Name Resolution trong Linux: DNS -

Trong mọi hệ thống Linux, việc phân giải tên miền (Name Resolution) là một thành phần then chốt. Nếu DNS bị cấu hình sai hoặc bị lợi dụng, hậu quả có thể là mất khả năng truy cập dịch vụ, thậm chí dẫn tới lừa đảo và đánh cắp thông tin nhạy cảm. Bài viết này giúp anh em network engineer & security engineer hiểu rõ cách Linux xử lý Name Resolution và những điểm cần lưu ý về bảo mật.

1. DNS trong Linux: Cơ chế phân giải tên

Linux dựa vào DNS (Domain Name System) để ánh xạ giữa hostname và địa chỉ IP. Ví dụ: khi bạn gõ vnpro.vn, hệ thống sẽ phải hỏi DNS server để tìm ra địa chỉ IP thực sự. Nếu DNS không hoạt động đúng, mọi dịch vụ phụ thuộc vào nó (web, email, VPN…) đều bị gián đoạn.

2. Các file cấu hình quan trọng trong Name Resolution

a. `/etc/resolv.conf`

Đây là file cấu hình chính cho DNS trong Linux. Nó chỉ ra danh sách DNS server và search domain.

Ví dụ:

search example.com local.lan nameserver 172.16.1.254 nameserver 172.16.2.254

search → thêm domain khi hostname không có phần đuôi.

nameserver → chỉ định DNS server theo IP. Có thể khai báo nhiều server để fallback.

Lưu ý bảo mật: Nếu trong file này xuất hiện public DNS (8.8.8.8, 8.8.4.4, 1.1.1.1, 4.2.2.1…) mà không được phép, có thể là do user cố tình bypass DNS doanh nghiệp hoặc do malware thay đổi cấu hình.

b. `/etc/hosts`

Đây là cơ chế phân giải tên cổ điển, ánh xạ IP hostname theo cách thủ công.

Ví dụ mặc định:

127.0.0.1 localhost ::1 localhost

Ngày nay DNS đã thay thế gần như hoàn toàn, nhưng file này vẫn tồn tại và có thể bị lợi dụng trong tấn công.

c. `/etc/nsswitch.conf`

File này quy định thứ tự hệ thống sẽ tra cứu name resolution.

Ví dụ:

hosts: files dns

Có nghĩa là hệ thống sẽ:

Tra cứu hostname trong /etc/hosts.

Nếu không thấy → mới hỏi DNS server từ resolv.conf.

Đây là một điểm rủi ro bảo mật: Nếu malware chèn entry giả mạo trong /etc/hosts và cấu hình nsswitch.conf để ưu tiên files trước dns, người dùng sẽ bị redirect tới máy chủ độc hại.

3. Tấn công giả mạo thông qua Name Resolution

Một kịch bản điển hình:

Malware thêm dòng trong /etc/hosts:
203.0.113.66 www.mybank.com

Máy chủ 203.0.113.66 là website giả mạo ngân hàng, giao diện giống hệt.

Khi user truy cập www.mybank.com, hệ thống ưu tiên file hosts → trỏ về site giả.

Người dùng nhập username/password → kẻ tấn công thu thập thông tin.

Nếu DNS được hỏi trực tiếp, sẽ trả về IP thật của ngân hàng, và cuộc tấn công sẽ thất bại.

4. Thực hành tốt nhất cho Name Resolution an toàn

Kiểm tra và giám sát định kỳ các file:
/etc/resolv.conf → tránh DNS lạ.
/etc/hosts → đảm bảo không có entry giả mạo.
/etc/nsswitch.conf → cân nhắc cho dns ưu tiên trước files trong môi trường nhạy cảm.

Sử dụng DNSSEC để chống giả mạo DNS.

Triển khai DNS sinkhole / nội bộ trong doanh nghiệp để kiểm soát truy vấn ra ngoài.

Bảo vệ máy trạm và server bằng endpoint security, ngăn malware chỉnh sửa file hệ thống.

TÓM TẮT BÀI DNS TRONG LINUX

Hiểu cơ chế Name Resolution không chỉ giúp anh em troubleshoot nhanh hơn mà còn là một lớp phòng thủ quan trọng trong bảo mật hệ thống Linux. Những file tưởng chừng đơn giản như resolv.conf, hosts hay nsswitch.conf hoàn toàn có thể trở thành “điểm yếu chết người” nếu bị khai thác.

Thông tin khác

» CÁCH Kiểm tra Name Resolution trong Linux (18.08.2025)
» Một số thuật ngữ trong an toàn thông tin (15.08.2025)
» Giới thiệu về An toàn Thông tin (Information Security Overview) – Dành cho người mới bắt đầu (15.08.2025)
» Khái niệm và Nguyên tắc Cơ bản của IaC (Infrastructure as Code) (15.08.2025)
» Piping Command Output và Chạy Nhiều Lệnh Trên Một Dòng trong Linux (15.08.2025)
» Luồng Dữ liệu Chuẩn trong Linux: STDIN, STDOUT và STDERR (15.08.2025)
» Hai cách để tương tác với Linux – GUI vs CLI (15.08.2025)
» Hạ tầng AI hiện đại – Khác gì so với AI truyền thống? (15.08.2025)

Name Resolution trong Linux: DNS -