一、前言

前边我们已经讲了windows系统下的访问控制，现在我们讲讲Linux系统下的访问控制，其实两个系统下的测评项都是一样的，不一样的就是不同的系统查看系统配置的方法不一样，windows系统使用的都是图形交互界面，而且我们平时使用windows系统比较多，查找起来比较方便，Linux系统是要使用命令来查看系统配置的，需要有一些Linux系统命令的基础，当然也都比较简单，现在就让我们来看看Linux系统下如何测评身份鉴别的相关测评项。

二、测评项

a)应对登录的用户分配账户和权限；

b)应重命名或删除默认账户，修改默认账户的默认口令；

c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；

d)应授予管理用户所需的最小权限，实现管理用户的权限分离；

e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

三、测评项a

a)应对登录的用户分配账户和权限；

以root身份登录进入linux，使用命令more或者cat查看/etc/passwd文件中各用户状态，如下图所示：

passwd文件

passwd 文件内容说明：

name:password:uid:gid:comment:home:shell

首先判断用户是否可以登录，如果最后是usr/sbin/nologin以及/bin/false就不可登录，然后判断出哪些是普通用户、系统用户和超级用户(root)，系统用户的uid是大于0小于500的，我们主要关注uid大于500的，也就是超级用户创建的用户。

使用每个用户登录系统，使用命令ls -l查看 /etc/passwd ,/etc/shadow, /etc/rc3.d , /etc/profile ,/etc/inet.conf ,/etc/xinet.conf等的权限是否与管理员权限一致，如果只有一个管理员用户或者拥有多个和管理员权限一样的用户，就是不符合的，我们也可以使用命令more或者cat查看/etc/group文件中各用户的分组情况。

用户组

四、测评项b

b)应重命名或删除默认账户，修改默认账户的默认口令；

Linux系统的默认账户为root，是超级用户，其他用户都是它创建的，而且Linux系统在安装时必须设置root用户密码，所以这一项默认符合。

五、测评项c

c)应及时删除或停用多余的、过期的账户，避免共享账户的存在；

我们可以通过使用命令“chage -l username”，查看用户的过期时间，如下图所示，然后通过访谈的方式询问每个账户的用途，判断是否存在多余和共享的账户。

账户过期时间

六、测评项d

d)应授予管理用户所需的最小权限，实现管理用户的权限分离；

该项查看内容与上边类似，以root身份登录进入Linux，使用命令more、cat或vi查看/etc/passwd和/etc/shadow文件中各用户权限分配，Linux中用户权限通过组来实现，使用命令more、cat或vi查看/etc/group，每个用户可以属于多个组，每个组可以包括多个用户，如果系统只有一个root管理用户，一般视为未授予管理用户所需的最小权限。

七、测评项e

e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

这一项的字面意思就是由授权主体(大多数是安全管理员)来配置访问控制策略，这个只能通过访谈的方式来测评，具体是谁配置的也无从考证，我测评过程中还没有遇到过做过配置的案例，所以什么样的算符合我也没有典型案例。

八、测评项f

f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

这一项Linux是默认符合的，我们可以以某个用户登录系统，使用命令“ls -l”查看该用户对系统文件及文件夹的权限，其中开头为“l”的为文件，可见Linux的访问客体控制粒度是达到文件、数据表级的。

用户对文件的权限

九、测评项g

g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

这里就是给敏感信息设置安全标记，控制主体对敏感信息的访问，Linux没有类似的设置，要想达到要求，就必须使用第三方软件，这个就不多说了，根据具体软件具体分析吧，只要能到达标记区分的目的，并且进行了有效的访问控制就可以了。

以上就是一项一项教你测等保2.0——Linux访问控制的所有内容，希望对大家有所帮助，欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。