《操作系统安全加固》 课件 模块2-任务5 设置Linux文件特殊权限.pptx

文件系统权限管理设置Linux文件特殊权限

课前准备1.回顾文件权限的设置；2.学习什么是特殊权限。文件权限的设置特殊权限

情境导入某公司已经安装并部署了一台Linux系统的服务器，架设并布署了Samba服务为公司内部的各部门提供文件共享服务。根据网络安全等级保护第三级对访问控制的要求：“应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则”。公司安全管理员已经对服务器进行了安全加固。但是，使用一段时间后，运维人员发现了一些问题：在运行一些权限较高的自动化脚本时，由于没有管理员权限，没有办法实现。当文件目录共享，需要一组项目成员共同使用，文件权限维护设置复杂。在一些公共目录一些文件用户创建的无效文件不能及时清理，管理员疲于应付。因此，为了保障企业文件服务器的安全，降低文件服务器的安全风险，但又要使用运维人员管理工作量相对减小，需要管理员小顾通过Linux文件系统中的特殊权限对相关目录进行权限设置。

情境导入-教师基于课前自测情况开展评价活动教师基于课前自测情况开展活动教师展示学生预习自测题情况教师就测试结果完成课前评价

1.运行admin用户主目录下的自动化运维程序info。在当前目录下生成info.txt并查看info.txt的内容2.在/var/share/publicinfo/目录下，已经存在info.txt。要求admin用户在此目录运行info程序，将信息写入到/var/share/publicinfo/info.txt文件中。根据安全管理要求，提出任务：教学活动一：为指定文件设置SUID权限为此，管理员以普通身份admin登录Linux系统服务器，使用su提升至root权限，完成下列安全运维任务：

教学活动一：为指定文件设置SUID权限1.由于这个info程序文件是所有者是admin用户，但是目标目录却是只有root用户有权限写入文件，用什么权限可以临时解决这个问题？

讨论小结教学活动一：为指定文件设置SUID权限可以使用SUID权限，在程序运行时获得root权限，写入输出的文件。教师点评，组织学生互评步骤01任务步骤使用admin用户身份登录，提升到root用户步骤02设置info的SUID位，使其可以在执行时具有root权限步骤03在/var/share/publicinfo目录运行程序输出信息。

教学活动一：为指定文件设置SUID权限任务初探下发任务单（课中资料）下发操作视频学生开展活动一实训教师点评任务实战环节

教学活动一：为指定文件设置SUID权限教师点评活动一实训环节（参与度、完成情况）提出教学KR1目标10分钟内完成任务要求01学生再次练习完成KR1指标02教师点评KR1活动达标率

根据安全管理要求，提出任务：教学活动二：为指定目录设置SGID特殊权限公司为拓展业务，新成立了一个AI的部门，为配合该部门的工作中文件共享的需求，在公司Linux文件共享服务器上，开设一个目录/var/share/ai_sharefolder此目录该部门的成员可以访问创建文件与子目录，所属组都为ais组。是不是有一种方法，使得创建出来的文件的所属组就是指定组呢？是不是有一种方法，使得创建出来的文件的所属组就是指定组呢？

教学活动二：为指定目录设置SGID特殊权限设定共享权限的原则：使用SGID教师点评，组织学生自评、互评

教学活动二：为指定目录设置SGID特殊权限步骤01任务步骤现Linux系统服务器已经存在管理员admin用户，管理员使用此账户登录系统，完成如下工作：步骤02在/var/share下创建目录ai_sharefolder，并将改目录的权限设为755，所属组为ais；组织学生观看操作录屏，分小组讨论任务步骤在/var/share/ai_sharefolder设置SGID特殊权限；步骤03创建ais组，并创建ai_user1与ai_user2用户，且这些用户都属于ais组；使用ai_user1、ai_user2验证，创建的文件的所属组皆为ais。步骤04

教学活动二：为指定目录设置SGID特殊权限步骤01任务步骤登录服务器；步骤02创建组与组成员；教师点评任务分析讨论环节设定目录的SGID权限；验证。步骤03步骤04

教学活动二：为指定目录设置SGID特殊权限任务初探下发任务单（课中资料）下发操作视频学生开展活动二实训教师评价学生小组完成任务情况

教学活动二：为指定目录设置SGID特殊权限教师点评活动二实训环节（参与度、完成情况）提出教学KR2目标10分钟内按要求完成SGID权限设置01学生再次练习完成KR2指标02教师点评KR2活动达标率

教学活动三：为指定目录设置SBIT特殊权限为了更方便共享文件，公司需要在Linux的