信息系统安全——Linux 访问控制机制分析

这篇具有很好参考价值的文章主要介绍了信息系统安全——Linux 访问控制机制分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

实验 4  Linux 访问控制机制分析

4.1 实验名称

Linux 访问控制机制分析》

4.2 实验目的

1 、熟悉 Linux基本访问控制机制使用和原理

2 、熟悉 Linux S 位的作用和使用

3 、熟悉强制访问控制 Selinux 原理及其使用

4.3 实验步骤及内容

1 Linux 基本访问控制机制

1)在/home 下创建一个文件夹 test

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

2)在文件夹下创建一个文本文件

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

3)利用两种方法将文本文件的权限设置为属主完全控制、组可读和执行、其它用户只读

方法一:

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

方法二:

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

4)将系统新建文件和文件夹的权限设置为 644  755 ,重新创建文件观察权限值

664

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

755

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

5)建立一个可执行文件,设置其 Suid 位;执行该文件,并通过命令观察该文件权限的变

化。

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制
信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

6)编译执行课件 suid 部分提权到root shell 的例子,分析其原理

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

原理:

execve 为内核级系统调用,用来执行参数 filename 字符串所代表的文件路径,这里是/bin/sh ”,第二个参数是利用指针数组来传递给执行文件,并且需要以空指针(NULL)结束,最后一个参数则为传递给执行文件的新环境变量组。

由于之前给 shell 文件设置 suid 位,在其他用户执行该脚本时,此用户的权限是该脚本

文件属主 root 的权限。

2 、强制访问控制 Selinux 使用

1)启动 Selinux

vim /etc/selinux/config ,将 disable 改成 1 后重启。

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

2)查看系统的安全上下文

首先查看文件的安全上下文,使用 ls -Z /var/www/html 来查看目录的安全上下文。

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

接着查看进程上下文,使用 ps auxZ | grep -v grep | grep sh

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

3)安装 httpd

执行 yum install httpd

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

接下来启动 httpd

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

可以看到,httpd 进程的 selinux 类型为 http_t ,且存在多个 httpd 进程,具有相同的安全上下文。

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

4)修改 /var/www 文件夹的类型,使其为 httpd 不允许访问的类型,然后检查web 服务器

是否还可以正常使用。

httpd 进程可以访问/var/www/html  目录,因为当前存在着相应的允许主体 httpd_t 访问客

 http_sys_content_t 进行相关操作的的 selinux 规则。

首先在/var/www/html  目录中创建测试文件:echo index.html > /var/www/html/index.html

当前web 服务器可以使用。

使用 ls -Z /var/www/html/index.html 查看文件的安全上下文。

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

可以看到,文件的 selinux type  httpd_sys_content_t 。需要注意的是,如果在/root  目录          (echo  index1.html  > /root/index1.html)          /var/www/html/目录中(mv /root/index1.html /var/www/html/index1.html),查看测试文件的安全 上下文会发现 html 文件的 selinux 类型为 admin_home_t。这是因为文件的安全上下文不会因 为文件被移动而发生变化。也是因为这个原因,访问 index1.html 将拒绝访问,这是因为不 存在允许类型为httpd_t 的主体访问类型为 admin_home_t 的客体文件并进行读取操作的规则(可以使用 sesearch -s httpd_t -t admin_home_t -c file -p read --allow 查找符合条件的规则)

接下来使用 chcon 修改文件的安全上下文,方式是 chcon <选项> <文件或目录 1> [<

件或目录 n>]

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

可以看到无法访问服务器。

这是因为不存在允许类型为httpd_t 的主体访问类型为 admin_home_t 的客体文件并进行读取操作的规则。

要使其重新能访问:

信息系统安全——Linux 访问控制机制分析,信息系统安全,网络,系统安全,信息系统安全,安全,SELinux,访问控制

4.4 实验关键过程及其分析

当启用 SELinux 时,Apache HTTP 服务器(httpd)默认情况下在受限的 httpd_t 域中运 行,并和其他受限制的网络服务分开。即使一个网络服务被攻击者破坏,攻击者的资源和可 能造成的损害是有限的。和 SELinux 上下文相关的 httpd 进程是 system_u:system_r:httpd_t:s0

httpd 进程都运行在 httpd_t 域中。文件类型必须正确设置才能让 httpd 访问。例如 httpd 可以读取文件类型是 httpd_sys_content_t ,但不能写和修改。此外 httpd 不能访问 samba_share_t 类型的文件(Samba访问控制的文件),也不能访问用户主目录中被标记为与 user_home_t  文件类型,主要是防止 httpd 读写用户主目录中的文件并且继承其访问权限。httpd 可以读写的文件类型是 httpd_sys_content_rw_tApache 默认的文档根目录类型是 httpd_sys_content_t文章来源地址https://www.toymoban.com/news/detail-800325.html

到了这里,关于信息系统安全——Linux 访问控制机制分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 系统架构设计专业技能 · 系统安全分析与设计(四)【加解密、数字信封、信息摘要、数字签名、数字书证、网络安全、信息安全】

    点击进入系列文章目录 现在的一切都是为将来的梦想编织翅膀,让梦想在现实中展翅高飞。 Now everything is for the future of dream weaving wings, let the dream fly in reality. 数据加密是 防止未经授权的用户访问敏感信息的手段 ,保障系统的机密性要素。数据加密有对称加密算法和非对称加

    2024年02月12日
    浏览(38)
  • 【计算机三级信息安全】访问控制模型

    在计算机系统中, 认证、访问控制(Access Control)和审计 共同建立了保护系统安全的基础。认证是用户进入系统的第一道防线,访问控制是在鉴别用户的合法身份后,控制用户对数据信息的访问,它是通过引用监控器实施这种访问控制的。 访问控制是在身份认证的基础上,

    2024年02月06日
    浏览(48)
  • 【等保小知识】什么是基于安全标记的访问控制机制?有什么特性?

    【导读】依据《信息安全技术网络安全等级保护基本要求》(GB/T 22239—2019),第三级以上的等级保护对象应实现基于安全标记的访问控制机制(LBAC)。那具体什么是基于安全标记的访问控制机制?有什么特性? 什么是基于安全标记的访问控制机制? 首先我们要清楚,访问

    2024年02月06日
    浏览(31)
  • linux安全-自主访问控制

    在计算机安全领域,访问发起者被称为主体,访问动作就是具体的操作,被访问者被称为客体。比如,进程A 读文件 a,进程 A 是主体,读是操作,文件 a 是客体。Linux的主体只能是进程;操作只有读、写或者执行;客体可以是目录和文件{包括管道、设备、IPC(进程间通信)

    2024年02月06日
    浏览(37)
  • ACL 访问控制 过滤数据 维护网络安全(第七课)

    ACL是Access Control List(访问控制列表)的缩写,是一种用于控制文件、目录、网络设备等资源访问权限的方法。ACL可以对每个用户或用户组设置不同的访问权,即在访问控制清单中为每个用户或用户组指定允许或禁止访问该资源的权限。它通常由一系列规则组成,规则定义了一

    2024年02月10日
    浏览(48)
  • 防火墙访问控制、安全审计、网络设备防护检查表

    原件: 防火墙标准检查表 分类 测评项 预期结果 访问控制 应在网络边界部署访问控制设备,启用访问控制功能 启用了访问控制规则 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级 配置数据流只允许授权的IP地址、协议、端口通过 应对进

    2024年02月04日
    浏览(52)
  • 【信息安全案例】——网络攻击分析(学习笔记)

    📖 前言:随着信息技术的发展,网络空间的斗争可谓是兵家必争之地,网络攻击的事件层出不穷。道高一尺魔高一丈,了解常见的网络攻击类型有利于我们日后工作生活的安全稳定。 🔎 记一次Vulnstack靶场内网渗透(二) 🕤 1.2.1 欺骗攻击 利用TCP/IP协议本身的一些缺陷对

    2024年02月08日
    浏览(39)
  • 信息系统安全分析与设计

    保密性:最小授权原则、防暴露、信息加密、物理保密 完整性:安全协议、校验码、密码校验、数字签名、公证 可用性:综合保障(IP过滤、业务流控制、路由选择控制、审计跟踪) 不可抵赖性:数字签名 常见对称密钥加密算法: DES:替换+移位、56位密钥、64位数据块、速度快

    2024年04月11日
    浏览(32)
  • [Linux]文件系统权限与访问控制

    ​⭐作者介绍:大二本科网络工程专业在读,持续学习Java,输出优质文章 ⭐作者主页:@逐梦苍穹 ⭐所属专栏:Linux基础操作。本文主要是分享一些Linux系统常用操作,内容主要来源是学校作业,分享出来的同时自己也得到复习。 ⭐如果觉得文章写的不错,欢迎点个关注一键

    2023年04月27日
    浏览(36)
  • 电网管理信息系统安全运行需求分析

    传统的电网企业信息系统存在着许多的问题,信息系统的数据安全不能得到 保障,容易丢失;对于庞大分散的客户端不能进行有效地管理,并且需要耗费大 量的人力和时间去维护;硬件的价格高且使用周期短,这就给企业带来了高成本 的压力;用户对于应用系统的升级比较

    2024年02月07日
    浏览(54)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包