信息系统安全试验报告讲述.doc

《网络故障诊断》实验报告 实验名称（信息系统安全实验） 实验目的 （1）通过分析Linux身份认证基本方法，掌握身份标识与认证的基本方法。 （2）通过分析访问控制方法，掌握掌握基于权限的访问控制、基于ACL的访问控制。 （3）加密文件系统 实验环境 Linux操作系统 实验实际完成内容及结果分析 1.Linux身份认证基本方法应用与分析 （1）添加用户： （2）查看/etc/passwd文件： 分析：操作系统使用用户标识号UID和组标识号描述用户GID，在账户信息文件/etc/passwd中的每一行表示一个记录，对应一个账户。 格式： 账户名：口令：UID:GID: 用户使用系统时的默认工作目录: 用户登录系统时，系统自动为其启动的程序 （3）用户之间的切换 ，root用户切换到普通用户不需要口令，普通用户切换到root或者其它普通用户都需要口令: (4) 查看/etc/shadow文件： 分析：为了消除撒盐的弊端，可以把口令字段信息从账户信息中分离出去，建立专门的口令信息数据库，并且只允许特权用户查看其中的内容。这个口令信息库用一个文本文件表示/etc/shadow。 格式： 账户名：口令信息：上次修改口令时间：O天以后才能修改口令：口令过了99999天必须修改口令：口令过期前7天提醒用户 （剩余字段没有值） … Beautiful：注释 ！！：表示该注释已被锁定 (5)查看/etc/group文件： 2. Linux访问控制方法应用与分析 查看pam_wheel.so 查看所有目录 查看/etc/pam.d/sshd （4）添加新用户： （5）添加2个组并把新增用户增加到组中。 (6) root用户在根目录下创建一个文件夹test： 分析：实验时要在这个目录中建立文件，要修改目录的访问权限，让所有用户都可以进入这个实验目录，这样方便用户对文件的访问。我在第一次实验时，直接将文件建立在某一用户的根目录下，发现其他用户根本访问不了它，原因就是其他用户不能进入这一用户的根目录。 （7）用户创建文件file1： 分析：创建文件之后，它默认的权限控制位是664，根据书上所写修改一下文件的控制位为651，并且把它的属组改为group1。 1用户对file1的访问 ： 分析：可读可写。 2同组用户对file1的访问： 分析：可读不可写。符合权限控制。 (8)用户创建文件file2： 分析：创建文件之后，它默认的权限控制位是664，根据书上所写修改一下文件的控制位为421，并且把它的属组改为group2。 访问： 1用户对file2访问： 分析：可读不可写。 2用户对file2访问: 分析：这里遇到问题了，用户rxq和qing都在组group2中，那么rxq应该可以对文件file2有可写的权限，但是这里却显示权限不够，我不知道是什么原因。 3其它用户对file2的访问： 分析：其它用户对文件没有可读可写的权限。 (9) 基于ACL的访问控制 1查看文件file1和file2的属性： 分析：根据文件属性，一个文件（客体）对应于多个用户，这就是ACL的思想，即细粒度访问控制。 根据file1文件属性，写出ACL控制配置： User::rw- //属主权限 User:xue:r-x //用户xue的权限 Group::r-x //属组权限 Group:group1:r-x //组group1的权限 Other::--x //其它用户权限 2权限过滤： 创建一个文件file4,默认权限为664: 分析：默认的访问控制掩码为0002，而当前掩码的设置为776，在创建文件时，0002与776进行运算（具体算法不详解），得到的值就是新建文件的权限控制位664。 2将新建文件权限的掩码从默认的0002改为0003,再创建文件file5: 分析：从上可知，776与0003运算结果和776与0002运算结果一致，故新建文件权限没有变，还是664。 3将新建文件权限的掩码从上面的0002改为0004,再创建文件file5: 分析：由上可知，776与0004运算结果是662，故新建文件file6权限控制位为662。 3. 加密文件系统 安装sudo apt-get install ecryptfs-utils 创建登录密码和挂载密码ecryptfs-setup-private 挂载私人文件 1创建文件夹????mkdir /root/tPrivate 2修改文件夹权限，使其他人无法访问这个文件夹?? chmod 700 /root/tPrivate 3用ecrypt挂载文件夹（加密）????????????????? ??mount -t ecryp