Đang tải... (xem toàn văn)
Hoc linux cơ bản, tìm hiểu về linux, linux tuyển tập từ cơ bản đến nâng cao, giao trinh phan quyen cap quyen thu muc, tap tin tren linux, dai hoc cao dang, linux co ban, cong nghe thong, linux linux, huong dan cho nguoi moi su dung linux
Bài Phân quyền cho user, tập tin, thư mục 8.1 Cấu trúc hệ thống tập tin Khái niệm tập tin Linux chia làm loại chính: + Tập tin chứa liệu bình thường + Tập tin thư mục + Tập tin thiết bị Ngoài Linux dùng Link (hard-link, soft-link) Pipe tập tin đặc biệt Để kiểm chứng thông tin, tạo thư mục /abc Trong thư mục abc tạo file 1.txt 2.txt Thực lại lệnh liệt kê danh sách tập tin thư mục /abc: Các thông tin từ trái sang phải phần thể sau: - Cột ("-rw-r r " "drwxr-xr-x"): Chỉ quyền truy cập tập tin hay thư mục + Ký tự ("-" ("-rw-r r " "d" "drwxr-xr-x") loại tập tin, thư mục - Tập tin thơng thường b Thiêt bị ngồi vi dạng block (như ổ đĩa cứng) c Thiết bị ngoại vi dạng ký tự (như bàn phím) d Thư mục l Tập tin liên kết + Các ký tự cột ("rw-r r " ("-rw-r r " "rwxr-xr-x" "drwxr-xr-x" quyền tập tin thư mục Chú ý quyền chia thành nhóm nhóm gồm ký tự Theo ví dụ "rw-r-có quyền rw, nhóm chủ quyền r Owner: Group: Other: user chủ sở hữu group chủ sở hữu rw-r r rw- r r rwxr-xr-x rwx r-x r-x r " user chủ sở hữu sở hữu other có Nói cách khác, có đối tượng {owner, group, other} đối tượng ứng với quyền cụ thể {read, write, execute} Quyền read cho phép đọc nội dung tập tin Đối với thư mục, quyền đọc cho phép di chuyển vào thư mục xem nội dung thư mục Quyền write cho phép thay đổi nội dung hay xóa tập tin Đối với thư mục, quyền write cho phép tạo, xóa, thay đổi tên tập tin thư mục không phục thuộc vào quyền cụ thể tập tin thư mục Như vậy, quyền write thư mục vơ hiểu hóa quyền truy cập tập tin thư mục Quyền execute cho phép gọi chương trình lên nhớ cách nhập từ bàn phím tên tập tin Đối với thư mục, vào thư mục lệnh cd có quyền thực thi với thư mục Khơng có quyền r Quyền đọc -w- Quyền ghi x Quyền thực thi Song song với ký hiệu miêu tà ký tự trên, quyền hạn truy cập biểu diễn dạng số Nếu tính từ bên trái qua số đại diện cho quyền Owner, số thứ hai đại diện cho quyền Group, số thứ đại diện cho quyền Other Mỗi số nhóm bit Quyền hạn cho loại người dùng sử dụng số có bit tương ứng cho quyền read, write execute Theo cấp quyền bit 1, ngược lại (không cấp quyền) Giá trị nhị phân số bit xác định quyền cho nhóm người Bit Bit Bit Read Write Execut e Ví dụ thiết lập quyền 751 có nghĩa là: owner có quyền read, write, execute (4+2+1=7), group có quyền read execute (4+1=5) other có quyền execute (1) Cụ thể cấu hình, chuyển đổi thập phân, nhị phân Bảng sau điều này: Quyền Ý nghĩa - Khơng có quyền x Quyền thực thi -w- Quyền ghi -wx Ghi thực thi r Quyền đọc r-x Đọc thực thi rw- Đọc ghi rwx Tồn quyền Nếu quay lại ví dụ trên: Do đăng nhập user root nên user root có quyền thư mục abc tập tin 1.txt 2.txt Quyền user root 1.txt rw-r r Điều nghĩa owner root có quyền đọc ghi, group other có quyền đọc + Cột (1): số liên kết (link) tập tin + Cột 3, (root root ): chủ sở hữu nhóm sở hữu + Cột (0): kích thước tập tin + Cột (Oct 15 15:52): thời gian thay đổi cuối + Cột (1.txt, 2.txt): tập tin hay thư mục 8.2 Lệnh thay đổi quyền chủ sở hữu (Owner) Cấn ý lệnh liên quan đến thay đổi quyền sở hữu phải thực user chủ sở hữu tập tin hay thư mục user root Cú pháp: [root@localhost Desktop]#chown [user] [tập tin thư mục] Ví dụ: logon user root tạo file test.txt test.txt Thay đổi quyền sở hữu file test.txt cho user u2 Nếu muốn thay đổi chủ sở hữu cho thư mục thư mục bên dùng option -R cho lệnh chown Ví dụ: logon user root tạo cấu trúc sau /teo/ti/xyz.txt Thay đổi quyền sở hữu /teo cho user u2 8.3 Lệnh thay đổi quyền nhóm chủ sở hữu (group) Cú pháp: [root@localhost Desktop]#chgrp [nhóm] [tập tin thư mục] Ví dụ: thay đổi nhóm sở hữu /test.txt cho nhóm kinhdoanh Tương tự lệnh chown muốn thay đổi chủ sở hữu cho thư mục thư mục bên dùng option -R cho lệnh chgrp Ví dụ: thay đổi nhóm sở hữu /teo/ti/xyz.txt cho nhóm kinhdoanh 8.4 Lệnh thay đổi quyền (đọc, ghi, thực thi) tập tin thư mục Cú pháp: [root@localhost Desktop]#chmod [+ quyền theo ký tự] [tập tin thư mục] Hoặc Cú pháp: [root@localhost Desktop]#chmod [quyền theo số thập phân] [tập tin thư mục] Ví dụ 1: Kiểm tra quyền /test.txt thêm quyền thực thi cho /test Ví dụ 2: Kiểm tra quyền /teo/ti/xyz.txt sửa quyền thành 750 cho /teo/ti/xyz.txt Quyền 750 nghĩa user chủ sở hữu có đọc, ghi thực thi, group chủ sở hữu có quyền đọc thực thi, other khơng có quyền 8.5 Quyền mặc định (default permissions) Umask (user mask) sử dụng để kiểm soát quyền mặc định files, thư mục tạo Có thể gán umask mặc định /etc/bashrc /etc/profile cho tất users Phần lớn distro gán 022 002 Để gán umask cho user xác định đó, bạn chỉnh sửa etc/bashrc user Thực mở file /etc/bashrc cat vi: Trong Linux, file hay thư mục tạo quyền hạn truy cập chúng (read, write, execute) cho chủ thể (owner, group, other) xác định dựa hai giá trị quyền truy nhập sở (base permission) mặt nạ (mask) Đối với thư mục, quyền truy cập sở 0777(rwxrwxrwx), files 0666 (rw-rw-rw) Giá trị “mask” thiết lập nhờ lệnh umask (quan sát hình trên) Tất file thư mục tạo sau chịu ảnh hưởng giá trị mask Quyền truy cập thức tính cách lấy “giá trị nhị phân Base permission" "AND" dạng biểu diễn bù mask" "quyền truy cập mặc định" AND "(NOT (Giá trị umask))" Ví dụ: Bash permission file: 666 = 110110110 umask: 022 = 000010010 NOT (umask) = NOT (000010010 ) = 111101101 110 110 110 AND 111 101 101 = 110 100 100 = 644 Cũng tính quyền truy cập thức đơn giản cách lấy Bash permission – umask (666 – 022 = 644) Nhưng với thư mục Còn với file Bash permission – umask Sau số chẵn giữ nguyên, số lẻ giảm Nếu giá trị umask mặc định cho user thường 002 quyền hạn truy cập mặc định cho thư mục 775 file 664 Còn giá trị umask mặc định cho user thường 0022 quyền hạn truy cập mặc định cho thư mục 755 file 644 8.6 Quyền đặc biệt Ngồi quyền cho Owner, Group, Other có quyền đặc biệt Các quyền đặc biệt bap gồm: SUID (Set User ID), SGID (Set Group ID), Sticky bit SUID SGID Sticky 8.6.1 SUID (Set User ID) Owner Owner Owner Group Group Group Other Other Other SUID (Set User ID): Nếu SUID bit thiết lập cho ứng dụng, file thực thi người đó, điều có nghĩa người dùng khác chủ sở hữu ứng dụng sử chạy chủ sở hữu Hãy xem ví dụ: rws: nghĩa câu lệnh thay đổi mật passwd thiết lập SUID bit Tuy passwd thuộc root thiết lập SUID bit nên người dùng khác thực passwd (tất nhiên thay đổi mật user thực passwd) Ví dụ cụ thể: Liệt kê thư mục /root user root tài khoản thường u2 nhận thông báo lỗi Thiết lập lại SUID bit sau: Hoặc sùng lệnh sau: Thử liệt kê thư mục /root user root tài khoản thường u2 Vậy có quyền thực thi thì: Vậy khơng có quyền thực thi thì: 8.6.2 SGID (Set Group ID) SGID (Set Group ID) Bit: SGID bit hữu ích phải trao quyền truy cập directory cho nhóm users group Khi SGID bit kích hoạt directory, toàn file directory cấp tạo người dùng có group permission giống với parent directory Xét ví dụ sau: Tạo thư mục /test: Phân thêm quyền SGID cho /test Hoặc sùng ln lệnh sau: Vào tài khoản thường u2 tạo thư mục kiểm tra: Khi có quyền thực thi: Khi khơng có quyền thực thi: 8.6.3 Sticky bit Một sticky bit kích hoạt, owner file remove rename file, bất chấp người sử dụng khác có full permission file Vào lại thư mục dulieu /test phân quyền Sticky bit cho thư mục liệu Vào tài khoản thường u2, tạo file thư mục dulieu kiểm tra owner group file vừa tạo Quay lại tài root đổi quyền group owner cho u2 Vào tài khoản thường u2 lại, xóa đổi tên file tailieu.txt Đồng thời tạo file tailieukhac.txt Vào tài khoản thường khác u1 khơng thực điều Khi có quyền sticky: Khi khơng có quyền sticky: Bảng tổng kết cách chmod SUID, SGID, Sticky bit Cấu hình theo ký tự Cấu hình thep số SUID chmod +s [tên file] chmod 4XXX [tên file] SGID chmod +g [tên file] chmod 2XXX [tên file] Quyền Sticky bit chmod +t [tên file] chmod 1XXX [tên file] ... qua số đại diện cho quyền Owner, số thứ hai đại diện cho quyền Group, số thứ đại diện cho quyền Other Mỗi số nhóm bit Quyền hạn cho loại người dùng sử dụng số có bit tương ứng cho quyền read,... test.txt cho user u2 Nếu muốn thay đổi chủ sở hữu cho thư mục thư mục bên dùng option -R cho lệnh chown Ví dụ: logon user root tạo cấu trúc sau /teo/ti/xyz.txt Thay đổi quyền sở hữu /teo cho user... mặc định cho user thường 002 quyền hạn truy cập mặc định cho thư mục 775 file 664 Còn giá trị umask mặc định cho user thường 0022 quyền hạn truy cập mặc định cho thư mục 755 file 644 8.6 Quyền