banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix Một thắc mắc nhỏ về cơ chế phân quyền của *nix  XML
  [Question]   Một thắc mắc nhỏ về cơ chế phân quyền của *nix 22/11/2008 08:18:18 (+0700) | #1 | 159820
[Avatar]
St Konqueror
Member

[Minus]    0    [Plus]
Joined: 08/12/2007 00:47:39
Messages: 229
Offline
[Profile] [PM]
Hi all,
Cơ chế phân quyền đối với tập tin và thư mục của *nix với 3 quyền hạn read, write và excute thì chắc ai cũng đã biết đến cả rồi. Tuy nhiên mình đang có một thắc mắc về mức độ an toàn của cơ chế này. Ví dụ mình có một tập tin tên file-abc đã được #chmod 700, như vậy thì chỉ có owner mới có quyền truy xuất, sửa, xóa, ...etc... đối với nó ngoài ra mọi truy cập từ các tài khoản khác đều không được cho phép. Nhưng giả sử mình lại có một cái portable HDD, USB disk drive hoặc là LiveCD với một bản *nix có sẵn trên đó thì mình chỉ việc boot máy tính chứa file-abc với Live Media của mình, sau đó dùng #chmod với #chown là mình lại có thể dễ dàng có mọi quyền hạn đối với file-abc nói trên. smilie Thế thì thì có dễ dàng quá chăng?

Như vậy, điều mình muốn hỏi các bạn ở đây là làm thế nào để ngăn chặn việc sử dụng #chmod#chown như trong trường hợp kể trên (loại trừ cách mã hóa đĩa cứng).
PS: Mình đang gặp khúc mắc ở phần này, rất mong được hướng dẫn hoặc cho mình xin vài từ khóa phù hợp để google.
Cám ơn. smilie
[Up] [Print Copy]
  [Question]   Re: Một thắc mắc nhỏ về cơ chế phân quyền của *nix 22/11/2008 08:50:08 (+0700) | #2 | 159825
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
hơ hơ sao phải loại trừ trường hợp mã hóa đĩa cứng? như bạn miêu tả, nghĩa là attacker đã có quyền truy cập vật lý đến máy tính rồi, tớ không nghĩ là còn có cách khác để tự vệ ngoài mã hóa.

mà cái này đâu phải là vấn đề về cơ chế phân quyền của Unix.

--m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Re: Một thắc mắc nhỏ về cơ chế phân quyền của *nix 22/11/2008 16:12:42 (+0700) | #3 | 159864
Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
St Konqueror,

Nếu bạn có thể boot từ live CD thì chỉ cần sử dụng account root của live CD là có thể có toàn quyền với dữ liệu trên máy tính. Một cách để "reset" password khi bạn không thể boot vào single user mode là dùng live CD để overwrite password root chẳng hạn. Chế độ phân quyền cho dù chặt chẻ đến đâu cũng chỉ có nghĩa trong một ngữ cảnh nào đó mà thôi (ở đây là OS cài trên ổ cứng). Bạn thoát ra khỏi ngữ cảnh đó thì phân quyền sẽ không có nghĩa lý gì nữa.

Như anh mrro nói, dữ liệu quan trọng nên được mã hóa, hoặc phải store off site tại một địa điểm nào khác.

khoai
[Up] [Print Copy]
  [Question]   Re: Một thắc mắc nhỏ về cơ chế phân quyền của *nix 22/11/2008 22:49:24 (+0700) | #4 | 159876
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
tớ thấy có một vấn đề là nhiều bạn khi sử dụng các kênh truyền dữ liệu thì lại rất quan tâm đến vấn đề mã hóa, chẳng hạn như dùng www, thì phải là https, gửi mail, thì phải là smtps, lấy mail về thì phải là pop3s hay imaps, remote shell thì phải là ssh. nhìn chung là có cơ hội sử dụng vpn là sử dụng liền, nhưng khi lưu trữ dữ liệu thì thường lại không quan tâm đến mã hóa.

tớ nghĩ lưu trữ dữ liệu cũng là một cách truyền dữ liệu mà thôi, thay vì truyền theo không gian như các giao thức trên, thì lưu trữ dữ liệu xuống media là truyền theo thời gian. nghĩa là vẫn cần phải đảm bảo được mật tính (confidentiality), toàn vẹn (integrity) và sẵn sàng (availability) của dữ liệu.

--m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Question]   Re: Một thắc mắc nhỏ về cơ chế phân quyền của *nix 22/11/2008 23:19:47 (+0700) | #5 | 159878
[Avatar]
St Konqueror
Member

[Minus]    0    [Plus]
Joined: 08/12/2007 00:47:39
Messages: 229
Offline
[Profile] [PM]

mrro wrote:
tớ thấy có một vấn đề là nhiều bạn khi sử dụng các kênh truyền dữ liệu thì lại rất quan tâm đến vấn đề mã hóa, chẳng hạn như dùng www, thì phải là https, gửi mail, thì phải là smtps, lấy mail về thì phải là pop3s hay imaps, remote shell thì phải là ssh. nhìn chung là có cơ hội sử dụng vpn là sử dụng liền, nhưng khi lưu trữ dữ liệu thì thường lại không quan tâm đến mã hóa.

tớ nghĩ lưu trữ dữ liệu cũng là một cách truyền dữ liệu mà thôi, thay vì truyền theo không gian như các giao thức trên, thì lưu trữ dữ liệu xuống media là truyền theo thời gian. nghĩa là vẫn cần phải đảm bảo được mật tính (confidentiality), toàn vẹn (integrity) và sẵn sàng (availability) của dữ liệu.

--m 

Ngẫm lại thì đúng là em cũng mắc vào vấn đề này, cực kì mê ssh, https khi truyền data nhưng lại ít quan tâm đến mã hóa data trong lưu trữ smilie

mrro wrote:
hơ hơ sao phải loại trừ trường hợp mã hóa đĩa cứng? như bạn miêu tả, nghĩa là attacker đã có quyền truy cập vật lý đến máy tính rồi, tớ không nghĩ là còn có cách khác để tự vệ ngoài mã hóa.

mà cái này đâu phải là vấn đề về cơ chế phân quyền của Unix. 

Em nghĩ là nếu nói về mã hóa để chống lại việc đoạt quyền thì có vẻ như là chủ đề này thiên vào bảo mật & thâm nhập hơn. Lúc lập chủ đề này thì em đang thắc mắc liệu có cách nào để cơ chế phân quyền của *nix có thể vẫn còn giá trị dù đã thoát khỏi OS hay không.

Mr.khoai wrote:
hế độ phân quyền cho dù chặt chẻ đến đâu cũng chỉ có nghĩa trong một ngữ cảnh nào đó mà thôi (ở đây là OS cài trên ổ cứng). Bạn thoát ra khỏi ngữ cảnh đó thì phân quyền sẽ không có nghĩa lý gì nữa.  


Bây giờ thì em đã hiểu. Cám ơn hai anh mrroMr.Khoai đã hướng dẫn
[Up] [Print Copy]
  [Question]   Re: Một thắc mắc nhỏ về cơ chế phân quyền của *nix 24/11/2008 14:20:21 (+0700) | #6 | 160039
[Avatar]
BachDuongTM
Member

[Minus]    0    [Plus]
Joined: 29/06/2006 17:39:39
Messages: 85
Offline
[Profile] [PM] [Email]
phân quyền cho dù chặt chẻ đến đâu cũng chỉ có nghĩa trong một ngữ cảnh nào đó mà thôi (ở đây là OS cài trên ổ cứng). Bạn thoát ra khỏi ngữ cảnh đó thì phân quyền sẽ không có nghĩa lý gì nữa.  


Hi ,đúng theo câu nói này nè.

Để có thể được hoặc không được truy cập 1 file. bạn cần hỏi hệ điều hành tại thời điểm đó rằng tôi có quyền đọc file không, và nếu mang một LIVECD ra thì bạn không còn là hỏi OS logic ở trên nữa mà đang hỏi OS của LIVEcd. Và vì 2 OS là khác nhau nên không sẽ trả lời khác nhau.

Với một server online 24/24 trên mạng thì chmod 700 là đủ để giới hạn truy cập file, nhưng nếu ở nhà thì cần có những cơ chế khác để xác thực truy cập. Mã hóa chỉ là 1 kiểu, nếu trong win2k3, bạn có mã hóa dữ liệu thì admin vẫn được cung cấp các cơ chế khác để đoạt quyền và giải mã dữ liệu <hoặc cũng không thể giải mã được smilie >
[Up] [Print Copy]
  [Question]   Re: Một thắc mắc nhỏ về cơ chế phân quyền của *nix 25/11/2008 02:15:12 (+0700) | #7 | 160082
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Ubuntu 8.10 có thêm 1 tính năng là encryptfs để mã hoá private home folder đó, bạn thử xem.
[Up] [Print Copy]
  [Question]   Re: Một thắc mắc nhỏ về cơ chế phân quyền của *nix 25/11/2008 04:32:47 (+0700) | #8 | 160110
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]

BachDuongTM wrote:

...mã hóa chỉ là 1 kiểu, nếu trong win2k3, bạn có mã hóa dữ liệu thì admin vẫn được cung cấp các cơ chế khác để đoạt quyền và giải mã dữ liệu...
 


hơ hơ đó là do bồ sử dụng cơ chế mã hóa mà hệ điều hành cung cấp. sử dụng những thứ như truecrypt chẳng hạn, thì may ra chỉ có những em gái chân dài mới có thể đoạt quyền và giải mã dữ liệu được

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|