中国科学院大学操作系统安全试验二

操作系统安全研讨课二,实验二：用户权限设置,实验要求,基于用户/角色的权限设置系统(1)在某用户登录时，规定其只具有某几种权能。(2)例如，用户A登录，其只具有修改网络相关的权能。(3)Hint：比如，按照权能execve变换规则，根据用户名，登陆前设置cap_net_raw，然后设置相应的ping程序的文件权能，实验环境：系统：centos6.864位内核版本：2.6.32,报告内容,1.什么是权能2.如何查看系统权能3.UID与EUID的关系4.PAM介绍与配置,什么是权能,权能即权限的最小单位，在你不了解权能时，如果你要用iptables配置linux防火墙时，如果是普通用户，系统会提醒你权限不够，切换到root，但是root有很多其他权限如创建用户，挂载设备等，在配置iptables时并不需要这些权限，root所具有的权限是系统中所有权能的集合。,如何查看系统权能,首先通过unamea命令查看系统的信息然后通过cat/etc/redhat-release查看操作系统版本最后打开定义权能的capability.h文件即可查看所有权能部分权能展示：1.允许改变文件的所有权#defineCAP_CHOWN2.忽略对文件的所有DAC访问限制#defineCAP_DAC_OVERRIDE3.忽略所有对读、搜索操作的限制#defineCAP_DAC_READ_SEARCH,UID与EUID的关系,Linux下每个进程都会有2个id，一个是创建进程的用户的id称为uid，一个是程序文件所有者的id被称为有效用户id即euid。,UID与EUID的关系,UNIX下关于文件权限的表示方法和解析UNIX下可以用ls-l命令来看到文件的权限。用ls命令所得到的表示法的格式是类似这样的：-rwxr-xr-x。9876543210-rwxr-xr-x第9位表示文件类型,可以为p、d、l、s、c、b第8-6位、5-3位、2-0位分别表示文件所有者的权限，同组用户的权限，其他用户的权限,UID与EUID的关系,UNIX下关于文件权限的表示方法和解析(续)其形式为rwx：r表示可读，可以读出文件的内容w表示可写，可以修改文件的内容x表示可执行，可运行这个程序没有权限的位置用-表示,UID与EUID的关系,S位应用举例举个例子来说明linux的passwd会修改/etc/shadow文件，按理说该文件普通用户是无权修改的，查看一下passwd命令详细信息：发现该程序所有者root，普通用户运行该程序后该程序的uid是普通用户，euid是root，所有者权限中有一位是s，则该程序运行时将以euid用户身份运行，所以普通用户调用passwd后，该命令是以root身份运行，所以能修改/etc/shadow文件,UID与EUID的关系,添加、删除s位权限实验,PAM介绍与配置,PAM介绍PAM（PluggableAuthenticationModules）是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于向系统中添加新的认证手段。PAM最初是集成在Solaris中，目前已移植到其它系统中，如Linux、SunOS、HP-UX9.0等。,PAM介绍与配置,PAM支持的四种管理界面1、认证管理（authenticationmanagement）2、帐户管理（accountmanagement）3、密码管理（passwordmanagement）4、会话管理（sessionmanagement）,PAM介绍与配置,查看pam的应用场景使用ls/etc/pam.d可以查看pam的应用场景,PAM介绍与配置,查看login配置使用ls/etc/pam.d/login可以查看login的配置,PAM介绍与配置,查看login配置,第一部分四种可能Author：用来对用户的身份进行识别.如:提示用户输入密码,或判断用户是否为root等Account：对帐号的各项属性进行检查.如:是否允许登录,是否达到最大用户数Password：使用用户信息来更新.如:修改用户密码Session：用户登录前的,及用户退出后所要进行的操作,PAM介绍与配置,查看login配置第二部分Required：表示即使某个模块对用户的验证失败，也要等所有的模块都执行完毕后,PAM才返回错误信息。这样做是为了不让用户知道被哪个模块拒绝。如果对用户验证成功，所有的模块都会返回成功信息。Requisite：与required相似,但是如果这个模块返回失败,则立刻向应用程序返回失败,表示此类型失败.不再进行同类型后面的操作Sufficient：表示如果一个用户通过这个模块的验证，PAM结构就立刻返回验证成功信息（即使前面有模块fail了，也会把fail结果忽略掉），把控制权交回应用程序。后面的层叠模块即使使用requisite或者required控制标志，也不再执行。如果验证失败，sufficient的作用和optional相同Optional：表示即使本行指定的模块验证失败，也允许用户接受应用程序提供的服务，一般返回PAM_IGNORE(忽略).,PAM介绍与配置,查看login配置第二部分Include：上面四类后面一般接*.so文件(动态链接库)，而include标记后的一般是链接到/etc/pam.d中的文件，如上图中的system-auth打开如下：,PAM介绍与配置,查看login配置第三部分C编译动态库第四部分则为相应命令及参数等,PAM介绍与配置,配置实验设置用户登录权限新建一个用户userping修改ping命令去掉s位以及各种权能,PAM介绍与配置,配置实验测试：切换到新建的userping用户测试：,PAM介绍与配置,配置实验退出userping用户，回到centos用户下，修改/etc/pam.d/sshd新添加一行命令：sessionrequiredpam_exec.soseteuid/usr/sbin/setcapcap_net_raw=eip/bin/pingpam_exec.so：调用外部