网络基础信息及安全 9

任务1Linux用户权限和文件系统权限管理——项目七Linux操作系统的安全配置课程设计和制作：

石晋阳电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02Linux用户与权限概述Linux用户操作命令与文件权限操作子任务1用户密码管理03子任务2用户登录管理04子任务3文件权限设置05子任务4文件特殊权限设置06子任务5用户密码安全测试0701任务规划任务规划全面加固服务器安全：强制实施强密码策略并定期检测弱密码；清理冗余账户，管控登录行为；规范文件目录权限，特殊场景配置SUID/SGID/StickyBit；结合ACL实现精细权限管理，保护敏感数据安全，构建多层次防护体系。1）测评内容：为确保所有用户账户均使用强密码，制定严格的密码策略。安全加固措施：安装和配置pam_pwquality模块、配置PAM以使用密码策略、设置密码过期策略、强制用户遵守新策略、日志检查和审计。任务规划全面加固服务器安全：强制实施强密码策略并定期检测弱密码；清理冗余账户，管控登录行为；规范文件目录权限，特殊场景配置SUID/SGID/StickyBit；结合ACL实现精细权限管理，保护敏感数据安全，构建多层次防护体系。2）测评内容：排查现有账户，禁用多余的test2账户，限制其他用户通过su命令切换为root用户，仅允许user1用户可以使用，设置所有用户登录超时时间为10分钟，10分钟没有任何操作自动登出。安全加固措施：列出所有用户、识别并禁用不必要的用户、启用pam_wheel认证模块、配置wheel组成员、设置登录超时、测试验证。任务规划全面加固服务器安全：强制实施强密码策略并定期检测弱密码；清理冗余账户，管控登录行为；规范文件目录权限，特殊场景配置SUID/SGID/StickyBit；结合ACL实现精细权限管理，保护敏感数据安全，构建多层次防护体系。3）测评内容：利用ACL技术为特定用户或组设置额外的文件或目录权限，实现更细粒度的访问控制。安全加固措施：创建用户user1和user2、创建内部资料目录并设备相应权限、使用ACL进行细粒度权限控制、测试并验证权限的配置。任务规划全面加固服务器安全：强制实施强密码策略并定期检测弱密码；清理冗余账户，管控登录行为；规范文件目录权限，特殊场景配置SUID/SGID/StickyBit；结合ACL实现精细权限管理，保护敏感数据安全，构建多层次防护体系。4）测评内容：为公司的一个共享目录/data/share及目录下的文件配置特殊权限，实现该目录下的文件不允许用户随意移动或删除，同时a.txt文件允许普通用户在执行时暂时拥有文件所有者的权限，而文件b.txt普通用户在执行时暂时地拥有文件所属组的权限。安全加固措施：先检查文件和目录权限、为a.txt文件设置SUID权限、为文件b.txt设置SGID权限、为目录/data/share添加StickyBit权限。任务规划全面加固服务器安全：强制实施强密码策略并定期检测弱密码；清理冗余账户，管控登录行为；规范文件目录权限，特殊场景配置SUID/SGID/StickyBit；结合ACL实现精细权限管理，保护敏感数据安全，构建多层次防护体系。5）测评内容：利用专业的密码破解工具john，对密码进行强度评估，及时发现并修复弱密码。安全加固措施：获取服务器的密码哈希文件并拷贝到Kali系统中、准备一个字典文件、在Kali的命令行终端内使用John工具执行破解命令、查看破解结果并提醒弱密码用户更换密码。本任务的环境CentOSLinux8.0服务器，Kali2.0攻击机“02相关知识相关知识——2.1Linux用户与权限基础知识一、Linux用户概述1.用户分类超级用户（root）：拥有系统的最高权限，可以执行任何操作，对系统具有完全的控制权。普通用户：权限受到严格限制，只能访问其被授权的资源，主要用于日常的工作和操作。系统用户：用于支持系统的正常运行，通常不用于登录系统，如httpd、mysql等服务用户。相关知识——2.1Linux用户与权限基础知识一、Linux用户概述2.用户账户管理命令useradd：创建新用户账户，可指定用户的主目录、登录Shell等属性。示例：sudouseradd-m-s/bin/bashtestuserpasswd：设置或更改用户密码。示例：sudopasswdtestuserusermod：修改用户账户的属性，如登录Shell、主目录、所属用户组等。示例：sudousermod-s/bin/zshtestuseruserdel：删除用户账户，可选择是否同时删除用户的主目录和邮件目录。示例：sudouserdel-rtestuser相关知识——2.1Linux用户与权限基础知识二、Linux用户组管理1.用户组的概念和作用：用户组是将多个用户组织在一起的一种方式，通过用户组可以方便地为一组用户分配相同的权限，简化权限管理。2.用户组管理命令groupadd：创建新的用户组。示例：sudogroupaddnewgroupgroupmod：修改用户组的属性，如组名、组ID等。示例：sudogroupmod-nnewgroupnameoldgroupnamegroupdel：删除用户组。示例：sudogroupdelnewgroupgpasswd：管理用户组的成员，如添加、删除用户组成员等。示例：sudogpasswd-atestusernewgroup相关知识——2.1Linux用户与权限基础知识三、Linux文件权限概述1.文件权限的表示方法符号表示法：使用r（读）、w（写）、x（执行）和-（无权限）来表示文件或目录的权限，分为三组，分别对应文件的所有者、所属组和其他用户。例如：-rw-r--r--表示文件所有者具有读写权限，所属组和其他用户只有读权限。数字表示法：将r、w、x分别用4、2、1表示，无权限用0表示，通过三个数字的组合来表示文件的权限。例如：644表示文件所有者具有读写权限（4+2=6），所属组和其他用户只有读权限（4）。符号数字说明r4读取权限w2写入权限x1执行权限-0无权限2.权限数字映射：相关知识——2.1Linux用户与权限基础知识三、Linux文件权限概述3.文件权限的设置命令chmod：修改文件或目录的权限。示例：chmodu+xfile为文件的所有者添加执行权限；chmod755directory将目录的权限设置为所有者具有读写执行权限，所属组和其他用户具有读和执行权限。chown：改变文件或目录的所有者和所属组。示例：chownuser:groupfile将文件的所有者改为user，所属组改为group。chgrp：专门用于改变文件或目录的所属组。示例：chgrpgroupfile将文件的所属组改为group。相关知识——2.1Linux用户与权限基础知识三、Linux文件权限概述4.

Linux特殊权限详解权限类型‌‌原理‌‌应用场景‌‌设置方法‌‌SUID‌

(SetUserID)文件执行时，执行者‌临时获得文件所有者‌的权限/usr/bin/passwd：普通用户修改密码时获得root权限

/usr/bin/sudo：执行特权命令chmodu+s文件

chmod4xxx文件‌SGID‌

(SetGroupID)‌文件‌：执行时获得‌文件所属组‌权限

‌目录‌：该目录下‌新建文件自动继承目录所属组‌文件：团队协作工具需共享组权限

目录：共享文件夹（如/var/www确保新建文件属web组）chmodg+s文件/目录

chmod2xxx文件/目录‌StickyBit‌目录中‌仅文件所有者或root‌可删除/移动文件/tmp：公共临时目录防误删

/var/tmp：长期临时文件保护相关知识——2.1Linux用户与权限基础知识三、访问控制列表（ACL）文件权限的设置命令ACL的概念和作用：ACL是一种更细粒度的权限管理机制，允许为单个用户或用户组设置特定的文件或目录权限，突破了传统的所有者、所属组和其他用户三组权限的限制。ACL管理命令setfacl：设置文件或目录的ACL规则。示例：setfacl-mu:user1:rwxfile为用户user1赋予文件的读写执行权限。getfacl：查看文件或目录的ACL规则。示例：getfaclfile好学深思认识Linux用户权限和文件系统权限管理，按要求做好Linux用户权限和文件系统权限管理的操作。从责任与规则看，超级用户的权限象征着关键责任，需对系统安全稳定负责；权限管理规则如同法律，要求严格遵循，强化法治思维与责任担当，避免越权违规引发风险。从协作与创新看，用户组体现集体主义，通过分工协作达成目标；而面对复杂网络安全形势，权限管理技术的发展促使学习者保持创新进取，积极探索先进方案，同时坚守数据安全底线，以细节保障信息安全，践行安全责任与团队协作精神。03子任务1子任务1-1用户密码管理1）测评内容：为确保所有用户账户均使用强密码，制定严格的密码策略。安全加固措施：安装和配置pam_pwquality模块、配置PAM以使用密码策略、设置密码过期策略、强制用户遵守新策略、日志检查和审计。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-1用户密码管理知识链接——windows用户与组的命令行参数说明netuser：列出所有本地用户账户user用户名密码/add：创建新账户netuser用户名/delete：删除账户netuser用户名/logonpasswordchg：强制用户下次登录修改密码netuser用户名*：交互式设置密码（隐藏输入）netlocalgroup：列出所有本地组netlocalgroupAdministrators用户名/add：将用户加入管理员组netlocalgroupAdministrators用户名/delete：从组中移除用户whoami：显示当前登录用户身份whoami/priv：查看用户详细权限列表whoami/user：查看用户SID（安全标识符）04子任务2子任务1-2用户登录管理2）测评内容：排查现有账户，禁用多余的test2账户，限制其他用户通过su命令切换为root用户，仅允许user1用户可以使用，设置所有用户登录超时时间为10分钟，10分钟没有任何操作自动登出。安全加固措施：列出所有用户、识别并禁用不必要的用户、启用pam_wheel认证模块、配置wheel组成员、设置登录超时、测试验证。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-2用户登录管理05子任务3子任务1-3文件权限设置3）测评内容：利用ACL技术为特定用户或组设置额外的文件或目录权限，实现更细粒度的访问控制。安全加固措施：创建用户user1和user2、创建内部资料目录并设备相应权限、使用ACL进行细粒度权限控制、测试并验证权限的配置。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-3文件权限设置06子任务4子任务1-4文件特殊权限设置4）测评内容：为公司的一个共享目录/data/share及目录下的文件配置特殊权限，实现该目录下的文件不允许用户随意移动或删除，同时a.txt文件允许普通用户在执行时暂时拥有文件所有者的权限，而文件b.txt普通用户在执行时暂时地拥有文件所属组的权限。安全加固措施：先检查文件和目录权限、为a.txt文件设置SUID权限、为文件b.txt设置SGID权限、为目录/data/share添加StickyBit权限。本任务已经配备详细的实训任务书，