实验6 配置文件系统安全性

实验目的：
通过实验掌握Windows 2k和Linux文件系统的文件权限、透明加密、透明压缩、附加安全性等特点和相应的操作，区别和理解各自的特点。

实验环境：
Windows 2000 Server
Rad Hat Linux 7.3

实验用时：
45分钟

任务一 配置Windows 2000

1、优化NTFS性能
1.判断文件平均大小，使用总空间/总文件数
2.新建一个跟踪日志，由系统提供记录事件，选择“磁盘输入/输出”
3.配置计数器（对象Server，所有计数器）

2、检查MFT上是否有碎片
1.使用磁盘碎片整理对一个驱动器进行分析
2.查看报告

3、碎片整理

4、目录和文件权限
注意：
1.权限是累计的，如果一个用户属于两个组，那么他拥有两个组的所有权限。
2.拒绝权限比允许权限优先
3.文件权限比文件夹权限高
4.使用权限最小化原则

5、预防DoS
在注册表[HKLM/System/CurrentControlSet/Services/TcpIp/Parameters]中修改
SynAttackProtect  REG_DWORD 2
EnablePMTUDiscovery 0
NoNameReleaseOnDemand 1
EnableDeadGWDetect 0
KeepAliveTime 300,000
PerformRouterDiscovery 0
EnableICMPRedirects 0

6、设置安全日志
账户管理 成功、失败
登录事件 成功、失败
对象访问 失败
策略更改 成功、失败
特权使用 失败
系统事件 成功、失败
目录服务访问 失败
账户登录时间 成功、失败

密码复杂性要求
密码长度最小值：6
强制密码历史：3
最长存留期：30天

账户锁定：5次错误登录
锁定时间：30分钟
复位锁定计数：5分钟

 

任务二 配置Red Hat Linux系统

1、ls命令
ls -l，以长格式列出显示内容，包括文件属性

文件属性
- rw- r-- r-- （1，3，3，3）
第一部分，文件性质（-一般文件，b块设备文件，c字符设备文件，d目录，l符号链接）
第二部分，文件拥有者对文件的权限
第三部分：文件的属组承认对文件的权限
第四部分：其他用户对文件的权限

权限的标志：
r读取，w写入，x执行，-没有权限，s执行时候，以文件的属组/所有者执行，而不是调用它的进程的属组/所有者

2、chomod命令
chmod [who][+ | - | =][mode] Filename

who可以是：u用户，g属组，o其他用户，a所有人
+添加权限，-取消权限，=设置权限并取消没有指定的权限
mode：r读取，w写入，x执行，s同上所述，t保存文件到交换设备，u与文件属主拥有同样的权限，g与文件属组拥有同样的权限，o与其他用户有同样的权限

例：chmod g+r,o+r filename

数字设定方法
chmod [mod] filename
0没有权限，1可以执行，2可以写入，4可以读取
相加得到最终权限，最多为7
表示顺序为：属主、属组、其他用户

例：chmod 644 filename

3、chgrp命令
chgrp [选项] group filename
改变文件的属组。
所有的用户和组在/etc/group中。可以用组名，也可以用组ID。

例：chgrp adm new.txt （把new.txt的属组变成adm）

4、chown命令
chown [选项] 用户名 filename
改变文件的属主。

例：chown adm new.txt （把new.txt的属主变成adm）

5、setuid和setgid
setuid设定文件执行时有效的身份为该文件的属主，而非调用该程序的进程。setgid的功能类似。
设置setuid：chmod 4rwx filename （rwx是读写执行三种权限）
设置setgid：chmod 2rwx filename
设置二者：chmod 6rwx filename
都不设置：chmod 0rwx filename

6、mount命令
mount [-t 文件系统类型] [设备路径] [挂载点]

例：mount -t iso9660 /dev/hdc /mnt/cdrom

hdc=第二个IDE接口的主盘，iso9660是光盘的文件系统类型
/mnt/cdrom表示挂载的目录

可用的文件系统类型：
VFAT（包括FAT16和FAT32）、NTFS、hpfs（OS2的文件系统）、ext2（linux的文件系统）、iso9660（光盘）

设备，都在/dev中。
hd表示IDE接口，hda是第一个IDE口的主盘，依次有hdb，hdc，hdd（2个IDE接口，主盘和从盘）
/dev/fd0 软驱
hda1表示第一个IDE口的主盘的第一分区

卸载设备，使用：umount [挂载点]
例：umount /mnt/cdrom

编辑/etc/fstab文件，在此文件中写入mount命令，实现开机自动挂载驱动器。