《操作系统安全加固》 教案 模块2-任务5 设置Linux文件特殊权限

授课班级XXXX课次12课时2教材操作系统安全加固教学内容本课题教学内容选自《操作系统安全加固》模块二：文件系统权限管理任务5：设置Linux文件特殊权限本次课主要教学内容围绕着国家计算机信息系统等级保护条例中对操作系统的通用技术要求的相关管理条例展开：具体包括能根据应用需要设置SUID、GUID、SBIT等特殊权限，通过设置文件特殊权限完善文件安全管理，养成良好的安全意识和防护习惯。学情分析授课对象是网络信息安全专业二年级学生。知识水平：熟悉Linux下文件基本权限的设置方法；熟悉Linux下基本的系统管理命令；技能水平：1.能使用Linux下的权限管理的相关命令2.能使用根据需求设置文件或目录的权限3.能对Linux的文件与目录等基本的维护操作认知习惯：1.学生对理论知识理解较慢，但实践操作能力强；2.学生不善于预习和归纳总结，对理论知识兴趣缺乏，对技术学习缺乏精益求精的精神。教学目标知识目标：列举Linux文件权限的特殊权限；描述文件特殊权限的设置方法；技能目标：能根据应用需求设置SUID特殊权限；能根据应用需求设置SGID特殊权限；能根据应用需求设置SBIT特殊权限；素养目标：1.提高学生信息安全操作意识；2.引导学生遵守网络安全法等法律法规；3.培养学生养成良好的网络安全防护习惯。教学重点设置SUID、SGID、SBIT特殊权限教学难点设置SUID、SGID、SBIT特殊权限教学方法基于企业OKR目标管理、采用任务驱动教学法，以网络系统安全管理员依照国家计算机信息系统等级保护条例的要求开展工作为任务场景，通过学习SUID、SGID、SBIT的设定方法，对Linux下文件实现访问控制，做好系统安全加固的网络安全防线。在教学过程中采用问题引导法和分组讨论法，培养学生思考问题、解决问题的能力并提高学生的学习兴趣。教学资源及教学环境教材：《操作系统安全加固》教学媒体：主流配置计算机35台（置有Centos7虚拟机）；局域网络；极域教学系统软件。教学场景设计：教学过程教学环节教学内容及步骤教师活动学生活动设计意图课前（预习新知）1.回顾文件权限的设置；2.学习什么是特殊权限1.发布有关Linux的文件权限与特殊权限相关视频1.课前观看文件的视频1.回顾之前的基础知识，为学习新知做准备。课中（课中预习小测试）课前小测试1.发布测试题1.学生测试1．教师掌握学生自主学习的情况，方便课中调整评价课前预习情况1．教师展示课前测试情况2．评价学生情况1．学生认真听教师小结1．学生了解自主学习中的不足，建立自信，提升学生的兴趣课中情境创设导入背景导入任务背景：某公司已经安装并部署了一台Linux系统的服务器，架设并布署了Samba服务为公司内部的各部门提供文件共享服务。根据网络安全等级保护第三级对访问控制的要求：“应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则”。公司安全管理员已经对服务器进行了安全加固。但是，使用一段时间后，运维人员发现了一些问题：在运行一些权限较高的自动化脚本时，由于没有管理员权限，没有办法实现。当文件目录共享，需要一组项目成员共同使用，文件权限维护设置复杂。在一些公共目录一些文件用户创建的无效文件不能及时清理，管理员疲于应付。因此，为了保障企业文件服务器的安全，降低文件服务器的安全风险，但又要使用运维人员管理工作量相对减小，需要管理员小顾通过Linux文件系统中的特殊权限对相关目录进行权限设置。导入任务背景，启发学生思考。思考下一步的工作任务。将工作场景转化为教学场景，使学生在教学过程中真实体验并深刻理解等保相关规范，培养学生职业安全素养。课中教学活动一：为指定文件设置SUID权限根据安全管理要求，提出任务：为此，管理员以普通身份admin登录Linux系统服务器，使用su提升至root权限，完成下列安全运维任务：1.运行admin用户主目录下的自动化运维程序info。在当前目录下生成info.txt并查看info.txt的内容2.在/var/share/publicinfo/目录下，已经存在info.txt。要求admin用户在此目录运行info程序，将信息写入到/var/share/publicinfo/info.txt文件中。提出任务，启发学生思考学生思考解读企业安全管理中的对应用服务的通用安全要求，并提出具体任务，使学生明确任务要求和安全管理关系，培养学生的操作规范意识，提高学生的安全职业素养。分析任务：开展讨论，明确任务要求和任务目的：提出问题：由于这个info程序文件是所有者是admin用户，但是目标目录却是只有root用户有权限写入文件。学生可以体验程序执行的结果（环境）已经做好提问、设疑：用什么权限可以临时解决这个问题？提示：同学学习一下SUID的学习资料。1.回答教师提问；2.认真听讲，记录要点，明确要求通过问题引导式教学法，让学生了解任务单的设计意图，理解应用服务加固的第一要点组织学生讨论由学生讨论出: 可以使用SUID权限，在程序运行时获得root权限，写入输出的文件教师组织学生讨论与展示学生讨论通过讨论得到结论评价1：评价学生的讨论结果教师评价学生互评增加学生自信，学会在讨论中思考明确任务步骤：1.使用admin用户身份登录，提升到root用户2．设置info的SUID位，使其可以在执行时具有root权限3．在/var/share/publicinfo目录运行程序输出信息。下发任务单，明确任务步骤打开任务单，思考操作过程明确任务步骤，让学生理清思路，提高操作效率。任务初探：学生根据操作视频，讨论完成任务1.下发操作视频2.巡视指导学生、解答疑惑；3.组织学生演示分享；1.根据任务单及操作视频完成实训任务。2.通过组间交流完成任务，并分组展示结果。通过观看视频演示和小组讨论的合作学习方式，共同解决实际问题。评价2：教师点评任实战环节教学点评：学生参与度任务完成情况学生自评、互评评价学生的参与度，提高学生自信及学生的自觉性教师评价学生练习，明确KR指标：KR指标1：10分钟内完成任务要求点评实战结果提出KR指标1聆听老师的评价意见，明确学习目标对结果进行评价总结，为突破教学重点筑基学生再次练习，完成KR指标1巡视指导、解答疑惑反复练习培养学生精益求精的精神，反复训练直至目标OKR达成评价3：教师点评展示学生的KR1活动达标率情况对学生技能进行小结点评展示KR结果聆听教师点评通过任务点评，让学生再次回顾实训过程中的技能要点；同时也是再次自我完善和理清制作思路的环节。课中教学活动二：为指定目录设置SGID特殊权限任务场景：公司为拓展业务，新成立了一个AI的部门，为配合该部门的工作中文件共享的需求，在公司Linux文件共享服务器上，开设一个目录/var/share/ai_sharefolder此目录该部门的成员可以访问创建文件与子目录，所属组都为ais组组织学生讨论怎么样做到一个组的组成员可以共同访问相应的文件？1．教师设问：是不是有一种方法，使得创建出来的文件的所属组就是指定组呢？提示：同学可以学习一下SGID的知识学生分小组，根据教师组织完成讨论通过讨论，学习SGID的使用场景教师组织学生分小组展示讨论教师组织学生分小组展示此场景的设定方法。学生小组，上台展示，小组讨论成果通过展示，培养学生归纳与展示的能力教师小结学生小组讨论：设定共享权限的原则：使用SGID教师展示并汇总学生的讨论。学生聆听，理解SGID的使用场景教师给出SGID的实际使用场景，学生理解：技术的出现是为了解决问题的。评价4：教师点评任务讨论环节教师点评：学生参与度学生自评、互评激发学生学习成果的成就感明确任务步聚：现Linux系统服务器已经存在管理员admin用户，管理员使用此账户登录系统，完成如下工作：1.创建ais组，并创建ai_user1与ai_user2用户，且这些用户都属于ais组2.在/var/share下创建目录ai_sharefolder，并将改目录的权限设为755，所属组为ais3.在/var/share/ai_sharefolder设置SGID特殊权限4.使用ai_user1、ai_user2验证，创建的文件的所属组皆为ais下发任务单，展示活动要求1.打开任务单，思考实现方法；2.认真听讲，记录要点，明确要求。了解任务提出背景和任务要求。分析任务：组织学生根据任务要求，讨论任务完成步骤下发操作录屏，组织学生观看操作录屏分小组讨论任务步骤学生小组讨论1.通过任务解读，让学生了解到需要分实训步骤与要求设置的目的。2.让学生了解先后次序，要点，提高实训效率；教师小结任务步骤：1.登录服务器2.创建组与组成员3.设定目录的SGID权限4.验证1.教师根据同学讨论，小结任务步骤。学生认真听讲，记录要点，明确要求通过小结任务步骤，进一步让学生理清操作思路，明确操作步骤。评价5：教师点评任务分析讨论环节教师点评任务环节学生自评、互评激发学生学习成果的成就感任务初探：完成任务1.任务单2.巡视指导学生、解答疑惑；1.根据任务单和操作视频分组实战操练2.组间讨论，交流完成实战1.培育学生接受任务、理解任务、团结协作的能力；2.通过实战让学生体验SGID的使用场景，为突破教学难点筑基。评价6：教师评价学生小组完成任务情况教师评价、组织学生结果展示学生自评、互评评价学生的参与度，提高学生自信及学生的自觉性教师提出KR2指标：10分钟内按要求完成SGID权限设置2.对学生的交流合作情况进行评价3.提出KR2指标分组展示结果并聆听教师评价明确OKR目标促进学生的沟通交流能力、团队协作能力。学生再次练习，完成KR2指标巡视指导、解答疑惑反复练习培养学生精益求精的精神，反复训练直至目标OKR达成评价7：教师点评展示学生的KR2活动达标率情况对学生技能、KR目标达成情况进行小结点评聆听教师点评通过任务点评，让学生再次回顾实训过程中的技能要点；同时也是再次自我完善和理清制作思路的环节。课中教学活动三：为指定目录设置SBIT特殊权限任务场景：为了更方便共享文件，公司需要在Linux的文件共享服务器上，创建一个临时目录，只有系统管理员root和创建文件的用户能删除。组织学生讨论请同学分小组进行尝试通过普通文件权限设置，是否可行。1．教师组织学生尝试：学生尝试一次后提示：同学可以学习一下SBIT的知识学生分小组，根据教师组织完成讨论通过讨论，学习SBIT的使用场景教师组织学生分小组展示讨论教师组织学生分小组展示此场景设置方法学生小组，上台展示，小组讨论成果通过展示，培养学生归纳与展示的能力评价8：教师点评任务讨论环节教师点评：学生参与度学生自评、互评激发学生学习成果的成就感明确任务步聚：现Linux系统服务器已经存在管理员admin用户，管理员使用此账户登录系统，完成如下工作：1.在共享目录/var/share中创建目录temp，设置权限其他用户可读可写可进入。2.设置temp目录特殊权限SBIT3.验证只有自身root能删除，其用户不可以。下发任务单，展示活动要求1.打开任务单，思考实现方法；2.认真听讲，记录要点，明确要求。了解任务提出背景和任务要求。分析任务：组织学生根据任务要求，讨论任务完成步骤下发操作录屏，组织学生观看操作录屏分小组讨论任务步骤学生小组讨论1.通过任务解读，让学生了解到需要分实训步骤与要求设置的目的。2.让学生了解先后次序，要点，提高实训效率；教师小结任务步骤：1.登录服务器2.设定目录的SBIT权限4.验证1.教师根据同学讨论，小结任务步骤。学生认真听讲，记录要点，明确要求通过小结任务步骤，进一步让学生理清操作思路，明确操作步骤。评价9：教师点评任务分析讨论环节教师点评任务环节学生自评、互评激发学生学习成果的成就感任务初探：完成任务1.任务单2.巡视指导学生、解答疑惑；1.根据任务单和操作视频分组实战操练2.组间讨论，交流完成实战1.培育学生接受任务、理解任务、团结协作的能力；2.通过实战让学生体验SBIT的使用场景，为突破教学难点筑基。评价10:教师评价学生小组完成任务情况教师评价、组织学生结果展示学生自评、互评评价学生的参与度，提高学生自信及学生的自觉性教师提出KR2指标：10分钟内按要求完成SGID权限设置2.对学生的交流合作情况进行评价3.提出KR2指标分组展示结果并聆听教师评价明确OKR目标促进学生的沟通交流能力、团队协作能力。学生再次练习，完成KR2指标巡视指导、解答疑惑反复练习培养学生精益求精的精神，反复训练直至目标OKR达成评价11：教师点评展示学生的KR2活动达标率情况对学生技能、KR目标达成情况进行小结点评聆听教师点评通过任务点评，让学生再次回顾实训过程中的技能要点；同时也是再次自我完善和理清制作思路的环节。课堂总结提炼要点教师引导学生进行任务小结并补充；教师开展思政教育：网络安全法要求企业要按等保要求，安全个体