File System SecurityFile System Security HỆ THỐNG TẬP TIN CỦA UNIXHỆ THỐNG TẬP TIN CỦA UNIX Đối với hệ Đối với hệ đđiều hành UNIX, không iều hành UNIX, không có khái niệm các ổ có khái niệm các ổ đđĩa khác nhau. ĩa khác nhau. Sau quá trình khởi Sau quá trình khởi đđộng, toàn bộ ộng, toàn bộ các thcác thưư mục và tập tin mục và tập tin đưđược ‘gắn ‘ ợc ‘gắn ‘ lên (mount) và tạo thành một hệ lên (mount) và tạo thành một hệ thống tập tin thống nhất, bắt thống tập tin thống nhất, bắt đđầu từ ầu từ gốc ‘/’ gốc ‘/’ Sun Microsystems Inc. SunOS 5.6 Generic August 1997 $ df -k Filesystem kbytes used avail capacity Mounted on /dev/dsk/c0t0d0s0 192799 131990 41530 77% / /dev/dsk/c0t0d0s6 962983 477544 427661 53% /usr /proc 0 0 0 0% /proc fd 0 0 0 0% /dev/fd /dev/dsk/c0t0d0s3 289207 115445 144842 45% /var /dev/dsk/c0t0d0s5 465775 28807 390391 7% /opt /dev/dsk/c0t0d0s7 1290127 233611 1004911 19% /other /dev/dsk/c0t0d0s1 311983 203961 76824 73% /usr/openwin swap 418136 120 418016 1% /tmp /dev/dsk/c0t1d0s2 4124422 2359571 1723607 58% /squid $ SUN OS File System [citd@server citd]$ df -k Filesystem 1024-blocks Used Available Capacity Mounted on /dev/sda1 447044 45006 378948 11% / /dev/sda6 496627 119068 351909 25% /export /dev/sda5 496627 405042 65935 86% /usr /dev/sda7 492657 329963 137249 71% /var [citd@server citd]$ Linux File System / + ! /bin ! /sbin ! /usr /usr/bin ! ! /usr/sbin ! ! /usr/local ! ! /usr/doc ! ! /etc ! /lib ! /var /var/adm ! /var/log ! /var/spool / /usr /usr/home /squid / /usr /usr/home /squid CD /mnt /mnt/cdrom TƯƠNG ỨNG GIỮA DISK PARTITIONS VÀ CẤU TRÚC TẬP TIN GIỚI THIỆU CÁC THƯ MỤC QUAN TRỌNG CỦA UNIX / (THƯ MỤC GỐC ) /bin /sbin /usr/bin /usr/sbin /var /var/log /var/adm /home /export/home (SUNOS) Quyền và sở hữu tập tin và thư mục của Unix (directory and file permission and ownership) -rw-r—r— 1 fido users 163 Dec 7 14:31 myfile Kết quả của lệnh ls -l Khi một tập tin hay thư mục được tạo ra, nó mang owner và group của người tạo ra nó. Phần quyền dành cho user, group, other phụ thuộc vào giá trò của umask Ví dụ : [tnminh@pasteur tnminh]$ umask 002 [tnminh@pasteur tnminh]$ echo “tao mot file” > tmp [tnminh@pasteur tnminh]$ ls -l total 5472 -rw-rw-r 1 tnminh tnminh 13 Oct 3 21:55 tmp [tnminh@pasteur /etc]$ umask 022 [tnminh@pasteur tnminh]$ echo “tao mot file khac”>tmp1 [tnminh@pasteur tnminh]$ ls -l -rw-rw-r 1 tnminh tnminh 13 Oct 3 21:55 tmp -rw-r r 1 tnminh tnminh 18 Oct 3 21:59 tmp1 Umask và các quyền truy nhập tập tin Dạng nhị phân của quyền truy nhập tập tin và Dạng nhị phân của quyền truy nhập tập tin và ththưư mụcmục Quyền truy nhập tập tin chia thành ba nhóm số cho chủ nhân (user), nhóm (group) Quyền truy nhập tập tin chia thành ba nhóm số cho chủ nhân (user), nhóm (group) và còn lại (others)và còn lại (others) read permissionread permission 44 write permission write permission 22 Execute permission Execute permission 11 NhNhưư vậy :vậy :  0 or 0 or —— : No permissions at all : No permissions at all  4 or r4 or r——: read: read only only  2 or 2 or ww : write: write only (rare) only (rare)  1 or 1 or ——x: execute x: execute  6 or rw6 or rw : read and write : read and write  5 or r5 or r x: read and execute x: read and execute  3 or 3 or wx: write and execute (rare) wx: write and execute (rare)  7 or rwx: read, write, and execute 7 or rwx: read, write, and execute Thay Thay đđổi các thuộc tính của tập tin và thổi các thuộc tính của tập tin và thưư mụcmục Cách thay Cách thay đđổi tổi tươương ng đđối :ối :  chmod g+w myfile chmod g+w myfile  thêm khả nthêm khả năăng write cho group của myfileng write cho group của myfile  chmod ochmod o x myfile x myfile  bớt khả nbớt khả năăng chạy của others của myfileng chạy của others của myfile Cách thay Cách thay đđổi tuyệt ổi tuyệt đđối :ối :  chmod 644 myfile => myfile sẽ có quyền rwchmod 644 myfile => myfile sẽ có quyền rw rr rr Đối với các admin, nên dùng cách tuyệt Đối với các admin, nên dùng cách tuyệt đđối vì nó an toàn hối vì nó an toàn hơơn.n. Đối với các thĐối với các thưư mục, thao tác hoàn toàn tmục, thao tác hoàn toàn tươương ng đươđương.ng. chown cho phép chown cho phép đđổi ngổi ngưười sở hữu tập tin,ời sở hữu tập tin, Chgrp cho phép Chgrp cho phép đđổi nhóm của tập tin,ổi nhóm của tập tin, [...]... : Set-user-id nghĩa là khi chương trình được chạy, nó sẽ có Set-userchương được quyền như người chủ (owner) của file cho dù người gọi chương trình như ngư ngư chương là ai đi nữa Ví dụ :  $ ls –l /usr/sbin/sendmail /usr/sbin/sendmail  rwsr-xrrwsr-xr-x root root sendmail Tương tự, set-group-id cho quyền chương trình như group của tập tin ương set-groupchương như chương chương trình Bit thứ 4 mã giá... •setfacl -m acl_entry_list filename •để biết một tập tin có sử dụng ACL, với lệnh ls -l ta có •-rw-r -+ etc Dấu + hiển thị rằng tập tin sử dụng ACL •Có thể sử dụng ACL trên SUN OS 5.6 Network File System (NFS) NFS, the Network File System has three important characteristics:  It makes sharing of files over a network possible  It mostly works well enough  It opens a can of security risks that are... binaries hay tập tin thường quan trọng nên có owner là root •portmapper và nfsd có thể có vấn đề về security, cho phép thâm nhập trái phép vào Server file system Để khắc phục sơ hở này cần có portmap: ALL trong tập tin /etc/hosts.deny và portmap: 129.240.223.0/255.255.255.0 trong /etc/hosts.allow để cho phép network 129.240.233.0 được sử dụng portmapper •Nếu /etc/exports chỉ có file system mà không có host,... echo"Set-User-Id files found:" find / -type f -a -perm -4000 -exec ls -aslg {} \; echo "" # echo."Set-Group-Id files found:" find / -type f -a -perm -2000 -exec ls -aslg {} \; echo "" # # echo"Device files not located in /dev :" find / \( -type b -o -type c \) -print) | grep -v '^/dev' echo "" # echo "World writable files and directories : " find / -perm -2 -exec ls -aslgd {} \; echo "" # # # echo " Files owned... hosts.equiv chỉ với một dòng như vậy ;-( #!/bin/sh # # fscheck - check file system for insecurities # # This should be run as root # PATH=/usr/bin:/bin export PATH CHECKDIRS="/bin /etc /usr/bin /usr/etc /usr/lib /usr/ucb" # ls.master is the file to create by command 'ls -alsgR $CHECKDIRS > ls.master MASTER_LS=ls.master # sum.master is the file to create by command 'find $CHECKDIRS -type f -exec echo -n {}... nối trực tiếp với nhau - Kẻ xâm nhập có thể bypass portmapper NFS Server Security •root_squash option : Now, if a user with UID 0 on the client attempts to access (read, write, delete) the file system the server substitutes the UID of the servers `nobody' account Which means that the root user on the client can't access or change files that only root on the server can access or change Nhưng root của... /tmp/sumchk.$$ # # echo "Files in $CHECKDIRS whose attributes have changed : " echo "< = master check list, > = current listing" diff $MASTER_LS /tmp/lschk.$$ echo "" # # echo "Files in $CHECKDIRS whose checksums have changed:" echo "< = master check list, > = current listing" diff $MASTER_SUM /tmp/sumchk.$$ rm -f /tmp/lschk.$$ /tmp/sumchk.$$ exit 0 Bài 3 : Network Service Security • • Trên đây, chúng... : data-driven attacks Các chương trình Mail Server đều sử dụng một chương trình mail local để gửi/nhận thư nội bộ của máy, giao diện với người sử dụng Trên Unix, đó thường là /bin/mail Nếu /bin/mail có bug, kẻ xâm nhập có thể bắt /bin/mail thực hiện các lệnh ghi trong body của mail Thư điện tư ngày nay thường là Multimedia, do đó cần những chương trình ngồi để “đọc “ thư Chương trình ngồi nào “đọc... /mnt cd /mnt ls –l Or in /etc/fstab # device mountpoint fs-type options dump fsckorder eris:/mn/eris/local /mnt nfs rsize=1024,wsize=1024 0 0 NFS Client Security nosuid option : the server's root user cannot make a suid-root suidprogram on the file system, log in to the client as a normal user and then use the suid-root program to become root on the client suidclient Remote Call Procedure (RPC)-based... passwd database, you will be able to login on all machines on the network which have the NIS client programs running • NIS+ is designed by Sun Microsystems Inc as a replacement for NIS with better security and better handling of large installations NIS security problems • Một workstation tham gia vào NIS cần phải có tập tin /etc/passwd với dòng cuối cùng như sau : • +::0:0::: • Hoặc +: Nếu ta dùng . myfile chmod g+w myfile  thêm khả nthêm khả năăng write cho group của myfileng write cho group của myfile  chmod ochmod o x myfile x myfile  bớt khả nbớt khả năăng chạy của others của myfileng. (NFS)Network File System (NFS) NFS, the Network File System has three important characteristics:NFS, the Network File System has three important characteristics:  It makes sharing of files over. File System SecurityFile System Security HỆ THỐNG TẬP TIN CỦA UNIXHỆ THỐNG TẬP TIN CỦA UNIX Đối với hệ Đối với hệ