File System Security File System Security HỆ THỐNG TẬP TIN CỦA UNIX HỆ THỐNG TẬP TIN CỦA UNIX Đối với hệ điều hành UNIX, không Đối với hệ điều hành UNIX, không có khái niệm các ổ đóa khác nhau. có khái niệm các ổ đóa khác nhau. Sau quá trình khởi động, toàn bộ Sau quá trình khởi động, toàn bộ các thư mục và tập tin được ‘gắn ‘ các thư mục và tập tin được ‘gắn ‘ lên (mount) và tạo thành một hệ lên (mount) và tạo thành một hệ thống tập tin thống nhất, bắt đầu từ thống tập tin thống nhất, bắt đầu từ gốc ‘/’ gốc ‘/’ Sun Microsystems Inc. SunOS 5.6 Generic August 1997 $ df -k Filesystem kbytes used avail capacity Mounted on /dev/dsk/c0t0d0s0 192799 131990 41530 77% / /dev/dsk/c0t0d0s6 962983 477544 427661 53% /usr /proc 0 0 0 0% /proc fd 0 0 0 0% /dev/fd /dev/dsk/c0t0d0s3 289207 115445 144842 45% /var /dev/dsk/c0t0d0s5 465775 28807 390391 7% /opt /dev/dsk/c0t0d0s7 1290127 233611 1004911 19% /other /dev/dsk/c0t0d0s1 311983 203961 76824 73% /usr/openwin swap 418136 120 418016 1% /tmp /dev/dsk/c0t1d0s2 4124422 2359571 1723607 58% /squid $ SUN OS File System [citd@server citd]$ df -k Filesystem 1024-blocks Used Available Capacity Mounted on /dev/sda1 447044 45006 378948 11% / /dev/sda6 496627 119068 351909 25% /export /dev/sda5 496627 405042 65935 86% /usr /dev/sda7 492657 329963 137249 71% /var [citd@server citd]$ Linux File System / + ! /bin ! /sbin ! /usr /usr/bin ! ! /usr/sbin ! ! /usr/local ! ! /usr/doc ! ! /etc ! /lib ! /var /var/adm ! /var/log ! /var/spool / /usr /usr/home /squid / /usr /usr/home /squid CD /mnt /mnt/cdrom TƯƠNG ỨNG GIỮA DISK PARTITIONS VÀ CẤU TRÚC TẬP TIN GIỚI THIỆU CÁC THƯ MỤC QUAN TRỌNG CỦA UNIX / (THƯ MỤC GỐC ) /bin /sbin /usr/bin /usr/sbin /var /var/log /var/adm /home /export/home (SUNOS) Quyền và sở hữu tập tin và thư mục của Unix (directory and file permission and ownership) -rw-r—r— 1 fido users 163 Dec 7 14:31 myfile Kết quả của lệnh ls -l Khi một tập tin hay thư mục được tạo ra, nó mang owner và group của người tạo ra nó. Phần quyền dành cho user, group, other phụ thuộc vào giá trò của umask Vớ duù : [tnminh@pasteur tnminh]$ umask 002 [tnminh@pasteur tnminh]$ echo tao mot file > tmp [tnminh@pasteur tnminh]$ ls -l total 5472 -rw-rw-r 1 tnminh tnminh 13 Oct 3 21:55 tmp [tnminh@pasteur /etc]$ umask 022 [tnminh@pasteur tnminh]$ echo tao mot file khac>tmp1 [tnminh@pasteur tnminh]$ ls -l -rw-rw-r 1 tnminh tnminh 13 Oct 3 21:55 tmp -rw-r r 1 tnminh tnminh 18 Oct 3 21:59 tmp1 Umask vaứ caực quyen truy nhaọp taọp tin Dạng nhò phân của quyền truy nhập tập tin và Dạng nhò phân của quyền truy nhập tập tin và thư mục thư mục Quyền truy nhập tập tin chia thành ba nhóm số cho chủ nhân (user), nhóm Quyền truy nhập tập tin chia thành ba nhóm số cho chủ nhân (user), nhóm (group) và còn lại (others) (group) và còn lại (others) read permission read permission 4 4 write permission write permission 2 2 Execute permission Execute permission 1 1 Như vậy : Như vậy :  0 or —-: No permissions at all 0 or —-: No permissions at all  4 or r—: read-only 4 or r—: read-only  2 or -w-: write-only (rare) 2 or -w-: write-only (rare)  1 or —x: execute 1 or —x: execute  6 or rw-: read and write 6 or rw-: read and write  5 or r-x: read and execute 5 or r-x: read and execute  3 or -wx: write and execute (rare) 3 or -wx: write and execute (rare)  7 or rwx: read, write, and execute 7 or rwx: read, write, and execute Thay đổi các thuộc tính của tập tin và thư Thay đổi các thuộc tính của tập tin và thư mục mục Cách thay đổi tương đối : Cách thay đổi tương đối :  chmod g+w myfile chmod g+w myfile   thêm khả năng write cho group của myfile thêm khả năng write cho group của myfile  chmod o-x myfile chmod o-x myfile   bớt khả năng chạy của others của myfile bớt khả năng chạy của others của myfile Cách thay đổi tuyệt đối : Cách thay đổi tuyệt đối :  chmod 644 myfile => myfile sẽ có quyền rw-r r chmod 644 myfile => myfile sẽ có quyền rw-r r Đối với các admin, nên dùng cách tuyệt đối vì nó an toàn hơn. Đối với các admin, nên dùng cách tuyệt đối vì nó an toàn hơn. Đối với các thư mục, thao tác hoàn toàn tương đương. Đối với các thư mục, thao tác hoàn toàn tương đương. chown cho phép đổi người sở hữu tập tin, chown cho phép đổi người sở hữu tập tin, Chgrp cho phép đổi nhóm của tập tin, Chgrp cho phép đổi nhóm của tập tin, [...]... phép tìm ra những thay đổi của các tập tin hệ thống Chúng ta, cũng như checksum, nên tạo một file checklist ngay từ đầu Bằng cách này, chúng ta sẽ biết được các tập tin mới tạo ra không hợp pháp Access Control List (ACL) •Đây là một chuẩn mới của Unix cho phép phân quyền hạn truy nhập vào hệ thống tập tin một cách chi tiết hơn hệ thống của Unix truyền thống Hệ thống này cho phép ví dụ cả group ggg có... •setfacl -m acl_entry_list filename •để biết một tập tin có sử dụng ACL, với lệnh ls -l ta có •-rw-r -+ etc Dấu + hiển thò rằng tập tin sử dụng ACL •Có thể sử dụng ACL trên SUN OS 5.6 Network File System (NFS) NFS, the Network File System has three important characteristics:  It makes sharing of files over a network possible  It mostly works well enough  It opens a can of security risks that are... RPC-based server đang đợi - Client và server “quên “ portmapper và nối trực tiếp với nhau - Kẻ xâm nhập có thể bypass portmapper NFS Server Security •root_squash option : Now, if a user with UID 0 on the client attempts to access (read, write, delete) the file system the server substitutes the UID of the servers `nobody' account Which means that the root user on the client can't access or change files that... echo"Set-User-Id files found:" find / -type f -a -perm -4000 -exec ls -aslg {} \; echo "" # echo."Set-Group-Id files found:" find / -type f -a -perm -2000 -exec ls -aslg {} \; echo "" # # echo"Device files not located in /dev :" find / \( -type b -o -type c \) -print) | grep -v '^/dev' echo "" # echo "World writable files and directories : " find / -perm -2 -exec ls -aslgd {} \; # # # echo " Files owned... cài đặt hệ thống của hệ điều hành UNIX Chúng ta sẽ chuyển sang xem xét các xâm nhập thông qua các dòch mà máy Unix mở ra cho mạng Inetd và /etc/inet.conf • • • • • • • • • • • • inetd được sử dụng để khởi động các daemon cung cấp các dòch vụ mạng inetd đợi các nối mạng sau một số cổng Khi có yêu cầu kết nối, inetd sẽ gọi chương trình server tương ứng để thiết lập các kết nối inetd sẽ đọc file /etc/inetd.conf...setuid và setgid bits Set-user-id : Set-user-id nghóa là khi chương trình được chạy, nó sẽ có quyền như người chủ (owner) của file cho dù người gọi chương trình là ai đi nữa Ví dụ :  $ ls –l /usr/sbin/sendmail  rwsr-xr-x root root sendmail Tương tự, set-group-id cho quyền chương trình như group của tập tin chương trình Bit thứ 4 mã giá trò này 4 = setuid; 2= setgid, Nếu /bin/sh có... với một dòng như vậy ;-( • #!/bin/sh # # fscheck - check file system for insecurities # # This should be run as root # PATH=/usr/bin:/bin export PATH CHECKDIRS="/bin /etc /usr/bin /usr/etc /usr/lib /usr/ucb" # ls.master is the file to create by command 'ls -alsgR $CHECKDIRS > ls.master MASTER_LS=ls.master # sum.master is the file to create by command 'find $CHECKDIRS -type f -exec echo -n {} " " \; -exec... nhanh chóng và được thông báo rộng rãi cho phép sửa chữa nhanh chóng 2 con đường thâm nhập qua Mail Server 1 Qua các lệnh mà mail server nhận từ ngoài : command channel attacks Morris worm đã sử dụng con đường này bằng cách sử dụng lỗi debug của sendmail 2 Qua nội dung của mail : data-driven attacks Các chương trình Mail Server đều sử dụng một chương trình mail local để gửi/nhận thư nội bộ của máy, giao... sendmail đang chạy •Các điểm cần kiểm tra : •Dùng version mới Cần kiểm tra version của sendmail vì một số version cũ có vấn đề liên quan tới bảo mật hệ thống •$ telnet pasteur.bvt.hcm 25 •220 pasteur.bvt.hcm ESMTP Sendmail 8.9.3/8.9.3; Wed, 17 Nov 1999 04:46:35 +0700 Một số chức năng wiz, debug không được có 220 pasteur.bvt.hcm ESMTP Sendmail 8.9.3/8.9.3; Wed, 17 Nov 1999 04:46:35 700 wiz 500 Command unrecognized:... mostly works well enough  It opens a can of security risks that are well understood by crackers, and easily exploited to get access (read, write and delete) to all your files Trên nguyên tắc, NFS server tin NFS client và ngược lại Do đó, nếu NFS server hay client bò xâm nhập sẽ dễ dàng dẫn đến sự xâm nhập vào toàn bộ mạng NFS NFS model Server : eris /etc/exports /mn/eris/local apollon(rw) Client : apollon