《操作系統(tǒng)安全加固》 課件 模塊2 文件系統(tǒng)權(quán)限管理

文件系統(tǒng)權(quán)限管理WindowsNTFS文件系統(tǒng)權(quán)限設置課前準備1.了解WindowsNTFS文件權(quán)限的基本知識2.通過視頻學習WindowsNTFS文件權(quán)限的設置方法WindowsNTFS文件權(quán)限WindowsNTFS文件權(quán)限的設置方法情境導入某公司部署了一臺WindowsServer2019服務器作為文件服務器，為了實現(xiàn)各部門用戶對文件資源的訪問控制，現(xiàn)在利用NTFS文件系統(tǒng)的安全功能，針對服務器上的文件和文件夾，為用戶或組設置NTFS權(quán)限，從而保護文件數(shù)據(jù)的安全性以保障業(yè)務數(shù)據(jù)的安全。為此，需要完成下列安全任務：1.根據(jù)企業(yè)安全要求，使用NTFS權(quán)限實現(xiàn)用戶對資源的訪問控制。2.使用不同的用戶登錄系統(tǒng)訪問驗證NTFS權(quán)限。情境導入-教師基于課前自測情況開展評價活動教師基于課前自測情況開展活動教師展示學生預習自測題情況教師就測試結(jié)果完成課前評價根據(jù)安全管理要求，提出任務：教學活動一：配置NTFS訪問權(quán)限公司有一臺WindowsServer2019服務器作為文件服務器，公司部門的資源存放在該服務器上：公司的公共資源存放在C:\Public文件夾中，賬務部的資源存放在C:\Finance文件夾中。為了實現(xiàn)資源訪問的安全性，對資源文件夾和文件設置NTFS安全權(quán)限。教學活動一：配置NTFS訪問權(quán)限1.文件及文件夾的NTFS權(quán)限類型有哪些？2.如何設置NTFS權(quán)限呢？教學活動一：配置NTFS訪問權(quán)限步驟01任務步驟對C:\Public文件夾及該文件夾下的文件具有完全控制權(quán)限，對該文件夾除了擁有讀取、寫入、讀取和執(zhí)行、列出文件夾內(nèi)容的所有權(quán)限外，還可以刪除文件夾。步驟02允許賬務部和市場部用戶對C:\Public文件夾及該文件夾下的文件具有讀取、讀取和執(zhí)行、列出文件夾內(nèi)容的權(quán)限。能夠讀取C:\Finance文件夾及該文件夾下文件的權(quán)限。步驟03對C:\Finance文件夾及該文件夾下文件具有修改和寫入的權(quán)限。。教學活動一：配置NTFS訪問權(quán)限任務初探下發(fā)任務單（課中資料）下發(fā)操作視頻學生開展活動一實訓教學活動一：配置NTFS訪問權(quán)限教師點評活動一實訓環(huán)節(jié)（參與度、完成情況）提出教學KR1目標10分鐘內(nèi)完成任務要求01學生再次練習完成KR1指標02教師點評KR1活動達標率教學活動二：驗證NTFS訪問權(quán)限使用不同的用戶登錄WindowsServer2019文件服務器，針對該服務器上活動一的資源進行訪問，驗證用戶對文件及文件夾的訪問權(quán)限。提出活動內(nèi)容組織學生討論針對活動一中為指定的文件夾設置的NTFS權(quán)限，分別使用哪些相應的用戶登錄進行訪問權(quán)限驗證？教學活動二：驗證NTFS訪問權(quán)限步驟01小組討論使用IT部Wangchen用戶驗證對C:\Public文件夾及其下內(nèi)容的訪問權(quán)限。步驟02使用賬務部或市場部賬戶對C:\Public文件夾及其下內(nèi)容的訪問權(quán)限。步驟03使用財務部經(jīng)理Yangdu賬戶驗證能夠讀取C:\Finance文件夾及其下內(nèi)容的訪問權(quán)限。教師點評、組織學生互評教學活動二：驗證NTFS訪問權(quán)限步驟01任務步驟使用IT部Wangchen用戶登錄文件服務器，驗證IT部用戶對C:\Public文件夾及該文件夾下的文件具有完全控制權(quán)限，對該文件夾除了擁有讀取、寫入、讀取和執(zhí)行、列出文件夾內(nèi)容的所有權(quán)限外，還可以刪除文件夾。步驟02使用賬務部或市場部賬戶登錄服務器，驗證賬務部或市場部對C:\Public文件夾及該文件夾下的文件具有讀取、讀取和執(zhí)行、列出文件夾內(nèi)容的權(quán)限。步驟03使用財務部經(jīng)理Yangdu賬戶登錄文件服務器，驗證能夠讀取C:\Finance文件夾及該文件夾下文件的權(quán)限，并且還具有修改和寫入的權(quán)限。組織學生討論任務完成步驟教學活動二：驗證NTFS訪問權(quán)限步驟01小結(jié)任務步驟分別使用不同的用戶賬戶登錄服務器。步驟02訪問C:\Public和C:\Finance進行權(quán)限驗證。教師點評、組織學生互評教學活動二：驗證NTFS訪問權(quán)限任務初探下發(fā)任務單（課程資料）下發(fā)操作視頻，根據(jù)視頻完成任務學生開展活動二實訓教師評價學生小組完成任務情況教學活動二：驗證NTFS訪問權(quán)限教師點評活動二實訓環(huán)節(jié)（參與度、完成情況）提出教學KR2目標15分鐘內(nèi)按要求完成任務二操作01學生再次練習完成KR2指標02教師點評KR2活動達標率課堂總結(jié)學習要點使用NTFS權(quán)限實現(xiàn)資源訪問控制使用不同的用戶登錄系統(tǒng)訪問驗證NTFS權(quán)限思政要點網(wǎng)絡安全法要求企業(yè)要按等保要求，安全個體要有安全意識。企業(yè)的安全要實施管理與技術都要有要求，才能實現(xiàn)安全基本要求。課后作業(yè)思考與練習請列舉WindowsNTFS文件基本權(quán)限。如果用戶對文件具有“讀取”權(quán)限，該用戶所屬的組又對該文件具有“寫入”的權(quán)限，那么該用戶對該文件的權(quán)限是什么？在NTFS權(quán)限設置中，用戶Jack屬于業(yè)務部組，用戶Jack對文件readme.txt文件有讀取的權(quán)限，但是業(yè)務部組對readme.txt文件有拒絕讀取的權(quán)限，那么Jack對該文件的權(quán)限是什么？謝謝觀看自己動手練習練習吧!文件系統(tǒng)權(quán)限管理使用Windows圖形方式設置與管理文件共享課前準備觀看視頻，學習Windows共享文件的設置方法Windows共享文件的設置方法情境導入某公司部署了WindowsServer系統(tǒng)文件服務器，為公司內(nèi)部的各部門提供文件共享服務?，F(xiàn)在根據(jù)網(wǎng)絡安全等級保護第三級對訪問控制的要求：“應由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則”因此，為了保障企業(yè)文件服務器的安全，降低文件服務器的安全風險，需要管理員小顧通過文件共享權(quán)限的自檢自查，刪除、停用不必要的共享，嚴格使用文件共享權(quán)限和安全權(quán)限相結(jié)合的技術手段保障文件服務器的安全應用訪問。情境導入-教師基于課前自測情況開展評價活動教師基于課前自測情況開展活動教師展示學生預習自測題情況教師就測試結(jié)果完成課前評價根據(jù)安全管理要求，提出任務：教學活動一：創(chuàng)建文件共享并驗證為此，管理員小顧需要完成以下運維工作：1.使用圖形界面設置并驗證共享訪問權(quán)限。2.使用圖形界面管理Windows系統(tǒng)的文件共享。教學活動一：創(chuàng)建文件共享并驗證共享權(quán)限和安全權(quán)限的關系是什么？教學活動一：創(chuàng)建文件共享并驗證步驟01任務步驟執(zhí)行fsmgmt.msc共享管理工具步驟02設置共享名和共享路徑、描述步驟03自定義共享權(quán)限和安全權(quán)限步驟04驗證共享教師點評、組織學生互評教學活動一：創(chuàng)建文件共享并驗證任務初探下發(fā)任務單（課中資料）下發(fā)操作視頻學生開展活動一實訓教師點評任務實戰(zhàn)環(huán)節(jié)。教學活動一：創(chuàng)建文件共享并驗證教師點評活動一實訓環(huán)節(jié)（參與度、完成情況）提出教學KR1目標10分鐘內(nèi)完成任務要求01學生再次練習完成KR1指標02教師點評KR1活動達標率教學活動二：管理共享文件夾為了降低公司文件服務器的安全風險，保障文件服務器的安全，管理員登錄文件服務器使用fsmgmt.msc管理工具監(jiān)控和管理已經(jīng)創(chuàng)建的共享文件，排除安全隱患。提出活動內(nèi)容客戶端訪問共享的實質(zhì)是什么？教學活動二：管理共享文件夾共享訪問的實質(zhì)：訪問共享：共享會話共享已打開的文件討論小結(jié)教師點評，組織學生自評、互評教學活動二：管理共享文件夾步驟01任務步驟監(jiān)控與管理已連接的用戶；步驟02監(jiān)控與管理被打開的文件；步驟03為了系統(tǒng)安全，停用不必要的共享。教師點評、組織學生互評組織學生觀看操作錄屏，分小組討論任務步驟教學活動二：管理共享文件夾步驟01小結(jié)任務步驟客戶端產(chǎn)生共享會話步驟02客戶端打開共享文件步驟03服務端監(jiān)控共享會話信息教師點評、組織學生互評步驟04步驟05關停不在使用的共享服務端管理被打開的文件教學活動二：管理共享文件夾任務初探下發(fā)任務單（課中資料）下發(fā)操作視頻，根據(jù)視頻完成任務學生開展活動二實訓教師評價學生小組完成任務情況教學活動二：管理共享文件夾教師點評活動二實訓環(huán)節(jié)（參與度、完成情況）提出教學KR2目標15分鐘內(nèi)按要求完成共享文件夾的監(jiān)控和管理01學生再次練習完成KR2指標02教師點評KR2活動達標率課堂總結(jié)學習要點創(chuàng)建文件共享并驗證管理共享文件夾思政要點網(wǎng)絡安全法要求企業(yè)要按等保要求，安全個體要有安全意識企業(yè)的安全要實施管理與技術都要有要求，才能實現(xiàn)安全基本要求課后作業(yè)思考與練習在文件服務器上為市場部創(chuàng)建共享文件夾，只允許市場部的員工讀取，部門經(jīng)理可以修改，客戶端訪問共享，驗證配置結(jié)果。謝謝觀看自己動手練習練習吧!使用Windows命令行方式設置與管理文件共享文件系統(tǒng)權(quán)限管理課前準備觀看視頻，學習Windows多用戶配置設置不同用戶不用訪問權(quán)限。Windows多用戶配置設置不同用戶不用訪問權(quán)限情境導入某公司部署了WindowsServer系統(tǒng)文件服務器，為公司內(nèi)部的各部門提供文件共享服務?，F(xiàn)在根據(jù)網(wǎng)絡安全等級保護第三級對訪問控制的要求：“應由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則”因此，為了保障企業(yè)文件服務器的安全，降低文件服務器的安全風險，需要管理員小顧能使用命令行設置與管理Windows文件共享權(quán)限。根據(jù)預習資料，思考請例舉:共享權(quán)限和安全權(quán)限的關系是什么？情境導入-教師基于問題及課前自測情況開展評價活動學生回答教師提出的問題教師基于問題及課前自測情況開展活動教師對學生的回答結(jié)果進行分類概括教師展示學生預習自測題情況教師就提出的問題及測試結(jié)果完成課前評價1.了解netshare命令，查看服務器上的共享資源；2.查看netshare命令的幫助；3.使用netshare命令創(chuàng)建人事部門共享：設置共享名、共享權(quán)限、使用人數(shù)上限、共享注釋；4.使用圖形化方式訪問驗證共享。根據(jù)安全管理要求，提出任務教學活動一：使用netshare命令創(chuàng)建與管理共享為此，管理員小顧需要完成以下運維工作：開展討論，明確任務要求和任務目的：1.了解Windows命令行方式下設置共享屬性以及權(quán)限的方法提問、設疑：共享權(quán)限和安全權(quán)限的關系是什么？組織學生討論與展示，教師點評、組織學生互評教學活動一：使用netshare命令創(chuàng)建與管理共享分析任務步驟01任務步驟執(zhí)行netshare命令查看共享。步驟02執(zhí)行netshare/?命令查看幫助。步驟03執(zhí)行netshare相關命令設置共享名、共享權(quán)限、使用人數(shù)上限、共享注釋。步驟04客戶端電腦輸入相關命令驗證文件服務器的共享文件。教學活動一：使用netshare命令創(chuàng)建與管理共享任務初探下發(fā)操作視頻巡視指導學生、解答疑惑組織學生演示分享教學活動一：使用netshare命令創(chuàng)建與管理共享學生根據(jù)操作視頻，討論完成任務教師點評（學生參與度、任務完成情況）、組織學生互評教學活動一：使用netshare命令創(chuàng)建與管理共享教師評價學生練習、點評實戰(zhàn)結(jié)果提出教學KR指標110分鐘內(nèi)完成使用netshare命令查看、創(chuàng)建、管理服務器上的共享的任務要求01學生再次練習完成KR1指標02教師點評展示學生的KR1活動達標率情況任務場景教學活動二：使用netuse命令連接訪問共享人事部門經(jīng)理王杰希望在他的客戶端內(nèi)直接能看到分配給他的共享，管理員小顧需要使用netuse相關命令實現(xiàn)這個需求。學生討論討論共享文件管理的方法。設問：客戶端訪問共享的實質(zhì)是什么？分小組展示討論小組討論小結(jié)教學活動二：使用netuse命令連接訪問共享訪問共享：共享會話映射為本地驅(qū)動器教師點評、組織學生互評教學活動二：使用netuse命令連接訪問共享步驟01任務步驟客戶端電腦執(zhí)行相關指令將網(wǎng)絡共享映射為本地驅(qū)動器；步驟02客戶端電腦雙擊映射好的驅(qū)動器進行驗證。。分析任務：根據(jù)任務要求，討論任務完成步驟任務步驟小結(jié)教學活動二：使用netuse命令連接訪問共享1.客戶端將網(wǎng)絡共享映射為本地驅(qū)動器2.客戶端打開映射好的驅(qū)動器教師點評、組織學生互評教學活動二：使用netuse命令連接訪問共享任務初探任務單巡視指導學生、解答疑惑教師點評、組織學生互評完成任務教學活動二：使用netuse命令連接訪問共享教師點對學生的交流合作情況進行評價提出教學KR2指標15分鐘內(nèi)按要求完成共享文件夾的監(jiān)控和管理01學生再次練習完成KR2指標02教師點評展示學生的KR2活動達標率情況課堂總結(jié)學習要點使用netshare命令查看、創(chuàng)建、管理服務器上的共享使用命令連接訪問共享及管理共享思政要點網(wǎng)絡安全法要求企業(yè)要按等保要求，安全個體要有安全意識企業(yè)的安全要實施管理與技術都要有要求，才能實現(xiàn)安全基本要求課后作業(yè)請列舉netshare命令的其他功能。使用netshare命令，在共享文件hr內(nèi)新增一個文件夾xiejiaoni并賦予人事部另一位人員謝姣尼只讀權(quán)限。在客戶端使用netuse命令，斷開設置好的網(wǎng)絡連接。思考與練習謝謝觀看自己動手練習練習吧!文件系統(tǒng)權(quán)限管理設置Linux文件權(quán)限課前準備1.學習文件或目錄權(quán)限的基本解釋2.學習改變文件或目錄的訪問權(quán)限的方法文件或目錄權(quán)限的基本解釋文件或?錄的訪問權(quán)限的方法情境導入使用admin用戶登錄系統(tǒng)，為各部門創(chuàng)建組和用戶，并將用戶加入到各部門相應的組。1)創(chuàng)建/data目錄。2)創(chuàng)建公共目錄/data/public，并在該目錄下創(chuàng)建文件pubdoc。3)為研發(fā)部門創(chuàng)建目錄/data/rdproject4)為IT部門創(chuàng)建目錄/data/itprivate，并在該目錄下創(chuàng)建一個文件itreadme運行腳本prepare.txt，完成環(huán)境準備工作。情境導入-教師基于課前自測情況開展評價活動教師基于課前自測情況開展活動教師展示學生預習自測題情況教師就測試結(jié)果完成課前評價根據(jù)安全管理要求，提出任務：教學活動一：為指定目錄設置權(quán)限1）請用符號類型對/data/public目錄設置權(quán)限：所屬組為itgroup，所屬組擁有只讀+可寫+列出目錄內(nèi)容的權(quán)限；其他用戶對該目錄具有讀取+查看目錄內(nèi)容的權(quán)限。2）請用數(shù)字類型對/data/itprivate目錄設置權(quán)限：所有者為alex，所有者擁有完全控制權(quán)限；所屬組為itgroup，設置權(quán)限為完全控制；其他用戶沒有任何權(quán)限。教學活動一：為指定目錄設置權(quán)限1.更改文件所有者和所屬組的方法是什么？2.符號類型和數(shù)字類型的設置方法有什么不同，在使用上有什么講究？教師點評、組織學生互評教學活動一：為指定目錄設置權(quán)限步驟01任務步驟修改/data/public目錄的所屬組，基于chgrp。步驟02使用符號類型按要求修改目錄的權(quán)限。步驟03使用數(shù)字類型按要求修改目錄的權(quán)限。教學活動一：為指定目錄設置權(quán)限任務初探下發(fā)任務單（課中資料）下發(fā)操作視頻學生開展活動一實訓教師點評，學生自評、互評教學活動一：為指定目錄設置權(quán)限教師點評活動一實訓環(huán)節(jié)（參與度、完成情況）提出教學KR1目標10分鐘內(nèi)完成任務要求01學生再次練習完成KR1指標02教師點評KR1活動達標率教學活動二：為指定文件設置權(quán)限并對目錄和文件的權(quán)限進行驗證提出活動內(nèi)容1.對/data/public/pubdoc文件進行權(quán)限設置：所有者為alex，權(quán)限為完全控制；所屬組為itgroup，權(quán)限為完全控制；其他用戶只有只讀權(quán)限。2.對/data/itprivate/itreadme文件設置權(quán)限：所有者為spencer，擁有完全控制權(quán)限；所屬組為itgroup，組內(nèi)其他用戶只有只讀和執(zhí)行權(quán)限；其他用戶沒有任何權(quán)限。3、對活動一和活動二的權(quán)限設置進行有效性驗證教學活動二：為指定文件設置權(quán)限并對目錄和文件的權(quán)限進行驗證1.討論權(quán)限的設置方法。2.怎樣設置驗證方法，對文件和目錄的有效性進行驗證？教學活動二：為指定文件設置權(quán)限并對目錄和文件的權(quán)限進行驗證步驟01任務步驟對/data/public/pubdoc文件進行權(quán)限設置：所有者為alex，權(quán)限為完全控制；所屬組為itgroup，權(quán)限為完全控制；其他用戶只有只讀權(quán)限。步驟02對/data/itprivate/itreadme文件設置權(quán)限：所有者為spencer，擁有完全控制權(quán)限；所屬組為itgroup，組內(nèi)其他用戶只有只讀和執(zhí)行權(quán)限；其他用戶沒有任何權(quán)限。步驟03切換到行政部的jenny用戶登錄，測試是否能讀取/data/public/pubdoc文件，且只有讀取權(quán)限。教師點評、組織學生互評步驟04切換到以IT部alex用戶登錄，驗證是否可以修改/data/itprivate/itreadme文件？切換到行政部jenny用戶登錄，驗證是否有權(quán)查看/data/itprivate目錄內(nèi)容？教學活動二：為指定文件設置權(quán)限并對目錄和文件的權(quán)限進行驗證任務初探下發(fā)任務單（課中資料）下發(fā)操作視頻，根據(jù)視頻完成任務學生開展活動二實訓教師評價學生小組完成任務情況教學活動二：為指定文件設置權(quán)限并對目錄和文件的權(quán)限進行驗證教師點評活動二實訓環(huán)節(jié)（參與度、完成情況）提出教學KR2目標15分鐘內(nèi)按要求完成任務二操作01學生再次練習完成KR2指標02教師點評KR2活動達標率課堂總結(jié)學習要點對指定目錄設置權(quán)限為指定文件設置權(quán)限并對目錄和文件的權(quán)限進行驗證思政要點網(wǎng)絡安全法要求企業(yè)要按等保要求，安全個體要有安全意識企業(yè)的安全要實施管理與技術都要有要求，才能實現(xiàn)安全基本要求課后作業(yè)思考與練習基于上述的案例，對/data/rdproject目錄設置權(quán)限：所屬組為rdgroup，設置權(quán)限為完全控制，并且希望研發(fā)部任何一個用戶登錄系統(tǒng)后在/data/rdproject目錄下建立的新文件，研發(fā)部的用戶都有權(quán)限修改這些文件，其他用戶沒有任何權(quán)限。請試一試，看看正常權(quán)限設置能滿足嗎？謝謝觀看自己動手練習練習吧!文件系統(tǒng)權(quán)限管理設置Linux文件特殊權(quán)限課前準備1.回顧文件權(quán)限的設置；2.學習什么是特殊權(quán)限。文件權(quán)限的設置特殊權(quán)限情境導入某公司已經(jīng)安裝并部署了一臺Linux系統(tǒng)的服務器，架設并布署了Samba服務為公司內(nèi)部的各部門提供文件共享服務。根據(jù)網(wǎng)絡安全等級保護第三級對訪問控制的要求：“應由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則”。公司安全管理員已經(jīng)對服務器進行了安全加固。但是，使用一段時間后，運維人員發(fā)現(xiàn)了一些問題：在運行一些權(quán)限較高的自動化腳本時，由于沒有管理員權(quán)限，沒有辦法實現(xiàn)。當文件目錄共享，需要一組項目成員共同使用，文件權(quán)限維護設置復雜。在一些公共目錄一些文件用戶創(chuàng)建的無效文件不能及時清理，管理員疲于應付。因此，為了保障企業(yè)文件服務器的安全，降低文件服務器的安全風險，但又要使用運維人員管理工作量相對減小，需要管理員小顧通過Linux文件系統(tǒng)中的特殊權(quán)限對相關目錄進行權(quán)限設置。情境導入-教師基于課前自測情況開展評價活動教師基于課前自測情況開展活動教師展示學生預習自測題情況教師就測試結(jié)果完成課前評價1.運行admin用戶主目錄下的自動化運維程序info。在當前目錄下生成info.txt并查看info.txt的內(nèi)容2.在/var/share/publicinfo/目錄下，已經(jīng)存在info.txt。要求admin用戶在此目錄運行info程序，將信息寫入到/var/share/publicinfo/info.txt文件中。根據(jù)安全管理要求，提出任務：教學活動一：為指定文件設置SUID權(quán)限為此，管理員以普通身份admin登錄Linux系統(tǒng)服務器，使用su提升至root權(quán)限，完成下列安全運維任務：教學活動一：為指定文件設置SUID權(quán)限1.由于這個info程序文件是所有者是admin用戶，但是目標目錄卻是只有root用戶有權(quán)限寫入文件，用什么權(quán)限可以臨時解決這個問題？討論小結(jié)教學活動一：為指定文件設置SUID權(quán)限可以使用SUID權(quán)限，在程序運行時獲得root權(quán)限，寫入輸出的文件。教師點評，組織學生互評步驟01任務步驟使用admin用戶身份登錄，提升到root用戶步驟02設置info的SUID位，使其可以在執(zhí)行時具有root權(quán)限步驟03在/var/share/publicinfo目錄運行程序輸出信息。教學活動一：為指定文件設置SUID權(quán)限任務初探下發(fā)任務單（課中資料）下發(fā)操作視頻學生開展活動一實訓教師點評任務實戰(zhàn)環(huán)節(jié)教學活動一：為指定文件設置SUID權(quán)限教師點評活動一實訓環(huán)節(jié)（參與度、完成情況）提出教學KR1目標10分鐘內(nèi)完成任務要求01學生再次練習完成KR1指標02教師點評KR1活動達標率根據(jù)安全管理要求，提出任務：教學活動二：為指定目錄設置SGID特殊權(quán)限公司為拓展業(yè)務，新成立了一個AI的部門，為配合該部門的工作中文件共享的需求，在公司Linux文件共享服務器上，開設一個目錄/var/share/ai_sharefolder此目錄該部門的成員可以訪問創(chuàng)建文件與子目錄，所屬組都為ais組。是不是有一種方法，使得創(chuàng)建出來的文件的所屬組就是指定組呢？是不是有一種方法，使得創(chuàng)建出來的文件的所屬組就是指定組呢？教學活動二：為指定目錄設置SGID特殊權(quán)限設定共享權(quán)限的原則：使用SGID教師點評，組織學生自評、互評教學活動二：為指定目錄設置SGID特殊權(quán)限步驟01任務步驟現(xiàn)Linux系統(tǒng)服務器已經(jīng)存在管理員admin用戶，管理員使用此賬戶登錄系統(tǒng)，完成如下工作：步驟02在/var/share下創(chuàng)建目錄ai_sharefolder，并將改目錄的權(quán)限設為755，所屬組為ais；組織學生觀看操作錄屏，分小組討論任務步驟在/var/share/ai_sharefolder設置SGID特殊權(quán)限；步驟03創(chuàng)建ais組，并創(chuàng)建ai_user1與ai_user2用戶，且這些用戶都屬于ais組；使用ai_user1、ai_user2驗證，創(chuàng)建的文件的所屬組皆為ais。步驟04教學活動二：為指定目錄設置SGID特殊權(quán)限步驟01任務步驟登錄服務器；步驟02創(chuàng)建組與組成員；教師點評任務分析討論環(huán)節(jié)設定目錄的SGID權(quán)限；驗證。步驟03步驟04教學活動二：為指定目錄設置SGID特殊權(quán)限任務初探下發(fā)任務單（課中資料）下發(fā)操作視頻學生開展活動二實訓教師評價學生小組完成任務情況教學活動二：為指定目錄設置SGID特殊權(quán)限教師點評活動二實訓環(huán)節(jié)（參與度、完成情況）提出教學KR2目標10分鐘內(nèi)按要求完成SGID權(quán)限設置01學生再次練習完成KR2指標02教師點評KR2活動達標率教學活動三：為指定目錄設置SBIT特殊權(quán)限為了更方便共享文件，公司需要在Linux的文件共享服務器上，創(chuàng)建一個臨時目錄，只有系統(tǒng)管理員root和創(chuàng)建文件的用戶能刪除。提出活動內(nèi)容請同學分小組進行嘗試通過普通文件權(quán)限設置，是否可行。教師點評，學生自評、互評教學活動三：為指定目錄設置SBIT特殊權(quán)限步驟01任務步驟在共享目錄/var/share中創(chuàng)建目錄temp，設置權(quán)限其他用戶可讀可寫可進入。步驟02設置temp目錄特殊權(quán)限SBIT步驟03驗證只有自身root能刪除，其用戶不可以。組織學生觀看操作錄屏，分小組討論任務步驟現(xiàn)Linux系統(tǒng)服務器已經(jīng)存在管理員admin用戶，管理員使用此賬戶登錄系統(tǒng)，完成如下工作：教學活動三：為指定目錄設置SBIT特殊權(quán)限步驟01任務步驟登錄服務器；步驟02教師點評，組織學生自評、互評設定目錄的SBIT權(quán)限；驗證。步驟03教學活動三：為指定目錄設置SBIT特殊權(quán)限任務初探下發(fā)任務單（教學資源）下發(fā)操作視頻，根據(jù)視頻完成任務學生開展活動三實訓教師評價學生小組完成任務情況教學活動三：為指定目錄設置SBIT特殊權(quán)限教師點評活動三實訓環(huán)節(jié)（參與度、完成情況）提出教學KR3目標10分鐘內(nèi)按要求完成SGID權(quán)限設置01學生再次練習完成KR3指標02教師點評KR3活動達標率課堂總結(jié)學習要點為指定文件設置SUID權(quán)限為指定目錄設置SGID特殊權(quán)限為指定目錄設置SBIT特殊權(quán)限思政要點網(wǎng)絡安全法要求企業(yè)要按等保要求，安全個體要有安全意識企業(yè)的安全要實施管理與技術都要有要求，才能實現(xiàn)安全基本要求課后作業(yè)思考與練習在請在現(xiàn)有的Linux系統(tǒng)里，找一找，有沒有使用SUID特殊權(quán)限的例子？請在現(xiàn)有的Linux系統(tǒng)里，找一找，有沒有使用SGID特殊權(quán)限的例子?請在現(xiàn)有的Linux系統(tǒng)里，找一找，有沒有使用SBIT特殊權(quán)限的例子?請使用find命令找一下系統(tǒng)里有多少文件或目錄是有特殊權(quán)限的。謝謝觀看自己動手練習練習吧!文件系統(tǒng)權(quán)限管理設置LinuxACL權(quán)限課前準備1.了解LinuxACL權(quán)限的查看與設置命令；2.學習ACL權(quán)限的設置與查看命令：setfacl和getfacl。LinuxACL權(quán)限的查看ACL權(quán)限的設置與查看命令LinuxACL權(quán)限的設置命令setfacl和getfacl情境導入某公司部署了一臺Linux服務器，為公司各部門提供文件服務。根據(jù)網(wǎng)絡安全等級保護第三級對訪問控制的要求：“應由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則”，因此，為了保障該Linux文件服務器的安全，實現(xiàn)各部門用戶對文件資源的訪問控制，針對指定的文件和目錄，為單一用戶或用戶組設置ACL權(quán)限，從而做到權(quán)限控制的精細化以保護文件和目錄的安全性。為此，需要完成下列安全任務：根據(jù)業(yè)務的安全要求，針對單一用戶設置文件ACL權(quán)限。2.根據(jù)業(yè)務的安全要求，針對特定用戶組設置文件ACL權(quán)限。情境導入-教師基于課前自測情況開展評價活動教師基于課前自測情況開展活動教師展示學生預習自測題情況教師就測試結(jié)果完成課前評價1.針對用戶alexgu設置ACL權(quán)限，能夠訪問/techproject目錄，即有讀取和進入目錄的權(quán)限，并查看ACL權(quán)限。2.針對用戶alexgu設置ACL權(quán)限，對/techproject/plan文件具有讀取和寫入的權(quán)限，并查看ACL權(quán)限。3.切換到alexgu用戶登錄，訪問/techproject目錄及/techproject/plan文件進行權(quán)限驗證。根據(jù)安全管理要求，提出任務：教學活動一：針對特定用戶設置ACL權(quán)限并驗證公司Linux文件服務器上技術部的項目文件存儲在/techproject目錄中，該目錄及其下的文件和子目錄只有技術部用戶能夠訪問。由于項目的需要，需要IT部門的人員alexgu幫忙，要求alexgu對/techproject/目錄中的文件具有讀取權(quán)限，具體要求如下：教學活動一：針對特定用戶設置ACL權(quán)限并驗證1.若為指定的單一用戶設置權(quán)限，對文件或目錄做到權(quán)限控制的精細化，那么要如何實現(xiàn)呢？教師評價，組織學生互評教學活動一：針對特定用戶設置ACL權(quán)限并驗證步驟01任務步驟切換以用戶alexgu登錄，驗證alexgu對/techproject目錄的訪問權(quán)限。步驟02使用setfacl命令設置alexgu用戶能夠讀取和進入/techproject目錄的ACL權(quán)限,查看目錄權(quán)限，以及使用getfacl命令查看ACL權(quán)限。步驟03設置alexgu用戶對/techproject/plan文件具有讀取和寫入的權(quán)限，查看文件權(quán)限。步驟04切換到alexgu用戶登錄，驗證對目錄的訪問權(quán)限。步驟05驗證用戶alexgu對/techproject/plan文件具有讀取和寫入的權(quán)限。教學活動一：針對特定用戶設置ACL權(quán)限并驗證任務初探下發(fā)任務單（課中資料）下發(fā)操作視頻學生開展活動一實訓教師點評任務完成情況教學活動一：針對特定用戶設置ACL權(quán)限并驗證教師點評活動一實訓環(huán)節(jié)（參與度、完成情況）提出教學KR1目標10分鐘內(nèi)完成任務要求01學生再次練習完成KR1指標02教師點評KR1活動達標率教學活動二：針對特定用戶組設置ACL權(quán)限并驗證公司Linux文件服務器上技術部的項目目錄為/techp