Đang tải... (xem toàn văn)
Triển khai một máy tính làm việc Linux với các tính năng về đồ họa, vi tính văn phòng,… Hệ thống vận hành: cài đặt, cấu hình, quản trị, xử lý sự cố,… Vận hành hệ điều hành Linux: cài đặt, cấu hình mạng, máy trong, sử dụng thành thạo các công cụ quản lý mạng, cấu hình nhân, DFS, lập kế hoạch cho việc lưu trữ và phục hồi dữ liệu, TCP IP , config device,… Liên kết cơ bản kỹ năng đến Internet: kết nối, email, bảo mật, DNS, Apache, SSH, NTP,…
Tạo user, group File permissions [root@may1 ~]# groupadd kinhdoanh [root@may1 ~]# groupadd ketoan [root@may1 ~]# groupadd nhanvien [root@may1 ~]# useradd -G ketoan,nhanvien kt1 [root@may1 ~]# useradd -G ketoan,nhanvien kt2 [root@may1 ~]# useradd -G kinhdoanh,nhanvien kd1 [root@may1 ~]# useradd -G kinhdoanh,nhanvien kd2 [root@may1 ~]# cat /etc/group ketoan:x:503:kt1,kt2 admin:x:509: kinhdoanh:x:510:kd2,kd1 nhanvien:x:511:kt2,kt1,kd2,kd1 Tạo thư mục [root@may1 ~]# mkdir -p /data/{ketoan,kinhdoanh,dulieu,software} Khảo sát permissions • File type: 52 Ký tự b Ý nghĩa Tập tin thông thường Tập tin đặc biệt block Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ • Quyền: c d l Tập tin đặc biệt ký tự Thư mục Tập tin liên kết or - - : No permissions at all or r- - : read-only or -w-: write-only (rare) or - -x: execute + Cột số liên kết (link) tập tin + Cột 3, chủ sở hữu nhóm sở hữu + Cột kích thước tập tin + Cột thời gian thay đổi cuối + Cột tập tin hay thư mục Xác định quyền truy cập file, thư mục Thay đổi quyền chủ sở hữu chown - Thay đổi quyền ownership thư mục /data/software/ kd1: [root@may1 ~]# chown kd1 /data/software/ - Kiểm tra lại: [root@may1 ~]# ll /data/ total 16 drwxr-xr-x root root 4096 Jul 19:25 dulieu drwxr-xr-x root root 4096 Jul 19:25 ketoan drwxr-xr-x root root 4096 Jul 19:25 kinhdoanh drwxr-xr-x kd1 root 4096 Jul 19:25 software Lưu ý: Nếu muốn thay đổi ownership cho thư mục thư mục bên ta dùng option (–R) cho lệnh chown 3 Thay đổi group sở hữu chgrp - Thay đổi group sở hữu thư mục: [root@may1 ~]# chgrp ketoan /data/ketoan/ [root@may1 ~]# chgrp kinhdoanh /data/kinhdoanh/ [root@may1 ~]# chgrp nhanvien /data/dulieu/ [root@may1 ~]# chgrp nhanvien /data/software/ - Kiểm tra lại: [root@may1 ~]# ll /data/ total 16 drwxr-xr-x root nhanvien 4096 Jul 19:25 dulieu drwxr-xr-x root ketoan 4096 Jul 19:25 ketoan drwxr-xr-x root kinhdoanh 4096 Jul 19:25 kinhdoanh drwxr-xr-x kd1 nhanvien 4096 Jul 19:25 software Lưu ý: Nếu muốn thay đổi group sở hữu cho thư mục thư mục bên ta dùng option (–R) cho lệnh chgrp Thay đổi quyền truy cập chmod 4.1 Sử dụng ký tự - Cấp thêm quyền write cho nhóm ketoan thư mục /data/ketoan/, user khác không phép truy cập [root@may1 ~]# chmod g+x,o-xr /data/ketoan/ 54 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ - Tương tự cho thư mục kinh doanh [root@may1 ~]# chmod g+x,o-xr /data/kinhdoanh/ - Kiểm tra lại: [root@may1 ~]# ll /data/ total 16 drwxr-xr-x root nhanvien 4096 Jul 19:25 dulieu drwxr-x - root ketoan 4096 Jul 19:25 ketoan drwxr-x - root kinhdoanh 4096 Jul 19:25 kinhdoanh drwxr-xr-x kd1 nhanvien 4096 Jul 19:25 software 4.2 Sử dụng số nhị phân cho việc gán quyền truy cập Ví dụ: [root@may1 ~]# chmod -R 770 /data/dulieu/ 4.3 Sửa quyền truy cập mặc định - Quyền khởi tạo cho file: 666 (rw-rw-rw-) - Quyền khởi tạo cho thư mục: 777 (rwxrwxrwx) - Quyền file, thư mục tạo cách: AND(Quyền khởi tạo, INVERSE(umask)) [root@may1 ~]# umask 0022 Vd: tính quyền tạo thư mục với umask 0022 - INVERSE(022) = 111 101 101 - Quyền khởi tạo 777 = 111 111 111 AND = 111 101 101 rwx r-x r-x Thực đồi umask [root@may1 ~]# umask 007 Tạo file, thư mục, kiểm tra quyền truy cập file, thư mục Thay đổi permission với setuid, setgid, sticky bits 5.1 User ID, setuid, or SUID: Nếu SUID bit thiết lập cho ứng dụng, file thực thi điều có nghĩa người dùng khác chủ sở hữu ứng dụng sử chạy chủ sở hữu Hãy xem ví dụ: [root@localhost ~]# ll /usr/bin/passwd -rwsr-xr-x root root 27832 Jun 10 2014 /usr/bin/passwd rws: Lệnh passwd thay đổi mật thiết lập SUID bit Tuy passwd thuộc root thiết lập SUID bit nên người dùng khác thực passwd chủ sở hữu (tất nhiên thay đổi mật user thực passwd) 5.2 Set Group Id, setgid, or SGID Khi setgid áp vào thư mục, tập tin thư mục tạo thư mục thừa hưởng nhóm từ thư mục Ví dụ: [root@may1 ~]# mkdir /data1/ [root@may1 ~]# chgrp kinhdoanh /data1 Gán SGID cho group [root@may1 ~]# chmod -R 2777 /data1 [root@may1 ~]# ll -d /data1 drwxrwsrwx root kinhdoanh 4096 Apr 16 10:37 /data1 [root@may1 ~]# su kd1 [kd1@may1 root]$ cd /data1 [kd1@may1 data1]$ touch vban1.txt [kd1@may1 data1]$ mkdir tailieu Kiểm tra: file, thư mục tạo /data1 đề thuộc sở hữu nhóm kinh doanh [kd1@may1 data1]$ ll total drwxrwsr-x kd1 kinhdoanh 4096 Apr 16 10:38 tailieu -rw-rw-r kd1 kinhdoanh Apr 16 10:38 vban1.txt 56 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ 5.3 Sticky Bit Người dùng xố files mà họ tạo thư mục thiết lập Sticky bit Để bật Sticky bit cho thư mục thực hiện: Hoặc [root@localhost root]# chmod -R +t /data1 [root@localhost root]# ll -d /data* drwsrwxrwx root root 4096 Apr 16 09:48 /data drwxrwsrwt root kinhdoanh 4096 Apr 16 10:38 /data1 [root@localhost root]# mkdir /phanmem [root@localhost root]# chmod 1770 /phanmem/ [root@localhost root]# ll -d /phanmem/ drwxrwx T root root 4096 Apr 16 10:46 /phanmem/ Access Control List ACLs sử dụng trường hợp mà khái niệm permission file thông thường khơng có hiệu lực Chúng cho phép gán quyền cho người, nhóm cá nhân chí khơng tương ứng với owner owning group • Access ACL: áp dụng cho file thư mục • Default ACL: áp dụng cho thư mục Chúng xác định quyền kế thừa từ thư mục cha tạo • ACL entry: Mỗi ACL bao gồm tập hợp ACL entries Một ACL entry chứa loại, hạn định mà user group tham chiếu đến, tập hợp quyền # setfacl help setfacl 2.2.51 set file access control lists Usage: setfacl [-bkndRLP] { -m|-M|-x|-X } file -m, modify=acl modify the current ACL(s) of file(s) -M, modify-file=file read ACL entries to modify from file -x, remove=acl remove entries from the ACL(s) of file(s) -X, remove-file=file read ACL entries to remove from file -b, remove-all remove all extended ACL entries -k, remove-default remove the default ACL set=acl set the ACL of file(s), replacing the current ACL set-file=file read ACL entries to set from file mask recalculate the effective rights mask -n, no-mask don't recalculate the effective rights mask -d, default operations apply to the default ACL -R, recursive recurse into subdirectories -L, logical logical walk, follow symbolic links -P, physical physical walk, not follow symbolic links restore=file restore ACLs (inverse of `getfacl -R') test test mode (ACLs are not modified) -v, version print version and exit -h, help this help text 6.1 ACL permission Vd1: Cấp quyền thư mục /data Nhóm giamdoc nhóm kinhdoanh đọc, ghi Nhóm ketoan đọc User u1: đọc, ghi Các user khác khong truy cập [root@localhost ~]# mkdir /data [root@localhost ~]# chgrp -R giamdoc /data/ [root@localhost ~]# chmod -R 770 /data/ [root@localhost ~]# ll -d /data/ drwxrwx - root giamdoc 4096 Apr 16 15:15 /data/ Xem ACL tại: [root@localhost ~]# getfacl /data/ getfacl: Removing leading '/' from absolute path names # file: data/ # owner: root # group: giamdoc user::rwx group::rwx other:: Gán quyền cho nhóm kinhdoanh user u1 [root@localhost ~]# setfacl -m user:u1:rwx,group:kinhdoanh:rwx /data/ [root@localhost ~]# getfacl /data/ getfacl: Removing leading '/' from absolute path names # file: data/ # owner: root # group: giamdoc user::rwx user:u1:rwx group::rwx group: kinhdoanh:rwx mask::rwx other:: Ngoài entries khởi tạo cho user u1 group kinhdoanh, mask entry tạo mask entry gán tự động để giảm thiểu số lượng entries group class để gọi tên thông thường mask định nghĩa quyền truy cập có hiệu lực lớn cho tất entries group class: named user, named group, owning group Do đó, mask entry tương ứng với bit quyền group class - hiển thị lệnh: [root@localhost ~]# ll -d /data/ drwxrwx -+ root giamdoc 4096 Apr 16 15:28 /data/ Cột output chứa đựng dấu +, ký tự đại diện cho extended ACL Gán quyền cho nhóm ketoan [root@localhost ~]# setfacl -m group:ketoan:rx /data/ [root@localhost ~]# getfacl /data/ getfacl: Removing leading '/' from absolute path names # file: data/ # owner: root 58 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ # group: giamdoc user::rwx user:u1:rwx group::rwx group:kinhdoanh:rwx group:ketoan:r-x mask::rwx other:: Kiểm tra: Lần lượt login user kd1, kt1, u1, u2 thực truy cập thư múc/data với quyền read, write Bây thử dùng chmod setfacl để disabled quyền write group class xem sao, [root@localhost ~]# setfacl -m m::rx /data/ root@localhost ~]# getfacl /data/ getfacl: Removing leading '/' from absolute path names # file: data/ # owner: root # group: giamdoc user::rwx user:u1:rwx #effective:r-x group::rwx #effective:r-x group:kinhdoanh:rwx #effective:r-x group:ketoan:r-x mask::r-x other:: output lệnh ls cho thấy mask bits điều chỉnh với setfacl: [root@localhost ~]# ll -d /data/ drwxr-x -+ root giamdoc 4096 Apr 16 15:28 /data/ Kết quả: tất user khơng thể write thư mục /data Xóa tồn ACL [root@localhost ~]# setfacl -b /data/ 6.2 Default ACL Default ACL định nghĩa tất quyền truy cập kế thừa từ thư mục tạo default ACL ảnh hưởng đến thư mục files # mkdir -p /dulieu/{tm1,tm2} #mkdir -p /dulieu/tm1/{tm11,tm12} #setfacl -d -m o::- /dulieu/ #setfacl -d -m u:u1:rwx /dulieu/ [root@localhost dulieu]# getfacl /dulieu/ getfacl: Removing leading '/' from absolute path names # file: dulieu/ # owner: root # group: root user::rwx group::r-x other::r-x default:user::rwx default:user:u1:rwx default:group::r-x default:mask::rwx default:other:: Tạo thư mục tm3 sau có Default ACL # mkdir tm3 [u1@localhost dulieu]$ ll total 12 drwxr-xr-x root root 4096 Apr 17 14:54 tm1 drwxr-xr-x root root 4096 Apr 17 14:53 tm2 drwxrwx -+ root root 4096 Apr 17 15:00 tm3 Dùng getfacl tm1,tm2,tm3 có tm3 bị ảnh hưởng Default ACL Kiểm tra u1 [u1@localhost dulieu]$ mkdir tm1/u1 mkdir: cannot create directory „tm1/u1‟: Permission denied [u1@localhost dulieu]$ mkdir tm3/u1 ; thành công Kiểm tra u2 [u2@localhost dulieu]$ ll tm1 total drwxr-xr-x root root 4096 Apr 17 14:54 tm11 drwxr-xr-x root root 4096 Apr 17 14:54 tm12 [u2@localhost dulieu]$ ll tm3 6.3 Ví dụ ls: cannot open directory tm3: Permission denied Cơng ty ABC có phịng ban: kinh doanh, kế toán, ban giám đốc Cây thư mục liệu: /data/ ├── giamdoc ├── ketoan └── kinhdoanh Yêu cầu phân quyền: - Nhân viên phịng ban quyền truy cập vào thư mục phòng ban đó, user tạo user xóa Ban giám đốc vào tất phịng ban Giám đốc duoc quyền truy cập chỉnh sửa/xóa file/folder tất phòng ban khác: Tạo user:tonggiamdoc,phogiamdoc,ketoantruong,ketoan1,ketoan2,tpk inhdoanh,kinhdoanh1,kinhdoanh2 Set nhóm cho giám đốc nhân viên 60 Phiên Bản Thử Nghiệm – Lưu Hành Nội Bộ B1 Tao user, goup Kinhdoanh(tpkd,kd1,kd2,kd3) ketoan(tpkt,kt1,kt2) giamdoc(gd,pgd) B2 Tạo thư mục trên, thư thục tạo sẵn thu mục DATA B3 Phân quyền, sticky bit # chmod -R 1770 /data/ketoan # chmod -R 1770 /data/kinhdoanh/ # chmod -R 1770 /data/giamdoc/ B4 Gán user group chủ sử hữu #chown -R tpkt:ketoan /data/ketoan #chown -R tpkd:kinhdoanh /data/kinhdoanh/ #chown -R gd:giamdoc /data/giamdoc [root@localhost data]# ll /data total 16 drwxrwx T gd giamdoc drwxrwx T tpkt ketoan drwxrwx T tpkd kinhdoanh B5 Phân quyền ACL 4096 Apr 17 15:25 giamdoc 4096 Apr 17 15:25 ketoan 4096 Apr 17 15:25 kinhdoanh Giải file tồn # setfacl -m tpkt:rwx /data/ketoan # setfacl –R -m group:giamdoc:rwx /data/ketoan Giải file, dir tạo #setfacl -R -m d:tpkt:rwx /data/ketoan #setfacl –R -m d:group:giamdoc:rwx /data/ketoan B6 Gíam đốc xóa #visudo giamdoc ALL=(ALL) NOPASSWD:/bin/rm -fr /data/* ... set file access control lists Usage: setfacl [-bkndRLP] { -m|-M|-x|-X } file -m, modify=acl modify the current ACL(s) of file( s) -M, modify -file= file read ACL entries to modify from file. .. ACL(s) of file( s) -X, remove -file= file read ACL entries to remove from file -b, remove-all remove all extended ACL entries -k, remove-default remove the default ACL set=acl set the ACL of file( s),... umask 007 Tạo file, thư mục, kiểm tra quyền truy cập file, thư mục Thay đổi permission với setuid, setgid, sticky bits 5.1 User ID, setuid, or SUID: Nếu SUID bit thiết lập cho ứng dụng, file thực