Linux cho lĩnh vực Tư pháp và Điều tra số (1) - Giới thiệu hệ điều hành Slackware

[- Sản phẩm của Nhóm dịch

- Học nên hướng đến một nghề cụ thể sẽ cuốn hút hơn

- Sinh viên theo nghề mạng (an ninh mạng, bảo mật mạng, ứng cứu sự cố, DevOps), nên đọc và thực hành theo]

Linux OS (The Law Enforcement and Forensic Examiner’s Introduction to Linux)

Từ điển chuyên ngành 

Hướng dẫn:

Trong bản word này, phần nào được tô màu vàng là phần của mình đang dịch và hiệu đính. Nên các bạn sẽ dịch cùng mình từ phần tô vàng trở đi (bạn nào muốn học dịch cứ theo dõi, và dịch theo phần mình đang dịch nha, so sánh cách dịch của mình và của bạn). Ngoài ra các bạn có thể dịch bất kì phần nào ở phía sau, thích phần nào, dịch phần đó. 

Rảnh giờ nào, dịch giờ đó, làm việc online

Tuần gặp nhau 1 buổi để trao đổi thêm, tám chuyện, theo lịch này

Linux cho lĩnh vực Tư pháp và Điều tra số

(The Law Enforcement and Forensic

Examiner’s Introduction to Linux)

  1. Cài đặt 

Đã từ lâu, hệ điều hành Linux luôn bị phàn nàn là không có khả năng “tự động phát hiện” phần cứng, khi bạn gắn nó vào máy tính. Tuy nhiên, sau nhiều năm, phần nhân (phần lõi, kernel) - bộ não của hệ điều hành - Linux đã có nhiều cải tiến. Nếu trước đây, việc nhận diện và cấu hình phần cứng là trở ngại đáng kể cho những người mới dùng Linux, thì hiện nay, mặc dù thỉnh thoảng vẫn có thể gặp trục trặc khi cài đặt máy trạm Linux, nhưng nó không còn rắc rối nữa. Chức năng “tự động phát hiện phần cứng mới” đã trở thành một tiêu chuẩn, và hầu hết các bản Linux đều có thể cài đặt các phần cứng khá đơn giản, thậm chí đối với cả các phần cứng mới nhất.

Đối với hầu hết máy tính hiện nay, trình điều khiển (driver) và các thiết lập mặc định của hệ điều hành sẽ tự động nhận diện và làm việc được với các hệ thống dù là cũ hay mới. Khả năng hỗ trợ trực tuyến cho hệ điều hành đã tốt hơn nhiều so với 10 năm trước đây, và hầu hết các trục trặc đều có thể khắc phục được khi tìm kiếm các giải pháp trên Internet. Thông thường, các thiết bị/phần mềm hoạt động hiệu quả trên một phiên bản của hệ điều hành thì cũng sẽ hoạt động tốt trên các phiên bản khác. Điều này không phải lúc nào cũng đúng, nhưng nếu bạn đã quen thuộc với hệ thống của bạn rồi, thì rất dễ để tìm ra giải pháp và áp dụng chúng trong mỗi tình huống gặp phải.

Các bản Linux mới nhất có khả năng tự động phát hiện phần cứng rất tốt. Tuy nhiên, việc hiểu biết về các phần cứng bạn đang sử dụng sẽ rất hữu ích khi hệ thống gặp sự cố, nó giúp bạn nhanh chóng tìm ra được giải pháp để khắc phục.

Tối thiểu, bạn phải hiểu biết về những thứ sau:

  • Phân vùng đĩa cứng: kích thước và các phân vùng đĩa cứng

  • Cấu hình mạng: tính tương thích của cạc mạng, cấu hình địa chỉ mạng (dùng DHCP hay cấu hình bằng tay)

  • Khả năng hỗ trợ thiết bị của bo mạch chính (motherboard): bluetooth, wifi

Hầu hết các phiên bản hệ điều hành đều có rất nhiều tài liệu hướng dẫn đi kèm, gồm tài liệu trực tuyến và sổ tay giúp đỡ có sẵn trong hệ điều hành. Khi gặp vấn đề liên quan đến tương thích phần cứng, bạn chỉ việc tìm kiếm trên web là có ngay các giải pháp khắc phục, kèm theo đó là rất nhiều các tài nguyên học tập về Linux, bạn hãy tận dụng chúng để học. Khi gặp sự cố, bạn nên tìm kiếm các trường hợp bị lỗi tương tự để tìm giải pháp khắc phục, chứ không nên cứ gặp lỗi là nhảy vào diễn đàn để  đặt câu hỏi hoặc nhờ sự trợ giúp.

  1. Các bản phân phối của Linux

Họ hệ điều hành Linux có nhiều phân nhánh khác nhau. Chúng thường được gọi là các “bản phân phối Linux” (Linux distribution) hoặc “distro”. Các bản phân phối này khác nhau về cấu hình của kernel, các công cụ đi kèm và đường dẫn cài đặt/nâng cấp các gói phần mềm.

Bạn thường nghe người dùng than phiền rằng thiết bị X hoạt động được với bản phân phối này nhưng lại không hoạt động được trên bản phân phối khác. Hoặc thiết bị Y không hoạt động được trên phiên bản này, nhưng khi đổi phiên bản khác thì lại hoạt động được. Vấn đề ở đây chính là bạn đang sử dụng phiên bản nào (version) của nhân Linux, vì vậy bạn chỉ cần cập nhật bộ điều khiển thiết bị (driver) cho bản phân phối Linux là giải quyết được vấn đề.

Gần đây, chúng ta thấy sự xuất hiện ngày càng nhiều các bản phân phối Linux chuyên dụng, hoặc ở một khía cạnh nào đó, có thể được xem là chuyên dụng. Tất nhiên, vẫn có các bản phân phối Linux cho các máy trạm thông thường như Arch, CentOS, Debian, Ubuntu, Slackware, Gentoo. Các bản phân phối chuyên dụng được thiết kế và phân phối cho một nhóm đối tượng cụ thể như chuyên gia kiểm thử xâm nhập (pen-tester), chuyên viên quản trị mạng (enterprise admin).

Dưới đây là một số bản phân phối chuyên dụng, nó có thể hữu ích cho người đọc tài liệu này:

  • Parrot OS: bản phân phối dùng trong lĩnh vực điều tra số, kiểm thử xâm nhập và bảo mật

  • SANS SIFT Workstation: bản phân phối dùng trong lĩnh vực điều tra số, ứng phó sự cố; được hỗ trợ rộng rãi, cập nhật thường xuyên, và cung cấp đầy đủ các công cụ giúp bạn thực hiện một cuộc điều tra số, phân loại, ứng phó sự cố. 

  • Blackarch Linux: một bản phân phối dùng trong lĩnh vực bảo mật, dựa trên Arch Linux, bao gồm rất nhiều các công cụ liên quan đến lĩnh vực bảo mật

  • Kali Linux: bản phân phối dùng trong lĩnh vực bảo mật và kiểm thử xâm nhập

Trong lĩnh vực bảo mật, họ hệ điều hành Linux còn rất nhiều các bản phân phối khác, như các bản khởi động (bootable distro), bản rút gọn (lightweight distro). Tuy nhiên, bạn đừng quá bận tâm tới việc có quá nhiều các bản phân phối của Linux, hãy chọn một bản phân phối phổ biến, cài đặt và học cách sử dụng nó.

Hầu hết các bản phân phối Linux đều có thể sử dụng trong lĩnh vực điều tra số. Phần lớn những người mới sử dụng Linux đều có xu hướng chọn hệ điều hành Ubuntu. Vì Ubuntu có cộng đồng hỗ trợ lớn và nhiều phần mềm điều tra số được tạo ra để chạy trên Ubuntu. Ở góc độ cá nhân, tôi thấy Ubuntu không phải là lựa chọn lý tưởng khi học Linux. Ý tôi không phải là Ubuntu và các biến thể của nó không thể dùng trong việc điều tra số, mà do mục đích của tài liệu này là tập trung vào việc tìm hiểu hoạt động của hệ điều hành, nên việc bắt đầu với một hệ thống đơn giản sẽ phù hợp hơn. Chúng ta sẽ tập trung tìm hiểu một bản phân phối ít tính năng và giống với Unix.

Nếu bạn chưa biết bắt đầu từ đâu, sẽ sử dụng cuốn sách này làm tài liệu tham khảo chính, và chủ yếu quan tâm tới các ứng dụng điều tra số chạy trên Linux, thì tôi đề xuất bạn nên sử dụng hệ điều hành Slackware. Tính từ khi có bản phân phối thương mại đầu tiên, Slackware đã tồn tại nhiều thập kỷ, là một hệ điều hành Linux chuẩn, theo trường phái Unix. Không quan tâm tới các công cụ có cấu hình GUI, Slackware vẫn là hệ điều hành Linux giống UNIX nhất hiện nay. Theo quan điểm và đánh giá của cá nhân, Slackware là một trong những lựa chọn tốt nhất cho lĩnh vực điều tra số. Tài liệu này được viết dựa trên Slackware, tuy nhiên bạn vẫn có thể thực hiện trên các bản phân phối khác của Linux.

Một điều cần lưu ý: như đã đề cập ở phần trước, nếu bạn dự định sử dụng máy trạm Linux để làm điều tra số, thì cố gắng không phụ thuộc quá nhiều vào các công cụ GUI. Đa số các cài đặt và cấu hình trong nhiều bản phân phối Linux để được lưu trong các tập tin văn bản (thường ở trong thư mục home hoặc /etc), hoặc có thể truy cập bằng các công cụ dòng lệnh. Nếu bạn học được cách chỉnh sửa các tập tin cấu hình dạng văn bản sẽ giúp bạn không gặp trở ngại khi hệ thống X Window, hoặc GUI không tồn tại hoặc không thể truy cập. Ngoài ra, với những hiểu biết về các tập tin cấu hình dạng văn bản sẽ giúp bạn biết được cái gì là “cấu hình mặc định của hệ thống”, cái gì có thể thay đổi trên hệ thống Linux. Hiểu được các tập tin cấu hình của Linux cũng là một trải nghiệm có giá trị.

  1. Tìm hiểu về hệ điều hành Slackware

Các bản phân phối Linux có kiến trúc khác nhau, nên có thể cùng một lệnh, nhưng tùy theo bản phân phối sẽ cho ra kết quả hoặc hành vi khác nhau. Ngoài ra, một số phần trong tập tin cấu hình, đoạn mã khởi động, hoặc tập tin cài đặt phần mềm sẽ có một vài khác biệt, tùy theo bản phân phối bạn đang sử dụng.

Nếu bạn đang lựa chọn một bản Linux để học và dựa theo tài liệu này, thì tôi vẫn đề nghị bạn là nên lựa chọn Slackware. Đây là bản phân phối ổn định, không sử dụng các hệ thống quản lý tập tin mới, không sử dụng các tập tin tự động cấu hình; bởi nó không chạy theo thị hiếu của người dùng, điều đó có thể làm cản trở công việc của một người điều tra số. Các chương trình và thư viện đi kèm với Slackware thường không thay đổi theo các đợt cập nhật (upstream), nghĩa là Slackware không cập nhật các bản vá (patch). Điều này, giúp hệ điều hành dễ dàng hơn khi nhận hỗ trợ từ các nhà phát triển ban đầu. Các phần hướng dẫn chi tiết của tài liệu này sẽ tập trung vào việc cài đặt bản Slackware 64-bit cơ bản.

Mặc định, khi cài đặt, Slackware cho phép sử dụng các bản phân vùng đĩa (partition) có sẵn, do người dùng thiết lập trên đĩa cứng. Do vậy, bạn không phải cần đến các kĩ thuật quản lý đĩa phức tạp, hoặc các phần mềm gom nhóm ổ đĩa. Nội dung của bảng phân vùng đĩa, hệ thống quản lý tập tin (ví dụ fstab) hoàn toàn do người dùng kiểm soát.

Slackware là hệ điều hành ổn định, nhất quán và đơn giản. Thực tế thì các bản Linux đều gần như nhau, tuy nhiên nên chọn một bản đơn giản để bắt đầu.

  1. Cài đặt

- Tải tập tin cài đặt của Slackware có chức năng khởi động, thường ở dạng ISO. Địa chỉ: https://mirrors.slackware.com/slackware/slackware-iso/ hoặc vào trang chính thức của Slackware để tìm kiếm http://www.slackware.com.

- Chọn bản mới nhất slackware64-15.0-iso để tải về máy, kích thước tập tin khoảng 3.5GB.

- Với hầu hết các quy trình cài đặt hiện nay, các công việc đều được làm tự động hoặc hệ thống sẽ hướng dẫn bạn các bước làm cần thiết và cung cấp các lựa chọn mặc định khá an toàn. Như đã nói ở phần trước, tính năng phát hiện phần cứng đã có nhiều cải tiến trong những năm gần đây. Nhiều bản phân phối của Linux hiện nay cho phép bạn cài đặt dễ dàng và nhanh hơn nhiều so với một số hệ điều hành phổ biến khác. Tài liệu và các sách hướng dẫn cài đặt có rất nhiều trên mạng, hoặc được đính kèm trong các bản phân phối.

Để bắt đầu, bạn nên làm quen với các quy tắc đặt tên của phân vùng (partition), của ổ đĩa (disk) trong Linux (được đề cập trong chương II của tài liệu này).

---

Nhóm dịch

- Lê Gia Công

- Đoàn Trương Duy Khang

---

Cập nhật: 22/1/2024