當前位置：首頁 > 运维知识 > linux >内容正文

linux

linux授权文件夹给用户_一项一项教你测等保2.0——Linux访问控制

發布時間：2024/9/19 linux 40 豆豆

生活随笔收集整理的這篇文章主要介紹了 linux授权文件夹给用户_一项一项教你测等保2.0——Linux访问控制小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

一、前言

前邊我們已經講了windows系統下的訪問控制，現在我們講講Linux系統下的訪問控制，其實兩個系統下的測評項都是一樣的，不一樣的就是不同的系統查看系統配置的方法不一樣，windows系統使用的都是圖形交互界面，而且我們平時使用windows系統比較多，查找起來比較方便，Linux系統是要使用命令來查看系統配置的，需要有一些Linux系統命令的基礎，當然也都比較簡單，現在就讓我們來看看Linux系統下如何測評身份鑒別的相關測評項。

二、測評項

a)應對登錄的用戶分配賬戶和權限；

b)應重命名或刪除默認賬戶，修改默認賬戶的默認口令；

c)應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；

d)應授予管理用戶所需的最小權限，實現管理用戶的權限分離；

e)應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則；

f)訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級；

g)應對重要主體和客體設置安全標記，并控制主體對有安全標記信息資源的訪問。

三、測評項a

a)應對登錄的用戶分配賬戶和權限；

以root身份登錄進入linux，使用命令more或者cat查看/etc/passwd文件中各用戶狀態，如下圖所示：

passwd文件

passwd 文件內容說明：

name:password:uid:gid:comment:home:shell

首先判斷用戶是否可以登錄，如果最后是usr/sbin/nologin以及/bin/false就不可登錄，然后判斷出哪些是普通用戶、系統用戶和超級用戶(root)，系統用戶的uid是大于0小于500的，我們主要關注uid大于500的，也就是超級用戶創建的用戶。

使用每個用戶登錄系統，使用命令ls -l查看 /etc/passwd ,/etc/shadow, /etc/rc3.d , /etc/profile ,/etc/inet.conf ,/etc/xinet.conf等的權限是否與管理員權限一致，如果只有一個管理員用戶或者擁有多個和管理員權限一樣的用戶，就是不符合的，我們也可以使用命令more或者cat查看/etc/group文件中各用戶的分組情況。

用戶組

四、測評項b

b)應重命名或刪除默認賬戶，修改默認賬戶的默認口令；

Linux系統的默認賬戶為root，是超級用戶，其他用戶都是它創建的，而且Linux系統在安裝時必須設置root用戶密碼，所以這一項默認符合。

五、測評項c

c)應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；

我們可以通過使用命令“chage -l username”，查看用戶的過期時間，如下圖所示，然后通過訪談的方式詢問每個賬戶的用途，判斷是否存在多余和共享的賬戶。

賬戶過期時間

六、測評項d

d)應授予管理用戶所需的最小權限，實現管理用戶的權限分離；

該項查看內容與上邊類似，以root身份登錄進入Linux，使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中各用戶權限分配，Linux中用戶權限通過組來實現，使用命令more、cat或vi查看/etc/group，每個用戶可以屬于多個組，每個組可以包括多個用戶，如果系統只有一個root管理用戶，一般視為未授予管理用戶所需的最小權限。

七、測評項e

e)應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則；

這一項的字面意思就是由授權主體(大多數是安全管理員)來配置訪問控制策略，這個只能通過訪談的方式來測評，具體是誰配置的也無從考證，我測評過程中還沒有遇到過做過配置的案例，所以什么樣的算符合我也沒有典型案例。

八、測評項f

f)訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級；

這一項Linux是默認符合的，我們可以以某個用戶登錄系統，使用命令“ls -l”查看該用戶對系統文件及文件夾的權限，其中開頭為“l”的為文件，可見Linux的訪問客體控制粒度是達到文件、數據表級的。

用戶對文件的權限

九、測評項g