訪問控制是在共享環境下限制使用者對資源訪問的一種安全機制,一般作為對使用者身份鑑別之後的保護系統安全的第二道屏障,一般分為自主訪問控制和強制訪問控制。
自主訪問控制是指資源擁有者擁有對資源訪問的控制權;強制訪問控制是指根據使用者和資源的安全級別來限制訪問。
自主訪問控制一般採用訪問控制矩陣來表示使用者和資源訪問許可權關係,矩陣的行表示使用者,列表示訪問資源,單元格表示對應的訪問許可權。
訪問許可權包括o(owner,擁有者),r(read,讀取),w(write,寫入),d(delete,刪除)和e(execute,執行)
如下表a.txt
這張圖表明,carl對b.jpg有著讀取、寫入的許可權,對c.html是擁有者並且可以執行
基於win 7 的ntfs檔案系統
1 檢視和新增使用者
單擊「計算機」、「管理」、「本地使用者和組」、「使用者選項」,可以檢視系統中所有使用者
使用者欄單擊右鍵選擇「新使用者」,新增新使用者「test001」,密碼與使用者名稱相同
用同樣的方法,新增test002,操作完畢如下所示
2 檢視使用者許可權
建立乙個新檔案如「test.txt」,輸入「123456」後儲存,然後檢視檔案屬性。
可以在「安全」頁面裡看到不同使用者對檔案的許可權。可以檢視不同使用者對於該檔案的許可權,也可以選中使用者,開啟「高階」按鈕,選擇「有效許可權」,可以檢視單個使用者許可權。
在「選擇」裡面輸入「test001」,可以檢視test使用者許可權
選擇」更改許可權」,勾除「包括可從物件的父項繼承的許可權」,這就刪除了所有使用者的許可權
此時再次開啟「安全」介面,如圖所示
選擇新增使用者「test002」,並只允許其讀取
切換使用者,用test002身份登入,此時使用者只能開啟檔案,不能寫檔案
訪問控制實驗
實驗拓撲 實驗要求 1 如圖r1,r2,r3。所示網段如圖。r2 為企業邊緣路由器,為了內網的安全需要有以下安全策略。2 r2 能夠telnet 到r3 的任意網段,但是r3 不能使用211.16.23.3 telnet 回r2,而使用210位址則可以。3 拒絕所有通過r2 到r3 的追蹤,但是需要...
檔案訪問控制列表
一般許可權 特殊許可權 隱藏許可權其實有乙個共性 許可權是針對某一類使用者設定的。如果希望對某個指定的使用者進行單獨的許可權控制,就需要用到檔案的訪問控制列表 acl 了。通俗來講,基於普通檔案或目錄設定acl其實就是針對指定的使用者或使用者組設定檔案或目錄的操作許可權。另外,如果針對某個目錄設定了...
檔案訪問控制列表
檔案訪問控制列表 一般許可權 特殊許可權 隱藏許可權其實有乙個共性 許可權是針對某一類使用者設定的。如果希望對某個指定的使用者進行單獨的許可權控制,就需要用到檔案的訪問控制列表 acl 了。通俗來講,基於普通檔案或目錄設定acl其實就是針對指定的使用者或使用者組設定檔案或目錄的操作許可權。另外,如果...