Quản lý người dùng quyền truy nhập Nội dung • Quản lý người dùng • • • • Các file cấu hình Root sudo Các lệnh quản lý người dùng Các lệnh quản lý nhóm • Quyền truy nhập • • • • • Giới thiệu Quyền truy nhập tệp thư mục Thay đổi quyền truy nhập Mặt nạ quền user mask Các quyền đặc biệt • Quản lý người dùng • Các file cấu hình • Root sudo • Các lệnh quản lý người dùng • Các lệnh quản lý nhóm Khái niệm quản lý người dùng • Một người dùng (user) – có tài khoản hệ thống linux • Mỗi người dùng có user id • Super user • Có quyền cao – Có thể thay đổi cấu hình hệ thơng – Tên root • Người dùng tổ chức thành nhóm • Mỗi người dùng thuộc nhiều nhóm, có nhóm nhóm Các tệp lưu thơng tin người dùng, nhóm • /etc/passwd: Gồm nhiều dịng, dịng lưu thơng tin tài khoản người dùng gồm: • • • • • login name user id default group descriptive name login program (shell) • /etc/shadow: Mỗi dịng lưu thơng tin mật tài khoản • initial password • password aging information • /etc/group • Chứa danh sách nhóm • /etc/gshadow • Chứa thơng tin mật nhóm /etc/passwd Username:password:UID:GID:Info:Home:Shell • Username: tên tài khoản • Password: x thể có mật lưu /etc/shadow • User ID (UID): • Group ID (GID): group ID nhóm • User ID Info: Thơng tin thêm người dùng, ví dụ họ tên, đơn vị làm việc, số tel… • Home directory: Đường dẫn tuyệt đối đến thư mục mà người dùng đặt vào sau login • Shell: Đường dẫn tuyệt đối đến chương trình shell kích hoạt cho tài khoản đăng nhập, ví dụ /bin/bash $ grep root /etc/passwd root:x:0:0:root:/root:/bin/bash operator:x:11:0:operator:/root:/sbin/nologin /etc/shadow Username:Password:Last_pwd_change:Minimum:Maxim um:Warn:Inactive :Expire • Username: • Password: Mật mã hóa • Last password change: • Minimum: Số ngày tối thiểu phải đổi mật • Maximum: Số ngày tối đa mật có giá trị • Warn : Số ngày trước hạn mà người dùng cảnh báo phải đổi mật • Inactive : Khi mật hết hạn, tài khoản bị vô hiệu sau số ngày • Expire : Ngày tài khoản hết hạn $ grep root /etc/shadow root:b93.GT2r.7IZ6:9718:0:60:7::: /etc/group Group_name:Password:Group_ID(GID):Grou p_list • Group name: tên nhóm • Password: Nói chung khơng dùng Mật “X” có nghĩa mật lưu /etc/gshadow • Group ID (GID): • Group list: Danh sách người dùng nhóm /etc/gshadow Group_name:Encrypted_password:Group_a dmin: Group_members • Group name : Tên nhóm • Encrypted password : mật mã hóa • Group administrators: thành viên quyền thêm, xóa thành viên • Group members: danh sách thành viên Root • Superuser account không bị hạn chế quyền truy nhập • Tên “root” • Root có user ID =0 • Có cách dùng quyền superuser • Login tài khoản root • Dùng lệnh su để đổi đăng nhập  % su 10 User Masks (giới hạn quyền mặc định) • Quyền mặc định đặt thơng qua user mask (mask) • Thơng thường user mask thiết lập sẵn quản trị cho người dùng tài khoản thiết lập, file $HOME/.cshrc • user mask chứa số bát phân (octal) mô tả quyền bị LOẠI BỎ từ quyền mặc định file hay thư mục tạo • Quyền mặc định – 777 cho thư mục – 666 cho file – Nếu usermask 022 có nghĩa quyền w group other bị loại bỏ thêm từ quyền mặc định tức quyền lại – rwx r-x r-x cho thư mục – rw- r- - r- - cho tệp 37 Figure 4-10 The umask Command 38 User Mask User mask Directory Mặc định: 777 File (666) Mặc định: 666 000 777 (rwx rwx rwx) 666 (rw- rw- rw-) 111 666 (rw- rw- rw-) 666 (rw- rw- rw-) 222 555 (r-x r-x r-x) 444 (r- - r- - r- -) 333 444 (r- - r- - r- -) 444 (r- - r- - r- -) 444 333 (-wx –wx –rx) 222 (-w- -w- -w-) 555 222 (-w- -w- -w-) 222 (-w- -w- -w-) 666 111 (- -x - -x - -x) 000 ( - - - ) 777 000 ( - - - ) 000 ( - - - ) 39 Lệnh: umask % umask 000 Cho file: rw-rw-rw666 Cho thư mục: rwxrwxrwx 777 40 Bài tập Giả sử $HOME/.cshrc f file tài khoản bạn có lệnh: umask 002 a) Quyền file bạn tạo gì? b) Quyền thư mục bạn tạo gì? 41 Quyền đặc biệt • Có thêm quyền đặc biệt file, thư mục – Set User Id (SUID) – Set Group ID (SGID) – Sticky bit 42 Quyền đặc biệt: SUID • SUID thiết lập cho phép người dùng thực thi tệp quyền người sở hữu tệp  cho mượn quyền chủ sở hữu • Ví dụ: chương trình “/usr/bin/passwd” dùng để thay đổi mật người dùng File sở hữu root với quyền: r-sr-sr-x • Mật người dùng lưu /etc/shadow có root có quyền đọc, ghi •Về lý thuyết, có root có quyền cập nhật mật • Khi “/usr/bin/passwd” có SUID thiết lập, người dùng thực thi “/usr/bin/passwd” cho mượn quyền chủ sở hữu (root) 43 có quyền cập nhật /etc/shadow Special Permissions • Các quyền đặc biệt khơng có chỗ biểu diễn riêng xem lệnh “ls –l” • Các quyền đặc biệt biểu diễn mục quyền thực thi rwxrwxrwx rwsrwsrwt SUID SGID STICKY BIT 44 Special Permissions • Nếu quyền đặc biệt thiết lập mà quyền “execute” vị trí tương ứng khơng thiết lập, chữ S, T viết chữ hoa rw-rw-rwrwSrwSrwT SUID SGID STICKY BIT 45 Quyền đặc biệt: GUID • Tương tự SUID, • SGID cho mượn quyền nhóm chứa tệp chạy chương trình 46 Quyền đặc biệt: Sticky Bit • Sticky bit có ý nghĩa áp dụng cho thư mục • Tình huống: •Có thư mục chung cho nhiều user •Thư mục thiết lập quyền ghi để người ghi file chung  người xóa file • Nếu“sticky” bit thiết lập cho thư mục, other có quyền ghi người dùng ghi vào thư mục chung xóa file tạo thêm vào thư mục 47 Quyền đặc biệt: Sticky Bit • Ví dụ: ls –ld /tmp drwxrwxrwt root sys 1077 Jan 25 13:30 /tmp Sticky Bit 48 Thiết lập quyền đặc biệt suid sgid 1 stb r w x r w x r w x 1 1 1 1 1 7 7 Special user group others Sử dụng “chmod” chế độ số: chmod 7777 filename 49 Bài tập • Thư mục BaiThiLinux tạo để sinh viên copy thi vào • Sử dụng lện Linux để thiết lập quyền thư mục BaiThiLinux cho sinh viên nộp khơng xóa • Answer: chmod 1777 BaiThiLinux 50 ... student 862 Feb 19 :22 Jun 24 2003 uv.nawk Jun 24 2003 wx.nawk Jun 24 2003 yz.nawk Ví dụ $ ls -l rw-rw- tuananh user1 16 Feb 10 19 :12 test1.txt -rw-rw-rw- tuananh user1 16 Feb 10 19 :12 test2.txt... drw-r r tuananh user1 512 Feb 10 19 :14 vanban $ whoami tuananh $ cat test1.txt cat: test1.txt: Permission denied $ cat test2.txt Un fichier de test $ cp test2.txt vanban cp: vanban: Permission... Bit • Ví dụ: ls –ld /tmp drwxrwxrwt root sys 10 77 Jan 25 13 :30 /tmp Sticky Bit 48 Thiết lập quyền đặc biệt suid sgid 1 stb r w x r w x r w x 1 1 1 1 1 7 7 Special user group others Sử dụng “chmod”