuống cùng tên của tôi để thực hiện công việc này:

$ ls -l Apache_OpenScript *
-rw-rw-r– 1 xxx xxx 145578419 Ngày 16 tháng 7 10:11 Apache_OpenOffice_4.1.3_Linux_x86_install-deb_en-GB.tar.gz
-rw-rw-r– 1 xxx xxx 125 16 tháng 7 10:11 Apache_OpenOffice_4.1.3_Linux_x86_install-deb_en-GB.tar.gz.sha256
$
$ sha256sum -c Apache_OpenOffice_4.1.3_Linux_x86_install-deb_en-GB.tar.gz.sha256
Apache_OpenOffice_4.1.3_Linux_x86_install-deb_en-GB.tar.gz: OK

OK ở cuối dòng cuối cùng có nghĩa là tệp tar.gz Tổng kiểm tra SHA256 khớp với.

Repos đáng tin cậy

Đường dẫn cài đặt đầu tiên cho hầu hết người dùng Linux là kho lưu trữ phân phối. Sử dụng các công cụ như yum hoặc apt-get là một cách thuận tiện để cài đặt phần mềm được biết là tương thích với bản phân phối cụ thể của bạn. Các repos đó được kiểm tra và hiệu đính bởi các nhà bảo trì phân phối, do đó, có một mức độ tin cậy khá cao rằng các ứng dụng trong repos là an toàn. Mặc dù có thể phát hiện ra rằng một ứng dụng có một số lỗ hổng cố hữu, nhưng sẽ rất khó để ai đó thay đổi một cách độc hại một ứng dụng trong một repo và đưa sự thay đổi đó qua người gác cổng.

Phải nói rằng, có rất nhiều repos không chính thức và những cái đó không được bảo vệ gì cả. Trong Ubuntu, có thể thêm một repo phần mềm bằng cách sử dụng apt-get và tên của Lưu trữ gói cá nhân (PPA) như vậy và thay thế REPOSITORY_NAME bằng repo hiện hành.

sudo apt-add-repository ppa: REPOSITORY_NAME

Lưu ý rằng bạn phải sử dụng lệnh sudo để thêm kho lưu trữ. Đây là một dấu hiệu cho thấy bằng cách đó, bạn đã tin tưởng vào phần mềm trong PPA đó. Bạn cũng sẽ sử dụng sudo để cài đặt phần mềm từ PPA đó khi đến lúc, vì vậy điều quan trọng là phải chắc chắn rằng bạn tin tưởng nó.

Nhiều PPA được các nhà phát triển Ubuntu cung cấp như một cách để cung cấp nhiều phần mềm hiện tại chưa được đưa vào Ubuntu hoặc để cung cấp phần mềm hoàn toàn không có trong Ubuntu. Tuy nhiên, về cơ bản, bạn cài đặt phần mềm từ một nguồn không xác định, vì vậy cần cân nhắc các biện pháp phòng ngừa tương tự như tải xuống từ trang web.

Opsec

Các hoạt động bảo mật hoạt động (OpSec) không khác gì trong Linux so với bất kỳ hệ điều hành nào khác. OpSec là một thông lệ mà một kẻ thù có thể sử dụng để thu thập một lượng lớn thông tin có vẻ tầm thường và không liên quan đến bạn, và sau đó kết hợp tất cả lại để làm một việc rất không tầm thường và gây tổn hại. Các ví dụ cổ điển đang cố gắng sử dụng các kỹ thuật kỹ thuật xã hội để có được thông tin khôi phục mật khẩu, chẳng hạn như tên mẹ con gái và tên của thú cưng đầu tiên, sau đó sử dụng thông tin đó để xâm nhập vào tài khoản Amazon hoặc Apple. Từ đó, ngày sinh, địa chỉ gửi thư và có thể có được một số thông tin thẻ tín dụng có thể đạt được cho phép leo thang tấn công hơn nữa đến một mức độ quan trọng hơn như chuyển khoản ngân hàng.

Những cân nhắc quan trọng hàng ngày của OpSec là những thứ như:

  • Không sử dụng lại mật khẩu trên các trang web. Hơn 50 triệu tài khoản đã bị hack và bán kể từ khi Have I Been Pwned bắt đầu. Những bãi rác đó là vàng đối với những kẻ xấu bởi vì chúng biết rằng nhiều kết hợp tên người dùng và mật khẩu sẽ hoạt động trên nhiều trang web.
  • Sử dụng xác thực hai yếu tố nếu có. Xác thực hai yếu tố (2FA) có nghĩa là bạn phải cung cấp hai loại xác thực để đăng nhập vào tài khoản của mình. Đầu tiên thường là mật khẩu của bạn. Thứ hai thường là một mã số được cung cấp bởi một ứng dụng xác thực như Google Authenticator hoặc được gửi qua tin nhắn văn bản SMS đến điện thoại của bạn. Mã số thay đổi, thường là mỗi phút hoặc mỗi lần sử dụng. Lợi thế bảo mật ở đây là nếu một kẻ xấu có thể lấy được tên người dùng và mật khẩu của bạn, thì vẫn không thể đăng nhập vào tài khoản của bạn nếu không có mã 2FA đó. Chỉ một số lượng nhỏ các trang web hỗ trợ 2FA tại thời điểm này, nhưng bạn nên kích hoạt nó bất cứ khi nào có thể.
  • Tìm kiếm để tránh việc xuất bản thông tin cá nhân như địa chỉ của bạn hoặc ngày sinh trực tuyến. Thông tin địa chỉ thường khá dễ tìm vì rất nhiều tổ chức xuất bản những thứ như danh sách thành viên hoặc hồ sơ quyên góp.
  • Mã hóa: Ít nhất, hãy sử dụng mã hóa ổ đĩa và đảm bảo máy tính của bạn bị tắt khi bạn không sử dụng nó. Điều đó sẽ mã hóa ổ cứng của bạn vì vậy ngay cả khi nó bị đánh cắp, sẽ rất khó để khôi phục dữ liệu từ nó. Ở cấp độ cao hơn, sử dụng mã hóa tệp cho các tệp nhạy cảm hơn của bạn để chúng được mã hóa ngay cả khi máy tính đang chạy hoặc ở chế độ chờ.
  • Sử dụng trình quản lý mật khẩu. Theo quy tắc số 1 (không sử dụng lại mật khẩu) gần như không thể nếu không sử dụng trình quản lý mật khẩu. Số lượng mật khẩu cần thiết để điều hướng ngày hôm nay Internet Internet sẽ nhanh chóng vượt quá khả năng quản lý chúng theo cách thủ công. Ngoài ra, hầu hết các trình quản lý mật khẩu đều có chức năng ghi chú. Điều này rất hữu ích vì không có lý do nào để sử dụng các câu trả lời thực tế cho các câu hỏi khôi phục mật khẩu. Tạo ra các câu trả lời sai và sau đó lưu trữ chúng dưới dạng ghi chú trong trình quản lý mật khẩu của bạn có thể loại bỏ những kẻ xấu ngay cả khi chúng đã có được câu trả lời đúng.

Chốt lại, bảo mật là một công việc 24/7. Không có điểm nào bạn sẽ thực hiện đủ bảo mật và bạn sẽ được thực hiện bảo mật máy tính của mình. Theo những điều cơ bản mà tôi đã đặt ra ở đây sẽ khiến bạn bị treo trái cây cao và khó hơn cho các tin tặc thông thường xâm nhập. Các mối đe dọa phát triển hàng ngày, tuy nhiên, và bạn có thể cần phải thay đổi thực hành để theo kịp. Nó cũng tốt nhất để lên kế hoạch trước. Xem xét những gì bạn sẽ làm khi bạn bị hack, không phải nếu bạn bị hack. Một chút chuẩn bị có thể làm cho ngày đó bớt căng thẳng hơn rất nhiều.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me