Chương 3: Managing User Permissions 3.1 Định nghĩa người dùng Các lệnh định nghĩa người dùng useradd Thêm tài khoản cá nhân tới hệ thống adduser usermod Chỉnh sửa thuộc tính tài khoản cá nhân userdel Xóa tài khoản cá nhân từ hệ thống groupadd Thêm tài khoản nhóm tới hệ thống groupmod Chỉnh sửa thuộc tính tài khoản nhóm groupdel Gỡ bỏ tài khoản nhóm khỏi hệ thống useradd [option] [content] [username] Option: -u UID user ID (Mặc định: số phù hợp) -g GID group ID (Mặc định tạo group tên với user) -c Comment (Mô tả user (Mặc định: blank)) -d Directory (Đường dẫn home directory (Mặc định: /home/username)) -m Tự tạo home directory -G Group chứa user -M Không tạo home directory -e Expire_date (Thời gian user bị vơ hiệu hố, dạng YYYY-MM-DD) accountname Tên tài khoản cá nhân thực tạo -u Bạn xác định ID cá nhân cho tài khoản groupadd [-g gid [-o]] [-r] [-f] groupname Option: -g Giá trị số ID nhóm -o Tùy chọn cho phép để thêm nhóm với GID khơng -r Dấu hiệu thị thêm nhóm tới tài khoản hệ thống -f Tùy chọn khiến cho với trạng thái thành cơng nhóm xác định tồn Với –g, GID tồn tại, GID khác (duy nhất) chọn groupname Tên nhóm thực tạo Đặt mật cho user 3.2 Quản lí người dùng /etc/passwd: Giữ tài khoản người dùng thông tin mật /etc/shadow: Giữ mật biên thành mật mã tài khoản tương ứng /etc/group: File giữ thông tin nhóm cho tài khoản /etc/gshadow: File giữ thơng tin tài khoản nhóm bảo mật ❖ /etc/passwd: File chứa thông tin user, điều khiển việc login user File lưu dạng ASCII, dòng lưu thơng tin user, dòng lại phân thành trường dấu hai chấm Như thông tin lưu dạng "bảng" có cấu trúc: UserName : Password : UserID : PrincipleGroup : Comments : HomeDirectory : Shell user3:x:1002:1002:usermoi:/home/user3: Ý nghĩa cụ thể trường: Usename: Tên đăng nhập, phân biệt hoa/thường, nên dùng chữ thường Password: Lưu chuỗi passwd hash, có sử dụng /etc/shadow chữ x User ID: Hệ thống dùng user ID để phân biệt người với người khác Group ID: Đây Primary Group user Comment: Mô tả cho user Home Directory: Thư mục home user, thường nằm /home/tenuser Shell: Tên chương trình thực thi sau user login vào Nếu shell user khơng thể login Mặc nhiên Linux dùng bash shell ❖ /etc/shadow : Chứa chuỗi password mã hóa hàm băm thơng tin khác Password Age User, có cấu trúc bảng: user3:$6$l5vvtgHj$q3eP0Nvc7twjKDZ/GLU2GfauJoPBp4xAEIrTb R82/cl3Ir/6LYOB1PCwhAi.DIYdX59GuiSsOH7bW4/Rc5cGh.:17808:0: 99999:7::: Ý nghĩa cụ thể trường: Usename: Phân biệt hoa/thường, nên dùng chữ thường Password: Lưu chuỗi passwd hash Nếu chứa ! hay * người dùng khơng thể login vào tài khoản Trường màu đỏ cho biết phương thức mã hóa sử dụng để mã hóa mật $1 = MD5 hashing algorithm $2 = Blowfish Algorithm is in use $2a = eksblowfish Algorithm $5 = SHA-256 Algorithm $6 = SHA-512 Algorithm Trường màu xanh chuỗi random, kết hợp với mật để chuỗi mã hóa Khoảng thời gian (tính ngày) tính từ 1/1/1970 lần đổi mật gần Thời gian tối đa cho phép người dùng đổi mật khẩu, tức người dùng đổi mật Số khác ) số ngày lại Thời gian hiệu lực tối đa mật khẩu, 99999 có nghĩa vơ hạn Khoảng thời gian trước mật hết hạn, hệ thống cảnh báo cho người dùng trước hết hạn Khoảng thời gian mà tài khoản hết hạn đăng nhập Khoảng thời gian mà tài khoản hết hạn đăng nhập tính từ ngày 1/1/1970 (đơn vị tính ngày) Trường để trống Ngoài file /etc/shadow có chứa số ký tự đặc biệt để dùng vào số mục đích riêng sau: Nếu trường password rỗng tức người dùng khơng có mật đăng nhập Nếu trường password “!” tức đăng nhập mật người dùng bị chặn đăng nhập phương thức khác, ví dụ sử dụng ssh key Nếu trường password “*LK*” “*” tức tài khoản bị khóa, khơng thể đăng nhập mật đăng nhập phương thức khác ❖ /etc/groups : Chứa thơng tin groups, có cấu trúc: GroupName : Password : GroupID : User1,User2, , Usern Mơ tả chi tiết trường: Groupname: tên nhóm Passwd: lưu chuỗi passwd băm, trường hợp có dùng /etc/gshadow chỗ ghi x Group ID: ID nhóm Users: Danh sách user nhận group secondary, ngăn cách dấu phẩy ❖ /etc/gshadow: Chứa chuỗi password mã hóa hàm băm thơng tin khác Password Age User Group name: tên nhóm Password: Mật mã hóa Adminnistrator: Quản trị viên Member: Liệt kê thành viên 3.3 Chính sách mật Độ dài tối thiểu (mặc định ký tự), quản trị cấu hình thêm Thiết lập sách yêu cầu mật phải thỏa mãn số điều kiện a Số lượng chữ số b Số lượng chữ in hoa c Số lượng chữ thường d Số lượng ký tự đặc biệt khác e Số lượng ký tự password phép trùng với passwd cũ Giới hạn số ngày tối đa mà mật phép sử dụng trước phải thay đổi Không cho phép sử dụng mật cũ Giới hạn số lần phép đăng nhập thất bại Số loại ký tự tối thiểu password Không chứa yếu tố cá nhân (ngày sinh, tên ) Tại file /etc/login.defs Cấu hình số ngày hết hạn mật Tại file /etc/pam.d/common-password Ngăn chặn đặt lại mật cũ 3.4 Chính sách phân quyền Một file hay thư mục hệ thống có quyền sau: a Read (r) Đối với file quyền Read quyền xem nội dung file, folder quyền Read quyền xem danh sách folder file bên folder b Write (w) Đối với file quyền Write cho phép thêm, sửa nội dùng file, folder Write cho phép thêm, xóa subfolder hay file thư mục c Execute (x) Đây quyền thực thi Đối với file Execute cho phép thực thi file trường hợp file thuộc dạng program script, folder Execute cho phép cd vào thư mục d Deny (-) Khơng có quyền làm thao tác file hay folder xác định Phân quyền file/folder có dạng: Trong Linux, file hay thư mục tạo quyền hạn truy cập chúng (read, write, execute) cho chủ thể (owner, group, other) xác định dựa hai giá trị quyền truy nhập sở (base permission) mặt nạ (mask) Quyền mặc định cho tập tin 777 cho thư mục 666 ❖ Base Permission giá trị thiết lập sẵn từ trước, ta thay đổi + Đối với file thông thườnggiá trị base perm 666 (rw-rw-rw-) + Đối với thư mục (file đặc biệt) giá trị base perm 777 (rwxrwxrwx) ❖ UMask giá trị đựợc thiết lập người dùng lệnh umask Nếu Umask = 022 + Quyền mặc định thư mục là: 755 (777-022) + Quyền mặc định file là: 644 (666-022) 3.5 Công cụ phân quyền Command lệnh: chmod chmod [options] mode[,mode] file1 [file2 ] 3.6 SUID, GUID, STICKY BIT SUID (Set owner User ID up on execution) loại file permission đặc biệt Thông thường file linux chạy kế thừa từ user log in SUID cấp quyền "tạm thời" cho user chạy file quyền user tạo file (owner) Nói cách khác, user chạy có UID GID người tạo file, chạy file hay command SGID hay Set group ID, tương tự SUID, sử dụng file thực thi phép việc thực thi thực owner group file thay thực group login hệ thống SGID sử dụng để thay đổi ownership group files tạo di chuyển đến thư mục mà owner group owner group thư mục chuyển đến thay group tạo STICKY BIT giá trị phân quyền Khi folder/file bật STICKY BIT file/folder xóa thay đổi chủ sở hữu root Bất user có quyền w x khơng thể rename xóa file/thư mục Phân quyền chmod: Nếu file khơng có quyền x cấu hình quyền sticky bit thể ký tự “T”, ngược lại “t” 3.7 FTP FTP giao thức truyền tập tin sử dụng hệ thống mạng thông qua giao thức TCP/IP , hoạt động FTP cần máy tính, máy chủ máy khách FTP chạy cổng 20 21, cổng 21 dùng để kết nối trao đổi command, cổng 20 dùng để trao đổi data FTP Active mode Trong active mode, – client kẻ đưa yêu cầu phiên kết nối từ port cao(>1024) đến port 21 server – server đáp trả lại ACK đến client Đồng thời, client lắng nghe port cao đó, chờ đợi tín hiệu đến từ server – server dùng port 20 để truyền liệu đến port cao khác lắng nghe client Ưu điểm: Nhược điểm: Client lắng nghe port đc server biết trước để server connect tới.Với firewall, việc tín hiệu từ bên ngồi cố gắng kết nối vào bên bị deny! FTP passive mode – Khi khởi tạo kết nối, client đồng thời tạo port cao Port dùng để kết nối đến port 21 server, port thứ dùng để vận chuyển liệu – Port thứ liên lạc với server qua port21 nói cho server biết passive mode – Khi biết passive mode server lắng nghe port cao, ko phải port20 trả lại thông tin cho client biết lắng nghe port – Sau biết port lắng nghe server, client dùng port cao thứ để kết nối đến port cao đc tạo server, server đáp trả lại ACK để chấp nhận! Ưu điểm: Client chủ động trình kết nối Nhược điểm: Việc mở nhiều cổng server để chờ kết nối từ client khiến server bị nguy hiểm 3.8 SFTP (FTP over SSH) FTPS (FTP over SSL) SFTP FTP sử dụng giao thức SSH để kết nối với nhau, phiên kết nối FTP nằm Secure Shell connection, liệu trao đổi bên mã hóa AES DES, truyền tải dạng packet based SFTP xác thực người dùng ID, password key SSH SFTP dễ dàng thông qua tưởng lửa sử dụng port mở 22 cho trao đổi phiên hoạt động FTPS phần mở rộng giao thức FTP (thêm SSl/TLS cryptographic protocols) Khi TLS connection thiết lập, liệu trao đổi bên mã hóa AES DES FTPS chứng thực người dùng thông qua ID, password chứng cấp tổ chức phát hành chứng FTPS khó thơng qua tường lửa, FTPS sử dụng nhiều cổng Số cổng ban đầu (mặc định 21) sử dụng để xác thực chuyển lệnh Tuy nhiên, lần yêu cầu chuyển tệp yêu cầu danh sách thư mục thực hiện, cần phải mở số cổng khác Do đó, host phải mở loạt cổng tường lửa phép kết nối FTPS khiến mạng dễ gặp rủi ro làm suy yếu khả phòng thủ an ninh mạng 3.9 Inode Mỗi file/ thư mục liên kết với inode mà chứa thuộc tính file định dạng (text, binary,…), kích thước, ngày khởi tạo, vị trí thiết bị lưu trữ, chủ sở hữu, quyền truy cập,… Thông tin file/thư mục mà inode nắm giữ thường gọi metadata, đặc biệt inode không chứa tên file nội dung thật file Mỗi inode xác định số (inode number) , có bảng mục (inode table) gồm inode number – vị trí inode thiết bị lưu trữ Với inode number có kernel tìm bảng mục truy cập tới nội dung inode, bao gồm trỏ liệu từ truy cập tới nội dung file mà liên kết với inode Khi file tạo, gán file name + inode number số nguyên file system Các file name inode number tương ứng lưu trữ thành mục (entry) thư mục, tức thư mục thực danh sách liên kết file name inode number mà Khi người dùng chương trình sử dụng file name để tham khảo tới file, hệ điều hành sử dụng tên để tìm kiếm inode tương ứng cách tra cứu inode table từ biết thơng tin vị trí file thiết bị lưu trữ để phục vụ cho thao tác sau (như chỉnh sửa nội dung file, cung cấp thuộc tính file,…) 3.10 Cấu hình vsftp Cấu hình mode passive ... User ID: Hệ thống dùng user ID để phân biệt người với người khác Group ID: Đây Primary Group user Comment: Mô tả cho user Home Directory: Thư mục home user, thường nằm /home/tenuser Shell: Tên... GID khác (duy nhất) chọn groupname Tên nhóm thực tạo Đặt mật cho user 3.2 Quản lí người dùng /etc/passwd: Giữ tài khoản người dùng thông tin mật /etc/shadow: Giữ mật biên thành mật mã tài khoản... thi sau user login vào Nếu shell user khơng thể login Mặc nhiên Linux dùng bash shell ❖ /etc/shadow : Chứa chuỗi password mã hóa hàm băm thơng tin khác Password Age User, có cấu trúc bảng: user3 :$6$l5vvtgHj$q3eP0Nvc7twjKDZ/GLU2GfauJoPBp4xAEIrTb