操作系统安全访问控制实验指导书

访问控制实验指导书
一、访问控制实验的意义
当前，重视实验与实践教育是各国高等教育界的发展潮流，实验与实践教学与理论教学是相辅相成的，具有同等重要的地位。

它是在开放教育的基础上，为配合理论教学、培养学生分析问题和解决问题的能力以及加强训练学生专业实践能力而设置的教学环节；对于完成教学计划、落实教学大纲，确保教学质量，培养学生分析问题、解决问题的能力和实践操作技能更具有特别重要的意义。

访问控制是操作系统、数据库等安全核心技术之一，实践教学是培养密码技术应用性人才的重要途径，实践教学质量的好环，实际上也决定了应用型人才培养质量的高低。

因此，加强访问控制实践教学环节，提高实践教学质量，对培养高质量的应用型人才至关重要。

二、实验的目的与原理
本实验指导书并不给出一些非常具体的实验步骤，让学生们照着做一遍的实验“指导书”。

这样的实验无法发掘这群充满活力的人群的智慧和创造性。

实验以Linux自主访问控制为例，熟悉Linux操作系统常用命令使用方法，学会通过这些命令定义和配置主体、客体以及权限，通过实验观察系统的执行情况。

1．实验目的
（1）掌握自主访问控制的相关原理；
（2）能够正确安装、熟练使用Linux操作系统常用命令使用方法；
（3）通过这些命令定义和配置主体、客体以及权限，通过实验观察系统的执行情况。

2．实验原理
访问控制的基本任务是：防止非法用户进入系统及合法用户对系统资源的非法使用，它保证主体对客体的所有直接访问都是经过授权的。

自主访问控制(Discretionary Access Control, DAC)是指对某个客体具有拥有权（或控制权）的主体能够将对该客体的一种访问权或多种访问权自主地授予其它主体，并在随后的任何时刻将这些权限回收。

Linux是一种类UNIX的操作系统，当前Linux操作
系统主要发行版本的安全级大致处于TCSEC（可信计算机系统评价标准）的C2级，采用基于访问控制矩阵的自主访问控制机制。

Linux操作系统中所有的计算机软硬件资源都被映射成了文件，因此，Linux 操作系统中的任何客体都可以用文件名来标识。

Linux操作系统中，文件的权限通常用权限字表示，文件的拥有者可以把文件的访问属性设成三种不同的模式：读（r）写（w）和执行（x），和三个不同的用户级别：文件拥有者、所属的用户组、系统里的其他用户。

1)文件属性
每个文件或目录从属于一个文件拥有者（一般是一个用户名）和一个用户组。

文件拥有者一般来说就是生成（或拷贝）这个文件的用户。

一个文件只能被文件拥有者，或者是文件所属的用户组里的其它用户，或者是root用户删除。

对于其它用户，如果被赋予适当的权限，也有可能修改或者删除该文件。

分别给出相应的步骤。

例如查看文件junk的拥有者、用户组，修改文件的拥有者和修改用户组，最后再输出改变后的权限，然后截图。

2)权限的改变
修改文件的访问权限。

增加所有用户对该文件的“只读”权限。

删除其他用户对文件的执行权限。

三、实验环境
运行Linux系统的PC机或者Windows上安装运行linux虚拟机的PC机。

四、实验要求
实验正确安装、熟练使用Linux操作系统常用命令使用方法；通过命令定义和配置主体、客体以及权限：建立root用户的一个文件目录（以每个人的名字命名，比如张吉良，为JiliangZhang）；该目录文件下建立一个可执行可写不可读的文件（文件命名为每个人的名字的首字母组合，比如JiliangZhang为ZJL），查看文件的权限，分别给出每个字符代表的意思；对该文件（ZJL）修改文件的拥有者和用户组；对该文件（ZJL）修改文件的访问权限。

通过实验观察系统的执行情况，最后需提交完成的实验报告至少包括但不仅限于以下内容：
◆实验的目的和意义
◆实验的原理
◆实验的操作过程（截图）
◆实验结果图（截图）
◆实验的心得体会（50字左右）。