Như vậy để cho A có thể tạo kết nối được tới B thì chúng ta chỉ cần đảm bảo cho ARP phân giải đúng destination MAC (MAC_B) theo địa chỉ destination B (IP_B) là đủ (ĐK1) . Để được như vậy ta khai báo :
Hình 4.4 : Cấu hình địa chỉ IP máy A
Chú ý : Trong hệ điều hành Windows Server 2003 khi khai báo địa chỉ default getaway và địa chỉ IP của máy tính có địa chỉ mạng khác nhau chúng ta không gặp khó khăn gì nhưng trong Linux chúng ta không thể khai báo bình thường được . Chúng ta có thể sử dụng mẹo vặt như sau :
Giả sủ máy tính A cấu hình địa chỉ IP là : 192.168.1.1 Giả sử máy tính B cấu hình địa chỉ IP là : 192.168.2.2 Trên máy A :
Route add – net 192.168.2.0 netmask 255.255.255.0 eth 0 Route add default gw 192.168.2.2
Route del – net 192.168.2.0 netmask 255.255.255.0 Lúc này chúng ta đã có :
IP_A : 192.168.1.1 GW_A : 192.168.2.2
Nhận xét : Như vậy chúng ta đã có một cái nhìn khác về default getaway . Default getaway không nhất thiết phải có cùng địa chỉ mạng với địa chỉ IP của máy tính . Default getaway thực sự là “cửa ngõ” . Đó là lối thoát mặc định khi máy tính của chúng ta không xác định được đường đi cho các gói dữ liệu . Nhờ đó quan niệm về địa chỉ của hai máy tính kết nối trong một Lan Segment cũng thay đổi , tức là chúng không nhất thiết phải có cùng địa chỉ mạng . Điều quan trọng là làm sao cho dữ liệu chuyền được đúng tới đích với các thông số cần thiết để máy tính đích chấp nhận và xủ lý .
Chương 5 – Các thư mục và hệ thống tập tin
Hệ thống mạng nội bộ đầu tiên xuất hiện trong những năm đầu 1990 được tổ chức thành một nhóm các máy tính và được gọi là workgroup ( Nhóm làm việc ) . một workgroup máy tính cho phép người dùng có thể phối hợp tốt hơn trong cùng một dự án khi cần chia sẻ các tài nguyên như văn bản và máy in . Vì giá trị của việc sử dụng các hệ thống mạng dữ liệu ngày càng được khẳng định trong thế giới kinh doanh , các hệ thống mạng cũng ngày càng trở nên lớn dần . Ngày nay một hệ thống mạng của các doanh nghiệp thường có hàng ngàn nút mạng .
Khi các hệ thống mạng ngày càng lớn dần , số lượng tài nguyên chia sẻ cũng nhiều hơn và do đó ngày càng khó khăn trong việc định vị và tìm kiếm các tài nguyên . Khi công ty của bạn chỉ có 10 nhân viên thì việc nhớ số điện thoại bàn của mỗi người cũng không khó khăn lắm , tuy nhiên khi công ty của bạn có 500 nhân viên thì việc đó là không tưởng nếu không muốn nói là điên rồ . Để tìm ra một số của người mà bạn muốn liên lạc , phần lớn các công ty đều sử dụng một danh bạ bao gồm tên và số liên lạc của mỗi người trong tổ chức , người ta gọi đó là directory ( thư mục ) .
Trong Linux hệ thống tập tin được tổ chức theo một hệ thống phân bậc tương tự cấu trúc của một cây , bao gồm thân thẳng đúng và các cành chĩa ra . Bậc cao nhất của hệ thống tập tin là thư mục gốc được ký hiệu bằng vạch chéo “ / ” ( root directory ) . Đối với các hệ điều hành Unix và Linux tất cả các thiết bị kết nối vào máy tính đều được nhận ra như các tập tin , kể cả các linh kiện như ổ đĩa cứng , các phân vùng đĩa cứng và các ổ USB chẳng hạn . Điều này có nghĩa là tất cả các tập tin và thư mục đều nằm dưới thư mục gốc , ngay cả các tập tin biểu tượng cho các ổ đĩa cứng .
Ví dụ : /datmasuto/buatrua/raumuong.odt chỉ toàn bộ đường dẫn đến tập tin raumuong.odt trong thư mục buatrua nằm trong thư mục datmasuto nằm ngay dưới thư mục gốc .
Nằm dưới thư mục gốc có một loạt thư mục quan trọng của hệ thống tập tin được công nhận ở tất cả các bản phân phối Linux khác nhau . Dưới đay là danh sách các thư mục thông thường được nhìn thấy dưới thư mục gốc (/) :
-) /bin : chứa các ứng dụng quan trọng
-) /boot : các tập tin cấu hình cho quá trình khởi động hệ thống -) /dev : chứa các tập tin là chứng nhận cho các thiết bị của hệ thống
-) /etc : chứa các tập tin cấu hình hệ thống , các tập tin lệnh để khởi động các dịch vụ hệ thống
-) /home : thư mục này chứa các thư mục cá nhân của những người có quyền truy nhập vào hệ thống
-) /lib : thư mục này lưu các thư viện của chia sẻ hệ thống
-) lost + found : thư mục này được dùng để lưu các tập tin không có thư mục mẹ mà được tìm thấy dưới thư mục gốc sau khi thực hiện lệnh kiểm tra hệ thống tập tin .
-) /media : thư mục này được dùng để tạo ra các tập tin gắn tạm thời vào hệ thống tập tin , được hhệ điều hành tạo ra khi một thiết bị lưu động được cắm vào như đĩa CD , máy ảnh kỹ thuật số , ổ USB …
-) /mnt : Thư mục này được dùng để gắn các tập tin tạm thời
-) /proc : đây là một thư mục đặc biệt linh động để lưu các thông tin về tình trạng của hệ thống , đặc biệt về các tiến trình đang hoạt động .
-) /root : đây là thư mục nhà của “người siêu dùng” (root) . -) /sbin : thư mục này lưu lại các tập tin thực thi của hệ thống . -) /sys : thư mục này lưu các tập tin của hệ thống .
-) /tmp : thư mục này lưu các tập tin được tạo ra tạm thời .
-) /usr : thư mục này lưu và chứa các tập tin của các ứng dụng chính đã được cài đặt cho mọi người dùng .
-) /var : thư mục này lưu các tập tin ghi các số liệu biến đổi như các tập tin dữ liệu và các tập tin bản ghi .
Khác với Linux các thư mục trong hệ thống mạng Windows được quản lý bởi các dịch vụ mang tính chuyên nghiệp hơn rất nhiều . Hệ thống mạng Windows hỗ trợ hai mô hình dịch vụ thư mục : workgroup và domain trong đó mô hình miền được ứng dụng trong các tổ chức triển khai Windows Server 2003 . Mô hình dịch vụ thư mục
workgroup là một cơ sở dữ liệu phẳng bao gồm tên các máy tính và được thiết kế cho các mạng nhỏ . Đây là hình thức dịch vụ thư mục sơ khai được giới thiệu trong các HĐH Windows NT 3.1 trong những năm 1990 .
Mô hình miền là một kiến trúc thư mục có phân cấp của các tài nguyên – Ative (adsbygoogle = window.adsbygoogle || []).push({});
Directory – và được sử dụng bởi tất cả các hệ thống là thành viên của miền . Các hệ thống này có thể sử dụng các tài khoản người dùng , nhóm và máy tính trong thư mục để bảo mật các tài nguyên của chúng . Cơ sở dữ liệu của Ative Directory và các dịch vụ của nó được cài đặt trên một hay nhiều máy chủ quản trị miền . Một máy chủ quản trị miền là một máy chủ đã được thăng cấp bằng cách chạy trình cài đặt Active Directory ( Active Directory Installation Wizard ) . Khi máy chủ được thăng cấp thành máy chủ quản trị miền , nó chưa một bản hay một bản sao của CSDL Active Directory .
Bởi vì Active Directory là một tài nguyên cơ sở và rất quan trọng của hệ thống nó phải luôn sẵn sàng với mọi người dùng trong mọi thời điểm . Do đó miền Active Directory thông thường có ít nhất hai máy chủ quản trị miền để nếu một máy chủ bị sự cố máy còn lại vẫn có thể tiếp tục phục vụ người dùng . Các máy chủ quản trị miền luôn luôn đồng bộ dữ liệu với nhau nên mỗi máy chủ này đều chứa thông tin hiện tại của miền hệ thống . Khi một người quản trị mạng thay đổi một bản ghi trên CSDL Active Directory trên bất kỳ máy chủ quản trị miền nào thì sự thay đổi này được đồng bộ với tất cả máy chủ quản trị miền trong miền đó . Nó được gọi là đồng bộ đa chủ .
Một miền là một đơn vị quản trị cơ bản của dịch vụ thư mục trong Windows Server 2003 hơn nữa một hệ thống mạng lớn có thể có nhiều hơn một miền trong Active Directory của nó . Mô hình nhiều miền sẽ tạo ra một cấu trúc logic là cây nếu như húng có chung một không gian tên miền DNS . Miền contoso.com là miền cha trong đó hai miền còn lại được gọi là miền con và do đó contoso.com cũng được gọi là miền gốc .
Hình 5.1 : Cây sử dụng Active Directory
Nếu các miền trong Active Directory không chia sẻ một miền gốc chung hhệ thống sẽ có nhiều cây . Một Active Directory chứa nhiêu cây sẽ được gọi là một rừng
Hình 5.2 : Rừng sử dụng Active Director
Rừng là một kiến trúc lớn nhất trong Active Directory . Khi thăng cấp một máy chủ quản trị miền đầu tiên trong một hệ thống mạng Windows Server 2003 thì đã đòng thời tạo ra một rừng , một cây trong rừng đó và một miền trong cây đó .
contoso.com
us.contoso.com europe.contoso.com
adatum.com
Chương 6 : Các quyền truy cập
Một trong những lý do chính của sự tồn tại các mạng dữ liệu đó là khả năng chia sẻ các file cho nhiều người sử dụng trên các máy tính khác nhau . Trên một mạng nhỏ chia sẻ file thường là một tiến trình thông thường được thực hiện bởi người sử dụng dầu cuối do đó tính chất bảo mật ít được chú ý tới . Tuy nhiên trên một mạng lớn , đặc biệt là trong các tổ chức thường xuyên vận hành với dữ liệu nhạy cảm , người quản trị mạng cần phải đảm bảo rằng các file cần thiết đã được chia sẻ , đảm bảo chúng phải được bảo vệ để tránh khỏi những phá huỷ do những yếu tố khách quan hay chủ quan và chỉ những người dùng nào được xác thực mới có thể làm việc được với chúng .
Trong Linux tất cả các tập tin của một hệ thống được gắn các quyền truy cập khác nhau theo từng ngươi dùng của hệ thống , liên quan đến các phép đọc , viết và thực hiện . Người siêu dùng (root) có quyền truy cập đến bất kỳ tâp tin nào của hệ thống . Mỗi tập tin là sở hữu của một người nhất định và được gắn những hạn chế truy cập tuỳ theo người dùng và được gắn một nhóm người dùng .
Mỗi tập tin được bảo đảm an toàn bởi ba bộ quyền truy cập được gắn theo ba nhóm người dùng như sau theo thứ tự từ cao đến thấp :
*) user ( người dùng )
những quyền truy cập của nhóm này áp dụng cho người sở hữu tập tin *) group ( nhóm người dùng )
những quyền truy cập của nhóm này áp dụng cho nhóm đã được gắn với tập tin
*) other ( những người dùng khác )
những quyền truy cập của nhóm này áp dụng cho tất cả các người còn lại Mỗi bộ quyền truy cập sẽ xác định cụ thể các quyền truy cập thực tế đối với các tập tin và các thư mục như sau :
*) read ( đọc )
quyền xem nội dung tập tin hoặc mở tập tin quyền xem nội dung của tập tin thư mục *) write ( ghi , viết )
quyền ghi và sửa lại nội dung tập tin hoặc xoá tập tin quyền sửa lại nội dung tập tin thư mục
*) execute ( thực hiện )
quyền này được gắn với các tập tin lệnh , nhóm người dùng đã được nhận được quyền này có thể thực hiện các tập tin lệnh quyền được vào các thư mục
Để xem và sửa đổi các quyền truy cập đã được gắn với các tập tin thư mục và các
tập tin , nhấn vào places home folder chuột phải vào biểu tượng tập tin hoặc
một thư mục Properties . Các quyền truy cập trong Permissions . Nếu bạn có
quyền sở hữu tập tin bạn sẽ có quyền thay đổi các quyền truy cập của tập tin .
Tương tự Linux , trong Windows Server 2003 cũng có các cấp phép truy cập đến file và folder , tuy nhiên các cấp phép này đa dạng , có chiều sâu và có thể kết hợp với nhau một cách rất linh động .
Danh sách kiểm soát truy nhập ACL : (adsbygoogle = window.adsbygoogle || []).push({});
Hầu hết các thành phần của Windows bao gồm các file , các tài nguyên chia sẻ … đều có một ACL ( Access Control List ) . ACL thực chất là một danh sách các cấp phép nhằm xác định xem đối tượng nào có cấp phép truy cập và mức độ truy cập là như thế nào . ACL của một thành phần xác định bao gồm các ACE ( Access Control Entry - mục vào kiểm soát truy cập ) . Một ACE xác định tên của chủ thể bảo mật ( có thể là người dùng , nhóm hoặc máy tính được gán cấp phép ) và các cấp phép xác định được gán cho chủ thể đó .
Với mỗi thành phần được kiểm soát chuột phải Properties Security . Trong hộp thoại này , phần trên hiển thị danh sách các ACE ( các chủ thể bảo mật ) còn bên dưới là các cấp phép tương ứng cho mỗi ACE phía trên .
Tính kế thừa :
Một trong những tính năng quan trọng của các hệ thống cấp phép trên Windows Server 2003 đó là các đối tượng con sẽ thừa hưởng các cấp phép từ đối tượng cha . Theo tính chất phân cấp của hệ thống file , thư mục cha “cao hơn” thư mục con . Khi đó các cấp phép như một dòng nước chảy từ chỗ cao đến chỗ thấp tức là các thư mục con sẽ được thừa hưởng cấp phép từ thư mục cha . Nói nôm na , khi ta gán cho một chủ thể bảo mật quyền được truy cập đến một thư mục nào đó thì chủ thể bảo mật cũng có quyền truy cập đến các thư mục con và các file bên trong thư mục này . Ví dụ : Khi bạn gán cấp phép cho một người dùng tại thư mục gốc của ổ đĩa NTFS có nghĩa rằng người dùng sẽ nhận được các cấp phép giống hệt trên các file và thư mục con .
Ưu điểm của tính kế thừa :
- Giảm bớt gánh nặng quản trị vì không cần thiết phải cung cấp các cấp phép riêng biệt cho từng file va folder
- Có thể ứng dụng chúng khi thiết kế cấu trúc dịch vụ thư mục , chia xẻ trạng thái và các cây Active Directory .
Ta có thể lựa chọn dùng hay không dùng tính năng kế thừa : - Tắt tính năng kế thừa : bỏ lựa chọn
Hình 6.2 : Tính năng kế thừa
- Cấm các cấp phép : tất cả các hệ thống cấp phép đều cho phép bạn ngăn cấm một cấp phép cụ thể . Cấp phép ngăn cấm này có độ ưu tiên cao hơn và sẽ ghi đè lên cấp phép kế thừa .
Trong Windows Server 2003 có hai lớp cấp phép truy cập chính là : - Các cấp phép chia sẻ
- Các cấp phép NTFS
Sự kết hợp của hai cấp phép này tạo nên quyền truy cập thực tế cho người sử dụng . Hai lớp cấp phép này khác nhau cả về số lượng quyền truy cập , tầm tác dụng và độ phức tạp trong việc kết hợp các cấp phép …
Hình 6.3 : Các cấp phép chia sẻ
Hãy tưởng tượng Folder cha như một cánh cửa của một ngôi nhà và các file dữ liệu bên trong Folder là các đồ dùng bên trong ngôi nhà , nếu bạn muốn sử dụng các đồ vật bên trong ngôi nhà bạn phải mở được cửa và các cấp phép chia sẻ chính là chìa khoá để mở cánh cửa này .
Hệ thống các cấp phép chia sẻ là một hệ thống đơn giản không các sự phân biệt giữa các cấp phép chuẩn và các cấp phép đặc biệt mà chỉ gồm 3 cấp phép đơn giản như