Bài giảng Tổng quan về Linux - Chương 11: File System Security

Chia sẻ: Nguyễn Thị Ngọc Lựu | Ngày: | Loại File: PDF | Số trang:48

Thêm vào BST

Báo xấu

114
lượt xem 5
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng Tổng quan về Linux - Chương 11: File System Security, trình bày các kiến thức về hệ thống tập tin của Unix, các thư mục quan trọng của Unix, quyền và sở hữu tập tin và thư mục của Unix,... Đây là tài liệu học tập và giảng dạy dành cho sinh viên và giảng viên ngành CNTT.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Tổng quan về Linux - Chương 11: File System Security

File System Security HỆ THỐNG TẬP TIN CỦA UNIX Đối với hệ điều hành UNIX, không có khái niệm các ổ đĩa khác nhau. Sau quá trình khởi động, toàn bộ các thư mục và tập tin được ‘gắn ‘ thư được lên (mount) và tạo thành một hệ thống tập tin thống nhất, bắt đầu từ gốc ‘/’
SUN OS File System Sun Microsystems Inc. SunOS 5.6 Generic August 1997 $ df -k Filesystem kbytes used avail capacity Mounted on /dev/dsk/c0t0d0s0 192799 131990 41530 77% / /dev/dsk/c0t0d0s6 962983 477544 427661 53% /usr /proc 0 0 0 0% /proc fd 0 0 0 0% /dev/fd /dev/dsk/c0t0d0s3 289207 115445 144842 45% /var /dev/dsk/c0t0d0s5 465775 28807 390391 7% /opt /dev/dsk/c0t0d0s7 1290127 233611 1004911 19% /other /dev/dsk/c0t0d0s1 311983 203961 76824 73% /usr/openwin swap 418136 120 418016 1% /tmp /dev/dsk/c0t1d0s2 4124422 2359571 1723607 58% /squid $
Linux File System [citd@server citd]$ df -k Filesystem 1024-blocks Used Available Capacity Mounted on /dev/sda1 447044 45006 378948 11% / /dev/sda6 496627 119068 351909 25% /export /dev/sda5 496627 405042 65935 86% /usr /dev/sda7 492657 329963 137249 71% /var [citd@server citd]$
/-------+ !-------/bin !-------/sbin !-------/usr-------/usr/bin ! !------/usr/sbin ! !------/usr/local ! !------/usr/doc ! !-------/etc !-------/lib !-------/var-------/var/adm !------/var/log !------/var/spool
TƯƠNG ỨNG GIỮA DISK PARTITIONS VÀ CẤU TRÚC TẬP TIN / / /usr /usr/home /usr /squid /usr/home /mnt /mnt/cdrom /squid CD
GIỚI THIỆU CÁC THƯ MỤC QUAN TRỌNG CỦA UNIX / (THƯ MỤC GỐC ) /bin /sbin /usr/bin /usr/sbin /var /var/log /var/adm /home /export/home (SUNOS)
Quyền và sở hữu tập tin và thư mục của Unix (directory and file permission and ownership) Kết quả của lệnh ls -l -rw-r—r— 1 fido users 163 Dec 7 14:31 myfile Khi moät taäp tin hay thö muïc ñöôïc taïo ra, noù mang owner vaø group cuûa ngöôøi taïo ra noù. Phaàn quyeàn daønh cho user, group, other phuï thuoäc vaøo giaù trò cuûa umask
Umask và các quyền truy nhập tập tin Ví dụ : [tnminh@pasteur tnminh]$ umask 002 [tnminh@pasteur tnminh]$ echo “tao mot file” > tmp [tnminh@pasteur tnminh]$ ls -l total 5472 -rw-rw-r-- 1 tnminh tnminh 13 Oct 3 21:55 tmp [tnminh@pasteur /etc]$ umask 022 [tnminh@pasteur tnminh]$ echo “tao mot file khac”>tmp1 [tnminh@pasteur tnminh]$ ls -l -rw-rw-r-- 1 tnminh tnminh 13 Oct 3 21:55 tmp -rw-r--r-- 1 tnminh tnminh 18 Oct 3 21:59 tmp1
Dạng nhị phân của quyền truy nhập tập tin và thư thư mục Quyền truy nhập tập tin chia thành ba nhóm số cho chủ nhân (user), nhóm (group) và còn lại (others) read permission 4 write permission 2 Execute permission 1 Như Như vậy :  0 or —-: No permissions at all  4 or r—: read-only r— read-  2 or -w-: write-only (rare) write-  1 or —x: execute  6 or rw-: read and write rw-  5 or r-x: read and execute r-  3 or -wx: write and execute (rare)  7 or rwx: read, write, and execute
Thay đổi các thuộc tính của tập tin và thư thư mục Cách thay đổi tương đối : tương  chmod g+w myfile  thêm khả năng write cho group của myfile nă  chmod o-x myfile  bớt khả năng chạy của others của myfile o- nă Cách thay đổi tuyệt đối :  chmod 644 myfile => myfile sẽ có quyền rw- --r rw-r--r-- Đối với các admin, nên dùng cách tuyệt đối vì nó an toàn hơn. hơ Đối với các thư mục, thao tác hoàn toàn tương đương. thư tương đương. chown cho phép đổi người sở hữu tập tin, ngư Chgrp cho phép đổi nhóm của tập tin,
setuid và setgid bits Set-user- Set-user-id : Set-user-id nghĩa là khi chương trình được chạy, nó sẽ có Set-user- chương được quyền như người chủ (owner) của file cho dù người gọi chương trình như ngư ngư chương là ai đi nữa. Ví dụ :  $ ls –l /usr/sbin/sendmail /usr/sbin/sendmail  rwsr-xr- rwsr-xr-x root root sendmail Tương tự, set-group-id cho quyền chương trình như group của tập tin ương set-group- chương như chương chương trình. Bit thứ 4 mã giá trị này. 4 = setuid; 2= setgid, Nếu /bin/sh có setuid bit set thì ai cũng là root vì owner của /bin/sh là root và mọi user đều dùng /bin/sh khi login  . setgid cho thư mục = tập tin tạo ra trong thư mục này có cùng group thư thư như như group của thư mục thư Setuid cho tập tin = không có tác dụng Sticky bit = user chỉ có quyền xóa file do mình là owner. Ví dụ /tmp
Bảo mật hệ thống bằng kiểm tra setuid và setgid bits •Tìm tập tin có setuid bit set •find / -perm -4000 -exec ls -l {} \; •Tương tự cho setguid : •Tìm tập tin không user •find / -nouser -exec ls -l {} \; •Tìm tập tin viết được •find / -perm –2 -print •Tìm tập tin không sở hữa •find / -nouser -print
-r-s--x--x 1 root root 10704 Apr 15 1999 /usr/bin/passwd -rws--x--x 2 root root 517916 Apr 7 1999 /usr/bin/suidperl -rws--x--x 2 root root 517916 Apr 7 1999 /usr/bin/sperl5.00503 -rwsr-sr-x 1 root mail 64468 Apr 7 1999 /usr/bin/procmail -rwsr-xr-x 1 root root 14036 Apr 16 1999 /usr/bin/rcp -rwsr-xr-x 1 root root 10516 Apr 16 1999 /usr/bin/rlogin •Chuù yù : Khoâng neân cho caùc shell script giaù trò setuid hay setgid. Neáu chuùng ta caàn setuid, setgid, vieát chöông trình baèng C hay moät ngoân ngöõ laäp trình töông ñöông.
Một số tập tin "nguy hiểm". Trusted hosts •/etc/hosts.equiv : Người sử dụng từ một máy có IP trong tập tin này, có cùng account name, có thể sử dụng rlogin và rsh mà không cần vào password trên máy này. Rất may rằng root là một ngoại lệ . •.rhosts : giống như /etc/hosts.equiv, nhưng kiểm tra host-user. Đặc biệt user có thể tạo .rhosts không thông qua admin. Vì vậy, nên hoàn toàn cấm việc tạo ra .rhosts tại các thư mục cá nhân.
Checksum và checklist •Lệnh sum cho phép xem xét xem tập tin có bị thay đổi về nội dung hay không. Điều này giúp chúng ta phát hiện được virus vì virus nói chung phải thay đổi nội dung của file. •Nên chạy sum tại những thư mục mà nội dung không thay đổi về nguyeèn tắc /sbin, /bin . Ghi lại kết quả vào một tập tin và sử dụng sau này để biết những tập tin có checksum thay đổi. •Checklist (thông qua lệnh ls) cho phép tìm ra những thay đổi của các tập tin hệ thống. Chúng ta, cũng như checksum, nên tạo một file checklist ngay từ đầu. Bằng cách này, chúng ta sẽ biết được các tập tin mới tạo ra không hợp pháp.
Access Control List (ACL) •Đây là một chuẩn mới của Unix cho phép phân quyền hạn truy nhập vào hệ thống tập tin một cách chi tiết hơn hệ thống của Unix truyền thống. Hệ thống này cho phép ví dụ cả group ggg có quyền đọc và user uuu của group ggg này có quyền đọc và viết. •Hai lệnh cơ bản của ACL là getfacl và setfacl. •Nếu chúng ta bổ sung ACL cho một tập tin, chúng ta dùng lệnh •setfacl -m acl_entry_list filename •để biết một tập tin có sử dụng ACL, với lệnh ls -l ta có •-rw-r-----+ ..etc . Dấu + hiển thị rằng tập tin sử dụng ACL •Có thể sử dụng ACL trên SUN OS 5.6
Network File System (NFS) NFS, the Network File System has three important characteristics:  It makes sharing of files over a network possible.  It mostly works well enough.  It opens a can of security risks that are well understood by crackers, and easily exploited to get access (read, write and delete) to all your files. Treân nguyeân taéc, NFS server tin NFS client vaø ngöôïc laïi. Do ñoù, neáu NFS server hay client bò xaâm nhaäp seõ deã daøng daãn ñeán söï xaâm nhaäp vaøo toaøn boä maïng NFS.
NFS model Server : eris. /etc/exports /mn/eris/local apollon(rw) Client : apollon mount -o size=1024,wsize=1024 eris:/mn/eris/local /mnt cd /mnt ls –l Or in /etc/fstab # device mountpoint fs-type options dump fsckorder eris:/mn/eris/local /mnt nfs rsize=1024,wsize=1024 0 0
NFS Client Security nosuid option : the server's root user cannot make a suid-root suid- program on the file system, log in to the client as a normal user and then use the suid-root program to become root on the client. suid- client.
Remote Call Procedure (RPC)-based (RPC)- services - ñoái vôùi TCP, UDP protocols, port number coù 2 bytes (65536 max.) - Moãi RPC-based coù moät RPC service number duy nhaát 4 bytes (4294 Mports RPC- - portmapper ñôïi ôû coång 111 (TCP vaø UDP) - khi moät RPC based server khôûi ñoäng, noù seõ chieám moät coång TCP hay UDP port, sau ñoù thoâng baùo cho portmapper aùnh xaï giöõa soá RPC duy nhaát cuûa noù vaø coâng TCP/UDP noù vöøa nhaän. - khi moät RPC client muoán keát noái vôùi moät RPC-based server, noù “hoûi “ portmapper vaø RPC- ñöôïc bieát coång TCP ma ø RPC-based server ñang ñôïi. RPC- - Client vaø server “queân “ portmapper vaø noái tröïc tieáp vôùi nhau. - Keû xaâm nhaäp coù theå bypass portmapper