《操作系統(tǒng)安全加固》 課件 模塊2-任務(wù)5 設(shè)置Linux文件特殊權(quán)限

文件系統(tǒng)權(quán)限管理設(shè)置Linux文件特殊權(quán)限課前準(zhǔn)備1.回顧文件權(quán)限的設(shè)置；2.學(xué)習(xí)什么是特殊權(quán)限。文件權(quán)限的設(shè)置特殊權(quán)限情境導(dǎo)入某公司已經(jīng)安裝并部署了一臺Linux系統(tǒng)的服務(wù)器，架設(shè)并布署了Samba服務(wù)為公司內(nèi)部的各部門提供文件共享服務(wù)。根據(jù)網(wǎng)絡(luò)安全等級保護(hù)第三級對訪問控制的要求：“應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則”。公司安全管理員已經(jīng)對服務(wù)器進(jìn)行了安全加固。但是，使用一段時間后，運維人員發(fā)現(xiàn)了一些問題：在運行一些權(quán)限較高的自動化腳本時，由于沒有管理員權(quán)限，沒有辦法實現(xiàn)。當(dāng)文件目錄共享，需要一組項目成員共同使用，文件權(quán)限維護(hù)設(shè)置復(fù)雜。在一些公共目錄一些文件用戶創(chuàng)建的無效文件不能及時清理，管理員疲于應(yīng)付。因此，為了保障企業(yè)文件服務(wù)器的安全，降低文件服務(wù)器的安全風(fēng)險，但又要使用運維人員管理工作量相對減小，需要管理員小顧通過Linux文件系統(tǒng)中的特殊權(quán)限對相關(guān)目錄進(jìn)行權(quán)限設(shè)置。情境導(dǎo)入-教師基于課前自測情況開展評價活動教師基于課前自測情況開展活動教師展示學(xué)生預(yù)習(xí)自測題情況教師就測試結(jié)果完成課前評價1.運行admin用戶主目錄下的自動化運維程序info。在當(dāng)前目錄下生成info.txt并查看info.txt的內(nèi)容2.在/var/share/publicinfo/目錄下，已經(jīng)存在info.txt。要求admin用戶在此目錄運行info程序，將信息寫入到/var/share/publicinfo/info.txt文件中。根據(jù)安全管理要求，提出任務(wù)：教學(xué)活動一：為指定文件設(shè)置SUID權(quán)限為此，管理員以普通身份admin登錄Linux系統(tǒng)服務(wù)器，使用su提升至root權(quán)限，完成下列安全運維任務(wù)：教學(xué)活動一：為指定文件設(shè)置SUID權(quán)限1.由于這個info程序文件是所有者是admin用戶，但是目標(biāo)目錄卻是只有root用戶有權(quán)限寫入文件，用什么權(quán)限可以臨時解決這個問題？討論小結(jié)教學(xué)活動一：為指定文件設(shè)置SUID權(quán)限可以使用SUID權(quán)限，在程序運行時獲得root權(quán)限，寫入輸出的文件。教師點評，組織學(xué)生互評步驟01任務(wù)步驟使用admin用戶身份登錄，提升到root用戶步驟02設(shè)置info的SUID位，使其可以在執(zhí)行時具有root權(quán)限步驟03在/var/share/publicinfo目錄運行程序輸出信息。教學(xué)活動一：為指定文件設(shè)置SUID權(quán)限任務(wù)初探下發(fā)任務(wù)單（課中資料）下發(fā)操作視頻學(xué)生開展活動一實訓(xùn)教師點評任務(wù)實戰(zhàn)環(huán)節(jié)教學(xué)活動一：為指定文件設(shè)置SUID權(quán)限教師點評活動一實訓(xùn)環(huán)節(jié)（參與度、完成情況）提出教學(xué)KR1目標(biāo)10分鐘內(nèi)完成任務(wù)要求01學(xué)生再次練習(xí)完成KR1指標(biāo)02教師點評KR1活動達(dá)標(biāo)率根據(jù)安全管理要求，提出任務(wù)：教學(xué)活動二：為指定目錄設(shè)置SGID特殊權(quán)限公司為拓展業(yè)務(wù)，新成立了一個AI的部門，為配合該部門的工作中文件共享的需求，在公司Linux文件共享服務(wù)器上，開設(shè)一個目錄/var/share/ai_sharefolder此目錄該部門的成員可以訪問創(chuàng)建文件與子目錄，所屬組都為ais組。是不是有一種方法，使得創(chuàng)建出來的文件的所屬組就是指定組呢？是不是有一種方法，使得創(chuàng)建出來的文件的所屬組就是指定組呢？教學(xué)活動二：為指定目錄設(shè)置SGID特殊權(quán)限設(shè)定共享權(quán)限的原則：使用SGID教師點評，組織學(xué)生自評、互評教學(xué)活動二：為指定目錄設(shè)置SGID特殊權(quán)限步驟01任務(wù)步驟現(xiàn)Linux系統(tǒng)服務(wù)器已經(jīng)存在管理員admin用戶，管理員使用此賬戶登錄系統(tǒng)，完成如下工作：步驟02在/var/share下創(chuàng)建目錄ai_sharefolder，并將改目錄的權(quán)限設(shè)為755，所屬組為ais；組織學(xué)生觀看操作錄屏，分小組討論任務(wù)步驟在/var/share/ai_sharefolder設(shè)置SGID特殊權(quán)限；步驟03創(chuàng)建ais組，并創(chuàng)建ai_user1與ai_user2用戶，且這些用戶都屬于ais組；使用ai_user1、ai_user2驗證，創(chuàng)建的文件的所屬組皆為ais。步驟04教學(xué)活動二：為指定目錄設(shè)置SGID特殊權(quán)限步驟01任務(wù)步驟登錄服務(wù)器；步驟02創(chuàng)建組與組成員；教師點評任務(wù)分析討論環(huán)節(jié)設(shè)定目錄的SGID權(quán)限；驗證。步驟03步驟04教學(xué)活動二：為指定目錄設(shè)置SGID特殊權(quán)限任務(wù)初探下發(fā)任務(wù)單（課中資料）下發(fā)操作視頻學(xué)生開展活動二實訓(xùn)教師評價學(xué)生小組完成任務(wù)情況教學(xué)活動二：為指定目錄設(shè)置SGID特殊權(quán)限教師點評活動二實訓(xùn)環(huán)節(jié)（參與度、完成情況）提出教學(xué)KR2目標(biāo)10分鐘內(nèi)按要求完成SGID權(quán)限設(shè)置01學(xué)生再次練習(xí)完成KR2指標(biāo)02教師點評KR2活動達(dá)標(biāo)率教學(xué)活動三：為指定目錄設(shè)置SBIT特殊權(quán)限為了更方便共享文件，公司需要在Linux的文件共享服務(wù)器上，創(chuàng)建一個臨時目錄，只有系統(tǒng)管理員root和創(chuàng)建文件的用戶能刪除。提出活動內(nèi)容請同學(xué)分小組進(jìn)行嘗試通過普通文件權(quán)限設(shè)置，是否可行。教師點評，學(xué)生自評、互評教學(xué)活動三：為指定目錄設(shè)置SBIT特殊權(quán)限步驟01任務(wù)步驟在共享目錄/var/share中創(chuàng)建目錄temp，設(shè)置權(quán)限其他用戶可讀可寫可進(jìn)入。步驟02設(shè)置temp目錄特殊權(quán)限SBIT步驟03驗證只有自身root能刪除，其用戶不可以。組織學(xué)生觀看操作錄屏，分小組討論任務(wù)步驟現(xiàn)Linux系統(tǒng)服務(wù)器已經(jīng)存在管理員admin用戶，管理員使用此賬戶登錄系統(tǒng)，完成如下工作：教學(xué)活動三：為指定目錄設(shè)置SBIT特殊權(quán)限步驟01任務(wù)步驟登錄服務(wù)器；步驟02教師點評，組織學(xué)生自評、互評設(shè)定目錄的SBIT權(quán)限；驗證。步驟03教學(xué)活動三：為指定目錄設(shè)置SBIT特殊權(quán)限任務(wù)初探下發(fā)任務(wù)單（教學(xué)資源）下發(fā)操作視頻，根據(jù)視頻完成任務(wù)學(xué)生開展活動三實訓(xùn)教師評價學(xué)生小組完成任務(wù)情況教學(xué)活動三：為指定目錄設(shè)置SBIT特殊權(quán)限教師點評活動三實訓(xùn)環(huán)節(jié)（參與度、完成情況）提出教學(xué)KR3目標(biāo)10分鐘內(nèi)按要求完成SGID權(quán)限設(shè)置01學(xué)生再次練習(xí)完成KR3指標(biāo)02教師點評KR3活動達(dá)標(biāo)率課堂總結(jié)學(xué)習(xí)要點為指定文件設(shè)置SUID權(quán)限為指定目錄設(shè)置SGID特殊權(quán)限為指定目錄設(shè)置SBIT特殊權(quán)限思政要點網(wǎng)絡(luò)安全法要求企業(yè)要按等保要求，安全個體要有安全意識企業(yè)的安全要實施管理與技術(shù)都要有要求，才能實現(xiàn)安全基本要求課后作業(yè)思考與練習(xí)在請在現(xiàn)有的Linux系統(tǒng)里，找一找，有沒有