Bài giảng Hệ điều hành mạng nâng cao - Hoàng Xuân Dậu - Chương 2: Kiểm soát truy nhập và quản trị người dùng
• Khái niệm kiểm soát truy nh ập
• Các biện pháp kiểm soát truy nh ập
• Kiểm soát truy nh ập và quản lý người
dùng ở một sốHĐH cụ thể.
• Giới thiệu một số công ngh ệ kiểm soát
truy nhập.
: các vai trò được tổ chức thành một cây theo mô hình phân cấp tự nhiên của các công ty/tổ chức. HĐH mạng nâng cao II. Kiểm soát truy nhập 15 Kiểm soát truy nhập dựa trên luật • Kiểm soát truy nhập dựa trên luật cho phép người dùng truy nhập vào hệ thống vào thông tin dựa trên các luật (rules) đã được định nghĩa trước. • Các luật có thể được thiết lập để hệ thống cho phép truy nhập đên các tài nguyên của mình cho người dùng thuộc một tên miền, một mạng hay một dải địa chỉ IP. HĐH mạng nâng cao II. Kiểm soát truy nhập 16 Kiểm soát truy nhập dựa trên luật • Firewalls/Proxies là ví dụ điển hình về kiểm soát truy nhập dựa trên luật: – Dựa trên địa chỉ IP nguồn và đích của các gói tin; – Dựa trên phần mở rộng các files để lọc các mã độc hại; – Dựa trên IP hoặc các tên miền để lọc/chặn các website bị cấm; – Dựa trên tập các từ khoá để lọc các nội dung bị cấm. HĐH mạng nâng cao II. Kiểm soát truy nhập 17 Kiểm soát truy nhập và quản lý người dùng ở HĐH MS Windows • Các HĐH Microsoft Windows NT , 2000, XP, 2003 server • Quản lý người dùng: – Các thông tin về người dùng (users) được lưu trong 1 file C:\WINDOWS\system32\config\SAM – Thông tin chính về người dùng gồm có: + Tên truy nhập (username) + Mật khẩu được lưu dưới dạng hash + Họ tên người dùng + Mô tả người dùng + Thuộc nhóm + Tên thư mục riêng (home directory) + Đường dẫn đến profile HĐH mạng nâng cao II. Kiểm soát truy nhập 18 Kiểm soát truy nhập và quản lý người dùng ở HĐH MS Windows • Quản lý người dùng (tiếp): – Người dùng được tổ chức thành các nhóm (groups), mỗi nhóm có quyền truy nhập khác nhau. Một người dùng có thể thuộc nhiều nhóm và một nhóm có thể có nhiều người dùng. – Các nhóm ngầm định: Administrators, Power Users, Backup Operators, Users, Guests. – Các người dùng ngầm định: Administrator, everyone, Guest,… HĐH mạng nâng cao II. Kiểm soát truy nhập 19 Kiểm soát truy nhập và quản lý người dùng ở HĐH MS Windows • Quản lý quyền truy nhập: DAC + RBAC – Quyền truy nhập được tổ chức theo mô mình phân cấp của các miền được quản lý: giống tổ chức cây tên miền. – Quyền truy nhập tại mỗi miền được tổ chức thành các nhóm “vai trò” và đến từng người dùng. – Mỗi đối tượng (file, thư mục, tiến trình, …) trong hệ thống đều có một (hoặc nhiều) chủ sở hữu, thường là người tạo ra đối tượng. Chủ sở hữu có thể được chuyển đổi. – Quyền truy nhập các đối tượng con được thừa hưởng từ quyền truy nhập các đối tượng cha, mẹ. HĐH mạng nâng cao II. Kiểm soát truy nhập 20 Kiểm soát truy nhập và quản lý người dùng ở HĐH MS Windows • Quản lý quyền truy nhập: DAC + RBAC (tiếp) – Các thuộc tính truy nhập đối tượng có thể được cấp hoặc huỷ cho từng nhóm người dùng, cũng như từng người dùng riêng lẻ. Các thuộc tính truy nhập gồm có: + Full control: toàn quyền + Modify + Read & Execute + List Folder Contents + Read + Write + Special permissions: đọc/ghi thuộc tín, chuyển quyển sở hữu… HĐH mạng nâng cao II. Kiểm soát truy nhập 21 Gán quyền truy nhập trong Windows HĐH mạng nâng cao II. Kiểm soát truy nhập 22 Gán quyền truy nhập trong Windows HĐH mạng nâng cao II. Kiểm soát truy nhập 23 Kiểm soát truy nhập và quản lý người dùng ở HĐH Unix/Linux • Các HĐH Unix/Linux • Quản lý người dùng: – Các thông tin người dùng (users) được lưu trong một số files: • /etc/passwd lưu danh sách người dùng (users) • /etc/shadow lưa mật khẩu người dùng dưới dạng hash • /etc/groups lưu danh sách các nhóm HĐH mạng nâng cao II. Kiểm soát truy nhập 24 Kiểm soát truy nhập và quản lý người dùng ở HĐH Unix/Linux • Quản lý người dùng (tiếp): – Thông tin chính về người dùng gồm có: • Tên truy nhập (username) • Mật khẩu được lưu dưới dạng hash • Họ tên người dùng • Nhóm • Tên thư mục riêng (home directory) • Tên shell sử dụng HĐH mạng nâng cao II. Kiểm soát truy nhập 25 Kiểm soát truy nhập và quản lý người dùng ở HĐH Unix/Linux • Quản lý người dùng (tiếp): – Một dòng trong file /etc/passwd dau:x:500:502:Dau Hoang:/home/dau:/bin/bash – Một dòng trong file /etc/shadow dau:$1$41642326$kwP9gEHuh1g1TZipR9Hfy/:12056:0:99999:7::: – Thuộc tính của các đối tượng drwx------ 2 dau power_users 4096 Nov 14 2005 mail -rwxr-xr-x 1 root root 66252 Oct 1 2005 sma HĐH mạng nâng cao II. Kiểm soát truy nhập 26 Kiểm soát truy nhập và quản lý người dùng ở HĐH Unix/Linux • Quản lý người dùng (tiếp): – Người dùng được tổ chức thành các nhóm (groups), mỗi nhóm có quyền truy nhập khác nhau. Một người dùng có thể thuộc một hoặc một số nhóm và một nhóm có thể có nhiều người dùng. – Các nhóm ngầm định: root, bin, sys, adm,... – Các người dùng ngầm định: root, mail, news, ftp,… HĐH mạng nâng cao II. Kiểm soát truy nhập 27 Kiểm soát truy nhập và quản lý người dùng ở HĐH Unix/Linux • Quản lý quyền truy nhập: DAC + RBAC – Quyền truy nhập tại mỗi miền được tổ chức thành các nhóm “vai trò” và đến từng người dùng. – Mỗi đối tượng (file, thư mục, tiến trình, …) trong hệ thống đều có một chủ sở hữu, thường là người tạo ra đối tượng. Chủ sở hữu có thể được chuyển đổi. – Quyền truy nhập các đối tượng con được thừa hưởng từ quyền truy nhập các đối tượng cha, mẹ. HĐH mạng nâng cao II. Kiểm soát truy nhập 28 Kiểm soát truy nhập và quản lý người dùng ở HĐH Unix/Linux • Quản lý quyền truy nhập (tiếp): – Các thuộc tính truy nhập đối tượng có thể được cấp hoặc huỷ cho từng nhóm người dùng, cũng như từng người dùng riêng lẻ. Các thuộc tính truy nhập gồm 3 bộ thuộc tính RWX (Đọc / Ghi / Thực hiện) cho 3 nhóm đối tượng: • Cho chủ sở hữu • Cho các người dùng cùng nhóm với chủ sở hữu • Cho các người dùng khác nhóm với chủ sở hữu d rwx --- --- 2 dau power_users 4096 Nov 14 2005 mail - rwx r-x r-x 1 root root 66252 Oct 1 2005 sma HĐH mạng nâng cao II. Kiểm soát truy nhập 29 Các công nghệ kiểm soát truy nhập thông dụng • Kiểm soát truy nhập dựa trên mật khẩu (password) • Kiểm soát truy nhập dựa trên các khoá mã (encrypted keys) • Kiểm soát truy nhập dựa trên thẻ bài (token) • Thẻ thông minh (smart card) • Kiểm soát truy nhập dựa trên các đặc điểm sinh học (biometric). HĐH mạng nâng cao II. Kiểm soát truy nhập 30 Kiểm soát dựa trên mật khẩu • Thông thường mỗi người dùng được cấp 1 tài khoản (account). Để truy nhập tài khoản, thường cần có: – Tên người dùng (username) – Mật khẩu (Passoword) • Mật khẩu có thể ở dạng nguyên bản (plain text) • Mật khẩu có thể ở dạng mã hoá (encrypted text) – Các thuật toán thường dùng để mã hoá mật khẩu: MD4, MD5, SHA-1, SHA256,... • Mật khẩu có thể được dùng nhiều lần hoặc 1 lần (one time password). HĐH mạng nâng cao II. Kiểm soát truy nhập 31 Sử dụng mật khẩu • Tính bảo mật của kỹ thuật sử dụng mật khẩu dựa trên: – Độ khó đoán của mật khẩu • Dùng nhiều loại ký tự – Chữ thường, hoa, chữ số, ký tự đặc biệt: • abc1234: mật khẩu tồi • aBc*1#24: mật khẩu tốt • Độ dài của mật khẩu – Mật khẩu tốt có chiều dài >= 8 ký tự – Tuổi thọ của mật khẩu • Mật khẩu không hết hạn • Mật khẩu có thời hạn sống • Mật khẩu dùng 1 lần HĐH mạng nâng cao II. Kiểm soát truy nhập 32 Mật khẩu dùng một lần-OTP • Mật khẩu được sinh ra và chỉ được dùng 1 lần cho 1 phiên làm việc hoặc 1 giao dịch; • Mật khẩu thường được sinh ngẫu nhiên • Chuyển giao mật khẩu: – In ra giấy một danh sách mật khẩu để dùng dần – Gửi qua các phương tiện khác như SMS • Ưu điểm: an toàn hơn, tránh được tấn công kiểu replay (lấy được mật khẩu dùng lại). • Nhược điểm: người sử dụng khó nhớ mật khẩu. HĐH mạng nâng cao II. Kiểm soát truy nhập 33 Sử dụng các khoá mã • Khoá mã là các giải thuật cho phép: – Đảm bảo an toàn thông tin bí mật – Kiểm tra thông tin nhận dạng của các bên tham gia giao dịch. • Ứng dụng rộng rãi nhất là chứng chỉ số (Digital Certificate). Một chứng chỉ số thường gồm: – Thông tin nhận dạng của chủ thể – Khoá công khai của chủ thể – Các thông tin nhận dạng và khoá công khai của chủ thể được mã hoá (ký) bởi một tổ chức có thẩm quyền (Certificate Authority – CA). HĐH mạng nâng cao II. Kiểm soát truy nhập 34 Xem chứng chỉ số HĐH mạng nâng cao II. Kiểm soát truy nhập 35 Thẻ thông minh (smartcard) • Là các thẻ nhựa có gắn các chip điện tử • Có khả năng tính toán và các thông tin lưu trong thẻ được mã hoá • Smartcard sử dụng hai yếu tố (two- factors) để nhận dạng chủ thể: – Cái bạn có (what you have): thẻ – Cái bạn biết (what you know): số PIN HĐH mạng nâng cao II. Kiểm soát truy nhập 36 Smart cards HĐH mạng nâng cao II. Kiểm soát truy nhập 37 Smart cards – thẻ không tiếp xúc HĐH mạng nâng cao II. Kiểm soát truy nhập 38 Thẻ bài (token) • Các thẻ bài thường là các thiết bị cầm tay được thiết kế nhỏ gọn để có thể dễ dàng mang theo; • Thẻ bài có thể được sử dụng để lưu: – Mật khẩu – Thông tin cá nhân – Các thông tin khác • Thẻ bài thường được trang bị cơ chế xác thực 2 yếu tố tương tự smartcards: – Thẻ bài – Mật khẩu (thường dùng 1 lần) • Thẻ bài thường có cơ chế xác thực mạnh hơn smartcards do năng lực tính toán cao hơn. HĐH mạng nâng cao II. Kiểm soát truy nhập 39 Thẻ bài của hãng RSA Security HĐH mạng nâng cao II. Kiểm soát truy nhập 40 Thẻ bài của PayPal dùng trong thanh toán trực tuyến HĐH mạng nâng cao II. Kiểm soát truy nhập 41 Sử dụng các đặc điểm sinh học • Kiểm soát truy nhập có thể sử dụng các đặc điểm sinh học để nhận dạng chủ thể: – Dấu vân tay – Khuôn mặt – Tiếng nói – Chữ ký tay • Ưu điểm: – Có khả năng bảo mật cao – Luôn đi cùng chủ thể • Nhược điểm: – Chậm do đòi hỏi khối lượng tính toán lớn – Tỷ lệ nhận dạng sai tương đối lớn do có nhiều yếu tố ảnh hưởng. HĐH mạng nâng cao II. Kiểm soát truy nhập 42 Khoá sử dụng vân tay HĐH mạng nâng cao II. Kiểm soát truy nhập 43 Khoá sử dụng vân tay HĐH mạng nâng cao II. Kiểm soát truy nhập 44 Bộ phận đọc vân tay trên laptop HĐH mạng nâng cao II. Kiểm soát truy nhập 45 Bài tập 1. Tìm hiểu cơ chế kiểm soát truy nhập của tường lửa (firewalls). 2. Tìm hiểu công nghệ và cơ chế kiểm soát truy nhập của thẻ thông minh – smartcards.
File đính kèm:
- Bài giảng Hệ điều hành mạng nâng cao - Hoàng Xuân Dậu - Chương 2 Kiểm soát truy nhập và quản trị người dùng.pdf