1. 请问Access Control Lists(程序访问控制表)是什么
传统的Linux文件系统的权限控制是通过user、group、other与r(读)、w(写)、x(执行)的不同组合来实现的。随着应用的发展,这些权限组合已不能适应现时复杂的文件系统权限控制要求。例如,我们可能需把一个文件的读权限和写权限分别赋予两个不同的用户或一个用户和一个组这样的组合。传统的权限管理设置起来就力不从心了。为了解决这些问题,Linux开发出了一套新的文件系统权限管理方法,叫文件访问控制列表(Access Control Lists,ACL)。要启用ACL,需内核提供ACL支持和安装ACL管理工具。现在的2.6内核都提供ACL支持,在编译内核时只要在file systems分支下,把Ext2 POSIX Access Control Lists或Ext3 POSIX Access Control Lists选中就可以了。用以下命令挂接硬盘启用文件系统ACL。
2. 如何在Linux下设置访问控制列表(ACL)来控制用户的权限
Linux下的访问控制列表(ACL)主要用来控制用户的权限,可以做到不同用户对同一文件有不同的权限,那么具体要如何操作呢?下面小编就教你如何在Linux下设置访问控制列表(ACL)来控制用户的权限。
使用拥有权限控制的Liunx,工作是一件轻松的任务。它可以定义任何user,group和other的权限。无论是在桌面电脑或者不会有很多用户的虚拟Linux实例,或者当用户不愿意分享他们之间的文件时,这样的工作是很棒的。然而,如果你是在一个大型组织,你运行了NFS或者Samba服务给不同的用户,然后你将会需要灵活的挑选并设置很多复杂的配置和权限去满足你的组织不同的需求。
Linux(和其他Unix等POSIX兼容的操作系统)有一种被称为访问控制列表(ACL)的权限控制方法,它是一种权限分配之外的普遍范式。例如,默认情况下你需要确认3个权限组:owner、group和other。而使用ACL,你可以增加权限给其他用户或组别,而不单只是简单的“other”或者是拥有者不存在的组别。可以允许指定的用户A、B、C拥有写权限而不再是让他们整个组拥有写权限。
ACL支持多种Linux文件系统,包括ext2, ext3, ext4, XFS, Btfrs, 等。如果你不确定你的文件系统是否支持ACL,请参考文档。
在文件系统使ACL生效
首先,我们需要安装工具来管理ACL。
Ubuntu/Debian 中:
$ sudo apt-get install acl
CentOS/Fedora/RHEL 中:
# yum -y install acl
Archlinux 中:
# pacman -S acl
出于演示目的,我将使用ubuntu server版本,其他版本类似。
安装ACL完成后,需要激活我们磁盘分区的ACL功能,这样我们才能使用它。
首先,我们检查ACL功能是否已经开启。
$ mount
你可以注意到,我的root分区中ACL属性已经开启。万一你没有开启,你需要编辑/etc/fstab文件,在你需要开启ACL的分区的选项前增加acl标记。
现在我们需要重新挂载分区(我喜欢完全重启,因为我不想丢失数据),如果你对其它分区开启ACL,你必须也重新挂载它。
$ sudo mount / -o remount
干的不错!现在我们已经在我们的系统中开启ACL,让我们开始和它一起工作。
ACL 范例
基础ACL通过两条命令管理:setfacl用于增加或者修改ACL,getfacl用于显示分配完的ACL。让我们来做一些测试。
我创建一个目录/shared给一个假设的用户,名叫freeuser
$ ls -lh /
我想要分享这个目录给其他两个用户test和test2,一个拥有完整权限,另一个只有读权限。
首先,为用户test设置ACL:
$ sudo setfacl -m u:test:rwx /shared
现在用户test可以随意创建文件夹,文件和访问在/shared目录下的任何地方。
现在我们增加只读权限给用户test2:
$ sudo setfacl -m u:test2:rx /shared
注意test2读取目录需要执行(x)权限
让我来解释下setfacl命令格式:
-m 表示修改ACL。你可以增加新的,或修改存在的ACLu: 表示用户。你可以使用 g 来设置组权限test 用户名:rwx 需要设置的权限。
现在让我向你展示如何读取ACL:
$ ls -lh /shared
你可以注意到,正常权限后多一个+标记。这表示ACL已经设置成功。要具体看一下ACL,我们需要运行:
$ sudo getfacl /shared
最后,如果你需要移除ACL:
$ sudo setfacl -x u:test /shared
如果你想要立即擦除所有ACL条目:
$ sudo setfacl -b /shared
最后,在设置了ACL文件或目录工作时,cp和mv命令会改变这些设置。在cp的情况下,需要添加“p”参数来复制ACL设置。如果这不可行,它将会展示一个警告。mv默认移动ACL设置,如果这也不可行,它也会向您展示一个警告。
总结
使用ACL让在你想要分享的文件上拥有更多的能力和控制,特别是在NFS/Samba服务。此外,如果你的主管共享主机,这个工具是必备的。
上面就是Linux下设置访问控制列表来控制用户权限的方法介绍了,因为ACL的配置和使用较为复杂,初学者在使用的时候容易出现错误,希望本文介绍的方法能够帮助到你。
3. 访问能力表和访问控制表的比较
访问能力表是以用户为中心建立访问权限表
访问控制表是以文件为中心建立的访问权限表
4. 访问控制列表有什么用
访问控制列表顾名思义就是控制网络访问权限的,可以基于IP地址进行控制也可以基于MAC地址进行控制。
在控制列表中的IP地址或MAC地址依据其设置的允许或拒绝前置条件可以做到只允许控制列表中的IP地址或MAC地址的设备允许或拒绝使用网络
5. 访问控制列表的基本定义
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。
此外,在路由器的许多其他配置任务中都需要使用访问控制列表,如网络地址转换(Network Address Translation,NAT)、按需拨号路由(Dial on Demand Routing,DDR)、路由重分布(Routing Redistribution)、策略路由(Policy-Based Routing,PBR)等很多场合都需要访问控制列表。
访问控制列表从概念上来讲并不复杂,复杂的是对它的配置和使用,许多初学者往往在使用访问控制列表时出现错误。
6. 访问控制列表的作用和组成是什么
标准和扩展标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号 扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号作用:控制流量对网络统一管理流量允许、拒绝用 标准ACL对单以服务或协议控制允许、拒绝用 扩展ACL。
7. 求助操作系统试题
网络操作系统期末复习模拟试题
一、填空题
1.网络软件是指:网络协议软件、通信软件和( )。
2.网络操作系统为用户提供一个方便接口,网络用户通过( )请求网络服务。
3.为了有效地管理使用网络的用户,NT建立了一个安全的( )又称帐号和安全策略数据库。
4.域模式的特点有三个:( )、( )和用户的配置文件能跟随用户。
5.在安装Windows NT Server后,系统会自动创建两个全局帐号,一个是( ),另一个是Guest。
6.域模式中安装的Windows NT Server 的计算机有三类,分别为( )、备份域控制器和( )。
7.Microsoft 建议不要将权限赋予( ),而倾向于将权限赋予( )。
8.在多个域组成的网络中,各个域之间是以( )来建立沟通和管理的。
9.在工作组模式下,网络中的每台计算机都可以扮演( )或工作站的角色。每台计算机均可通过访问工作组中的其它计算机的( ),也可以提供资源给( )使用。
10.当A域信任B域的委托关系建立后,A域是( ),B域是( )。
11.Windows NT 可以支持的文件系统是( ),但也对( )文件系统兼容。
12.网络的域模式有( )、单主域模式、( )和完全委托域模式。由N个域组成的完全委托域,委托关系有N*(N-1)种。
13.FAT文件系统的目录结构,即目录项,包含的信息有( )、( )、属性等。
14.NTFS的每个卷由( )部分组成。分别是引导扇区、( )、系统文件区和( )。
二、单选题
1. 一个域至少应包含下面的哪一项的内容( )。
A、 一个BDC和一个PDC B、只需一个BDC
C、 一个PDC D、一个PDC和至少一个BDC
2.当安装Windows NT Server时, 会询问计算机的名称。请问下面哪个语句描述了计算机名称的作用( )。
A、 计算机名称就是NetBIOS 名称,通过它可以在网上识别计算机。只要能通过路由器加以分离, 就允许两台计算机有相同的名字
B、 计算机名称就是NetBIOS 名称,通过它可以在网上识别计算机。两台计算机绝不能有相同的名字
通过计算机名字可以识别连接到某一个域控制器上的计算机。计算机名称至少有两个字母组成,且名称中必须含有域名
C、 计算机名称随情况而不同,并且在用户第一次登录时,必须输入计算机名称
3.一个用户对系统管理员说他忘记了他的登录密码,无法登录了。系统管理员有什么办法让他登录( )。
A、 为他创建一个新的不带密码的用户帐号
B、 修改这个用户的密码并对这个帐号的策略进行设置,使他的密码永不失效并且不能被修改
C、 使用User Manager来修改他的密码,并对这个帐号的策略进行设置,使他在下次登录时必须修改密码。然后告诉这个用户新的密码,并告诉他下次登录时必须修改这个密码
D、 告诉用户再试着用其它密码进行登录,希望他能突然回忆起原来的密码
4.有人不想让使用他的工作站的人访问他正在处理的一些文件。他应如何做才能达到目的( )。
A、 将这些文件存储到公文包中,公文包具有安全性选项实现密码保护
B、 用FAT格式化硬盘。FAT具有内置的对基于帐号的访问控制的支持
C、 用NTFS格式化硬盘。NTFS具有内置的对基于帐号的访问控制的支持
D、 将文件存储到桌面上,桌面具有安全性选项实现密码保护
5.Windows NT 4.0下,FAT支持的文件名最长可达( )。
A、125字符 B、8.3格式
C、255字符 D、取决于分区的大小
6.下面哪一种磁盘分区方案允许将从2到32个物理驱动器获得的相同大小的磁盘空间合并为一个逻辑驱动器( )。
A、带校验的带区集 B、卷集 C、NTFS卷 D、带区集
7.计算机之间可以通过以下哪种协议实现对等通信( )。
A、DHCP
B、DNS
C、WINS
D、NETBIOS
8.UNIX系统中用户的有效用户组( )。
A、任意时刻可以有多个
B、运行时是不可变
C、被设置为用户在passwd文件中的gid项规定的用户组
D、以上这些说法都不对
9.UNIX 操作系统的帐号管理和权限分配主要是通过哪三个文件管理来实现( )。
A、/etc/passwd , /etc/profile 和 /etc/group
B、/etc/group, /etc/profile 和/etc/shadow
C、/etc/group, /etc/shadow 和/etc/passwd
10.不是NDS中的对象为( )。
A、根
B、容器
C、叶
D、枝
三、多选题
1.Windows NT系统中的NTDS包含了( )等系统的安全策略设置信息。
A、用户帐号
B、密码
C、访问权限
D、组帐号
2.在Windows NT Workstation 上要想将文件共享出去,你必须是下面哪些组的成员用户( )。
A、Administrators B、Power Users
C、Users D、Server Users
3.为了使一台Windows NT Workstation 4.0 能够在一个使用路由器的广域网配置中进行通信,下面哪些网络属性需要进行手工配置( )。
A、IP地址 B、子网掩码
C、DHCP服务器地址 D、默认网关地址
4.下面哪些选项描述了NetBEUI协议的特点( )。
A、在小型局域网中具有较高的传输性能 B、内存额外开销较少
C、完全自调节 D、支持路由选择
5.下列说法正确的是( )。
A、网络中某台主机的IP地址是唯一的
B、网络中某台主机的IP地址每位不能全部为1,这个地址是TCP/IP的广播地址
C、网络中某台主机的IP地址每位不能全部为0,这个地址是TCP/IP的广播地址
D、C类网络默认的子网掩码为255.255.0.0
四、问答题
1. 在Windows NT中,如何实现某个班级所有用户对某个文件夹的读写访问?
2. 网络操作系统的主要功能有哪些?
3. Windows NT有哪些特点?
4.什么叫主域控制器?什么叫备份域控制器?
5.在WindowsNT中,有如下所示信任图,请说明它们之间的委托和信任关系。
参考答案
一、填空题
1. 网络操作系统
2. 网络操作系统
3.目录数据库
4.帐号的集中管理、资源的集中管理
5.administrator
6.主域控制器、成员服务器
7.用户、组
8.委托
9.服务器?、资源、其它计算机
10.委托域、受委托
11.NTFS、FAT
12.单域模式、多主域模式
13.名称、保存位置
14.四、主文件表、文件区
二、单选题
1. C
2. A
3. C
4. C
5. B
6. B
7. C
8. D
9. C
10.D
三、多选题
1. A、B、C、D
2. A、B
3. A、B、D
4. A、B、C
5. A、B
四、问答题
1.
(1)选择(或设置)一个主域服务器。
(2)在域上首先定义班级为一个组,而班级所有成员都归属这个组。
(3)对文件夹进行共享设置,并添加班级组,其权限为安全控制。
(4)设置文件夹的安全性,添加班级组,其访问权限为选择性访问中的读写。
2.
(1) 处理机功能 (2)存储管理 (3)设备管理 (4)文件管理
(5) 作业管理 (6)网络管理
3.
(1) 支持对等式和客户机-服务器网络。
(2) 增加网络的软件和硬件变得十分简便。
(3) 与现有网络较强的交互操作能力。
(4)支持分布式应用程序。
4.
在域中维护目录数据库的服务器为PDC。PDC主要用于创建域用户、维护域的安全策略,并用于验证用户登录。在域中其它存有目录数据库的服务器为BDC。BDC持有目录数据库的拷贝,且内容会定期根据PDC的变化而更新。
5.
A域上的所有用户帐号只能访问A域中的资源。
B域上的所有用户帐号可以访问A域以及B域中的资源。
C域上的所有用户帐号可以访问B域以及C域中的资源。
D域上的所有用户帐号可以访问C域、A域以及D域中的资源。
8. 计算机信息安全中 访问控制矩阵的行、列分别代表什么
按访问控制矩阵行建立的是 访问权限表 ,按列建立的是 访问控制表 。
9. 访问控制
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
入网访问控制
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。 用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。 对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。 网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。 用户名和口令验证有效之后,再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的账号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(irm)可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:特殊用户(即系统管理员);一般用户,系统管理员根据他们的实际需要为他们分配操作权限;审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。
目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问 ,从而加强了网络和服务器的安全性。
属性安全控制
当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。
服务器安全控制
网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
是否可以解决您的问题?
10. 以主体(如:用户)为中心建立的访问权限表,被称为:( )
A访问控制能力表