pptx无法打开,拥有访问权限8篇pptx无法打开,拥有访问权限 第10章章DM数据库用户、权限与角色管理主讲教师:时间:202x.xx.xx 01用户管理02权限管理03角色管理04DM数据库的物理下面是小编为大家整理的pptx无法打开,拥有访问权限8篇,供大家参考。
01 用户管理02 权限管理03 角色管理04 DM数据库的物理存储结构目录CONTNETS05 DM数据库的安装与启动
01PART ONE10.1.1 创建用户10.1.2 修改用户10.1.3 删除用户
4创建用户时要指定相关的要素,通常包括用户登录数据库时的身份验证模式与口令、用户拥有对象存储的默认表空间、对用户访问数据库资源的各项限制等。我们可以通过SQL命令和DM管理工具来创建用户。为保证数据库系统的安全性,达梦数据库采用“三权分立”或“四权分立”的安全机制(安全版本)。“三权分立”时系统内置三种系统管理员,包括数据库管理员、数据库安全员和数据库审计员。用户管理
5创建用户的SQL命令格式如下:CREATE USER < 用户名> IDENTIFIED < 身份验证模式>[PASSWORD_POLICY < 口令策略>][<锁定子句>][< 存储加密密钥>][< 空间限制子句>][< 只读标志>][< 资源限制子句>][<许 允许 IP 子句>][<止 禁止 IP 子句>][< 允许时间子句>][< 禁止时间子句>][<TABLESPACE 子句>]1. 用SQL命令创建用户(1)语法格式用户管理语法
6(2 )应用举例【例10-1】创建USER0用户,口令为dameng123。SQL>CREATE USER user0 IDENTIFIED BY dameng123;【例10-2】创建USER1用户,口令为DAMENG123,会话超时为3分钟,默认表空间为MAIN。SQL>CREATE USER user1 IDENTIFIED BY dameng123 LIMIT CONNECT_TIME 3 DEFAULT TABLESPACE main;注意:如果密码需要使用特殊字符密码,则密码要加西文双引号。用户管理
7(3 )附加说明(1)用户名在服务器中必须唯一;(2)用户口令以密文形式存储;(3)系统预先设置了三个用户,分别为SYSDBA、SYSAUDITOR和SYSSSO,其中SYSDBA是系统管理员,具备DBA角色;SYSAUDITOR是审计管理员,而SYSSSO为安全管理员;(4)DM提供三种身份验证模式来保护对服务器访问的安全,即数据库身份验证模式、外部身份验证模式和混合身份验证模式。数据库身份验证模式需要利用数据库口令;外部身份验证模式既支持基于操作系统(OS)的身份验证又提供口令管理策略;混合身份验证模式是同时支持数字证书和数据库身份的双重验证;用户管理
82. 用管理工具创建用户【例10-3】创建USER3用户,采用密码验证方式,口令为DMUSER123,使用表空间为TS1,会话持续期(会话超时)为3分钟。操作步骤如下:(1)在图10-1中,右键点击管理用户,在弹出菜单中选择“新建用户(N)…”菜单项,打开新建用户对话框,如图10-2所示。用户管理
9(2)在图10-2中,用户名设置为USER3,连接验证方式选择为密码验证,密码为DMUSER123,表空间为TS1。(3)选择“资源限制”页面,如图10-3所示,勾选会话持续期限制,限制为3分钟。其它参数忽略,不勾选。用户管理
01PART ONE10.1.1 创建用户10.1.2 修改用户10.1.3 删除用户
11( (1)
)
语法格式修改用户的的SQL命令格式如下:ALTER USER < 用户名> [IDENTIFIED < 身份验证模式>] [PASSWORD_POLICY < 口令策略>] [< 锁定子句>] [< 存储加密密钥>][< 空间限制子句>] [< 只读标志>][< 资源限制子句>][<许 允许 IP子句>][<止 禁止 IP 子句>][< 允许时间子句>][< 禁止时间子句>][<TABLESPACE 子句>]1. 用 SQL 命令修改用户用户管理在数据库使用过程中,我们可能需要修改用户的登录密码,修改用户默认表空间等。可以采用SQL命令或DM管理工具来修改用户。
12( (2)
)
应用举例【例10-4】将DMHR用户的密码修改为DMHR12345。如果不知道DMHR用户的密码,可以以SYSDBA用户登录来修改DMHR用户的密码。SQL>CONN SYSDBA/SYSDBASQL>ALTER USER DMHR IDENTIFIED BY DMHR12345;这个例子的前提条件数据库中已经存在DMHR用户。用户管理
13( (3)
)
附加说明(1)每个用户均可修改自身的口令,SYSDBA用户可强制修改非系统预设用户的口令(在数据库验证方式下);(2)只有具备ALTER USER权限的用户才能修改其身份验证模式、系统角色及资源限制项;(3)不论dm.ini的DDL_AUTO_COMMIT设置为自动提交还是非自动提交,ALTER USER操作都会被自动提交。(4)系统预设用户不能修改其系统角色和资源限制项;用户管理
142. 用管理工具修改用户【例10-5】修改用户USER3,口令为USER33333,口令登录错误5次就锁定账户。操作步骤如下:(1)在图10-4中,右键点击用户USER3,在弹出菜单中选择“修改(M)…”菜单项,打开修改用户对方框,如图10-5所示。用户管理
15图10-4 修改用户图10-5 修改用户密码用户管理
16(2)在图10-5中,将密码和密码确认修改为USER33333。(3)选择“资源限制”页面,如图10-6所示,勾选登录失败次数,并将失败次数修改为5。(4)点击“确定”按钮,完成修改用户过程。图10-6 修改登录失败次数用户管理
01PART ONE10.1.1 创建用户10.1.2 修改用户10.1.3 删除用户
18数据库的对象都是组织在用户的模式下面,如果删除用户,该用户模式下的数据对象都要删除,并且对该用户模式下的数据对象的依赖也都会被删除。删除用户应当慎重,可以使用SQL命令或DM管理工具来删除用户。SQL命令删除用户语法格式DROP USER < 用户名> [RESTRICT | CASCADE];【例10-6】以用户SYSDBA登录,删除用户USER0。SQL>DROP USER user0;如果用户存在数据对象,则不能删除该用户。用户管理
19( (3)
)
附加说明(1)系统自动创建的三个系统用户SYSDBA、SYSAUDITOR和 SYSSSO不能被删除;(2)具有相应的DROPUSER权限的用户即可进行删除用户操作;(3)删除用户会删除该用户建立的所有对象,且不可恢复。如果要保存这些实体,请参考 REVOKE语句;(4)如果未使用 CASCADE 选项,若该用户建立了数据库对象 (如表、视图、过程或函数),或其他用户对象引用了该用户的对象,或在该用户的表上存在其它用户建立的视图,DM将返回错误信息,而不删除此用户;(5)如果使用了 CASCADE 选项,除数据库中该用户及其创建的所有对象被删除外,如果其他用户创建的表引用了该用户表上的主关键字或唯一关键字,或者在该表上创建了视图,DM还将自动删除相应的参照完整性约束及视图依赖关系;(6)正在使用中的用户可以被删除,删除后重登录或者做操作会报错。用户管理
202. 用管理工具删除用户【例10-7】删除用户USER3。右键点击USER3用户,在弹出菜单中选择“删除(D)”菜单项,打开删除对象对话框。点击“确定”按钮,删除USER3用户。用户管理
01 用户管理02 权限管理03 角色管理04 DM数据库的物理存储结构目录CONTNETS05 DM数据库的安装与启动
22达梦数据库对用户的权限有着严格的规定,如果没有权限,用户将无法完成任何操作。用户权限有两类,即数据库权限和对象权限。数据库权限主要是指针对数据库对象的创建、删除、修改数据库对象的权限,以及对数据库备份等权限。而对象权限主要是指对数据库对象中的数据的访问权限。权限管理
02PART TWO10.2.1 权限分类10.2.2 授予权限10.2.3 回收权限
241.数据库权限数据库权限是与数据库安全有关的最重要的权限,这类权限一般是针对数据库管理员的。数据库权限的管理主要包括权限的分配、回收和查询等操作。数据库权限 说明CREATE TABLE 在自己的模式中创建表的权限CREATE VIEW 在自己的模式中创建视图的权限CREATE USER 创建用户的权限CREATE TRIGGER 在自己的模式中创建触发器的权限ALTER USER 修改用户的权限ALTER DATABASE 修改数据库的权限CREATE PROCEDURE 在自己模式中创建存储过程的权限常用的数据库权限对于表、视图、用户、触发器这些数据库对象,有关的数据库权限包括创建、删除和修改他们的权限,相关的命令分别是CREATE、DROP和ALTER。表、视图、触发器、存储程序等对象是与用户有关的,在默认情况下对这些对象的操作都是在当前用户自己的模式下进行的。权限管理
252.对象权限对象权限主要是对数据库对象中的数据的访问权限,这类权限主要是针对普通用户的。数据库对象类型对象权限表 视图存储程序包 类 类型 序列 目录 域SELECT INSERT DELETE UPDATE REFERENCES DUMP EXECUTE READ WRITE USAGE 常用对象权限权限管理
26 对于表和视图来说,删除操作是整行进行的,而查询、插入和修改却可以在一行的某个列上进行,所以在指定权限时,DELETE权限只要指定所要访问的表就可以了,而SELECT、INSERT和UPDATE权限还可以进一步指定是对哪个列的权限。 REFERENCES权限是指可以与一个表建立关联关系的权限,关联关系是通过主键和外键进行的,所以在授予这个权限时,可以指定表中的列,也可以不指定。 EXECUTE权限是指可以执行存储函数、存储过程的权限。有了这个权限,一个用户就可以执行另一个用户的存储程序。权限管理
02PART TWO10.2.1 权限分类10.2.2 授予权限10.2.3 回收权限
281. 授予数据库权限( (1)
)
语 法格式授予数据库权限的SQL命令格式如下:GRANT <权限1>{,<权限2>}TO <用户1>{,<用户2>}[WITH ADMIN OPTION];数据库权限通常是针对表、视图、用户、触发器等类型的对象具有CREATE、ALTER、DROP等操作能力。如果使用ANY修饰词,表示对所有用户模式下的这些类型对象具有相应操作权限。如果使用WITH ADMIN OPTION选项,表示用户1(用户2…)获得权限后,还可以把这个权限再次授予其他用户。权限管理
29( (2)
)
应用举例【例10-8】将创建表的权限授予一个用户。以SYSDBA用户,将CREATE TABLE权限授予用户USER1。1)给USER1授予创建表权限SQL> CONN SYSDBA/SYSDBA;SQL> GRANT CREATE TABLE TO USER1;2)USER1创建U1T1表SQL> CONN USER1/ DAMENG123;CREATE TABLE u1t1(id INT,text VARCHAR(30));执行这些语句后,USER1成功创建U1T1表。权限管理
30【例10-9】将创建表的权限授予一个用户并使用WITH ADMIN OPTION选项。以SYSDBA用户,将CREATE TABLE权限授予用户USER1,USER1又将创建表的权限授予USER2。1 1 )
使用H WITH N ADMIN OPTION 选项给 USER1 1 授予E CREATE TABLE 权限SQL> CONN SYSDBA/SYSDBA;SQL> GRANT CREATE TABLE TO USER1 WITH ADMIN OPTION;2)
USER1 1 将E CREATE TABLE 权限授予 USER2 2SQL> CONN USER1/ DAMENG123;SQL> GRANT CREATE TABLE TO USER2;权限管理
313 3 )
USER2 2 创建U U2 2T T1 1 表SQL> CONN USER2/DAMENG123;CREATE TABLE u2t1(id INT,text VARCHAR(30));USER2成功创建U2T1表,这个例子说明了WITH ADMIN OPTION选项的作用。权限管理
322. 授予对象权限(1)语法格式授予对象权限的SQL命令格式如下:GRANT <对象权限1(列名)>{,<对象权限2(列名)>}ON <对象>TO <用户1>{,<用户2>}[WITH GRANT OPTION];对象权限通常是SELECT、INSERT、UPDATE、DELETE、EXECUTE、REFERENCES等。对象通常是表、存储过程等。WITH GRANT OPTION表示用户1(用户2…)获得权限后,还可以把这个权限再次授予其他用户。权限管理
33(2)应用举例【例10-10】将一个用户的表的SELECT权限授予另一个用户,并可再次授权。以用户SYSDBA,将DMHR模式下的CITY表的SELECT权限授予用户USER1。1)
授权前用户USER1 尝试查询CITY表 表SQL> CONN user1/DAMENG123;SQL> SELECT * FROM dmhr.city WHERE city_id="BJ";查询结果如下:SELECT * FROM dmhr.city WHERE city_id="BJ";[-5504]:没有[CITY]对象的查询权限.权限管理
342)给用户USER1授予CITY表查询权限SQL> CONN SYSDBA/SYSDBA;SQL> GRANT SELECT ON dmhr.city TO user1 WITH GRANT OPTION;3)授权后用户USER1尝试查询CITY表SQL> CONN user1/DAMENG123;SQL> SELECT * FROM dmhr.city WHERE city_id="BJ";查询结果为行号 CITY_ID CITY_NAME REGION_ID---------- ------- --------- ---------1 BJ 中国北京 1权限管理
35【例10-11】将一个用户的表的SELECT权限授予所有用户。以用户SYSDBA,将DMHR模式下的CITY表的SELECT权限授予所有用户。SQL> GRANT SELECT ON dmhr.city TO PUBLIC;【例10-12】将一个用户的表的某个字段的INSERT和UPDATE权限授予另一个用户。以 用 户 SYSDBA , 将 DMHR 模 式 下 的 CITY 表 的 CITY_ID 字 段 的 INSERT 权 限 和CITY_NAME字段的UPDATE权限授予用户USER1。(1)授权前用户USER1尝试查询修改CITY表数据SQL> CONN user1/DAMENG123;SQL> UPDATE dmhr.city SET city_name="北京" WHERE city_id="BJ";修改结果为UPDATE dmhr.city SET city_name="北京" WHERE city_id="BJ";[-5503]:没有[CITY]对象的更新权限.权限管理
36(2)授予用户USER1修改CITY表数据权限SQL> CONN SYSDBA/SYSDBA;SQL> GRANT INSERT(city_id),UPDATE(city_name) ON dmhr.city TO user1;(3)授权后用户USER1尝试修改CITY表CITY_NAME字段值SQL> CONN user1/DAMENG123;SQL> UPDATE dmhr.city SET city_name="北京" WHERE city_id="BJ";SQL> SELECT * FROM dmhr.city WHERE city_id="BJ";查询结果为行号 CITY_ID CITY_NAME REGION_ID---------- ------- --------- ---------1 BJ 北京 1权限管理
37【例10-13】将一个用户的存储过程的执行权限授予另一个用户。以用户SYSDBA,在DMHR模式下创建一个SETBJNULL存储过程并将其执行权限授予USER1。(1)创建SETBJNULL存储过程SQL> CONN SYSDBA/SYSDBA;SQL> CREATE OR REPLACE PROCEDURE dmhr.setbjnull ASBEGINUPDATE dmhr.city set city_name=NULL WHERE city_id="BJ";COMMIT;END;该存储过程将CITY_ID为"BJ"的CITY_NAME置为空。权限管理
38(2)将SETBJNULL的执行权限授予USER...
目 目 录海颐公司介绍特权账号安全管理的背景海颐特权账号安全管理系统介绍其他介绍
国家级企业技术中心 博士后科研工作站 国家计算机系统集成一级资质 EMCA( 中国节能协会节能服务产业委员会) ) 主要成员 连续十一年位列 “ 中国软件百强 ” 企业前三十位的大型高新技术企业集团 东方电子商标被评为中国驰名商标 2015 年发改委:国家信息安全专项及下一代互联网技术研发 、 产业化和规模商用专项项目( 105 )
之一母公司介绍
东方电子( ( 000682. . sz) 旗下专注于企业信息化和电子政务领域的软件公司 1995 年左右开始从事企业软件领域 ,2003 年正式成立 注册资本 3000 万元 , 员工数 1500 人 拥有 53 项计算机软件著作权及专利和16 项软件产品登记 300 多名客户遍布全国各地海颐软件介绍
CMMI 五级企业 国家计算机系统集成二级资质 国家级涉密计算机系统集成资质 山东省高新技术企业和软件企业认证 商业密码产品生产和销售许可认证 山东省软件工程技术中心 三版上市 ( 股票代码 832327 ) P CISSP ( ISC2 2 国际注册信息安全专家 ) P CISP ( 国家注册信息安全专家 ) ISO1 27001 LA ( 信息安全管理体系主任审核员 ) E CCIE ( 思科认证网络安全专家 ) 微软 ( MCDBA/MCSE ) 思科 ( CCNP/CCNA ) 绿盟认证工程师 趋势 ( TCSP/TCSA/TCSE ) H H3 3C C ( HCNE ) Juniper ( JNCIS ) 信息产业部 ( 信息安全工程师 ) Symantec 认证工程师 Array 认证工程师专业资质
咨询及 及ERP道路运输平台及通用产品电力信息化电子政务智慧警务大情报分析阵地缉控平台公安协同办公系统应急指挥系统电力营销、客户服务配网生产、营配一体电力物资及招投标电力资产管理ERP咨询及实施服务BI数据与智能决策CRM开发实施服务SOA企业应用集成系统集成技术服务交运ERP道路联网售票交运一卡通系统交运包车系统HY-UEPHY-MobileHY-eHRHY-EAM信息安全加密、CA、Key数据安全、应用安全特权账号安全管理IP生命周期管理基于大数据分析的云安全体系产品及服务
海颐软件主要客户
数据中心存在的问题
建立集中的数据中心安全运营管理,向云模式靠拢 逻辑上将人与目标设备分离,全局唯一身份标识,隐藏设备管理帐号密码; 将数据包围在数据中心,离线数据以脱敏或加密的方式存在; 通过实施海颐信息安全体系转变传统IT安全的被动响应模式,建立面向用户的集中、主动的安全管控模式;现在 过去转变我们关注数据中心安全
大数据分析账号生命周期管理业务安全数据安全 IP实名制信息安全服务+产品以安全服务及安全产品为中心,开展信息安全业务,朝五个业务方向发展,大数据分析、账号管理、数据安全、应用安全、 IP 实名制,未来能平滑迁移到云安全体系,往服务方向、运营方向发展:一、大数据分析安全运营中心、日志集中管理、安全监控、安全预警、安全可视化、关联分析、APP开发二、特权账号生命周期管理主机、数据库、中间件、系统、网络、业务内嵌账号、云安全、密码托管三、IP生命周期管理IP与MAC地址绑定、无客户端、DHCP托管、地址分发策略、IP实名制、移动终端管理、IP冲突管理四、数据安全测试环境与在线系统数据脱敏、数据防泄漏、数据库访问控制与审计、安全预警、数据加密与Key五、业务安全网络攻击防御系统、应用防火墙、基于业务的审计海颐信息安全技术方向
专网DDoS 流量清洗病毒过滤/ 行为管理IPS 入侵防御核心区- - 数据中心数据脱敏核心防火墙终端办公区IDS 入侵检测特权账号安全管理基于业务的审计风险评估与渗透测试数据中心运维区开发第三方接入区边界防火墙内网核心交换机IP 生命周期管理、接口管理边界安全内网安全安全大数据分析/ 可视化SOC/4A地市接入区外部DMZ区 区Web 应用防火墙VPN 网关数据中心交换机ISP1 ISP2链路 LBS内部DMZ区 区开发测试区 异地容灾互联单位典型数据中心安全视图
海颐基于大数据分析的安全云体系WHO WHEN WHATVPN互联网审计内网内部用户/ 第三方外网内部用户/ 第三方IP 生命周期管理特权账号生命周期管理基于业务的审计、数据脱敏API 接口安全 、应用防火墙风险管理及攻防平台Internet数据挖掘/ 关联分析/ 快速定位/ 责任到人/ 安全态势可视化/ 用户生命周期管理主机群业务系统、中间件等日志集中大数据分析云海颐信息安全解决思路:
以IP实名制为总线,日志集中管理平台提供大数据分析为手段,实现对终端行为在整个生命周期中贯穿审计的全过程。防火墙数据库交换机 路由器安全云智能密码钥匙
目 目 录海颐公司介绍特权账号安全管理的背景海颐特权账号安全管理系统介绍其他介绍
2014年国内外安全事件层出不穷 ① ① 1 1 月 , 韩国 发生金融行业最大规模信用卡个人信息泄密事件 , 涉及约 2000 万用户 , 共1 1 亿多条客户信息被泄露 ,, 最多的用户有 19 项个人信息被泄露了 , 多名高管因此事引咎辞职 。 ② ② 3 3 月 23 日凌晨 , 携程 被爆安全支付日志可遍历下载 , 因此导致大量用户银行卡信息泄露 , 其中包括持卡人姓名 、 身份证号 、 银行卡号 、 卡 CVV 码 、6 6 位卡 Bin 。 ③ ③ 7 7 月 24 日 , 欧洲中央银行 遭到网络攻击 , 匿名黑客攻破了该行公开的外部网站的数据库 , 窃取了该行网站上1 1. .5 5 亿注册者的电子邮件和联络人的细节信息 。
电子邮件 、 部分街道地址和电话号码在内的部分未加密数据被利用 。 ④ ④ 9 9 月 , 美国家得宝公司 确认其支付系统遭到网络攻击, , 将近有5600 万张银行卡的信息被盗 , 这比去年发生在 Target 的客户银行卡数据被盗事件还要严重 。 ⑤ ⑤ 10 月2 2日 日 , 摩根大通银行 承认 7600 万家庭和 700 万小企业的相关信息被泄露 。
身在南欧的黑客取得摩根大通数十个服务器的登入权限 , 偷走银行客户的姓名 、 住址 、 电话号码和电邮地址等个人信息 ,与这些用户相关的内部银行信息也遭到泄露 。
受影响者人数占美国一 人口的四分之一 。
安全威胁之APT APT全称:Advanced Persistent Threat APT(高级持续性渗透攻击)简述: APT是指高级的持续性的渗透攻击,是针对特定组织的多方位的攻击;是一种以商业和政治目的的网络犯罪类别,通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击,具有长期经营与策划、高度隐蔽等特点; APT攻击不会追求短期的收益或单纯的破坏,而是以步步为营的渗透入侵策略,低调隐蔽的攻击每一个特定目标,不做其他多余的活动来打草惊蛇,因此也无法通过阻止一次攻击就让问题消失。 RSA SecurID窃取案例: 2011年3月,EMC公司下属的RSA公司遭受入侵,部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司受到攻击,重要资料被窃取。 1.攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件,附件名为“2011 Recruitment plan.xls”; 2.在拿到SecurID信息后,攻击者开始对使用SecurID的公司展开进一步攻击。 3.其中一位员工将其从垃圾邮件中取出来阅读,被当时最新的 Adobe Flash的0day漏洞(CVE-2011-0609)命中; 4.该员工电脑被植入木马,开始从BotNet的C&C服务器下载指令执行任务; 5.首批受害的使用者并非“位高权重”人物,紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑; 6.RSA发现开发用服务器(Staging server)遭入侵,攻击方立即撤离,加密并压缩所有资料并以FTP传送至远程主机,随后清除入侵痕迹;
持续性同发性个人终端突破多攻击向量社工0DAY社工跳板可信通道加密缓慢长期长期窃取战略控制深度渗透APT攻击最终的目标就是特权账号
获取凭据是黑客成功的必要条件Mandiant, M-Trends and APT1 Report“…100% 的信息泄露都涉及到了凭据丢失“ 高级持续性威胁 APT 首先尽各种可能找到可以利用的特权账号,例如:域管理员、具有域权限的服务启动账号、本地管理员账号和拥有业务特权的账号。
新的网络战场:在你的内网中超过90%的企业已经及发生过安全事件• 由“我可以在外围停止一切网络攻击” 战略性变为“我不能停止一切在外围的网络攻击。”信息安全的重点转移到了内部网络• 关键资产的主动防护• 实时检测正在进行的攻击7 70 0件 %是内部安全事件 - - 以及 是 最昂贵的• 要防止恶意和意外的内部人員
“任何人在位于特权存取,并拥有我的技术能力,就能把秘密资料找出来”
事实不言自明:你也将会受到攻击及破坏没有绝对安全 性 这样的事情攻击者时 刻 会变得更加聪明和改变战术负责 任 和持续投资在资讯科技的企业将继续受到网络安全影响100% 94% 416 100%所有的受害者已有最新的防病毒软件94%的安全事件是由第三方报告出来的416天是APT在未被发现之前已在网络内部隐藏且活跃的时间所有的安全事件会涉及被盗取的特权用户账号Mandiant, 2013
特权帐号“取得你的重要信息必由之路”核心资产一旦被入侵,所有路向都会通住特权帐号网络设备主机数据库
Systems Integration PartnersTemporary StaffCloud ServiceProvidersOff ShoreDevelopersContractorsInternal Users内部用户 外包开发者 承包商云服务供应商 临时工作人员系统集成商合作伙伴
Systems Integration PartnersExternal AttackerCloud ServicesOff ShoreDevelopersContractorsInternal UsersYou Need to Know!哪一个是攻击者? ?哪一个是授权用户?
4大关键步骤预防APT然后把特权帐号妥善地保护及管理比如最小权限控制、职责分离等控制,隔离和监测对于目标服务器和数据库 上 的特权访问使用对特权帐号的 实时分析,预警和响应 到正在进行的攻击先把企业内的特权帐号找出来
数据中心到底有多少账号操作系统ZOS/UNIX/Linux/WIN/AD安全设备网络设备数据库DB2/Oracle/MSSQLTeradata应用部署应用后台中间件WebSphere,WebLogic系统服务脚本应用内嵌的账号虚拟化管理软件• Windows的Cluster服务、计划任务、中都需要绑定域账号• 网络、安全设备中的root或者enable账号• 内部管理软件比如备份,监控等系统的管理员账号
特权账号管理要求登录会同 操作会同变更/事件/服务不合规提醒一次一密每 每90天 天修改不同于前 前7 个密码版本最近N个 个密码不在同一位置出现相同的字符特殊字符大小写密码长度
账号管理最佳实践 – 要点与难点• 使用后N小时过期• 随机密码,无人知晓,防暴力破解强化账号一次一密• 每天梳理数据中心的账号列表,审查不合规密码• 安全控制团队进入审查常态化,智能化高频度账号回顾与梳理• 管理类账号、应用内嵌类账号• 不同管理接口:zos,ssh,odbc,http,win等管理范围全面• 双因素认证• 双人会同、分段发放、不允许知晓密码• 变更管理账号使用作严格控制• 监控访问会话• 操作录像与命令行回溯账号使用监控• 尽量减少使用特权• 特定任务不允许使用特权,或将所需特权剥离出账号最小权限原则
目 目 录海颐公司介绍特权账号安全管理的背景海颐特权账号安全管理系统介绍其他介绍
账号建立使用申请与审批账号使用 账号审计账号回收 1、把用户作为一种特殊而关键的资产,具有资产属性特征的生命周期; 2、建立统一的安全管理机制,逐步覆盖所有重要用户,实现对用户从生成到注销的全生命周期监控与审计; 3、利用PDCA思想,建立整个生命周期管理过程,覆盖特权账号管理的各个环节。(计划、执行、检查、行动)解决方案思路
网络设备特权账号的主动保护,监控,响应特权账号主动保护• 只有授权的用户可以使用• 责任到人• 权限最小化定向监控• 24小时不间断地监控• 特权账号恶意行为检测• 高风险活动报警工业控制系统Hypervisors数据库/应用系统终端设备社交媒体实时响应• 特权会话终止• 特权账号使用情况可以做为证据外部访问内部访问者外部访问外部访问内部访问者外部访问内部访问者1、建立用户台账;2、安全责任落实;3、自动策略合规;4、操作全程监控;5、快速审计溯源;6、特权威胁分析;
主要提供以下功能: 1、用户自动发现(资产盘点) 2、用户列表(资产清单) 3、用户变更报告(资产变化) 4、可视化用户分布图(资产位置)建立特权用户台账
主要提供以下功能: 1、统一门户,单点登录,防止绕行; 2、责任到人:主账号与自然人的唯一性关联,确保责任落实; 3、责任变更:随同人员岗位变更、工作职责变更、离职等情况,用户进行相应变更或回收。安全责任落实
主要提供以下功能: 1、密码进行集中托管,使密码远离滥用泄露; 2、密码进行自动更改,满足安全和合规要求; 3、关键操作实现双人会同,分段密码; 4、所有密码操作留痕,满足合规性审计要求; 5、用户权限应用级命令级细粒度管理,实现权限最小化自动的策略合规性
主要提供以下功能: 1、操作会话从建立到中断被全程监控,并有详细操作留痕; 2、实时监控,高危命令告警与提示; 3、无论命令行还是图形界面操作,都可以细化到命令级别的日志记录; 4、对于脚本执行操作,识别并记录脚本中的命令; 5、对操作的录像记录要进行细化分段,以利于审计;操作全程监控
主要提供以下功能: 1、防篡改的详细审计日志 2、能够通过关键字段快速地查找到相关的日志记录和操作录像; 3、支持丰富的自定义审计报告和图形展现。快速的溯源
主要提供以下功能: 1、自动学习特权操作行为特征并建模(基于时间、位置、操作命令等的多维度关联); 2、对异常高权限...
A、控制器之一离线 B、RAID重构 C、BBU离线 D、热备盘故障 答案:ABC2.关于 Telnet的描述中,正确的是()
A、可以使本地主机成为远程主机的仿真终端 B、利用 NVT屏蔽不同主机系统对键盘解释的差异 C、主要用于下载远程主机上的文件 D、客户端和服务器端需要使用相同类型的操作系统 答案:AB3.针对 Linux主机,一般的加固手段包括()。
A、打补丁 B、关闭不必要的服务 C、限制访问主机 D、切断网络 答案:ABC4.RMAN是 Oracle常用的备份工具,下列哪些文件可以使用 RMAN工具进行备份? 1
A、A.pfileB、B.spfileC、C.控制文件 D、D.归档日志 答案:BCD5.审核是网络安全工作的核心,下列应用属于主动审核的是:()
A、Windows事件日志记录 B、数据库的事务日志记录 C、防火墙对访问站点的过滤 D、系统对非法链接的拒绝 答案:CD6.当一台主机从一个网络移到另一个网络时,以下说法不正确的是 A、必须改变它的 IP地址和 MAC地址 B、必须改变它的 IP地址,但不需改动 MAC地址 C、必须改变它的 MAC地址,但不需改动 IP地址 D、MAC地址、IP地址都不需改动 答案:ACD7.以下的网络分类方法中,哪几组分类方法正确()。
A、局域网/广域网 B、对等网/城域网 C、环型网/星型网 D、有线网/无线网 2
答案:ACD8.下列哪些文件是 Oracle启动时必须的? A、A.日志文件 B、B.控制文件 C、C.数据文件 D、D.归档文件 答案:BC9.操作系统中引入缓冲技术的目的是为了()。
A、缓冲 CPU和 I/O设备间速度不匹配的矛盾 B、减少对 CPU的中断频率,放宽对蓄洪大响应时间的限制 C、减少 CPU对 I/O控制的干预 D、提高 CPU和 I/O设备之间的并行性 答案:ABD10.在下列给出的协议中,()是 TCP/IP的应用层协议。
A、HTTPB、SNMP(简单邮件传输协议)
C、SMTP(简单网络管理协议)
D、ICMP(网络层的)
答案:ABC11.网络上“黑客”不是指()的人。
A、匿名上网 B、总在晚上上网 3
C、在网上私闯他人计算机系统 D、不花钱上网 答案:ABD12.一个普通用户被授予了 DBA角色,那么他有权限做什么操作?()
A、查看 dba_数据字典 B、导入导出数据库 C、启动关闭数据 D、对数据库执行 rman备份 答案:ABCD13.IT系统病毒泛滥的主要原因有哪些?()
A、主机和终端防病毒软件缺乏统一管理 B、主机和终端防病毒软件没有设置为自动更新或更新周期较长 C、防病毒服务器没有及时更新放病毒库 D、缺乏防病毒应急处理流程和方案 答案:ABCD14.下面协议中,不用于传输控制的是()。
A、URLB、SMTPC、HTTPD、HTML答案:ABD4
15.与传统的本地存储和 DAS存储相比较,下列哪些属于现代新型 SAN阵列存储 的主要特点或优势?()A、容量大 B、性能高 C、稳定性好 D、不关注扩展性 答案:ABC16.关于虚拟局域网的描述中,错误的是()
A、虚拟局域网概念来自于无线网络 B、建立在交换式局域网的基础上 C、IP地址不能用于定义 VLAND、MAC地址可用于定义 VLAN答案:AC17.客户访问 FTP服务器时出错,检查发现服务器与客户端之间的连通性没有问 题,则有可能是哪些服务器端口被堵塞而导致的问题?A、A.21B、B.80C、C.20D、D.823答案:AC18.rpm主要功能有那些 A、A.安装软件 5
B、B.查询软件 C、C.升级软件 D、D.卸载软件 答案:ABCD19.因特网的核心部分(通信子网)包括()。
A、物理层 B、数据链路层 C、网络层 D、传输层(通信子网和资源子网的接口)
答案:ABC20.中间件调优过程中涉及的方面有()
A、JVM内存 B、线程数量 C、操作系统共享内存大小 D、文件系统大小 答案:ABD21.在 TCP数据包中,TCP报头中包括的信息有:A、源地址和目的地址 B、Telnet协议和 FTP协议 C、区分是 TCP或 UDP的协议 D、传输数据的确认 答案:AD6
22.防火墙的特征是()。
A、保护脆弱和有缺陷的网络服务 B、加强对网络系统的访问控制 C、加强隐私,隐藏内部网络结构 D、对网络存取和访问进行监控审计 答案:ABCD23.选购一个防火墙时应该考虑的因素有:()
A、网络受威胁的程度 B、可能受到的潜在损失 C、站点是否有经验丰富的管理员 D、未来扩展的需要 答案:ABCD24.下列关于 IPv4地址的描述中哪些是错误的? A、IP地址的总长度为 32位 B、每一个 IP地址都由网络地址和主机地址组成 C、一个 C 类地址拥有 8 位主机地址,可给 256台主机分配地址 D、类地址拥有最多的网络数 答案:CD25.与传统物理架构相比,采用服务器虚拟化的优势有哪些()
A、易于移动和复制 B、与其他虚拟机相互隔离,易于管理 C、可以支持旧版的应用程序 7
D、实现服务器的整合 答案:ABCD26.下列关于 NAT地址转换的说法中哪些事正确的:()。
A、地址转换技术可以有效隐藏局域网内的主机,是一种有效的网络安全保护技 术 B、地址转换可以按照用户的需要,在局域网内向外提供 FTP、、Telnet等服务 C、有些应用层协议在数据中携带 IP地址信息,对它们作 NAT时还要修改上层数 据中的 IP地址信息 D、对于某些非 TCP、UDP的协议(如 ICMP、PPTP),作上层 NAT时,会对它们 的特征参数(如 ICMP的 id参数)进行转换。
答案:ABCD27.《网络安全法》确定了()等相关主题在网络安全保护中的义务和责任。
A、国家 B、主管部门 C、网络运营者 D、网络使用者 答案:ABCD28.通过 SSLVPN接入企业内部的应用,其优势体现在哪些方面:()。
A、应用代理 B、穿越 NAT和防火墙设备 C、完善的资源访问控制 D、抵御外部攻击 8
答案:ABCD29.防火墙的日志管理应遵循如下原则:()
A、本地保存日志 B、本地保存日志并把日志保存到日志服务器上 C、保持时钟的同步 D、在日志服务器保存日志 答案:BC30.以下关于 OSI参考模型和 TCP/IP参考模型说法错误的是()
A、TCP/IP参考模型是对 OSI参考模型进行了相应的合并形成的 B、TCP/IP模型是在协议开发之前设计出来的,因而它具有通用性 C、OSI参考模型和 TCP/IP参考模型的层次不同,但都有网络层、表示层和应用 层 D、TCP/IP与 OSI相比显得简洁清晰,效率比较高 答案:BCD31.一个密码体系一般分为以下哪几个部分?()
A、明文 B、加密密钥和解密密钥 C、密文 D、加密算法和解密算法 答案:ABCD32.信息高速公路的通信媒体包括()。
A、A.飞机 9
B、B.110系统 C、C.卫星 D、D.D.微波 答案:CD33.在使用浏览器与 Internet.上的主机进行通信时,需要指出或隐含指出哪些 信息 A、协议类型 B、B 主机名或 IP地址 C、代理服务器 D、端口号 答案:ABD34.当前,在因特网上已经出现的、对社会的负面影响有()。
A、A.网上诈骗 B、B.破坏信息系统 C、C.走私香烟 D、D.传播色情及其他违法信息 答案:ABD35.下列数据库模型中,具有坚实理论基础的是()。
A、层次模型 B、网状模型 C、关系模型 D、面向对象模型 10
答案:ABC36.网络攻击的类型包括以下哪几种?()
A、窃取口令 B、系统漏洞和后门 C、协议缺陷 D、拒绝服务 答案:ABCD37.Wlan加密方式有:()
A、WEPB、WAPC、WPA2D、WPA2-PSK答案:ABCD38.对于 Linux系统目录的操作,可以实现的是()
A、批量递归设置目录及目录下的子目录和文件权限 B、用 rmdir命令及相关参数删除配置文件 C、通过一条命令创建一个父目录+两个子目录,形成双层目录结构 D、动态显示文件的前十行 答案:AC39.下面对 OSI参考模型中物理层的描述,错误的是()。
A、物理层的主要功能是实现在不可靠的物理线路上进行可靠的数据传输 B、物理层位于 OSI参考模型的最下层 11
C、物理层的数据格式是报文 D、物理层的主要功能是完成相邻节点之间原始比特流的传输 答案:AC40.互联网连接防火墙设备的安全策略配置要求包括哪几点()。
A、远程登录是否禁止 telnet方式 B、最后一条策略是否是拒绝一切流量 C、是否存在允许 anytoany的策略 D、是否设置了管理 IP,设备只能从管理 IP登录维护 答案:ABCD41.对系统配置文件进行修改前,为防止意外,先备份一份配置文件。以下可行 的方法有()
A、使用 cp命令复制一份 B、使用打包压缩命令额外打包一份 C、使用 mv命令重命名文件 D、使用 vim编辑器打开修改后保存 答案:AB42.以下哪些是局域网连接时所需的设备:A、计算机 B、调制解调器 C、网卡 D、音箱 答案:AC12
43.HASH加密使用复杂的数字算法来实现有效的加密,其算法包括()
A、MD2B、MD4C、MD5D、Cost256答案:ABC44.造成操作系统安全漏洞的原因是()。
A、不安全的编程语言 B、不安全的编程习惯 C、考虑不周的架构设计 D、人为的恶意破坏 答案:ABC45.关于远程登录(TELNET),以下说法中()是正确的 A、TELNET服务器端默认开放的端口号是 23B、远程登录利用传输层的 TCP协议进行数据传输 C、利用远程登录提供的服务,用户可以使自己的计算机暂时成为远程计算机的 一个仿真终端 D、为了执行远程登录服务器上的应用程序,远程登录的客户端要使用与服务器 相同类型的操作系统 答案:ABC46.进程和线程都是操作系统中作为独立运行的基本单元,关于两者区别描述正 确的有()
13
A、线程作为调度和分配的基本单位,进程则是拥有资源的基本单位 B、创建或撤销进程时,由于系统都要为之分配和回收资源,导致系统开销明显 地大于创建或撤销线程时的开销 C、线程可以创建另一个线程,同一个进程中的多个线程可并发执行 D、进程是拥有资源的一个独立单位,线程不拥有资源,但可访问隶属于进程的 资源 答案:ABCD47.下列关于光纤通信系统的描述中,正确的是()。
A、光纤只能单向传输信号,因此要实现双向数据通信,必须成对出现 B、线路损耗低,传输距离远 C、抗干扰能力强,安全性和保密性好 D、目前使用的光纤大多采用二氧化硅制成,抗化学腐蚀能力和机械强度都很强 答案:ABC48.对于使用 RPF反向地址验证,以下说法错误的是:()。
A、对称路由可以使用 B、非对称路由可以使用 C、有些情况不可以使用,但与对称或非对称路由无关 D、在任何情况下都可以使用 答案:BCD49.关于 vmtools,下列说法正确的是 A、A.可以实现主机与虚拟机之间的时间同步 14
B、B.可以捕获光标,在未安装 vmtools之前,若想从虚拟机中释放光标,可以 按 Ctrl+EscC、C.安装后,更新显卡驱动,提升了图像显示能力 D、D.需要现在独立的安装包再安装到每一台虚拟机中 答案:AC50.《网络安全法》的意义包括()
A、落实党中央决策部署的重要举措 B、维护网络安全的客观需要 C、维护民众切身利益的必然要求 D、参与互联网国际竞争和国际治理的必然选择 答案:ABCD51.把网络 202.112.78.0 划分为多个子网(子网掩码是 255.255.255.192), 则各子网中可用的主机地直总数不可能是()。
A、254B、252C、128D、124答案:ABC52.防火墙可以部署在下列位置:()。
A、安全域边界 B、服务器区域边界 C、可信网络区域和不可信网络区域之间 15
D、根据网络特点设计方案 答案:ABCD53.入侵检测系统包括以下哪些类型?()
A、主机入侵检测系统 B、链路状态入侵检测系统 C、网络入侵检测系统 D、数据包过滤入侵检测系统 答案:AC54.在 WeblogicServer中定义 machine可以起到以下哪些作用? A、A.在配置 loadbalance时需要 B、B.在部署应用时需要 C、C.在配置 NodeManager时需要 D、D.在配置 managedserver时需要 答案:AC55.下列对 DNS记录的描述哪些是正确的:()
A、A 记录将主机名映射为 IP地址 B、MX记录标识域的邮件交换服务 C、PTR记录将 IP地址指向主机名 D、NS记录规定主机的别名 答案:ABC56.防火墙的缺陷主要有()。
A、限制有用的网络服务 16
B、无法防护内部网络用户的攻击 C、不能防备新的网络安全问题 D、不能完全防止传送已感染病毒的软件或文件 答案:ABCD57.下面是网络安全技术的有:()
A、防火墙 B、防病毒 C、PKID、UPS答案:ABC58.下列网络设备中,不属于通信子网的是()。
A、工作站 B、终端 C、服务器 D、交换机 答案:ABC59.下列关于 Vcenter6.0,说法正确的是()
A、每个 vCenterServer实例最多可管理 1,000台主机 B、可以通过 vclient连接到 vcenter,也可以通过 web连接对 vcenter进行管 理 C、Vcenter具有可选插件,可以帮助我们对 vcenter进行扩展 D、Vcenter对服务器配置有一定要求,其中内存需在 4G以上 17
答案:ABC60.网络面临的典型威胁包括()。
A、未经授权的访问 B、信息在传送过程中被截获、篡改 C、黑客攻击 D、滥用和误用 答案:ABCD61.综合业务数字数据网的特点不包括()。
A、电视通信网 B、频分多路复用 C、模拟通信 D、实现文字、数字、声音与图像等的一体化传输 答案:ABC62.以下地址()不是表示一个网卡的物理地址(MAC地址)。
A、192.168.63.251B、19-23-05-77-88C、01.12.FBD、50-78-4C-6F-03-8D答案:ABC63.传输层不可以通过()标识不同的应用。
A、物理地址 B、端口号 18
C、IP地址 D、逻辑地址 答案:ACD64.某公司的工作时间是上午 8 点半至 12点,下午 1 点至 5 点半,每次系统备份 需要一个半小时,下列不适合作为系统数据备份的时间是()。
A、上午 8 点 B、中午 12点 C、下午 3 点 D、凌晨 1 点 答案:ABC65.Linux的 swap可以来自于()
A、分区 B、软件包 C、挂载点 D、单个文件 答案:AD66.IT系统维护人员权限原则包括()。
A、工作相关 B、最大授权 C、最小授权 D、权限制约 答案:ACD19
67.WindowsServer中,在下列哪些情况下,客户端会使用备用 DNS解析 A、A.首选 DNS服务器上返回“权威否”结果 B、B.首选 DNS服务器上没有相应记录 C、C.首选 DNS服务器宕机 D、D.首选 DNS服务器无法通过网络连接到 答案:CD68.对于基于主机的虚拟化技术,下列说法正确的是:()
A、使服务...
大连理工大学学位论文独创性声明作者郑重声明:所呈交的学位论文,是本人在导师的指导下进行研究工作所取得的成果。尽我所知,除文中已经注明引用内容和致谢的地方外,本论文不包含其他个人或集体已经发表的研究成果,也不包含其他已申请学位或其他用途使用过的成果。与我一同工作的同志对本研究所做的贡献均已在论文中做了明确的说明并表示了谢意。若有不实之处,本人愿意承担相关法律责任。邃里查!垫萋耋丛塑监丘堂皇堡立垒塑学位论文题目:作者签名:—————望乒盏』L日期:二业年—厶月_≥日
大连理工大学专业学位硕士学位论文摘要随着信息技术的飞速发展,人们在日常生活中要处理的信息越来越多。信息的存储和传递是人们面对的一个新的巨大挑战。云存储作为一种新兴的存储方式,具有容量高,稳定性高,容错性高,数据易于分享等特点,满足了人们对于储存的要求,正在越来越多的被使用。本文设计了一款基于云存储的实时同步客户端。本文主要介绍了云存储客户端的应用背景,对云存储客户端进行了需求分析,并着重介绍了客户端的模块架构和具体的实现。在客户端的实现中,我们主要描述了如下的技术要点:使用l i nux内核中的i noti fy机制监控用户文件夹的方法;使用sel ect系统调用中的延时机制对用户操作和系统的文件变化事件进行了判断;使用两个队列对i noti fy监控到的事件消息进行了处理和优化;使用TCP的长连接和短连接和服务器进行通信,传递文件变动的事件消息和文件内容;使用心跳包技术判断客户端和服务器之间连接的可用性,在连接断开时将用户自动下线;利用l i nux中的信号机制,对于异常状况进行处理;使用版本号对服务器和各个不同pc机上的客户端的文件结构进行版本控制和同步;保证用户进行单点登陆:使用Q t图形界面设计框架设计用户U I界面。本文设计的客户端可以应用于内核版本为2.6以上的l i nux操作系统,可以自动的监控用户文件,同步用户文件。经过测试,本文设计和实现的云存储客户端可以稳定的为用户提供云存储服务。本文所设计的云储存软件现在已经作为开源项目托管于googl ecode上,可供广大爱好者使用和学习研究。关键词:云存储;1 i nux客户端;实时同步;i not i fy
实时同步云存储客户端的设计与实现D esi gnandIm pl em entati onof a Real - ti m eSynchroni zati onCl oudStorageCl i entAbstractW i th therapi d devel opm entof i nform ati ontechnol ogy,theam ont of i nform ati onpeopl eprocess everydayi shi gherandhi gher.The Stom geanddel i veryof i nform ati onbri ngsa newandbi g chal l engetopeopl e.Asa novel storage,cl oud storagehas theadvantagesofhi ghcapaci ty,hi gh stabi l i ty,hi ghfaul t tol erance,and shari ngdataeasi l y.Cl oud storagehas beenm ore andm orepopul ardue to the above characteri sti cs.Thi spaper desi gnsa real .ti m e synchroni zati oncl i ent based on cl oudstorage.Thi spaperi ntroducestheappl i cati on background,thearchi tecture and detai l edi m pl em entati onofdescri be som ei m portant techni quesas fol l ow s:the m ethod ofm oni tori nguser’thei noti fym echani smi n Li nuxkernel ;j udgi nguser’ s acti ons and fi l echangeeventsusi ngdel aym echani sm ofm essages usi ngtw oqueue;transferri ngthem essageevents of fi l e changeand fi l e content tothe serverconnecti on betw een cl i ent and server byheartbeat m echani sm ;excepti on handl i ng by them echani smi n Li nux;versi on control andsynchroni zati onto the di fference of thefi l e structure on the server anddi fferent PCcl i ent;si ngl e-poi nt l andi ng;desi gni ngthe user’ si nterfaceby Q t graphi calfram ew ork.m ai l l l yrequi rem entanal ysi s,the m odul ethi s cl i ent.In thei m pl em entati on phase,w eS fol derusi ngthe‘ sel ect’ system cal l ;processi ngandopti m i zati onoftheeventusi ngthe TCPl ong and short connecti ons;checki ngthe aVai l abi l 埘ofthesi gnalThe cl i enthi gher,autom ati cal l y m oni tori ngandsynchroni zi nguser’ s fi l es.Theexperi m entalshow 也atstoragesoftw are has been anopen—source proj ecti scapabl eofrunni ngon Li nuxoperati ng systemw i th kernel versi on2.6orresul tsthi s new cl i ent Canprovi destabl e cl oudstorage servi ce.M oreover,tm Scl oudonG oogl eCode for usageand furtheri m provem ent.KeyW ords:Cl oudStorage;Li nux Cl i ent;Real · ti m e Synchroni zati on;Inoti fy
大连理工大学专业学位硕士学位论文目录摘要⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ .IAbstract⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ..II1绪论⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯11.1研究背景⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ l1.2课题意义⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ 21.3论文的主要工作⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ 21.4论文的组织结构⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ 32相关技术介绍⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ..42.1云存储技术介绍⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ 42.2现有云存储软件介绍⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ 52.3i noti fy技术介绍⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ 62.4rsync同步算法介绍⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ..8需求分析⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ 1233.1系统功能需求分析⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ .123.2系统性能需求分析⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ .143.3开发与运行环境⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ .154系统设计⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ .164.1系统层次结构⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ .164.2系统处理流程⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ .174.3系统模块结构⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ .184.4系统类设计⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ .20Ul control l er类⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.204.4.14.4.2W atcher类⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.21Processer类⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯224.4.34.4.4Connector类⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.235系统实现⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ 255.1用户交互模块⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ .255.1.1用户登录界面子模块⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ..255.1.2托盘图标子模块⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ..255.1.3徽标控制子模块⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ..265.1.4用户交互模块各子模块协作关系⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ..27
实时同步云存储客户端的设计与实现5.2监控模块⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ .285.3处理模块⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ .305.3.1文件消息优化处理子模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一305.3.2文件同步子模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..37版本控制子模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..405.3.35.3.4用户在线状态处理子模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一425.3.5异常状况的处理子模块⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ..455.4通讯模块⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ .46同步消息传递子模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..465.4.15.4.2心跳包子模块⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ..496系统的测试⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ 526.1文件同步事件测试⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ .526.2版本控制测试⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ .55用户下线后对文件结构的处理的测试⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯.566.36.4对异常情况的处理的测试⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ .57结论⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..58参考文献⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ 60致{射⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯..62大连理工大学学位论文版权使用授权书⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ⋯ ..63
大连理工大学专业学位硕士学位论文1绪论1.1研究背景信息技术的高速发展改变了人们的生活方式,信息在人们的生活中扮演了越来越重要的角色,信息的存储,传递和展现是当今社会人们面临的巨大挑战。目前,随着数字化的发展,信息数据处于极速膨胀状态,并且信息量还在呈每年递增趋势。信息数据的快速增加,给传统的存储系统带来了巨大的挑战。大容量,高可靠性,高扩展性,高通用性是对存储系统的最新要求。随着对存储系统要求的提高,存储系统经历了从本地存储,分布式存储【l 】到云存储【2】的发展。( 1) 本地存储本地存储是指直接将存储设备连接到使用的主机上。这种存储方式是最直接的存储方式,中间环节少,存储成本低,存储速率快。但是这种存储方式的扩展性较低,但对存储容量有较高要求时,比较容易出现存储容量上的瓶颈。而且本地存储会导致数据备份麻烦,受硬件系统故障的影响也比较大,数据的容错率较低。( 2) 分布式存储与传统的集中式存储不同,分布式存储并不是将数据存储在某一台固定的存储节点上,而是通过网络使用网络中每一个存储节点中的磁盘空间,将这些分散的存储节点整合成一个虚拟的存储设备。由于每台存储节点都可以进行数据的存储,因此分布式存储的容量比较大。在分布式存储中,可以有多台服务器担任服务器的角色,协同工作,分担服务器压力,因此,并不要求每一台服务器拥有很高性能,在服务器的价格上具有优势。分布式系统不但提高了系统的可靠性、可用性和存取效率,还易于扩展。但是病毒容易在分布式系统中扩散,带来致命的后果,并且分布式存储的数据备份也存在一定困难【31。( 3) 云存储云存储是在云计算【4J 在存储上的一种新的展现形式。云存储是采用了云计算技术,将物理上分散的存储介质整合在一起,为用户提供存储服务【51。云存储的用户并不知道自己的数据被存在那一块物理存储介质上,对用户来说,存储端就像一团云,可以向其中存储和读取数据,而并不需要知道存储端的具体结构。在云存储中,分布式系统,负载均衡等理念被合理运用,云存储拥有高稳定性,用户透明,扩展性高等优势【61。
实时同步云存储客户端的设计与实现由于云存储具有众多优点,目前,云存储已经越来越多的被使用,在目前的信息化飞速发展的趋势下,云存储仍然会是未来研究的重点,云存储将会给我们的生活带来巨大的便捷,提高我们的生活质量。1.2课题意义云存储正越来越多的被运用到人们的日常生活和学习中。目前市场上的云存储服务也越来越多,如dropbox[ 7] ,金山快盘,百度网盘等。dropbox等国外的软件由于其服务器...
PowerPoint 文件文件类型文件类型扩展名扩展名演示文稿.ppt演示文稿.pptx启用宏的演示文稿.pptm模板.pot模板.potx启用宏的模板.potm播放.pps播放.ppsx启用宏的播放.ppsmOffice 主题.thmx 注释 在将这些文件类型附加到 Office Outlook 2007 中的权限管理电子邮件中时,也将同时对它们进行自动权限管理。•在将消息 (.msg) 文件附加到权限管理电子邮件中时,不会对该附加的消息进行权限管理。IRM 不对 .msg 文件类型进行权限管理。•配置计算机以便使用 IRM要在 2007 Office 版本中使用 IRM,至少需要软件 Windows Rights Management Services (RMS) 客户端 Service Pack 1 (SP1)。如果使用运行 Windows Vista 的计算机,则已经安装了 Windows Rights Management Services (RMS) 客户端。如果使用运行 Windows XP 的计算机,则必须由您或您的 RMS 管理员在计算机上安装 Windows Rights Management Services (RMS) 客户端 Service Pack 1 (SP1)。RMS 管理员可以配置特定于公司的 IRM 策略,这些策略规定了哪些人员可以访问信息,以及针对某个电子邮件所允许的编辑级别。例如,公司管理员可以定义一个称为“公司机密”的权限模板,其中规定了使用该策略的电子邮件只能由公司范围内的用户打开。安装 Windows Rights Management Services (RMS) 客户端在 Windows XP 中,单击“开始”按钮,然后单击“控制面板”。1.单击“添加或删除程序”,然后单击“添加或删除程序”。在左窗格中,单击“添加新程序”。从程序列表中,单击“Windows Rights Management Services 客户端”,然后单击“添加”。2. 注释
在经典视图中,双击“添加或删除程序”,然后在左窗格中单击“添加新程序”。从程序列表中,单击“Windows Rights Management Services 客户端”,然后单击“添加”。或者,当您首次尝试打开通过 IRM 进行权限管理的文件时,如果您运行的计算机上未安装 Windows Rights Management Services 客户端,则 2007 Office 版本会提示您下载该软件。有关 Windows Rights Management Services 客户端的详细信息,请访问 Windows Rights Management Services 网站。下载权限第一次试图打开具有受限权限的文档、工作簿或演示文稿时,您必须连接到授权服务器以验证您的凭据并下载使用许可证。使用许可证定义了您对某个文件的访问权限级别。对于具有受限权限的每个文件,此过程是必需的。也就是说,如果没有使用许可证,就无法打开具有受限权限的内容。下载权限要求 Microsoft Office 将您的凭据(包括您的电子邮件地址)以及有关权限的信息发送到授权服务器。文档中包含的信息不会发送到授权服务器。有关详细信息,请阅读隐私声明。限制对文件中的内容的权限作者可以基于每位用户、每个文档或每组(基于组的权限需要 Microsoft Active Directory 目录服务以进行组扩展)限制对文档、工作簿和演示文稿的权限。作者使用“权限”对话框授予用户“读取”和“更改”访问权限,还可以设置内容的到期日期。例如,作者 Ranjit 可以授予 Helena 读取文档的权限,但不向其授予更改文档的权限。另外,Ranjit 可以授予 Bobby 更改文档以及保存文档的权限。Ranjit 还可以决定将允许 Helena 和 Bobby 访问此文档的时间限制为五天,五天后他们对文档的权限就会过期。有关设置文档到期日期的信息,请参阅设置文件的到期日期。页码,2/42007 Microsoft Office system 中的信息权限管理 - Word - Office.com2012-11-21http://office.microsoft.com/zh-cn/word-help/HA010102918.aspx
保存文档、工作簿或演示文稿。1.单击“Office 按钮” ,指向“准备”,指向“限制权限”,然后单击“不能分发”。2.选中“限制对此文档的权限”复选框,然后为每个用户指定所需的访问级别。3.如果管理员设置了个人无法更改的自定义权限策略,则您的选项可能会受到限制。权限级别读取读取
具有“读取”权限的用户可以读取文档、工作簿或演示文稿,但不具有编辑、打印或复制权限。•更改更改
具有“更改”权限的用户可以读取、编辑和保存对文档、工作簿或演示文稿的更改,但不具有打印权限。•完全控制完全控制
具有“完全控制”权限的用户具有全部创作权限,可以对文档、工作簿或演示文稿执行作者能够执行的所有操作。例如,设置内容的到期日期,防止打印以及授予用户权限。授权用户的文档权限到期后,只有文档作者或具有文档“完全控制”权限的用户可以打开该文档。作者始终具有“完全控制”权限。•要授予某人“完全控制”权限,请单击“其他选项”,然后在“访问级别”列中单击箭头,然后单击“更改”列表中的“完全控制”。4. 指定权限级别后,单击“确定”。5.将显示文档操作栏,指示该文档受权限管理。如果您需要对该文档进行任何访问权限更改,请单击“更改权限”。
如果将具有受限权限的文档转发给未经授权的人员,将出现一条显示作者的电子邮件地址或网站地址的消息,以使此人可以申请该文档的权限。
如果作者选择不包含电子邮件地址,则未经授权的用户只会看到一条错误消息。设置文件的到期日期打开文件。1.单击“Office 按钮” ,指向“准备”,指向“限制权限”,然后单击“不能分发”。2.选中“限制对此文档的权限”复选框,然后单击“其他选项”。3.在“用于用户的附加权限”下,选中“此文档的到期时间”复选框,然后输入一个日期。4.单击“确定”两次。5.页码,3/42007 Microsoft Office system 中的信息权限管理 - Word - Office.com2012-11-21http://office.microsoft.com/zh-cn/word-help/HA010102918.aspx
使用其他 Windows 用户帐户对文件进行权限管理打开文档、工作簿或演示文稿。1.单击“Office 按钮” ,指向“准备”,指向“限制权限”,然后单击“管理凭据”。2.请执行下列操作之一:
3.在“选择用户”对话框中,选择要使用的帐户的电子邮件地址,然后单击“确定”。•在“选择用户”对话框中,单击“添加”,键入新帐户的凭据,然后单击“确定”两次。• 查看具有受限权限的内容若要使用 2007 Office 版本查看您具有权限的受权限管理的内容,只需打开文档、工作簿或演示文稿即可。如果要查看您拥有的权限,请单击消息栏中的“查看权限”,或单击屏幕底部状态栏上的按钮。
网站目录与我们联系提交反馈法律条款商标隐私和 Cookie辅助功能© 2012 Microsoft Corporation。保留所有权利。 页码,4/42007 Microsoft Office system 中的信息权限管理 - Word - Office.com2012-11-21http://office.microsoft.com/zh-cn/word-help/HA010102918.aspx
。这时我们很无奈。经过我的一番思考,找到一个偏方,虽然也达不到我的要求,但已经是我所知道的最好方法了。
有以下三个优点优点:
1.另存为时不必每次都更改保存类型; 2.可以通过设置将文件保存到自己经常用到的或想用到的文件夹中,而不是每次都默认另存为到文档库中还得自己更改 3.不必更改‘文件’ , ‘选项’中‘保存’的设置,不影响保存为 office2010 版格式。若想要保存为若想要保存为 office2010 版本的格式时,可以直接新建,而不必版本的格式时,可以直接新建,而不必通过以下步骤!通过以下步骤!
具体步骤:具体步骤:
在经常放入 word,ppt,excel 等文件的文件夹下分别新建一个文件,文件名以及扩展名(即格式)使用默认:
然后分别打开文件,进行以下操作:
1. (以建立 ppt 文件为例)点击左上角“文件” ,点击‘另存为’ ,仅仅更改‘保存类型’为自己经常用到的类型,例如更改为, 其他不动,点击‘保存’
Word 和 excel 亦如此。
2. 此时“经常建立 word,ppt,excel 等文件的文件夹”中有六个新建文件(三个扩展名有 x,三个无 x)
,将一开始建立的格式分别为 .docx
.pptx
.xlsx 的三个文件删除,
3. 再将后来另存为的三个文件分别建立快捷方式,将快捷方式放在你喜欢的地方(我放到桌面文件夹中了)
,
最后将另存为的三个扩展名中无 x 的文件的属性设为隐藏(隐藏仅为了方便好看,当然可以不设置)
。
4. 此时,若要建立扩展名为 ppt 的新文件,仅需打开快捷方式‘新建 Microsoft powerpoint 演示文稿.ppt’即可。
5. 写完内容后,点击‘文件’ , ‘另存为’ ,我们看到保存类型默认为 ppt 格式,不必再修改,
写入文件名,
保存(可以自由选择要保存到的文件夹)
,关闭快捷方式,新建的文件保存到指定的文件夹中!我们看到文件扩展名为 ppt 而不是 pptx!
word 以及 excel 步骤相同。完毕!
以后再写文件时,只需按照 4,5 两步即可完成任务!
倘若你喜欢直接在某文件夹中建立文件,而且你经常在此文件夹中建立文件,那么,只需做到前两步就 OK 了!写文件时,写完后直接另存为,默认是存在当前文件夹中的(快捷方式是直接另存为到其原文件所在文件夹中)!
若想要保存为 office2010 版本的格式时,可以直接新建,而不必通过快捷方式和另存为步骤!
在当今的商业环境中 我们期待从办公软件获得更多应用 而不仅仅是发送和接收电子邮件、排版文档、 制作电子数据表和创建幻灯片展示。
我们还想要一种方式来保护文件免受未认证的访问恶意代码的渗透以及与我们共享文件的人的滥用。
在现代网络应用中 有很多安全机制帮助保护我们的文件。
防火墙帮助阻止来自文件存储网络入侵者的访问。防病毒程序检查文档和电子邮件信息防止病毒和其他 malware。
IPSec 能够用于加密数据以便当其在跨网络移动中被捕获时无法被查看。访问控制、文件层许可、和 EFS 加密用于阻止机构中未经认证的人获得访问文件的权限。
但是最安全的战略是一种多层方式 层数越多越好。
内置入现代操作系统的安全机制和网络层保护对于拥有额外保护的内置应用程序的也毫无害处。Microsoft Office 2007 拥有几个数据保护性能可以帮助保护 Microsoft Word, Excel 和 PowerPoint 创建文件的机密性和完整性。在本文中我们将讨论 ◆如何使用文档加密术来设置文档的密码保护。
◆如何限制文档的格式化和编辑。
◆如何使用数字签名来确保文档和信息在传输过程中未被更改。
在下篇文章中我们将解释 ◆如何使用信息权利管理(IRM)来防止文档和信息收件人复制或保存它们或将其发送给其他人。
◆如何在向其他人发送文档前核查隐藏的个人信息。
◆如何使用 Trust Center 来保护你的隐私保护文档远离有害内容。
文档加密/密码保护 因为密码保护薄弱 Office 2003 中的密码保护经常受到批评。尽管其使用 128 位密钥的RC4 流密码但向量初始化IV和相同的密钥流在每次被用于加密文档。这意味着电脑
黑客能够通过比较两个密码保护文件的版本来破译密码。没有黑客技能破解也没有问题。几个软件产品被市场上作为“密码恢复工具”来破译 Office 2003 密码。
Office 2007 使用高级加密标准AES包括 128 位密钥和 SHA-1 散列算法。为了加强保护你可以通过编辑注册表或使用 Group Policy 将密码长度增至 256 位。特别是当使用长而复杂的密码时会提高密码保护文件的安全度。
与先前的 Office 版本的兼容性 如果你需要与仍使用老 Office 版本的用户分享加密文件怎么办运行 Office XP 或 Office 2003 版本的用户能够打开并阅读用 Office 2007 程序加密的文件前提是 ◆他们正在运行的操作系统支持 AES (Windows XP SP2, Windows Server 2003 或 Windows Vista) 并且他们为 Word, Excel, and PowerPoint 2007 文件格式安装了 Microsoft Office Compatibility Pack。
如何在 Office 2007 加密一个文件 在 Word, Excel, 或 PowerPoint 中用密码保护加密一个文件首先要点击 Office 程序窗口左上角的 Microsoft Office 按钮。选择 Prepare然后选择 Encrypt Document如图 A 中所示。
图 A 为了加密一个文件从主 Office 标志菜单选择 Prepare。
在密码框输入一个复杂的密码至少 8 个字符包含大小写希腊字母、数字和符号如图 B 所示。根据提示将相同的密码重新输入一遍。
图 B 输入一个复杂的密码来加密文件内容。
你可以用 Office 2007 格式 (.docx, .xlsx, or .pptx)保存文件也可以用 Office 97-2003 格式(.doc, .xls, or .ppt)保存。如果你想用旧格式保存你将看到一个对话框提示你 XML 格式提供更强大的加密技术询问你是否想转换至 XML 基本格式来增强文件的安全性如图C 所示。
图 C Office 2007 XML 基本格式提供了比旧 Office 97-2003 格式更强大的加密功能。
现在当你或其他人尝试打开文件的时候一个对话框将出现提示输入密码如图 D 所示。
图 D 打开文件前你必须输入密码。
除了可以为一个文档设置文件加密密码外Office 2007 允许你设置一个文件共享密码。加密选项被称作打开密码password to open文件共享密码被称作修改密码password to modify。
为了设置一个修改密码你使用在 Save As 对话框中的 Tools这也是设置打开密码的另一种方式。就是点击 Office 标志按钮然后选择 Save As。接着在 Save As 对话框中输入文件名点击 Tools 旁边的下箭头选择 General Options如图 E 所示。
图 E 第二种设置密码的方法是在 Save As 对话框中通过选择 General Options。
在 General Options 对话框中你能够输入一个打开密码和/或一个修改密码如图 F 所示。
图 F 你能够同时设置一个打开密码和一个修改密码。
注意文件共享密码不会加密文件也不是安全措施。General Options 对话框也允许你打开 Trust Center 的 Macro Settings 部分对此我们将在本文以后讨论。
格式和编辑限制 在 General Options 对话框中点击 Protect Document 按钮可以激活格式和编辑限制 也可以从 Office ribbon 界面的 Review 标签上的 Protect Document 选择。有时你想分配一个文件给别人 但不想他们对格式做任何改动--或者想限制他们仅作某一类型的编辑比如插入注解。
你通过图 G 所示的任务窗格选择和应用格式和编辑设置。
图 G 用 Protect Document 按钮打开 Restrict Formatting And Editing 任务窗格激活格式和编辑限制。
你能够限制格式为仅限于你使用的风格如图 H 所示。
图 H 你能够仅对所选择的风格限制格式。
这阻止其他人来改变风格或直接改变文档的格式。
你也能够选择允许任何自动套用格式来不考虑格式限制来妨碍主题或计划转换和/或妨碍核心风格设置转换。选择默认这些选项都不能被激活。 如果文档包含你不接受的格式或风格你将被询问是否想去除它们。
你可以将编辑限制如下 ◆不改变只读 ◆注解 ◆填写表格 ◆跟踪更改 如果有部分文件你希望其他人能随意编辑 通过指定那些选择为无限制 或者允许特定的人来改变文档的那些部分。
这通过 Formatting And Editing 任务窗格中的 Exceptions 选项完成。
选择文档中你允许编辑的部分从 Exceptions 列表中选择 Everyone或者点击 More Users然后键入被允许编辑该部分的用户姓名。
应用这些功能你能够允许一个人来编辑文档的一部分另一个人来编辑下一部分等等。例如 你可能允许来自法律部的某人编辑处理法律问题的部分 但防止其他处理技术问题的人编辑这部分。
一旦你设置了限制和你想要的除外点击 Yes Start Enforcing Protection 按钮。接着出现 Start Enforcing Protection 对话框如图 I 所示仅用一个密码非加密或者使用用户身份验证文件被加密并且限制访问被激活来选择保护选项。
图 I 你能够仅用一个密码或用加密来加强对格式和编辑的保护。
数字签名 数字签名用于核实一个文档或信息的创建者或发送者的真实性来确保信息没有被中途截取避免内容在离开发送者后被秘密更改。这被称作文档的完整性。文档签名没有对其加密。
如何进行数字签名 数字签名使用由可信的第三方签发的数字证书该第三方被称作认证机构CA。CA 是一个服务器运行的认证服务软件例如 Windows 2000 Server 和 Windows Server 2003中的认证服务Certificate Services。CA 可以是内部的在一个公司的局域网运行的
一台电脑也可以是外部的或公共的 CA例如由 VeriSign, Thawte 和其他公司运行的。不论何种方式CA 都为用户的身份做核实和担保或者为电脑签发一个数字证书。
数字证书基于非对称或公钥的密码系统。
该证书包含用户的姓名和一个公钥 其与用户签名信息的私钥相关联以及一个系列号、截止日期和 CA 的数字签名。
与先前 Office 版本的兼容性 尽管旧的 Office 版本也支持数字签名 但它们使用一种不同的数字签名格式。
Office 2007程序使用 XMLDSig 格式使其与先前的版本不兼容。因此如果运行 Word 2003 的用户试图打开一个在 Office 2007 下签名的文档将出现一个对话框告知该用户数字签名已经遗失。
如何向 Office 2007 信息和文档添加数字签名 你可以向 Word, Excel 和 PowerPoint 2007 文档以及 Outlook 2007 电子邮件信息添加数字签名。
在 Outlook 中你可以数字签名单个的信息或者你可以将 Outlook 配置成数字签名所有对外的信息。
为了为每一个信息签名 创建信息 然后在Message标签 点击旁边的Options来打开 Message Options 对话框如图 J 所示。
图 J 点击 Security Settings 来为一个电子邮件信息添加一个数字签名。
点击 Security Settings 按钮然后选择 Add Digital Signature To This Message 复选框如图 K 所示。
图 K 你可以发送签名的纯文本信息/或请求一个 Security MIME 收据 如果你还没有一个来自你发送信息的电子邮件地址相关的数字证书 你将看到一个无效的证书警告它告诉你如何使用该账户获得数字 ID如图 L 所示。
图 L 如果你的电子邮件账户没有一个数字 ID 来使用那么你将获得一个无效的证书信息。
为一个 Word, Excel 或 PowerPoint 文件进行数字签名 你可以用以下两种方式中的一种
◆全透明地 ◆用一个签名行 一个全透明的签名提供了文档的真实性和完整性的保证不需要在文档中可见。一个Signatures 按钮显示在程序窗口底部的状况栏中。在你添加签名后文档变为只读以便其不能被更改。
为了添加一个全透明的签名 点击程序窗口左上角的Microsoft Office按钮 选择Prepare然后选择 Add A Digital Signature如图 M 所示。
图 M 从 Microsoft Office 菜单为 Word, Excel 或 PowerPoint 文件添加一个数字签名。
如果你还没有保存文档那么你要注意在你签名前必须保存它而出现的 Save As 对话框将提醒你如此做。然后出现 Sign 对话框显示将用于文档签名的用户姓名并且留出一个空白让你输入签名文档的原因如图 N 所示。如果你不想填也可以保留 Purpose处空白。
图 N 点击 Sign 按钮来为文档签名。
你可以点击 Change 按钮更改用户。只有有证书的用户名才可用。要签名文件点击 Sign按钮。将出现一个 Signature Confirmation 对话框提醒你签名已经保存在文档中。现在如果文档从这刻起被更改那么签名将无效任何打开该文档的人将被通知此影响。如果签名有问题Signatures 任务窗格将出现提示出现的问题。
在程序的状态栏中有一个红色的小飘带图表指示文档已经被签名。
你也可以向一个文档添加数字签名行以便签名者能够添加自己的数字签名。为此点击Office ribbon 界面的插入标签点击 Signature Line 按钮然后选择 Microsoft Office Signature Line。这将打开 Signature Setup 对话框如图 O 所示。
图 O 你可以在你和/或其他人能够签名文档的地方插入签名行。
在此你插入签名者的姓名、头衔和电子邮件地址以及签名者的任何特别说明。你可以在一个文档中插入多个签名行。
如果想要你可以允许签名者在签名对话框中添加注解默认不激活你可以让 Office程序自动插入签名行的日期默认激活。
签名行被插入文档如图 P 所示。
图 P 签名行被插入文档并等待用户签名。
当你双击签名行时将出现 Sign 对话框如图 Q 所示。
图 Q Sign 对话框允许签名者添加签名行。
文档签名者可以通过以下任一种方式签名文档 ◆在签名区域打字输入他/她的姓名 ◆用笔对于写字板电脑手写他/她的姓名 ◆插入包含他/她的手写签名图片的图像文件 在文档被签名后一个对话框告知你签名已经保存在文档中日期被插入如果你复选了该选项在文档中的打字输入或手写签名中如图 R 所示。
图 R 打字或手写的签名出现在文档中数字签名保存在文档中。
用 Office 2007 打开文档签名任务窗格将出现在右侧提示你文档被签名。任何改动将使签名无效红色丝带图标将出现在状态栏如图 S 所示。
图 S 签名任务窗格指示签名有效。
总结 Office 2007 中内置的几种机制可以用于保护你的文档和电子邮件信息安全。在本文中 我们了解了其中的三种 文档加密技术、 格式和编辑限制以及数字签名。
在我们的下篇文章中我们将讨论信息权利管理IRM在发送文档前为个人信息核查文档以及 Trust Center的使用。
在上一篇中我们已经讲述了 Office 2007 中的 3 项安全防护特性文档加密、限制格式和编辑以及数字签名。在这篇文章中我们将一起看看 Office 2007 中值得关注的另外 3
项安全功能信息权限管理IRM、使用文档检查对文档中的个人信息进行检查以及信任中心的使用。
信息权限管理IRM
Office 2007 中的 Word、Excel、PowerPoint 和 Outlo...
山东农业大学信息学院计算机系 本章内容 用户管理
组管理
使用用户管理器管理用户和组
2
山东农业大学信息学院计算机系 用户和组帐号概述 Linux 基于用户身份对资源访问进行控制
用户帐号:
•
超级用户 root
类似于 Windows 系统中的 Administrator 用户,非执行管理任务时不建议使用 root 用户登录系统
•
普通用户
一般只在用户自己的宿主目录中有完全权限
•
程序用户
用于维持系统或某个程序的正常运行,一般不允许登录到系统。例如:
bin 、 daemon 、 ftp 、 mail 等
3
山东农业大学信息学院计算机系
组帐号:
•
基本组( ( 私有组) )
•
附加组(公共组)
UID 和 GID :
•
UID ( User Identity ,用户标识号)
•
GID ( Group Identify ,组标识号)
root 用户的UID 的固定值为0 、root 组帐号的GID 号为固定值0
1~1000 的UID 、GID 默认保留给程序用户使用,普通用户/ 组使用的UID 、GID 号在1000 ~60000 之间
图形化的用户和组管理工具 打开方式 “系统”“管理”“用户和组群”
或命令行下运行“system-config-users”
5
图形化的用户和组管理工具 添加用户 用户名 全名 密码 登陆shell 主目录 私有组 UID GID 6
图形化的用户和组管理工具 编辑用户属性-用户数据 7
图形化的用户和组管理工具 编辑用户属性- 账号信息 8
图形化的用户和组管理工具 编辑用户属性- 密码信息 9
图形化的用户和组管理工具 编辑用户属性- 组群 10
图形化的用户和组管理工具 删除用户 11
山东农业大学信息学院计算机系 用户帐号文件 用于保存用户的帐号基本信息
文件位置:/ / etc/ / passwd
每一行对应一个用户的帐号记录
12
字段1:用户帐号的名称
字段2:用户密码字串或者密码占位符“x”
字段3:用户帐号的UID号
字段4:所属基本组帐号的GID号
字段5:用户全名
字段6:宿主目录
字段7:登录Shell信息
山东农业大学信息学院计算机系 用户帐号文件 用于保存密码字串、密码有效期等信息
文件位置:/ / etc /shadow
每一行对应一个用户的密码记录
13
字段1:用户帐号的名称
字段2:加密的密码字串信息
字段3:上次修改密码的时间(距离1970.1.1)
字段4:密码的最短有效天数,默认值为0
字段5:密码的最长有效天数,默认值为99999
字段6:提前多少天警告用户口令将过期,默认值为7
字段7:在密码过期之后多少天禁用此用户
字段8:帐号失效时间,默认值为空
字段9:保留字段(未使用)
图形化的用户和组管理工具 添加组 组名 GID 14
图形化的用户和组管理工具 组管理
15
图形化的用户和组管理工具 删除组 16
山东农业大学信息学院计算机系 组帐号文件 与用户帐号文件相类似
/ / etc /group :保存组帐号基本信息
/ / etc/ / gshadow :保存组帐号的密码信息
17 group 文件内的最后一个字段中列出属于该组的用户成员(一般不包括基本组对应的用户帐号),多个成员之间以逗号“ ,” 分隔
山东农业大学信息学院计算机系 用户管理命令 添加用户:
格式:
useradd
[ [ 选项 ]...
用户名
常用选项:
- - u
指定用户 ID
- -G G 、指定 用户的附属组(补充组)
- - s
指定用户 登入后所使用的 shell
设置/ / 更改用户口令:
格式:
passwd
用户名
18
山东农业大学信息学院计算机系 用户管理命令 编辑用户 帐号的 属性:
格式:
usermod
[ [ 选项 ]...
用户名
常用选项:- -u u 、- -s s
- - s<shell>
修改用户登入后所使用的 shell
- - u< uid >
修改用户 ID
删除 用户 帐号:
格式:
userdel
[ [- - r]
用户名
- - r
同时删除用户及主目录
19
山东农业大学信息学院计算机系 用户管理命令 改变 用户密码 期限:
格式:
chage
[ [ 选项 ]...
用户帐号名
例:设置密码在 45 天后过期
1 1 )
chage
– M 45 username
2 2 )通过 date 命令计算未来的日期
date – d “+45 days”
chage
– E YYYY- - MM- - DD
例:强制用户在再次登录时更新密码
chage
– d 0 username
20 - - E 设置密码过期时间
山东农业大学信息学院计算机系 组 管理命令 添加组账号:
格式:
groupadd
[ [- - g GID]
组帐号名
组成员管理:
格式:
gpasswd
[ [ 选项 ]...
组帐号名
删除组帐号:
格式:
groupdel
组帐号名
21
山东农业大学信息学院计算机系 用户和组帐号查询 id 命令
用途:查询用户身份标识
格式:
id
[ 用户名] ]
显示用户的 UID 编号和组成员
users 、 w 、 who 命令
用途:查询已登录到主机的用户信息
22
山东农业大学信息学院计算机系 实验案例:管理用户和组 1 1 、创建一个名为 susa 的用户,用户 ID 为 4000 ,密码是 default
2、 创建下列用户、组、和组的成员
• 一个名为 manager 的组
• 一个名为 harry 的用户,其属于 manager 组,这个组是该用户
的从属组
• 一个名为 natasha 的用户,其属于 manager 组,这个组是该用户的从属组
• 一个名为 strlt 的用户,其在系统中没有可交互的shell ,并且该用户不是 manager 组的成员
• 用户 harry 、 natasha 、 strlt 密码都要是 default 。
23
山东农业大学信息学院计算机系 用户和组的概念练习 24 描述
关键字
在最基本的级别标识用户的编号
提供用户命令行提示符的程序
本地组信息的位置
用户个人文件的位置
基本组识别 ID
本地用户账户信息的位置
/ / etc/ / passwd 的第四个字段
/etc/group UID 登录shell 主目录 GID /etc/passwd 主要组 UID 登录shell /etc/group 主目录 GID /etc/passwd 主要组
山东农业大学信息学院计算机系 文件/ 目录的权限和归属 访问权限
读取 :允许查看文件内容、显示目录列表
写入 :允许修改文件内容,允许在目录中新建、移动、删除文件或子目录
可执行 :允许运行程序、切换目录
归属(所有权)
属主 :拥有该文件或目录的用户帐号
属组 :拥有该文件或目录的组帐号
25
查看文件/ 目录的权限和归属 权限项 读 读 写 写 执行 读 读 写 写 执行 读 写 写 执行 字符表示 r w x r w x r w x 数字表示 4 2 1 4 2 1 4 2 1 权限分配 文件所有者 文件所属组 其他用户 26 r w - r - - r - - 4 2 0 4 0 0 4 0 0 6 4 4
[root@localhost ~]# ls -l install.log
-rw-r--r--
1
root
root
34298
04-02
00:23
install.log 文件类型 属组 属主 访问权限
描述 文件名 所有者式fred, 并且可由所有用户读取 内容可以被用户betty 修改 无法被用户barney 读取 拥有组的所有权是wilma Users
and
their
groups: wilma
wilma,flintstone fred
fred ,flintstone betty
betty,rubble barney
barney,rubble
File attributes(permissions,user & groupownership,name): -rw-rw-r--
wilma
wilma
lfile1 -rw-r—rw- wilma flintstone
lfile2 -rw-rw-r--
fred
flintstone
rfile1 -rw-r-----
fred
flintstone
rfile2 lfile1 lfile2 rfile1 rfile2 rfile1 lfile2 rfile2 lfile1
山东农业大学信息学院计算机系 设置文件/ 目录的权限 chmod 命令
格式1 1 :
chmod
[ [ ugoa ]
[+- - =]
[ rwx ]
文件或目录 ...
28 u u 、g g 、o o 、 a 分别表示
属主、属组、其他用户、所有用户
+ 、- 、= 分别表示 增加、去除、设置权限 对应的权限字符
3 3 位八进制数
格式2 :chmod nnn 文件或目录... 常用命令选项 -R:递归修改指定目录下所有文件、子目录的权限
山东农业大学信息学院计算机系 例:重新 设置 mymkdir 文件的权限,为属主用户添加执行权限,去除其他用户的读取权限
[ [ root@localhost
~]# chmod
u+x,o- -r r
mymkdir
[ [ root@localhost
~]# ls
- - l mymkdir
- - rwxr -----
1 root root
29588 05- - 12 06:19 mymkdir
例:重新 设置 mymkdir 文件的访问权限,恢复为“ rwxr- -xr- - x”
[ [ root@localhost
~]# chmod
755 mymkdir
[ [ root@localhost
~]# ls
- - l mymkdir
- - rwxr- - xr- - x 1 root root
29588 05- - 12 06:19 mymkdir
山东农业大学信息学院计算机系 例:使用 递归的方式将“/ / usr/ / src /” 目录中所有子目录、文件的权限都设置为“ rw- -r r --r r -- ”
[ [ root@localhost
~]# chmod
- -R R
644 / usr/ / src/ /
山东农业大学信息学院计算机系 文件权限设置实例 使用 chmod 命令设置文件权限
查看文件权限
$ ls -l afile -rw-rw-r--
1 st01 class1 0 Apr
3 16:52 afile 增加文件属主 st01 的执行权限(x x )
$ chmod u+x afile
去除文件属组 class1 的写权限(w w )
$ chmod g-w afile 设置属主权限为读写,属组其他用户的文件权限为读
$ chmod 644 afile
32
山东农业大学信息学院计算机系 设置文件/ 目录的归属 chown 命令
格式:
chown
属主
文件或目录
chown
: : 属组
文件或目录
chown
属主: : 属组
文件或目录
常用命令选项
- -R R :递归修改指定目录下所有文件、子目录的归属
33
山东农业大学信息学院计算机系 设置文件属主和属组 chown 命令用于设置文件的属主和属组
命令格式
chown OWNER[:[GROUP]] FILE...
设置文件 afile 的属主为用户 st01
# chown
st01 afile
设置文件 afile 的属组为用户组 class1
# chown
:class1 afile
设置文件 afile 的属主为 st03 ,并设置文件的属组为class2
# chown
st03:class2 afile
34
山东农业大学信息学院计算机系 实验:文件/ 目录权限设置 根据以下要求完成对文件/ / 目录权限的设置
1 1 、添加组 group ,添加用户 aa 、 bb 并加入 group 组
2 2 、新建文件/ / abc.txt
3 3 、设置用户 aa 对 文件 拥有读、写和执行权限
4 4 、设置组 group 内成员对 文件 拥有读和写权限
5 5 、设置除属主和属组外其他人对 文件 没有任何权限
6 6 、新建目录/ / abc
7 7 、设置用户 bb 对 目录 拥有读、写执行权限
8 8 、设置组 group 内成员对 目录 拥有读和执行权限
9 9 、设置除属主和属组外其他人对 目录 没有任何权限
35
山东农业大学信息学院计算机系 文件ACL 权限 ACL 是
Access Control List 的缩写,主要的目的是在提供传统的 owner , group ,others 的 read , write , execute 权限之外的细部权限设定。
ACL 可以针对单一使用者,单一文件或目录来进行 r,w,x 的权限规范,对于需要特殊权限的使用状况非常有帮助。
36
山东农业大学信息学院计算机系 管理文件系统访问控制列表 设置
: :
setfacl
- - m u:username:rw
filename
setfacl
- - m g:groupname:rw
filename
查看:
getfacl
filename
删除
: :
setfacl
- - x u:username
filename
37
山东农业大学信息学院计算机系 练习题 拷贝文件/ / etc/ / fstab 到/ / var/ / tmp/ / fatab ,配置文件/ / var/ / tmp/ / fatabd
的权限
• 文件/ / var/ / tmp/ / fatab 的所有者是 root 用户
• 文件/ / var/ / tmp/ / fatab 属于 root 组
• 文件/ / var/ / tmp/ / fatab 对任何人都不可执行
• 用户 defaule 能够对文件/ / var/ / tmp/ / fatab 执行读和写操作
• 用户 harry 对文件/ / var/ / tmp/ / fatab 既不能读,也不能写
• 所有其他用户(当前的和将来的)能够对文件/ / var/ / tmp/ / fatab 执行读操作
38
山东农业大学信息学院计算机系 cp
/ / etc/ / fstab
/ / var/ / tmp/ / fstab
setfacl
- - m
u:natasha:rw
/ / var/ / tmp/ / fstab
setfacl
- - m
u:harry: ---
/ / var/ / tmp/ / fstab
山东农业大学信息学院计算机系 使用附加权限 SET 位权限
•
为可执行(有
x 权限的)文件设置,权限字符为“s s ”
• 其他用户执行该文件时,将拥有属主属组的权限
• SUID:
表示对属主用户增加 SET 位权限( 当其他用户执行 passwd 命令时,会自动以文件所有者 root 用户的身份去执行。
)
SUID 一般用户文件
• SGID :一般设置在目录上,用户在设置了 SGID 的目录下新建文件或子目录时,新建的文件或子目录自动继承父目录的属组。
• SGID 一般用于目录
40 权限(Sticky )
主要粘滞位用途:
为公共目录(例如,权限为777的)设置,权限字符为“t”
用户不能删除该目录中其他用户的文件 应用示例:/tmp 、/var/tmp
山东农业大学信息学院计算机系 使用附加权限 设置 SET 位、粘滞位权限
使用权限字符
•
chmod
ug ±s s
可执行文件 ...
•
chmod
o o ±t t
目录名 ...
使用权限数字
• chmod
mnnn
可执行文件
•m m 为4 4 时,对应 SUID ;m m 为2 2 时,对应 SGID (子随父);m m 为1 1 时,对应粘滞位。
41
山东农业大学信息学院...
扩展阅读文章
推荐阅读文章
十九范文网 www.ib19.com
Copyright © 2002-2018 . 十九范文网 版权所有