① 訪問控制技術手段有哪些並比較優缺點
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術也比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。 用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的預設限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網路。 對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,用戶口令必須經過加密。用戶還可採用一次性用戶口令,也可用攜帶型驗證器(如智能卡)來驗證用戶的身份。 網路管理員可以控制和限制普通用戶的賬號使用、訪問網路的時間和方式。用戶賬號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。 用戶名和口令驗證有效之後,再進一步履行用戶賬號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時,網路還應能對用戶的賬號加以限制,用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。
許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽(irm)可作為兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器,可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類:特殊用戶(即系統管理員);一般用戶,系統管理員根據他們的實際需要為他們分配操作許可權;審計用戶,負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用訪問控製表來描述。
目錄級安全控制
網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種:系統管理員許可權、讀許可權、寫許可權、創建許可權、刪除許可權、修改許可權、文件查找許可權、訪問控制許可權。用戶對文件或目標的有效許可權取決於以下兩個因素:用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對伺服器資源的訪問 ,從而加強了網路和伺服器的安全性。
屬性安全控制
當用文件、目錄和網路設備時,網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表,用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。
伺服器安全控制
網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊,可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
② 計算機安全服務中訪問控制的主要功能
計算機安全服務中訪問控制的主要功能:
一、 防止非法的主體進入受保護的網路資源。
二、允許合法用戶訪問受保護的網路資源。
三、防止合法的用戶對受保護的網路資源進行非授權的訪問。
訪問控制是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術。
(2)控制用戶高頻訪問擴展閱讀:
網路訪問控制通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。常用的訪問控制方式有3種,分別是載波多路訪問/沖突檢測(CSMA/CD)、令牌環訪問控製法(Token Ring)和令牌匯流排訪問控製法(Toking Bus)。
載波多路訪問/沖突檢測(CSMA/CD)訪問控制方式主要用於匯流排型和樹狀網路拓撲結構、基帶傳輸系統,適用於匯流排型區域網。
令牌環介質訪問控制方法是通過在環狀網上傳輸令牌的方式來實現對介質的訪問控制。
令牌匯流排訪問控製法主要用於匯流排型或樹狀網路結構中,目前微機局域中的主流介質訪問控制方式。
③ 訪問控制的基本原理和常見模型
訪問控制的功能及原理:
訪問控制的主要功能包括:保證合法用戶訪問受權保護的網路資源,防止非法的主體進入受保護的網路資源,或防止合法用戶對受保護的網路資源進行非授權的訪問。訪問控制首先需要對用戶身份的合法性進行驗證,同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後,還需要對越權操作進行監控。因此,訪問控制的內容包括認證、控制策略實現和安全審計。
1、認證。包括主體對客體的識別及客體對主體的檢驗確認;
2、控制策略。通過合理地設定控制規則集合,確保用戶對信息資源在授權范圍內的合法使用。既要確保授權用戶的合理使用,又要防止非法用戶侵權進入系統,使重要信息資源泄露。同時對合法用戶,也不能越權行使許可權以外的功能及訪問范圍;
3、安全審計。系統可以自動根據用戶的訪問許可權,對計算機網路環境下的有關活動或行為進行系統的、獨立的檢查驗證,並做出相應評價與審計。
訪問控制的模型:
主要的訪問控制類型有3種模型:自主訪問控制(DAC)、強制訪問控制(MAC)和基於角色訪問控制(RBAC)。
1、自主訪問控制
自主訪問控制(Discretionary Access Control,DAC)是一種接入控制服務,通過執行基於系統實體身份及其到系統資源的接入授權。包括在文件,文件夾和共享資源中設置許可。用戶有權對自身所創建的文件、數據表等訪問對象進行訪問,並可將其訪問權授予其他用戶或收回其訪問許可權。允許訪問對象的屬主制定針對該對象訪問的控制策略,通常,可通過訪問控制列表來限定針對客體可執行的操作。
2、強制訪問控制
強制訪問控制(MAC)是系統強制主體服從訪問控制策略。是由系統對用戶所創建的對象,按照規定的規則控制用戶許可權及操作對象的訪問。主要特徵是對所有主體及其所控制的進程、文件、段、設備等客體實施強制訪問控制。
3、基於角色的訪問控制
角色(Role)是一定數量的許可權的集合。指完成一項任務必須訪問的資源及相應操作許可權的集合。角色作為一個用戶與許可權的代理層,表示為許可權和用戶的關系,所有的授權應該給予角色而不是直接給用戶或用戶組。
④ 如何在Linux下設置訪問控制列表(ACL)來控制用戶的許可權
Linux下的訪問控制列表(ACL)主要用來控制用戶的許可權,可以做到不同用戶對同一文件有不同的許可權,那麼具體要如何操作呢?下面小編就教你如何在Linux下設置訪問控制列表(ACL)來控制用戶的許可權。
使用擁有許可權控制的Liunx,工作是一件輕松的任務。它可以定義任何user,group和other的許可權。無論是在桌面電腦或者不會有很多用戶的虛擬Linux實例,或者當用戶不願意分享他們之間的文件時,這樣的工作是很棒的。然而,如果你是在一個大型組織,你運行了NFS或者Samba服務給不同的用戶,然後你將會需要靈活的挑選並設置很多復雜的配置和許可權去滿足你的組織不同的需求。
Linux(和其他Unix等POSIX兼容的操作系統)有一種被稱為訪問控制列表(ACL)的許可權控制方法,它是一種許可權分配之外的普遍範式。例如,默認情況下你需要確認3個許可權組:owner、group和other。而使用ACL,你可以增加許可權給其他用戶或組別,而不單只是簡單的「other」或者是擁有者不存在的組別。可以允許指定的用戶A、B、C擁有寫許可權而不再是讓他們整個組擁有寫許可權。
ACL支持多種Linux文件系統,包括ext2, ext3, ext4, XFS, Btfrs, 等。如果你不確定你的文件系統是否支持ACL,請參考文檔。
在文件系統使ACL生效
首先,我們需要安裝工具來管理ACL。
Ubuntu/Debian 中:
$ sudo apt-get install acl
CentOS/Fedora/RHEL 中:
# yum -y install acl
Archlinux 中:
# pacman -S acl
出於演示目的,我將使用ubuntu server版本,其他版本類似。
安裝ACL完成後,需要激活我們磁碟分區的ACL功能,這樣我們才能使用它。
首先,我們檢查ACL功能是否已經開啟。
$ mount
你可以注意到,我的root分區中ACL屬性已經開啟。萬一你沒有開啟,你需要編輯/etc/fstab文件,在你需要開啟ACL的分區的選項前增加acl標記。
現在我們需要重新掛載分區(我喜歡完全重啟,因為我不想丟失數據),如果你對其它分區開啟ACL,你必須也重新掛載它。
$ sudo mount / -o remount
乾的不錯!現在我們已經在我們的系統中開啟ACL,讓我們開始和它一起工作。
ACL 範例
基礎ACL通過兩條命令管理:setfacl用於增加或者修改ACL,getfacl用於顯示分配完的ACL。讓我們來做一些測試。
我創建一個目錄/shared給一個假設的用戶,名叫freeuser
$ ls -lh /
我想要分享這個目錄給其他兩個用戶test和test2,一個擁有完整許可權,另一個只有讀許可權。
首先,為用戶test設置ACL:
$ sudo setfacl -m u:test:rwx /shared
現在用戶test可以隨意創建文件夾,文件和訪問在/shared目錄下的任何地方。
現在我們增加只讀許可權給用戶test2:
$ sudo setfacl -m u:test2:rx /shared
注意test2讀取目錄需要執行(x)許可權
讓我來解釋下setfacl命令格式:
-m 表示修改ACL。你可以增加新的,或修改存在的ACLu: 表示用戶。你可以使用 g 來設置組許可權test 用戶名:rwx 需要設置的許可權。
現在讓我向你展示如何讀取ACL:
$ ls -lh /shared
你可以注意到,正常許可權後多一個+標記。這表示ACL已經設置成功。要具體看一下ACL,我們需要運行:
$ sudo getfacl /shared
最後,如果你需要移除ACL:
$ sudo setfacl -x u:test /shared
如果你想要立即擦除所有ACL條目:
$ sudo setfacl -b /shared
最後,在設置了ACL文件或目錄工作時,cp和mv命令會改變這些設置。在cp的情況下,需要添加「p」參數來復制ACL設置。如果這不可行,它將會展示一個警告。mv默認移動ACL設置,如果這也不可行,它也會向您展示一個警告。
總結
使用ACL讓在你想要分享的文件上擁有更多的能力和控制,特別是在NFS/Samba服務。此外,如果你的主管共享主機,這個工具是必備的。
上面就是Linux下設置訪問控制列表來控制用戶許可權的方法介紹了,因為ACL的配置和使用較為復雜,初學者在使用的時候容易出現錯誤,希望本文介紹的方法能夠幫助到你。
⑤ 如何設置Windows用戶許可權、限制用戶訪問磁碟
1,在控制面板--用戶賬戶
去掉Everyone、user等不必要的用戶和組,只留下Administrator等必要用戶,那麼user就不能訪問D盤了。當然也可以在D盤屬性的安全選項里留下user,但是限制user為只讀、運行的許可權,限制user的訪問。
1,在編輯器窗口的左側窗口中逐級展開計算機配置→Windows設置→安全設置→本地策略→用戶許可權指派分支。
3,雙擊需要改變的用戶許可權,單擊添加用戶或組按鈕,然後雙擊想指派給許可權的用戶賬號,最後單擊確定按鈕退出。
點擊開始-控制面板-管理工具-計算機管理-打開本地用戶和組-選擇用戶-右擊選擇新建用戶,新建一個用戶,並給他設定密碼,讓其他人都用這個用戶登錄你的計算機,就不可以安裝程序了。
系統創建的默認用戶屬於user組,沒有安裝程序的許可權