信息系统安全——Linux 访问控制机制分析

于 2024-01-14 16:46:39 发布
阅读量1.5k 收藏 18
点赞数 26
分类专栏: 信息系统安全 文章标签: 网络 系统安全 信息系统安全 安全 SELinux 访问控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49816179/article/details/135584925
版权

实验 4  Linux 访问控制机制分析

4.1 实验名称

Linux 访问控制机制分析》

4.2 实验目的

1 、熟悉 Linux基本访问控制机制使用和原理

2 、熟悉 Linux S 位的作用和使用

3 、熟悉强制访问控制 Selinux 原理及其使用

4.3 实验步骤及内容

1 Linux 基本访问控制机制

1)在/home 下创建一个文件夹 test

2)在文件夹下创建一个文本文件

3)利用两种方法将文本文件的权限设置为属主完全控制、组可读和执行、其它用户只读

方法一:

方法二:

4)将系统新建文件和文件夹的权限设置为 644  755 ,重新创建文件观察权限值

664

755

5)建立一个可执行文件,设置其 Suid 位;执行该文件,并通过命令观察该文件权限的变

化。

6)编译执行课件 suid 部分提权到root shell 的例子,分析其原理

原理:

execve 为内核级系统调用,用来执行参数 filename 字符串所代表的文件路径,这里是/bin/sh ”,第二个参数是利用指针数组来传递给执行文件,并且需要以空指针(NULL)结束,最后一个参数则为传递给执行文件的新环境变量组。

由于之前给 shell 文件设置 suid 位,在其他用户执行该脚本时,此用户的权限是该脚本

文件属主 root 的权限。

2 、强制访问控制 Selinux 使用

1)启动 Selinux

vim /etc/selinux/config ,将 disable 改成 1 后重启。

2)查看系统的安全上下文

首先查看文件的安全上下文,使用 ls -Z /var/www/html 来查看目录的安全上下文。

接着查看进程上下文,使用 ps auxZ | grep -v grep | grep sh

3)安装 httpd

执行 yum install httpd

接下来启动 httpd

可以看到,httpd 进程的 selinux 类型为 http_t ,且存在多个 httpd 进程,具有相同的安全上下文。

4)修改 /var/www 文件夹的类型,使其为 httpd 不允许访问的类型,然后检查web 服务器

是否还可以正常使用。

httpd 进程可以访问/var/www/html  目录,因为当前存在着相应的允许主体 httpd_t 访问客

 http_sys_content_t 进行相关操作的的 selinux 规则。

首先在/var/www/html  目录中创建测试文件:echo index.html > /var/www/html/index.html

当前web 服务器可以使用。

使用 ls -Z /var/www/html/index.html 查看文件的安全上下文。

可以看到,文件的 selinux type  httpd_sys_content_t 。需要注意的是,如果在/root  目录          (echo  index1.html  > /root/index1.html)          /var/www/html/目录中(mv /root/index1.html /var/www/html/index1.html),查看测试文件的安全 上下文会发现 html 文件的 selinux 类型为 admin_home_t。这是因为文件的安全上下文不会因 为文件被移动而发生变化。也是因为这个原因,访问 index1.html 将拒绝访问,这是因为不 存在允许类型为httpd_t 的主体访问类型为 admin_home_t 的客体文件并进行读取操作的规则(可以使用 sesearch -s httpd_t -t admin_home_t -c file -p read --allow 查找符合条件的规则)

接下来使用 chcon 修改文件的安全上下文,方式是 chcon <选项> <文件或目录 1> [<

件或目录 n>]

可以看到无法访问服务器。

这是因为不存在允许类型为httpd_t 的主体访问类型为 admin_home_t 的客体文件并进行读取操作的规则。

要使其重新能访问:

4.4 实验关键过程及其分析

当启用 SELinux 时,Apache HTTP 服务器(httpd)默认情况下在受限的 httpd_t 域中运 行,并和其他受限制的网络服务分开。即使一个网络服务被攻击者破坏,攻击者的资源和可 能造成的损害是有限的。和 SELinux 上下文相关的 httpd 进程是 system_u:system_r:httpd_t:s0

httpd 进程都运行在 httpd_t 域中。文件类型必须正确设置才能让 httpd 访问。例如 httpd 可以读取文件类型是 httpd_sys_content_t ,但不能写和修改。此外 httpd 不能访问 samba_share_t 类型的文件(Samba访问控制的文件),也不能访问用户主目录中被标记为与 user_home_t  文件类型,主要是防止 httpd 读写用户主目录中的文件并且继承其访问权限。httpd 可以读写的文件类型是 httpd_sys_content_rw_tApache 默认的文档根目录类型是 httpd_sys_content_t

Hellespontus
关注
  • 26
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSH远程管理及sshd服务支持验证方式
weixin_51725822的博客
02-24 377
SSH远程访问控制前言一、SSH远程管理1、SSH定义2、SSH优点3、SSH配置文件4、SSH客户端与与服务端二、配置OpenSSH服务端1、sshd_config配置文件的常用选项设置2.sshd 服务两种验证方式1、密码验证2、密钥对验证3、配置密钥对验证步骤:1、在客户端创建密钥对2、设置好了以后就可以看到.ssh下面会有一个私钥的文件和一个公钥的文件3、这一步就要将公钥文件传给服务端,用于客户端访问服务端的时候进行验证4、到服务端(虚拟机2)看一下家目录中的.ssh文件5、在客户端使用密钥对验证
Linux网络:远程访问控制
Riky12的博客
05-23 2139
是对通信双方的数据传输进行了加密处理,包括用户的口令,具有很好的安全性。ssh的默认端口号是22,传输协议是TCP协议。
Linux 文件权限讲解(一般权限、特殊权限、隐藏权限、访问控制列表、Umask)
热门推荐
m0_49864110的博客
02-14 1万+
umask 【参数】 【权限】 修改/查看文件的权限掩码-p 完整打印umask内容-S 以符号的形式显示权限掩码什么是umask值umask值表示文件的默认权限掩码,通过该掩码定义了不同用户创建文件/目录的默认权限默认umask值通过umask 直接查看该用户默认的umask值root用户的umask值为0022;普通用户的umask值为0002第一位代表特殊位(对应文件的特殊权限,只有配置了SUID、SGID、SBID此值才有效),暂不考虑。
Linux 远程访问控制
Hanxuhanhan的博客
04-21 4240
Linux 远程访问控制 文章目录Linux 远程访问控制引言:一、SSH远程管理1.SSH是什么:2.SSH客户端与OpenSSH服务端3.SSH服务配置4.SSHD服务端的功能二、SSHD服务1.SSHD远程登陆操作2.故障集三、SSHD服务配置1、SSH配置文件2.SSH服务端配置文件常用选项设置简述3.安全调优案例三、SSHD密钥验证1.密钥和密码2.构建密钥对验证的SSH原理3.远程拷贝-scp4.密钥的验证TCP wrappers 访问控制总结 引言: 简单来说,SSH是一种网络协议,主要用
Linux网络 远程访问控制
ruocheng6的博客
01-12 1689
1、SSH远程管理■ ●配置OpenSSH服务端 ●使用SSH客户端程序 ●密钥对验证的SSH体系 ■TCP Wrappers访问控制 ●TCP Wrappers概述 ●TCP Wrappers访问策略 1、SSH远程管理 SSH (secure shell)是一种安全通道协议,主要用来实现字符界面的远程登录、远程复制等功能。SSH协议对通信双方的数据传输进行了加密处理,其中包括用户登录时输入的用口令,SSH为建立在应用层和传输层基础上的安全协议。 (1)SSH原理 SSH客户端&l
详解Linux进程间通信——使用信号量
01-10
而信号量就可以提供这样的一种访问机制,让一个临界区同一时间只有一个线程在访问它,也就是说信号量是用来调协进程对共享资源的访问的。 信号量是一个特殊的变量,程序对其访问都是原子操作,且只允许对它进行等待...
Linux内核源代码情景分析 (上下册 高清非扫描 )
03-27
丛书名: Linux内核源代码情景分析 出版社:浙江大学出版社 目录 第1章 预备知识 1.1 Linux内核简介. 1.2 Intel X86 CPU系列的寻址方式 1.3 i386的页式内存管理机制 1.4 Linux内核源代码中的C语言代码 1.5 Linux...
linux内核源代码情景分析
05-04
linux内核源代码情景分析》(非扫描电子版本) 第1章 预备知识 1.1 Linux内核简介 1.2 Intel X86 CPU系列的寻址方式 1.3 i386的页式内存管理机制 1.4 Linux内核源代码中的C语言代码 1.5 Linux内核源代码中的...
C++程序设计实践项目——学生信息管理系统,基于Qt+MySQL.zip
最新发布
04-19
MySQL提供了一系列安全措施,如用户账户管理、访问权限控制、SSL/TLS加密连接、审计日志等功能,确保数据的安全性和合规性。同时,MySQL附带了一系列管理工具,如MySQL Server、MySQL Workbench、MySQL Shell等,...
linux教程——很使用的那种
11-04
linux中的文件(普通文件或设备文件等)都必须有挂在点,只有挂载到一个目录下才能访问,swap分区是不需要挂载点的,在分区的时候,将文件系统类型选为swap,挂载点自动会变为灰色。一般linux中的swap大小为内存的两倍。...
[Linux]文件系统权限与访问控制
逐梦苍穹的博客
04-26 2576
Linux系统中,文件系统的权限和访问控制对系统和数据的安全至关重要。
linux安全-自主访问控制
jianjian的博客
03-30 1596
在计算机安全领域,访问发起者被称为主体,访问动作就是具体的操作,被访问者被称为客体。比如,进程A 读文件 a,进程 A 是主体,读是操作,文件 a 是客体。Linux的主体只能是进程;操作只有读、写或者执行;客体可以是目录和文件{包括管道、设备、IPC(进程间通信)、socket(套接字)、key(密钥)}。备注:目录的执行是进入,文件的执行是运行,只有普通文件可以执行,管道等文件是不可以执行的。 自主访问控制的自主是指使用计算机的人可以决定访问策略,比如规定某文件只能读不能写,制造出一种“只读”文件,防止
linux环境下的访问控制,Linux文件系统访问控制列表
weixin_42521058的博客
05-13 758
Linux文件系统访问控制列表详解我们系统中的某用户在系统中所创建的文件的属主和属组分别是该用户的属主和基本组。普通用户无法更改文件的属主和属组,因为普通用户没有相应的权限,无法执行chown命令。当我们以某个用户的身份去登录我们的系统的时候,系统会给该用户返回一个shell进程,当该用户在访问某个文件的时候,一定是以该进程去访问文件的,这个进程的属主就是该用户,这个进程的属组就是该用户的基本组,...
远程访问控制(详解)——SSH远程管理及TCP Wrappers 访问控制
想成功,靠自己
02-25 1806
远程访问控制(详解)——SSH远程管理及TCP Wrappers 访问控制一、SSH远程管理1、定义2、优点3、客户端与服务端4、SSH服务的开启、端口号和配置文件二、配置 OpenSSH 服务端1、配置文件常用设置选项2、AllowUsers和DenyUsers三、使用SSH客户端程序1、SSH远程登录2、SCP远程复制①、下行复制②、上行复制3、sftp 安全 FTP四、sshd服务支持两种验证方式1、密码验证2、秘钥对验证①、在客户机创建秘钥对②、将公钥文件上传至服务器③、在服务器中导入公钥文本④、
远程访问控制SSH 服务
weixin_67582338的博客
04-18 1703
前言 传统的网络服务程序如 FTP、POP 和 TELNET 在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有弱点的, 很容易受到 “中间人”(man-in-the-middle)这种方式的攻击。所谓 “中间人” 的攻击方式, 就是 “中间人” 冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被 “中间人” 一转手做了手脚之后,就会出现很严重的问题。通过使用
Linux学习-32-ACL访问控制权限
时光
11-10 807
Linux学习-32-ACL访问控制权限
Linux远程访问控制
weixin_55609833的博客
04-29 1239
Linux远程访问控制Linux远程访问控制SSH远程管理配置OpenSSH服务端OpenSSH的配置命令服务监听选项用户登录控制登录验证方式使用SSH客户端程序ssh远程登录scp远程复制sftp安全FTP构建密匙对验证的SSH体系TCP Wrappers 访问控制TCP wrappers 概述TCP Wrappers 的访问策略策略的配置格式访问控制的基本原则TCP Wrappers 配置实例 Linux远程访问控制 SSH远程管理 配置OpenSSH服务端 SSH远程管理 SSH(SecureS
Linux远程访问控制详解
LiuHuan303的博客
10-08 268
一,OpenSSH服务器 1,SSH协议基础 SSH(Secure Shell)协议 是一种安全通道协议 对通信数据进行了加密处理用于远程连接 OpenSSH 服务名称:sshd 服务端主程序:/usr/bin/sshd 服务端配置文件:/etc/ssh/sshd_config 客户端配置文件:/etc/ssh/ssh_config SSH协议优点: 1)数据传输是加密的可以防止信息泄露 2)数据传输是压缩的可以提高传输速度 SSH客户端<---------网络-------
Linux 网络访问控制
xiaozi的博客
05-16 4328
网络访问控制
网络安全——流量分析
09-12
流量分析是一种网络安全的技术,它用于监测、分析和理解网络流量。通过对网络流量进行深入分析,可以探测网络中的异常行为、识别潜在的威胁并及时采取相应的安全措施。 在流量分析中,通常会采集网络数据包并对其进行解析和处理。这些数据包包含了网络通信的各种信息,如源IP地址、目标IP地址、端口号、协议类型等。通过对这些信息进行分析,可以获得关于网络通信模式、流量量、流量类型和通信行为的洞察。 流量分析可以应用于多个方面的网络安全工作。首先,它可以帮助识别网络中的恶意活动,例如入侵、攻击或恶意软件传播。通过监测异常流量模式和行为特征,可以及时发现并阻止这些威胁。 其次,流量分析也可以用于网络性能优化。通过分析网络流量模式和瓶颈点,可以帮助优化网络架构和资源分配,提高网络的稳定性和性能。 此外,流量分析还可以用于实时监控和故障排查。通过对网络流量进行实时监测和分析,可以快速发现和定位网络故障,并及时采取修复措施。 总之,流量分析在网络安全中扮演着重要的角色,它通过对网络流量的监测和分析,帮助提高网络的安全性和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值