訪問控制實驗.doc

一、 實驗項目名稱訪問控制實驗二、 實驗?zāi)康恼莆誏inux環(huán)境下用戶管理和進程管理的常用命令，了解Linux用戶管理的一般原則，掌握Linux中用戶管理、授權(quán)管理和PAM等相關(guān)的系統(tǒng)安全配置方法，建立起Linux操作系統(tǒng)的基本安全框架。三 、實驗內(nèi)容與實驗步驟Linux訪問控制實驗、linux文件系統(tǒng)訪問控制實驗四、 實驗環(huán)境在計算機或虛擬機上安裝Linux環(huán)境，本實驗在VMware Workstation虛擬機上安裝的Ubuntu 10.04上進行。五、實驗過程與分析（一）、linux訪問控制實驗任務(wù)一：用戶管理步驟1：查看和添加名為mylist的新賬戶。用su命令切換到新建的賬戶，檢查shadow文件的權(quán)限設(shè)置是否安全。設(shè)置安全時，普通用戶mylist沒有查看該系統(tǒng)文件的權(quán)限。步驟2：添加和更改密碼（與實驗3一致，不再截圖）步驟3：賬戶的禁用與恢復(fù)步驟3-1：輸入下列命令行，以管理員身份鎖定新建賬戶，試圖再轉(zhuǎn)入mylist賬戶發(fā)現(xiàn)無法轉(zhuǎn)入。檢查用戶mylist的當前狀態(tài)，L表示賬戶已經(jīng)被鎖定了。將鎖定賬戶解鎖步驟4：建立名為mygroup的用戶組。將新建的用戶組更名為mygroup1，將新建用戶mylist加入到新建的組mygroup1中。將mylist設(shè)置為該用戶組的管理員；用su命令轉(zhuǎn)換到mylist用戶下，并將系統(tǒng)中的一個普通用戶testuser1加入到mygroup1中，被設(shè)置為組管理員的用戶可以將其他用戶加入到該組中，普通用戶則沒有此權(quán)限。步驟5：設(shè)置密碼規(guī)則編輯/etc/login.defs目錄下的defs文件；在文件中找到有關(guān)口令信息相應(yīng)內(nèi)容步驟6：為賬戶和組相關(guān)系統(tǒng)文件加上不可更改屬性，防止非授權(quán)用戶獲得權(quán)限鎖定 /etc/passwd，再次建立新用戶friend時，由于系統(tǒng)文件被鎖定，無法完成操作命令。解除對于passwd文件的鎖定，再分別用同樣的方法鎖定/etc/shadow（用戶口令加密文件），無法創(chuàng)建用戶，鎖定/etc/group(用戶組名列表）/etc/gshadow(組密碼文件)，無法創(chuàng)建組。步驟7：刪除用戶和用戶組步驟8：編寫一個簡單的賬號木馬，并且運行木馬程序，輸入正確口令信息報錯，再次輸入才能正確登陸。這時就可以到/tmp/下看到剛才輸入的密碼已被存到/tmp/catchpass文件中。任務(wù)二：授權(quán)管理 步驟1：超級用戶權(quán)限授權(quán)管理：使用su命令對用戶授權(quán)：使用su命令對用戶授權(quán)添加新用戶testuser1；首先修改su的PAM配置文件（/etc/pam.d/su），然后以testuser1用戶登錄系統(tǒng)，嘗試命令su root，輸入正確的root密碼，也無法擁有root權(quán)限此時，將PAM配置文件（/etc/pam.d/su）修改回原先狀態(tài)，再次嘗試su root，輸入正確的root密碼，可以正常擁有root權(quán)限。再次修改su的PAM配置文件（/etc/pam.d/su），以root身份登錄系統(tǒng)，把testuser1用戶加入到用戶組wheel中后，又可以使用su命令了。 步驟1-3：使用sudo為用戶授權(quán)：sudo命令提供了另一種授予用戶管理權(quán)限的方法。用戶在管理命令前加一個sudo命令，這個用戶就會被提示輸入他自己的口令。驗證后，如果這個命令被授予該用戶執(zhí)行，它就會以根用戶身份執(zhí)行該命令。以用戶名zhang登錄，沒有權(quán)限為其他用戶更改密碼在文件系統(tǒng)中的/etc目錄下找到sudoers文件進行編輯。通過命令chmod 666 /etc/sudoers修改sudoers權(quán)限，在文件sudoers中添加語句 使用命令chmod 440 /etc/sudoers將文件修改為原先狀態(tài)。步驟1-4：以用戶名hzb登錄系統(tǒng)，發(fā)現(xiàn)其可以為testuser1改密碼 步驟2：利用PAM進行權(quán)限控制 步驟2-1：控制使用ssh登錄的用戶。步驟 2-2：控制密碼可以重試三次，不提示輸入舊密碼 步驟2-3：密碼強度控制。 新密碼使用MD5方式加密，密碼長度為10位，其中2位數(shù)字，2位其他字符，至少3位不得與舊密碼相同； 然后使用一個用戶名登錄系統(tǒng)（不要使用root登錄），試著為該用戶更改口令。 步驟2-4：配置vsftp的認證方式。 下面是vsftp服務(wù)器利用PAM模塊進行用戶認證的三個步驟。首先用pam_ftp模塊檢查當前用戶是否為匿名用戶，如果是匿名用戶，則sufficient控制標志表明無須再進行后面的認證步驟，直接通過認證；否則繼續(xù)使用pam_unix_auth模塊來進行標準的Linux認證，即用/etc/passwd和/etc/shadow進行認證；通過了pam_unix_auth模塊的認證之后，還要繼續(xù)用pam_listfile模塊來檢查該用戶是否出現(xiàn)在文件/etc/ftpusers中，如果是則該用戶被拒絕掉 步驟2-5：控制su的操作能夠進入的其他用戶。 創(chuàng)建/etc/security/suok 文件，其中的內(nèi)容為允許進入的用戶名，one，two，root 在/etc/pam.d/su中添加：auth required pam_listfile.so onerr=fail item=user sense=allow file=/etc/security/suok只有suok文件里的用戶可以由su進入嘗試用su轉(zhuǎn)入用戶，由于one two 在suok中，所以可以由su進入，three則不行。 控制只有在root組中的用戶可以通過密碼su成為root，可以在/etc/pam.d/su中添加：auth sufficient pam_wheel.so group=root 在/etc/group中添加root組中的成員。將one添加到root組。嘗試用one，two利用su進入root權(quán)限，只有root組中的one 可以。（二）、linux文件系統(tǒng)訪問控制實驗步驟1：新建文件夾和文件：在/home/hzb目錄下新建名為myfolder的文件夾。用mkdir命令在myfolder文件夾下建立一個名為child的子文件夾，用cd命令進入child文件夾，并新建一個名為newfile的文件。步驟2：編輯文件：在“插入”模式下輸入：this is a new file.步驟3：查看文件內(nèi)容及訪問權(quán)限：用cat命令查看文件內(nèi)容，用ll命令查看相關(guān)的文件信息 步驟4：文件的打開使用gcc編譯器編譯程序，并生成可執(zhí)行文件open_file 從中可以看到，系統(tǒng)成功打開（或創(chuàng)建）/home/hzb/hello文件，文件描述符為3。使用ls l進一步查看該文件信息如下： 由此可見，文件的執(zhí)行權(quán)限“rwxr-xr-x”與程序中的“MODE”宏定義是吻合的，文件的長度為0，這與“FLAGS”宏定義是吻合的。 步驟5：設(shè)置或管理文件所屬用戶、用戶組和其他組用戶的權(quán)限方法一：用chmod命令將newfile文件的訪問權(quán)限設(shè)置為所屬用戶有讀、寫和執(zhí)行的權(quán)限，用戶組有讀、執(zhí)行的權(quán)限，其他用戶沒有任何權(quán)限，再次查看并記錄用戶權(quán)限，發(fā)現(xiàn)修改成功。 方法二：以下用chmod函數(shù)編程實現(xiàn)改變文件訪問權(quán)限：change_mode.c使用gcc編譯change_mode.c，并生成可執(zhí)行文件change_mode，運行程序，得到輸出結(jié)果使用ll newfile命令查看文件/home/hzb/ myfolder/child/newfile的訪問控制信息，發(fā)現(xiàn)訪問權(quán)限改變。從中可以看到，顯示的文件的執(zhí)行權(quán)限信息與程序中的“MODE”參數(shù)值0755是吻合的，即實驗成功執(zhí)行。 步驟6：改變文件或目錄的所有權(quán)首先進入root用戶，進入/home路徑，新建文件mytest1.txt，改變文件的訪問控制權(quán)限為666，后查看文件權(quán)限；打開mytest1.txt文件，在文件中輸入數(shù)字“123456”并保存退出；此時將文件mytest1.txt復(fù)制到用戶hzb目錄下，進入/home/hzb目錄下，查看文件mytest1.txt內(nèi)容：得到123456。再次查看文件的訪問控制權(quán)限，發(fā)現(xiàn)變成644但屬組，屬主沒變。 使用zhang用戶登錄并查看文件的訪問控制權(quán)限，權(quán)限還是644，屬組，屬主是root，此時，嘗試在文件mytest1.txt中輸入信息“testtext”，無權(quán)限無法寫入 使用chown命令改變文件mytest1.txt的所有權(quán)，再次使用用戶zhang對文件mytest1.txt進行寫操作，寫入內(nèi)容為“test test”，并用cat命令顯示輸出文件mytest1.txt的內(nèi)容?？梢钥闯鲈谶M行chown命令之前，zhang用戶不能寫mytest1.txt文件，在執(zhí)行chown命令之后則可以對文件進行讀寫了。在上面的實驗中更改了mytest1.txt的屬住，沒有更改它的組，它的組仍然是root，下面把mytest1.txt文件所屬的組修改為zhang 步驟7：配置并應(yīng)用ACL管理文件的訪問權(quán)限步驟7-1：首先配置文件系統(tǒng)支持ACL：Linux系統(tǒng)默認可能支持ACL，若不支持，則需要進行配置。（1）可以直接修改/etc/fstab文件。修改方法通常是打開/etc/fstab文件，在defaults后面添加acl，然后輸入命令#mount o remount或者重啟系統(tǒng)就可以了；（2）或者也可以直接在命令行終端中安裝ACL工具。步驟7-2：以根用戶身份登錄系統(tǒng)，創(chuàng)建一個文件onn.txt，并查看/home/zhang目錄下文件，看到onn.txt 步驟7-3：以zhang用戶身份登錄系統(tǒng)，進行寫測試，以zhang用戶身份進行寫測試失敗 步驟7-4：使用setfacl命令設(shè)置文件test.txt，使得用戶hzb具有讀寫權(quán)限?？梢允褂胓etfacl命令查詢文件ACL屬性，可以看出設(shè)置ACL后，ll命令的輸出中test.txt文件的權(quán)限后面多出一個“+”，這也是ACL執(zhí)行的一個標志。 5.2.5 實驗結(jié)果分析（一）熟悉了su、sudo、useradd、passwd、groupadd、userdel、groupdel和chattr等Linux下常用命令的使用方法以及簡單賬號木馬的工作原理。另一個是授權(quán)管理，進行了超級用戶權(quán)限授權(quán)管理和利用插件式鑒別模塊（PAM）認證機制進行權(quán)限控制。PAM是統(tǒng)一身份認證框架，基本