一、 實驗項目名稱訪問控制實驗二、 實驗目的掌握Linux環境下用戶管理和進程管理的常用命令，了解Linux用戶管理的一般原則，掌握Linux中用戶管理、授權管理和PAM等相關的系統安全配置方法，建立起Linux操作系統的基本安全框架。三 、實驗內容與實驗步驟Linux訪問控制實驗、linux文件系統訪問控制實驗四、 實驗環境在計算機或虛擬機上安裝Linux環境，本實驗在VMware Workstation虛擬機上安裝的Ubuntu 10.04上進行。五、實驗過程與分析（一）、linux訪問控制實驗任務一：用戶管理步驟1：查看和添加名為mylist的新賬戶。用su命令切換到新建的賬戶，檢查shadow文件的權限設置是否安全。設置安全時，普通用戶mylist沒有查看該系統文件的權限。步驟2：添加和更改密碼（與實驗3一致，不再截圖）步驟3：賬戶的禁用與恢復步驟3-1：輸入下列命令行，以管理員身份鎖定新建賬戶，試圖再轉入mylist賬戶發現無法轉入。檢查用戶mylist的當前狀態，L表示賬戶已經被鎖定了。將鎖定賬戶解鎖步驟4：建立名為mygroup的用戶組。將新建的用戶組更名為mygroup1，將新建用戶mylist加入到新建的組mygroup1中。將mylist設置為該用戶組的管理員；用su命令轉換到mylist用戶下，并將系統中的一個普通用戶testuser1加入到mygroup1中，被設置為組管理員的用戶可以將其他用戶加入到該組中，普通用戶則沒有此權限。步驟5：設置密碼規則編輯/etc/login.defs目錄下的defs文件；在文件中找到有關口令信息相應內容步驟6：為賬戶和組相關系統文件加上不可更改屬性，防止非授權用戶獲得權限鎖定 /etc/passwd，再次建立新用戶friend時，由于系統文件被鎖定，無法完成操作命令。解除對于passwd文件的鎖定，再分別用同樣的方法鎖定/etc/shadow（用戶口令加密文件），無法創建用戶，鎖定/etc/group(用戶組名列表）/etc/gshadow(組密碼文件)，無法創建組。步驟7：刪除用戶和用戶組步驟8：編寫一個簡單的賬號木馬，并且運行木馬程序，輸入正確口令信息報錯，再次輸入才能正確登陸。這時就可以到/tmp/下看到剛才輸入的密碼已被存到/tmp/catchpass文件中。任務二：授權管理 步驟1：超級用戶權限授權管理：使用su命令對用戶授權：使用su命令對用戶授權添加新用戶testuser1；首先修改su的PAM配置文件（/etc/pam.d/su），然后以testuser1用戶登錄系統，嘗試命令su root，輸入正確的root密碼，也無法擁有root權限此時，將PAM配置文件（/etc/pam.d/su）修改回原先狀態，再次嘗試su root，輸入正確的root密碼，可以正常擁有root權限。再次修改su的PAM配置文件（/etc/pam.d/su），以root身份登錄系統，把testuser1用戶加入到用戶組wheel中后，又可以使用su命令了。 步驟1-3：使用sudo為用戶授權：sudo命令提供了另一種授予用戶管理權限的方法。用戶在管理命令前加一個sudo命令，這個用戶就會被提示輸入他自己的口令。驗證后，如果這個命令被授予該用戶執行，它就會以根用戶身份執行該命令。以用戶名zhang登錄，沒有權限為其他用戶更改密碼在文件系統中的/etc目錄下找到sudoers文件進行編輯。通過命令chmod 666 /etc/sudoers修改sudoers權限，在文件sudoers中添加語句 使用命令chmod 440 /etc/sudoers將文件修改為原先狀態。步驟1-4：以用戶名hzb登錄系統，發現其可以為testuser1改密碼 步驟2：利用PAM進行權限控制 步驟2-1：控制使用ssh登錄的用戶。步驟 2-2：控制密碼可以重試三次，不提示輸入舊密碼 步驟2-3：密碼強度控制。 新密碼使用MD5方式加密，密碼長度為10位，其中2位數字，2位其他字符，至少3位不得與舊密碼相同； 然后使用一個用戶名登錄系統（不要使用root登錄），試著為該用戶更改口令。 步驟2-4：配置vsftp的認證方式。 下面是vsftp服務器利用PAM模塊進行用戶認證的三個步驟。首先用pam_ftp模塊檢查當前用戶是否為匿名用戶，如果是匿名用戶，則sufficient控制標志表明無須再進行后面的認證步驟，直接通過認證；否則繼續使用pam_unix_auth模塊來進行標準的Linux認證，即用/etc/passwd和/etc/shadow進行認證；通過了pam_unix_auth模塊的認證之后，還要繼續用pam_listfile模塊來檢查該用戶是否出現在文件/etc/ftpusers中，如果是則該用戶被拒絕掉 步驟2-5：控制su的操作能夠進入的其他用戶。 創建/etc/security/suok 文件，其中的內容為允許進入的用戶名，one，two，root 在/etc/pam.d/su中添加：auth required pam_listfile.so onerr=fail item=user sense=allow file=/etc/security/suok只有suok文件里的用戶可以由su進入嘗試用su轉入用戶，由于one two 在suok中，所以可以由su進入，three則不行。 控制只有在root組中的用戶可以通過密碼su成為root，可以在/etc/pam.d/su中添加：auth sufficient pam_wheel.so group=root 在/etc/group中添加root組中的成員。將one添加到root組。嘗試用one，two利用su進入root權限，只有root組中的one 可以。（二）、linux文件系統訪問控制實驗步驟1：新建文件夾和文件：在/home/hzb目錄下新建名為myfolder的文件夾。用mkdir命令在myfolder文件夾下建立一個名為child的子文件夾，用cd命令進入child文件夾，并新建一個名為newfile的文件。步驟2：編輯文件：在“插入”模式下輸入：this is a new file.步驟3：查看文件內容及訪問權限：用cat命令查看文件內容，用ll命令查看相關的文件信息 步驟4：文件的打開使用gcc編譯器編譯程序，并生成可執行文件open_file 從中可以看到，系統成功打開（或創建）/home/hzb/hello文件，文件描述符為3。使用ls l進一步查看該文件信息如下： 由此可見，文件的執行權限“rwxr-xr-x”與程序中的“MODE”宏定義是吻合的，文件的長度為0，這與“FLAGS”宏定義是吻合的。 步驟5：設置或管理文件所屬用戶、用戶組和其他組用戶的權限方法一：用chmod命令將newfile文件的訪問權限設置為所屬用戶有讀、寫和執行的權限，用戶組有讀、執行的權限，其他用戶沒有任何權限，再次查看并記錄用戶權限，發現修改成功。 方法二：以下用chmod函數編程實現改變文件訪問權限：change_mode.c使用gcc編譯change_mode.c，并生成可執行文件change_mode，運行程序，得到輸出結果使用ll newfile命令查看文件/home/hzb/ myfolder/child/newfile的訪問控制信息，發現訪問權限改變。從中可以看到，顯示的文件的執行權限信息與程序中的“MODE”參數值0755是吻合的，即實驗成功執行。 步驟6：改變文件或目錄的所有權首先進入root用戶，進入/home路徑，新建文件mytest1.txt，改變文件的訪問控制權限為666，后查看文件權限；打開mytest1.txt文件，在文件中輸入數字“123456”并保存退出；此時將文件mytest1.txt復制到用戶hzb目錄下，進入/home/hzb目錄下，查看文件mytest1.txt內容：得到123456。再次查看文件的訪問控制權限，發現變成644但屬組，屬主沒變。 使用zhang用戶登錄并查看文件的訪問控制權限，權限還是644，屬組，屬主是root，此時，嘗試在文件mytest1.txt中輸入信息“testtext”，無權限無法寫入 使用chown命令改變文件mytest1.txt的所有權，再次使用用戶zhang對文件mytest1.txt進行寫操作，寫入內容為“test test”，并用cat命令顯示輸出文件mytest1.txt的內容。可以看出在進行chown命令之前，zhang用戶不能寫mytest1.txt文件，在執行chown命令之后則可以對文件進行讀寫了。在上面的實驗中更改了mytest1.txt的屬住，沒有更改它的組，它的組仍然是root，下面把mytest1.txt文件所屬的組修改為zhang 步驟7：配置并應用ACL管理文件的訪問權限步驟7-1：首先配置文件系統支持ACL：Linux系統默認可能支持ACL，若不支持，則需要進行配置。（1）可以直接修改/etc/fstab文件。修改方法通常是打開/etc/fstab文件，在defaults后面添加acl，然后輸入命令#mount o remount或者重啟系統就可以了；（2）或者也可以直接在命令行終端中安裝ACL工具。步驟7-2：以根用戶身份登錄系統，創建一個文件onn.txt，并查看/home/zhang目錄下文件，看到onn.txt 步驟7-3：以zhang用戶身份登錄系統，進行寫測試，以zhang用戶身份進行寫測試失敗 步驟7-4：使用setfacl命令設置文件test.txt，使得用戶hzb具有讀寫權限。可以使用getfacl命令查詢文件ACL屬性，可以看出設置ACL后，ll命令的輸出中test.txt文件的權限后面多出一個“+”，這也是ACL執行的一個標志。 5.2.5 實驗結果分析（一）熟悉了su、sudo、useradd、passwd、groupadd、userdel、groupdel和chattr等Linux下常用命令的使用方法以及簡單賬號木馬的工作原理。另一個是授權管理，進行了超級用戶權限授權管理和利用插件式鑒別模塊（PAM）認證機制進行權限控制。PAM是統一身份認證框架，基本