1. 什么算是信息系统整体访问控制策略
信息系统整体的安全运行。
身份鉴别与访问控制是信息安全领域的两个十分重要的概念。然而,对这两个概念的含义往往有不同的理解。希望通过本文所引发的讨论能对统一这两个概念的理解有所帮助。
在GB17859中.身份鉴别指的是用户身份的鉴别,包括用户标识和用户鉴别。在这里.用户标识解决注册用户在一个信息系统中的惟一性问题.用户鉴别则解决用户在登录一个信息系统时的真实性问题。一般情况下.当用户注册到一个系统时,系统应给出其惟一性的标识.并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的.一方面以一定方式提供给用户.另一方面由系统保存)。当用户登录到该系统时,用户应提供鉴别信息,系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。
其实.从更广义的范围来讲.信息系统中的身份鉴别应包括用户身份鉴别和设备身份鉴别.用户身份鉴别又分为注册用户的身份鉴别和网上数据交换用户的身份鉴别。上述GB17859中的身份鉴别主要指的是注册用户的身份鉴别。网上数据交换时用户的身份鉴别是指非注册用户间进行数据交换时的身份鉴别。也就是通常所说的在相互不知道对方身份的情况下,又要确认对方身份的真实、可信.从而确认数据交换的可信赖性。这就需要通过所谓的可信第三方(如由CA系统提供的认证机制)实现数据交换双方身份的真实性认证。关于设备的身份鉴别.其实与注册用户的身份鉴别没有多大区别.只是鉴别的对象是接入系统的设备而已。对接入系统的设备进行身份鉴别.同样要先对其进行注册,并在注册时确定鉴别信息(鉴别信息既与设备相关联.又由系统保留)。当需要将设备接入系统时.被接入设备需提供鉴别信息,经系统确认其身份的真实性后方可接入。
访问控制在GB17859中同样有其特定的含义.并对自主访问控制和强制访问控制的策略做了具体的说明。其实.访问控制在更广的范围有着更广泛的含义。在许多情况下.人们往往把身份鉴别也称作是一种访问控制。如果我们把是否允许登录系统看作是是否允许对系统进行访问.把身份鉴别称为访问控制也未尝不可。问题是需要对其具体含义做清晰的描述。这也是我们为什么把身份鉴别与访问控制这两个概念一起进行讨论的原因
谈到访问控制.首先必须对访问控制的粒度有所了解。访问控制讲的是对主体访问客体的控制。粒度显然涉及主体和客体两个方面。主体一般是以用户为单位实施访问控制(划分用户组只是对相同访问权限用户的一种管理方法).网络用户也有以IP地址为单位实施访问控制的。客体的访问控制粒度由粗到细可以是整个应用系统 某个网络系统.某个服务器系统,某个操作系统.某个数据库管理系统、某个文件 某个数据库.数据库中的某个表 甚至库表中的某个记录或字段等。一般来讲 对整个系统(包括信息系统、网络系统、服务器系统、操作系统、数据库管理系统、应用系统等)的访问.通常是采用身份鉴别的方法进行控制.也就是相对的粗粒度访问控制。细粒度的访问控制,通常是指在操作系统、数据库管理系统中所提供的用户对文件或数据库表、记录/字段的访问所进行的控制.也就是GB17859中所描述的经典的访问控制。这类访问控制分为自主访问控制和强制访问控制两种。当然也可以在网关等处设置以服务器为对象的自主访问控制或强制访问控制机制,实现以服务器为粒度的访问控制。
所谓自主访问控制是指由系统提供用户有权对自身所创建的访问对象(文件、数据库表等)进行访问.并有权将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。访问对象的创建者还有权进行授权转让” 即将 授予其他用户访问权限 的权限转
让给别的用户。需要特别指出的是,在一些系统中.往往是由系统管理员充当访问对象的创建者角色 并进行访问授权 而在其后通过”授权转让 将权限转让给指定用户.于是容易引起这种访问控制不是由用户自主决定访问权限的误会。
所谓强制访问控制是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制,按照确定的规则决定哪些用户可以对哪些对象进行哪些操作类型的访问,即使是创建者用户,在创建一个对象后.也可能无权访问该对象。强制访问控制常见的安全模型是Bell—La pala模型(也称多级安全模型)。该模
型的安全策略分为强制访问和自主访问两部分。自主访问控制允许用户自行定义其所创建的数据.它以一个访问矩阵表示包括读、写、执行、附加以及控制等访问模式。由于它的自主访问控制策略已广为人们熟知。所以在提到多级安全模型时.往往重点探讨其强制访问控制策略。多级安全模型的强制访问控制策略以等级和范畴
作为其主、客体的敏感标记,并施以”从下读、向上写”的简单保密性规则。需要强调的是.作为敏感标记的等级和范畴.必须由专门设置的系统安全员,通过由系统提供的专门界面设置和维护.敏感标记的改变意味着访问权限的改变。因此可以说.所有用户的访问权限完全是由安全员根据需要决定的。强制访问控制还有其他安
全策略 比如 角色授权管理 。该安全策略将系统中的访问操作按角色进行分组管理。一种角色执行一组操作.由系统安全员统一进行授权。当授予某个用户某一角色时,该用户就具有执行该角色所对应的一组操作的权限。当安全员撤销其授予用户的某一角色时,相应的操作权限也就被撤销。这完全类似于现实社会中对领导职务的任命和撤销。这一策略的访问权限也是通过安全员通过角色授权决定的。
与访问控制相关联的另一个十分重要的概念是 用户一主体绑定 。这一概念的引入.对多用户环境、进程动态运行所实施的访问操作的控制提供了支持。作为动态运行的系统进程.它在不同时间段为不同的用户服务 因而无法为其设置固定的敏感标记。通过用户一主体绑定机制.可以将进程动态地与其所服务的用户相关联。于是.在任何时候.进程所实施的访问操作都能够通过这种关联找到其所服务的用户,也就能找到实施强制访问控制的主体。操作是由进程实施的.而确定是否允许进行此次访问的主体对象却是进程为其服务的用户
2. 访问控制的基本原理和常见模型
访问控制的功能及原理:
访问控制的主要功能包括:保证合法用户访问受权保护的网络资源,防止非法的主体进入受保护的网络资源,或防止合法用户对受保护的网络资源进行非授权的访问。访问控制首先需要对用户身份的合法性进行验证,同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后,还需要对越权操作进行监控。因此,访问控制的内容包括认证、控制策略实现和安全审计。
1、认证。包括主体对客体的识别及客体对主体的检验确认;
2、控制策略。通过合理地设定控制规则集合,确保用户对信息资源在授权范围内的合法使用。既要确保授权用户的合理使用,又要防止非法用户侵权进入系统,使重要信息资源泄露。同时对合法用户,也不能越权行使权限以外的功能及访问范围;
3、安全审计。系统可以自动根据用户的访问权限,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并做出相应评价与审计。
访问控制的模型:
主要的访问控制类型有3种模型:自主访问控制(DAC)、强制访问控制(MAC)和基于角色访问控制(RBAC)。
1、自主访问控制
自主访问控制(Discretionary Access Control,DAC)是一种接入控制服务,通过执行基于系统实体身份及其到系统资源的接入授权。包括在文件,文件夹和共享资源中设置许可。用户有权对自身所创建的文件、数据表等访问对象进行访问,并可将其访问权授予其他用户或收回其访问权限。允许访问对象的属主制定针对该对象访问的控制策略,通常,可通过访问控制列表来限定针对客体可执行的操作。
2、强制访问控制
强制访问控制(MAC)是系统强制主体服从访问控制策略。是由系统对用户所创建的对象,按照规定的规则控制用户权限及操作对象的访问。主要特征是对所有主体及其所控制的进程、文件、段、设备等客体实施强制访问控制。
3、基于角色的访问控制
角色(Role)是一定数量的权限的集合。指完成一项任务必须访问的资源及相应操作权限的集合。角色作为一个用户与权限的代理层,表示为权限和用户的关系,所有的授权应该给予角色而不是直接给用户或用户组。
3. 什么事访问控制访问控制包括哪几个要素
访问控制是几乎所有系统(包括计算机系统和非计算机系统)都需要用到的一种技术。访问控制是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。
访问控制包括服务器、目录、文件等。访问控制是给出一套方法,将系统中的所有功能标识出来,组织起来,托管起来,将所有的数据组织起来标识出来托管起来, 然后提供一个简单的唯一的接口,这个接口的一端是应用系统一端是权限引擎。
(3)对文件的访问常由什么控制扩展阅读
实现机制:访问控制的实现机制建立访问控制模型和实现访问控制都是抽象和复杂的行为,实现访问的控制不仅要保证授权用户使用的权限与其所拥有的权限对应,制止非授权用户的非授权行为;还要保证敏感信息的交叉感染。
为了便于讨论这一问题,我们以文件的访问控制为例对访问控制的实现做具体说明。通常用户访问信息资源(文件或是数据库),可能的行为有读、写和管理。为方便起见,我们用Read或是R表示读操作,Write或是W表示写操作,Own或是O表示管理操作。
4. 一次磁盘访问的时间由哪些部分构成有哪些方法提高磁盘读写性能
问: 一次磁盘访问的时间由哪些部分构成?有哪些方法提高磁盘读写性能?
答:磁盘访问时间是由多因素决定的,其中很大程度上取决于磁盘的物理性能。磁盘访问时 间T由3部分组成:T=Ts+Tr+Tt 其中,Ts为寻道时间,Tr为旋转延迟时间、Tt为传输时间。
提高硬盘读写速度的有效方法:
一、合理使用硬盘
何为合理使用硬盘呢?首先我们要了解硬盘盘片的物理结构。分区并格式化后的硬盘却是以扇区为基本单位的,一个分区是由若干个扇区构成的。那什么是扇区呢?我们都知道磁盘在工作时是转动的,它所存储的信息是按一系列同心圆记录在其表面上的,每一个同心圆称为一个磁道,在图1我们可以看到磁道和扇区的分布情况(当然,这只是个示意图而已,实物要比图中密得多!),很多朋友认为那个红色的“大块头”是一个扇区,但正确的认识应该是黄色的那小块为一个扇区。一个扇区的大小为512字节,一个整圆环为一个磁道,一个磁道上有若干个扇区,所以我们不难看出,越*外的磁道上的单个扇区其体积越大,换句话就是其密度越小,由于硬盘是机械传动,所以磁头对其的寻找、读、写速度也就越快,分区的分布也是从外圈向内圈的,所以C盘相对于D盘等要*外,这就是为什么我们感觉C 盘比D、E等分区要快的原因。
明白了上面的知识,我们就能合理使用硬盘了!以一块容量为60GB的新硬盘为例进行说明:把C盘分为3至5GB(视操作系统而定),把D盘调成1GB,把E盘设为10GB,省下的就看着设吧(可对半分为F和G盘)——对系统速度没有什么影响。
分好区后如何使用是最为关键的:
1、把操作系统装在C盘上并把MwIE、Foxmail、ICQ、qq、FlashGet、超级兔子、播放器软件以及一些看图软件等常用小型软件也安装在C盘上。如果您使用诸如Office之类的微软大型软件的话,也要将其安装到C盘上。当然,由于我们并不会用到其中的全部功能,所以要定制安装那些有用的部分以节省C盘空间!然后把虚拟内存设置到D盘上(只是暂时的^_^)后再使用系统自带的磁盘碎片整理程序把C盘整理一下。
2、使用“微晓注册表优化大师”之类的系统修改软件把“我的文档”、“上网缓冲”、“上网历史”、“收藏夹”等经常要进行写、删操作的文件夹设置到D盘上来尽量避免其它分区产生磁盘碎片而降低硬盘性能!
3、把各种应用软件安装到E盘,至于游戏可装在F盘,G盘用来存放影音文件。
4、对C盘再进行一次碎片整理,然后进行完下面的第二大步后再把虚拟内存设置到C盘上!
二、虚拟内存的设置
将虚拟内存设置成固定值已经是个普遍“真理”了,而且这样做是十分正确的,但绝大多数人都是将其设置到C盘以外的非系统所在分区上,而且其值多为物理内存的2~3倍。多数人都认为这个值越大系统的性能越好、运行速度越快!但事实并非如此,因为系统比较依赖于虚拟内存——如果虚拟内存较大,系统会在物理内存还有很多空闲空间时就开始使用虚拟内存了,那些已经用不到的东东却还滞留在物理内存中,这就必然导致内存性能的下降!
于是笔者从32MB内存开始试起至512MB内存为止,发现上面的说到的事实是非常正确的,虚拟内存应设置为物理内存0至1.5倍(0倍是多少啊?就是禁用! ^_^)为好,而且物理内存越大这个倍数就应越小而不是越大。当物理内存等于或大于512MB时,绝大多数PC就可以禁用虚拟内存不用了,这时内存性能是最高的!^_^
至于您的虚拟内存具体要设置成多大,您就要自己试一试了,因为这和常驻内存软件的多少和大小以及您平时运行的软件是有直接关系的,所以笔者无法给出建议值。您可先将其设为物理内存等同后,再运行几个大型软件,如果没有异常情况出现的话,您就再将其设置成物理内存的一半后再运行那几个大型软件,如果出现了异常,您就要适当加大虚拟内存的值了!以此类推,当您找到最佳值后只要把这个值设置到C盘上就OK了!:)
注:如果您使用的是Windows ME及以下的操作系统的话,可下载“MagnaRAM 97”来优化物理内存和虚拟内存,这样的效果更好!另外,笔者建议您不要再使用那些所谓的优化和整理内存的软件了!
三、合理摆放“快捷方式”
绝大多数情况下,我们运行软件都是通常该软件的“快捷方式”来做到的,硬盘越来越大,安装的软件也越来越多,有很多朋友喜欢把快捷方式都放到桌面上,这样不但使您眼花缭乱,而且系统性能也会下降,而且会造成系统资源占用过大而使系统变得不稳定,所以我们最好把桌面上的快捷方式控制在10个左右,其它的快捷方式可全放到开始菜单和快捷启动栏中,而且把所有软件的“卸载”快捷方式删除以提高系统性能。另外,尽量不要存在重复的快捷方式。
四、慎用“安全类”软件
这里所说的安全类软件就是指实时性的防毒软件和防火墙。该类软件对系统资源和CPU资源的占用是非常大的(有的高达30%以上),如果您不经常上杂七杂八网站的话,这类软件完全没有必要使用!这比对CPU进行超频可实际、方便得多了!:)
五、减少不必要的随机启动程序
这是一个老生常谈的问题,但很多朋友并不知道什么程序是可以禁止的,什么是不能禁止的,所以很多人并没有进行这一步的工作。有了优化大师这一工作就简单得多了,在图2界面的“开机速度优化”中优化大师会提示您什么可以禁止,什么不能禁止!
这样做的好处除了能加快启动速度外,还能提高系统在运行中的稳定性!
六、合理设置“图标缓存”
通常系统默认的图标缓存都是比较大的,这明显有浪费的感觉,所以我们要将其值做适当的调整,我们可用“Windows优化大师”查看一下当前系统已经使用了多少图标缓存,然后我们将其值设为实际大小的2倍左右即可。注:部分电脑可能无法使用优化大师进行修改,这时您可使用“超级兔子魔法设置”进行修改!
另外,桌面背景也不要弄得太复杂(建议设为“无”),有的朋友还做成了动画桌面,这种做法没有任何现实意义,除了会给系统带来不稳定因素外,没有任何好的作用——毕竟我们只有很少时间是面对桌面的!^_^
七、合理设置“磁盘缓存”
系统默认值通常都非常保守,所以我们要进行一定的修改,我们也可在“Windows优化大师”中对其进行修改,只是我们要手工进行数字的输入,磁盘缓存最小值可设为2048(KB),最大值设为物理内存的25%,缓冲区读写单元为512。
注:这一做法会对多媒体软件的稳定运行带来很大的好处,尤其是最小值的设置不要太低!
八、尽量精简右键菜单
很多程序在安装后都会在右键菜单中留下身影,其中有很多都是我们用不到的,但其却给我们的系统带来了负担。为此,我们可在“超级兔子魔法”等软件中对右键菜单进行精简,通常只保留常用的就行了!另外,您最好是将无用项删除而不是只单纯去掉其前面的小勾!
这样做可有效减少因“新建”菜单而引起的失去响应的现象出现!
九、合适的显示器刷新率和分辨率
有些朋友总是抱怨自己的显卡太差劲,有的显卡的确是差劲了些,但很多情况下都是因为显示器刷新率设置得过高所致的“假象”。通常15、17英寸的彩显将刷新率设置成75Hz以上就行了(如果带宽足够当然也可以更高),没有必要强行上得太高。分辨率也是同一个道理,通常设成800×600或1024× 768就行了,只要够用就好,完全没有必要玩什么“终极”和“骨灰”。
祝顺利!有问题,请追问.有帮助,望采纳.
5. 关于文件夹的拒绝访问,高手进。。。。
用这个试试EasyRecovery Professional
NTFS只能在windows NT \xp\home下面识别,随着时间的推移,NTFS将取代FTA32格式.
想要了解NTFS,我们首先应该认识一下FAT。FAT(File Allocation Table)是“文件分配表”的意思。对我们来说,它的意义在于对硬盘分区的管理。FAT16、FAT32、NTFS是目前最常见的三种文件系统。
FAT16:我们以前用的DOS、Windows 95都使用FAT16文件系统,现在常用的Windows 98/2000/XP等系统均支持FAT16文件系统。它最大可以管理大到2GB的分区,但每个分区最多只能有65525个簇(簇是磁盘空间的配置单位)。随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。
FAT32:随着大容量硬盘的出现,从Windows 98开始,FAT32开始流行。它是FAT16的增强版本,可以支持大到2TB(2048G的分区。FAT32使用的簇比FAT16小,从而有效地节约了硬盘空间。
NTFS:微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。随着以NT为内核的Windows 2000/XP的普及,很多个人用户开始用到了NTFS。NTFS也是以簇为单位来存储数据文件,但NTFS中簇的大小并不依赖于磁盘或分区的大小。簇尺寸的缩小不但降低了磁盘空间的浪费,还减少了产生磁盘碎片的可能。NTFS支持文件加密管理功能,可为用户提供更高层次的安全保证。
2、什么系统可以支持NTFS文件系统?
只有Windows NT/2000/XP才能识别NTFS系统,Windows 9x/Me以及DOS等操作系统都不能支持、识别NTFS格式的磁盘。由于DOS系统不支持NTFS系统,所以最好不要将C:盘制作为NTFS系统,这样在系统崩溃后便于在DOS系统下修复。
NTFS与操作系统支持情况如下:
FAT16 windows 95/98/me/nt/2000/xp unix,linux,dos
FAT32 windows 95/98/me/2000/xp
NTFS windows nt/2000/xp
3、我们需要NTFS吗?
Windows 2000/XP在文件系统上是向下兼容的,它可以很好地支持FAT16/FAT32和NTFS,其中NTFS是Windows NT/2000/XP专用格式,它能更充分有效地利用磁盘空间、支持文件级压缩、具备更好的文件安全性。如果你只安装Windows 2000/XP,建议选择NTFS文件系统。如果多重引导系统,则系统盘(C盘)必须为FAT16或FAT32,否则不支持多重引导。当然,其他分区的文件系统可以为NTFS。
4、如何将FAT分区转换为NTFS?
Windows 2000/XP提供了分区格式转换工具“Convert.exe”。Convert.exe是Windows 2000附带的一个DOS命令行程序,通过这个工具可以直接在不破坏FAT文件系统的前提下,将FAT转换为NTFS。它的用法很简单,先在Windows 2000环境下切换到DOS命令行窗口,在提示符下键入:D:\\>convert 需要转换的盘符 /FS:NTFS。如系统E盘原来为FAT16/32,现在 需要转换为NTFS,可使用如下格式:D:\\>convert e: /FS:NTFS。所有的转换将在系统重新启动后完成。本人推荐使用此法进行转换!
此外,你还可以使用专门的转换工具,如着名的硬盘无损分区工具Powerquest Partition Magic 7.0,软件下载页面http://soft.km
5、如何在NTFS格式分区下找回意外删除丢失的文件?
你可以使用专门的软件,如Final Data for NTFS,或者是Get Data Back for NTFS 1.04。这两个软件的文件恢复效果都不错。本人
6、如果Windows 2000/XP安装在C盘(NTFS格式),当Windows崩溃时在DOS状态下不能进入C盘,怎么办?
你可以使用Windows 2000/XP的安装光盘启动来修复Windows,或者是制作Windows 2000/XP的安装启动应急盘。注意:Windows 2000的安装盘制作程序在程序的安装光盘中,而Windows XP的应急盘制作是独立提供的,需要从微软的网站下载。
7、Final Data for NTFS或Get Data Back for NTFS可以修复被意外格式化的硬盘吗?
这两个软件都可以恢复格式化删除的数据(低级格式化除外)。常规格式化删除的只是数据信息,低级格式化则删除全部数据区,当硬盘技术还不像现在这样发达的时候,磁盘表面很容易磨损。硬盘使用者对经常出现的读错误,往往采用低级格式化。修复被格式化的硬盘,只能将这个硬盘拆下来,安装到其他的计算机中,之后执行文件修复操作。Final Data甚至可以修复由CIH病毒破坏的硬盘。
8、Windows 98(FAT系统)下如何直接读写NTFS文件系统?
当电脑安装有Windows 98和Windows 2000/XP两个操作系统,如何在FAT系统下直接读写NTFS文件系统?虽然FAT系统可以转换为NTFS?
解压缩后,请把CR整个目录(里边有7个读取NTFS文件系统必须使用到Windows 2000/XP的系统文件,其它3个是注释文件)COPY到C盘(也可改名为NTFS_FILES,我是这样改的),安装结束后会出现一个配置界面,在该界面中的“NTFS System Files”项中需要设置的是程序可以借用的Windows 2000/XP系统的相关文件保存路径,你就选择刚才COPY到盘的CR目录即可,然后其它什么都不必去操作,到此设置完成,单击OK按钮保存设置并退出。重启后就可以在Windows 98下访问NTFS分区了!经过实际使用,证明安装此软件后,在NTFS分区上能读、写!
以上内容本人在WIN98SE+WINXP_PROCN+WINXP_PROEN及WINME+WINXP_PROCN+WINXP_PROEN上验证通过!(2台机)
下面的内容仅供参考,建议你不要实施,至少我是这样做的。
“Drive Letter Assignments”项中提供的设置是设置允许可以识别的NTFS分区盘符,设置的依据可以参考在Windows 2000/XP下的盘符顺序。如果单击界面中的“Advanced”按钮,在关联界面中提供了针对设置的NTFS分区高级设置,其中包括设置为只读属性“Read-Only”、允许写入“Write-Through”。对于检查点间隔“Checkpoint Interval”和写回间隔“Writeback nterval”,使用程序提供的默认设置即可。
9、如何在DOS系统下直接读写NTFS文件系统?
Winternals Software LP 公司提供了工具软件解决了这个问题。用一张MS-DOS启动盘就可以作到以前不可能作到的事,修改,删除?
10、在NTFS系统下,如何保护自己的文件、文件夹?
由于NTFS文件分区格式具有良好的安全性,如果你不希望自己在硬盘中的文件被其他人调用或查看,使用权限控制方式加密是非常有效的方法。设置方法非常简单:以系统管理员身份登录,使用鼠标右键单击需要加密的文件夹,选择“Properties”,切换到“Security”选项卡。在“Group of user names”项中设置允许访问的用户只有Administrator和自己。删除其他的所有用户。保存设置退出即可。此后,其他用户将不能访问该文件夹。使用这项功能需要注意的是:一定要保证只有你一个人知道Administrator密码,并且设置其他用户不能属于Administrator。此外,你还可以详细的给每个用户设置权限,包括设置读取权限、写入权限、删除权限等,这样使用起来就更加灵活。你还可以设置权限,控制一个磁盘,或者磁盘分区只为自己使用,这样其他人就不能看到你的任何东西了。
6. 改变文件/目录的访问权限可以使用什么命令
Linux系统中的每个文件和目录都有访问许可权限,用它来确定谁可以通过何种方式对文件和目录进行访问和操作。
文件或目录的访问权限分为只读,只写和可执行三种。以文件为例,只读权限表示只允许读其内容,而禁止对其做任何的更改操作。可执行权限表示允许将该文件作为一个程序执行。文件被创建时,文件所有者自动拥有对该文件的读、写和可执行权限,以便于对文件的阅读和修改。用户也可根据需要把访问权限设置为需要的任何组合。
有三种不同类型的用户可对文件或目录进行访问:文件所有者,同组用户、其他用户。所有者一般是文件的创建者。所有者可以允许同组用户有权访问文件,还可以将文件的访问权限赋予系统中的其他用户。在这种情况下,系统中每一位用户都能访问该用户拥有的文件或目录。
每一文件或目录的访问权限都有三组,每组用三位表示,分别为文件属主的读、写和执行权限;与属主同组的用户的读、写和执行权限;系统中其他用户的读、写和执行权限。当用ls -l命令显示文件或目录的详细信息时,最左边的一列为文件的访问权限。例如:
$ ls -l sobsrc. tgz
-rw-r--r-- 1 root root 483997 Ju1 l5 17:3l sobsrc. tgz
横线代表空许可。r代表只读,w代表写,x代表可执行。注意这里共有10个位置。第一个字符指定了文件类型。在通常意义上,一个目录也是一个文件。如果第一个字符是横线,表示是一个非目录的文件。如果是d,表示是一个目录。
例如:
- rw- r-- r--
普通文件 文件主 组用户 其他用户
是文件sobsrc.tgz 的访问权限,表示sobsrc.tgz是一个普通文件;sobsrc.tgz的属主有读写权限;与sobsrc.tgz属主同组的用户只有读权限;其他用户也只有读权限。
确定了一个文件的访问权限后,用户可以利用Linux系统提供的chmod命令来重新设定不同的访问权限。也可以利用chown命令来更改某个文件或目录的所有者。利用chgrp命令来更改某个文件或目录的用户组。
下面分别对这些命令加以介绍。
chmod 命令
chmod命令是非常重要的,用于改变文件或目录的访问权限。用户用它控制文件或目录的访问权限。
该命令有两种用法。一种是包含字母和操作符表达式的文字设定法;另一种是包含数字的数字设定法。
1. 文字设定法
chmod [who] [+ | - | =] [mode] 文件名¼
命令中各选项的含义为:
操作对象who可是下述字母中的任一个或者它们的组合:
u 表示“用户(user)”,即文件或目录的所有者。
g 表示“同组(group)用户”,即与文件属主有相同组ID的所有用户。
o 表示“其他(others)用户”。
a 表示“所有(all)用户”。它是系统默认值。
操作符号可以是:
+ 添加某个权限。
- 取消某个权限。
= 赋予给定权限并取消其他所有权限(如果有的话)。
设置mode所表示的权限可用下述字母的任意组合:
r 可读。
w 可写。
x 可执行。
X 只有目标文件对某些用户是可执行的或该目标文件是目录时才追加x 属性。
s 在文件执行时把进程的属主或组ID置为该文件的文件属主。方式“u+s”设置文件的用户ID位,“g+s”设置组ID位。
t 保存程序的文本到交换设备上。
u 与文件属主拥有一样的权限。
g 与和文件属主同组的用户拥有一样的权限。
o 与其他用户拥有一样的权限。
文件名:以空格分开的要改变权限的文件列表,支持通配符。
在一个命令行中可给出多个权限方式,其间用逗号隔开。例如:chmod g+r,o+r example
使同组和其他用户对文件example 有读权限。
2. 数字设定法
我们必须首先了解用数字表示的属性的含义:0表示没有权限,1表示可执行权限,2表示可写权限,4表示可读权限,然后将其相加。所以数字属性的格式应为3个从0到7的八进制数,其顺序是(u)(g)(o)。
例如,如果想让某个文件的属主有“读/写”二种权限,需要把4(可读)+2(可写)=6(读/写)。
数字设定法的一般形式为:
chmod [mode] 文件名¼
例子:
(1)文字设定法:
例1:$ chmod a+x sort
即设定文件sort的属性为:
文件属主(u) 增加执行权限
与文件属主同组用户(g) 增加执行权限
其他用户(o) 增加执行权限
例2:$ chmod ug+w,o-x text
即设定文件text的属性为:
文件属主(u) 增加写权限
与文件属主同组用户(g) 增加写权限
其他用户(o) 删除执行权限
例3:$ chmod u+s a.out
假设执行chmod后a.out的权限为(可以用ls – l a.out命令来看):
–rws--x--x 1 inin users 7192 Nov 4 14:22 a.out
并且这个执行文件要用到一个文本文件shiyan1.c,其文件存取权限为“–rw-------”,即该文件只有其属主具有读写权限。
当其他用户执行a.out这个程序时,他的身份因这个程序暂时变成inin(由于chmod命令中使用了s选项),所以他就能够读取shiyan1.c这个文件(虽然这个文件被设定为其他人不具备任何权限),这就是s的功能。
因此,在整个系统中特别是root本身,最好不要过多的设置这种类型的文件(除非必要)这样可以保障系统的安全,避免因为某些程序的bug而使系统遭到入侵。
例4:$ chmod a–x mm.txt
$ chmod –x mm.txt
$ chmod ugo–x mm.txt
以上这三个命令都是将文件mm.txt的执行权限删除,它设定的对象为所有使用者。
(2)数字设定法:
例1: $ chmod 644 mm.txt
$ ls –l
即设定文件mm.txt的属性为:
-rw-r--r-- 1 inin users 1155 Nov 5 11:22 mm.txt
文件属主(u)inin 拥有读、写权限
与文件属主同组人用户(g) 拥有读权限
其他人(o) 拥有读权限
例2: $ chmod 750 wch.txt
$ ls –l
-rwxr-x--- 1 inin users 44137 Nov 12 9:22 wchtxt
即设定wchtxt这个文件的属性为:
文件主本人(u)inin 可读/可写/可执行权
与文件主同组人(g) 可读/可执行权
其他人(o) 没有任何权限
chgrp命令
功能:改变文件或目录所属的组。
语法:chgrp [选项] group filename¼
该命令改变指定指定文件所属的用户组。其中group可以是用户组ID,也可以是/etc/group文件中用户组的组名。文件名是以空格分开的要改变属组的文件列表,支持通配符。如果用户不是该文件的属主或超级用户,则不能改变该文件的组。
该命令的各选项含义为:
- R 递归式地改变指定目录及其下的所有子目录和文件的属组。
例1:$ chgrp - R book /opt/local /book
改变/opt/local /book/及其子目录下的所有文件的属组为book。
chown 命令
功能:更改某个文件或目录的属主和属组。这个命令也很常用。例如root用户把自己的一个文件拷贝给用户xu,为了让用户xu能够存取这个文件,root用户应该把这个文件的属主设为xu,否则,用户xu无法存取这个文件。
语法:chown [选项] 用户或组 文件
说明:chown将指定文件的拥有者改为指定的用户或组。用户可以是用户名或用户ID。组可以是组名或组ID。文件是以空格分开的要改变权限的文件列表,支持通配符。
该命令的各选项含义如下:
- R 递归式地改变指定目录及其下的所有子目录和文件的拥有者。
- v 显示chown命令所做的工作。
例1:把文件shiyan.c的所有者改为wang。
$ chown wang shiyan.c
例2:把目录/his及其下的所有文件和子目录的属主改成wang,属组改成users。
$ chown - R wang.users /his
7. 访问控制列表的作用和组成是什么
标准和扩展标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号 扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号作用:控制流量对网络统一管理流量允许、拒绝用 标准ACL对单以服务或协议控制允许、拒绝用 扩展ACL。
8. WIN7局域网共享经常出现共享的文件夹无法访问,别人也无法访问
解决网络共享拒绝访问、局域网共享文件夹拒绝访问的问题:
启用来宾帐户,控制面板-用户帐户-启用来宾帐户”:
安装NetBEUI协议:查看“网上邻居”属性——查看“本地连接”属性——点击“安装”——查看 “协议”——看其中NetBEUI协议是否存在,如果存在则安装。如果不存在则表明已经安装了该协议,在Winxp系统默认的情况下该协议是已经安装好了的;
查看本地安全策略设置是否禁用了GUEST账号:控制面板——管理工具——本地安全策略——用户权利指派——查看“拒绝从网络访问这台计算机”项的属性——看里面是否有GUEST帐户,如果有就把它删除掉;
设置共享文件夹:如果不设置共享文件夹的话,网内的其它机器无法访问到你的机器。
设置文件夹共享的方法有三种:第一种是:“工具--文件夹选项--查看--使用简单文件夹共享”。这样设置后,其他用户只能以Guest用户的身份访问共享的文件或者是文件夹。第二种方法是:“控制面板--管理工具--计算机管理”,在“计算机管理”这个对话框中,依次点击“文件夹共享--共享”,然后在右键中选择“新建共享”即可。第三种方法最简单,直接在想要共享的文件夹上点击右键,通过“共享和安全”选项即可设置共享;
建立工作组:在Windows桌面上用右键点击“我的电脑”,选择“属性”,然后单击“计算机名”选项卡,看看该选项卡中有没有出现局域网工作组名称,如“workgroup”等;
然后单击“网络 ID”按钮,开始“网络标识向导”:单击“下一步”,选择“本机是商业网络的一部分,用它连接到其他工作着的计算机”;
单击“下一步”,选择“公司使用没有域的网络”;单击“下一步”按钮,然后输入你的局域网的工作组名,这里建议用“BROADVIEW”,再次单击“下一步”按钮,最后单击“完成”按钮完成设置;
重新启动计算机后,局域网内的计算机就可以互访了;
查看“计算机管理”是否启用来宾帐户:控制面版——计算机管理——本地用户和组——用户——启用来宾帐户。机器重新启动后就可以了;
用户权利指派:“控制面板--管理工具--本地安全策略”,在“本地安全策略”对话框中,依次选择“本地策略--用户权利指派”,在右边的选项中依次对“从网络上访问这台计算机”和“拒绝从网络上访问这台计算机”这两个选项进行设置。“从网络上访问这台计算机”选项需要将guest用户和everyone添加进去;“拒绝从网络上访问这台计算机”需要将被拒绝的所有用户删除掉,默认情况下guest是被拒绝访问的。
9. 如何设置文件夹权限
现在越来越多的用户使用NTFS文件系统来增强Windows系统的安全性。通常是在图形用户界面(GUI)的“安全”选项卡中对文件或目录访问控制权限进行设置。还有一种设置方式大家可能很少使用,这就是Cacls命令。虽然它是一个基于命令行的命令,使用起来有点繁琐,但只要你合理利用,也会在提高系统安全性方面起到很好的效果。
注意:要使用此命令首先要把该文件夹所在的盘转换成NTFS格式
在CMD里输入 convert X: /fs:ntfs 回车即可,X代表你想转换的盘符
显示或者修改文件的访问控制表(ACL)
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 显示 ACL。
/T 更改当前目录及其所有子目录中
指定文件的 ACL。
/E 编辑 ACL 而不替换。
/C 在出现拒绝访问错误时继续。
/G user:perm 赋予指定用户访问权限。
Perm 可以是: R 读取W 写入C 更改(写入)F 完全控制/R user 撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
/P user:perm 替换指定用户的访问权限。
Perm 可以是: N 无R 读取W 写入C 更改(写入)F 完全控制/D user 拒绝指定用户的访问。
在命令中可以使用通配符指定多个文件。
也可以在命令中指定多个用户。
缩写:CI - 容器继承。
ACE 会由目录继承。
OI - 对象继承。
ACE 会由文件继承。
IO - 只继承。
ACE 不适用于当前文件/目录。
1.查看目录和ACL以Windows XP系统为例,笔者使用Cacls命令查看E盘CCE目录访问控制权限。点击“开始→运行”,在运行对话框中输入“CMD”命令,弹出命令提示符对话框,在“E:\>”提示符下输入“Cacls CCE”命令,接着就会列出Windows XP系统中用户组和用户对CCE目录的访问控制权限项目。如果想查看CCE目录中所有文件访问控制权限,输入“Cacls cce\ . ”命令即可。
2.修改目录和ACL设置用户访问权限:我们经常要修改目录和文件的访问权限,使用Cacls命令就很容易做到。下面要赋予本机用户Chenfeng对E盘下CCE目录及其所有子目录中的文件有完全控制权限。在命令提示符对话框中输入“Cacls CCE /t /e /c /g Chenfeng:f ”命令即可。
替换用户访问权限:将本机用户Chenfeng的完全控制权限替换为只读权限。在命令提示符对话框中输入“ Cacls CCE /t /e /c /p Chenfeng:r ”命令即可。
撤销用户访问权限:要想撤销本机用户Chenfeng对该目录的完全控制权限也很容易,在命令提示符中运行“Cacls CCE /t /e /c /r Chenfeng ”即可。
拒绝用户访问:要想拒绝用户Chenfeng访问CCE目录及其所有子目录中的文件,运行“Cacls CCE /t /e /c /d Chenfeng”即可。