访问控制实验.docVIP

实验项目名称 访问控制实验 二、 实验目的 掌握Linux环境下用户管理和进程管理的常用命令，了解Linux用户管理的一般原则，掌握Linux中用户管理、授权管理和PAM等相关的系统安全配置方法，建立起Linux操作系统的基本安全框架。 三 、实验内容 步骤1：查看和添加名为mylist的新账户。用su命令切换到新建的账户，检查shadow文件的权限设置是否安全。设置安全时，普通用户mylist没有查看该系统文件的权限。 步骤2：添加和更改密码（与实验3一致，不再截图） 步骤3：账户的禁用与恢复 步骤3-1：输入下列命令行，以管理员身份锁定新建账户，试图再转入mylist账户发现无法转入。检查用户mylist的当前状态，L表示账户已经被锁定了。将锁定账户解锁 步骤4：建立名为mygroup的用户组。将新建的用户组更名为mygroup1，将新建用户mylist加入到新建的组mygroup1中。将mylist设置为该用户组的管理员；用su命令转换到mylist用户下，并将系统中的一个普通用户testuser1加入到mygroup1中，被设置为组管理员的用户可以将其他用户加入到该组中，普通用户则没有此权限。 步骤5：设置密码规则 编辑/etc/login.defs目录下的defs文件；在文件中找到有关口令信息相应内容 步骤6：为账户和组相关系统文件加上不可更改属性，防止非授权用户获得权限 锁定 /etc/passwd，再次建立新用户friend时，由于系统文件被锁定，无法完成操作命令。 解除对于passwd文件的锁定，再分别用同样的方法锁定/etc/shadow（用户口令加密文件），无法创建用户，锁定/etc/group(用户组名列表）/etc/gshadow(组密码文件)，无法创建组。 步骤7：删除用户和用户组 步骤8：编写一个简单的账号木马，并且运行木马程序，输入正确口令信息报错，再次输入才能正确登陆。这时就可以到/tmp/下看到刚才输入的密码已被存到/tmp/catchpass文件中。 任务二：授权管理 步骤1：超级用户权限授权管理：使用su命令对用户授权：使用su命令对用户授权添加新用户testuser1；首先修改su的PAM配置文件（/etc/pam.d/su），然后以testuser1用户登录系统，尝试命令su root，输入正确的root密码，也无法拥有root权限 此时，将PAM配置文件（/etc/pam.d/su）修改回原先状态，再次尝试su root，输入正确的root密码，可以正常拥有root权限。再次修改su的PAM配置文件（/etc/pam.d/su），以root身份登录系统，把testuser1用户加入到用户组wheel中后，又可以使用su命令了。 步骤1-3：使用sudo为用户授权：sudo命令提供了另一种授予用户管理权限的方法。用户在管理命令前加一个sudo命令，这个用户就会被提示输入他自己的口令。验证后，如果这个命令被授予该用户执行，它就会以根用户身份执行该命令。 以用户名zhang登录，没有权限为其他用户更改密码 在文件系统中的/etc目录下找到sudoers文件进行编辑。通过命令chmod 666 /etc/sudoers修改sudoers权限，在文件sudoers中添加语句 使用命令chmod 440 /etc/sudoers将文件修改为原先状态。 步骤1-4：以用户名hzb登录系统，发现其可以为testuser1改密码 步骤2：利用PAM进行权限控制 步骤2-1：控制使用ssh登录的用户。 步骤 2-2：控制密码可以重试三次，不提示输入旧密码 步骤2-3：密码强度控制。 新密码使用MD5方式加密，密码长度为10位，其中2位数字，2位其他字符，至少3位不得与旧密码相同； 然后使用一个用户名登录系统（不要使用root登录），试着为该用户更改口令。 步骤2-4：配置vsftp的认证方式。 下面是vsftp服务器利用PAM模块进行用户认证的三个步骤。首先用pam_ftp模块检查当前用户是否为匿名用户，如果是匿名用户，则sufficient控制标志表明无须再进行后面的认证步骤，直接通过认证；否则继续使用pam_unix_auth模块来进行标准的Linux认证，即用/etc/passwd和/etc/shadow进行认证；通过了pam_unix_auth模块的认证之后，还要继续用pam_listfile模块来检查该用户是否出现在文件/etc/ftpusers中，如果是则该用户被拒绝掉 步骤2-5：控制su的操作能够进入的其他用户。 创建/etc/security/suok 文件，其中的内容为允许进入的用户名，o