Ôn tập Hệ điều hành mạng nâng cao 1. Khái quát về HĐH mạng – HĐH cho máy để bàn và HĐH mạng – HĐH cho mạng peertopeer và HĐH cho mạng clientserver 2. Kiểm soát truy nhập – Khái niệm kiểm soát truy nhập – Các biện phát kiểm soát truy nhập • Kiểm soát truy nhập tuỳ chọn • Kiểm soát truy nhập bắt buộc • Kiểm soát truy nhập dựa trên vai trò • Kiểm soát truy nhập dựa trên luật 3. Hệ thống file phân tán – Hệ thống file và hệ thống file phân tán – Đặt tên và tính trong suốt – Các phương pháp truy nhập từ xa – Giới thiệu hệ thống file phân tán của Google (Google Distributed File System) 4. Các cơ chế giao tiếp giữa các tiến trình phân tán – Mô hình giao tiếp – Cơ chế truyền thông điệp và triệu gọi thủ tục từ xa. 5. Điều độ các tiến trình trong hệ thống phân tán – Vấn đề điều độ trong các hệ thống phân tán – Loại trừ tương hỗ phân tán – Bầu chọn lãnh đạo – hay người điều phối hệ thống 6. Các vấn đề về an toàn và bảo mật mạng – Khái quát về vấn đề an toàn hệ thống và mạng – Các dạng tấn công và các phần mềm độc hại – Các biện pháp đảm bảo an toàn – Giới thiệu về mã hoá khoá bí mật và mã hoá khoá công khai.
Ôn tập Hệ điều hành mạng nâng cao 1. Khái quát về HĐH mạng – HĐH cho máy để bàn và HĐH mạng – HĐH cho mạng peer-to-peer và HĐH cho mạng client/server 2. Kiểm soát truy nhập – Khái niệm kiểm soát truy nhập – Các biện phát kiểm soát truy nhập • Kiểm soát truy nhập tuỳ chọn • Kiểm soát truy nhập bắt buộc • Kiểm soát truy nhập dựa trên vai trò • Kiểm soát truy nhập dựa trên luật 3. Hệ thống file phân tán – Hệ thống file và hệ thống file phân tán – Đặt tên và tính trong suốt – Các phương pháp truy nhập từ xa – Giới thiệu hệ thống file phân tán của Google (Google Distributed File System) 4. Các cơ chế giao tiếp giữa các tiến trình phân tán – Mô hình giao tiếp – Cơ chế truyền thông điệp và triệu gọi thủ tục từ xa. 5. Điều độ các tiến trình trong hệ thống phân tán – Vấn đề điều độ trong các hệ thống phân tán – Loại trừ tương hỗ phân tán – Bầu chọn lãnh đạo – hay người điều phối hệ thống 6. Các vấn đề về an toàn và bảo mật mạng – Khái quát về vấn đề an toàn hệ thống và mạng – Các dạng tấn công và các phần mềm độc hại – Các biện pháp đảm bảo an toàn – Giới thiệu về mã hoá khoá bí mật và mã hoá khoá công khai. ~ 1 ~ 1. Khái quát về HĐH mạng – HĐH cho máy để bàn và HĐH mạng – HĐH cho mạng peer-to-peer và HĐH cho mạng client/server Hệ điều hành là một phần mềm chạy trên máy tính, dùng để điều hành, quản lý các thiết bị phần cứng và các tài nguyên phần mềm trên máy tính. Hệ điều hành đóng vai trò trung gian trong việc giao tiếp giữa người sử dụng và phần cứng máy tính, cung cấp một môi trường cho phép người sử dụng phát triển và thực hiện các ứng dụng của họ một cách dễ dàng. * Chức năng chính yếu của hệ điều hành Theo nguyên tắc, hệ điều hành cần thỏa mãn hai chức năng chính yếu sau: - Quản lý chia sẻ tài nguyên + Tài nguyên của hệ thống (CPU, bộ nhớ, thiết bị ngoại vi, ) vốn rất giới hạn, nhưng trong các hệ thống đa nhiệm, nhiều người sử dụng có thể đồng thời yêu cầu nhiều tài nguyên. Để thỏa mãn yêu cầu sử dụng chỉ với tài nguyên hữu hạn và nâng cao hiệu quả sử dụng tài nguyên, hệ điều hành cần phải có cơ chế và chiến lược thích hợp để quản lý việc phân phối tài nguyên. Ngoài yêu cầu dùng chung tài nguyên để tiết kiệm chi phí, người sử dụng còn cần phải chia sẻ thông tin (tài nguyên phần mềm) lẫn nhau, khi đó hệ điều hành cần đảm bảo việc truy xuất đến các tài nguyên này là hợp lệ, không xảy ra tranh chấp, mất đồng nhất, - Giả lập một máy tính mở rộng Hệ điều hành làm ẩn đi các chi tiết phần cứng, người sử dụng được cung cấp một giao diện đơn giản, dễ hiểu, dễ sử dụng và không phụ thuộc vào thiết bị phần cứng cụ thể. Thực tế, ta có thể xem Hệ điều hành như là một hệ thống bao gồm nhiều máy tính trừu tượng xếp thành nhiều lớp chồng lên nhau, máy tính mức dưới phục vụ cho máy tính mức trên. Lớp trên cùng là giao diện trực quan nhất để chúng ta điều khiển. Ngoài ra có thể chia chức năng của Hệ điều hành theo bốn chức năng sau: Quản lý quá trình (process management) Quản lý bộ nhớ (memory management) Quản lý hệ thống lưu trữ Giao tiếp với người dùng (user interaction) * Nhiệm vụ của hệ điều hành + Điều khiển và quản lý trực tiếp các phần cứng như bo mạch chủ, bo mạch đồ họa và bo mạch âm thanh, + Thực hiện một số thao tác cơ bản trong máy tính như các thao tác đọc, viết tập tin, quản lý hệ thống tập tin (file system) và các kho dữ liệu. + Cung ứng một hệ thống giao diện sơ khai cho các ứng dụng thường là thông qua một hệ thống thư viện các hàm chuẩn để điều hành các phần cứng mà từ đó các ứng dụng có thể gọi tới. + Cung ứng một hệ thống lệnh cơ bản để điều hành máy. Các lệnh này gọi là lệnh hệ thống (system command). ~ 2 ~ + Ngoài ra hệ điều hành, trong vài trường hợp, cũng cung cấp các dịch vụ cơ bản cho các phần mềm ứng dụng thông thường như chương trình duyệt Web, chương trình soạn thảo văn bản * Các thành phần của hệ điều hành - Hệ thống quản lý tiến trình - Hệ thống quản lý bộ nhớ - Hệ thống quản lý nhập xuất - Hệ thống quản lý tập tin - Hệ thống bảo vệ - Hệ thống dịch lệnh - Quản lý mạng a. * HĐH cho máy để bàn • Dịch vụ mạng là phần bổ sung trên nền HĐH truyền thống; • Các dịch vụ mạng chủ yếu được sử dụng cho các ứng dụng trực tiếp phục vụ người dùng cuối (email client, web browsers, ) * HĐH mạng • Là HĐH chuyên dụng được thiết kế để cung cấp các dịch vụ mạng; • Dịch vụ mạng của HĐH mạng (được cung cấp bởi các ứng dụng máy chủ) chủ yếu phục vụ một lượng lớn người dùng cuối hoặc các hệ thống thứ cấp khác (mail, web, DNS, DHCP servers). • Hệ điều hành mạng (network operating system - NOS) là một phần mềm: – Điều khiển một mạng và các thông điệp truyền trong mạng đó, bao gồm cả vấn đề quản lý các hàng đợi (queues) các thông điệp; – Điều khiển quyền truy nhập của nhiều người sử dụng đến các tài nguyên mạng; – Cung cấp các chức năng quản trị hệ thống, bao gồm cả vấn đề an ninh an toàn. • Điểm khác biệt giữa NOS và OS thông thường (được trang bị các công cụ mạng): NOS là một OS được thiết kế đặc biệt để đảm bảo hoạt động của mạng đạt hiệu năng tối ưu. – Ví dụ: dịch vụ chia sẻ file: • Windows XP: chậm và chỉ phục vụ số hạn chế users • Windows server 2003: nhanh và có thể phục vụ nhiều users truy nhập đồng thời. b. HĐH mạng - Peer-to-Peer • Đặc điểm – HĐH mạng peer-to-peer cho phép người dùng: • Chia sẻ các tài nguyên có trên máy tính của họ và • Truy nhập các tài nguyên chia sẻ trên các máy tính khác trong mạng. – Các máy tính trong mạng peer-to-peer được xem là bình đẳng và quyền ngang nhau khi truy nhập các tài nguyên mạng. – Không có cơ chế quản lý tập trung và không có máy chủ file. – Thường được dùng trong các mạng LAN nhỏ và trung bình – VD: ~ 3 ~ • Windows for workgroups: Windows 3.x • Mạng chỉ gồm các máy desktop chạy Windows 95, 98, ME, 2000, XP, Vista, • Các mạng chia sẻ files Peer-to-Peer do các phần mềm như eDonkey, eMule, Bittorent, tạo ra. • Ưu điểm – Rẻ tiền do không cần máy chủ chuyên dụng – Dễ cài đặt và quản trị • Nhược điểm – Không tập trung - thiếu nơi lưu trữ tập trung cho files và các ứng dụng – Hiệu năng của các dịch vụ mạng thường không cao – Khó khăn trong đảm bảo an toàn mạng. HĐH mạng - Client/Server • Đặc điểm – HĐH mạng cho phép tập trung các chức năng và các ứng dụng trên một hoặc một số máy chủ chuyên dụng (dedicated servers); – Các máy chủ là trái tim của cả hệ thống, cho phép: • Các máy truy nhập đến các tài nguyên mạng • Kiểm soát và đảm bảo an toàn cho mạng • Đặc điểm – Các máy trạm (khách) được phép truy nhập các tài nguyên sẵn có trên máy chủ theo quyền truy nhập đã được xác định trước; – HĐH mạng cung cấp các cơ chế kết hợp tất cả các thành phần của mạng thành một thể thống nhất; – Cho phép nhiều người dùng cùng truy nhập đồng thời các tài nguyên mạng từ các vị trí khác nhau. • Ưu điểm – Tập trung (Centralized): Máy chủ kiểm soát các tài nguyên và đảm bảo an toàn dữ liệu; – Khả năng mở rộng (Scalability): từng thành phần hoặc tất cả có thể được thay thế riêng để mở rộng hệ thống – Mềm dẻo (Flexibility): các công nghệ mới có thể được áp dụng dễ dàng – Tương tác (interoperabilities): tất cả các thành phần của mạng (client/network/server) cùng phối hợp hoạt động. – Khả năng truy nhập (Accessibility): máy chủ có thể được truy nhập từ xa và bởi nhiều nền tảng khác nhau. • Nhược điểm – Đắt tiền: đòi hỏi phải đầu tư các máy chủ chuyên dụng đắt tiền; – Bảo trì: các mạng lớn đòi hỏi nhân viên quản trị hệ thống có trình độ và kinh nghiệm để mạng có thể hoạt động với hiệu quả cao; – Phụ thuộc: nếu máy chủ gặp sự cố thì hoạt động của cả mạng có thể bị ngưng trệ. 1. Khái niệm hệ điều hành (Operating System). ~ 4 ~ HĐH là tập hợp các chương trình được tổ chức thành một hệ thống với nhiệm vụ: – Đảm bảo tương tác giữa người dùng với máy tính. – Cung cấp các phương tiện và dịch vụ để điều phối việc thực hiện các ch.trình. – Quản lý, tổ chức khai thác các tài nguyên của máy một cách thuận lợi và tối ưu. 1.1 Khái niệm hệ điều hành Hệ điều hành là một hệ thống các chương trình hoạt động giữa người sử dụng (user) và phần cứng của máy tính. Mục tiêu của hệ điều hành là cung cấp một môi trường để người sử dụng có thể thi hành các chương trình. Nó làm cho máy tính dễ sử dụng hơn, thuận lợi hơn và hiệu quả hơn. Hệ điều hành là một phần quan trọng của hầu hết các hệ thống máy tính. Một hệ thống máy tính thường được chia làm bốn phần chính : phần cứng, hệ điều hành, các chương trình ứng dụng và người sử dụng. Phần cứng bao gồm CPU, bộ nhớ, các thiết bị nhập xuất, đây là những tài nguyên của máy tính. Chương trình ứng dụng như các chương trình dịch, hệ thống cơ sở dữ liệu, các trò chơi, và các chương trình thương mại. Các chương trình này sử dụng tài nguyên của máy tính để giải quyết các yêu cầu của người sử dụng. Hệ điều hành điều khiển và phối hợp việc sử dụng phần cứng cho những ứng dụng khác nhau của nhiều người sử dụng khác nhau. Hệ điều hành cung cấp một môi trường mà các chương trình có thể làm việc hữu hiệu trên đó. I. Thế nào là một hệ điều hành mạng Với việc ghép nối các máy tính thành mạng thì cần thiết phải có một hệ thống phần mềm có chức năng quản lý tài nguyên, tính toán và xử lý truy nhập một cách thống nhất trên mạng, hệ như vậy được gọi là hệ điều hành mạng. Mỗi tài nguyên của mạng như tệp, đĩa, thiết bị ngoại vi được quản lý bởi một tiến trình nhất định và hệ điều hành mạng điều khiển sự tương tác giữa các tiến trình và truy cập tới các tiến trình đó. Căn cứ vào việc truy nhập tài nguyên trên mạng người ta chia các thực thể trong mạng thành hai loại chủ và khách, trong đó máy khách (Client) truy nhập được vào tài nguyên của mạng nhưng không chia sẻ tài nguyên của nó với mạng, còn máy chủ (Server) là máy tính nằm trên mạng và chia sẻ tài nguyên của nó với các người dùng mạng. Hiện nay các hệ điều hành mạng thường được chia làm hai loại là hệ điều hành mạng ngang hàng (Peer-to-peer) và hệ điều hành mạng phân biệt (client/server). Với hệ điều hành mạng ngang hàng mỗi máy tính trên mạng có thể vừa đóng vai trò chủ lẫn khách tức là chúng vừa có thể sử dụng tài nguyên của mạng lẫn chia sẻ tài nguyên của nó cho mạng, ví dụ: LANtastic của Artisoft, NetWare lite của Novell, Windows (for Workgroup, 95, NT Client) của Microsoft. ~ 5 ~ Với hệ điều hành mạng phân biệt các máy tính được phân biệt chủ và khách, trong đó máy chủ mạng (Server) giữ vai trò chủ và các máy cho người sử dụng giữ vai trò khách (các trạm). Khi có nhu cầu truy nhập tài nguyên trên mạng các trạm tạo ra các yêu cầu và gửi chúng tới máy chủ sau đó máy chủ thực hiện và gửi trả lời. Ví dụ các hệ điều hành mạng phân biệt: Novell Netware, LAN Manager của Microsoft, Windows NT Server của Microsoft, LAN Server của IBM, Vines của Banyan System với server dùng hệ điều hành Unix. ========== Môi trường mạng có những đặc điểm riêng, khác với môi trường chỉ dùng máy tính cá nhân (PC), thể hiện ở các đặc trưng sau: − Trước hết đó là môi trường nhiều người dùng. Đặc điểm này dẫn đến các nhu cầu liên lạc giữa những người sử dụng, nhu cầu bảo vệ dữ liệu và nói chung là bảo vệ tính riêng tư của người sử dụng. − Mạng còn là môi trường đa nhiệm, có nhiều công việc thực hiện trên mạng. Đặc điểm này sẽ phát sinh các nhu nhu cầu chia sẻ tài nguyên, nhu cầu liên lạc giữa các tiến trình như trao đổi dữ liệu, đồng bộ hoá. − Là môi trường phân tán, tài nguyên (thông tin, thiết bị) nằm ở các vị trí khác nhau, chỉ kết nối thông qua các đường truyền vật lý. Điều này phát sinh các nhu cầu chia sẻ tài nguyên trên toàn mạng nhưng sự phân tán cần được trong suốt đối để nó không gây khó khăn cho người sử dụng. − Có nhiều quan niệm cũng như các giải pháp mạng khác nhau. Điều đó nảy sinh nhu cầu giao tiếp giữa các mạng khác nhau. − Làm việc trên môi trường mạng chắc chắn sẽ phức tạp hơn môi trường máy đơn lẻ. Vì thế rất cần có các tiện ích giúp cho việc sử dụng và quản trị mạng dễ dàng và hiệu quả. ==================== 1.4.3.1. Kiểu ngang hàng (peer-to-peer) Mọi trạm đều có quyền bình đẳng như nhau và đều có thể cung cấp tài nguyên cho các trạm khác. Các tài nguyên cung cấp được có thể là tệp (tương ứng với thiết bị là đĩa), máy in. Nói chung trong các mạng ngang hàng không có việc biến một máy tính thành một trạm làm việc của một máy tính khác. Trong mạng ngang hàng, thông thường các máy sử dụng chung một hệ điều hành. Win 3.1, Win 95, NT Workstation, AppleShare, Lanstic và Novell Lite là các hệ điều hành mạng ngang hàng . Các đặc điểm của mạng ngang hàng: - Thích hợp với các mạng cục bộ quy mô nhỏ, đơn lẻ, các giao thức riêng lẻ, mức độ thấp và giá thành rẻ. - Các mạng ngang hàng được thiết kế chủ yếu cho các mạng nội bộ vừa và nhỏ và sẽ hỗ trợ tốt các mạng dùng một nền và một giao thức. Các mạng trên nhiều nền, nhiều giao thức sẽ thích hợp hơn với hệ điều hành có máy chủ dịch vụ. - Yêu cầu chia sẻ file và máy in một cách hạn chế cần đến giải pháp ngang hàng. - Người dùng được phép chia sẻ file và tài nguyên nằm trên máy của họ và truy nhập đến ~ 6 ~ các tài nguyên được chia sẻ trên máy người khác, nhưng không có nguồn quản lý tập trung. - Vì mạng ngang hàng không cần máy cụ thể làm máy chủ. Chúng thường là một phần của hệ điều hành nền hay là phần bổ sung cho hệ điều hành và thường rẻ hơn so với các hệ điều hành dựa trên máy chủ. - Trong một mạng ngang hàng, tất cả các máy tính được coi là bình đẳng, bởi vì chúng có cùng khả năng sử dụng các tài nguyên có sẵn trên mạng. Những thuận lợi: - Chi phí ban đầu ít - không cần máy chủ chuyên dụng. - Cài đặt - Một hệ điều hành có sẵn (ví dụ Win 95) có thể chỉ cần cấu hình lại để hoạt động ngang hàng. Những bất lợi: - Không quản lý tập trung được - Bảo mật kém - Có thể tốn rất nhiều thời gian để bảo trì ================== Hệ điều hành khách/chủ (client/server) Các hệ điều hành cho cấu trúc khách/chủ bao gồm: Sun Solaris NFS, UnixWare NFS, Novell Netware và Windows NT Server. - Hệ điều hành khách/chủ cho phép mạng tập trung các chức năng và các ứng dụng tại một hay nhiều máy dịch vụ file chuyên dụng. Theo cách này, chúng có thể hoạt động như trường hợp đặc biệt của hệ điều hành dựa trên máy chủ. - Các máy dịch vụ file trở thành trung tâm củ hệ thống, cung cấp sự truy cập tới các tài nguyên và cung cấp sự bảo mật. Các máy trạm riêng lẻ (máy khách) được truy nhập tới các tài nguyên có sẵn trên máy dịch vụ file. - OS cung cấp cơ chế tích hợp tất cả các bộ phận của mạng và cho phép nhiều người dùng đồng thời chia sẻ cùng một tài nguyên bất kể vị trí vật lý - Các hệ điều hành ngang hàng cũng có thể hoạt động như hệ điều hành khách/chủ như với Unix/NFS và Windows 95. Các điểm thuận lợi của một mạng khách/chủ: - Cho phép cả điều khiển tập trung và không tập trung: Các tài nguyên và bảo mật dữ liệu có thể được điều khiển qua một máy chủ chuyên dụng hay rải rác trên tòan mạng. - Chống quá tải mạng - Cho phép sử dụng các máy, các mạng chạy trên các nền khác nhau - Đảm bảo toàn vẹn dữ liệu - Giảm chi phí phát triển hệ thống ~ 7 ~ 2. Kiểm soát truy nhập – Khái niệm kiểm soát truy nhập – Các biện phát kiểm soát truy nhập • Kiểm soát truy nhập tuỳ chọn • Kiểm soát truy nhập bắt buộc • Kiểm soát truy nhập dựa trên vai trò • Kiểm soát truy nhập dựa trên luật ============== * Khái niệm kiểm soát truy nhập • Kiểm soát truy nhập là quá trình mà trong đó người dùng được nhận dạng và trao quyền truy nhập đến các thông tin, các hệ thống và tài nguyên. • Một hệ thống kiểm soát truy nhập có thể được cấu thành từ 3 dịch vụ: – Xác thực (Authentication): • Là quá trình xác minh tính chân thực của các thông tin nhận dạng mà người dùng cung cấp. – Trao quyền (Authorization): • Trao quyền xác định các tài nguyên mà người dùng được phép truy nhập sau khi người dùng đã được xác thực. – Quản trị (Administration): • Cung cấp khả năng thêm, bớt và sửa đổi các thông tin tài khoản người dùng, cũng như quyền truy nhập của người dùng. * Mục đích chính của kiểm soát truy nhập là để đảm bảo tính bí mật, toàn vẹn và sẵn dùng của thông tin, hệ thống và các tài nguyên: – Tính bí mật (confidentiality): đảm bảo chỉ những người có thẩm quyền mới có khả năng truy nhập vào dữ liệu và hệ thống. – Tính toàn vẹn (Integrity): đảm bảo dữ liệu không bị sửa đổi bởi các bên không có đủ thẩm quyền. – Tính sẵn dùng: đảm bảo tính sẵn sàng (đáp ứng nhanh/kịp thời) của dịch vụ cung cấp cho người dùng thực sự. === Các biện pháp kiểm soát truy nhập: Có 4 biện pháp là: • Kiểm soát truy nhập tuỳ chọn - Discretionary Access Control (DAC) • Kiểm soát truy nhập bắt buộc – Mandatory Access Control (MAC) • Kiểm soát truy nhập dựa trên vai trò - Role-Based Access Control (RBAC) • Kiểm soát truy nhập dựa trên luật - Rule-Based Access Control • Kiểm soát truy nhập tuỳ chọn được định nghĩa là các cơ chế hạn chế truy nhập đến các đối tượng dựa trên thông tin nhận dạng của các chủ thể và/hoặc nhóm của các chủ thể. - Thông tin nhận dạng có thể gồm: + Bạn là ai? (CMND, bằng lái xe, vân tay, ) + Những cái bạn biết (tên truy nhập, mật khẩu, ) ~ 8 ~ + Bạn có gì? (Thẻ tín dụng, ) - DAC cho phép người dùng có thể cấp hoặc huỷ quyền truy nhập cho các người dùng khác đến các đối tượng thuộc quyền kiểm soát của họ. - Chủ sở hữu của các đối tượng (owner of objects) là người dùng có toàn quyền kiểm soát các đối tượng này. - Ví dụ: Với DAC: + Người dùng có quyền tạo, sửa đổi và xoá các files trong thư mục của riêng mình (home directory). + Họ cũng có khả năng trao hoặc huỷ quyền truy nhập vào các files của mình cho các người dùng khác. * Kiểm soát truy bắt buộc - Mandatory Access Control (MAC) được định nghĩa là các cơ chế hạn chế truy nhập đến các đối tượng dựa trên: + Tính nhạy cảm (sensitivity) của thông tin (thường được gán nhãn) chứa trong các đối tượng, và + Sự trao quyền chính thức (formal authorization) cho các chủ thể truy nhập các thông tin nhạy cảm này. - MAC không cho phép người tạo ra các đối tượng (thông tin/tài nguyên) có toàn quyền truy nhập các đối tượng này. - Quyền truy nhập đến các đối tượng (thông tin/tài nguyên) do người quản trị hệ thống định ra trước trên cơ sở chính sách an toàn thông tin của tổ chức đó. - MAC thường được sử dụng phổ biến trong các cơ quan an ninh, quân đội và ngân hàng. • Ví dụ: một tài liệu được tạo ra và được đóng dấu “Mật”: – Chỉ những người có trách nhiệm trong tổ chức mới được quyền xem và phổ biến cho người khác; – Tác giả của tài liệu không được quyền phổ biến đến người khác; * Kiểm soát truy nhập dựa trên vai trò - (RBAC) • Kiểm soát truy nhập dựa trên vai trò cho phép người dùng truy nhập vào hệ thống và thông tin dựa trên vai trò (role) của họ trong công ty/tổ chức đó. • Kiểm soát truy nhập dựa trên vai trò có thể được áp dụng cho một nhóm người dùng hoặc từng người dùng riêng lẻ. • Quyền truy nhập được tập hợp thành các nhóm “vai trò” với các mức quyền truy nhập khác nhau. • Ví dụ: một trường học chia người dùng thành các nhóm gán sẵn quyền truy nhập vào các phần trong hệ thống: – Nhóm Quản lý được quyền truy nhập vào tất cả các thông tin; – Nhóm Giáo viên được truy nhập vào CSDL các môn học, bài báo khoa học, cập nhật điểm các lớp phụ trách; – Nhóm Sinh viên chỉ được quyền xem nội dung các môn học, tải tài liệu học tập và xem điểm của mình. ~ 9 ~ • Liên kết giữa người dùng và vai trò: Người dùng được cấp “thẻ thành viên” của các nhóm “vai trò” trên cơ sở năng lực và vai trò, cũng như trách nhiệm của họ trong một tổ chức. • Trong nhóm “vai trò”, người dùng có vừa đủ quyền để thực hiện các thao tác cần thiết cho công việc được giao. • Liên kết giữa người dùng và vai trò có thể được tạo lập và huỷ bỏ dễ dàng. • Quản lý phân cấp vai trò: các vai trò được tổ chức thành một cây theo mô hình phân cấp tự nhiên của các công ty/tổ chức. * Kiểm soát truy nhập dựa trên luật • Kiểm soát truy nhập dựa trên luật cho phép người dùng truy nhập vào hệ thống vào thông tin dựa trên các luật (rules) đã được định nghĩa trước. • Các luật có thể được thiết lập để hệ thống cho phép truy nhập đên các tài nguyên của mình cho người dùng thuộc một tên miền, một mạng hay một dải địa chỉ IP. • Firewalls/Proxies là ví dụ điển hình về kiểm soát truy nhập dựa trên luật: – Dựa trên địa chỉ IP nguồn và đích của các gói tin; – Dựa trên phần mở rộng các files để lọc các mã độc hại; – Dựa trên IP hoặc các tên miền để lọc/chặn các website bị cấm; – Dựa trên tập các từ khoá để lọc các nội dung bị cấm. ~ 10 ~ [...]... các hệ thống file không phải là DFS và NFS Ví dụ: trong các hệ thống mà các files được quản lý động bởi các phần mềm phục vụ cho giao tiếp giữa các tiến trình, hoặc dành cho không gian lưu trữ tạm thời Các loại hệ điều hành và hệ thống file sử dụng: - Hệ điều hành MS-DOS sử dụng hệ thống file: FAT (FAT 12 và FAT 16) - Hệ điều hành Windows 95, 98, Me sử dụng hệ thống file: VFAT (FAT 32) - Hệ điều hành. .. 2003 sử dụng hệ thống file NTFS - Hệ điều hành Unix và Linux sử dụng hệ thống file ext2 và ext3 - Hệ điều hành Mac OS sử dụng hệ thống file HFS (Hierachical FS) 1.2 Hệ thống file phân tán 1.2.1 Định nghĩa: Hệ thống file phân tán (Distributed File System -DFS) là một hệ thống file hỗ trợ chia sẻ files và các tài nguyên trên mạng Về mặt hình thức và với người dùng, DFS hoàn toàn tương tự như hệ thống file... chính sau sự cố – Lựa chọn người điều độ sau khi mạng được cấu hình lại Các khó khăn của v/đ điều độ • Các giải pháp điều độ tập trung không phù hợp với hệ thống phân tán do thành phần tập trung sẽ trở thành điểm nút cổ chai • Các mô hình master/slave tĩnh cũng không phù hợp do master có thể gặp trục trặc • Tôpô mạng trong hệ phân tán rất phức tạp • Khả năng chịu lỗi mạng (lỗi đường truyền, tiến trình... công mạng ngày càng phổ biến và tăng nhanh chóng qua từng năm Tấn công/đột nhập là gì? • Tấn công (attack), đột nhập (intrusion) lên một hệ thống là một sự vi phạm (breach) chính sách an toàn bảo mật của hệ thống đó • Các vụ tấn công đều vi phạm chính sách an toàn bảo mật theo một số cách cụ thể: – Cho phép kẻ tấn công đọc một số file, nhưng không cho phép thay đổi các thành phần hệ thống – Tấn công... toàn và bảo mật mạng – Khái quát về vấn đề an toàn hệ thống và mạng – Các dạng tấn công và các phần mềm độc hại – Các biện pháp đảm bảo an toàn – Giới thiệu về mã hoá khoá bí mật và mã hoá khoá công khai Internet và vấn đề an toàn • Cùng với sự phát triển của Internet và mạng WWW, các hệ thống thông tin ngày càng trở thành đích của các cuộc tấn công tội phạm và đột nhập • Các cuộc tấn công có thể lan... tương tự như hệ thống tên 2.2 Các phương pháp đặt tên 2.2.1 Kết hợp tên máy (host) và tên cục bộ Với phương pháp này vị trí không trong suốt và vị trí không độc lập Có thể sử dụng cùng một tập các thao tác cho file cục bộ và file ở xa Phương pháp này cung cấp tính trong suốt về mạng và DFS được cấu trúc như một tập hợp của các đơn vị thành phần riêng rẽ; các đơn vị thành phần này là các hệ thống file... • Tính sẵn dùng (Availability): Một cuộc tấn công vi phạm tính sẵn dùng nếu nó ngăn cản người dùng thông thường truy cập dịch vụ • Điều khiển (Control): Cuộc tấn công giành quyền điều khiển hệ thống, vi phạm chính sách kiểm soát truy nhập Vi phạm về điều khiển sẽ dẫn tới các loại vi phạm về tính bí mật, toàn vẹn và sẵn dùng Các dạng tấn công máy tính và mạng: • Nghe trộm (Eavesdropping), hoặc sniffing... thường chứa mã độc tấn công phá hoại, hoặc giành quyền kiểm soát hệ thống • Do các gói tin có địa chỉ IP nguồn là địa chỉ cục bộ nên chúng có khả năng vượt qua một số biện pháp an ninh, như kiểm soát truy nhập Tấn công trên cơ sở mật khẩu • Kiểm soát truy nhập dựa trên mật khẩu được dùng ở hầu hết các hệ điều hành và nhiều phần mềm mạng • Nếu kẻ tấn công có thể truy nhập vào hệ thống như một người dùng... Các cơ chế giao tiếp giữa các tiến trình phân tán – Mô hình giao tiếp – Cơ chế truyền thông điệp và triệu gọi thủ tục từ xa ~ 23 ~ 5 Điều độ các tiến trình trong hệ thống phân tán – Vấn đề điều độ trong các hệ thống phân tán – Loại trừ tương hỗ phân tán – Bầu chọn lãnh đạo – hay người điều phối hệ thống Tại sao cần điều độ các tiến trình? • Cập nhật đồng thời các tài nguyên chia sẻ: – các bản ghi trong... 1 Hệ thống file và hệ thống file phân tán 1.1 Hệ thống file Hệ thống file (file system) là một phương pháp tổ chức và lưu trữ các file và dữ liệu của chúng Hệ thống file cho phép người sử dụng dễ dàng tìm kiếm và truy cập các file Hệ thống file có thể sử dụng các thiết bị lưu trữ (đĩa cứng, đĩa mềm, CD) để lưu trữ file hoặc cho phép truy nhập đến dữ liệu trên máy chủ file thông qua một giao thức mạng . Ôn tập Hệ điều hành mạng nâng cao 1. Khái quát về HĐH mạng – HĐH cho máy để bàn và HĐH mạng – HĐH cho mạng peer-to-peer và HĐH cho mạng client/server 2. Kiểm soát. bí mật và mã hoá khoá công khai. ~ 1 ~ 1. Khái quát về HĐH mạng – HĐH cho máy để bàn và HĐH mạng – HĐH cho mạng peer-to-peer và HĐH cho mạng client/server Hệ điều hành là một phần mềm chạy trên. người dùng cuối (email client, web browsers, ) * HĐH mạng • Là HĐH chuyên dụng được thiết kế để cung cấp các dịch vụ mạng; • Dịch vụ mạng của HĐH mạng (được cung cấp bởi các ứng dụng máy chủ) chủ