Đặc điểm Windows UNIX
Cấu trúc tổng quát Phân cấp và đa cây Phân cấp và đơn cây
Cĩ phân biệt ổđĩa và thư mục Cĩ (C,D) Khơng, mọi thứđược mount vào cây quản lý.
Ký tự phân cách đường dẫn \ /
Phân biệt chữ hoa và chữ thường Khơng Cĩ
Hệ thống file mạng SMB NFS
KHOA CNTT Ờ
ĐH KHTN
Tập tin thiết bị Khơng Cĩ
Thiết lập ID của User quản lý cho tập tin/ thư mục
Khơng Cĩ
Security ACLs Simple bit permissions
Tập tin thiết bị (device file) : trong UNIX, thiết bị phần cứng được đại diện bằng những tập tin, thường chứa trong thư mục /dev. Nhờđặc điểm này, ta cĩ thể chạy một chương trình nhưng hơng thèm nhận kết quả trả về của nĩ bằng cách chuyển hướng kết quả (redirect - tức dùng ký tự Ổ>Ỗ hoặc Ổ<Ỗ ) kết xuất của chương trình ra null device, /dev/null. Dùng kỹ thuật tương tự, ta cĩ thể gửi dữ liệu trực tiếp ra cổng song song (serial port) ..
Hệ thống file mạng (Network File System)
Đối với UNIX, đĩ là Network File System Ờ NFS, phát triển bởi Sun
Microsystems.Tĩm gọn cơ chế như sau : NFS server sẽ cung cấp một thư mục cho phép chia sẻ, và NFS client cĩ quyền mount thư mục đĩ vào cây thư mục của mình. Trên nền MS-DOS, việc chia sẻ tài nguyên được thực hiện thơng qua NetBIOS (Network Basic Input Output System), tựđộng chuyển đến thư mục/tập tin trên máy tắnh khác khi yêu cầu I/O đến những thư mục/ tập tin này được chấp thuận. NetBIOS sử dụng giao thức Server Message Block (SMB), ngày nay giao thức này được phát triển thêm để cĩ thểứng dụng trên Internet và được gọi tên mới là Common Internet File System (CIFS).
KHOA CNTT Ờ
ĐH KHTN
Mơ hình bảo mật của UNIX
UNIX gán quyền hạn truy cập của user trực tiếp lên file. Mơ hình này làm việc tốt vì UNIX sử dụng file để đại diện cho thiết bị, bộ nhớ và ngay cả tiến trình. User cĩ thể là người dùng đã đang nhập thành cơng vào hệ thống hoặc cĩ thể là một service của hệ
thống. Mỗi USER thuộc về một GROUP và cĩ một UID (User ID). Mỗi GROUP cĩ nhiều USER và cĩ một GID (Group ID). Mỗi tiến trình đều thuộc về một UID và một GID xác định.
Mơ hình bảo mật của Windows
Trong mơ hình trên
user : Người dùng đăng nhập thành cơng vào hệ thống.
objects : là những tài nguyên yêu cầu bảo mật của hệ thống. Vắ dụ như tập tin, các
đối tượng đồng bộ hố, các đối tượng kernel ...
Access Token : là một cấu trúc dữ liệu đi kèm với mỗi tiến trình , xác định người dùng khởi động tiến trình này là ai, thuộc nhĩm security nào. Mỗi Access Token
được định danh trong hệ thống thơng qua một SID (Security Identifiers)
KHOA CNTT Ờ
ĐH KHTN
Security Descriptor : thơng tin mơ tả thuộc tắnh bảo mật của mỗi tài nguyên. Thơng tin này bao gồm người chủ (owner) của object này là ai, và một danh sách các quyền hạn cho phép truy cập DACL (Discretionary Access Control List ). Danh sách này cĩ thể bao gồm nhiều quyền, mỗi quyền được được gọi là một đơn vị quyền hạn truy cập ACE ( Access Control Entry), trong ACE sẽ chứa danh sách các SID được phép đối với quyền này.
Mơ tả :
Khi một tiến trình truy xuất vào một tài nguyên cĩ yêu cầu bảo mật, hệ thống sẽ
kiểm tra trong danh sách DACL của tài nguyên đĩ, cụ thể là ở mỗi ACE xem cĩ SID của tiến trình này cĩ được phép khơng. Kết thúc quá trình này, hệ thống sẽ xác định
được những quyền hạn mà tiến trình được phép thực hiện đối với tài nguyên này và dựa vào đĩ quyết định từ chối hay chấp nhận yêu cầu của tiến trình.