Đang tải... (xem toàn văn)
DANH MỤC VIẾT TẮT 2 MỞ ĐầU 4 CHƯƠNG I. KHÁI QUÁT VỀ PHÂN QUYỀN VÀ KIỂM SOÁT TRUY CẬP TÀI NGUYÊN CHIA SẺ HĐH LINUX 4 1.1 Khái niệm cơ bản 4 CHƯƠNG II. TẠO DANH SÁCH KIỂM SOÁT TRUY CẬP (ACL) CHO NGƯỜI DÙNG HOẶC NHÓM NGƯỜI DÙNG 4 2.1. Cài đặt quyền bình thường không có ACL 4 2.2. Thiết lập ACL 5 Chương III : TẠO DANH SÁCH KIỂM SOÁT TRUY CẬP (ACL) CHO NGƯỜI DÙNG HOẶC NHÓM NGƯỜI DÙNG 8 3.1 Tạo một ACL kế thừa 8 CHƯƠNG IV: LOẠI BỎ MỘT SỐ QUYỀN CỤ THỂ BẰNG CÁCH SỬ DỤNG MẶT NẠ ACL 10 4.1 Xóa ACL khỏi tệp hoặc thư mục 10 CHƯƠNG V: SỬ DỤNG TÙY CHỌN TARACLS ĐỂ NGĂN CHẶN MẤT ACL TRONG QUÁ TRÌNH SAO LƯU 12 CHƯƠNG VI: TẠO NHÓM NGƯỜI DÙNG VÀ THÊM THÀNH VIÊN ĐẾN NÓ 15 6.1. Thêm thành viên khi chúng tôi tạo tài khoản người dùng cho họ 17 6.2. Sử dụng usermod để thêm người dùng hiện có vào nhóm 17 6.3. Thêm người dùng vào một nhóm bằng cách chỉnh sửa etcgrouptập tin 18 6.4. Tạo một thư mục chia sẻ 19 CHƯƠNG VII: ĐẶT BIT SGID VÀ BIT DÍNH TRÊN THƯ MỤC CHIA SẺ 21 CHƯƠNG VIII: SỬ DỤNG ACL ĐỂ TRUY CẬP CÁC TỆP TRONG PHẦN ĐƯỢC CHIA SẺ DANH MỤC. 24 8.1 Đặt quyền và tạo ACL 24 8.2 Hoainam cố gắng truy cập tệp của caotrungduc bằng ACL đặt cho xuanthanh 26 8.3 Handson lab tạo một thư mục nhóm được chia sẻ 26 KẾT LUẬN 29 TÀI LIỆU THAM KHẢO 30
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ HỌC PHẦN QUẢN TRỊ AN TOÀN HỆ THỐNG BÁO CÁO BÀI TẬP LỚN Phân quyền kiểm soát truy cập tài nguyên chia sẻ hệ điều hành Linux Giảng viên Ngày gửi : : Phạm Minh Thuấn 10/09/2021 Hà Nội, 2021 DANH MỤC VIẾT TẮT Viết Tắt Tên đầy đủ DAC Discretionary Access Control ACL Access Control List MỤC LỤC DANH MỤC VIẾT TẮT MỞ ĐầU CHƯƠNG I KHÁI QUÁT VỀ PHÂN QUYỀN VÀ KIỂM SOÁT TRUY CẬP TÀI NGUYÊN CHIA SẺ HĐH LINUX 1.1 Khái niệm CHƯƠNG II TẠO DANH SÁCH KIỂM SỐT TRUY CẬP (ACL) CHO NGƯỜI DÙNG HOẶC NHĨM NGƯỜI DÙNG 2.1 Cài đặt quyền bình thường khơng có ACL 2.2 Thiết lập ACL Chương III : TẠO DANH SÁCH KIỂM SOÁT TRUY CẬP (ACL) CHO NGƯỜI DÙNG HOẶC NHÓM NGƯỜI DÙNG 3.1 Tạo ACL kế thừa CHƯƠNG IV: LOẠI BỎ MỘT SỐ QUYỀN CỤ THỂ BẰNG CÁCH SỬ DỤNG MẶT NẠ ACL 10 4.1 Xóa ACL khỏi tệp thư mục 10 CHƯƠNG V: SỬ DỤNG TÙY CHỌN TAR-ACLS ĐỂ NGĂN CHẶN MẤT ACL TRONG QUÁ TRÌNH SAO LƯU 12 CHƯƠNG VI: TẠO NHÓM NGƯỜI DÙNG VÀ THÊM THÀNH VIÊN ĐẾN NÓ 15 6.1 Thêm thành viên tạo tài khoản người dùng cho họ .17 6.2 Sử dụng usermod để thêm người dùng có vào nhóm 17 6.3 Thêm người dùng vào nhóm cách chỉnh sửa /etc/group/tập tin 18 6.4 Tạo thư mục chia sẻ 19 CHƯƠNG VII: ĐẶT BIT SGID VÀ BIT DÍNH TRÊN THƯ MỤC CHIA SẺ 21 CHƯƠNG VIII: SỬ DỤNG ACL ĐỂ TRUY CẬP CÁC TỆP TRONG PHẦN ĐƯỢC CHIA SẺ DANH MỤC .24 8.1 Đặt quyền tạo ACL .24 8.2 Hoainam cố gắng truy cập tệp caotrungduc ACL đặt cho xuanthanh .26 8.3 Hands-on lab - tạo thư mục nhóm chia sẻ .26 KẾT LUẬN 29 TÀI LIỆU THAM KHẢO 30 MỞ ĐầU Hiện nay, Linux ngày trở nên phổ biến Kể từ Linus Torvalds công khai mã nguồn nhân Linux đến nay, ngày có nhiều lập trình viên giới quan tâm đến dịng hệ điều hành Nhiều cơng ty sử dụng distro Linux làm hệ điều hành mặc định cho nhân viên sử dụng Có thể kể đến phiên phổ biến Ubuntu, Fedora, OpenSUSE (cho máy cá nhân), CentOS, RedHat, Debian (cho doanh nghiệp)… Một ưu điểm Linux tính phân quyền sử dụng file Một tính vơ mạnh mẽ nguy hiểm khơng hiểu CHƯƠNG I KHÁI QUÁT VỀ PHÂN QUYỀN VÀ KIỂM SOÁT TRUY CẬP TÀI NGUYÊN CHIA SẺ HĐH LINUX 1.1 Khái niệm - Linux hệ điều hành mã nguồn mở nhiều người sử dụng Nhiều người chuyển từ Windows sang Linux hay ngược lại, nhiên chuyển sang hệ điều hành gặp khó khăn việc làm quen với hệ điều hành điều dễ hiểu - Khi chuyển từ Windows sang Linux cấu trúc thư mục file Linux khác hoàn toàn so với Win, hay bạn phải làm quen với việc dùng lệnh để tối ưu hóa cơng việc đặc biệt phần phân quyền Linux CHƯƠNG II TẠO DANH SÁCH KIỂM SOÁT TRUY CẬP (ACL) CHO NGƯỜI DÙNG HOẶC NHÓM NGƯỜI DÙNG 2.1 Cài đặt quyền bình thường khơng có ACL - Với ACL, cho phép người định truy cập vào tệp thư mục chúng tơi cho phép nhiều người truy cập vào tệp thư mục với quyền khác cho người Nếu chúng tơi có tệp thử mục mở rộng cho người, sử dụng ACL phép cấp độ truy cập khác cho nhóm nhân Bạn sử dụng getfacl để xem danh sách kiểm soát truy cập cho tệp thư mục ( lưu ý bạn sử dụng để xem tất tệp thư mục lúc) Để bắt đầu, sử dụng getfacl để xem liệu có danh sách kiểm soát truy cập nao đặt tệp acl_demo.txt khơng - Tất thấy cài đặt quyền bình thường, khơng có ACL 2.2 Thiết lập ACL - Bước để thiết lập ACL xóa tất quyền khỏi người ngoại trù người dùng tệp Đó cài đặt quyền mặc định cho phép thành viên nhóm để có quyền truy nhập đọc/ ghi người khác có quyền truy cập đọc => Vì vậy, thiết lập ACL khơng có xóa quyền vơ nghĩa -Khi sử dụng setfacl để đặt ACL,bạn cho phép người dùng nhóm có kết hợp đặc quyền đọc ,ghi thực thi.Trong trường hợp ,tôi muốn trungduc đọc tệp để ngăn anh có quyền ghi thực thi: - Tùy chọn -m setfacl có nghãi chúng tơi sửa đổi ACL Có nghĩa chúng tơi thiết lập ACL cho người dùng Sau chúng tơi liệt kê tên người dùng theo sau dấu hai chấm khác danh sách quyền mà muốn cấp cho người dùng Trong trường hợp này, cho phép trungduc đọc quyền truy cập mà muốn áp dụng ACL Đầu getfacl cho thấy trungduc thực có quyền đọc, cài đặt 600 quyền tệp Tuy nhiên, có dấu +, cho biết tệp có ACL Khi chúng tơi đặt ACL, quyền cho ACL hiển thị dụng quyền nhóm ls -l - Để tiến thêm bước nữa, nói chúng tơi muốn hoainam có quyền truy cập đọc/ ghi vào tệp - Vì vậy, thể có hay nhiều ACL kahcs gán cho tệp đầu ls -l, thấy đặt quyền rw cho nhóm, điều thực sử tóm tắt quyền mà chúng tơi đặt hai ACL Chúng ta đặt Acl cho quyền truy cập nhóm cách thay u: g:: Chương III : TẠO DANH SÁCH KIỂM SỐT TRUY CẬP (ACL) CHO NGƯỜI DÙNG HOẶC NHĨM NGƯỜI DÙNG 3.1 Tạo ACL kế thừa - Có thể bạn muốn tất tệp tạo thư mục dùng chung phải có danh sách kiểm saost tủy cập làm điều cách áp dụng ACL kế thừa vào thư mục - Mặc dù, hiểu rằng, điều nghe có vè ý tưởng hay, việc tạo tệp cách thông thường khiến tệp có quyền đọc/ghi đặt cho nhóm quyền đọc đặt cho người khác Vì vậy, ban thiết lập điều cho thư mục mà người dùng tạo tệp bình thường, điều tốt ban làm tạo ACL bổ sung quyền ghi thực thi cho Hoặc đảm bảo người dùng đặt cài đặt quyền tất tệp mà họ tạo, giả sử người dùng thực cần hạn chế quyền truy cập vào tệp họ - Mặt khác, bạn tạo tập lệnh shell tạo tệp thư mục cụ thể, bạn bao gồm lệnh chmod để đảm bảo tệp tạp với quyền cần thiết để làm cho ACL bnaj hoạt động dự kiến - Để demo, tạo thư mục nhom15 đặt ACL kế thừa - Tất tối phải làm để biến điều thành ACL kế thừa thêm d: vào trước u: hoainam - Cài đặt quyền mặc định thư mục, cho phép người đọc quyền truy cập vào danh mục Tiếp theo, tạo tập lệnh shell kali_scrip.sh tạo tệp bên thư mục đặt quyền đọc/ghi cho người dùng tệp - Sau thực thi tập lệnh, chạy xem kết quả: - Vì vậy, new_file.txt tạo với cài đặt quyền xác với ACL cho phép Frank đọc CHƯƠNG IV: LOẠI BỎ MỘT SỐ QUYỀN CỤ THỂ BẰNG CÁCH SỬ DỤNG MẶT NẠ ACL 4.1 Xóa ACL khỏi tệp thư mục - Bạn xóa ACL khỏi tệp thư mục tùy chọn -x Hãy quay trở lại tệp acl_demo.txt mà tơi tạo trước xóa ACL cho trungduc: - Vì vậy, ACL trungduc biến Tuy nhiên, tùy chọn -x loại bỏ toàn ACL, điều khơng bạn thực muốn Nếu bạn có ACL với nhiều quyền đặt, bạn muốn xóa quyền để lại quyền khác Ở đây, thấy hoainam có ACL anh cấp cho anh quyền truy cập đọc / ghi Bây nói chúng tơi muốn xóa phần viết cho phép, cho phép quyền đọc Đối với điều đó, chúng tơi cần áp dụng mặt nạ: 10 điều thiết thực hơn, chẳng hạn kiểm sốt quyền truy cập tệp nhóm chia sẻ danh mục Bước tạo nhóm người dùng thêm thành viên vào - Giả sử chúng tơi muốn tạo nhóm attt cho thành viên bạn tạo - Nhóm attt: - Bây thêm số thành viên Bạn làm điều theo ba cách khác nhau: - Thêm thành viên tạo tài khoản người dùng họ - Sử dụng usermod để thêm thành viên có tài khoản người dùng - Chỉnh sửa tệp / etc / group 15 Thêm thành viên tạo tài khoản người dùng cho họ - Đầu tiên, chúng tơi thêm thành viên vào nhóm chúng tơi tạo tài khoản người dùng họ, sử dụng -G tùy chọn người dùng thêm Trên Red Hat CentOS, lệnh giống sau: - Trên Debian / Ubuntu, lệnh giống sau: - Và, tất nhiên, cần gán mật cho Cleopatra theo cách thông thường: Sử dụng usermod để thêm người dùng có vào nhóm - Tin tốt điều hoạt động giống Red Hat CentOS Debian / Ubuntu: 16 - Trong trường hợp này, -a không cần thiết, Maggie khơng phải thành viên bất kỳnhóm thứ cấp Nhưng, thuộc nhóm khác, -a cócần thiết để tránh ghi đè thơng tin nhóm có nào, xóa từ nhóm trước - Phương pháp đặc biệt tiện dụng để sử dụng hệ thống Ubuntu, nơi cần sử dụng adduser để tạo thư mục mã hóa (Như thấy chương trước, adduser không cho bạn hội thêm người dùng vào nhóm bạn tạo tài khoản.) Thêm người dùng vào nhóm cách chỉnh sửa /etc/group/tập tin - Phương pháp cuối cách tốt để gian lận, để tăng tốc q trình thêm nhiềungười dùng vào nhóm - Đầu tiên, cần mở tệp / etc / group trình soạn thảo văn u thích bạn,và tìm dịng xác định nhóm mà bạn muốn thêm thành viên: - Vì vậy, tơi thêm Cleopatra Maggie vào nhóm Hãy chỉnh sửa để thêm vài thành viên khác: - Khi bạn hồn tất, lưu tệp khỏi trình chỉnh sửa 17 - Một lệnh nhóm cho người số họ cho thấy chút gian lận nhỏ hoạt động tốt: - Phương pháp tiện dụng cho bạn cần thêm nhiều thành viên vào nhóm đồng thời 10 Tạo thư mục chia sẻ - Hành động kịch liên quan đến việc tạo thư mục dùng chung mà tất thành viên phận tiếp thị chúng tơi sử dụng Bây giờ, lĩnh vực gây chút tranh cãi Một số người thích đặt thư mục chia sẻ cấp độ gốc hệ thống tệp, người khác thích đặt thư mục chia sẻ thư mục / home Và, số người chí có sở thích khác Nhưng thực sự, vấn đề sở thích cá nhân / sách cơng ty Ngồi ra, thực khơng quan trọng bạn đặt chúng đâu Đối với mục đích chúng tơi, để làm cho thứ trở nên đơn giản, tạo thư mục cấp sở hệ thống tập tin: - Thư mục thuộc người dùng root Nó có cài đặt quyền 755, cho phép đọc thực thi quyền truy cập người truy cập ghi 18 người dùng gốc Những chúng tơi thực muốn cho phép thành viên phận tiếp thị truy cập vào thư mục Trước tiên, thay đổi quyền sở hữu liên kết nhóm, sau chúng tơi đặt quyền thích hợp: - Trong trường hợp này, chúng tơi khơng có người dùng cụ thể mà muốn sở hữu thư mục khơng thực muốn người dùng root sở hữu Vì vậy, việc gán quyền sở hữu cho tài khoản người dùng giả không cung cấp cho cách để đối phó với điều Sau đó, gán giá trị quyền 770 cho thư mục, cho phép truy cập đọc / ghi / thực thi tất thành viên nhóm tiếp thị, đồng thời giữ cho người khác tránh xa Bây giờ, để thành viên nhóm đăng nhập để xem liệu tạo tệp thư mục hay không: 19 - Được rồi, hoạt động, ngoại trừ vấn đề nhỏ Tệp thuộc caotrungduc, Nhưng, liên kết với nhóm cá nhân caotrungduc Để kiểm soát quyền truy cập tốt chia sẻ này, cần chúng liên kết với nhóm học sinh CHƯƠNG VII: ĐẶT BIT SGID VÀ BIT DÍNH TRÊN THƯ MỤC CHIA SẺ - Trước tơi nói với bạn việc đặt SUID SGID có chút rủi ro bảo mật quyền tệp, đặc biệt tệp thực thi Tuy nhiên, vừa hồn tồn an tồn hữu ích để đặt SGID thư mục dùng chung - Hành vi SGID thư mục hoàn toàn khác với hành vi SGID tệp Trên mộtthư mục, SGID làm cho tệp mà tạo liên kết với nhóm mà thư mục liên kết với Vì vậy, nhớ quyền SGID giá trị 2000, đặt SGID thư mục Student chúng tơi: - Các số vị trí thực thi cho nhóm lệnh thành cơng - Bây để caotrungduc đăng nhập lại để tạo tệp khác: 20 - Tệp thứ hai caotrungduc liên kết với nhóm tiếp thị, chúng tơi muốn - Vui thơi, để hoainam làm - Một lần nữa, hồ sơ hoainam liên kết với nhóm tiếp thị Nhưng, số lý kỳ lạ điều khơng hiểu, hoainam thực khơng thích caotrungduc định xóa tệp anh ấy, túy mặc dù: 21 - Hệ thống phàn nàn tệp gốc caotrungduc chống ghi, liên kết với nhóm cá nhân Nhưng, hệ thống cho phép hoainam xóa nó, khơng có đặc quyền sudo Và, hoainam có quyền ghi vào tệp thứ hai, liên kết với nhóm tiếp thị, hệ thống cho phép xóa mà khơng cần thắc mắc - Được Vì vậy, caotrungduc phàn nàn điều này, cố gắng khiến hoainam bị sa thải Nhưng, quản trị viên gan chúng tơi có ý tưởng hay Anh thiết lập chút dính để ngăn điều xảy lần Vì bit SGID có giá trị 2000 bit dính có giá trị 1000, cộng hai lại với để có giá trị 3000: - Chữ T vị trí thực thi người khác cho biết bit dính thiết lập Vì T chữ hoa nên biết quyền thực thi cho người khác chưa đặt - Tập hợp bit cố định ngăn thành viên nhóm xóa tệp người khác Hãy để caotrungduc cho chúng tơi thấy điều xảy anh cố gắng trả đũa hoainam: 22 - Ngay với tùy chọn -f, caotrungduc xóa tệp hoainam caotrungduc khơng có đặc quyền sudo hệ thống này, vơ ích anh thử điều CHƯƠNG VIII: SỬ DỤNG ACL ĐỂ TRUY CẬP CÁC TỆP TRONG PHẦN ĐƯỢC CHIA SẺ DANH MỤC 8.1 Đặt quyền tạo ACL - Đầu tiên, caotrungduc đặt quyền bình thường phép anh truy cập vào tệp Sau đó, anh đặt ACL: 23 - Khơng có mà bạn chưa thấy caotrungduc vừa xóa tất quyền khỏi nhóm từ người khác, đồng thời đặt ACL cho phép xuanthanh đọc tệp Hãy xem liệu xuanthanh có thực đọc khơng: - Xuanthanh viết thư cho không? 24 - Được rồi, xuanthanh làm điều đó, caotrungduc cho phép anh có đặc quyền đọc ACL 8.2 Hoainam cố gắng truy cập tệp caotrungduc ACL đặt cho xuanthanh - Tuy nhiên, bây giờ, hoainam lút, người muốn theo dõi tệp người dùng khác sao? - Vì vậy, vâng, thực xuanthanh truy cập vào hồ sơ caotrungduc, chí sau để đọc 8.3 Hands-on lab - tạo thư mục nhóm chia sẻ - Đối với phịng thí nghiệm này, bạn tập hợp thứ bạn học chương để tạo thư mục dùng chung cho nhóm Bạn thực việc máy ảo mình: - Trên hai máy ảo, tạo nhóm 25 - Tạo người dùng Nam, Trung Thanh, thêm họ vào nhóm bán hàng bạn tạo tài khoản - Gán mật cho người dùng - Tạo thư mục cntt root level hệ thống tệp Đặt quyền sở hữu quyền thích hợp, bao gồm SGID bit cố định: - Đăng nhập với tên Thanh yêu cầu anh tạo tệp: 26 - Yêu cầu Thanh đặt ACL tệp anh ấy, cho phép Nam đọc Sau đó, có Thanh đăng xuất trở lại: - u cầu Nam đăng nhập để xem ơng làm với tệp Thanh Sau đó, có ông Nam tạo tệp riêng anh đăng xuất lại: 27 - Bây …… đăng nhập cố gắng phá hoại cách theo dõi tệp người dùng khác cách xóa chúng: =>Kết luận:Khơng có quyền xóa KẾT LUẬN Trong đề tài biết cách sử dụng Kiểm sốt truy cập tùy ý cho câu tục ngữ cấp độ Trước tiên, xem cách tạo quản lý danh sách kiểm soát truy cập để cung cấp khả kiểm soát truy cập tinh vi tệp thư mục Sau đó, chúng tơi xem cách tạo nhóm người dùng cho mục đích cụ thể cách thêm thành viên vào mục đích Sau đó, chúng tơi 28 thấy cách chúng tơi sử dụng SGID bit, bit dính danh sách kiểm sốt truy cập để quản lý thư mục nhóm chia sẻ Tuy nhiên, đơi khi, Kiểm sốt Truy cập Tùy ý không đủ để thực công việc Cho người lần, chúng tơi có kiểm sốt truy cập bắt buộc, mà đề cập chương Tơi xem bạn TÀI LIỆU THAM KHẢO https://linuxbg.eu/books/w_pacb92.pdf?fbclid=IwAR0uH5Zcl9Apg0fZmjatPe1vOUs7lV4u3RzvQQaPlDdkXFMk5iBbMrIAUg https://blogchiasekienthuc.wordpress.com/2015/10/30/phan-quyen-trong-linux-bai-1-quan-lyuser-group-va-phan-quyen-tren-linux/? fbclid=IwAR15beGhwQM71xdFhZy0k_ianCcPJrM7b1_YgSgiimJ1W0v6f0hN2hQdnPY https://www.slideshare.net/caotu/ti-liu-hng-dn-qun-l-user-phn-quyn-trong-ubuntu-linux-10b4fithou?fbclid=IwAR27ga6AG2XFSnulkubeBmm3h7WMoIflMvATAcggzS_rjmFSUwAu2t3s-TE 29 ... I KHÁI QT VỀ PHÂN QUYỀN VÀ KIỂM SOÁT TRUY CẬP TÀI NGUYÊN CHIA SẺ HĐH LINUX 1.1 Khái niệm - Linux hệ điều hành mã nguồn mở nhiều người sử dụng Nhiều người chuyển từ Windows sang Linux hay ngược... CHƯƠNG I KHÁI QUÁT VỀ PHÂN QUYỀN VÀ KIỂM SOÁT TRUY CẬP TÀI NGUYÊN CHIA SẺ HĐH LINUX 1.1 Khái niệm CHƯƠNG II TẠO DANH SÁCH KIỂM SOÁT TRUY CẬP (ACL) CHO NGƯỜI DÙNG... có quyền xóa KẾT LUẬN Trong đề tài biết cách sử dụng Kiểm soát truy cập tùy ý cho câu tục ngữ cấp độ Trước tiên, xem cách tạo quản lý danh sách kiểm soát truy cập để cung cấp khả kiểm soát truy