訪(fǎng)問(wèn)控制實(shí)驗(yàn).doc

一、 實(shí)驗(yàn)項(xiàng)目名稱(chēng)訪(fǎng)問(wèn)控制實(shí)驗(yàn)二、 實(shí)驗(yàn)?zāi)康恼莆誏inux環(huán)境下用戶(hù)管理和進(jìn)程管理的常用命令，了解Linux用戶(hù)管理的一般原則，掌握Linux中用戶(hù)管理、授權(quán)管理和PAM等相關(guān)的系統(tǒng)安全配置方法，建立起Linux操作系統(tǒng)的基本安全框架。三 、實(shí)驗(yàn)內(nèi)容與實(shí)驗(yàn)步驟Linux訪(fǎng)問(wèn)控制實(shí)驗(yàn)、linux文件系統(tǒng)訪(fǎng)問(wèn)控制實(shí)驗(yàn)四、 實(shí)驗(yàn)環(huán)境在計(jì)算機(jī)或虛擬機(jī)上安裝Linux環(huán)境，本實(shí)驗(yàn)在VMware Workstation虛擬機(jī)上安裝的Ubuntu 10.04上進(jìn)行。五、實(shí)驗(yàn)過(guò)程與分析（一）、linux訪(fǎng)問(wèn)控制實(shí)驗(yàn)任務(wù)一：用戶(hù)管理步驟1：查看和添加名為mylist的新賬戶(hù)。用su命令切換到新建的賬戶(hù)，檢查shadow文件的權(quán)限設(shè)置是否安全。設(shè)置安全時(shí)，普通用戶(hù)mylist沒(méi)有查看該系統(tǒng)文件的權(quán)限。步驟2：添加和更改密碼（與實(shí)驗(yàn)3一致，不再截圖）步驟3：賬戶(hù)的禁用與恢復(fù)步驟3-1：輸入下列命令行，以管理員身份鎖定新建賬戶(hù)，試圖再轉(zhuǎn)入mylist賬戶(hù)發(fā)現(xiàn)無(wú)法轉(zhuǎn)入。檢查用戶(hù)mylist的當(dāng)前狀態(tài)，L表示賬戶(hù)已經(jīng)被鎖定了。將鎖定賬戶(hù)解鎖步驟4：建立名為mygroup的用戶(hù)組。將新建的用戶(hù)組更名為mygroup1，將新建用戶(hù)mylist加入到新建的組mygroup1中。將mylist設(shè)置為該用戶(hù)組的管理員；用su命令轉(zhuǎn)換到mylist用戶(hù)下，并將系統(tǒng)中的一個(gè)普通用戶(hù)testuser1加入到mygroup1中，被設(shè)置為組管理員的用戶(hù)可以將其他用戶(hù)加入到該組中，普通用戶(hù)則沒(méi)有此權(quán)限。步驟5：設(shè)置密碼規(guī)則編輯/etc/login.defs目錄下的defs文件；在文件中找到有關(guān)口令信息相應(yīng)內(nèi)容步驟6：為賬戶(hù)和組相關(guān)系統(tǒng)文件加上不可更改屬性，防止非授權(quán)用戶(hù)獲得權(quán)限鎖定 /etc/passwd，再次建立新用戶(hù)friend時(shí)，由于系統(tǒng)文件被鎖定，無(wú)法完成操作命令。解除對(duì)于passwd文件的鎖定，再分別用同樣的方法鎖定/etc/shadow（用戶(hù)口令加密文件），無(wú)法創(chuàng)建用戶(hù)，鎖定/etc/group(用戶(hù)組名列表）/etc/gshadow(組密碼文件)，無(wú)法創(chuàng)建組。步驟7：刪除用戶(hù)和用戶(hù)組步驟8：編寫(xiě)一個(gè)簡(jiǎn)單的賬號(hào)木馬，并且運(yùn)行木馬程序，輸入正確口令信息報(bào)錯(cuò)，再次輸入才能正確登陸。這時(shí)就可以到/tmp/下看到剛才輸入的密碼已被存到/tmp/catchpass文件中。任務(wù)二：授權(quán)管理 步驟1：超級(jí)用戶(hù)權(quán)限授權(quán)管理：使用su命令對(duì)用戶(hù)授權(quán)：使用su命令對(duì)用戶(hù)授權(quán)添加新用戶(hù)testuser1；首先修改su的PAM配置文件（/etc/pam.d/su），然后以testuser1用戶(hù)登錄系統(tǒng)，嘗試命令su root，輸入正確的root密碼，也無(wú)法擁有root權(quán)限此時(shí)，將PAM配置文件（/etc/pam.d/su）修改回原先狀態(tài)，再次嘗試su root，輸入正確的root密碼，可以正常擁有root權(quán)限。再次修改su的PAM配置文件（/etc/pam.d/su），以root身份登錄系統(tǒng)，把testuser1用戶(hù)加入到用戶(hù)組wheel中后，又可以使用su命令了。 步驟1-3：使用sudo為用戶(hù)授權(quán)：sudo命令提供了另一種授予用戶(hù)管理權(quán)限的方法。用戶(hù)在管理命令前加一個(gè)sudo命令，這個(gè)用戶(hù)就會(huì)被提示輸入他自己的口令。驗(yàn)證后，如果這個(gè)命令被授予該用戶(hù)執(zhí)行，它就會(huì)以根用戶(hù)身份執(zhí)行該命令。以用戶(hù)名zhang登錄，沒(méi)有權(quán)限為其他用戶(hù)更改密碼在文件系統(tǒng)中的/etc目錄下找到sudoers文件進(jìn)行編輯。通過(guò)命令chmod 666 /etc/sudoers修改sudoers權(quán)限，在文件sudoers中添加語(yǔ)句 使用命令chmod 440 /etc/sudoers將文件修改為原先狀態(tài)。步驟1-4：以用戶(hù)名hzb登錄系統(tǒng)，發(fā)現(xiàn)其可以為testuser1改密碼 步驟2：利用PAM進(jìn)行權(quán)限控制 步驟2-1：控制使用ssh登錄的用戶(hù)。步驟 2-2：控制密碼可以重試三次，不提示輸入舊密碼 步驟2-3：密碼強(qiáng)度控制。 新密碼使用MD5方式加密，密碼長(zhǎng)度為10位，其中2位數(shù)字，2位其他字符，至少3位不得與舊密碼相同； 然后使用一個(gè)用戶(hù)名登錄系統(tǒng)（不要使用root登錄），試著為該用戶(hù)更改口令。 步驟2-4：配置vsftp的認(rèn)證方式。 下面是vsftp服務(wù)器利用PAM模塊進(jìn)行用戶(hù)認(rèn)證的三個(gè)步驟。首先用pam_ftp模塊檢查當(dāng)前用戶(hù)是否為匿名用戶(hù)，如果是匿名用戶(hù)，則sufficient控制標(biāo)志表明無(wú)須再進(jìn)行后面的認(rèn)證步驟，直接通過(guò)認(rèn)證；否則繼續(xù)使用pam_unix_auth模塊來(lái)進(jìn)行標(biāo)準(zhǔn)的Linux認(rèn)證，即用/etc/passwd和/etc/shadow進(jìn)行認(rèn)證；通過(guò)了pam_unix_auth模塊的認(rèn)證之后，還要繼續(xù)用pam_listfile模塊來(lái)檢查該用戶(hù)是否出現(xiàn)在文件/etc/ftpusers中，如果是則該用戶(hù)被拒絕掉 步驟2-5：控制su的操作能夠進(jìn)入的其他用戶(hù)。 創(chuàng)建/etc/security/suok 文件，其中的內(nèi)容為允許進(jìn)入的用戶(hù)名，one，two，root 在/etc/pam.d/su中添加：auth required pam_listfile.so onerr=fail item=user sense=allow file=/etc/security/suok只有suok文件里的用戶(hù)可以由su進(jìn)入嘗試用su轉(zhuǎn)入用戶(hù)，由于one two 在suok中，所以可以由su進(jìn)入，three則不行。 控制只有在root組中的用戶(hù)可以通過(guò)密碼su成為root，可以在/etc/pam.d/su中添加：auth sufficient pam_wheel.so group=root 在/etc/group中添加root組中的成員。將one添加到root組。嘗試用one，two利用su進(jìn)入root權(quán)限，只有root組中的one 可以。（二）、linux文件系統(tǒng)訪(fǎng)問(wèn)控制實(shí)驗(yàn)步驟1：新建文件夾和文件：在/home/hzb目錄下新建名為myfolder的文件夾。用mkdir命令在myfolder文件夾下建立一個(gè)名為child的子文件夾，用cd命令進(jìn)入child文件夾，并新建一個(gè)名為newfile的文件。步驟2：編輯文件：在“插入”模式下輸入：this is a new file.步驟3：查看文件內(nèi)容及訪(fǎng)問(wèn)權(quán)限：用cat命令查看文件內(nèi)容，用ll命令查看相關(guān)的文件信息 步驟4：文件的打開(kāi)使用gcc編譯器編譯程序，并生成可執(zhí)行文件open_file 從中可以看到，系統(tǒng)成功打開(kāi)（或創(chuàng)建）/home/hzb/hello文件，文件描述符為3。使用ls l進(jìn)一步查看該文件信息如下： 由此可見(jiàn)，文件的執(zhí)行權(quán)限“rwxr-xr-x”與程序中的“MODE”宏定義是吻合的，文件的長(zhǎng)度為0，這與“FLAGS”宏定義是吻合的。 步驟5：設(shè)置或管理文件所屬用戶(hù)、用戶(hù)組和其他組用戶(hù)的權(quán)限方法一：用chmod命令將newfile文件的訪(fǎng)問(wèn)權(quán)限設(shè)置為所屬用戶(hù)有讀、寫(xiě)和執(zhí)行的權(quán)限，用戶(hù)組有讀、執(zhí)行的權(quán)限，其他用戶(hù)沒(méi)有任何權(quán)限，再次查看并記錄用戶(hù)權(quán)限，發(fā)現(xiàn)修改成功。 方法二：以下用chmod函數(shù)編程實(shí)現(xiàn)改變文件訪(fǎng)問(wèn)權(quán)限：change_mode.c使用gcc編譯change_mode.c，并生成可執(zhí)行文件change_mode，運(yùn)行程序，得到輸出結(jié)果使用ll newfile命令查看文件/home/hzb/ myfolder/child/newfile的訪(fǎng)問(wèn)控制信息，發(fā)現(xiàn)訪(fǎng)問(wèn)權(quán)限改變。從中可以看到，顯示的文件的執(zhí)行權(quán)限信息與程序中的“MODE”參數(shù)值0755是吻合的，即實(shí)驗(yàn)成功執(zhí)行。 步驟6：改變文件或目錄的所有權(quán)首先進(jìn)入root用戶(hù)，進(jìn)入/home路徑，新建文件mytest1.txt，改變文件的訪(fǎng)問(wèn)控制權(quán)限為666，后查看文件權(quán)限；打開(kāi)mytest1.txt文件，在文件中輸入數(shù)字“123456”并保存退出；此時(shí)將文件mytest1.txt復(fù)制到用戶(hù)hzb目錄下，進(jìn)入/home/hzb目錄下，查看文件mytest1.txt內(nèi)容：得到123456。再次查看文件的訪(fǎng)問(wèn)控制權(quán)限，發(fā)現(xiàn)變成644但屬組，屬主沒(méi)變。 使用zhang用戶(hù)登錄并查看文件的訪(fǎng)問(wèn)控制權(quán)限，權(quán)限還是644，屬組，屬主是root，此時(shí)，嘗試在文件mytest1.txt中輸入信息“testtext”，無(wú)權(quán)限無(wú)法寫(xiě)入 使用chown命令改變文件mytest1.txt的所有權(quán)，再次使用用戶(hù)zhang對(duì)文件mytest1.txt進(jìn)行寫(xiě)操作，寫(xiě)入內(nèi)容為“test test”，并用cat命令顯示輸出文件mytest1.txt的內(nèi)容?？梢钥闯鲈谶M(jìn)行chown命令之前，zhang用戶(hù)不能寫(xiě)mytest1.txt文件，在執(zhí)行chown命令之后則可以對(duì)文件進(jìn)行讀寫(xiě)了。在上面的實(shí)驗(yàn)中更改了mytest1.txt的屬住，沒(méi)有更改它的組，它的組仍然是root，下面把mytest1.txt文件所屬的組修改為zhang 步驟7：配置并應(yīng)用ACL管理文件的訪(fǎng)問(wèn)權(quán)限步驟7-1：首先配置文件系統(tǒng)支持ACL：Linux系統(tǒng)默認(rèn)可能支持ACL，若不支持，則需要進(jìn)行配置。（1）可以直接修改/etc/fstab文件。修改方法通常是打開(kāi)/etc/fstab文件，在defaults后面添加acl，然后輸入命令#mount o remount或者重啟系統(tǒng)就可以了；（2）或者也可以直接在命令行終端中安裝ACL工具。步驟7-2：以根用戶(hù)身份登錄系統(tǒng)，創(chuàng)建一個(gè)文件onn.txt，并查看/home/zhang目錄下文件，看到onn.txt 步驟7-3：以zhang用戶(hù)身份登錄系統(tǒng)，進(jìn)行寫(xiě)測(cè)試，以zhang用戶(hù)身份進(jìn)行寫(xiě)測(cè)試失敗 步驟7-4：使用setfacl命令設(shè)置文件test.txt，使得用戶(hù)hzb具有讀寫(xiě)權(quán)限?？梢允褂胓etfacl命令查詢(xún)文件ACL屬性，可以看出設(shè)置ACL后，ll命令的輸出中test.txt文件的權(quán)限后面多出一個(gè)“+”，這也是ACL執(zhí)行的一個(gè)標(biāo)志。 5.2.5 實(shí)驗(yàn)結(jié)果分析（一）熟悉了su、sudo、useradd、passwd、groupadd、userdel、groupdel和chattr等Linux下常用命令的使用方法以及簡(jiǎn)單賬號(hào)木馬的工作原理。另一個(gè)是授權(quán)管理，進(jìn)行了超級(jí)用戶(hù)權(quán)限授權(quán)管理和利用插件式鑒別模塊（PAM）認(rèn)證機(jī)制進(jìn)行權(quán)限控制。PAM是統(tǒng)一身份認(rèn)證框架，基本