首页 / 更多教程 / 安胜操作系统安全机制【自主访问控制、强制访问控制、多级安全等实验】

安胜操作系统安全机制【自主访问控制、强制访问控制、多级安全等实验】

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了安胜操作系统安全机制【自主访问控制、强制访问控制、多级安全等实验】,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2197字,纯文字阅读大概需要4分钟

内容图文

一、实验目的

1.    熟悉安胜安全操作系统的运行环境

2.    熟悉安胜安全操作系统基本安全机制的工作原理


二、实验内容

1.参考用户手册,熟悉常用的安全管理命令

2.自己设计测试案例,以展现以下安全机制的工作原理:

(1)自主访问控制机制

(2)强制访问控制机制

(3)基于角色访问控制

(4)可信路径机制

(5)审计机制(可选)


三、实验过程、结果


(1)自主访问控制机制


创建三个用户:

useradd user1
useradd user2
useradd user3


在user1下创建一个文件并设置其权限:

touch/tmp/user1_file
echo aaa >/tmp/user1_file
chmod 700 /tmp/user1_file


在user1下读取/tmp/user1_file,成功,如下图所示:

vi/tmp/user1_file

技术分享

在user2下读取/tmp/user1_file,失败,如下图所示:

vi /tmp/user1_file

技术分享

分析

这是由于文件user1_file设置的是700权限,即只有文件属主user1具有读、写、执行权限,其他普通用户都没有权限,因此user1读取文件成功,而user2读取文件失败。


(2)强制访问控制机制

首先DAC机制设为允许全部用户访问

chmod 777 /tmp/user1_file


设置user1_file文件安全级为USER_LOGIN

setlevel USER_LOGIN/tmp/user1_file

 

设置user1的安全级为USER_LOGIN

usermod –h USER_LOGINuser1

 

设置user2的安全级为USER_PUBLIC

usermod –hUSER_PUBLIC user2

 

在user1下(安全级为USER_LOGIN)读取/tmp/user1_file,成功,如下图所示:

vi/tmp/user1_file

 技术分享


在user2下(安全级为USER_PUBLIC)读取/tmp/user1_file,失败,如下图所示:

vi /tmp/user1_file

技术分享

分析

这是由于文件user1_file设置安全级是USER_LOGIN,用户user1登录的安全级是USER_LOGIN,与文件安全级一致,而用户user2登录的安全级是USER_PUBLIC,低于文件的安全级,因此user1读取文件成功,而user2读取文件失败。

 

(3)基于角色访问控制

为用户user1设置角色SSO,user2的默认角色为AUDIT

roleadmin -muser1:SSO

在user1下读取/tmp/user1_file的安全级,成功,如下图所示:

/sbin/getlevel/tmp/user1_file

技术分享


在user2下读取/tmp/user1_file的安全级,失败,如下图所示:

/sbin/getlevel/tmp/user1_file

技术分享


分析

这是由于,用户user1的角色为SSO,SSO角色可以执行getlevel命令,而用户user2的角色为AUDIT,AUDIT角色不可以执行getlevel命令,因此user1执行getlevel查看安全级成功,而user2执行getlevel查看安全级失败。


(4)可信路径机制

按下(CTRL+PAUSE)键,会打开登录界面,这个登录界面为其同TCB间的通信提供了一个可信的通路。一旦有键盘出入,系统将陷入核心予以解释,并将结果送给等待键盘输入的用户进程。比如,(CTRL+PAUSE)键被点击,核心进程首先将其截获,解释后激活可信通路。即杀死当前终端的所有用户进程,重新激活登录界面。由此我们可以放心的输入合法的用户名及password,绝不可能有什么特洛伊木马了。即使在点击(CTRL+PAUSE)键之前真的是一个伪造的很好的特洛伊,那么点击后它也会被核心所杀死。

技术分享


(5)审计机制(可选)

输入命令adtview,打开日志查看工具。

技术分享

用户可以顺序浏览审计记录,或者指定查询条件查询审计文件。在查询或浏览之前,用户需要指定审计文件,缺省的审计文件存放在/var/audit下,并且以“pnode”或者“anode”结尾的文件。

技术分享

选择文件之后,用户将看到匹配的审计记录列表,并附有此审计文件的版本信息以及记录摘要:

技术分享

当选择指定的记录并按回车键,用户将看到此记录的详细描述:

技术分享

用户还可以将审计查询结果作为文本文件输出,输出的文件已经作为格式化的文件方便用户查看。

技术分享

四、实验总结


实验收获

学到了很多访问控制方面的只是,也进一步熟悉了安胜操作系统的命令用法。


总结实验过程中遇到的问题及解决方法

安全级设置那部分命令较多,不知道是否执行成功,这时候可以用以下命令查看user1的安全级信息

ia_userinfouser1

遇到错误的话需要先运行授权命令

user_auth user1

再用以下命令验证是否正确

ia_verify –uuser1


总结实验的不足之处,以及进一步的改进措施

对安胜操作系统的命令还不够熟练,需要进一步操作。

原文:http://blog.csdn.net/hsluoyc/article/details/45171177

内容总结

以上是互联网集市为您收集整理的安胜操作系统安全机制【自主访问控制、强制访问控制、多级安全等实验】全部内容,希望文章能够帮你解决安胜操作系统安全机制【自主访问控制、强制访问控制、多级安全等实验】所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接:https://qyyshop.com/info/1217521.html

来源:【匿名】