安胜安全操作系统的安全机制【涉及自主访问控制、强制访问控制、多级安全等实验】
2015-04-21 15:35
633 查看
一、实验目的
1. 熟悉安胜安全操作系统的运行环境2. 熟悉安胜安全操作系统基本安全机制的工作原理
二、实验内容
1.参考用户手册,熟悉常用的安全管理命令2.自己设计测试案例,以展现以下安全机制的工作原理:
(1)自主访问控制机制
(2)强制访问控制机制
(3)基于角色访问控制
(4)可信路径机制
(5)审计机制(可选)
三、实验过程、结果
(1)自主访问控制机制
创建三个用户:useradd user1 useradd user2 useradd user3
在user1下创建一个文件并设置其权限:
touch/tmp/user1_file echo aaa >/tmp/user1_file chmod 700 /tmp/user1_file
在user1下读取/tmp/user1_file,成功,如下图所示:
vi/tmp/user1_file
在user2下读取/tmp/user1_file,失败,如下图所示:
vi /tmp/user1_file
分析
这是由于文件user1_file设置的是700权限,即只有文件属主user1具有读、写、执行权限,其他普通用户都没有权限,因此user1读取文件成功,而user2读取文件失败。(2)强制访问控制机制
首先DAC机制设为允许全部用户访问chmod 777 /tmp/user1_file
设置user1_file文件安全级为USER_LOGIN
setlevel USER_LOGIN/tmp/user1_file
设置user1的安全级为USER_LOGIN
usermod –h USER_LOGINuser1
设置user2的安全级为USER_PUBLIC
usermod –hUSER_PUBLIC user2
在user1下(安全级为USER_LOGIN)读取/tmp/user1_file,成功,如下图所示:
vi/tmp/user1_file
在user2下(安全级为USER_PUBLIC)读取/tmp/user1_file,失败,如下图所示:
vi /tmp/user1_file
分析
这是由于文件user1_file设置安全级是USER_LOGIN,用户user1登录的安全级是USER_LOGIN,与文件安全级一致,而用户user2登录的安全级是USER_PUBLIC,低于文件的安全级,因此user1读取文件成功,而user2读取文件失败。(3)基于角色访问控制
为用户user1设置角色SSO,user2的默认角色为AUDITroleadmin -muser1:SSO
在user1下读取/tmp/user1_file的安全级,成功,如下图所示:
/sbin/getlevel/tmp/user1_file
在user2下读取/tmp/user1_file的安全级,失败,如下图所示:
/sbin/getlevel/tmp/user1_file
分析
这是由于,用户user1的角色为SSO,SSO角色可以执行getlevel命令,而用户user2的角色为AUDIT,AUDIT角色不可以执行getlevel命令,因此user1执行getlevel查看安全级成功,而user2执行getlevel查看安全级失败。(4)可信路径机制
按下(CTRL+PAUSE)键,会打开登录界面,这个登录界面为其同TCB间的通信提供了一个可信的通路。一旦有键盘出入,系统将陷入核心予以解释,并将结果送给等待键盘输入的用户进程。比如,(CTRL+PAUSE)键被点击,核心进程首先将其截获,解释后激活可信通路。即杀死当前终端的所有用户进程,重新激活登录界面。由此我们可以放心的输入合法的用户名及password,绝不可能有什么特洛伊木马了。即使在点击(CTRL+PAUSE)键之前真的是一个伪造的很好的特洛伊,那么点击后它也会被核心所杀死。(5)审计机制(可选)
输入命令adtview,打开日志查看工具。用户可以顺序浏览审计记录,或者指定查询条件查询审计文件。在查询或浏览之前,用户需要指定审计文件,缺省的审计文件存放在/var/audit下,并且以“pnode”或者“anode”结尾的文件。
选择文件之后,用户将看到匹配的审计记录列表,并附有此审计文件的版本信息以及记录摘要:
当选择指定的记录并按回车键,用户将看到此记录的详细描述:
用户还可以将审计查询结果作为文本文件输出,输出的文件已经作为格式化的文件方便用户查看。
四、实验总结
实验收获
学到了很多访问控制方面的只是,也进一步熟悉了安胜操作系统的命令用法。总结实验过程中遇到的问题及解决方法
安全级设置那部分命令较多,不知道是否执行成功,这时候可以用以下命令查看user1的安全级信息ia_userinfouser1
遇到错误的话需要先运行授权命令
user_auth user1
再用以下命令验证是否正确
ia_verify –uuser1
总结实验的不足之处,以及进一步的改进措施
对安胜操作系统的命令还不够熟练,需要进一步操作。相关文章推荐
- 操作系统的基本安全机制
- 中科大信息安全操作系统课程lab7实验报告
- 操作系统的安全机制学习总结
- Android安全机制--操作系统安全机制-进程、用户与文件安全
- (7)操作系统安全机制一
- 操作系统安全机制(2)
- 操作系统安全机制(2)
- 由网络操作系统提供的安全机制
- 实验:基本的系统安全控制 实验环境 某公司新增了一台企业级服务器,已安装运行RHEL 6操作系统,由系统运维部、软件开发部、技术服务部共同使用。由于用户数量众多,且使用时间不固定,要求针对账号和
- 计算机网络安全实验总结 本部分主要包括计算机网络操作系统的配置,网络扫描,网络监听,网络入侵。
- Jboss中的安全机制涉及到的几个配置文件
- 操作系统实验报告 lab7
- Android 操作系统的内存回收机制
- 基于HTTPS的安全机制的研究(二)
- 手机支付宝面临的风险和应对(XI)---手机支付宝已有安全机制(未完待续)
- 【操作系统】实验四 主存空间的分配和回收
- 服务器操作系统安全配置标准- Windows
- 操作系统 实验1 命令解释程序的编写
- (转) Android 安全机制