[email protected]
New Member
Link tải luận văn miễn phí cho ae Kết nối
Mục lục
Phần 1. An ninh của các hệ điều hành
họ Microsoft Windows
Chương 1. Tổng quan
1. Mô hình lập mạng trong môi trường windows
1.1. Mô hình nhóm làm việc (workgroup model )
1.2. Mô hình miền (Domain model).
2. Khái quát về an toàn, an ninh mạng làm việc trong môi trường windows
2.1. Trong môi trường windows
2.2. Giới thiệu về hệ bảo mật Windows NT
3. Những nội dung chính cần nghiên cứu
Chương 2. Đăng nhập, sử dụng dịch vụ
1. An toàn mật khẩu
2. Thẩm định quyền
Chương 3. Phân quyền đối với th-mục và tệp
1. Các hệ thống tệp đ-ợc các hệ điều hành Microsoft hỗ trợ
2. Phân quyền đối với th-mục và tệp
2.1. Giới thiệu chung
2.2 Chia sẻ các th-mục
Chương 4. NTFS
1. Giới thiệu chung
2. Dùng chế độ bảo mật của NTFS
2.1. Một số khái niệm
2.2. Sử dụng permission NTFS
2.3. Các mức giấy phép truy nhập tệp NTFS
2.4. Các mức giấy phép truy nhập th-mục NTFS
2.5. So sánh permission cục bộ và trên mạng
2.6. Kết hợp permission chia sẻ và permission NTFS
3. Mã hoá hệ thống tệp (Encrypting File System - EFS)
Phần 2. An ninh của hệ điều hành
SUN SOlaris
Chương I- Giới thiệu và đánh giá khả năng an toàn
của Solaris
1.1-An toàn: Vấn đề cơ bản đối với công ty toàn cầu
1.2-Solaris: Giải pháp an toàn
1.3-Mức 1: Điều khiển đăng nhập trên Solaris
1.4-Mức 2: Điều khiển truy nhập tài nguyên hệ thống
1.5-Mức 3: Các dịch vụ phân tán an toàn và những nền tảng phát triển
1.6-Mức 4: Điều khiển truy nhập tới mạng vật lý
1.7-Các chuẩn an toàn
1.8-Solaris- giải pháp lựa chọn đối với môi trường phân tán an toàn
Chương II -Quản lý hệ thống an toàn
2.1-Cho phép truy nhập tới hệ thống máy tính
2.2-An toàn file
2.3- An toàn hệ thống
2.4-An toàn mạng
Chương III- Các tác vụ an toàn File
3.1-Các chức năng an toàn file
3.1.1-Các lớp người dùng
3.1.2-Các quyền file
3.1.3-Các quyền th-mục
3.1.4-Các quyền file đặc biệt (setuid, setgid và Sticky Bit)
3.1.5-Umask mặc định
3.2-Hiển thị thông tin file
3.2.1- Cách hiển thị thông tin file
3.3-Thay đổi quyền sở hữu file
3.3.1-Cách thay đổi file owner
3.3.2-Cách thay đổi quyền sở hữu nhóm của một file
3.4-Thay đổi các quyền file
3.4.1-Thay đổi quyền theo kiểu trực tiếp nh-thế nào
3.4.2-Thay đổi các quyền đặc biệt theo kiểu tuyệt đối nh-thế nào
3.4.3-Thay đổi quyền theo kiểu ký hiệu nh-thế nào
3.5-Kiểm soát các quyền đặc biệt
3.5.1-Tìm những file có quyền setuid nh-thế nào
3.6-Các stack khả thi và an toàn
3.6.1-Làm thế nào để các chương trình không dùng stack khả thi
3.6.2-Làm thế nào để không ghi lại thông báo về stack khả thi
3.7-Sử dụng các danh sách điều khiển truy nhập (ACLs)
3.7.1-Các ACL entry của đối với các file
3.7.2-Các ACL entry của các th-mục
3.7.3-Cài đặt ACL trên một file nh-thế nào
3.7.4-Cách sao chép ACL
3.7.5-Cách kiểm tra một file có ACL
3.7.6-Cách thay đổi các ACL entry trên một file
3.7.7-Cách xoá các ACL entry khỏi file
3.7.8-Làm thế nào để hiển thị các ACL entry của một file
Chương IV-Các tác vụ An toàn của hệ thống
4.1-Cách hiển thị trạng thái đăng nhập của người dùng
4.2-Cách hiển thị những người dùng không có mật khẩu
4.3-Vô hiệu hoá tạm thời các cuộc đăng nhập của người dùng
4.4-L-u lại các cuộc đăng nhập không thành công
4.5-Bảo vệ mật khẩu bằng cách dùng các mật khẩu quay số
4.6-Cách vô hiệu hoá tạm thời các cuộc đăng nhập dial-up
4.7-Hạn chế truy nhập Superuser (root) trên thiệt bị điều khiển
4.8-Giám sát người dùng lệnh su
4.9-Cách hiển thị những lần truy nhập của superuser (root) tới thiết
bị điều khiển
Chương V-Sử dụng các dịch vụ xác thực
5.1-Tổng quan về RPC an toàn
5.1.1-Các dịch vụ NFS và RPC an toàn
5.1.2-Mã DES
5.1.3-Xác thực Diffie-Hellman
5.1.4-Kerberos phiên bản 4
5.2-Phân phối xác thực Diffie-Hellman
5.2.1-Cách khởi động Keyserver
5.2.2-Cách thiết lập nhãn quyền NIS+ đối với xác thực Diffie-Hellman
5.2.3-Cách đặt nhãn quyền NIS cho xác thực Diffie-Hellman
5.2.4-Cách chia xẻ và gắn các file với xác thực Diffie-Hellman
5.3-Quản trị xác thực Kerberos phiên bản 4
5.3.1-Cách chia xẻ và gắn các file với xác thực Kerberos
5.3.2-Cách lấy thẻ Kerberos cho superuser trên client
5.3.3-Cách đăng nhập tới dịch vụ Kerberos
5.3.4-Cách liệt kê các thẻ Kerberos
5.3.5-Cách truy nhập th-mục với xác thực Kerberos
5.3.6-Cách huỷ thẻ Kerberos
5.4-Giới thiệu về PAM
5.4.1-Những lợi ích của việc dùng PAM
2
5.4.2-Các kiểu PAM module
5.4.3-chức năng stacking
5.4.4-chức năng ánh xạ mật khẩu
5.5-Chức năng tiện ích PAM
5.5.1-Th-viện PAM
5.5.2-Các PAM module
5.5.3-File cấu hình PAM
5.6-Cấu hình PAM
5.6.1-Lập sơ đồ cho PAM
5.6.2-Cách bổ sung PAM module
5.6.3-Cách ngăn chặn truy nhập trái phép từ các hệ thống từ xa bằng PAM
5.6.4-Cách kích hoạt thông báo lỗi của PAM
Chương VI-Sử dụng công cụ tăng cường an toàn tự động
6.1-Công cụ tăng cường an toàn tự động (ASET)
6.1.1-Các mức an toàn ASET
6.1.2-Các tác vụ ASET
6.1.3-Ghi nhật ký thực hiện ASET
6.1.4-Các báo cáo ASET
6.1.5-Các file cơ bản ASET
6.1.6- File môi trường ASET (asetenv)
6.1.7-Cấu hình ASET
6.1.8-Khôi phục các file hệ thống do ASET biến đổi
6.1.9-Điều hành mạng dùng hệ thống NFS
6.1.10-Các biến môi trường
6.1.11-Các ví dụ file ASET
6.2-Chạy ASET
6.2.1-Cách chạy ASET trực tuyến
6.2.2-Cách chạy ASET định kỳ
6.2.3-Cách ngừng chạy ASET định kỳ
6.2.4-Cách tập hợp các báo cáo trên server
6.3-Sửa chữa các sự cố ASET
Phần 3. An ninh của hệ điều hành LINUX
Chương 1. Linux Security
1- Giới thiệu
1.1- Tại sao cần bảo mật
1.2- Bạn đang cố gắng bảo vệ những gì?
1.3- Các phương pháp để bảo vệ site của bạn
2- Bảo vệ vật lý
2.1- Khóa máy tính
2.2- Bảo vệ BIOS
2.3- Bảo vệ trình nạp khởi động (Boot Loader) LILO
2.4- xlock and vlock
2.5- Phát hiện sự thỏa hiệp an toàn vật lý
3-Bảo vệ cục bộ
3.1-Tạo các tài khoản mới
3.2- An toàn Root
4-An toàn file và hệ thống file
4.1- Thiết lập Umask
4.2- Quyền của file
4.3- Kiểm tra tính toàn vẹn của hệ thống file
5-An toàn mật khẩu và sự mã hóa
5.1- PGP và mật mã khóa công khai
5.2-SSL, S-HTTP, HTTP và S/MIME
5.3-ứng dụng Linux IPSEC
5.4- ssh và stelnet
5.5 PAM - Pluggable Authetication Modules
5.6-Cryptographic IP Encapsulation (CIPE)
5.7- Kerberos
5.8-Shadow Passwords
5.9- “Cr-ack” và “John the Ripper”
5.10-CFS-Cryptograpic File System và TCFS - Transparent Cryptographic
File System
5.11- X11, SVGA và bảo vệ màn hình
6-An toàn nhân
6.1-Các tùy chọn cấu hình nhân có liên quan tới an toàn
6.2-Các thiết bị nhân
7- An toàn mạng
7.1- Bộ lắng nghe gói (packet sniffer)
7.2-Các dịch vụ hệ thống và tcp_wrappers
7.3-Kiểm tra thông tin DNS
7.4-identd
7.5- sendmail, qmail
7.6-Tấn công từ chối dịch vụ
7.7-An toàn NFS (Network File System)
7.8- NIS (Network Information Service) - Dịch vụ thông tin mạng
7.9- Firewalls
7.10- IP Chains - Linux Kernel 2.2.x Firewalling
7.11- VNPs - Virtual Private Networks
8-Các công việc chuẩn bị để bảo vệ hệ thống của bạn
chương 2. Login và Xác thực người dùng
1-Đăng nhập - Login
1.1- Trình getty
1.2- Trình login
2- Tài khoản, quản lý tài khoản và xác thực người dùng trên hệ thống
2.1- Tài khoản người dùng
2.2-Mật khẩu - phương pháp mã hoá
2.3- Mật khẩu shadow
2.4- Cr-acklib và Cr-acklib_dict
3- PAM
3.1- PAM là gì?
3.2- Tổng quan
3.3- Cấu hình cho Linux PAM
3.4- Các module khả dụng
Khi các quyền này đ−ợc đặt, thì bất kỳ ng−ời dùng nào chạy file khả thi đều đ−ợc
gán user ID của ng−ời sở hữu (hay nhóm) file khả thi.
Bạn phải rất cẩn thận khi đặt các quyền đặc biệt này, vì các quyền đặc biệt tạo nên
rủi ro về an toàn. Ví dụ, một ng−ời có thể có đ−ợc quyền superuser bằng việc thực
thi ch−ơng trình cài đặt user ID cho root. Ngoài ra, tất cả ng−ời dùng có thể đặt các
quyền đặc biệt đối với file mà họ sở hữu tạo nên một mối e sợ an toàn khác.
Bạn nên giám sát hệ thống của bạn đối với việc tuỳ tiện sử dụng các quyền setuid và
setgid để có đ−ợc các quyền superuser. Xem “Cách tìm thấy các file có quyền
setuid” ở trong ch−ơng này để tìm kiếm các hệ thống file và in ra danh sách tất cả
các ch−ơng trình sử dụng các quyền này. Danh sách đáng ngờ sẽ là danh sách cấp
quyền sở hữu ch−ơng trình nh− thế cho ng−ời dùng mà không phải là bin hay sys.
Quyền setuid
Khi quyền đặt định danh ng−ời dùng (setuid) đ−ợc thiết lập trên một file khả thi, thì
một tiến trình chạy file này đ−ợc cấp quyền truy nhập dựa vào file owner (th−ờng là
root), mà không phải là ng−ời dùng đang chạy file khả thi. Điều này cho phép ng−ời
dùng truy nhập các file và th− mục th−ờng là ng−ời sở hữu sẵn có. Ví dụ, quyền
setuid ở lệnh passwd khiến nó có thể làm cho ng−ời dùng thay đổi các mật khẩu
công nhận các quyền của root ID:
-r-sr-sr-x 1 root sys 10322 May 3 08:23 /usr/bin/passwd
Điều này chỉ ra một rủi ro về an toàn, vì một số ng−ời dùng xác định có thể tìm cách
duy trì các quyền đã cấp cho họ bằng tiến trình setuid ngay cả sau khi tiến trình đã
kết thúc thực hiện.
Ghi chú - Việc dùng các quyền setuid với UIDs (0-99) dành riêng có thể không cài
đặt UID có hiệu quả một cách đúng đắn. Nên dùng shell script thay thế hay tránh
dùng UIDs dành riêng với các quyền setuid.
72
Quyền setgid
Quyền đặt định danh nhóm (setgid) t−ơng tự với setuid, ngoại trừ là ID nhóm có
hiệu lực của tiến trình do nhóm sở hữu file thay đổi, và ng−ời dùng đ−ợc cấp quyền
truy nhập dựa vào các quyền đã cấp cho nhóm đó. Ch−ơng trình /usr/bin/mail có các
quyền setgid:
-r-x—s—x 1 bin mail 62504 May 3 07:58 /usr/bin/mail
Khi quyền setgid đ−ợc áp dụng cho một th− mục, các file đ−ợc tạo ra trong th− mục
này thuộc về nhóm sở hữu th− mục, không phải nhóm tạo ra nó. Bất kỳ ng−ời dùng
nào có các quyền ghi và thực hiện trong th− mục đều có thể tạo file ở đó - tuy nhiên,
file không thuộc về nhóm của ng−ời dùng, mà thuộc về nhóm của th− mục.
Bạn nên giám sát hệ thống của bạn tránh việc tuỳ tiện sử dụng các quyền setuid và
setgid để có đ−ợc các quyền superuser. Xem “Cách tìm thấy các file có quyền
setuid” ở trong ch−ơng này để tìm kiếm các hệ thống file và in ra danh sách tất cả
các ch−ơng trình sử dụng các quyền này. Danh sách đáng ngờ sẽ là danh sách cấp
quyền sở hữu ch−ơng trình nh− thế cho ng−ời dùng mà không phải là bin hay sys.
Sticky Bit
Sticky bit là bit quyền bảo vệ file trong một th− mục. Nếu th− mục có sticky bit
đ−ợc đặt, thì chỉ có file owner, ng−ời sở hữu th− mục hay root mới có thể xoá file.
Điều này ngăn chặn việc một ng−ời dùng xoá file của những ng−ời dùng khác khỏi
th− mục public chẳng hạn /tmp:
drwxrwxrwt 7 sys sys 517 Mar 6 02:01 tmp
Để chắc chắn nên đặt sticky bit một cách thủ công khi bạn tạo một th− mục public
trên hệ thống file TMPFS.
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
Mục lục
Phần 1. An ninh của các hệ điều hành
họ Microsoft Windows
Chương 1. Tổng quan
1. Mô hình lập mạng trong môi trường windows
1.1. Mô hình nhóm làm việc (workgroup model )
1.2. Mô hình miền (Domain model).
2. Khái quát về an toàn, an ninh mạng làm việc trong môi trường windows
2.1. Trong môi trường windows
2.2. Giới thiệu về hệ bảo mật Windows NT
3. Những nội dung chính cần nghiên cứu
Chương 2. Đăng nhập, sử dụng dịch vụ
1. An toàn mật khẩu
2. Thẩm định quyền
Chương 3. Phân quyền đối với th-mục và tệp
1. Các hệ thống tệp đ-ợc các hệ điều hành Microsoft hỗ trợ
2. Phân quyền đối với th-mục và tệp
2.1. Giới thiệu chung
2.2 Chia sẻ các th-mục
Chương 4. NTFS
1. Giới thiệu chung
2. Dùng chế độ bảo mật của NTFS
2.1. Một số khái niệm
2.2. Sử dụng permission NTFS
2.3. Các mức giấy phép truy nhập tệp NTFS
2.4. Các mức giấy phép truy nhập th-mục NTFS
2.5. So sánh permission cục bộ và trên mạng
2.6. Kết hợp permission chia sẻ và permission NTFS
3. Mã hoá hệ thống tệp (Encrypting File System - EFS)
Phần 2. An ninh của hệ điều hành
SUN SOlaris
Chương I- Giới thiệu và đánh giá khả năng an toàn
của Solaris
1.1-An toàn: Vấn đề cơ bản đối với công ty toàn cầu
1.2-Solaris: Giải pháp an toàn
1.3-Mức 1: Điều khiển đăng nhập trên Solaris
1.4-Mức 2: Điều khiển truy nhập tài nguyên hệ thống
1.5-Mức 3: Các dịch vụ phân tán an toàn và những nền tảng phát triển
1.6-Mức 4: Điều khiển truy nhập tới mạng vật lý
1.7-Các chuẩn an toàn
1.8-Solaris- giải pháp lựa chọn đối với môi trường phân tán an toàn
Chương II -Quản lý hệ thống an toàn
2.1-Cho phép truy nhập tới hệ thống máy tính
2.2-An toàn file
2.3- An toàn hệ thống
2.4-An toàn mạng
Chương III- Các tác vụ an toàn File
3.1-Các chức năng an toàn file
3.1.1-Các lớp người dùng
3.1.2-Các quyền file
3.1.3-Các quyền th-mục
3.1.4-Các quyền file đặc biệt (setuid, setgid và Sticky Bit)
3.1.5-Umask mặc định
3.2-Hiển thị thông tin file
3.2.1- Cách hiển thị thông tin file
3.3-Thay đổi quyền sở hữu file
3.3.1-Cách thay đổi file owner
3.3.2-Cách thay đổi quyền sở hữu nhóm của một file
3.4-Thay đổi các quyền file
3.4.1-Thay đổi quyền theo kiểu trực tiếp nh-thế nào
3.4.2-Thay đổi các quyền đặc biệt theo kiểu tuyệt đối nh-thế nào
3.4.3-Thay đổi quyền theo kiểu ký hiệu nh-thế nào
3.5-Kiểm soát các quyền đặc biệt
3.5.1-Tìm những file có quyền setuid nh-thế nào
3.6-Các stack khả thi và an toàn
3.6.1-Làm thế nào để các chương trình không dùng stack khả thi
3.6.2-Làm thế nào để không ghi lại thông báo về stack khả thi
3.7-Sử dụng các danh sách điều khiển truy nhập (ACLs)
3.7.1-Các ACL entry của đối với các file
3.7.2-Các ACL entry của các th-mục
3.7.3-Cài đặt ACL trên một file nh-thế nào
3.7.4-Cách sao chép ACL
3.7.5-Cách kiểm tra một file có ACL
3.7.6-Cách thay đổi các ACL entry trên một file
3.7.7-Cách xoá các ACL entry khỏi file
3.7.8-Làm thế nào để hiển thị các ACL entry của một file
Chương IV-Các tác vụ An toàn của hệ thống
4.1-Cách hiển thị trạng thái đăng nhập của người dùng
4.2-Cách hiển thị những người dùng không có mật khẩu
4.3-Vô hiệu hoá tạm thời các cuộc đăng nhập của người dùng
4.4-L-u lại các cuộc đăng nhập không thành công
4.5-Bảo vệ mật khẩu bằng cách dùng các mật khẩu quay số
4.6-Cách vô hiệu hoá tạm thời các cuộc đăng nhập dial-up
4.7-Hạn chế truy nhập Superuser (root) trên thiệt bị điều khiển
4.8-Giám sát người dùng lệnh su
4.9-Cách hiển thị những lần truy nhập của superuser (root) tới thiết
bị điều khiển
Chương V-Sử dụng các dịch vụ xác thực
5.1-Tổng quan về RPC an toàn
5.1.1-Các dịch vụ NFS và RPC an toàn
5.1.2-Mã DES
5.1.3-Xác thực Diffie-Hellman
5.1.4-Kerberos phiên bản 4
5.2-Phân phối xác thực Diffie-Hellman
5.2.1-Cách khởi động Keyserver
5.2.2-Cách thiết lập nhãn quyền NIS+ đối với xác thực Diffie-Hellman
5.2.3-Cách đặt nhãn quyền NIS cho xác thực Diffie-Hellman
5.2.4-Cách chia xẻ và gắn các file với xác thực Diffie-Hellman
5.3-Quản trị xác thực Kerberos phiên bản 4
5.3.1-Cách chia xẻ và gắn các file với xác thực Kerberos
5.3.2-Cách lấy thẻ Kerberos cho superuser trên client
5.3.3-Cách đăng nhập tới dịch vụ Kerberos
5.3.4-Cách liệt kê các thẻ Kerberos
5.3.5-Cách truy nhập th-mục với xác thực Kerberos
5.3.6-Cách huỷ thẻ Kerberos
5.4-Giới thiệu về PAM
5.4.1-Những lợi ích của việc dùng PAM
2
5.4.2-Các kiểu PAM module
5.4.3-chức năng stacking
5.4.4-chức năng ánh xạ mật khẩu
5.5-Chức năng tiện ích PAM
5.5.1-Th-viện PAM
5.5.2-Các PAM module
5.5.3-File cấu hình PAM
5.6-Cấu hình PAM
5.6.1-Lập sơ đồ cho PAM
5.6.2-Cách bổ sung PAM module
5.6.3-Cách ngăn chặn truy nhập trái phép từ các hệ thống từ xa bằng PAM
5.6.4-Cách kích hoạt thông báo lỗi của PAM
Chương VI-Sử dụng công cụ tăng cường an toàn tự động
6.1-Công cụ tăng cường an toàn tự động (ASET)
6.1.1-Các mức an toàn ASET
6.1.2-Các tác vụ ASET
6.1.3-Ghi nhật ký thực hiện ASET
6.1.4-Các báo cáo ASET
6.1.5-Các file cơ bản ASET
6.1.6- File môi trường ASET (asetenv)
6.1.7-Cấu hình ASET
6.1.8-Khôi phục các file hệ thống do ASET biến đổi
6.1.9-Điều hành mạng dùng hệ thống NFS
6.1.10-Các biến môi trường
6.1.11-Các ví dụ file ASET
6.2-Chạy ASET
6.2.1-Cách chạy ASET trực tuyến
6.2.2-Cách chạy ASET định kỳ
6.2.3-Cách ngừng chạy ASET định kỳ
6.2.4-Cách tập hợp các báo cáo trên server
6.3-Sửa chữa các sự cố ASET
Phần 3. An ninh của hệ điều hành LINUX
Chương 1. Linux Security
1- Giới thiệu
1.1- Tại sao cần bảo mật
1.2- Bạn đang cố gắng bảo vệ những gì?
1.3- Các phương pháp để bảo vệ site của bạn
2- Bảo vệ vật lý
2.1- Khóa máy tính
2.2- Bảo vệ BIOS
2.3- Bảo vệ trình nạp khởi động (Boot Loader) LILO
2.4- xlock and vlock
2.5- Phát hiện sự thỏa hiệp an toàn vật lý
3-Bảo vệ cục bộ
3.1-Tạo các tài khoản mới
3.2- An toàn Root
4-An toàn file và hệ thống file
4.1- Thiết lập Umask
4.2- Quyền của file
4.3- Kiểm tra tính toàn vẹn của hệ thống file
5-An toàn mật khẩu và sự mã hóa
5.1- PGP và mật mã khóa công khai
5.2-SSL, S-HTTP, HTTP và S/MIME
5.3-ứng dụng Linux IPSEC
5.4- ssh và stelnet
5.5 PAM - Pluggable Authetication Modules
5.6-Cryptographic IP Encapsulation (CIPE)
5.7- Kerberos
5.8-Shadow Passwords
5.9- “Cr-ack” và “John the Ripper”
5.10-CFS-Cryptograpic File System và TCFS - Transparent Cryptographic
File System
5.11- X11, SVGA và bảo vệ màn hình
6-An toàn nhân
6.1-Các tùy chọn cấu hình nhân có liên quan tới an toàn
6.2-Các thiết bị nhân
7- An toàn mạng
7.1- Bộ lắng nghe gói (packet sniffer)
7.2-Các dịch vụ hệ thống và tcp_wrappers
7.3-Kiểm tra thông tin DNS
7.4-identd
7.5- sendmail, qmail
7.6-Tấn công từ chối dịch vụ
7.7-An toàn NFS (Network File System)
7.8- NIS (Network Information Service) - Dịch vụ thông tin mạng
7.9- Firewalls
7.10- IP Chains - Linux Kernel 2.2.x Firewalling
7.11- VNPs - Virtual Private Networks
8-Các công việc chuẩn bị để bảo vệ hệ thống của bạn
chương 2. Login và Xác thực người dùng
1-Đăng nhập - Login
1.1- Trình getty
1.2- Trình login
2- Tài khoản, quản lý tài khoản và xác thực người dùng trên hệ thống
2.1- Tài khoản người dùng
2.2-Mật khẩu - phương pháp mã hoá
2.3- Mật khẩu shadow
2.4- Cr-acklib và Cr-acklib_dict
3- PAM
3.1- PAM là gì?
3.2- Tổng quan
3.3- Cấu hình cho Linux PAM
3.4- Các module khả dụng
Khi các quyền này đ−ợc đặt, thì bất kỳ ng−ời dùng nào chạy file khả thi đều đ−ợc
gán user ID của ng−ời sở hữu (hay nhóm) file khả thi.
Bạn phải rất cẩn thận khi đặt các quyền đặc biệt này, vì các quyền đặc biệt tạo nên
rủi ro về an toàn. Ví dụ, một ng−ời có thể có đ−ợc quyền superuser bằng việc thực
thi ch−ơng trình cài đặt user ID cho root. Ngoài ra, tất cả ng−ời dùng có thể đặt các
quyền đặc biệt đối với file mà họ sở hữu tạo nên một mối e sợ an toàn khác.
Bạn nên giám sát hệ thống của bạn đối với việc tuỳ tiện sử dụng các quyền setuid và
setgid để có đ−ợc các quyền superuser. Xem “Cách tìm thấy các file có quyền
setuid” ở trong ch−ơng này để tìm kiếm các hệ thống file và in ra danh sách tất cả
các ch−ơng trình sử dụng các quyền này. Danh sách đáng ngờ sẽ là danh sách cấp
quyền sở hữu ch−ơng trình nh− thế cho ng−ời dùng mà không phải là bin hay sys.
Quyền setuid
Khi quyền đặt định danh ng−ời dùng (setuid) đ−ợc thiết lập trên một file khả thi, thì
một tiến trình chạy file này đ−ợc cấp quyền truy nhập dựa vào file owner (th−ờng là
root), mà không phải là ng−ời dùng đang chạy file khả thi. Điều này cho phép ng−ời
dùng truy nhập các file và th− mục th−ờng là ng−ời sở hữu sẵn có. Ví dụ, quyền
setuid ở lệnh passwd khiến nó có thể làm cho ng−ời dùng thay đổi các mật khẩu
công nhận các quyền của root ID:
-r-sr-sr-x 1 root sys 10322 May 3 08:23 /usr/bin/passwd
Điều này chỉ ra một rủi ro về an toàn, vì một số ng−ời dùng xác định có thể tìm cách
duy trì các quyền đã cấp cho họ bằng tiến trình setuid ngay cả sau khi tiến trình đã
kết thúc thực hiện.
Ghi chú - Việc dùng các quyền setuid với UIDs (0-99) dành riêng có thể không cài
đặt UID có hiệu quả một cách đúng đắn. Nên dùng shell script thay thế hay tránh
dùng UIDs dành riêng với các quyền setuid.
72
Quyền setgid
Quyền đặt định danh nhóm (setgid) t−ơng tự với setuid, ngoại trừ là ID nhóm có
hiệu lực của tiến trình do nhóm sở hữu file thay đổi, và ng−ời dùng đ−ợc cấp quyền
truy nhập dựa vào các quyền đã cấp cho nhóm đó. Ch−ơng trình /usr/bin/mail có các
quyền setgid:
-r-x—s—x 1 bin mail 62504 May 3 07:58 /usr/bin/mail
Khi quyền setgid đ−ợc áp dụng cho một th− mục, các file đ−ợc tạo ra trong th− mục
này thuộc về nhóm sở hữu th− mục, không phải nhóm tạo ra nó. Bất kỳ ng−ời dùng
nào có các quyền ghi và thực hiện trong th− mục đều có thể tạo file ở đó - tuy nhiên,
file không thuộc về nhóm của ng−ời dùng, mà thuộc về nhóm của th− mục.
Bạn nên giám sát hệ thống của bạn tránh việc tuỳ tiện sử dụng các quyền setuid và
setgid để có đ−ợc các quyền superuser. Xem “Cách tìm thấy các file có quyền
setuid” ở trong ch−ơng này để tìm kiếm các hệ thống file và in ra danh sách tất cả
các ch−ơng trình sử dụng các quyền này. Danh sách đáng ngờ sẽ là danh sách cấp
quyền sở hữu ch−ơng trình nh− thế cho ng−ời dùng mà không phải là bin hay sys.
Sticky Bit
Sticky bit là bit quyền bảo vệ file trong một th− mục. Nếu th− mục có sticky bit
đ−ợc đặt, thì chỉ có file owner, ng−ời sở hữu th− mục hay root mới có thể xoá file.
Điều này ngăn chặn việc một ng−ời dùng xoá file của những ng−ời dùng khác khỏi
th− mục public chẳng hạn /tmp:
drwxrwxrwt 7 sys sys 517 Mar 6 02:01 tmp
Để chắc chắn nên đặt sticky bit một cách thủ công khi bạn tạo một th− mục public
trên hệ thống file TMPFS.
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
You must be registered for see links