3 最小特权的实现.ppt

3 最小特权的实现 (1)?? 传统UNIX/Linux特权管理 1)普通用户没有特权，超级同户拥有所有特权。 2)当进程要进行某特权操作时，系统检查进程所代表的用户是否为超级用户、 3)普通用户涉及特权操作时，通过setuid/setgid实现。用户希望访问/etc/passed来修改自己的密码，必须使他能超越对客体的受限访问。setuid/setgid可以使得代表普通用户的进程不继承用户的uid/gid，而是继承该进程对应的应用程序文件(可执行文件)的所有者的uid/gid、即普通用户暂时获得其他用户身份，并通过该身份访问客体。由于此项活动具有局限性，具系统还会进行安全检查，有助于维护系统安全性。 (2)?? Linux最小特权的实现 1）系统安全管理员：用来维护系统中与安全性相关的信息，包括对系统用户账户的管理、系统中的主体客体安全级的管理以及设置和维护系统的安全数据库； 2）系统审计员：用来设置审计开关和审计阈值，启动和关闭审计机制以及管理审计日志； 3）系统操作员：用来完成系统中日常的操作和维护，包括开启和关闭系统、对文件的档案备份和恢复、安装或卸载文件系统以及向终端发送消息等等。 4）网络管理员：用来完成所有与网络相关的管理与操作。 (1)Linux系统中对权能的定义 系统将系统管理的权限进行分割，共30种权能：例如，超越改变系统文件所有者和组所有的