Bài giảng Hệ điều hành - Chương 7 trang bị cho người học kiến thức cơ bản về Bảo vệ và An toàn hệ thống. Nội dung trình bày cụ thể gồm có: Mục tiêu của việc bảo vệ, miền bảo vệ, ma trận quyền truy xuất, cài đặt ma trận quyền truy xuất, an toàn hệ thống.
Hệ điều hành Chương 7: Bảo vệ và an toàn hệ thống Dang Minh Quan: Institute of IT for Economics-NEU, 2011 Tổng quan • • • • Mục tiêu của việc bảo vệ Miền bảo vệ Ma trận quyền truy xuất An toàn hệ thống Dang Minh Quan: Institute of IT for Economics-NEU, 2011 Mục tiêu của việc bảo vệ • Bảo vệ chống lỗi của tiến trình : khi có nhiều tiến trình cùng hoạt động, lỗi của một tiến trình j phải được ngăn chặn khơng cho lan truyền trên hệ thống làm ảnh hưởng đến các tiến trình khác. • Chống sự truy xuất bất hợp lệ : Bảo đảm các bộ phận tiến trình sử dụng tài ngun theo một cách thức hợp lệ được qui định cho nó. Dang Minh Quan: Institute of IT for Economics-NEU, 2011 Miền bảo vệ • Một hệ thống máy tính được xem như một tập các đối tượng (objects). Một đối tượng có thể là một bộ phận phần cứng ( CPU, bộ nhớ, ổ đĩa ) hay một thực thể phần mềm ( tập tin, chương trình, semaphore ). • Hệ điều hành chỉ cho phép các tiến trình được truy xuất đến các tài ngun mà nó có quyền sử dụng, hơn nữa tiến trình chỉ được truy xuất đến các tài ngun cần thiết trong thời điểm hiện tại để nó hồn thành tác vụ (ngun lý needtoknow) nhằm hạn chế các lỗi truy xuất mà tiến trình có thể gây ra trong hệ thống. Dang Minh Quan: Institute of IT for Economics-NEU, 2011 Miền bảo vệ • Một hệ thống máy tính được xem như một tập các đối tượng (objects). Một đối tượng có thể là một bộ phận phần cứng ( CPU, bộ nhớ, ổ đĩa ) hay một thực thể phần mềm ( tập tin, chương trình, semaphore ). • Các khả năng thao tác trên một đối tượng được gọi là quyền truy xuất (access right). • Một miền bảo vệ là một tập các quyền truy xuất, mỗi quyền truy xuất được định nghĩa bởi một bộ hai thứ tự Dang Minh Quan: Institute of IT for Economics-NEU, 2011 Miền bảo vệ • Mỗi tiến trình trong hệ thống đều hoạt động trong một miền bảo vệ (protection domain) nào đó. Một miền bảo vệ sẽ xác định các tài ngun ( đối tượng) mà những tiến trình hoạt động trong miền bảo vệ này có thể sử dụng, và các thao tác hợp lệ các tiến trình này có thể thực hiện trên những tài ngun đó. – Ví dụ : Dang Minh Quan: Institute of IT for Economics-NEU, 2011 Miền bảo vệ • Các miền bảo vệ khác nhau có thể giao nhau một số quyền truy xuất • Mối liên kết giữa một tiến trình và một miền bảo vệ có thể tĩnh hay động Dang Minh Quan: Institute of IT for Economics-NEU, 2011 Miền bảo vệ Liên kết tĩnh • Trong suốt thời gian sống của tiến trình, tiến trình chỉ hoạt động trong một miền bảo vệ • Ngay từ đầu miền bảo vệ đã phải đặc tả tất cả các quyền truy xuất qua các giai đoạn cho tiến trình • ở mỗi giai đoạn tiến trình có thể thao tác trên những tập tài ngun khác nhau bằng các thao tác khác nhau • Điều này có thể khiến cho tiến trình có dư quyền trong một giai đoạn nào đó, và vi phạm ngun lý needtoknow. • Cần phải có khả năng cập nhật nội dung miền bảo vệ Dang Minh Quan: Institute of IT for Economics-NEU, 2011 Miền bảo vệ Liên kết động • Cơ chế này cho phép tiến trình chuyển từ miền bảo vệ này sang miền bảo vệ khác trong suốt thời gian sống của nó. • Để tiếp tục tn theo ngun lý needto know, thay vì sửa đổi nội dung của miền bảo vệ, có thể tạo ra các miền bảo vệ mới với nội dung thay đổi qua từng giai đoạn xử lý của tiến trình, và chuyển tiến trình sang hoạt động trong miền bảo vệ phù hợp theo từng thời điểm. Dang Minh Quan: Institute of IT for Economics-NEU, 2011 Miền bảo vệ • Một miền bảo vệ có thể được xây dựng cho: – Một người sử dụng : trong trường hợp này, tập các đối tượng được phép truy xuất phụ thuộc vào định danh của người sử dụng, miền bảo vệ được chuyển khi thay đổi người sử dụng. – Một tiến trình : trong trường hợp này, tập các đối tượng được phép truy xuất phụ thuộc vào định danh của tiến trình, miền bảo vệ được chuyển khi quyền điều khiển được chuyển sang tiến trình khác. – Một thủ tục : trong trường hợp này, tập các đối tượng được phép truy xuất là các biến cục bộ được định nghĩa bên trong thủ tục, miền bảo vệ được chuyển khi thủ tục được gọi. Dang Minh Quan: Institute of IT for Economics-NEU, 2011 10 Chương trình đe dọa • Virut: Một dạng khác của chương trình đe dọa là một virut. Một virut là một đoạn mã nhúng trong một chương trình hợp pháp. Những virut có thể tự sao chép và được thiết kế để " lây lan " sang các trương trình khác. Chúng có thể tàn phá một hệ thống bởi việc sửa đổi hay phá hủy những tập tin và gây ra treo hệ thống và những sự trục trặc của các chương trình. Giống như với đa số những sự tấn cơng thâm nhập, những virut rất đặc trưng đối với những kiến trúc, những hệ điều hành và những ứng dụng. Dang Minh Quan: Institute of IT for Economics-NEU, 2011 27 Mối đe dọa Hệ thống và Mạng • Sâu: Một con Sâu là một tiến trình mà sử dụng cơ chế sản sinh để tàn phá hiệu năng cả hệ thống. Con Sâu sao chép chính nó, sử dụng hết những tài ngun hệ thống và có thể khóa các tiến trình khác. Trên những mạng máy tính, sâu đặc biệt hùng mạnh, do chúng có thể tự sinh sơi trong các hệ thống và như vậy làm sập tồn bộ một mạng. Dang Minh Quan: Institute of IT for Economics-NEU, 2011 28 Mối đe dọa Hệ thống và Mạng • Sự qt cổng khơng phải là một sự tấn cơng nhưng là một phương tiện cho một kẻ bẻ khóa để phát hiện ra những điểm dễ bị tổn thương bởi sự tấn cơng của một hệ thống. Sự qt cổng thường được tự động hóa, bao gồm một cơng cụ thử tạo ra một kết nối TCP tới một cổng hay một dãy các cổng. Chẳng hạn, giả sử có một lỗ hổng đã biết (hay một lỗi) ở chương trình gửi thư. Một kẻ bẻ khóa có thể dùng bộ qt cổng để thử kêt nối vào cổng 25 của một hệ thống cụ thể hay tới một loạt các hệ thống. Nếu kết nối thành cơng, kẻ bẻ khóa có thể thử giao tiếp với dịch vụ đang trả lời để xác định phải chăng dịch vụ đó là dịch vụ gửi thư, ếu đúng, thì đó là phiên b ản có lỗi. Dang Minhn Quan: Institute of IT for Economics-NEU, 2011 29 Tấn cơng từ chối dịch vụ • Tấn cơng từ chối dịch vụ nói chung thường dựa vào mạng. Chúng rơi vào trong hai phạm trù. Những sự tấn cơng trong phạm trù đầu tiên sử dụng rất nhiều phương tiện tài ngun dẫn tới khơng có cơng việc có ích nào có thể được thực hiện. Chẳng hạn, một click vào Website có thể tải xuống một Java applet mà nó có thể sử dụng tất cả thời gian CPU hay mở ra vơ tận các cửa sổ. Phạm trù thứ hai bao gồm phá vỡ mạng của một phương tiện. Đã có vài sự tấn cơng từ chối dịch vụ thành cơng theo cách thức này nhằm chống lại những trang Web lớn. Dang Minh Quan: Institute of IT for Economics-NEU, 2011 30 Xây dựng hệ thống bảo vệ • Vật lý. Chỗ hay những chỗ chứa đựng những hệ thống máy tính phải chắc chắn về mặt vật lý chống lại những kẻ đột nhập có vũ trang hay lén lút. Những buồng máy và những thiết bị đầu cuối hay những máy trạm truy nhập tới những máy chủ phải được đảm bảo an tồn Dang Minh Quan: Institute of IT for Economics-NEU, 2011 31 Xây dựng hệ thống bảo vệ • Con người. Sự cho phép phải được làm cẩn thận để đảm bảo rằng chỉ những người sử dụng thích hợp được truy nhập tới hệ thống Dang Minh Quan: Institute of IT for Economics-NEU, 2011 32 Xây dựng hệ thống bảo vệ • Hệ điều hành. Chính hệ thống phải bảo vệ nó từ những sự xâm phạm an tồn ngẫu nhiên hay có chủ ý. Một tiến trình chạy trốn đã có thể cấu thành một sự tấn cơng từ chối dịch vụ ngẫu nhiên. Một truy vấn tới một dịch vụ có thể để lộ ra những mật khẩu. Một sự tràn ngăn xếp đã có thể khởi tạo một tiến trình khơng hợp pháp. Danh sách những sự xâm phạm có thể xảy ra gần như vơ tận. Dang Minh Quan: Institute of IT for Economics-NEU, 2011 33 Xây dựng hệ thống bảo vệ • Mạng. Nhiều dữ liệu máy tính trong những hệ thống hiện đại truyền qua những đường dây th bao riêng tư, những đường dây chung như Internet, những kết nối khơng dây. Việc chặn đứng dữ liệu này có thể chỉ có hại như đột nhập vào trong một máy tính; và việc gián đoạn truyền thơng đã có thể cấu thành một sự tấn cơng từ chối dịch vụ từ xa, giảm bớt sự sử dụng của người dùng và độ tin cậy trong hệ thống Dang Minh Quan: Institute of IT for Economics-NEU, 2011 34 Mã hóa • Mật mã dựa vào những bí mật gọi là những chìa khóa được phân tán có chọn lọc tới những máy tính trong một mạng và thường dùng để xử lý những thơng điệp. Mật mã cho phép một người nhận thơng điệp kiểm tra thơng điệp được tạo ra bởi máy tính nào đó sở hữu một chìa khóa nhất định chìa khóa là nguồn của thơng điệp. Tương tự : Một người gửi có thể mã hóa thơng điệp của mình để chỉ một máy tính với một chìa khóa nhất định có thể giải mã được thơng điệp, vì vậy chìa khóa kia trở thành địa điểm đến. Dang Minh Quan: Institute of IT for Economics-NEU, 2011 35 Chính sách an tồn • Bước đầu tiên của việc cải thiện sự an tồn của bất kỳ khía cạnh nào của hệ thống tính tốn là có một chính sách an tồn. Những chính sách thay đổi rộng nhưng nói chung bao gồm một sự phát biểu cái gì cần được giữ an tồn. Dang Minh Quan: Institute of IT for Economics-NEU, 2011 36 Đánh giá lỗ hổng • Hoạt động lõi của đa số những sự đánh giá lỗ hổng là một thử nghiệm xâm nhập trong đó thực thể được qt nhằm phát hiện các lỗ hổng đã được biết. Dang Minh Quan: Institute of IT for Economics-NEU, 2011 37 Phát hiện xâm nhập • Sự phát hiện xâm nhập như tên của nó gợi ý, những sự cố gắng để phát hiện ra những ý định xâm nhập hay xâm nhập thành cơng vào trong những hệ máy tính và khởI động các phản ứng đáp lại những xâm nhập. – Thời gian mà sự phát hiện xuất hiện. – Phạm vi của những khả năng đáp trả. Dang Minh Quan: Institute of IT for Economics-NEU, 2011 38 Sự Bảo vệ khỏi Virut • Việc bảo vệ khỏi những virut như vậy là một sự quan tâm quan trọng về an tồn. Những chương trình kháng virut thường được dùng để cung cấp sự bảo vệ này. Một số những chương trình này có hiệu quả chống lại chỉ những virut đã được biết đến. Dang Minh Quan: Institute of IT for Economics-NEU, 2011 39 Kiểm tốn, Kế tốn, và lưu lại dữ liệu • Sự kiểm tốn, kế tốn, và sư ghi lạI dữ liệu có thể làm giảm bớt hiệu năng cả hệ thống, nhưng chúng rất hữu ích trong vài lĩnh vực, bao gồm sự an tồn. Sư ghi lạI dữ liệu có thể chung chung hay cụ thể. Tất cả các sự thực hiện lờI gọi hệ thống có thể được ghi lại phục vụ sự phân tích hành vi chương trình. Cụ thể hơn, những sự kiện đáng nghi ngờ được ghi lại • Những sự thất bại về chứng thực và xác thực có thể nói với chúng ta khá nhiều về những sự nỗ lực xâm nhập. Dang Minh Quan: Institute of IT for Economics-NEU, 2011 40 Tường lửa • Một máy tính, trang thiết bị hay bộ định tuyến đặt giữa hệ thống được tin cậy và khơng đáng tin cậy • Một tường lửa mạng giới hạn các truy nhập mạng giữa hai hệ thống và kiểm tra và ghi lại tất cả các kết nối. Nó có thể cũng giới hạn những kết nối dựa vào địa chỉ nguồn hay nơi nhận, cổng nguồn hay cổng đến hay phương hướng của kết nối. Ví dụ, máy chủ Web sử dụng HTTP để giao tiếp với những trình duyệt. Một tường lửa bởi vậy có thể cho phép duy nhất HTTP đi qua từ tất cả các máy bên ngồi tường lửa đến người máy chủ Web bên trong tường lửa Dang Minh Quan: Institute of IT for Economics-NEU, 2011 41 ... tấn công thâm nhập, những virut rất đặc trưng đối với những kiến trúc, những hệ điều hành và những ứng dụng. Dang Minh Quan: Institute of IT for Economics-NEU, 2011 27 Mối đe dọa Hệ thống và Mạng • Sâu: Một con Sâu là một tiến trình mà sử ... hay bắt thơng tin từ hệ thống của người sử dụng và truyền đến một chỗ trung tâm. Dang Minh Quan: Institute of IT for Economics-NEU, 2011 23 Chương trình đe dọa • Cửa bẫy: người thiết kế của một chương ... ra thiệt hại cho hệ thống Dang Minh Quan: Institute of IT for Economics-NEU, 2011 25 Chương trình đe dọa • Tấn cơng tràn ngăn xếp hay bộ đệm là cách chung nhất của người tấn cơng từ bên ngồi hệ thống, trên một mạng, nhằm đạt được