一、 实验内容
(1) 模拟系统中密码修改机制,在自主访问控制系统中实现细粒度的权限管理。配合第3章 在基于用户权限管理基础上,进行细粒度的权限管理。
(2) 利用root的能力机制实现系统加固,有效实现root能力的分发和管理。提供程序比较进行root能力管理前后系统安全性的差异。配合第4章 实现root的多种能力的有效管理,提高root用户权利的合理分发,测试root能力管理的安全性和有效性
二、 实验设计
1.1 Linux密码修改机制,passwd程序功能的仿制实现
1、passwd程序功能描述
在Linux中,passwd程序是可信任的,修改存储经过加密的密码的影子密码文件(/etc/shadow),passwd程序执行它自己内部的安全策略,允许普通用户修改属于他们自己的密码,同时允许root修改所有密码。为了执行这个受信任的作业,passwd程序需要有移动和重新创建shadow文件的能力,在标准Linux中,它有这个特权,因为passwd程序可执行文件在执行时被加上了setuid位,它作为root用户(它能访问所有文件)允许,然而,许多程序都可以作为root允许(实际上,所有程序都有可能作为root允许)。这就意味着任何程序(当以root身份运行时)都有可能能够修改shadow文件。
2、实验要求
自己编制文件和程序,仿制passwd程序修改/etc/shadow的功能,包括:
a) 自己设置一个类/etc/shadow文件aaa,该文件中约定好内容格式,和读取该文件的程序相配合,文件中包括超级用户及其内容、普通用户及其内容
b)编制程序使得:Root用户能够读取和修改aaa文件中所有用户的内容普通用户仅能够读取和修改aaa文件中属于自己用户的内容
c)普通用户能以root身份执行所编制的类passwd程序
