(Tiểu luận) đề tài tìm hiểu và triển khai kỹ thuật phápchứng trên hđh linux

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.76 MB, 16 trang )

<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

<b>BỘ CÔNG THƯƠNG </b>

<b>TRƯỜNG ĐẠI HỌC CÔNG THƯƠNG TP. HCMKHOA CÔNG NGHỆ THÔNG TIN</b>

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

<b>BỘ CÔNG THƯƠNG </b>

<b>TRƯỜNG ĐẠI HỌC CÔNG THƯƠNG TP. HCMKHOA CÔNG NGHỆ THÔNG TIN2033207505 – Nguyễn Văn Chung2033207527 – Nguyễn Duy Khang</b>

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

<b>Lời cam đoan</b>

Chúng em xin cam đoan đề tài : tìm hiểu và khai triển kỹ thuật pháp chứng trên linux là đề tài nghiên cứu và thực hiê Gn. Chúng em đã kiểm tra dữ liệu theo quy định hiện hành.

Kết quK làm bài tập cuối kì của mơn tìm hiểu và khai triển kỹ thuật pháp chứng trên linux là trung thực và khơng sao chép từ bất kỳ bài tập của nhóm khác.

Các tài liê Gu được sT dụng trong tập dự án lớn có nguVn gốc, xuất xứ rW ràng.

Ph m Lê Anạ

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

6. Công cụ nhật ký - Journal Tools...3

7. QuKn lý phân v_ng trên Linux...3

8. Tiến trình khởi động Linux và dịch vụ...4

9. Hệ thống Filesystem phân cấp trong Linux...4

<b>Quyền và các tập tin trong linux...4</b>

1. Quyền và thuộc tính files...4

2. Tập tin ẩn (Hidden files)...5

<b>Thư mục Home và Log files...5</b>

<b>A. Thư mục Home...5</b>

B. BKn ghi (Log Files)...5

<b>Cơ chế lập lịch (Scheduling Tasks)...6</b>

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

<b>Linux1. Khái niệm</b>

Linux không phKi hệ điều hành phổ biến nhất, phần lớn các máy laptop và desktop chạy hệ điều hành Windows nhưng Linux lại rất phổ biến trên các máy

Hệ điều hành Linux hiện có các nhánh Ubuntu, Fedora, CentOS..., và chủ yếu được phát triển bởi cộng đVng mã nguVn mở trên khắp thế giới.

Linux hiện sT dụng rộng rãi trên các Server và trên máy tính cá nhân với khá nhiều phần mềm hỗ trợ phong phong phú.

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

<b>2. Hệ thống tập tin trong Linux</b>

Các hệ thống Linux hiện nay phần lớn sT dụng hệ thống tập tin Ext3 kế thừa từ

• <b>Super Block</b>: là một cấu trúc được tạo tại vị trí bắt đầu hệ thống tập tin. Nó lưu trữ thơng tin về hệ thống tập tin như: block-size, free block, thời gian gắn kết (mount) cuối c_ng của tập tin.

• <b>Inode </b>(256 byte): Lưu những thông tin về những tập tin và thư mục được tạo ra trong hệ thống tập tin.

• <b>Storageblock</b>: Là v_ng lưu dữ liệu thực sự của tập tin và thư mục. Nó chia thành những Data Block. Mỗi block thường chứa 1024 byte. Ngay khi tập tin chx có 1 ký tự thì cũng phKi cấp phát 1 block để lưu nó.

<b>4. Các loại tập tin trong Linux </b>

<b>Tập tin dữ liệu: Đây là tập tin theo định nghĩa truyền thống, nó là dữ liệu lưu</b>

trữ trên các thiết bị lưu trữ như đĩa cứng, CD-ROM,…

• <b>Tập tin thư mục</b>: Thư mục khơng chứa dữ liệu, mà chx chứa các thông tin của những tập tin và thư mục con trong nó. Thư mục chứa hai trường của một tập tin là tên tập tin và inode number.

<b>5. Các tập tin thiết bị </b>

<b>Tập tin thiết bị: Hệ thống Unix và Linux xem các thiết bị như là các tập tin.</b>

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

<b>Đơn vị dữ liệu - Data unit : Đơn vị dữ liệu trong hệ thống tập tin Ext được gọi</b>

là khối (block). Kích thước mỗi block: 1, 2 hoặc 4K

<b>Siêu dữ liệu - Metadata</b>

<b>Metadata: là dữ liệu mô tK file, nó cho biết vị trí lưu trữ các file, kích thước</b>

file, thời gian đọc và ghi dữ liệu vào file, các thơng tin điều khiển truy nhập. • <b>(M)odified: </b>Là thời gian cập nhật các nội dung của tập tin hoặc thư mục được sTa đổi.

• <b>(A)ccessed: </b>Được cập nhật khi các nội dung của tập tin hoặc thư mục được đọc.

• <b>(C)hanged: </b>Mốc thời gian khi dữ liệu được chxnh sTa • <b>(D)eleted: </b>Cập nhật khi tập tin bị xóa.

<b>6. Cơng cụ nhật ký - Journal Tools</b>

Là thành phần chx có trên Ext3 mà Ext2 khơng có.

Nhiệm vụ chính là ghi lại thay đổi metadata trên mỗi block được đánh thứ tự Journal bắt đầu với một block mơ tK, sau đó tới 1 hay nhiều block dữ liệu, cuối c_ng là block xác nhận kết thúc.

<b>7. Quản lý phân vqng trên Linux</b>

Một hệ thống Linux có 1 hoặc nhiều phân v_ng được quKn lý bởi LVM (Logical volume Manager), được xác định bởi lệnh fdisk -l

• Sự hiện diện của 1 phân v_ng LVM được xác định bằng cách kiếm kiểu phân v_ng 8e

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

<b>8. Tiến trình khởi động Linux và dịch vụ </b>

Q trình khởi động được mơ tK ngắn gọn qua 4 bước như sau: •Nạp bộ khởi động, tKi kernel ở thư mục /boot

• RAM nạp tập tin init.d chứa trình điều khiển thiết bị và module hệ thống tập tin.

• Kernel nạp hệ thống phần cứng. Sau đó, kernel nạp hệ điều hành và bắt đầu tiến trình /sbin/init.

• Khi init khởi động, có 2 cách khởi động để hồn tất q trình khởi

<b>động: Syste V và BSD</b>

<b>Dịch vụ : thường được sT dụng chính là System V và BSD (Berkeley Software</b>

<b>9. Hệ thống Filesystem phân cấp trong Linux</b>

Tất cK tập tin/thư mục tVn tại dưới thư mục gốc “/”. • Các hệ thống tập tin như ổ đĩa di động, máy chủ từ xa, đĩa cục bộ sẽ xuất hiện phân cấp và bên dưới hệ hệ

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

thống thư mục gốc (root)

<b>Quyền và các tập tin trong linux1. Quyền và thuộc tính files </b>

• Tập tin có thể: đọc (read), ghi (write), thực thi (exec)

• Quyền sở hữu tập tin, thư mục dựa vào UID (user id). GID (group id) • Thuộc tính có thể quan tâm khi điều tra gVm:

▪ (A): không cập nhật ▪ (a): chx thêm ▪ (i): bất biến

▪ (j): dữ liệu nhật ký được kích hoạt

• Khi thực hiện các công cụ pháp chứng phKi đKm bKo không làm Knh hưởng đến giá trị của thuộc tính.

<b>2. Tập tin ẩn (Hidden files)</b>

Trên hệ thống Linux, các tập tin ẩn được sT dụng bằng cách thêm vào đầu tên của tập tin bằng một dấu chấm “.”

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

Những tập tin mặc định sẽ không được hiển thị trong hầu hết các ứng dụng đV họa và tiện ích dịng lệnh.

Các tập tin ẩn và thư mục ẩn là cách rất thô sơ để che giấu dữ liệu và không được sT dụng công khai

• /tmp được gọi là “bãi rác Ko” của hệ thống Linux .

• Nó thường được d_ng cho các tập tin tạm thời của một user cụ thể. • Tất cK người d_ng có thể ghi dữ liệu ở thư mục này.

=> Là tiền đề cho kẻ tấn công đặt dữ liệu vào hệ thống trong khi hầu hết người d_ng không bao giờ kiểm tra sự tVn tại các tập tin xấu trong <b>▪ Id group của người d_ng : 500 </b>

▪ Tên đầy đủ của người sT dụng : (để trống)

<b>▪ Đường dẫn chính của thư mục người d_ng: /home/forensics </b>

Chương trình chạy lúc đăng nhập ban đầu (thường là shell mặc định

<b>của người d_ng) : /bin/bash </b>

<b>5. Tập tin /etc/shadow </b>

Hash password của các tài khoKn người d_ng thường được lưu trữ trong file “/etc/shadow” để giới hạn phạm vi tấn công cục bộ.

<b>Thư mục Home và Log files </b>

• Trên mơi trường GNOME, các thư mục mặc định của người d_ng là : Desktop, Documents, Downloads, Music, Pictures, Public, Templates, Video.

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

• Ngồi ra: Thư mục ssh chứa các tập tin liên quan tới việc sT dụng Secure Shell (ssh) của người d_ng.

• Khi người d_ng kết nối ssh với một máy chủ từ xa bằng tên máy hoặc địa chx IP và khóa cơng khai thì được ghi nhận vào file .ssh/known_hosts

Ngồi các thư mục “user-accessible” cịn có các tập tin và các thư mục ẩn. Một số có thể chứa dữ liệu pháp lý (được tự động tạo ra hoặc là do hành động của người d_ng)

Khi một tài khoKn người d_ng bị xóa khỏi hệ thống Unix, các thư mục, tập tin lưu vết có thể cịn sót lại. Khi đó tìm kiếm trong các thư mục bổ sung trong thư mục “/home” có thể cịn chứa dữ liệu người d_ng cũ.

• Thư mục ẩn <b>“.gconf” </b>chứa các tập tin cấu hình ứng dụng GNOME khác nhau theo cấu trúc thư mục.

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

• Điển hình là thư mục <b>“.gconf/apps/nautilus/desktopmetadata/,” </b>chứa các thư mục con cho bất kỳ phương triện truyền thông nào xT lý bởi GNOME qua các tập tin <b>“%gconf.xml”</b>.

<b>Bản ghi (Log Files) </b>

• Thường được lưu trữ trong văn bKn rW ràng, với 1 dịng cho mỗi sự kiện. • Bao gVm 2 kiểu chính:

+ Các bKn ghi được tạo ra bởi người sT dụng hoặc do các hoạt động theo dWi.

+ Các bKn ghi được tạo ra bởi hoạt động hệ thống.

• Thơng tin phân tích đăng nhập của người d_ng trên hệ thống Linux được lưu trữ trong 3 tập tin chính:

<b>+ “/var/run/utmp,” + “/var/log/wtmp,” + “/var/log/lastlog. ” </b>

• Ngồi ra cịn có <b>Syslog</b>, hoạt động trên mơ hình clientserver, cho phép sự kiện được ghi lại để điều khiển từ xa.

• Syslog được truyền qua giao thức UDP (các nguVn tin không được xác thực và khơng tin cậy), có thể giúp cho kẻ tấn công giK mạo tin nhắn từ xa vào Syslog/var/run/wtmp

<b>Cơ chế lập lịch (Scheduling Tasks) </b>

Hệ thống Linux có 2 cơ chế chính để lên lịch cho một cơng việc thực thi trong tương lai:

• <b>Tại một thời điểm</b>:

Chạy nhiệm vụ 1 lần, tại 1 thời điểm cụ thể trong tương lai. • <b>Định kỳ</b>:

Thực hiện lặp đi lặp lại quy trình theo chu kỳ (hàng giờ, ngày, tháng,…)

</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">

• Bất kỳ hoạt động dự kiến nào được người d_ng chọn sẽ được tìm thấy trong

<b>“/var/spool/cron,”. Và có thể xem các tiến trình định kỳ qua các thư mục</b>

tương ứng như:

<b>“/etc/cron.daily,” “/etc/cron.weeskly,” “/etc/cron.monthly. ” </b>

• Có thể nói đây cũng là đích nhắm của nhiều kẻ tấn cơng vì có thể lợi dụng cơ chế này để tấn cơng, duy trì hoạt động của hệ thống sau khi đã bị xâm nhập.

</div>