সুরক্ষার জন্য আমরা ফাইল সিস্টেমের অনুমতিগুলিতে কতটা নির্ভর করতে পারি?

31

আমার প্রশ্নটি ফাইল সিস্টেমের অনুমতি সম্পর্কে (বিশেষত ইউনিক্স শৈলীর অনুমতি) এবং কীভাবে তারা সুরক্ষার সাথে সম্পর্কিত is

বলুন আমার কাছে অতিথির ব্যবহারকারীর অ্যাকাউন্ট এবং বব নামে একজন ব্যবহারকারীর কম্পিউটারে অ্যাক্সেস রয়েছে। আমি বব এর পাসওয়ার্ড জানি না, তবে আমি অতিথির অ্যাকাউন্টটি ব্যবহার করতে পারি। অতিথির অ্যাকাউন্টে বব এর সমস্ত ফাইলের জন্য কোনও পঠনের অনুমতি নেই, সুতরাং অতিথি হিসাবে লগ ইন করার সময় আমি ববরের কোনও ফাইল পড়তে পারি না।

তবে, সত্য "বিরোধী" দৃষ্টিকোণ থেকে আমার এই এনক্রিপ্ট না করা ডিস্কটিতে সম্পূর্ণ অ্যাক্সেস রয়েছে। আমি এটিকে চিত্র করতে পারি, এটি পরে সংরক্ষণ করতে পারি, ফাইল সিস্টেমের অনুমতি সেটিংস উপেক্ষা করার সময় বব এর ফাইলগুলি পড়ার জন্য অন্য কোনও ওএস চালাতে পারি।

এ থেকে, আমি প্রশ্নে উঠি:

  1. একটি এনক্রিপ্ট করা ডিস্কে একটি ফাইল সিস্টেমের অনুমতি সেটিংটি কেবল একটি পতাকা, সঠিক? এবং কেবলমাত্র আমার কাছে ফাইল নেই এমন ফাইলগুলি পড়তে বাধা দেওয়া হ'ল ওএস বলবে "ওহ, আপনি এটি পড়তে পারবেন না, আপনার অনুমতি নেই।" ফাইলটি এখনও ডিস্কে রয়েছে কাঁচা আকারে এবং আমি কেবল ফাইল সিস্টেম ফ্ল্যাগগুলি উপেক্ষা করে এটি পড়তে পারি (বলুন, কিছু ছায়াময় বুটেবল ওএসের মাধ্যমে যা অনুমতিগুলি উপেক্ষা করে)। সব কি ঠিক আছে?

এখন বলুন আমার কাছে ডিস্কটিতে সরাসরি অ্যাক্সেস নেই এবং আমি কেবল একটি মেশিনে এসএসএন-ইন করছি। আমার কাছে ববের কোনও ফাইল পড়ার অনুমতি নেই। এটি সম্পর্কে আমি কিছুই করতে পারি না, তাই না?

  1. আমার সীমিত অনুমতি দেওয়া, আমি বব এর ফাইলগুলিতে অ্যাক্সেস করতে পারি না যতই চেষ্টা করুক না কেন? আমি যদি কিছু ব্যবহার করে রুট অ্যাক্সেস পেতে ব্যবহার করি? আমি এখন ওএসের অনুমতি পতাকাগুলি বাইপাস করতে পারি? এটি কি কখনও ঘটে যা ঘটে?
security  permissions  filesystems  file-permissions 
দোলক
সূত্র
4
হ্যাঁ এবং হ্যাঁ আপনি সম্পর্কিত ধারণাটি সঠিকভাবে বুঝতে পারছেন। আপনি সিস্টেমে শারীরিক অ্যাক্সেস না পেতে পারলে অনুমতিগুলি বাইপাস করার জন্য প্রাইভিজ অ্যাটাকের বাড়াতে হবে required
ফ্রাঙ্ক থমাস
2
এটিকে সিকিউরিটি.এসইতে স্থানান্তরিত করা কি ভাল ধারণা হবে না ? এটি এর জন্য আরও যুক্তিসঙ্গত জায়গা বলে মনে হচ্ছে।
ক্রিস সাইরেফাইস
3
@ ক্রিসক্রাইফাইস সুরক্ষা ধারণাটি গভীরভাবে অনুশীলন করা হিজরতকে পরোয়ানা দেয়। তবে ফাইল সিস্টেমের অনুমতিগুলি বোঝার এবং সিস্টেম সুরক্ষার ধারণার ক্ষেত্রে তাদের নির্দিষ্ট ভূমিকা সম্পর্কিত এটি একটি খুব প্রাথমিক প্রশ্ন তাই এটি এই সুপার ব্যবহারকারীকে আরও বেশি প্রয়োগ করে।
জ্যাকগল্ড

উত্তর:

31

ছোট উত্তর।

আপনার যদি কোনও কম্পিউটার সিস্টেমে শারীরিক অ্যাক্সেস থাকে system পিসি বা ডেটা স্টোরেজ সিস্টেম place এবং কেবলমাত্র "সুরক্ষা" কেবলমাত্র ফাইলের অনুমতিই থাকে তবে আপনার 100% সুরক্ষা নেই।

সেই এনক্রিপ্ট করা ডেটা কমপক্ষে প্রচেষ্টার সাথে অনুলিপি করা এবং ক্লোন করা যেতে পারে অন্য কোনও ডিভাইস থাকা ছাড়া আপনি অন্য কোনও ডিভাইস রেখে ডেটা অনুলিপি করতে পারবেন drive

এবং হ্যাঁ, শারীরিক অনুপ্রবেশের সম্ভাব্য কিছু স্পষ্টত দিকগুলি শারীরিক স্তরে অ্যাক্সেসে সজ্জিত হওয়া প্রয়োজন; যেন কোনও আঙুলের ছাপ পিছনে না থাকে এবং কোনও "টেম্পার স্পষ্ট" সীলগুলিও এর সাথে মোকাবিলা করা হয় making তবে সত্যি কথা বলতে, বেশিরভাগ সিস্টেমে সিস্টেমগুলি তাদের ড্রাইভগুলি শারীরিকভাবে ডেটা ফিজিকাল কপির জন্য অপসারণ করতে পারে যার সাথে শেষ ব্যবহারকারীর আরও ভাল কিছু জানে না। আপনার যদি ড্রাইভ থাকে তবে আপনার ড্রাইভ রয়েছে এবং এটি যদি এনক্রিপ্ট না করা থাকে তবে আপনার কাছে ডেটা থাকে।

এজন্য প্রতি-ব্যবহারকারী এনক্রিপশন বা ফুল-ডিস্ক এনক্রিপশন আজকাল এত বড় জিনিস; ল্যাপটপগুলি অন্যান্য পোর্টেবল কম্পিউটিং ডিভাইসগুলি আজকাল বাজারের এত বড় অংশ, ডিভাইস চুরি বা পিসির নৈমিত্তিক fromণ গ্রহণের ফলে ডেটা হ্রাস হওয়ার ঝুঁকি অতীতে আগের তুলনায় অনেক বেশি।

যদি ডিস্কটি এনক্রিপ্ট না করা থাকে তবে এর উপর থাকা ডেটা পড়ার জন্য প্রস্তুত একটি খোলা বই। এই ধারণাটি লিনাক্স / ইউনিক্স মেশিনের মধ্যেই সীমাবদ্ধ নয়, যে কোনও জায়গায় যে কোনও ওএস; যদি আপনার একটি এনক্রিপ্ট না করা সিস্টেমে শারীরিক অ্যাক্সেস থাকে তবে আপনার কাছে সিস্টেমটি রয়েছে।

তাই বলা হয়, ফাইল অনুমতি দ্বারা সব ধরণের দূরবর্তী সার্ভারের জন্য একটি দরকারী নিরাপত্তা ব্যবস্থা।

দীর্ঘ উত্তর।

আমার প্রশ্নটি ফাইল সিস্টেমের অনুমতি সম্পর্কে (বিশেষত ইউনিক্স শৈলীর অনুমতি) এবং কীভাবে তারা সুরক্ষার সাথে সম্পর্কিত is

প্রথমত, কম্পিউটারগুলিতে সুরক্ষার কথা মাথায় রাখুন everything এবং সমস্ত কিছু a সত্যই কেবল একটি প্রতিরোধক যা জিনিসগুলি ধীর করে দেয় এবং অগত্যা নিখুঁত সুরক্ষা সরবরাহ করে না।

উদাহরণস্বরূপ, কোনও শারীরিক বিল্ডিংয়ের সুরক্ষার সবচেয়ে দুর্বল অংশটি প্রবেশ বা প্রস্থান করার সময় আপনার যে দরজাটি খুলতে হবে বা উইন্ডোটি বাতাস প্রবেশের জন্য আপনাকে যে উইন্ডোটি খুলতে হবে তা হ'ল, আপনি দরজা এবং উইন্ডো এবং সেটআপ অ্যালার্ম লক করতে পারেন তবে কেউ যদি সত্যই কোনও কিছুর অ্যাক্সেস চায় - এবং তাদের কাছে সময়, সংস্থান, সম্পদ এবং তা অনুসরণ করার প্রচেষ্টা রয়েছে — তারা এতে অ্যাক্সেস পাবে।

বলুন আমার কাছে অতিথির ব্যবহারকারীর অ্যাকাউন্ট এবং বব নামে একজন ব্যবহারকারীর কম্পিউটারে অ্যাক্সেস রয়েছে। আমি বব এর পাসওয়ার্ড জানি না, তবে আমি অতিথির অ্যাকাউন্টটি ব্যবহার করতে পারি। অতিথির অ্যাকাউন্টে বব এর সমস্ত ফাইলের জন্য কোনও পঠনের অনুমতি নেই, সুতরাং অতিথি হিসাবে লগ ইন করার সময় আমি ববরের কোনও ফাইল পড়তে পারি না।

এখানে সমস্যাটি অ্যাক্সেসের প্রসঙ্গ। আপনার যদি কম্পিউটারে শারীরিক অ্যাক্সেস থাকে তবে বেশ কিছু সম্ভব। তবে আপনি যদি কেবল দূরবর্তী সংযোগের মাধ্যমেই সংযুক্ত থাকেন some কোনও ধরণের নেটওয়ার্কের মাধ্যমে — তবে ফাইল সিস্টেমের মালিকানা অবশ্যই সুরক্ষার কার্যকর পদ্ধতি। এবং লিনাক্স / ইউনিক্স সার্ভারের ক্ষেত্রে, অনুমতি এবং মালিকানা সুরক্ষার কার্যকর ফর্ম যা দূরবর্তী অনুপ্রবেশ রোধ করতে পারে।

এ কারণেই লিনাক্স / ইউনিক্স বিশ্বে rootকোনও রিমোট সিস্টেমে অ্যাক্সেস অর্জনকে এই জাতীয় পুরষ্কার হিসাবে বিবেচনা করা হয়। rootএকটি রিমোট সিস্টেমে লাভ করুন এবং তারপরে আপনি সত্যিকার অর্থে এমন কিছু করেছেন যা কোনও ডেটা সেন্টারে না গিয়ে কোনও ড্রাইভ ক্লোন না করেই আপনাকে আরও বেশি অ্যাক্সেস দেয়।

তবে, সত্য "বিরোধী" দৃষ্টিকোণ থেকে আমার এই এনক্রিপ্ট না করা ডিস্কটিতে সম্পূর্ণ অ্যাক্সেস রয়েছে। আমি এটিকে চিত্র করতে পারি, এটি পরে সংরক্ষণ করতে পারি, ফাইল সিস্টেমের অনুমতি সেটিংস উপেক্ষা করার সময় বব এর ফাইলগুলি পড়ার জন্য অন্য কোনও ওএস চালাতে পারি।

হ্যাঁ। যথাযথভাবে। আপনার যদি মেশিনে শারীরিক অ্যাক্সেস থাকে তবে the সূচনায় বর্ণিত হিসাবে — সমস্ত বেট বন্ধ রয়েছে। আপনি অন্যের মালিকানাধীন ফাইল এবং ডিরেক্টরিগুলিতে ডিস্কের একটি চিত্র তৈরি করে বা এমনকি ড্রাইভের কাঁচামালগুলি অনুসরণ করেই অ্যাক্সেস অর্জন করতে পারেন - অল্প প্রযুক্তিগত প্রচেষ্টা ছাড়াই।

যে কেউ example উদাহরণস্বরূপ you আপনাকে নিজের ব্যক্তিগত কম্পিউটারে —ণ দেয় এবং এই দৃশ্যের কথা চিন্তা না করে কেবল আপনার জন্য একটি নতুন অ্যাকাউন্ট সেটআপ করে তারা মূলত তাদের মেশিনে থাকা কোনও ব্যক্তিগত ডেটা সত্যই না জেনে অবশেষে প্রদান করে।

সামান্য স্পর্শকাতর, তবে আমি মনে করি এ কারণেই এতগুলি নৈমিত্তিক ব্যবহারকারীরা ড্রাইভে ডেটা মুছতে সামান্যতম প্রচেষ্টা না করেই পুরানো পিসি দান করে। তারা একটি ব্যবহারকারীর পাসওয়ার্ড সেটআপ করে এবং তারা ধরে নেয় যে তাদের ডেটা এমন পরিমাণে সুরক্ষিত রেখেছিল যে তারা ট্র্যাশে কেবল ড্রাইভটি টস করতে পারে এবং দু'বার চিন্তা না করে। বাস্তবতা যখন সত্য এনক্রিপশন বা ডেটা মুছা ছাড়াই থাকে, তখন ট্র্যাশে ফেলে দেওয়া বা ব্যবহৃত বিক্রি হওয়া কোনও ড্রাইভ কেবল কোনও ভারী উত্তোলন বা গভীর প্রযুক্তিগত প্রচেষ্টা ছাড়াই যে কোনও জায়গায় পড়তে পারে be

JakeGould
সূত্র
6
আমি মনে করি যে এই উত্তরটি উল্লেখ করার মতো স্পষ্টতই কিছু মিস করেছে। সুরক্ষা কেবল গণনামূলক সুরক্ষা নয়। হুমকির মডেলগুলিও গুরুত্বপূর্ণ, কারণ আক্রমণকারীরা হ'ল মানব: আক্রমণকারীরা সাধারণত ট্রেল ছেড়ে যাওয়া এড়াতে চায়। যদি আপনি কাউকে কোনও ডিভাইসে শারীরিক অ্যাক্সেস দেন তবে আপনি এটি এমনভাবে করেন যাতে কোনও ট্রেইল ছাড়াই ডিভাইসটির সাথে টেম্পার করা যায় না (ম্যানিপুলেশন চলাকালীন ডিভাইসের ধ্বংসের দিকে আঙুলের ছাপ থেকে শুরু করে ডিভাইসটি ধ্বংস করতে কোনও কিছুই), তবে তা প্রকৃতপক্ষে বৃদ্ধি পেতে পারে তথ্য শারীরিকভাবে অ্যাক্সেসযোগ্য তা সত্ত্বেও আপনার সিস্টেমের সুরক্ষা।
মেহরদাদ
@ মেহরদাদ এই মন্তব্যটি সুরক্ষা এবং অ্যাক্সেসের বিরুদ্ধে সুরক্ষার বৃহত্তর আলোচনার মধ্যে অর্থবোধ করতে পারে তবে এই প্রশ্নটি এবং আমার সম্পর্কিত উত্তরটি কোনও সিস্টেমে প্রাথমিক শারীরিক অ্যাক্সেস বনাম লজিক্যাল ফাইল সিস্টেম অনুমতিগুলির সামগ্রিক ধারণাগুলির উপর দৃষ্টি নিবদ্ধ করে। এবং সেই ক্ষেত্রে, আঙুলের মুদ্রণ এবং টেম্পার প্রস্তুতকারীদের সম্পর্কে এই উদ্বেগগুলি কেবল একটি ফ্যান্টাসি দৃশ্যের অনুমান। যদি কারও এনক্রিপ্ট না করা ডেটাতে শারীরিক অ্যাক্সেস থাকে তবে তাদের এনক্রিপ্ট না করা ডেটাতে শারীরিক অ্যাক্সেস থাকে এবং 10 জনের মধ্যে 9 বার সেই তথ্যটি অ্যাক্সেস করার জন্য "মাস্টার চোর / স্পাই" হতে হবে না।
জ্যাকগল্ড
15

আপনার তিনটি বিষয়:

  1. আপনি যদি নিয়মিত ব্যবহারকারী হিসাবে এসএসএইচিং করে থাকেন তবে আপনার কাঁচা ডিস্ক ডিভাইসে অ্যাক্সেস নেই। rootকাঁচা এবং লজিকাল ডিস্ক ডিভাইসগুলি অ্যাক্সেস করার জন্য আপনার সাধারণত প্রয়োজন বা অনুমতি প্রয়োজন ।

  2. যদি আপনি কোনও শোষণের মাধ্যমে রুট পান তবে আপনি সিস্টেমে সর্বাধিক শক্তিশালী ব্যবহারকারী এবং ডিভাইস সহ বেশিরভাগ কিছুতে অ্যাক্সেস পান। যেহেতু আপনি রুট, আপনি সরাসরি বব এর ফাইল অ্যাক্সেস করতে পারেন, তাই ডিস্ক ডিভাইস অ্যাক্সেস করার প্রয়োজন নেই।

  3. শারীরিক অ্যাক্সেস প্রহার root। রুট একটি লজিকাল স্তর। আপনি ডিস্কটিতে শারীরিক অ্যাক্সেস সহ এটিকে এড়িয়ে যেতে পারেন। এর মধ্যে একটি পৃথক ওএসে লোড করা ডিস্কটি লোড করা রয়েছে যেখানে আপনি মূল।

অবশ্যই, rootশোষণের বিরুদ্ধে সিস্টেমগুলি কঠোর করার কথা রয়েছে , তবে প্রতিদিন নতুন নতুন শোষণ প্রকাশিত হয়। কোনও সিস্টেম 100% সুরক্ষিত নয় তবে আপনি অ্যাক্সেসকে সীমাবদ্ধ রেখে ব্যবহারিক উদ্দেশ্যে একটি নিরাপদ করতে পারেন।

ফাইল সিস্টেমের অনুমতিগুলি কেবল সীমাবদ্ধ ব্যবহারকারীর অ্যাক্সেস পরিস্থিতিতে কাজ করতে পারে বলে আশা করা হচ্ছে, যেখানে ওএসের সাথে আপোস করা হয়নি। এটি বাইকের লকগুলির মতো একটি "সততাবান (এবং আদর্শ) ব্যবহারকারীদের সৎ রাখুন" সিস্টেম। এটি নিরাপদে মোট সুরক্ষা ব্যর্থ করার চেয়ে "সুযোগসুজের অপরাধ" রোধে কাজ করে।

CDE
সূত্র
এফএস অনুমতি নিয়ম বেশ শক্তিশালী। যতক্ষণ কোনও আক্রমণকারীর শিকড় না থাকে ততক্ষণ তারা কাজ করে । POSIX ফাইল সিস্টেম সিনটেমিকস (এবং লিনাক্স-নির্দিষ্ট এক্সটেনশনগুলি) সাবধানতার সাথে ডিজাইন করা হয়েছে যাতে আপনি ন্যায়বিচারের চেয়ে আরও বেশি অ্যাক্সেস না খোলেন open(2)। উদাহরণস্বরূপ linkat(2)আপনাকে একটি মুক্ত ফাইল বর্ণনাকারীর জন্য ডিরেক্টরি এন্ট্রি তৈরি করতে দেয়, তবে কেবলমাত্র যদি লিঙ্ক-কাউন্টটি ইতিমধ্যে শূন্য না থাকে, সুতরাং মুছে ফেলা ফাইলের জন্য একটি উন্মুক্ত এফডি প্রাপ্ত কোনও প্রক্রিয়া এটিকে আবার ফাইল সিস্টেমে লিঙ্ক করতে পারে না। স্পষ্টতই কোনও আক্রমণকারী রুট বা শারীরিক অ্যাক্সেস পাওয়ার অর্থ আপনি টোস্ট। এনক্রিপশন শারীরিক সাহায্য করে তবে এত মূল নয়।
পিটার কর্ডেস
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.