1. 請問Access Control Lists(程序訪問控製表)是什麼
傳統的Linux文件系統的許可權控制是通過user、group、other與r(讀)、w(寫)、x(執行)的不同組合來實現的。隨著應用的發展,這些許可權組合已不能適應現時復雜的文件系統許可權控制要求。例如,我們可能需把一個文件的讀許可權和寫許可權分別賦予兩個不同的用戶或一個用戶和一個組這樣的組合。傳統的許可權管理設置起來就力不從心了。為了解決這些問題,Linux開發出了一套新的文件系統許可權管理方法,叫文件訪問控制列表(Access Control Lists,ACL)。要啟用ACL,需內核提供ACL支持和安裝ACL管理工具。現在的2.6內核都提供ACL支持,在編譯內核時只要在file systems分支下,把Ext2 POSIX Access Control Lists或Ext3 POSIX Access Control Lists選中就可以了。用以下命令掛接硬碟啟用文件系統ACL。
2. 如何在Linux下設置訪問控制列表(ACL)來控制用戶的許可權
Linux下的訪問控制列表(ACL)主要用來控制用戶的許可權,可以做到不同用戶對同一文件有不同的許可權,那麼具體要如何操作呢?下面小編就教你如何在Linux下設置訪問控制列表(ACL)來控制用戶的許可權。
使用擁有許可權控制的Liunx,工作是一件輕松的任務。它可以定義任何user,group和other的許可權。無論是在桌面電腦或者不會有很多用戶的虛擬Linux實例,或者當用戶不願意分享他們之間的文件時,這樣的工作是很棒的。然而,如果你是在一個大型組織,你運行了NFS或者Samba服務給不同的用戶,然後你將會需要靈活的挑選並設置很多復雜的配置和許可權去滿足你的組織不同的需求。
Linux(和其他Unix等POSIX兼容的操作系統)有一種被稱為訪問控制列表(ACL)的許可權控制方法,它是一種許可權分配之外的普遍範式。例如,默認情況下你需要確認3個許可權組:owner、group和other。而使用ACL,你可以增加許可權給其他用戶或組別,而不單只是簡單的「other」或者是擁有者不存在的組別。可以允許指定的用戶A、B、C擁有寫許可權而不再是讓他們整個組擁有寫許可權。
ACL支持多種Linux文件系統,包括ext2, ext3, ext4, XFS, Btfrs, 等。如果你不確定你的文件系統是否支持ACL,請參考文檔。
在文件系統使ACL生效
首先,我們需要安裝工具來管理ACL。
Ubuntu/Debian 中:
$ sudo apt-get install acl
CentOS/Fedora/RHEL 中:
# yum -y install acl
Archlinux 中:
# pacman -S acl
出於演示目的,我將使用ubuntu server版本,其他版本類似。
安裝ACL完成後,需要激活我們磁碟分區的ACL功能,這樣我們才能使用它。
首先,我們檢查ACL功能是否已經開啟。
$ mount
你可以注意到,我的root分區中ACL屬性已經開啟。萬一你沒有開啟,你需要編輯/etc/fstab文件,在你需要開啟ACL的分區的選項前增加acl標記。
現在我們需要重新掛載分區(我喜歡完全重啟,因為我不想丟失數據),如果你對其它分區開啟ACL,你必須也重新掛載它。
$ sudo mount / -o remount
乾的不錯!現在我們已經在我們的系統中開啟ACL,讓我們開始和它一起工作。
ACL 範例
基礎ACL通過兩條命令管理:setfacl用於增加或者修改ACL,getfacl用於顯示分配完的ACL。讓我們來做一些測試。
我創建一個目錄/shared給一個假設的用戶,名叫freeuser
$ ls -lh /
我想要分享這個目錄給其他兩個用戶test和test2,一個擁有完整許可權,另一個只有讀許可權。
首先,為用戶test設置ACL:
$ sudo setfacl -m u:test:rwx /shared
現在用戶test可以隨意創建文件夾,文件和訪問在/shared目錄下的任何地方。
現在我們增加只讀許可權給用戶test2:
$ sudo setfacl -m u:test2:rx /shared
注意test2讀取目錄需要執行(x)許可權
讓我來解釋下setfacl命令格式:
-m 表示修改ACL。你可以增加新的,或修改存在的ACLu: 表示用戶。你可以使用 g 來設置組許可權test 用戶名:rwx 需要設置的許可權。
現在讓我向你展示如何讀取ACL:
$ ls -lh /shared
你可以注意到,正常許可權後多一個+標記。這表示ACL已經設置成功。要具體看一下ACL,我們需要運行:
$ sudo getfacl /shared
最後,如果你需要移除ACL:
$ sudo setfacl -x u:test /shared
如果你想要立即擦除所有ACL條目:
$ sudo setfacl -b /shared
最後,在設置了ACL文件或目錄工作時,cp和mv命令會改變這些設置。在cp的情況下,需要添加「p」參數來復制ACL設置。如果這不可行,它將會展示一個警告。mv默認移動ACL設置,如果這也不可行,它也會向您展示一個警告。
總結
使用ACL讓在你想要分享的文件上擁有更多的能力和控制,特別是在NFS/Samba服務。此外,如果你的主管共享主機,這個工具是必備的。
上面就是Linux下設置訪問控制列表來控制用戶許可權的方法介紹了,因為ACL的配置和使用較為復雜,初學者在使用的時候容易出現錯誤,希望本文介紹的方法能夠幫助到你。
3. 訪問能力表和訪問控製表的比較
訪問能力表是以用戶為中心建立訪問許可權表
訪問控製表是以文件為中心建立的訪問許可權表
4. 訪問控制列表有什麼用
訪問控制列表顧名思義就是控制網路訪問許可權的,可以基於IP地址進行控制也可以基於MAC地址進行控制。
在控制列表中的IP地址或MAC地址依據其設置的允許或拒絕前置條件可以做到只允許控制列表中的IP地址或MAC地址的設備允許或拒絕使用網路
5. 訪問控制列表的基本定義
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術也比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
訪問控制列表(Access Control Lists,ACL)是應用在路由器介面的指令列表。這些指令列表用來告訴路由器哪些數據包可以收、哪些數據包需要拒絕。至於數據包是被接收還是拒絕,可以由類似於源地址、目的地址、埠號等的特定指示條件來決定。
訪問控制列表不但可以起到控制網路流量、流向的作用,而且在很大程度上起到保護網路設備、伺服器的關鍵作用。作為外網進入企業內網的第一道關卡,路由器上的訪問控制列表成為保護內網安全的有效手段。
此外,在路由器的許多其他配置任務中都需要使用訪問控制列表,如網路地址轉換(Network Address Translation,NAT)、按需撥號路由(Dial on Demand Routing,DDR)、路由重分布(Routing Redistribution)、策略路由(Policy-Based Routing,PBR)等很多場合都需要訪問控制列表。
訪問控制列表從概念上來講並不復雜,復雜的是對它的配置和使用,許多初學者往往在使用訪問控制列表時出現錯誤。
6. 訪問控制列表的作用和組成是什麼
標准和擴展標準的ACL使用 1 ~ 99 以及1300~1999之間的數字作為表號 擴展的ACL使用 100 ~ 199以及2000~2699之間的數字作為表號作用:控制流量對網路統一管理流量允許、拒絕用 標准ACL對單以服務或協議控制允許、拒絕用 擴展ACL。
7. 求助操作系統試題
網路操作系統期末復習模擬試題
一、填空題
1.網路軟體是指:網路協議軟體、通信軟體和( )。
2.網路操作系統為用戶提供一個方便介面,網路用戶通過( )請求網路服務。
3.為了有效地管理使用網路的用戶,NT建立了一個安全的( )又稱帳號和安全策略資料庫。
4.域模式的特點有三個:( )、( )和用戶的配置文件能跟隨用戶。
5.在安裝Windows NT Server後,系統會自動創建兩個全局帳號,一個是( ),另一個是Guest。
6.域模式中安裝的Windows NT Server 的計算機有三類,分別為( )、備份域控制器和( )。
7.Microsoft 建議不要將許可權賦予( ),而傾向於將許可權賦予( )。
8.在多個域組成的網路中,各個域之間是以( )來建立溝通和管理的。
9.在工作組模式下,網路中的每台計算機都可以扮演( )或工作站的角色。每台計算機均可通過訪問工作組中的其它計算機的( ),也可以提供資源給( )使用。
10.當A域信任B域的委託關系建立後,A域是( ),B域是( )。
11.Windows NT 可以支持的文件系統是( ),但也對( )文件系統兼容。
12.網路的域模式有( )、單主域模式、( )和完全委託域模式。由N個域組成的完全委託域,委託關系有N*(N-1)種。
13.FAT文件系統的目錄結構,即目錄項,包含的信息有( )、( )、屬性等。
14.NTFS的每個卷由( )部分組成。分別是引導扇區、( )、系統文件區和( )。
二、單選題
1. 一個域至少應包含下面的哪一項的內容( )。
A、 一個BDC和一個PDC B、只需一個BDC
C、 一個PDC D、一個PDC和至少一個BDC
2.當安裝Windows NT Server時, 會詢問計算機的名稱。請問下面哪個語句描述了計算機名稱的作用( )。
A、 計算機名稱就是NetBIOS 名稱,通過它可以在網上識別計算機。只要能通過路由器加以分離, 就允許兩台計算機有相同的名字
B、 計算機名稱就是NetBIOS 名稱,通過它可以在網上識別計算機。兩台計算機絕不能有相同的名字
通過計算機名字可以識別連接到某一個域控制器上的計算機。計算機名稱至少有兩個字母組成,且名稱中必須含有域名
C、 計算機名稱隨情況而不同,並且在用戶第一次登錄時,必須輸入計算機名稱
3.一個用戶對系統管理員說他忘記了他的登錄密碼,無法登錄了。系統管理員有什麼辦法讓他登錄( )。
A、 為他創建一個新的不帶密碼的用戶帳號
B、 修改這個用戶的密碼並對這個帳號的策略進行設置,使他的密碼永不失效並且不能被修改
C、 使用User Manager來修改他的密碼,並對這個帳號的策略進行設置,使他在下次登錄時必須修改密碼。然後告訴這個用戶新的密碼,並告訴他下次登錄時必須修改這個密碼
D、 告訴用戶再試著用其它密碼進行登錄,希望他能突然回憶起原來的密碼
4.有人不想讓使用他的工作站的人訪問他正在處理的一些文件。他應如何做才能達到目的( )。
A、 將這些文件存儲到公文包中,公文包具有安全性選項實現密碼保護
B、 用FAT格式化硬碟。FAT具有內置的對基於帳號的訪問控制的支持
C、 用NTFS格式化硬碟。NTFS具有內置的對基於帳號的訪問控制的支持
D、 將文件存儲到桌面上,桌面具有安全性選項實現密碼保護
5.Windows NT 4.0下,FAT支持的文件名最長可達( )。
A、125字元 B、8.3格式
C、255字元 D、取決於分區的大小
6.下面哪一種磁碟分區方案允許將從2到32個物理驅動器獲得的相同大小的磁碟空間合並為一個邏輯驅動器( )。
A、帶校驗的帶區集 B、卷集 C、NTFS卷 D、帶區集
7.計算機之間可以通過以下哪種協議實現對等通信( )。
A、DHCP
B、DNS
C、WINS
D、NETBIOS
8.UNIX系統中用戶的有效用戶組( )。
A、任意時刻可以有多個
B、運行時是不可變
C、被設置為用戶在passwd文件中的gid項規定的用戶組
D、以上這些說法都不對
9.UNIX 操作系統的帳號管理和許可權分配主要是通過哪三個文件管理來實現( )。
A、/etc/passwd , /etc/profile 和 /etc/group
B、/etc/group, /etc/profile 和/etc/shadow
C、/etc/group, /etc/shadow 和/etc/passwd
10.不是NDS中的對象為( )。
A、根
B、容器
C、葉
D、枝
三、多選題
1.Windows NT系統中的NTDS包含了( )等系統的安全策略設置信息。
A、用戶帳號
B、密碼
C、訪問許可權
D、組帳號
2.在Windows NT Workstation 上要想將文件共享出去,你必須是下面哪些組的成員用戶( )。
A、Administrators B、Power Users
C、Users D、Server Users
3.為了使一台Windows NT Workstation 4.0 能夠在一個使用路由器的廣域網配置中進行通信,下面哪些網路屬性需要進行手工配置( )。
A、IP地址 B、子網掩碼
C、DHCP伺服器地址 D、默認網關地址
4.下面哪些選項描述了NetBEUI協議的特點( )。
A、在小型區域網中具有較高的傳輸性能 B、內存額外開銷較少
C、完全自調節 D、支持路由選擇
5.下列說法正確的是( )。
A、網路中某台主機的IP地址是唯一的
B、網路中某台主機的IP地址每位不能全部為1,這個地址是TCP/IP的廣播地址
C、網路中某台主機的IP地址每位不能全部為0,這個地址是TCP/IP的廣播地址
D、C類網路默認的子網掩碼為255.255.0.0
四、問答題
1. 在Windows NT中,如何實現某個班級所有用戶對某個文件夾的讀寫訪問?
2. 網路操作系統的主要功能有哪些?
3. Windows NT有哪些特點?
4.什麼叫主域控制器?什麼叫備份域控制器?
5.在WindowsNT中,有如下所示信任圖,請說明它們之間的委託和信任關系。
參考答案
一、填空題
1. 網路操作系統
2. 網路操作系統
3.目錄資料庫
4.帳號的集中管理、資源的集中管理
5.administrator
6.主域控制器、成員伺服器
7.用戶、組
8.委託
9.伺服器?、資源、其它計算機
10.委託域、受委託
11.NTFS、FAT
12.單域模式、多主域模式
13.名稱、保存位置
14.四、主文件表、文件區
二、單選題
1. C
2. A
3. C
4. C
5. B
6. B
7. C
8. D
9. C
10.D
三、多選題
1. A、B、C、D
2. A、B
3. A、B、D
4. A、B、C
5. A、B
四、問答題
1.
(1)選擇(或設置)一個主域伺服器。
(2)在域上首先定義班級為一個組,而班級所有成員都歸屬這個組。
(3)對文件夾進行共享設置,並添加班級組,其許可權為安全控制。
(4)設置文件夾的安全性,添加班級組,其訪問許可權為選擇性訪問中的讀寫。
2.
(1) 處理機功能 (2)存儲管理 (3)設備管理 (4)文件管理
(5) 作業管理 (6)網路管理
3.
(1) 支持對等式和客戶機-伺服器網路。
(2) 增加網路的軟體和硬體變得十分簡便。
(3) 與現有網路較強的交互操作能力。
(4)支持分布式應用程序。
4.
在域中維護目錄資料庫的伺服器為PDC。PDC主要用於創建域用戶、維護域的安全策略,並用於驗證用戶登錄。在域中其它存有目錄資料庫的伺服器為BDC。BDC持有目錄資料庫的拷貝,且內容會定期根據PDC的變化而更新。
5.
A域上的所有用戶帳號只能訪問A域中的資源。
B域上的所有用戶帳號可以訪問A域以及B域中的資源。
C域上的所有用戶帳號可以訪問B域以及C域中的資源。
D域上的所有用戶帳號可以訪問C域、A域以及D域中的資源。
8. 計算機信息安全中 訪問控制矩陣的行、列分別代表什麼
按訪問控制矩陣行建立的是 訪問許可權表 ,按列建立的是 訪問控製表 。
9. 訪問控制
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術也比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。 用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的預設限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網路。 對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,用戶口令必須經過加密。用戶還可採用一次性用戶口令,也可用攜帶型驗證器(如智能卡)來驗證用戶的身份。 網路管理員可以控制和限制普通用戶的賬號使用、訪問網路的時間和方式。用戶賬號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。 用戶名和口令驗證有效之後,再進一步履行用戶賬號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時,網路還應能對用戶的賬號加以限制,用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。
許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽(irm)可作為兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器,可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類:特殊用戶(即系統管理員);一般用戶,系統管理員根據他們的實際需要為他們分配操作許可權;審計用戶,負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用訪問控製表來描述。
目錄級安全控制
網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種:系統管理員許可權、讀許可權、寫許可權、創建許可權、刪除許可權、修改許可權、文件查找許可權、訪問控制許可權。用戶對文件或目標的有效許可權取決於以下兩個因素:用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對伺服器資源的訪問 ,從而加強了網路和伺服器的安全性。
屬性安全控制
當用文件、目錄和網路設備時,網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表,用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。
伺服器安全控制
網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊,可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
是否可以解決您的問題?
10. 以主體(如:用戶)為中心建立的訪問許可權表,被稱為:( )
A訪問控制能力表