安胜安全操作系统的安全机制【涉及自主访问控制、强制访问控制、多级安全等实验】

最新推荐文章于 2022-12-25 11:20:26 发布
最新推荐文章于 2022-12-25 11:20:26 发布
阅读量5.9k 收藏 7
点赞数 3
分类专栏: 操作系统安全 文章标签: 安全 linux内核 操作系统 security 设计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hsluoyc/article/details/45171177
版权

一、实验目的

1.    熟悉安胜安全操作系统的运行环境

2.    熟悉安胜安全操作系统基本安全机制的工作原理


二、实验内容

1.参考用户手册,熟悉常用的安全管理命令

2.自己设计测试案例,以展现以下安全机制的工作原理:

(1)自主访问控制机制

(2)强制访问控制机制

(3)基于角色访问控制

(4)可信路径机制

(5)审计机制(可选)


三、实验过程、结果

(1)自主访问控制机制


创建三个用户:

useradd user1
useradd user2
useradd user3


在user1下创建一个文件并设置其权限:

touch/tmp/user1_file
echo aaa >/tmp/user1_file
chmod 700 /tmp/user1_file


在user1下读取/tmp/user1_file,成功,如下图所示:

vi/tmp/user1_file



在user2下读取/tmp/user1_file,失败,如下图所示:

vi /tmp/user1_file



分析

这是由于文件user1_file设置的是700权限,即只有文件属主user1具有读、写、执行权限,其他普通用户都没有权限,因此user1读取文件成功,而user2读取文件失败。


(2)强制访问控制机制


首先DAC机制设为允许全部用户访问

chmod 777 /tmp/user1_file


设置user1_file文件安全级为USER_LOGIN

setlevel USER_LOGIN/tmp/user1_file

 

设置user1的安全级为USER_LOGIN

usermod –h USER_LOGINuser1

 

设置user2的安全级为USER_PUBLIC

usermod –hUSER_PUBLIC user2

 

在user1下(安全级为USER_LOGIN)读取/tmp/user1_file,成功,如下图所示:

vi/tmp/user1_file

 


在user2下(安全级为USER_PUBLIC)读取/tmp/user1_file,失败,如下图所示:

vi /tmp/user1_file



分析

这是由于文件user1_file设置安全级是USER_LOGIN,用户user1登录的安全级是USER_LOGIN,与文件安全级一致,而用户user2登录的安全级是USER_PUBLIC,低于文件的安全级,因此user1读取文件成功,而user2读取文件失败。

 

(3)基于角色访问控制


为用户user1设置角色SSO,user2的默认角色为AUDIT

roleadmin -muser1:SSO

在user1下读取/tmp/user1_file的安全级,成功,如下图所示:

/sbin/getlevel/tmp/user1_file



在user2下读取/tmp/user1_file的安全级,失败,如下图所示:

/sbin/getlevel/tmp/user1_file



分析

这是由于,用户user1的角色为SSO,SSO角色可以执行getlevel命令,而用户user2的角色为AUDIT,AUDIT角色不可以执行getlevel命令,因此user1执行getlevel查看安全级成功,而user2执行getlevel查看安全级失败。


(4)可信路径机制


按下(CTRL+PAUSE)键,会打开登录界面,这个登录界面为其同TCB间的通信提供了一个可信的通路。一旦有键盘出入,系统将陷入核心予以解释,并将结果送给等待键盘输入的用户进程。比如,(CTRL+PAUSE)键被点击,核心进程首先将其截获,解释后激活可信通路。即杀死当前终端的所有用户进程,重新激活登录界面。由此我们可以放心的输入合法的用户名及password,绝不可能有什么特洛伊木马了。即使在点击(CTRL+PAUSE)键之前真的是一个伪造的很好的特洛伊,那么点击后它也会被核心所杀死。



(5)审计机制(可选)


输入命令adtview,打开日志查看工具。



用户可以顺序浏览审计记录,或者指定查询条件查询审计文件。在查询或浏览之前,用户需要指定审计文件,缺省的审计文件存放在/var/audit下,并且以“pnode”或者“anode”结尾的文件。



选择文件之后,用户将看到匹配的审计记录列表,并附有此审计文件的版本信息以及记录摘要:



当选择指定的记录并按回车键,用户将看到此记录的详细描述:



用户还可以将审计查询结果作为文本文件输出,输出的文件已经作为格式化的文件方便用户查看。



四、实验总结


实验收获


学到了很多访问控制方面的只是,也进一步熟悉了安胜操作系统的命令用法。


总结实验过程中遇到的问题及解决方法


安全级设置那部分命令较多,不知道是否执行成功,这时候可以用以下命令查看user1的安全级信息

ia_userinfouser1

遇到错误的话需要先运行授权命令

user_auth user1

再用以下命令验证是否正确

ia_verify –uuser1


总结实验的不足之处,以及进一步的改进措施


对安胜操作系统的命令还不够熟练,需要进一步操作。

Casbin开源社区
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
RBAC访问控制实验
痛苦实验记录
04-12 867
信息系统安全实验
ABB机器人维修常见故障问题及解答
Trouvaille_a的博客
12-05 5256
ABB机器人维修常见故障问题及解答 ABB致力于研发、生产机器人已有40多年的历史,拥有全球200,000多套机器人的安装经验。ABB是工业机器人的先行者以及世界领先的机器人制造厂商,在瑞典、挪威和中国等地设有机器人研发、制造和销售基地。下面,驼驮小编针对ABB机器人在维修中常见的故障进行解答。 (一)ABB机器人在开机时进入了系统故障状态应该如何处理? 答: 1.重新启动一次机器人。 2.如果不行,在示教器查看是否有更详细的报警提示,并进行处理。 3.重启。 4.如果还不能解除则尝试B启动。 5.如果还
ABB变频器通过端子控制启停的具体方法.docx
10-06
ABB变频器通过端子控制启停的具体方法
操作系统安全 访问控制机制
博客地址 www.sec0nd.top
09-11 3289
本节开始学习操作系统基本的安全机制,本节主要以访问控制机制为主
自主访问控制实验——DAC 基于RBAC1的访问控制实验
06-30
题目1:自主访问控制实验; 要求:设计必需的界面环境, (1) 对主体、客体、权限进行定义和配置 (2) 对主体进行自主授权 (3) 对主体的访问权限进行控制实验 (4) 对主体进行传递授权的操作,通过实验观察系统的执行情况 (5) 对访问成功和不成功的两种情形均给出结果 要求:设计必需的界面环境, (1) 对主体、客体、权限进行定义和配置 (2) 对角色及角色的层次关系进行定义 (3) 对角色的权限进行定义(有继承关系的就不用重新定义) (4) 给出用户-角色多对多关系的配置 (5) 对用户的角色信息进行修改,通过访问控制实验,体现不同层次的角色访问权限的差别 (6) 对上述实验情况下访问成功和不成功的两种情形均给出结果 写的不是很好,仅供参考。
访问控制实验MFC部分代码
yaocsdn11的博客
05-14 122
// 访问控制实验Dlg.cpp : 实现文件 // #include "stdafx.h" #include "访问控制实验.h" #include "访问控制实验Dlg.h" #ifdef _DEBUG #define new DEBUG_NEW #endif // 用于应用程序“关于”菜单项的 CAboutDlg 对话框 class CAboutDlg : public CDialog { public: CAboutDlg(); // 对话框数据 enum { IDD = IDD_.
适用于分布式系统的多级安全访问控制策略
01-20
针对分布式信息系统的资源共享及安全操作问题,在多级安全模型基础上加入管理平台和中间件模块,提出一种适用于分布式系统的多级安全访问控制策略,保证数据机密性和访问过程安全可控。用XACML语言对安全策略进行...
论文研究-多级安全数据库安全子系统的设计与实现.pdf
07-22
较为详细地分析多级安全数据库实现的方案和技术,并侧重论述了多级安全子系统中强制访问控制模块实现的模型思想,以及实现强制访问控制的关键技术,并加以代码说明。
论文研究-一种基于安全标签的访问控制模型的设计和实现.pdf
07-22
针对目前Linux操作系统的主要安全问题,构建了一种基于安全标签的访问控制模型——SLinux。描述了该模型的结构和工作原理,详细论述了该模型基于LSM机制的实现,对该模型的功能和系统兼容性作了理论分析,并用试验...
论文研究-基于MySQL的可定制强制访问控制的研究与实现.pdf
07-22
结合MySQL数据库系统,通过在其源代码中增加安全策略函数、修改原有数据字典、扩展SQL 语句以及建立安全策略统一管理平台的方法,实现了可定制强制访问控制机制。所实现的安全数据库原型系统使数据库安全管理员可以...
适用于分布式系统的多级安全访问控制策略.pdf
08-09
#资源达人分享计划#
自主访问控制
11-12
自主访问控制概述,介绍传统DAC模型,列举DAC的优势以及劣势
MFC写的自主访问控制的程序的工程,源代码和exe都有,注释详细!!!
03-01
MFC写的自主访问控制的程序的工程,源代码和exe都有,注释详细!!! 想学习访问控制的或者想学习MFC的可以看一下!!!!!!!!
安全操作系统基于ACL的自主访问控制机制设计与实现
04-19
讨论我们研制的安全操作系统SECIMOS中DAC 机制设计与实现。该机制利用内核中的扩展属性机制(EA) 存储ACL,并在内核中安插钩子函数实现资源访问控制,根 据用户指定方式或默认方式,阻止非授权主体访问客体,并控 制访问权限扩散。访问控制的粒度是单一主体,没有访问权的 主体只允许由授权主体指定对客体的访问权。我们的设计以 国家标准GB1 7859—1999“计算机信息系统安全保护等级划分 准则”第四级要求l-l 为依据。
【数据库】实验 2.1 自主存取控制实验
Coco416的博客
10-30 1949
1.修改权限后要输入flush privileges刷新;2.all 不包括创建用户权限,要单独赋予全局创建用户权限3.根据报错提示去修改4.使用Navicat操作,查看SQL预览获得SQL语句5.最最简单的方式!直接使用Navicat进行可视化操作
文件访问控制实验
AC1145的博客
01-10 598
简介 访问控制是在共享环境下限制用户对资源访问的一种安全机制,一般作为对用户身份鉴别之后的保护系统安全的第二道屏障,一般分为自主访问控制强制访问控制自主访问控制是指资源拥有者拥有对资源访问的控制权;强制访问控制是指根据用户和资源的安全级别来限制访问。 原理 自主访问控制一般采用访问控制矩阵来表示用户和资源访问权限关系,矩阵的行表示用户,列表示访问资源,单元格表示对应的访问权限。 访问权限包括...
实验三:自主存取控制实验
weixin_56463218的博客
12-25 510
掌握自主存取控制权限的定义和维护方法。掌握在ORACLE数据库中定义用户、角色,分配权限给用户、角色,回收权限,以相应用户登录数据库验证权限分配是否正确的方法。
安胜安全操作系统的隐蔽通道场景演示【进程标识符信道】
Casbin开源社区
04-22 3247
一、实验目的 1. 熟悉安胜安全操作系统的运行环境 2. 熟悉隐蔽通道的工作原理 二、实验内容 1.完成发送和接收程序的编写、编译和执行 2.演示存在的隐蔽通道场景:
操作系统实验进程的控制
最新发布
05-20
操作系统实验中,进程的控制是非常重要的一部分。以下是一些常见的进程控制操作: 1. 创建进程:操作系统可以通过...以上是一些常见的进程控制操作操作系统实验中需要进行多次练习和实践,才能更好地理解和掌握。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Casbin开源社区

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值