Security Practices and Policies | Linux | Trường Đại học Khoa học Tự nhiên, Đại học Quốc gia Hà Nội

TRANSLATE FROM 379. I. ???
- Chúng tôi không thực sự muốn cung cấp quyền truy cập sudo vào một
trong hai lệnh này vì chúng cấu thành vi phạm bảo mật. Hãy tưởng tượng
rằng chúng ta để zappaf sử dụng cả hai cấu trúc này. Người dùng zappaf
có thể tạo một nhóm mới, tin tặc, bằng cách sử dụng lệnh.
sudo /usr/sbin/groupadd –g 0 –o hackers followed by
sudo /usr/sbin/usermod –G hackers zappaf
- Zappaf đã làm gì? Anh ấy đã tạo một nhóm mới có chung GID as root
( với root) và sau đó thêm chính mình vào nhóm này, vì vậy zappaf nằm
trong nhóm được chia sẻ với root. Zappaf rất có thể khai thác đặc quyền
này để làm hỏng hệ thống.
- Sau đây là một số ví dụ mà chúng ta có thể muốn sử dụng sudo.
Ví dụ đầu tiên: cho phép người dùng xem một số thư mục mà thông
thường không thể truy cập được.
Ví dụ thứ hai: cho phép người dùng tắt và khởi động lại máy tính từ GUI.
Ví dụ thứ ba: cho phép người dùng gắn đĩa CD. Nó cũng sẽ có khả
năng tương tự cho việc tháo đĩa CD.
• sudo ls /usr/local/protected
• sudo shutdown -r +15 "quick reboot” • sudo /sbin/mount/cdrom
- Bạn có thể tìm thấy các tùy chọn sudo hữu ích khác tùy theo trường hợp.
Tùy chọn -b chạy lệnh ở chế độ nền. Điều này cũng có thể được thực hiện
bằng cách thêm & vào cấu trúc. Với -H, sudo sử dụng biến môi trường
HOME của người dùng hiện tại thay vì người dùng của chương trình.
Trước đó, nếu dukeg chạy chương trình thực thi của zappaf mà không có -
H, HOME lưu trữ /home/zappaf mà chạy với -H, HOME lưu trữ
/home/dukeg. Điều này có thể hữu ích nếu chương trình sử dụng hoặc lưu
trữ tệp cho người dùng cụ thể thay vì chủ sở hữu.
- Ngoài các tùy chọn được mô tả, tùy chọn -K được sử dụng mà không cần
lệnh (tức là sudo –K). Kết quả của -K là đưa dấu mốc thời gian của người
dùng trở về thời điểm ban đầu. Về bản chất, điều này sẽ xóa sạch thực tế
là người dùng đã chạy thành công sudo bằng lệnh này trước đây và giờ
đây sẽ yêu cầu người dùng nhập mật khẩu của họ vào lần tiếp theo họ sử
dụng sudo. Tương tự, tùy chọn -k sẽ đặt lại dấu thời gian của người dùng.
Tùy chọn -k, không giống như -K, có thể được sử dụng trong cả 2 trường
hợp : không hoặc có lệnh.
- Chương trình visudo nên được sử dụng để mở và chỉnh sửa tệp
/etc/sudoers bất cứ khi nào bạn, với tư cách là nhà quản trị hệ thống,
muốn sửa đổi /etc/sudoers. visudo mở /etc/sudoers trong “vi”, nhưng có
một sự khác biệt giữa việc sử dụng visudo và tự mở tệp trong “vi” - đó là
visudo sẽ kiểm tra tệp để tìm lỗi cú pháp trước khi đóng tệp. Điều này sẽ
thông báo cho bạn về các lỗi tiềm ẩn để bạn có thể sửa chúng tại thời
điểm chỉnh sửa tệp thay vì chờ phát hiện ra lỗi khi người dùng cố gắng sử
dụng sudo vào thời điểm sau khi chỉnh sửa tệp.
9.8 .THIẾT LẬP CHÍNH SÁCH CHO NGƯỜI DÙNG VÀ NHÓM.
- Để kết thúc chương này, chúng ta sẽ xem xét ngắn gọn các chính sách về
tài khoản của người dùng. Các chính sách này có thể được tạo ra bởi nhà
quản trị hệ thống hoặc bởi ban quản lý hoặc cả hai. Sau khi được phát
triển, nó sẽ tuỳ thuộc vào nhà quản trị hệ thống trong việc thực hiện các
chính sách. Các chính sách sẽ tác động đến những người mà có tài khoản,
họ sẽ có quyền truy cập những gì, liệu họ có thể truy cập tài khoản của
mình từ bên ngoài trang web hay không hoặc liệu họ có thể sử dụng máy
tính tại chỗ để truy cập tài liệu bên ngoài trang web hay không (ví dụ:
email cá nhân) và thời gian các tài khoản vẫn hoạt động, có thể kể tên một số tài khoản.
*9.8.1. Chúng ta nên đặt ra 1 số câu hỏi trước khi thiết lập chính sách .
a) Chúng ta phải hỏi: đâu là bản chất của những người dùng của chúng ta?
- Liệu chúng ta có các cấp độ (kiểu) người dùng khác nhau không?
- Người dùng sẽ có các loại phần mềm khác nhau mà họ sẽ cần truy cập và
các tệp khác đi kèm với chúng phải không?
- Liệu các kiểu người dùng khác nhau có yêu cầu các tài nguyên khác nhau
không, chẳng hạn như dung lượng ổ cứng, dung lượng máy chủ web và
các nhu cầu xử lý khác nhau?
- Câu trả lời cho những câu hỏi này giúp chúng ta biết cách xử lý người
dùng. Nếu ta có các cấp độ người dùng khác nhau thì chúng ta có thể có
các loại tài khoản khác nhau.
Ví dụ: một trường đại học có thể cung cấp hạn ngạch đĩa và quyền truy
cập tài nguyên khác nhau cho quản trị viên, nhân viên, giảng viên và sinh
viên. Trong một tổ chức phân định rõ ràng nhiệm vụ đối với các phần
mềm khác nhau, chúng tôi có thể muốn thiết lập các tài khoản phần mềm
để chỉ một số người dùng nhất định mới có quyền truy cập. Chúng tôi có
thể cần giới hạn phần mềm máy khách cơ sở dữ liệu Oracle vì giấy phép
trang web để chỉ những người dùng yêu cầu quyền truy cập mới được cấp
tài khoản có vai trò phù hợp với các tệp mà họ cần truy cập.
b) Chúng ta phải xem xét nguồn lực của mình và hỏi xem liệu chúng ta có đủ
nguồn lực để khiến cho những hạn chế trở nên không cần thiết hay không
( hay nói là xoá bỏ những hạn chế) hay không?
- Chúng ta có cần thực thi hạn ngạch đĩa không? Nếu vậy, cần thực thi trên
tất cả các phân vùng hay trên các phân vùng cụ thể? Những người dùng
khác nhau có thể có giới hạn hạn ngạch khác nhau không? (Xem Chương
10 để thảo luận về hạn ngạch đĩa.)
- Chúng ta có cần thiết lập mức độ ưu tiên cho quy trình của người dùng không?
- Liệu người dùng có quyền truy cập duy nhất vào trạm làm việc của họ hay
không; các trạm làm việc có được nối mạng để người dùng có thể đăng
nhập vào các trạm khác không; liệu tài nguyên có thể được chia sẻ không?
- Nếu chỉ có người dùng có quyền truy cập vào trạm của họ, điều này có vẻ
sẽ đơn giản hóa nhiệm vụ của quản trị hệ thống. Tuy nhiên, nếu tài
nguyên mạng được cung cấp( trở nên sẵn có), nhà quản trị hệ thống vẫn
cần duy trì các tài khoản mạng. Ngoài ra, việc cấp cho người dùng quyền
truy cập duy nhất vào trạm của họ, có thể khiến người dùng thực hiện các
hành động gây hại tới trạm. Việc cung cấp cho người dùng khả năng tải
phần mềm xuống trạm của họ có thể khiến máy trạm bị tấn công bởi
virus, Trojan horses và phần mềm gián điệp.
c) Chúng tôi cũng muốn đặt câu hỏi về chính các tài khoản.
- Các tài khoản sẽ nên tồn tại trong một khoảng thời gian giới hạn hay
không giới hạn? Ví dụ: trong môi trường đại học, chúng tôi có thể xóa tài
khoản sinh viên sau khi sinh viên tốt nghiệp không? Nếu vậy thì bao lâu
sau khi tốt nghiệp chúng tôi sẽ được loại bỏ được nó? Đối với một công
ty, tài khoản còn khả năng hoạt động trong bao lâu sau khi nhân viên rời công ty?
- Chúng tôi sẽ ban hành chính sách bảo mật nào? Không tổ chức nào được
phép sử dụng bất cứ thứ gì ngoài mật khẩu mạnh. Bao lâu thì nên thay đổi
mật khẩu? Mật khẩu có thể được thay đổi thành mật khẩu tương tự như
mật khẩu trước đó không?
Các chính sách mà chúng ta thiết lập sẽ có phần nào dựa vào loại hình và
quy mô của tổ chức. Các tổ chức lớn hơn sẽ có nhiều nguồn lực hơn
nhưng cũng có nhu cầu lớn hơn về những nguồn lực đó. Các tổ chức nhỏ
hơn có thể không đủ khả năng mua các máy chủ tệp đắt tiền hơn và do đó
có thể có những hạn chế lớn hơn đối với việc sử dụng dung lượng tệp.
Các chính sách cũng sẽ được quản lý định hướng thông qua một số hình
thức đánh giá và quản lý rủi ro. Đánh giá và quản lý rủi ro sẽ dựa trên
việc xác định các tài sản của tổ chức cũng như các điểm yếu và mối đe
dọa từ các tài sản đó. Tài sản không bị giới hạn ở phần cứng vật lý như
máy tính, máy chủ tệp và máy in.
Có lẽ còn quan trọng hơn cả tài sản là dữ liệu thuộc sở hữu của tổ chức.
Một công ty có khách hàng sẽ không muốn dữ liệu khách hàng tiềm ẩn
nguy cơ bị xâm nhập từ bên ngoài. Bất kỳ quyền truy cập nào như vậy sẽ
cấu thành hành vi vi phạm quyền riêng tư của dữ liệu cá nhân mà tổ chức
đã lưu giữ. Một số dữ liệu này sẽ được giữ bí mật, chẳng hạn như số thẻ
tín dụng. Do đó, việc vi phạm quyền riêng tư sẽ không chỉ ảnh hưởng đến
khách hàng mà còn ảnh hưởng đến niềm tin của họ đối với tổ chức.
Việc bảo vệ dữ liệu bí mật và nhạy cảm chính là những yếu tố quan trọng
nhất cho những chính sách của chúng tôi. Ví dụ: chúng tôi có thể giới hạn
quyền truy cập vào dữ liệu đối với một nhóm nhân viên được chọn.
Chúng tôi yêu cầu những nhân viên này đăng nhập vào hệ thống cơ sở dữ
liệu trước khi truy cập. Chúng tôi yêu cầu mật khẩu phải mạnh và chúng
tôi sẽ thực thi các thay đổi mật khẩu kịp thời. Chúng tôi cũng có thể yêu
cầu mật khẩu cơ sở dữ liệu phải khác với mật khẩu dùng để đăng nhập vào máy tính của họ.
Các chính sách khác có thể ít quan trọng hơn từ góc độ bảo mật nhưng
cũng có tầm quan trọng không kém đối với cấp quản lý. Ví dụ: nhân viên
có được phép sử dụng email công việc cho mục đichs cá nhân không?
Nếu vậy, điều này có thể dẫn đến lỗ hổng bảo mật và việc sử dụng tài
nguyên của tổ chức 1 cách lãng phí. Mặt khác, nhân viên có thể không vui
vì không thể gửi email cá nhân từ nơi làm việc. Chúng ta có nên hạn chế
truy cập trang web? Chúng tôi có thể, thông qua máy chủ proxy hoặc
tường lửa, cấm truy cập vào các trang web như Facebook, Twitter và
thậm chí cả ESPN. Cuối cùng, quản trị hệ thống có quyền (hoặc trách
nhiệm) kiểm tra không gian tệp của người dùng, chẳng hạn như để xem
liệu người dùng có đang sử dụng email cho mục đích cá nhân hay kiểm
tra bộ đệm của trình duyệt web để phát hiện người dùng có truy cập vào
các trang web không phù hợp không?
* 9.8.2 Bốn loại chính sách sử dụng máy tính
Dưới đây, chúng tôi chia các vấn đề về chính sách thành bốn loại: tài khoản
người dùng, mật khẩu, dung lượng ổ đĩa và nội dung sai. Đối với mỗi điều này,
chúng tôi thảo luận về các lựa chọn có thể.
a) Đối với tài khoản người dùng, các câu hỏi là:
Có phải mỗi người dùng đều có một tài khoản không? Đây sẽ là trường
hợp có khả năng xảy ra nhất.
Người dùng có nên chia sẻ tài khoản không? Đây có thể là hành vi vi
phạm an ninh và thường không được khuyến khích.
Tài khoản người dùng vẫn hoạt động trong bao lâu sau khi người dùng
không còn ở tổ chức nữa? Các công ty có thể vô hiệu hóa các tài khoản đó
ngay lập tức. Các tổ chức khác có thể đợi một vài tuần. Các trường đại
học thường duy trì hoạt động của tài khoản sinh viên trong một thời gian
sau khi tốt nghiệp, thậm chí có thể là vĩnh viễn (hoặc cách khác, tài khoản
vẫn hoạt động nhưng được chuyển sang máy chủ khác). Nếu tài khoản bị
vô hiệu hóa hoặc bị xóa, người dùng có nhận được thông báo nào không?
Điều gì xảy ra với bất kỳ tệp nào thuộc sở hữu của tài khoản đã xóa?
Những tài nguyên nào đi kèm với một tài khoản? Không gian tập tin?
Không gian máy chủ web? Truy cập từ xa? Truy cập vào một máy trạm
hoặc tất cả các máy trạm? Truy cập vào một máy in, nhiều máy in hay tất cả các máy in?
b) Chính sách mật khẩu thường xoay quanh loại quản lý mật khẩu nào
mà tổ chức muốn thực thi
Người dùng có được cấp mật khẩu ban đầu không?
Tổ chức có thực thi mật khẩu mạnh không?
Mật khẩu sẽ cần phải thay đổi bao lâu một lần?
Mật khẩu có thể được sử dụng lại không? Nếu vậy, khoảng bao lâu? Nếu
không, có thể cho phép thay đổi mật khẩu không?
c) Chính sách sử dụng dung lượng ổ đĩa liên quan đến hạn ngạch và loại
quyền truy cập không gian tệp
Các tập tin sẽ được đặt cục bộ hay trên một máy chủ tập tin? Nếu sau này,
việc chia sẻ tập tin có được chấp thuận hay không?
Người dùng có hạn ngạch đĩa không?
Tập tin có nên được mã hóa?
Dung lượng tập tin có tồn tại cho máy chủ web không?
Người dùng có được phép lưu trữ bất cứ thứ gì trong không gian tập tin của họ không?
Có chính sách nào cấp cho nhà quản trị hệ thống quyền được phép tìm
kiếm trong không gian tệp của người dùng để tìm những tệp không nên có
ở đó (ví dụ: tải xuống bất hợp pháp) không?
Các chủ đề khác bao gồm cách triển khai và thực thi biện pháp bảo vệ và an
ninh, sao lưu và lập kế hoạch ứng phó thảm họa cũng như việc thay thế tài
nguyên. Vì hầu hết các vấn đề này không liên quan đến người dùng và tài khoản
nên chúng tôi sẽ không thảo luận những vấn đề này cho đến phần sau của sách giáo khoa.