Chúng ta có thể dựa bao nhiêu vào quyền hệ thống tập tin để bảo mật?


31

Câu hỏi của tôi là về các quyền của hệ thống tập tin (cụ thể là các quyền kiểu Unix) và cách chúng liên quan đến bảo mật.

Giả sử tôi có quyền truy cập vào máy tính có tài khoản người dùng khách và người dùng tên Bob. Tôi không biết mật khẩu của Bob, nhưng tôi có thể sử dụng tài khoản khách. Tài khoản khách hoàn toàn không có quyền đọc cho tất cả các tệp của Bob, vì vậy tôi không thể đọc bất kỳ tệp nào của Bob khi đăng nhập với tư cách khách.

Tuy nhiên, từ góc độ thực sự của đối thủ trực tuyến, tôi có toàn quyền truy cập vào đĩa không được mã hóa này. Tôi có thể hình ảnh nó, lưu nó để sử dụng sau, chạy một số HĐH khác để đọc các tệp của Bob trong khi bỏ qua các cài đặt quyền hệ thống tệp.

Từ đây, tôi nhận được câu hỏi:

  1. Một thiết lập quyền hệ thống tập tin trên một đĩa không được mã hóa chỉ là một cờ, đúng không? Và điều duy nhất ngăn tôi đọc các tệp mà tôi không có quyền là thực tế là HĐH sẽ nói rằng Oh Oh, bạn không thể đọc được điều đó, bạn không có quyền. Tập tin đó vẫn còn trên đĩa ở dạng thô và tôi có thể đọc nó bằng cách bỏ qua các cờ hệ thống tập tin (giả sử, thông qua một số HĐH có khả năng khởi động mờ mà chỉ cần bỏ qua các quyền). Đây có phải là tất cả chính xác?

Bây giờ hãy nói rằng tôi không có quyền truy cập trực tiếp vào đĩa và tôi chỉ ssh-ing vào một máy. Tôi không được phép đọc bất kỳ tập tin nào của Bob. Thật sự không có gì tôi có thể làm về nó, đúng không?

  1. Với các quyền hạn chế của mình, tôi chỉ đơn giản là không thể truy cập các tệp của Bob cho dù tôi có cố gắng thế nào, phải không? Điều gì xảy ra nếu tôi sử dụng một số khai thác để có quyền truy cập root? Bây giờ tôi có thể bỏ qua các cờ cho phép của HĐH không? Đây có phải là một điều từng xảy ra?

4
vâng và vâng bạn xuất hiện để hiểu chính xác các khái niệm liên quan. Một sự leo thang của cuộc tấn công riêng tư sẽ được yêu cầu để bỏ qua các quyền nếu bạn không thể có quyền truy cập vật lý vào hệ thống.
Frank Thomas

2
Sẽ không phải là một ý tưởng tốt để di chuyển này sang Security.SE ? Có vẻ như nơi hợp lý hơn cho nó.
Chris Cirefice

3
@ChrisCirefice Việc tìm hiểu sâu hơn về khái niệm bảo mật sẽ đảm bảo cho việc di chuyển. Nhưng đây là một câu hỏi rất cơ bản về sự hiểu biết về quyền hệ thống tệp và vai trò cụ thể của chúng trong khái niệm bảo mật hệ thống, vì vậy nó áp dụng cho Siêu người dùng này nhiều hơn nữa.
Jake

Câu trả lời:


31

Câu trả lời ngắn hơn.

Nếu bạn có quyền truy cập vật lý vào hệ thống máy tính, PC PC hoặc hệ thống lưu trữ dữ liệu, và bảo vệ duy nhất tại chỗ là các quyền của tập tin, bạn không được bảo vệ 100%.

Dữ liệu không được mã hóa đó có thể được sao chép và sao chép với nỗ lực tối thiểu mà hầu như không có công cụ nào ngoài việc có một thiết bị khác mà bạn có thể nối vào ổ đĩa hệ thống để tạo một bản sao của dữ liệu.

Và vâng, có khả năng một số khía cạnh chứng minh của sự thâm nhập vật lý có thể cần được đưa vào truy cập ở cấp độ vật lý; giống như đảm bảo rằng không có dấu vân tay nào bị bỏ lại phía sau và bất kỳ con dấu nào của tamper rõ ràng cũng bị xử lý. Nhưng thành thật mà nói, phần lớn các hệ thống ngoài kia có thể xóa ổ đĩa của chúng để lấy bản sao dữ liệu vật lý với người dùng cuối không bao giờ biết gì hơn. Nếu bạn có ổ đĩa, bạn có ổ đĩa và sau đó bạn có dữ liệu nếu nó không được mã hóa.

Đây là lý do tại sao mã hóa trên mỗi người dùng hoặc mã hóa toàn bộ đĩa là một điều lớn như vậy ngày nay; máy tính xách tay các thiết bị máy tính cầm tay khác là một phần lớn của thị trường hiện nay, nguy cơ mất dữ liệu từ hành vi trộm cắp thiết bị hoặc mượn máy tính thông thường cao hơn nhiều so với trước đây.

Nếu đĩa không được mã hóa, dữ liệu trên đó là một cuốn sách mở sẵn sàng để đọc. Khái niệm này không giới hạn ở các máy Linux / Unix mà bất kỳ HĐH nào ở bất cứ đâu; nếu bạn có quyền truy cập vật lý vào một hệ thống không được mã hóa, bạn có hệ thống đó.

Điều đó nói rằng, quyền tập tin một biện pháp bảo mật hữu ích cho các loại máy chủ từ xa.

Câu trả lời dài hơn.

Câu hỏi của tôi là về các quyền của hệ thống tập tin (cụ thể là các quyền kiểu Unix) và cách chúng liên quan đến bảo mật.

Đầu tiên, hãy ghi nhớ bảo mật trên máy tính, và mọi thứ, đây thực sự chỉ là một công cụ răn đe làm chậm mọi thứ và không nhất thiết phải cung cấp bảo mật tuyệt đối.

Ví dụ, phần bảo mật yếu nhất trong bất kỳ tòa nhà vật lý nào là cánh cửa bạn phải mở khi vào / ra hoặc cửa sổ bạn phải mở để cho phép không khí vào. Vâng, bạn có thể khóa cửa và cửa sổ và cài đặt báo thức nhưng nếu có ai đó thực sự muốn truy cập vào một thứ gì đó và họ có thời gian, tài nguyên, sự giàu có và nỗ lực để theo đuổi nó, họ sẽ có quyền truy cập vào nó.

Giả sử tôi có quyền truy cập vào máy tính có tài khoản người dùng khách và người dùng tên Bob. Tôi không biết mật khẩu của Bob, nhưng tôi có thể sử dụng tài khoản khách. Tài khoản khách hoàn toàn không có quyền đọc cho tất cả các tệp của Bob, vì vậy tôi không thể đọc bất kỳ tệp nào của Bob khi đăng nhập với tư cách khách.

Vấn đề ở đây là bối cảnh truy cập. Nếu bạn có quyền truy cập vật lý vào máy tính, hầu như mọi thứ đều có thể. Nhưng nếu bạn chỉ được kết nối qua kết nối từ xa qua mạng của một số loại thì thì quyền sở hữu hệ thống tệp chắc chắn là một phương pháp bảo mật hiệu quả. Và trong trường hợp máy chủ Linux / Unix, quyền và quyền sở hữu là hình thức bảo mật hiệu quả để ngăn chặn sự xâm nhập từ xa.

Đó là lý do tại sao trong thế giới Linux / Unix, rootquyền truy cập vào một hệ thống từ xa được coi là một giải thưởng lớn như vậy. Đạt được rootmột hệ thống từ xa và sau đó bạn đã thực sự làm một cái gì đó cho phép bạn truy cập nhiều hơn mà không cần phải đi vào một trung tâm dữ liệu và sao chép một ổ đĩa.

Tuy nhiên, từ góc độ thực sự của đối thủ trực tuyến, tôi có toàn quyền truy cập vào đĩa không được mã hóa này. Tôi có thể hình ảnh nó, lưu nó để sử dụng sau, chạy một số HĐH khác để đọc các tệp của Bob trong khi bỏ qua các cài đặt quyền hệ thống tệp.

Vâng. Chính xác. Nếu bạn có quyền truy cập vật lý vào máy, thì hãy giải thích ngay từ đầu. Tất cả các cược đã tắt. Bạn có thể có quyền truy cập vào các tệp và thư mục do người khác sở hữu bằng cách tạo một hình ảnh của đĩa đĩa hoặc thậm chí chỉ theo đuổi nội dung thô của ổ đĩa mà không cần nỗ lực kỹ thuật sâu.

Bất cứ ai, ví dụ, người vay tiền cho bạn mượn máy tính cá nhân của họ và thiết lập một tài khoản mới cho bạn mà không nghĩ đến kịch bản này về cơ bản là cho đi bất kỳ dữ liệu cá nhân nào họ có trên máy mà không thực sự biết.

Hơi tiếp tuyến, nhưng tôi nghĩ đây là lý do tại sao rất nhiều người dùng bình thường tặng PC cũ mà không thực hiện một nỗ lực nhỏ nhất để xóa dữ liệu trên ổ đĩa. Họ thiết lập mật khẩu người dùng và họ cho rằng việc giữ dữ liệu của họ an toàn đến mức họ chỉ có thể ném ổ đĩa vào thùng rác và không suy nghĩ kỹ. Khi thực tế không có mã hóa thực sự hoặc xóa sạch dữ liệu, bất kỳ ổ đĩa nào bị vứt vào thùng rác hoặc được sử dụng có thể được đọc bởi bất cứ ai ở bất cứ đâu mà không cần nhiều nỗ lực kỹ thuật nặng nề.


6
Tôi nghĩ rằng câu trả lời này bỏ lỡ một cái gì đó khá rõ ràng đó là đáng nói. Bảo mật không chỉ là bảo mật tính toán. Các mô hình đe dọa cũng quan trọng, bởi vì những kẻ tấn công là con người: những kẻ tấn công thường muốn tránh để lại dấu vết. Nếu bạn cấp cho ai đó quyền truy cập vật lý vào thiết bị nhưng bạn thực hiện theo cách mà thiết bị không thể bị can thiệp mà không để lại dấu vết (bất cứ điều gì từ dấu vân tay đến dấu hiệu giả mạo đến việc phá hủy thiết bị trong quá trình thao tác), thì nó thực sự có thể tăng bảo mật hệ thống của bạn mặc dù thực tế là dữ liệu có thể truy cập được.
Mehrdad

@Mehrdad Nhận xét này có thể có ý nghĩa trong một cuộc thảo luận lớn hơn về bảo mật và bảo vệ chống truy cập, nhưng câu hỏi này và câu trả lời liên quan của tôi tập trung vào các khái niệm chung về quyền hệ thống tệp logic so với quyền truy cập vật lý cơ bản vào hệ thống. Và trong trường hợp đó, những lo ngại về dấu vân tay và các nhà sản xuất giả mạo chỉ là phỏng đoán của một kịch bản giả tưởng. Nếu một người có quyền truy cập vật lý vào dữ liệu không được mã hóa, họ có quyền truy cập vật lý vào dữ liệu không được mã hóa và 9 lần trong số 10 người đó không phải là một tên trộm / gián điệp chính chủ của Edward để truy cập dữ liệu đó vào thời điểm đó.
JakeGould

15

Ba điểm của bạn:

  1. Nếu bạn là SSH như một người dùng thông thường, bạn không có quyền truy cập vào thiết bị đĩa thô. Bạn thường cầnroot hoặc cho phép truy cập các thiết bị đĩa thô và logic.

  2. Nếu bạn nhận được root thông qua khai thác, thì bạn là người dùng mạnh nhất trên hệ thống và có quyền truy cập vào hầu hết mọi thứ, kể cả thiết bị. Vì bạn đã root, bạn có thể truy cập trực tiếp các tệp của Bob, do đó không cần truy cập vào thiết bị đĩa.

  3. Nhịp truy cập vật lý root. Root là một lớp logic. Bạn có thể bỏ qua nó với quyền truy cập vật lý vào đĩa. Điều này bao gồm tải đĩa nói trong một hệ điều hành riêng biệt nơi bạn đã root.

Tất nhiên, các hệ thống được cho là cứng đối với việc rootkhai thác, nhưng khai thác mới xuất hiện hàng ngày. Không có hệ thống nào an toàn 100% nhưng bạn có thể bảo mật cho các mục đích thực tế bằng cách giới hạn quyền truy cập.

Quyền hệ thống tệp chỉ được dự kiến ​​sẽ hoạt động trong các tình huống truy cập của Người dùng bị giới hạn, trong đó HĐH không bị xâm phạm. Đó là một hệ thống "giữ trung thực (và điển hình) người dùng trung thực", như khóa xe đạp. Nó hoạt động để ngăn chặn "tội ác của cơ hội" nhiều hơn là không bảo vệ an toàn toàn diện.


Quy tắc cho phép của FS là khá mạnh mẽ. Chúng hoạt động miễn là không có kẻ tấn công nào có quyền root. Các ngữ nghĩa hệ thống tập tin POSIX (và các phần mở rộng dành riêng cho Linux) được thiết kế cẩn thận để không mở ra nhiều quyền truy cập hơn mức bạn có thể nhận được chỉ với open(2). ví dụ: linkat(2)cho phép bạn tạo một mục nhập thư mục cho một bộ mô tả tệp đang mở, nhưng chỉ khi số lượng liên kết chưa bằng 0, do đó, quá trình nhận FD mở cho một tệp đã xóa không thể liên kết lại với hệ thống tệp. Rõ ràng một kẻ tấn công nhận quyền truy cập root hoặc vật lý có nghĩa là bạn nướng bánh mì. Mã hóa giúp với vật lý nhưng không quá nhiều root.
Peter Cordes
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.