Escolar Documentos
Profissional Documentos
Cultura Documentos
Câu 10: An toàn đăng nhập là gì? Trình bày các chính sách an toàn cho khoản mục người
dùng của hệ điều hành Windows server (2000, 2003)?
+ An toàn đăng nhập là đòi hỏi người dùng phải cung cấp khoản mục người dùng và mật khẩu để
truy cập vào hệ điều hành nào đó hoặc để xác nhận quyền truy nhập mạng thông qua một dịch vụ
thư mục. Những người quản trị máy chủ và quản trị mạng thường cài đặt kiểu an toàn này như là
một trong những phòng ngừa an toàn cơ bản nhất. Mấu chốt để sử dụng thành công phương pháp
an toàn này là hướng dẫn người dùng giữ mật khẩu một cách bí mật và chọn những mật khẩu khó
đoán.
+ Chính sách an toàn cho khoản mục người dùng của hệ điều hành Window server (2000,2003):
một chính sách an toàn là một hoặc nhiều thiết lập mặc định về an toàn áp dụng cho tài nguyên
được cung cấp bởi một hệ điều hành hoặc một dịch vụ thư mục.
-môt người quản trị có thể cài đặt các chính sách an toàn áp dụng cho tất cả các khoản mục trên
máy tính cục bộ hoặc trong cùng một vùng.
- một chính sách an toàn có thể xác định đc độ dài tối thiểu của mật khẩu khoản mục người dùng
và bắt buộc thay đổi mật khẩu theo chu kì thời gian nhất định
- người quản trị có thể đặt nhiều chính sách an toàn trên các máy chủ: (người dùng nào được phép
đăng nhập vào máy chủ thông qua mạng hoặc quyết định những tài nguyên nào được phép chia sẻ)
Câu11:Khái niệm mật khẩu an toàn? Trình bày các chính sách an
toàn mật khẩu của hệ điều hành windows và linux?
* Khái niệm mật khẩu an toàn:
Một mật khẩu an toàn là mật khẩu gồm các tiêu chí sau:
+ Có nhiều kí tự
+ Có ít nhất 1 kí tự viết hoa, viết thường, 1 số, 1 kí tự đặc biệt.
+ Không dùng tên, ngày sinh của mình, của người thân, hay từ ngữ có thể tìm trong từ điển.
+ Có thể gõ mật khẩu 1 cách nhanh chóng thuận lợi, người khác ko thể nhìn được.
Như vậy 1 mật khẩu an toàn, đảm bảo tránh được kiểu tấn công vét cạn và từ điển.
* Chính sách mật khẩu trong Windows
+ Enforce password history: mật khẩu mới không đc trùng với mật khẩu đã dùng, chính sách này
thiết lập số lượng các mật khẩu trước đó không được trùng với mật khẩu mới (giá trị thiết lập từ 0-
>24).
+ Maximum password age: thời gian tồn tại tối đa của mật khẩu (0-999 ngày)
+ Minimum password age: thời gian tồn tại ít nhất của mật khẩu (0-998 ngày)
+ Minimum password length: độ dài của mật khẩu (1-14 kí tự)
+ Password must meet complexity requirements: chính sách này qui định luật thiết lập mật khẩu:
- Có ít nhất 6 kí tự
- Không chứa tên truy cập hay 1 phần tên đầy đủ
- Bao gồm các kí tự a…z A…Z 0…9 !@#$%^&*...
+ Store password using reverible encryption: chính sách này được kích hoạt khi có ứng dụng hoặc
giao thức quan trọng cần đến mật khẩu của người dụng cho mục đích xác thực như
CHAP(challenge handshake authentication protocol) xác thực remote access hay qua IAS(internet
authentication service)…
* Chính sách mật khẩu trong Linux
+ Pass_max_days: thời gian tối đa có thể dùng mật khẩu
+ pass_min_days: thời gian tối thiểu mật khẩu tồn tại
+ pass_min_length: độ dài tối thiểu của mật khẩu
+ pass_warn_age: thông báo số ngày tồn tại còn lại của mật khẩu.
+ pam_cracklib & pam_passwdqc: 2 module sử dụng trong việc qui định luật mật khẩu như chiều
dài, các kí tự được dùng.
+ pam_cracklib (tránh sử dụng lại mật khẩu) & pam_unix(lưu trữ mật khẩu cũ) 2 module này kết
hợp để tránh dùng mật khẩu mới trùng với các mật khẩu cũ.
Câu 12: Khái niệm an toàn tệp, thư mục trên các hệ điều hành? trình bày cơ chế an toàn tệp,
thư mục của hệ điều hành windows?
Các hệ điều hành và các dịch vụ thư mục thường cung cấp các công cụ để bảo vệ các thư mục, các
tệp và các đối tượng khác bảo đảm chỉ có những người chủ sở hữu của các đối tượng này hoặc
những người dùng nhất định mới có thể truy nhập chúng.
- Cơ chế an toàn tệp, thư mục của hệ điều hành windows
Việc truy xuất tập tin (File hoặc thư mục) được quản lý thông qua các quyền truy cập (right),
quyền đó sẽ quyết định ai có thể truy xuất và truy xuất đến tập tin đó với mức độ giới hạn nào.
Những Quyền đó là Read, Execute, Delete, Write, Set Permission, Take Ownership.
Trong đó:
-->Read (R): Được đọc dữ liệu, các thuộc tính, chủ quyền của tập tin.
-->Execute (X): Được chạy tập tin.
-->Write (W): Được phép ghi hay thay đổi thuộc tính.
-->Delete (D): Được phép xóa tập tin.
-->Set Permission (P): Được phép thay đổi quyền hạn của tập tin.
-->Take Ownership (O): Được đặt quyền chủ sở hữu của tập tin.
Bảng tóm tắt các mức cho phép
Permission R XWDP O
No Access
Read XX
Change XXX X
Full Control X X X X X X
Special Access ? ? ? ? ? ?
Để đảm bảo an toàn khi truy xuất đến tập tin (File và thư mục)ä, chúng ta có thể gán nhiều mức
truy cập (permission) khác nhau đến các tập tin thông qua các quyền được gán trên tập tin. Có 5
mức truy cập được định nghĩa trước liên quan đến việc truy xuất tập tin (File và thư mục) là: No
Access, Read, Change, FullControl, Special Access. Special Access được tạo bởi người quản trị
cho bất cứ việc chọn đặt sự kết hợp của R, X, W, D, P, O. Những người có quyền hạn Full
Control, P, O thì họ có quyền thay đổi việc gán các quyền hạn cho Special Access.
Câu 13: Trình bày cơ chế an toàn tệp, thư mục trên hệ điều hành linux?
I. Quyền cơ bản trong Linux
Trong linux hệ điều hành linux nói chung được chia ra làm 4 quyền cơ bản sau đó là: read, write,
execute,deny được ký hiệu lần lượt là rwx-
Chúng ta dùng câu lệnh /sbin/ls –la để xem quyền của các file và thư mục.
Trường 1: đây là trường miêu tả các quyền của một file hoặc một thư mục. Các quyền này được
gán cho owner, group và other cũng như chỉ ra kiểu thực thể là file hay thư mục.
Chú ý: group là group của owner.
Vd: ở dòng 4 . ký tự “d” ở đầu dòng miêu tả đây là một thư mục. tài khoản root có quyền đọc, ghi,
thực thi trong thư mục này.
Trường 2: đây là trường chỉ ra số hard link của file hoặc thư mục. Hard link là một bản sao của file
hoặc thư mục chúng có cùng số inode nhưng và nội dung của nó giống hệt với file hoặc thư mục
sinh ra hard link đó.
Vd: ở dòng 2 thư mục “..” có 9 hard link chỉ tới nó. Trong linux thư mục “..” ám chỉ đó là thư mục
cha của thư mục hiện tại.
Trường 3: chỉ ra owner của file hoặc thư mục.
Trường 4: chỉ ra nhóm owner của file hoặc thư mục.
Trường 5: chỉ ra kích cỡ của thư mục hoặc file. Đơn vị tính là Byte.
Trường 6: thời gian cuối cùng file hoặc thư mục bị chỉnh sửa.
Trường 7: tên file hoặc thư mục.
II. Những đặc quyền nâng cao đối với file trong Linux.
Ký tự Quyền Miêu tả quyền
-----------------------------------------------------
r Đọc Có thể mở và đọc nội dung file.
w Viết Có thể chỉnh sửa thêm vào và xóa file.
x Thực thi Có thể thực thi file nếu nó là một chương
trình hoặc một shell script.
s Đặc quyền Khi cờ này được bật nó sẽ gán quyền cho
tất cả mọi người bằng việt setuid hay setgid
- Cấm Không được làm bất cứ việc nếu cờ này bật.
2.1 Cờ “S” được đặt trên owner
Nó sẽ cho phép mọi tài khoản có thể dùng quyền của owner để chạy chương trình.
Ví dụ: Minh hoa cho việc bật quyền s.
root@binbin:~# ls -ld /etc/passwd /etc/shadow /usr/bin/passwd
-rw-r--r-- 1 root root 1207 2010-04-25 04:33 /etc/passwd
-rw-r----- 1 root shadow 1142 2010-04-25 04:33 /etc/shadow
-rwsr-xr-x 1 root root 41292 2009-07-31 09:55 /usr/bin/passwd
Ta thấy file /etc/passwd và /etc/shadow chỉ có root mới có quyền được đọc và viết. tuy nhiên câu
lệnh /usr/bin/passwd lại cho phép user thay đổi password của chính mình mà việc thay đổi này sẽ
làm cho 2 file /etc/passwd và /etc/shadow thay đổi. Tức là mỗi khi một user bình thường bất kỳ
nào không phải là root muốn thay đổi password của mình cũng đều phải viết lại file /etc/passwd và
/etc/shadow. Mà hai file này user đó lại không có quyền viết lên. Rất may là trong trường hợp này.
/usr/bin/passwd đã được bật cờ “s”. Tức là khi user A dùng /usr/bin/passwd thì câu lệnh này sẽ lấy
uid là root để thực thi việc thay đổi nội dung trong 2 file trên thông qua hàm setuid.
IV. Umask
Đây là một khái niệm đặc thù của Linux. Trong Linux nó sử dụng mặt lạ (Umask) để tạo quyền
mặc định khi một file hoặc một thư mục được tạo ra. Mặc định thì Umask được đặt là 022. khi một
file hoặc một thư mục được tạo ra nó sẽ lấy quyền ngược lại với umask tức là 644. Điều này tương
được với 1 file hoặc thư mục tạo ra sẽ có quyền đọc và ghi với owner, quyền đọc với group và
other.
V. Các câu lệnh thay đổi quyền của người dùng và nhóm người dùng.
· Lệnh chmod thay đổi quyền của người dùng và nhóm người trên file và thư mục.
Vd: #chmod o+x test1
Cho phép tất cả mọi người dùng có quyền thực thi với file test1.
· Lệnh chown thay đổi owner của file hoặc thư mục.
Vd: #chown user1 test1
Đổi owner của file test1 là user1
· Lệnh chgrp thay đổi nhóm owner của file hoặc thư mục.
Vd: #chgrp group1 test1
Lệnh này thay đổi nhóm group1 làm group owner cho file test1.
Note: chú ý là hầu hết các lệnh này đều được chạy bởi tài khoản root
Câu 14: Nêu vắn tắt các giải pháp an toàn cho mạng không dây?
1. Xác thực hệ thống mở
Xác thực Hệ thống mở được xem như phương pháp xác thực mặc định của chuẩn IEEE 802.11
thời kì đầu. Các bước xác thực được tiến hành như sau:
1.Client truyền một khung xác thực chứa mã chỉ ra rằng phương pháp xác thực được sử dụng sẽ là
OSA về phía AP.
2.AP sau khi nhận được khung xác thực này sẽ truyền một bản tin ACK báo nhận về phía client.
3.Sau đó AP sẽ truyền tiếp một khung xác thực về phía client để chỉ ra rằng quá trình xác thực là
hợp lệ.
4.Client sau khi nhận được khung xác thực này sẽ truyền một bản tin ACK báo nhận về phía AP.
Đến đây toàn bộ quá trình xác thực đã thành công.
Tuy nhiên, trong xác thực hệ thống mở tính an toàn được cung cấp rất thấp và đây là thành phần
ngầm định của các thiết bị không dây
2. Xác thực khóa chung
Xác thực khóa chung sử dụng WEP cho quá trình xác thực. Khi sử dụng xác thực khóa chung, cả
client và AP phải dùng chung một khóa WEP. AP lưu trữ nhiều khóa WEP vì vậy các client có thể
kết nối tới cùng một AP bằng các khóa WEP khác nhau. Các bước xác thực được tiến hành như
sau:
1.Đầu tiên, client gửi một khung xác thực về phía AP để chỉ ra rằng xác thực SKA sẽ được sử
dụng.
2.AP sau khi nhận được khung xác thực này sẽ gửi bản tin ACK báo nhận về phía client.
3.Tiếp theo, AP gửi một khung xác thực trong đó có chứa 128 octet dưới dạng cleartext về phía
client.
4.Client sau khi nhận được khung xác thực này sẽ gửi bản tin ACK báo nhận về phía AP.
5.Client sẽ mã hóa 128 octet này bằng khóa WEP của mình sau đó gửi chúng về phía AP trong
một khung xác thực tiếp theo.
6.AP sau khi nhận được khung xác thực này sẽ gửi bản tin ACK báo nhận về phía client.
7.AP sẽ giải mã đoạn 128 octet nhận được từ client và so sánh với 128 octet gốc của minh. Nếu
chúng giống nhau, AP sẽ trả lời bằng việc gửi một khung xác thực cuối cùng về phía client để
khẳng định xác thực thành công. Trường hợp ngược lại, nếu chúng không trùng khớp, AP sẽ báo
xác thực lỗi.
8.Bước cuối cùng, client sau khi nhận được trả lời từ phía AP, sẽ gửi bản tin ACK báo nhận.
3.Mã hóa
* Mã hóa WEP
WEP là phương pháp mã hóa lớp 2 sử dụng thuật toán mã hóa dòng RC4. WEP ra đời nhằm ba
mục đích chính:
- Đảm bảo tính bảo mật
- Điều khiển truy nhập
- Toàn vẹn dữ liệu.
Quá trình mã hóa WEP diễn ra như sau: Đầu tiên, WEP chạy thuật toán CRC trên dữ liệu gốc để
tạo ra giá trị ICV, giá trị này sau đó được gắn vào phía sau của phần dữ liệu. Một giá trị IV 24 bit
được tạo ra và kết hợp với khóa tĩnh. WEP sau đó sẽ sử dụng một bộ tạo số giả ngẫu nhiên với đầu
vào là giá trị IV và khóa tĩnh nhằm tạo ra một chuỗi số mới. Chuỗi số này có cùng độ dài với phần
dữ liệu cần mã hóa. Tiếp theo chúng được đưa kết hợp lại với nhau bằng thuật toán XOR. Kết quả
chính là dữ liệu đã được mã hóa. Phần dữ liệu mã hóa này sẽ được gắn thêm tiền tố là giá trị IV 24
bit dưới dạng cleartext. Cuối cùng, chúng được phát đến phía thu.
Tại phía thu, giá trị IV được tách ra, kết hợp với khóa tĩnh, thông qua bộ tạo số giả ngẫu nhiên,
cũng sinh ra một chuỗi số giống như bên phát. Chuỗi số này sẽ được dùng để tìm ra dữ liệu gốc
ban đầu bằng việc XOR ngược cùng với chuỗi dữ liệu mã hóa đã nhận được.
* Mã hóa TKIP
TKIP là một phương pháp mã hóa tùy chọn theo chuẩn IEEE 802.11i. TKIP được xem như một sự
mở rộng của WEP, khắc phục hoàn toàn những điểm yếu mà WEP mắc phải. TKIP sử dụng 128
bit khóa tĩnh kết hợp với 48 bit IV, địa chỉ MAC nguồn, MAC đích nhằm tạo ra một khóa phức
hợp, có giá trị khác nhau đối với từng gói tin. TKIP đã ngăn chặn được hai điểm yếu của WEP là
Xung đột giá trị IV và Khóa yếu. TKIP cũng sử dụng phương pháp đếm số thứ tự để chống lại việc
bơm gói tin mà kẻ tấn công hay lợi dụng. TKIP tính toán mã toàn vẹn bản tin MIC dựa trên thuật
toán Michael, do đó đảm bảo gói tin không bị thay đổi.
* Mã hóa CCMP
CCMP được xem như là phương pháp mã hóa mặc định theo chuẩn IEEE 802.11i. Phương pháp
này sử dụng thuật toán mã hóa tiên tiến AES (thuật toán Rijndael). CCMP/AES sử dụng khóa có
độ dài 128 bit để mã hóa mỗi khối dữ liệu cũng có chiều dài cố định là 128 bít. Mã kiểm tra tính
toàn vẹn của bản tin 8 bit MIC được đánh giá là mạnh hơn so với của TKIP. Bởi vì thuật toán mã
hóa AES là rất mạnh nên việc mã hóa trên từng gói tin là không cần thiết.
Câu 15: Khái niệm về an toàn vật lý? Vai trò của việc thiết lập các biện pháp an toàn vật lý
đối với an toàn hệ điều hành?
+ khái niệm: Trươc hết truy cập vật lý là yếu tố đơn giản và quan trọng cần quan tâm khi bảo vệ
máy tính và các thiết bị mạng, việc giới hạn các truy cập vât lý giảm bớt cơ hội cho kẻ tấn công
truy cập trực tiếp vào máy tính hoặc thiết bị mạng và các nguy cơ. điều này cũng giảm nguy cơ
gặp rủi ro khi một người dung nào đó tình cờ vượt qua máy pháo đài hoặc khoá bàn phím.
Ngoài ra an toàn vật lý còn bao gồm cả sự xác định vị trí của máy tính hoặc các thiết bị mạng
trong một toà nhà với nhưg đặc trưng xây dựng của toà nhà đó. Các máy tính quan trọng nên đc
đặt ở những khu vực không chỉ được bảo vệ bởi những nguy cơ đến từ con người mà còn các nguy
cơ lien quan đến xâyn dựng nếu như có thể.
*Như đã biết, hệ thống máy tính lưu giữ rất nhiều thông tin và tài nguyên cần được bảo vệ. Trong
một công ty, những thông tin và tài nguyên này có thể là dữ liệu kế toán, thông tin nhân lực, thông
tin quản lý, bán hàng, nghiên cứu sáng chế,... thông tin về nhà máy, thông tin về các hệ thống
nghiên cứu. Đối với nhiều công ty, toàn bộ dữ liệu quan trọng của họ thường được lưu giữ trong
một csdl và được quản lý và đươc sử dụng bởi một chương trình phần mềm. các tấn công vào hệ
thống có thể xuất phát từ những đối thủ kinh doanh, khách hàng, hay những nhân viên biến chất
của chính cty mình. Do vậy an toàn vật lý chiếm vai trò quan trọng.
+ Vai trò của việc thiết lập các biện pháp an toàn vật lý đối vơí an toàn hệ điều hành:
- An toàn dữ liệu máy chủ, máy trạm.
- Bảo vệ thông tin và tài khoản người dùng tránh bị đánh cắp trực tiếp, và bị lợi dụng khi chưa
thoát khỏi hệ thống.
- Bảo vệ những thông tin nhạy cảm của hệ thống
- An toàn cho hệ thống mạng.
- Giảm các nguy cơ truy cập, tấn công trực tiếp vào mạng hoặc thiết bị mạng, gây ra các nguy cơ,
hỏng hóc đáng tiếc xảy ra.
Câu 16: Khái niệm an toàn sử dụng các biện pháp dự phòng? Liệt kê một số biện pháp dự
phòng phổ biến cho các hệ thống mạng và máy chủ? vai trò của chúng trong lĩnh vực an
toàn?
Khái niệm an toàn sử dụng các biện pháp dự phòng là sử dụng các biên pháp phòng chống để
tránh các trường hợp sáu nhất có thể xảy ra với hệt thống của mình để hệ thống vẫn có thể hoạt
động hoặc giảm nhẹ thiệt hại khi có loi xảy ra .
Một số biện pháp dự phòng phổ biến cho các hệ thống mạng và máy chủ:
1. Lựa chọn và sử dụng UPS
-Nguồn điện của máy tính
vai trò: giảm thiểu sai sót tốt nhất để ngăn chặn các vấn đề phát sinh do nguồn điện
2. Tạo dư thừa phần cứng và chịu lỗi
2.1 sử dụng các thành phần dư thừa
NIC (network interface card)
Nguồn điện của máy tính:
2.2 Sử dụng hệ đa xử lý
- Hệ đa xử lý là hệ thống có khả năng chạy cùng lúc nhiều bộ xử lý trung tâm
Các máy tính nhiều bộ xử lý đối xứng SMP có hai, bốn, tám hoặc nhiều bộ xử lý để chia sẻ các
tiến trình được nạp vào giúp tăng tốc độ làm việc của máy
2.3 Cụm máy chủ (clustering Servers)
2.4 Sử dụng các kho dữ liệu
2.5 Đặt các server ở các vị trí địa lí khác nhau
vai trò: Giúp hê thống vẫn hoát động ổn định khi xảy ra các lỗi đã dự phòng . làm cho hê thống
được hoat động ổn định hơn
3. Sử dụng hệ thống RAID
3.1. Ổ đĩa dự phòng: sử dụng phương pháp ánh xạ ổ đĩa
3.2 Hệ thống đĩa dự phòng RAID
RAID là tập các chuẩn cho phép kéo dài hoạt động của ổ đĩa và ngăn chặn mất dữ liệu
4. Sao lưu dự phòng
Backup (Sao lưu dự phòng) là tiến hành sao lưu dữ liệu theo lịch nhất định và thường xuyên.
Nhằm đảm bảo dữ liệu luôn có bản dự phòng khi dữ liệu chính có thể mất.
-Một vài kĩ thuật sao lưu dự phòng
Sao lưu nhị phân (binary backup)
Sao lưu toàn bộ từng tệp
Sao lưu một phần (kỹ thuật vi sai và tăng)
Vai trò: Sao lưu dụ phòng làm giảm thiêu sự mất mát dư liệu và có thể khôi phục dư liệu khi hệ
thống gặp sự số