工控安全职业证书技能实践：文件及程序安全权限配置实战.docxVIP

文件及程序安全权限配置实战 课程级别 信息安全专业工业互联网安全方向 实验概述 此实验主要内容是初步了解用户身份与进程权限，掌握改变进程effective user ID，以及理解掌握多用户锁定策略和系统关键位置权限控制，从而部分掌握文件及程序安全权限配置方法（linux） 实验目标 1设置特殊权限set uid ID改变进程effective user ID 2 多用户锁定策略和系统关键位置配置 预备知识 1 掌握linux基础语法 2 了解linux基本文件权限结构 建议课时数 4 课时 实验环境准备 1虚拟机VMware workstation：Linux Ubuntu 18.04.5 2实验时硬件环境：单核CPU、2G内存、30G硬盘 实验步骤 任务一设置特殊权限set uid ID改变进程effective user ID 创建文件 root.log，权限为 640，此时只有 root 有权限读写该文件的内容，用户 user0 连读取该文件的权限都没有 ls -l file-root 执行cat去查看文件，无权限 ll /bin/cat 然后通过设置特殊权限 set uid ID 让运行 cat 程序的进程具有 root 权限： sudo chmod 4755 /bin/cat ls -l /bin/cat 任务二 多用户锁定策略 查看锁定用户，哪些的shell域为nologin root@ubuntu:/# cat /etc/password 得到： 红框部分：Shell：用户使用的shell，通常使用/bin/bash这个shell，这也就是为什么登陆Linux时默认的shell是bash的原因，就是在这里设置的，如果要想更改登陆后使用的shell，可以在这里修改。另外一个很重要的东西是有一个shell可以用来替代让账号无法登陆的命令，那就是/sbin/nologin。此处用户ftp无法通过ftp服务登录进去。 锁定用户可以修改/etc/passwd文件，将需要锁定的用户的shell域设定为nologin； 或者通过 pass -l username 锁定账户。 使用 pass -u username 解锁账户 （passwd命令只有在超级用户权限下能锁定用户） 系统关键位置配置 1使用命令 ls -l /etc/passwd ls -l /etc/shadow ls -l /etc/group 查看关键目录的用户对应权限参考命令，得到 2配置 chmod 644 /etc/passwd 所有用户都可读，root用户可写 –rw-r—r— 得到 3配置 chmod 600 /etc/shadow 只有root可读 –r-------- 4 4配置 chmod 644 /etc/group 必须所有用户都可读，root用户可写 –rw-r— r— 得到