BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN BÀI TẬP LỚN MÔN: NGUYÊN LÝ HỆ ĐIỀU HÀNH MÔN : NGUYÊN LÝ HỆ ĐIỀU HÀNH ĐỀ TÀI: Nghiên cứu tìm hiểu hệ thống bảo vệ hệ điều hành Linux Nhóm sinh viên thực : Nhóm 12 Lớp : ĐH Hệ Thông Thông Tin – K8 Giáo viên hướng dẫn : Nguyễn Thanh Hải BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN BÀI TẬP LỚN MÔN: NGUYÊN LÝ HỆ ĐIỀU HÀNH ĐỀ TÀI: Nghiên cứu tìm hiểu hệ thống bảo vệ hệ điều hành Linux Nhóm sinh viên thực : Nhóm 12 Nguyễn Ngọc Hiếu Bùi Thành Lập Lê Thị Thanh Hoa Nguyễn Thị Thắm Đào Thị Thu Huyền Nhận xét giáo viên: LỜI MỞ ĐẦU Linux phần mềm Hệ điều hành mã nguồn mở phát triển mạnh mẽ giới Nó tạo bùng nổ tin học ngày trở nên phổ biến Các ưu điểm mà hệ điều hành mang lại vô to lớn, nhiên Việt Nam hệ điều hành chưa nhiều người biết đến chưa nhiều người sử dụng cách thành thạo hệ điều hành khác (Windows hệ điều hành tiếng mà phần lớn máy tính Việt Nam cài đặt sử dụng) Ngày nay, nhu cầu trao đổi liệu qua mạng máy tính trở nên vô quan trọng hoạt động xã hội, song song với phát triển bùng nổ mạng máy tính nói chung mạng Internet nói riêng nguy phải đối mặt với hàng loạt đe dọa tiềm tàng virus, sâu máy tính, kiểu công, xâm nhập, vv lớn Vấn đề bảo đảm an ninh, an toàn cho thông tin mạng ngày mối quan tâm hàng đầu công ty, tổ chức, nhà cung cấp dịch vụ Việc bảo vệ an toàn liệu vấn đề cấp thiết, việc lựa chọn hệ điều hành phù hợp, có khả bảo mật tốt, độ tin cậy cao quan trọng Hệ điều hành Linux đời mang theo nhiều đặc tính an toàn bao hàm chế bảo mật, với tính chất mã nguồn mở đánh giá hệ điều hành bảo mật tốt Mong nhận nhận xét đóng góp thầy để nhóm hoàn thành tốt đề tài Chân thành cảm ơn thầy ! Chương I: An toàn hệ thống Bảo vệ hệ thống chế kiểm soát việc sử dụng tài nguyen chủ thể (tiến trình người sử dụng) để đối phó với tình lỗi phát sinh hệ thống Trong khái niệm an toàn hệ thống muốn đề cập tới mức độ tin cậy mà hệ thống cần trì phải đối phó với vấn đề nội mà với tác động đến từ môi trường bên Các vấn đề an toàn hệ thống Hệ thống coi an toàn tài nguyên sử dụng quy định hoàn cảnh, điều khó đạt thực tế Thông thường, chế an toàn hệ thống bị vi phạm nguyên nhân vô tình cố ý Việc ngăn chặn nguyên nhân cố ý khó khan dường đạt hiệu hoàn toàn Bảo đảm an toàn hệ thống cấp cao chống lại nguyên nhân hỏa hoạn, thiên tai, điện… cần thực mức độ vật lí nhân Nếu an toàn môi trường đảm bảo an toàn hệ thống trì nhờ chế hệ điều hành Cần ý bảo vệ hệ thống đạt độ tin cậy 100% chế an toàn hệ thống cung cấp nhằm ngăn chặn bớt tình bất lợi đạt đến độ an toàn tuyệt đối Các chế an toàn hệ thống 2.1 Kiêm định danh tính Để đản bảo an toàn, hệ điều hành cần phải giải tốt vấn đề kiểm định danh tính (authentication) Hoạt động hệ thống bảo vệ phụ thuộc vào khả năn xác đinh tiến trình xử lí Khả này, đến lượt lại phụ thuộc vào khả xác đinh tiến trình xử lí Khả này, đến lượt lại phụ thuộc vào khả xác đinh tiến trình sử dụng hệ thống để kiểm tra xem người dung phép thao tác tài nguyên Cách tiếp cận phổ biến để giải vấn đề sử dụng mật (password) để kiểm tra danh tính người sử dụng Mỗi người dung muốn sử dụng tài nguyên, hệ thống so sánh mật họ nhập vào với mật lưu trữ phép sử dụng tài nguyên Mật áp dụng để bảo vệ cho đối tượng hệ thống, chí đối tượng có mật khác tương ứng với quyền truy nhập khác Cơ chế mật đơn giản dễ sử dụng hệ điều hành áp dụng rộng rãi, nhiên điểm yếu nghiêm trọng khả bảo mật mật khó đạt hoàn hảo Những tác nhân tiêu cực tìm mật người khác nhờ nhiều cách thức khác 2.2 Ngăn chặn nguyên nhân từ phía chương trình Trong môi trường hoạt động mà chương trình tạo lập người lại người khác sử dụng xảy tình sử dụng sai chức năng, từ dẫn tới hậu không lường trước Hai trường hợp điển hình gây an toàn hệ thống là: - Ngựa thành Troy: Khi người sử dụng A kích hoạt chương trình ( người sử dụng B viết) danh nghĩa mình, chương trình trở thành “ ngựa thành Troy” đoạn lệnh chương trình thao tác với tài nguyên mà người sử dụng A có quyền người sử dụng B lại bị cấm - Cánh cửa nhỏ(Trap-door): mối đe dọa đặc biệt nguy hiểm khó chống đỡ vô tình cố ý lập trình viên xây dựng chương trình Các lập trình viên để lại “ cánh cửa nhỏ” phần mềm họ để thông qua can thiệp vào hệ thống Chính “ cánh cửa nhỏ” tạo chế cho harker thâm nhập phá hoại hệ thống người sử dụng 2.3 Ngăn chặn nguyên nhân từ phía hệ thống Hầu hết tiến trình hoạt động hệ thống tạo tiến trình Trong chế hoạt động này, tài nguyên hệ thống dễ bị sử dụng sai mục đích gây an toàn cho hệ thống Hai mối đe dọa phổ biến là: - Các chương trình sâu (Worm): chương trình sâu chương trình lợi dụng chế phát sinh tiến trình hệ thống để đánh bạ hệ thống - Các chương trình virus: virus chương trình phá hoại nguy hiểm hệ thống thông tin Chương II Bảo vệ hệ thống Mục tiêu bảo vệ hệ thống Khi tiến trình hoạt động song hành hệ thống tiến trình gặp lỗi ảnh hưởng đến tiến trình khác ảnh hưởng tới toàn hệ thống Hệ điều hành cần phải phát hiện, ngăn chặn không cho lỗi lan truyền đặc biệt phát lỗi tiềm ẩn hệ thống để tang cường độ tin cậy Mặt khác mục tiêu bảo vệ hệ thống chống truy nhập bất hợp lệ, bảo đảm cho tiến trình hoạt động hệ thồn sử dụng tài nguyên phù hợp với quy định hệ Bảo vệ hệ thống cần phải cung cấp chế chiến lược để quản trị việc sử dụng tài nguyên, định đối tượng hệ thống bảo vệ quy định thao tác thích hợp đối tượng Miền bảo vệ 2.1 Khái niệm miền bảo vệ Một hệ thống máy tính bao gồm tập hợp chủ thể tập hợp khách thể Chủ thể bao gồm tiến trình người sử dụng khách thể coi tài nguyên máy tính Để kiểm soát tình trạng sử dụng tài nguyên hệ thống, hệ điều hành cho phép chủ thể truy nhập tới khách thể mà có quyền sử dụng vào thời điểm cần thiết nhằm hạn chế lỗi xảy tranh chấp tài nguyên Mỗi chủ thể hệ thống hoạt đông miền bảo vệ Một miền bảo vệ xác định khách thể mà chủ thể miền phép truy nhập thực thao tác 2.2 Cấu trúc miền bảo vệ Các khả thao tác mà chủ thể thực thể gọi quyền truy nhập(access right) Mỗi quyền truy nhập định nghĩa hai thành phần.Như ta hình dung miền bảo vệ tập hợp quyền truy nhập,xác định thao tác mà chủ thể thực khách thể Các miền bảo vệ khác giao số quyền truy nhập Một tiến trình hoạt động miền bảo vệ tồn hai mối liên kết: - Liên kết tĩnh : suốt thời gian tồn tiến trình hệ thống , tiến trình hoạt động miền bảo vệ Trong trường hợp tiến trình tập tài nguyên khác Như liên kết tĩnh , miền bảo vệ phải xã định từ đầu quyền truy cập cho tiến trình tất giai đoạn xử lý Điều khiến cho tiến trình dư thừa quyền giai đoạn xử lí vi phạm nguyên lí need- toknow Để đảm bảo nguyên lí phải có khả cập nhật nội dung miền bảo vệ qua giai đoạn xử lí khác để đảm bảo quyền tối thiểu tiến trình miền bảo vệ thời điểm - Liên kết động : Cơ chế cho phép tiến tình chuyển đổi từ miền bảo vệ sang miền bảo vệ khác suốt thời gian tồn hệ thống Để tuân thủ nguyên lí need-to-know,thay sửa đổi nội dung miền bảo vệ,hệ thống tạo miền bảo vệ với nội dung thay đổi tùy theo giai đoạn xử lí tiến trình chuyển tiền trình sang hoạt động miền bảo vệ phù hợp với thời điềm Ma trận quyền truy nhập Để biểu diễn miền bảo vệ, hệ điều hành cài đặt ma trận quyền truy nhập hàng ma trận biểu diễn miền bảo vệ , cột biểu diễn khách thể Phần tử (i,j) ma trận xác định quyền truy nhập chủ thể thuộc miền bảo vệ Di thao tác khách thể Oj Object Subject D1 F1 Đọc/ghi D2 D3 F2 F3 Xử lý Đọc/ghi ghi Printer In Xử lý Đọc In Bảng 1: Ma trận quyền truy nhập Cơ chế bảo vệ cung cấp ma trận quyền truy nhập cài đặt, áp dụng chiến lược bảo vệ cách đặc tả nội dung phần tử tương ứng cảu ma trận – xác đinh quyền truy xuất ứng với miền bảo vệ Ma trận quyền truy nhập cung cấp chế thích hợp để định nghĩa thực kiểm soát nghiêm ngặt mối liên hệ chủ khách thể Virus máy tính 4.1 Khái niệm virus Virus máy tính chương trình có khả gián tiếp tự kích hoạt, tự lan truyền môi trường hệ thống tính toán làm thay đổi môi trường hệ thống cách thực chương trình Virus tự kích hoạt lan truyền môi trường làm việc hệ thống mà người sử dụng không hay biết thông thường, virus mang tính chất phá hoại , gây lỗi thực chương trình , điều dẫn đến việc chương trình liệu bị hỏng, không khôi phục được, chí chúng bị xóa Như vậy, virus chương trình thông minh, mang yếu tố tự thích nghi, lan truyền xa khả phá hoại lớn Một số biểu máy tính bị nhiễm virus: - Hệ thống hoạt động không ổn định - Các chương trình ứng dụng không hoạt động hoạt đông sai chức - Dữ liệu bị sai lệch - Kích thước file tang - Xuất file lạ đĩa - … 4.2 Phân loại virus Dựa vào chế lan virus, người ta phân thành số loại sau: - Boot virus ( B – virus) : virus lây lan vào boot sector master boot record ổ đĩa - File virus ( F – virus) : virus lây lan vào file chương trình người sử dụng (các file COM EXE) - Virus lưỡng tính (B/F –virus) : virus vừa lây lan vào boot sector master boot record, vừa lây lan vào file chương trình - Macro virus : virus viết lệnh macro, chúng thường lấy nhiễm vào file văn bảng tính… - Troyjan virus (Troyjan Horse) : virus nằm tiềm ẩn hệ thống máy tính dạng chương trình ứng dụng thực tế, chương trình kích hoạt, lệnh phá hoại hoạt động - Worm (sâu) : sâu di chuyển hệ thống mạng từ máy tính sang máy tính khác Nhiệm vụ chúng thu thập thông tin cá nhân người sử dụng để chuyển địa xác định cho người điều khiển 10 Ở thấy hệ thống nghe ngóng cho kết nối cổng 7120, 600 22 Nhìn vào /etc/services, sử dụng -p với lệnh netstat, thường tiết lộ mạng ma giao tiếp với cổng Trong trường hợp X font server, X Window System server SSH Nếu bạn nhìn thấy nhiều cổng khác mở - cho thứ telnetd, sendmail tự hỏi bạn xem liệu bạn có thực cần deamons chạy không Qua thời gian, vấn đề bảo mật bộc lộ, bạn có nhiều kinh nghiệm việc theo dõi tất cập nhật bảo mật, không hệ thống bạn bị tổn thương từ công Bởi vậy, telnetd, ftpd, rshd tất bảo gồm gửi mật thông qua mạng Internet cho việc chứng thực, giải pháp tốt sử dụng sshd, mã hóa liệu sử dụng chế chứng thực mạnh Thậm chí bạn chưa bảo sử dụng telnetd để chạy hệ thống bạn ý kiến hay trường hợp cố tìm cách phá vỡ Ngắt dịch vụ thường phải chỉnh sửa file cấu hình tương ứng cho phân phối bạn khởi động lại hệ thống Trên hệ thống Red Hat, ví dụ, nhiều deamons bắt đầu kịch thư mục /etc/rc.d/init.d Đổi tên gỡ bỏ file kịch ngăn chặn deamons tương ứng từ lúc khởi động Những deamon khácđược khởi động inetd xinetd việc trả lời kết nối mạng; sửa cấu hình hệ thống giới hạn tập hợp daemon chạy hệ thống bạn Nếu bạn thực cần dịch vụ chạy máy bạn (chẳng hạn X server), tìm cách để ngăn chặn kết nối tới dịch vụ từ máy chủ không mong muốn, chẳng hạn, an toàn phép kết nối ssh từ máy chủ tin tưởng, chẳng hạn từ máy mạng nội bạn Trong trường hợp X server X font server, mà chạy nhiều máy Linux, thường lí phép kết nối tới daemon từ thứ 14 mạng cục Lọc kết nối tới daemon thực TCP wrapper IP filtering, mô tả phần sau 3.Vô hiệu hóa Service không sử dụng Để tránh tình trạng có lỗ hổng bảo mật sau bạn lên vô hiệu hoá gỡ bỏ chương trình, Service không dùng đến hệ thống Bạn sử dụng công cụ quản lý để hiển thị danh sách gói phần mềm cài đặt để thực việc (Redhat Package Manager - Linux ) Về bản! Service định nghĩa hoạt động inetd (trên số hệ thống Linux xinetd) Nội dung Service định nghĩa hoạt động inetd chứa /etc/inetd.conf Mỗi Service định nghĩa đằng sau ký tự "#" Bạn vô hiệu hoá Service không sử dụng Thư mục /etc/rc*.d /etc/rc.d/rc* nơi chứa Shell Script thông số để điều khiển thực Network Service suốt thời gian hoạt động Bạn xoá bỏ hết thứ liên quan đến Service mà bạn không cần sử dụng Đối với hệ thống Redhat, SuSE, Mandrake bạn sử dụng lệnh: root@localhost#chkconfig list root@localhost#chkconfig del Gỡ bỏ gói phần mềm: root@localhost# rpm -e root@localhost# dpkg -r Liệt kê danh sách gói cài đặt với thông tin chi tiết cho gói: root@localhost# rpm -qvia root@localhost# dpkg -l 15 Liệt kê thông tin xác File gói định: root@localhost# rpm -qvpl root@localhost# dpkg -c Hiển thị thông tin gói phần mềm: root@localhost# rpm -qpi root@localhost# dpkg -I Kiểm tra tính toàn vẹn cho gói phần mềm: root@localhost# rpm -Va root@localhost# debsums -a Cài đặt gói phần mềm mới: root@localhost# rpm -Uvh root@localhost# dpkg -i 4.Sử dụng TCP Wrapper Trước Server FTP chạy Đầu tiên tcpd xác định địa nguồn cho phép, kết nối gửi đến Syslog để đối chiếu sau Nếu bạn muốn vô hiệu hoá tất Service, bạn việc thêm dòng sau vào File /etc/host.denny ALL:ALL Nếu bạn muốn cho phép địa tin cậy chạy dịch vụ mà họ phép, bạn chỉnh sửa nội dung File /etc/host.allow sshd: magneto.mydom.com, juggernaut.mydom.com in.ftpd: 192.168.1 16 Để đảm bảo an toàn bạn lên kiểm soát điều khiển trình truy nhập cách cẩn thận Sử dụng tcpdchk để kiểm tra truy nhập File, sử dụng Syslog để ghi lại lần đăng nhập thất bại Bạn lên điều khiển truy nhập cho hệ thống theo nguyên tắc: Sự truy cập thực Client/Deadmon có địa phù hợp với nội dung cho phép /etc/hosts.allow An toàn cho giao dịch mạng Có nhiều dịch vụ mạng truyền thống giao tiếp thông qua giao thức văn không mã hoá, TELNET, FTP, RLOGIN, HTTP, POP3 Trong giao dịch người dùng với máy chủ, tất thông tin dạng gói truyền qua mạng hình thức văn không mã hoá Các gói tin dễ dàng bị chặn chép điểm đường Việc giải mã gói tin dễ dàng, cho phép lấy thông tin tên người dùng, mật thông tin quan trọng khác Việc sử dụng giao dịch mạng mã hoá khiến cho việc giải mã thông tin trở nên khó giúp bạn giữ an toàn thông tin quan trọng Các kỹ thuật thông dụng IPSec, SSL, TLS, SASL PKI Quản trị từ xa tính hấp dẫn hệ thống UNIX Người quản trị mạng dễ dàng truy nhập vào hệ thống từ nơi mạng thông qua giao thức thông dụng telnet, rlogin SSH 17 Chương IV: Cơ chế quản lí tài nguyên phân quyền Quyền truy nhập thư mục file Mỗi file thư mục Linux có chủ sở hữu nhóm sở hữu, tập hợp quyền truy nhập Cho phép thay đổi quyền truy nhập quyền sở hữu file thư mục nhằm cung cấp truy nhập nhiều hay Tính chất kiểm soát truy nhập hệ thống file Linux thực cách sử dụng liệu, bảo tồn riêng cho file liệu chung gọi chế dộ truy nhập, gọi mod file Các chế độ phần file, giữ lại thông tin hệ thống file Mỗi file chế độ kiểm soát truy cập có lớp: - User: người dung sở hữu file - Group: Những nhóm sở hữu file - Other: tất người dung hệ thống Bản liệt kê kiểu file, thư mục Linux: Chữ biểu diễn Kiểu file, thư mục d Thư mục (directory) b File kiểu khối (block-type special file) c File kiểu kí tự 18 (character-type special file) l Liên kết tượng trưng (symbolic link) p File đườn ống (pipe) s Socket - File bình thường (regular file) Bảng 2: Các kiểu thư mục Linux kí tự chuỗi quyền truy nhập chia làm nhóm tương ứng với quyền truy nhập người sở hữu, nhóm sở hữu người dung khác d rwx -r-x- ↓ ↓ Kiểu file: thư mục r-x … ↓ ↓ Quyền quyền quyền người chủ nhóm chủ người dung khác 19 Để hiểu xác quyền truy nhập có ý nghĩa hệ thống máy tính phải ý, Linux coi thứ file Nếu cài đặt ứng dụng, xem chương trình khác, trừ điều, hệ thống nhận biết chương trình chương trình khả thi, tức chạy Một thư dạng file văn bình thường, thông báo cho hệ thống chương trình khả thi, hệ thống cố để chạy chương trình( tất nhiên lỗi) Có loại quyền truy nhập thư mục/file, là: đọc (read-r), ghi (write-w) thực (execute-x) Quyền đọc cho phép người dùng xem nội dung file với nhiều chương trình khác họ thay đổi, sửa chữa xóa thông tin Tuy nhiên, họ chép file thành file họ sửa chữa file Quyền ghi quyền truy nhập Người sử dụng với quyền ghi truy nhập vào file thêm thông tin vào file Nếu có quyền ghi quyền đọc file, soạn thảo lại file – quyền đọc cho phéo xem nội dung, quyền ghi cho phép thay đổi nội dung file Nếu có quyền ghi, thêm thông tin vào file, lại xem nội dung file Loại quyền truy nhập thứ quyền thực hiện, quyền cho phép người dùng chạy file, chương trình khả thi Quyền thực độc lập với quyền truy nhập khác, hoàn toàn có chương trình với quyền đọc quyền thực hiện, quyền ghi Cũng có trường hợp chương trình có quyền thực hiện, có nghĩa người dùng chạy ứng dụng, xem cách làm việc hay chép Như chế độ, người sử dụng quyền sở hữu tài sản nhóm phần Inode, hai định file tạo Thông thường, chủ sở hữu la người tạo file Các file nhóm thường thiết lập để tạo mặc định nhóm Nhóm có quyền sở hữu cho biết quyền nhóm thành viên Những người khác sử dụng người thành viên file nhóm khoong phải file người trao quyền Đối với lớp lớp 20 người sử dụng, chế độ truy cập xác định ba loại quyền khác áp dụng cho file thư mục Quyền Kí hiệu Quyền với file Quyền với thư mục Đọc R Kiểm tra nội dung Danh sach nội dung file Ghi W thư mục Ghi thay đổi Tạo, xóa file file Thực thi X Chạy thư mục file Truy cập vào thư chương trình mục Bảng 3:Các quyền liệt kê bảng Chế độ truy nhập Ba quyền đọc, ghi, thực thi cho phép áp dụng cho ba lớp khác người sử dụng: người sử dụng, nhóm khác - SUID: Là thuộc tính cho file thực thi hiệu lực thư mục - SGID: Thuộc tính hoạt động theo cách SUID cho file thực thi, trình cài đặt nhóm chủ sở hữu vào file nhóm - Ssticky: Tại thời gian, bit, áp dụng cho chương trình thực thi, cờ hệ thống, để giữ hình ảnh chương trình nhớ sau hoàn tất chương trình chạy 21 Tuy nhiên thư mục có ba loại kí hiệu quyền truy nhập : -, r-x rwx, nội dug thư mục danh sách file thư mục có bên thư mục Quyền đọc thư mục xem nội dung thư mục quyền thực thư mục quyền tìm file thư mục có thư mục Sự hạn chế trùng hợp quyền truy nhập thư mục giải thích Giả sử có quyền đọc thư mục, xem file hay thư mục thư mục lại xem nội dung cụ thể file hay thư mục có thư mục không tìm Hoặc giả sử có quyền thực – quyền cho phép tìm file có thư mục – lại quyền đọc với thư mục, khó biết thư mục có file 2.1 Cách xác lập tương đối Cách xác lập tương đối dễ nhớ theo ý nghĩa nội dung mod thay đổi thực biểu điễn lệnh Hình sau mô tả: Kiểu truy cập Thao tác thay đổi +(thêm quyền) → -(gỡ bỏ quyền) =(xác nhận quyền) r=read(quyền đọc) w=write(quyền ghi) x=execute(quyền thực hiện) → Hình 3: Các chữ biểu diễn mod theo cách xác lập tương đối 22 Có thể kết hợp mục từ hộp thứ hộp thứ ba với mục từ hộp thứ hai để tạo mod 2.2 Cách xác lập tuyệt đối Đối với người dùng hiểu sơ biểu diễn sô hệ số cách xác lập tuyệ đối lại ưa chuộng Biểu diễn quyền truy nhập file thông qua dãy gồm vị trí dạng rwxrwxrwx, cụm vị trí theo thứ tụ tương ứng: với chủ sở hữu, nhóm sở hữu người dùng khác Thuộc tính quyền truy nhập số file biểu diễn thành bit nhị phân bit có giá trị quyền xác định, ngược lại quyền bị tháo bỏ Như vậ chủ sở hữu tương ứng với bit đầu tiên, nhóm sở hữu tương ứng với bit giữa, người dùng khác tuong ứng với bit cuối Mỗi cụm bit cho chữ số hệ 8( nhận giá trị từ đến 7) tính quyền truy nhập tương ứng với chữ số hệ Đặt thuộc tính quyền truy nhập file memol rwxr-xr-x Để dễ xác lập chữ số: Quyền Chữ số hệ Quyền Chữ số hệ Chỉ đọc Chỉ đọc ghi Chỉ ghi Chỉ đọc thực Chỉ thực Chỉ ghi thực Không có quyền Đọc ghi thực Bảng 4: Hệ áp dụng cách tính 23 Thiết lập Truy cập Modes - Khi tạo nhiều file có thuộc tính gán cho file mặc định - Umask thiết lập môi trường mà tác động đến quyền kiểm soát file tạo Giải thích Umask nhứ sau: giá trih mask(mặt nạ) thiết lập từ umask mask thiết lập thông số tác động đến quyền truy cập mặc định file thư mục - Khi cung cấp với số nguyên, umask đặt giá trị cho hệ vỏ gọi giá trị mask - Quyền truy cập cho phép = “quyền truy cập mặc định” and (not(Umask)) Dạng thức Áp dụng với file Áp dụng với thư mục Kí hiệu Rw-rw-rw Rwxrwxrwx Nhị phân 110110110 111111111 Hệ 666 777 Bảng 5: Chế độ truy cập ban đầu Một số lệnh thay đổi chế độ truy cập 3.1 Thay đổi quyền sở hữu file với lệnh chown Để thay đổi quyền sở hữu file Nếu có tham số chủ, người dùng có quyền sở hữu file nhóm sở hữu không thay đổi Nếu theo sau tên người chủ dấu “.” Và tên nhóm nhóm sở hữu file Nếu có dấu “.” nhóm mà tên người chủ có quyền sở hữu nhóm file thay đổi, lúc này, lệnh chown có tác dụng giống lệnh chgrp 24 Các tùy chọn lệnh chown: -c, changes: hiển thị dòng thông báo với file mà lệnh làm thay đôi sở hữu (sô thông báo trường hợp-v,-verbosr) -f, silent, quiet: bỏ qua hầu hết thông báo lỗi -R, recursive: thực đổi quyền sở hữu thư mục file theo đệ quy -v, verbose: hiển thị dòng thông báo với file liên quan mà chown tác động tới(có không thay đổi sở hữu) help: đưa trang trợ giúp thoát 3.2 Thay đổi quyền truy nhập file với lệnh chmod Chế độ truy nhập đươc thay đổi với chmod lệnh, tương đương chế độ truy cập tượng trưng hoăc truy cập vào chế độ kỹ thuật chi tiết Pemissions r Read pemission w Write pemission x Excute pemission X Excute pemission for directories and files with excute pemission, but not plain files s SUID or SGID pemissions t Sticky bit 25 Bảng 6: Ký tự đặc biệt lệnh chmod Cú pháp lệnh chmod có ba dạng: Chmod [tùy chọn] Chmod [tùy chọn] Chmod [tùy chọn] reference=nhómR Lệnh chmod cho phép xác lập quyền truy nhập theo kiểu (mode) file Dạng dạng xác lập tương đối, dạng thứ hai dạng xác lập tuyệt đối dạng cuối dạng gián tiếp dẫn theo quyền truy cập file nhómR Các tùy chọn lệnh chmod liệt kê có ngĩa tương tự tùy chọn tương ứng lệnh chown, chgrp: -c, changes -f, silent, quiet -v, verbose -R.—recursive help tham số reference=RFILE có ý nghĩa gián tiếp lệnh chgrp 26 MỤC LỤC Lời mở đầu………………………………………………………………………….2 Chương I An toàn hệ thống………………………………………… Các vấn đề an toàn hệ thống………………………………………… Các chế an toàn hệ thống……………………………………… .3 2.1 Kiểm định danh tính……………………………… 2.2 Ngăn chặn nguyên nhân từ phía chương trình…………3 2.3 Ngăn chặn nguyên nhân từ phía hệ thống……………… Chương II Bảo vệ hệ thống…………………………………………………… Mục tiêu bảo vệ hệ thống…………………………………… Miền bảo vệ…………………………………………………………5 2.1 Khái niệm miền bảo vệ………………………………………5 2.2 Cấu trúc miền bảo vệ……………………………………… Ma trận quyền truy nhập………………………………………… 27 Virus máy tính…………………………………………………… 4.1 Khái niệm virus…………………………………………… 4.2 Phân loại virus……………………………………………….7 4.3 Cơ chế hoạt động vủa virus………………………………….8 28 ... KHOA CÔNG NGHỆ THÔNG TIN BÀI TẬP LỚN MÔN: NGUYÊN LÝ HỆ ĐIỀU HÀNH ĐỀ TÀI: Nghiên cứu tìm hiểu hệ thống bảo vệ hệ điều hành Linux Nhóm sinh viên thực : Nhóm 12 Nguyễn Ngọc Hiếu Bùi Thành Lập Lê... đánh bạ hệ thống - Các chương trình virus: virus chương trình phá hoại nguy hiểm hệ thống thông tin Chương II Bảo vệ hệ thống Mục tiêu bảo vệ hệ thống Khi tiến trình hoạt động song hành hệ thống. .. nguyên nhân từ phía hệ thống …………… Chương II Bảo vệ hệ thống ………………………………………………… Mục tiêu bảo vệ hệ thống ………………………………… Miền bảo vệ ………………………………………………………5 2.1 Khái niệm miền bảo vệ ……………………………………5