ACL高级应用-V1.0
ACL高级应用
2
构建大型企业网络
6
1、利用ACL检测SYN Flood攻击
服务器每接收到一个SYN报文就需要建立一个连接并为这个链接信息分配核心内存,并将此链
接放入半连接,然后向源地址回应SYN+ACK报文。如果SYN报文的源地址是伪造的,则源端无法收到服务器发送的SYN+ACK报文,也就不会返回ACK确认报文,这时服务器上这个半连接就会一直等待直到超时。
如果短时间内接收到的大量SYN报文,半连接队列就会溢出,使得有效的连接被挤出队列。这种方式的攻击就是SYN Flood攻击。SYN Flood攻击是利用TCP协议三次握手的原理,发送大量伪造源IP的SYN报文,使被攻击主机产生大量的半连接。
由于SYN Flood攻击的发起报文中SYN位为1,所以可以配置一个扩展ACL来匹配这样的报文,由此来观察是否出现SYN攻击。配置的ACL如下:
此ACL表示TCP报文中SYN位为1的数据报文就会匹配此ACL。如果只想检测某台服务器是否被攻击,可以将目的地址改为服务器地址。
由于ACL最后隐含着一条全部拒绝的条目,所以还需要进行如下配置:
在配置完成后需要在连接服务器的接口应用,之后要查看SYN报文的数量可以使用show ip access-list命令进行查看:
由此可见收到的SYN报文的数量是1482个,即发起的TCP连接为1482次。然后根据服务器的平时访问了来判断是否存在攻击。
如果需要将上述技术清零可以使用命令如下:
根据上述数据只能根据经验或根据之前的情况进行判断服务器是否被攻击,例如,一般每天向服务器发出的TCP连接一般为20000左右,而进两天向服务器发送的TCP连接请求明显增多,并且访问服务器的网站变慢,由此可以初步判定服务器被攻击了(也有其他可能例如:访问量突然变大等;这时需要通过其他方法进行分析,例如:使用防火墙、进行抓包分析等)。
在实际应用中,需要每隔一段时间就统计一次数据,以日常的数据位参考来判断服务器十分可能被攻击。
3
6
ACL 高级应用
例如:如果每天统计一次数据,在下午下班时进行。将数据填写到表格,并作出曲线图形,可以很直观的发现服务器的访问量是否出现异常。同时也可以根据访问量的增长判断服务器的性能是否够用。记录数据的表如表6.1所示。
表6.1 记录数据的表
记录数据图形如图6.1所示。
图6.1 数据记录图和数据记录表
由上图可以看出,服务器平时收到的SYN 报文数大约在12500左右,但是10月14日和15日数量突然增加,并且增加量较大属于异常情况。这时,就需要做进行一步的检查了。
2、记录ACL 日志
在路由器接口应用ACL 后,根据ACL 中配置的规则来控制数据包的转发或丢弃,从而加强网络的安全性。例如:公司内部有一台财务服务器,公司希望只有财务部能够访问这台服务器,其他部门都不能访问此服务器。这时可以配置ACL 让财务部到达主机的流量通过,而丢弃其他流量。
4
构建大型企业网络
6
如果拒绝的数据包中有大量数据包来自同一源IP地址,则该IP地址的主机可能正在试图攻击服
务器;如果允许的数据包中有大量数据包来自同一源IP地址,则该IP地址的主机可能感染了病毒正在向服务器发送病毒。一旦出现上述情况就需要进一步检查主机是感染了病毒还是有人在对服务器进行攻击。但是使用show ip access-list命令只能了解转发或丢弃的数据包的个数而无法确定数据包的来源。要解决上述问题就需要使用ACL日志功能,通过ACL日志能过清除的知道数据包的源IP地址和目的IP地址,以及该数据包是否被转发了。
下面通过一个案例来掩饰ACL日志的记录。如图6.2所示搭建网络环境。
图6.2 ACL日志记录案例拓扑
网络规划如下:
1)R1与R2的互联地址为:192.168.0.0/30,R2与R3的互联地址为:192.168.0.4/30, R2与R4的互联地址为:192.168.0.8/30;
2)在R3上配置Loopback0地址为192.168.3.1/24,模拟服务器;
3)在R1上配置Loopback0地址为192.168.1.1/24,模拟客户端;
4)在R4上配置Loopback0地址为192.168.4.1/24,模拟客户端;
5)Syslog服务器的地址为10.0.0.7/24,网关:10.0.0.254/24;
6)在R2上配置ACL实现:192.168.1.0/24网段能够访问服务器192.168.3.0/24网段;拒绝其他倒服务器192.168.3.0/24网段的流量;ACL日志发送到Syslog服务器;
7)服务器使用Kiwi Syslog Service Manager软件接收SysLog;
根据网络规划配置设备。
1)配置IP地址和静态路由实现全网互通;
R1的配置:
6
ACL高级应用
R2的配置:
R3的配置:
5
6
构建大型企业网络
6
R3(config-if)#ip address 192.168.0.6 255.255.255.252 R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface loopback 0
R3(config-if)#ip address 192.168.3.1 255.255.255.0
R3(config-if)#exit
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.5
R4的配置:
2)在服务器安装Kiwi Syslog Service Manager软件;3)配置ACL和Syslog
在R2路由器上配置ACL:
在R2路由器上配置Syslog:
7
6
ACL 高级应用
R2(config)#logging 10.0.0.7 //配置Syslog 服务器地址 R2(config)#logging buffered //启用缓存记录 R2(config)#logging on //启用日志
4)分别从不同网段的客户端访问服务器(IP 地址192.168.3.1),在Syslog 服务器查看ACL 日志; 在R1和R4路由器上分别ping 服务器:
在R2
路由器上会出现系统提示,如下:
在R2路由器上可以使用show logging 命令查看日志(如果没有配置logging buffered 命令则无法查看):
8
构建大型企业网络6
除此之外,R2还将Syslog信息发送给服务器10.0.0.7,在服务器上Kiwi Syslog Service Manager 软件接收log,如图6.3所示。从图6.3中可以看出软件记录的Syslog和路由器上记录的相同。
6
ACL高级应用
图6.3 Kiwi Syslog Service Manager软件接收的信息
一般情况下日志也是一段时间查看一次,可以根据Kiwi Syslog Service Manager软件log记录
文件内容查看一天(或半天等)的情况,由此来判断是否有可疑的主机攻击服务器,从而采取进一步行动。
9
访问控制列表(ACL)总结
访问控制列表(ACL)总结 一、什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 二、访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 三、标准访问列表 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL 标准访问控制列表的格式: 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99 来创建相应的ACL。 它的具体格式如下:access-list ACL号permit|deny host ip地址 例:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 注:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。 标准访问控制列表实例一:
实验一 Linux基本命令 权限管理
实验一Linux基本命令: 权限管理 一、实验目的: 通过实验熟悉Linux操作系统环境,掌握Linux基于多用户的权限管理机制。 二、实验要求: (1) 掌握Linux/bash环境下命令的使用 (2) 掌握Linux用户权限管理 三、实验内容 一: 观察系统的结构和文件属性 以超级用户身份登录系统(用户名root) $ pwd //观察用户主目录 $ cd / //退至根目录 $ ls //观察目录结构 $ cd /dev //进入设备文件目录 $ ls -l //观察设备文件的类型,观察每一行的第一个字符 $ cd /etc //进入系统配置文件目录 $ ls //观察配置文件 $ more inittab //查看系统启动配置文件的内容 $ cd / //退至根目录 $ ls -l //观察文件和目录的属主用户和用户组 $ umask //显示当前用户(root)的权限掩码 $ cd ~ 或者$ cd /root //进入用户主目录 $ ls -l / >list //以重定向方式创建文件list $ ls -l list //分析list文件的默认权限 $ mkdir mydir //创建目录 $ ls -l mydir //观察目录mydir的默认权限 二: 用户、用户组及权限管理 1. 创建用户组 $ groupadd student //创建student组 $ groupadd teacher //创建teacher组 2. 创建用户 创建教师用户 创建教师用户teach01,teacher作为主用户组,student为附加用户组 $ useradd teach01 -g teacher -G student 创建教师用户teach02,属主用户组为teacher,无附加用户组 $ useradd teach02 –g teacher
H3C设备命名规则
每家网络设备供应商的产品都有自己的命名规则,别小看简单的几个字母或数字,对于网络工程师来说,一看名称就能清楚的知道该产品性能、大概配置,甚至是端口数量。本文以H3C交换机为例,给大家介绍一下H3C公司的产品命名规则。 GE 通常就是千兆以太网COMBO口么也是千兆口,但是需要配模块,可以用光模块,也可以用电口。光口就是可以接光纤,电口就是跟GE一样了,所以叫COMBO口,光口跟电口同时插,默认光口生效 很官方的回答。。 H3C商业产品命名规则汇总 一、交换机命名规则:第一位数字: 9:最高端、机箱式 7:高端、机箱式 5:全千兆 3:千兆上行+百兆下行 第二位数字: 5:三层交换机 6:三层交换机 9:三层交换机 1:二层交换机 第三、四位数字: 高端交换机:业务槽位数
第五、六位数字: 中低端交换机:可用端口数 后缀的含义: T:1000BASE-T C:模块式 P:SFP(Small Form Pluggable) TP:光电复用 F:全光口 R:冗余(SOHO级别产品中后缀R代表机架式交换机)M:支持MCE功能 HI:旗舰型 EI:增强型 SI:标准型 PWR:远程供电 DC:直流供电 AC:交流供电 V:VLAN划分(SOHO产品) E:增强型(SOHO产品),E前缀表示教育网专供交换机H:增强型(SOHO) +:升级版本 二、H3C MSR 系列产品命名规则 H3C MSR系列模块化路由器产品命名格式
A1、A2、A3、A4、A5、A6均为数字 B1、B2、B3为字母 [ ]表示可选项 在公司品牌、一级品牌、二级品牌后均带有一空格,不能省略。 命名规则说明: a、【公司品牌】:当前公司品牌为:H3C b、【一级品牌】:当前一级品牌为:H3C c、【二级品牌】:中低端多业务接入路由器为MSR,含义Multi-Service Router d、A1A2 :表示路由器大类,目前编码数字分配如下: 中端多业务模块化接入路由器系列分为: MSR 20系列模块化多业务路由器; MSR 30系列模块化多业务路由器; MSR 32系列模块化多业务路由器; MSR 50系列模块化多业务路由器。 e、A3A4 :表示路由器系列中的具体产品基本型号,在模块化路由器中,各系列的产品含义不同: 在MSR系列产品中表示: A3:表示路由器插卡的数量(SIC、MIM或者FIC) 20系列表示SIC卡的数量; 30、32系列表示MIM卡的数量; 50系列表示FIC卡的数量;
ACL访问控制列表配置案例
访问控制列表练习----扩展访问控制列表 R1#configure R1(config)#intloo 1 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# intfa 0/0 R1(config-if)#ip add 12.12.12.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#do show ipint b R1(config-if)# R1(config)#ip route 23.0.0.0 255.0.0.0 fa0/0 R1(config)#ip route 3.3.3.0 255.255.255.0 fa0/0 R1(config)#ip route 100.100.100.0 255.255.255.0 fa0/0 R1(config)#exit R1#show ip route
R2#configure R2(config)#intfa 0/0 R2(config-if)#ip add 12.12.12.2 255.0.0.0 R2(config-if)#no shutdown R2(config-if)# intfa 0/1 R2(config-if)#ip add 23.23.23.1 255.0.0.0 R2(config-if)#no shutdown R2(config-if)#do show ipint b R2(config-if)# R2(config)#ip route 1.1.1.0 255.255.255.0 fa0/0 R2(config)#ip route 3.3.3.0 255.255.255.0 fa0/1 R2(config)#ip route 100.100.100.0 255.255.255.0 fa0/1 R2(config)#exit
(完整版)linux文件系统管理-权限管理实验4报告
实验报告 课程Linux系统应用与开发教程实验名称linux文件系统管理-权限管理(高级设置) 一、实验目的 1、掌握Linux文件系统权限的设置 2、掌握linux用户帐号与组管理 3、掌握linux 文件共享的设置方法 4、掌握linux 文件共享的权限设置方法 二、实验内容 1、使用root帐号通过系统提供的6个虚拟控制台登陆到linux,或在x-windows开启一个终端。 2、完成以下的实验内容 (1)、假设你是系统管理员:现要在公司linux服务器系统中新增一些用户与一个用户组。 ?使用groupadd account 添加一个名为account的组 ?使用useradd -G account acc-user1,(该命令将添加一个用户名为acc-user1的用户, 同时会建立一个与用户名同名的私有组(该私有组为用户的默认组,这个组中只有一个用户名),并把该用户将加入account的标准组,同时,按同样的方法建立acc-user2、acc-user3、acc-user4。 ?建立用户后,请使用x-window中的用户与组管理工具查看用户与组建立情况,检查用户与组的归属情况。 (2)、开启多个控制台,分别使用acc-user1、acc-user2、acc-user3登陆系统(可以在控制台分别登陆,也可以在X-windows中多开几个终端程序,默认使用root登陆,然后使用su命令通过切换用户的方式登陆,其语法为“su - user-name”,提示可以在登陆成功后运行命令“id”查看当前登陆的用户属于哪些组,当前的默认组是什么?) (3)、为account组建立一个公共共享目录/home/account-share,满足以下的权限设定要求,以及设置何种的umask: ?该目录的拥有者为acc-user1,所属组为account。 ?在该目录下建立一个/home/account-share/full-share的子目录,修改该目录的权限,使得account组的成员均能在对该目录有完全控制权限,account组外的其他用户没有任何权限,即account组的成员都可以在该目录下建立文件,同时在该子目录full-share下建立的文件,只有文件建立者有权限删除,并且每个用户在该子目录full-share下建立的文件也能自动与该account组成员可读共享。 ?在/home/account-share/为每个用户建立一个与用户名同名的子目录(如/home/account-share/acc-user1为用户acc-user1的目录,其拥有者为acc-user1,所在的组为account),配置该子目录的拥有者有完全控制权限,而同组用户只能读取,同时在用户在该目录下建立的文件,可供同组用户读。 (4)、考虑完成以上的共享目录权限设置,应注意哪些设置。包括目录的权限,目录的拥有者,目录所在的组,具体文件的权限,umask设置等。 (5)、实验报告应体现出使用不同身份的用户对所配置目录的访问测试过程。 三、实验环境 安装有vmware或visual pc软件的window主机,系统中有提供turbolinux或redhat的硬盘
教你认识H3C的设备(H3C型号说明)
教你认识H3C的设备 路由器系列:(从低端到高端) ER:ER3000 ER5000 MSR20-1X:MSR20-10 MSR20-11 MSR20-12 MSR20-15 MSR/20/30/50:MSR20系列 MSR30系列 MSR50系列(MSR:多业务开放路由器)SR66:SR6602 SR6608 SR88:SR8802 SR8805 SR8808 SR8812 MSR系列路由器命名规则: MSR XX-X X XX:MSR20、30、50三大系列: ?20只支持SIC插卡; ?30支持SIC和MIM插卡; ?50支持SIC和FIC插卡,FIC插卡支持热插拔 X:支持的槽位数量: 20系列指的是支持的SIC槽位数, 30系列指的是支持的MIM槽位数, 50系列指的是支持的FIC槽位数 X:固定WAN接口类型: 0--以太网接口
1--同异步串口 2--E1接口 5--ADSL接口 路由器图片 SR8800核心路由创新的体系架构---“一机四平面”管理平面-----业务平面-----OAM平面-----监控平面SR6602图片: SR6608图片:
交换机系列:(从低端到高端) SMB交换机:S1508/16L/E S2108/26 S1526/S1550/50E E126-S1 S5016P/24P S5024E/S5048E 智能二层/三层交换机:S3100S1/E1 S3600S1/E1 S3610 E系列 千兆智能交换机:S5100S1/E1 S5500S1/E1 S5510 S5600 核心路由交换机:S7500 S7500E S9500 H3C交换机命名命名规则: A (产品品牌) B(产品系列) S–交换机
5文件权限管理
实训项目5 文件权限管理 一、实训目的 ●掌握利用chmod及chgrp等命令实现Linux文件权限管理。 ●掌握磁盘限额的实现方法。 二、项目背景 某公司有60个员工,分别在5个部门工作,每个人工作内容不同。需要在服务器上为每个人创建不同的账号,把相同部门的用户放在一个组中,每个用户都有自己的工作目录。并且需要根据工作性质给每个部门和每个用户在服务器上的可用空间进行限制。 假设有用户user1,请设置user1对/dev/sdb1分区的磁盘限额,将user1对blocks的soft设置为5000,hard设置为10000;inodes的soft设置为5000,hard设置为10000。 三、实训内容 练习chmod、chgrp等命令的使用,练习在Linux下实现磁盘限额的方法。 四、实训步骤 子项目1.设置文件权限 ●在用户user1主目录下创建目录test,进入test目录创建空文件file1。并以长格形式显示文件信息,注意文件的权限和所属用户和组。 ●对文件file1设置权限,使其他用户可以对此文件进行写操作。并查看设置结果。 ●取消同组用户对此文件的读取权限。查看设置结果。 ●用数字形式为文件file1设置权限,所有者可读、可写、可执行;其他用户和所属组用户只有读和执行的权限。设置完成后查看设置结果。
●用数字形式更改文件file1的权限,使所有者只能读取此文件,其他任何用户都没有权限。查看设置结果。 ●为其他用户添加写权限。查看设置结果。 ●回到上层目录,查看test的权限。 ●为其他用户添加对此目录的写权限。 子项目2.改变文件的所有者 ●查看目录test及其中文件的所属用户和组。 ●把目录test及其下的所有文件的所有者改成bin,所属组改成daemon。查看设置结果。 ●删除目录test及其下的文件。
华为交换机ACL控制列表设置
华为交换机ACL控制列表设置
交换机配置(三)ACL基本配置 1,二层ACL . 组网需求: 通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。 [Quidway] acl name traffic-of-link link # 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress
00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。 # 将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2 三层ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10.1.1.1的ACL # 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10.1.1.1的访问规则。[Quidway-acl-basic-traffic-of-host] rule 1 deny
解读Linux文件权限的设置方法
解读Linux文件权限的设置方法 原文作者:李汉强 Windows系统其实和Linux系统有相似的地方,Windows系统文件、目录的属性有只读、隐藏,而Linux也一样。 Linux中,每一个文件都具有特定的属性。主要包括文件类型和文件权限两个方面。可以分为5种不同的类型:普通文件、目录文件、链接文件、设备文件和管道文件。 所谓的文件权限,是指对文件的访问权限,包括对文件的读、写、删除、执行。Linux 是一个多用户操作系统,它允许多个用户同时登录和工作。因此Linux 将一个文件或目录与一个用户或组联系起来。访问控制列表(ACL:Access Control List)为计算机提供更好的访问控制,它的作用是限制包括root用户在内的所有用户对文件、资源或者套接字的访问。下面就来教大家简单的设置方法。 步骤1 检查系统核心 首先检查你的Linux系统的核心是否有支持ACL的功能。因为Linux系统并不是每一个版本的核心都有支持ACL的功能,而最简单的方法就是检查系统目前的核心能否支持: [root@mail /]# cat /boot/config-kernel-version | grep -i ext3 CONFIG_EXT3_FS=m CONFIG_EXT3_IDEX=y CONFIG_EXT3_FS_XATTR_SHARING=y CONFIG_EXT3_FS_XATTR_USER=y CONFIG_EXT3_FS_XATTR_TRUSTED=y CONFIG_EXT3_FS_ACL=y 此时如果能看到上面的几项则表示已经编译到核心中,ext3文件系统已支持ACL功能,这些功能在编译核心选项中都可以找到。如果编译时找不到,可以到ACL的官方网站来安装Kernel(http://acl.bestbits.at/)。 步骤2 挂载分区 你可以用下列的方式挂载分区并启用ACL: #mount -t ext3 -o acl /dev/sda1 /fs1 你也可以直接写在/etc/fstab文件中,这样就可以在开机后支持ACL功能:#vi /etc/fstab 步骤3 设置ACL权限 ACL常常针对个别用户来进行设置,下面是多个不同的例子: 例如需要创建test1、test2、test3三个用户,可以先用root身份登录系统,然后执行以下命令分别创建三个用户名和密码: [root@mail root]#adduser test1 [root@mail root]#adduser test2 [root@mail root]#adduser test3 [root@mail root]#passwd test1 [root@mail root]#passwd test2 [root@mail root]#passwd test3
linux用户权限的管理
linux用户权限的管理 linux用户权限的管理 Posted on 2009-09-24 10:13 Prayer 阅读(2405) 评论(0) 编辑收藏引用所属分类: U基础管理 在Linux操作系统中,root的权限是最高的,也被称为超级权限的拥有者。普通用户无法执行的操作,root用户都能完成,所以也被称之为超级管理用户。在系统中,每个文件、目录和进程,都归属于某一个用户,没有用户许可其它普通用户是无法操作的,但对root除外。root用户的特权性还表现在root可以超越任何用户和用户组来对文件或目录进行读取、修改或删除(在系统正常的许可范围内);对可执行程序的执行、终止;对硬件设备的添加、创建和移除等;也可以对文件和目录进行属主和权限进行修改,以适合系统管理的需要(因为root是系统中权限最高的特权用户);一、对超级用户和普通用户的理解;1、什么是超级用户;在所有Linux系统中,系统都是通过UID来区分用户权限级别的,而UID为0的用户被系统约定为是具有超级权限。超级用户具有在系统约定的最高权限满园内操作,所以说超级用户
可以完成系统管理的所有工具;我们可以通过/etc/passwd 来查得UID为0的用户是root,而且只有root对应的UID 为0,从这一点来看,root用户在系统中是无可替代的至高地位和无限制权限。root 用户在系统中就是超级用户;2、理解UID 和用户的对应关系当系统默认安装时,系统用户和UID 是一对一的对关系,也就是说一个UID 对应一个用户。我们知道用户身份是通过UID 来确认的,我们在《用户(user)和用户组(group)配置文件详解》中的UID 的解说中有谈到?UID 是确认用户权限的标识,用户登录系统所处的角色是通过UID 来实现的,而非用户名;把几个用户共用一个UID 是危险的,比如我们把普通用户的UID 改为0,和root共用一个UID ,这事实上就造成了系统管理权限的混乱。如果我们想用root权限,可以通过su或sudo 来实现;切不可随意让一个用户和root分享同一个UID ;?在系统中,能不能让UID 和用户是一对多的关系?是可以的,比如我们可以把一个UID为0这个值分配给几个用户共同使用,这就是UID 和用户的一对多的关系。但这样做的确有点危险;相同UID的用户具有相同的身份和权限。比如我们在系统中把beinan这个普通用户的UID改为0后,事实上这个普通用户就具有了超级权限,他的能力和权限和root用户一样;用户beinan所有的操作都将被标识为root 的操作,因为beinan的UID为0,而UID为0的用户是root ,
华为H3C交换机路由器命名规则详解
华为H3C交换机路由器命名规则详解 一、接口命名规则 LI(Lite software Image)表示设备为弱特性版本。 SI(Standard software Image)表示设备为标准版本,包含基础特性。 EI(Enhanced software Image)表示设备为增强版本,包含某些高级特性。 HI(Hyper software Image)表示设备为高级版本,包含某些更高级特性 Z,表示没有上行接口;(新产品不允许此位) G,表示上行GBIC接口; P,表示上行SFP接口; T,表示上行RJ45接口; V,表示上行VDSL接口; W,表示上行可配置WAN接口; C,表示上行接口可选配; M,表示上行接口为多模光口; S,表示上行接口为单模光口; F,表示下行接口为模板板,可插光接口板或电接口板。主要为兼容3526F,3526EF,3552F等老产品的命名。 当同时存在时,表示上行接口为多种接口类型复合 注:Combo端口不在命名中显示。 二、性能命名规则 Quidway SA1A2A3A4A5-A6【A7A8】【/A9A10A11】-【A12A13】-【A14 A15A16】-【A17A18】 A1表示产品系列,主要标示上行端口的最大接口速率:
A1为1—盒式10/100M交换机,上行最高到100M,无管理; A1为2—盒式10/100M交换机,上行最高到100M,有管理; A1为3—盒式10/100/1000M交换机,上行最高到1000M; A1为5—盒式GE/10GE交换机,上行最高到10GE; A2标示所支持的IP层: A2为0—纯L2交换机,目前为0,根据产品的更新换代,可以更改为1、2、3、4; A2为5—L2/L3交换机,目前为5,根据产品的更新换代,可以更改为6、7、8、9; A3A4两位数字与产品的端口数相关,根据端口总数确定产品系列: A3A4为08—表示下行端口为8个,上行端口为0、1、2个; A3A4为12—表示下行端口为12个,上行端口为0、1、2个; A5用来区分固定上行口的不同种类,可以标识接口类型、能否堆叠等特性,缺省表示不带上行口: A5为Z—表示没有上行接口; A5为G—表示上行GBIC接口; A5为P—表示上行SFP接口; A5为T—表示上行RJ45接口; A5为V—表示上行VDSL接口; A5为X—表示上行XPACK(10GE LAN)接口; A5为W—表示上行可配置WAN接口; A5为C—表示上行接口可选配; A5为M—表示上行接口为多模光口; A5为S—表示上行接口为单模光口;
ACL访问控制列表配置
ACL的使用 ACL的处理过程: 1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit) 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny) 要点: 1.ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www
linux文件系统的权限王国(一)
作者:池建强 在这个系列中和?大家聊聊 Linux 的?文件、?用户、?用户组、?文件系统的权限等内容,其中很多细节也是我使?用了很?长时间 Linux 后才真正掌握,希望?大家不?用那么久。 为什么是 Linux ?我觉得写技术的东?西还是相对严谨?一些好,虽然Unix 、Linux 、OS X ?一脉相承,但在具体命令上还是会有些差异,这个系列?文章?里所有的命令和显?示结果都是在 Linux 上进?行的,?大家可以对照在 Mac 上试试,当然最后也会讲?一点 OS X 的内容,否则怎么叫 MacTalk 呢? 在开始讲 Linux ?王国的?臣民之前,先介绍?一下?王国中最?牛的主:root ,这货不翻译为「根」,也不叫「管理员」,?而是被尊称为超级Linux ?文件系统的权限?王国(?一)
?用户,是不是觉得?高端霸?气?超级?二字绝不是恭维之词,从 Linux ?王国诞?生之初,root 就存在了,他会?一直霸占着超级?用户的?角?色并世世代代存在下去,没有禅让,没有民选,没有换位,所有的?用户都?自他?而起。如果你以为 root 会像上帝创造亚当和夏娃那样,让这?二位开开?心?心?生娃去了,那你就太Naive了。Linux 系统中的所有?用户要么由root 创建,要么借?用 root 的权限创建,等级极为森严,总之没有 root 的允许,想搞出?一位新?用户绝?无可能。看到这你们是不是都开始觉得计划?生育政策好啦? root 不仅能够管理?用户,还能管理?文件系统、进程、设备、??网络、通信、协议等等,总之他就像站在神?山上的神祗,俯视着芸芸众?生,看着数据信息在软件和硬件之间川流不息,时不时的做?一些计划性干预,如果有?人想超越系统的规则,他就能让你消失的像从来没有存在过。 所以那些成天叫嚣被蹂躏被代表的民众,看看 root,?大家?心理就会舒服?一些。 以 root 开篇,下?面我们聊聊 Linux 的?文件系统和索引节点。 Linux 的?文件系统本?身是?比较复杂的,仅 ext2、ext3 和 ext4 就得解释好?几天,本?文的重点不在于此,所以简单介绍?一下。?文件系统主要是?用来保存?文件和相关结构的,让?文件存储更安全、更快、更容易检索、能?支持更?大的物理介质等等。在 Linux 系统中,每个磁盘分区都可以看做?一个?文件系统,每个系统都有?自?己的??目录结构,Linux 会把这些分区按照?一定的?方式组织成统?一的??目录结构,?方便?用户访问。但是每个分区上的?文件系统都是独?立的,可以采?用不容的?文件格式,就像?一国两制?一样,虽然统?一,但是?自治。 那么如何查看?文件系统的格式呢?可以使?用 df -T -h 命令,T 表?示打印?文件格式,h 表?示?用G 或 M 来显?示?文件?大?小,如下:
(完整版)Linux系统应用实验指导书(实验2)-账户管理和权限管理
实验二账户管理和权限管理 1、实验目的 (1)理解账户的实质 (2)学会设置和管理口令 (3)理解Linux系统的权限 (4)学会设置基本操作权限和特殊权限 2、实验内容 (1)使用命令行添加和管理普通用户 (2)使用命令行添加和管理组用户 (3)更改文件和目录的操作权限 (4)设置特殊权限 3、实验步骤 (A)新建普通用户,用户名是学号(以AP0604241为例),密码为123456 # useradd ap0604241 # passwd ap0604241 (B)用同样的方法新建用户linux,密码是linux (C)观察一下用户linux和ap0604241所在的组 # id linux # id ap0604241 (D)转换用户ap0604241 # su - ap0604241 (E)进入目录/home/linux $ cd /home/linux 观察是否成功,若否,为什么? (F)在根用户下,修改用户ap0604241的用户属性,使得该用户能够访问linux的HOME 目录 # usermod - G linux ap0604241 # id # su - ap0604241 $ cd /home/linux 观察一下是否成功,若否,为什么? $ su - # ll -l /home/ | grep linux # chmod 750 /home/linux # su - ap0604241
五邑大学信息学院Linux系统应用实验指导书 $ cd /home/linux (G)利用用户ap0604241在linux的HOME目录下创建文件,删除文件 $ touch file1 file2 观察是否成功,若否,为什么?继续下面操作 $ su - # chmod 770 /home/linux # su - ap0604241 $ cd /home/linux $ touch file1 file2 $ ll $ rm file2 (H)特殊权限设置 $ su - # ll /home | grep linux # chmod o+t /home/linux # ll /home | grep linux # su - linux # touch file2 # su ap0604241 # rm file1 # rm file2 观察实验结果 (I)保存下列文件,打包压缩 /etc/passwd /etc/group /home目录的所有目录信息 以上所有文件保存在/home/ap0604241(学生的学号)目录下,文件名为ap0604241.tar.gz 4、实验要求 在虚拟机上将上述命令熟练掌握,等指导老师检查完方可离开。 完成实验报告,并以word文件的形式发送到网络教学平台,步骤(I)中的文件以附件的形式一起发送到网络教学平台上。 1
H3C交换机常用命令注释
H3C交换机常用命令注释 1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、port link-type Access|Trunk|Hybrid 设置端口访问模式 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口 9、quit 退出当前视图模式 10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中 13、port trunk permit vlan all 允许所有的vlan通过 H3C路由器常用命令注释 1、system-view 进入系统视图模式 2、sysname R1 为设备命名为R1 3、display ip routing-table 显示当前路由表 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 0/0 进入以太网端口视图 6、ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口 9、quit 退出当前视图模式 10、ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置静态路由 11、ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配置默认的路由H3C S3100 Switch H3C S3600 Switch H3C MSR 20-20 Router 小技巧 1、调整超级终端的显示字号; 2、捕获超级终端操作命令行,以备日后查对; 3、language-mode Chinese|English 中英文切换; 4、复制命令到超级终端命令行,粘贴到主机; 5、交换机清除配置:
实验五 Linux文件系统和权限管理
实验5 Linux文件系统和权限管理 1 实验目的 1、掌握Linux文件系统的控制机制及权限的表示方法。 2、掌握权限管理常用的命令。 2 实验环境 VMware中已经安装好CentOS5.4版本。 3 实验原理 1、Linux文件系统权限及管理机制可参见教材P83~P84。 2、Linux常用文件权限管理命令主要有:chmod、chown两个,这些命令的使用可参见教材P86~P104或者帮助手册。 4 实验任务 1、使用chm od、chown命令完成文件权限的设置、修改等操作。 5 实验步骤 1、使用命令查看/etc/hosts文件的权限,其权限是。 2、使用命令可以复制文件/etc/hosts到目录/tmp 下,然后使用命令或设置其读写权限为:文件所有者可以读、写和执行,同组用户可以读和执行,其他用户只可以执行。(要求使用两种方法实现) 3、修改题目2中复制的文件的所有者:所有者为用户test(需要事先创建),组所有者为m ail,使用的命令是。 4、查看系统当前的um ask值,并设置umask值为033,创建文件word,其权限是。(自己验证。想一想,为什么?) 5、将系统的时间设置为22:10的命令是,将日期和时间按照格式:mm/dd/yy hh:mm:ss显示输出的命令是。 6、保存2009年全年的日历在文件cal2009中的命令是。 7、将2009年1月的日历导出保存到文件cal.1中的命令是,将2009年2月的日历追加到2009年1月的日历后面的命令是。 8、假定需要显示信息:host: 主机名。使用hostnam e命令替换显示主机的名称的操作是
H3C设备命名规则
一、交换机命名规则: 第一位数字: 9:最高端、机箱式 7:高端、机箱式 5:全千兆 3:千兆上行+百兆下行 第二位数字: 5:三层交换机 6:三层交换机 9:三层交换机 1:二层交换机 第三、四位数字: 高端交换机:业务槽位数 第五、六位数字: 中低端交换机:可用端口数 后缀的含义: T:1000BASE-T C:模块式 P:SFP(Small Form Pluggable) TP:光电复用 F:全光口 R:冗余(SOHO级别产品中后缀R代表机架式交换机)M:支持MCE功能 HI:旗舰型 EI:增强型
SI:标准型弱三层 PWR:远程供电 DC:直流供电 AC:交流供电 V:VLAN划分(SOHO产品) E:增强型(SOHO产品),E前缀表示教育网专供交换机 H:增强型(SOHO) +:升级版本 二、H3C MSR 系列产品命名规则 H3C MSR系列模块化路由器产品命名格式 A1、A2、A3、A4、A5、A6均为数字 B1、B2、B3为字母 [ ]表示可选项 在公司品牌、一级品牌、二级品牌后均带有一空格,不能省略。 命名规则说明: a、【公司品牌】:当前公司品牌为:H3C b、【一级品牌】:当前一级品牌为:H3C c、【二级品牌】:中低端多业务接入路由器为MSR,含义Multi-Service Router d、A1A2 :表示路由器大类,目前编码数字分配如下: 中端多业务模块化接入路由器系列分为: MSR 20系列模块化多业务路由器; MSR 30系列模块化多业务路由器; MSR 32系列模块化多业务路由器; MSR 50系列模块化多业务路由器。 e、A3A4 :表示路由器系列中的具体产品基本型号,在模块化路由器中,各系列的产品含义不同: 在MSR系列产品中表示: A3:表示路由器插卡的数量(SIC、MIM或者FIC) 20系列表示SIC卡的数量; 30、32系列表示MIM卡的数量; 50系列表示FIC卡的数量; A4:无特定含义,在不同的产品型号中定义不同,这里没有统一规定。 其中对于MSR 20系列而言,遵循下列规则: A4为下行LAN口的数量: 0-0 FE/GE 1-8 FE/GE 2-16 FE/GE 3-24 FE/GE 4-32 FE/GE 二、性能命名规则 Quidway SA1A2A3A4A5-A6【A7A8 】【/A9 A10 A11 】-【A12 A13 】-【A14 A15 A16 】