Bài giảng môn Linux và phần mềm mã nguồn mở - Chương 4: Tài khoản NSD và phân quyền truy cập tệp

Tài  khoản  NSD  và  phân  quyền   truy  cập  tệp   Nội  dung   •  Khái  niệm  NSD  và  nhóm  NSD   •  Quản  lý  NSD  và  nhóm  NSD   •  Khái  niệm  quyền  truy  cập   •  Quyền  truy  cập  của  file   •  Quyền  truy  cập  của  thư  mục   •  Quản  lý  quyền  truy  cập   Khái  niệm  người  sử  dụng   •  NSD  thông  thường   •  Quản  trị   •  Nhóm  NSD   •  Tạo  một  người  sử  dụng   –  Tên,  Mật  khẩu,  home  của  người  sử  dụng  (/home/tên)   –  Nhóm  (một  người  sử  dụng  có  thể  thuộc  một  hoặc  nhiều   nhóm,  tuy  nhiên  cần  phải  xác  định  một  nhóm  chính)   –  Tất  cả  các  thông  ]n  về  người  sử  dụng  được  lưu  trong  file:  / etc/passwd   /etc/passwd   •  Username:password:UID:GID:Info:Home:Shell   •  Username:  It  is  used  when  user  logs  in.  It  should  be  between  1  and  32  characters  in  length.   •  Password:  An  x  character  indicates  that  encrypted  password  is  stored  in  /etc/shadow  file.   •  User  ID  (UID):  Each  user  must  be  assigned  a  user  ID  (UID).  UID  0  (zero)  is  reserved  for  root   and  UIDs  1-­‐99  are  reserved  for  other  predefined  accounts.  Further  UID  100-­‐999  are  reserved   by  system  for  administra]ve  and  system  accounts/groups.   •  Group  ID  (GID):  The  primary  group  ID  (stored  in  /etc/group  file)   •  User  ID  Info:  The  comment  field.  It  allow  you  to  add  extra  informa]on  about  the  users  such   as  user's  full  name,  phone  number  etc.  This  field  use  by  finger  command.     •  Home  directory:  The  absolute  path  to  the  directory  the  user  will  be  in  when  they  log  in.  If   this  directory  does  not  exists  then  users  directory  becomes  /   •  Command/shell:  The  absolute  path  of  a  command  or  shell  (/bin/bash).  Typically,  this  is  a   shell.  Please  note  that  it  does  not  have  to  be  a  shell.     3/6/11 @ Ha Quoc Trung 2009 4 /etc/shadow   •  User:Pwd:Last  pwd  change  :Minimum:Maximum:Warn:InacEve  :Expire     •  User  name  :  It  is  your  login  name   •  Password:  It  your  encrypted  password.  The  password  should  be  minimum  6-­‐8  characters  long   including  special  characters/digits   •  Last  password  change  (lastchanged):  Days  since  Jan  1,  1970  that  password  was  last  changed   •  Minimum:  The  minimum  number  of  days  required  between  password  changes  i.e.  the   number  of  days  lew  before  the  user  is  allowed  to  change  his/her  password   •  Maximum:  The  maximum  number  of  days  the  password  is  valid  (awer  that  user  is  forced  to   change  his/her  password)   •  Warn  :  The  number  of  days  before  password  is  to  expire  that  user  is  warned  that  his/her   password  must  be  changed   •  Inac]ve  :  The  number  of  days  awer  password  expires  that  account  is  disabled   •  Expire  :  days  since  Jan  1,  1970  that  account  is  disabled  i.e.  an  absolute  date  specifying  when   the  login  may  no  longer  be  used     3/6/11 @ Ha Quoc Trung 2009 5 Nhóm  người  sử  dụng   •  Mỗi  người  sử  dụng  có  thể  thuộc  về  một  hoặc  nhiều   nhóm   –  Một  nhóm  =  tên  nhóm  +  danh  sách  các  thành  viên   –  Khả  năng  chia  sẻ  các  file  giữa  những  người  sử  dụng  trong   cùng  một  nhóm.   –  Danh  sách  các  nhóm  được  lưu  trữ  trong  file:  /etc/group   –  root  có  khả  năng  tạo  ra  các  nhóm  bổ  xung,  ngoài  các  nhóm   mà  hệ  điều  hành  đã  ngầm  định   /etc/group   •  group_name:Password:Group  ID  (GID):  Group  List   •  group_name:  It  is  the  name  of  group.  If  you  run  ls  -­‐l   command,  you  will  see  this  name  printed  in  the  group  field.     •  Password:  Generally  password  is  not  used,  hence  it  is   empty/blank.  It  can  store  encrypted  password.  This  is   useful  to  implement  privileged  groups.  X  means  passwd  is   stored  in  /etc/gshadow   •  Group  ID  (GID):  Each  user  must  be  assigned  a  group  ID.  You   can  see  this  number  in  your  /etc/passwd  file.     •  Group  List:  It  is  a  list  of  user  names  of  users  who  are   members  of  the  group.  The  user  names,  must  be  separated   by  commas.   3/6/11 @ Ha Quoc Trung 2009 7 /etc/gshadow   •  Group  name  —  The  name  of  the  group.  Used  by  various  u]lity  programs  as   a  human-­‐readable  iden]fier  for  the  group.   •  Encrypted  password  —  The  encrypted  password  for  the  group.  If  set,  non-­‐ members  of  the  group  can  join  the  group  by  typing  the  password  for  that   group  using  the  newgrp  command.  If  the  value  of  this  field  is  !,  then  no   user  is  allowed  to  access  the  group  using  the  newgrp  command.  A  value   of  !!  is  treated  the  same  as  a  value  of  !  —  however,  it  also  indicates  that  a   password  has  never  been  set  before.  If  the  value  is  null,  only  group   members  can  log  into  the  group.   •  Group  administrators  —  Group  members  listed  here  (in  a  comma   delimited  list)  can  add  or  remove  group  members  using  the  gpasswd   command.   •  Group  members  —  Group  members  listed  here  (in  a  comma  delimited  list)   are  regular,  non-­‐administra]ve  members  of  the  group.   3/6/11 @ Ha Quoc Trung 2009 8 Công  cụ   •  useradd/mod/del   •  passwd   •  groupadd/mod/del   •  gpasswd   •  sg/newgrp   •  su   •  users/groups   •  id   3/6/11 @ Ha Quoc Trung 2009 9 Các  quyền   •  Mỗi  file  luôn  thuộc  về  một  người  sử  dụng  và   một  nhóm  xác  định   – Người  tạo  ra  file  hoặc  thư  mục  sẽ  là  người  sở  hữu,   nhóm  chứa  người  tạo  ra  file  hoặc  thư  mục  sẽ  là   nhóm  sở  hữu  đối  với  file/thư  mục.   •  Sự  phân  quyền  cho  phép  xác  định  rõ  các   quyền  mà  người  sử  dụng  có  đối  với  một  file   hoặc  một  thư  mục.   Quyền  truy  cập   •  r  :  đọc   –  Cho  phép  hiển  thị  nội  dung  của  file  hoặc  thư  mục   •  w  :  ghi   –  Cho  phép  thay  đổi  nội  dung  của  file   –  Cho  phép  thêm  hoặc  xóa  các  file  trong  một  thư  mục   •  x  :  thực  thi   –  Cho  phép  thực  thi  file  dưới  dạng  một  chương  trình   –  Cho  phép  chuyển  đến  thư  mục  cần  truy  cập   Các  nhóm  người  sử  dụng   •  Có  3  nhóm  người  sử  dụng  đối  với  1  file/  thư  mục:   –  u  (người  sở  hữu)  :  người  sở  hữu  duy  nhất  của  file   –  g  (groupe)  :  những  người  sử  dụng  thuộc  nhóm  chứa  file   –  o  (others)  :  những  người  sử  dụng  khác,  không  phải  là   người  sở  hữu  file  cũng  như  không  thuộc  nhóm  chứa  file.   •  Mỗi  nhóm  người  sử  dụng  sẽ  có  một  tập  các  quyền  (r,   w,  x)  xác  định.   Ví  dụ   $ ls -l ----rw-rw- 1 tuananh user1 16 Feb 10 19:12 test1.txt -rw-rw-rw- 1 tuananh user1 16 Feb 10 19:12 test2.txt drw-r--r-- 2 tuananh user1 512 Feb 10 19:14 vanban $ whoami tuananh $ cat test1.txt cat: test1.txt: Permission denied $ cat test2.txt Un fichier de test $ cp test2.txt vanban cp: vanban: Permission denied Các  lưu  ý   •  Để  có  thể  thêm  các  file,  cần  phải  có  quyền  «  w  »  đối  với  thư   mục   •  Để  có  thể  xóa,  thay  đổi  nội  dung  hoặc  di  chuyển  1  file,  người   sử  dụng  cũng  cần  phải  có  quyền  «  w  »  đối  với  thư  mục   •  Việc  xóa  một  file  còn  phụ  thuộc  vào  quyền  đối  với  thư  mục   chứa  file  đó   •  Để  bảo  mật  các  dữ  liệu,  người  sở  hữu  file  thậm  chí  có  thể  bỏ   cả  quyền  đọc  «  r  »  đối  với  tất  cả  mọi  người  sử  dụng  khác.   •  Để  hạn  chế  quá  trình  truy  cập  vào  hệ  thống  file,  người  sử  dụng   có  thể  bỏ  quyền  thực  thi  (x)  đối  với  thư  mục  gốc  của  hệ  thống   file.   Một  số  quyền  đặc  biệt  đối  với  các  file  thực   thi   •  set-uid: -rws --- --- –  Chương  trình  được  chạy  dưới  quyền  của  người  sở  hữu •  set-gid: - --- rws --- –  Chương  trình  được  chạy  bởi  các  người  sử  dụng  thuộc  cùng   nhóm  với  người  sở  hữu •  bit sticky –  Chương  trình  chỉ  được  cấp  phát  bộ  nhớ  trong  1  lần Ví  dụ   $ ls -l /etc/passwd -rw-rw---- 1 root root 568 Feb 10 19:12 passwd $ ls -l /bin/passwd -rwsrws--x 1 root root 3634 Feb 10 19:12 passwd •  Khi  một  người  sử  dụng  thông  thường  gọi   lệnh  /bin/passwd,  xem  như  người  đó  được   «  mượn  »  quyền  root  để  thay  đổi  mật  khẩu   trong  file  /etc/passwd   Thay  đổi  quyền  truy  cập  (1)   $chmod set_uid set-gid sticky user group other rwx --x --x 1 1 0 111 001 001 6 7 1 1 $ chmod 6711 test $ ls -l test -rws--s--x 1 tuananh user1 Mar 10 10:20 test $ chmod 711 test $ ls -l test -rwx--x--x 1 tuananh user1 Mar 10 10:20 test   Thay  đổi  quyền  truy  nhập  (2)   $chmod •  u  |  g  |  o  |  a  (all)   •  Opera]on     –  +  (thêm  1  hoặc  1  số  quyền  vào  tập  các  quyền  file  đã  có)   –  -­‐  (bỏ  1  hoặc  1  số  quyền  khỏi  tập  các  quyền  file  đã  có)   –  =  (gán  mới  1  hoặc  1  số  quyền  cho  file)   •  Quyền  =  r  |  w  |  x  |  s   Ví  dụ   $ ls -l test.txt -rw-rw-r-- 1 tuananh user1 150 Mar 19 19:12 test.txt $ chmod o+w test.txt $ ls -l test.txt -rw-rw-rw- 1 tuananh user1 150 Mar 19 19:12 test.txt $ chmod a-rw test.txt $ ls -l test.txt ---------- 1 tuananh user1 150 Mar 19 19:12 test.txt $ cat test.txt cat: test.txt: Permission denied Định  nghĩa  các  quyền  ngầm  định  khi  tạo  ra   1  file   •  Các  quyền  ngầm  định  của  1  file  khi  tạo  ra  có  thể   được  xác  định  bằng  lệnh  umask   $umask 022 –  Số  0  có  nghĩa  là  quyền  của  người  sử  dụng  không  bị  hạn  chế   (rwx)   –  Số  2  có  nghĩa  là  quyền  ghi  (w)  bị  hạn  chế  (r-­‐w).   $umask 022 Thay  đổi  người  sở  hữu  và  nhóm   $chown  [-­‐R]       –  Thay  đổi  người  sở  hữu  của  file   $chgrp       –  Thay  đổi  nhóm  của  file   –  Có  thể  sử  dụng  tùy  chọn  –R  để  lặp  lại  việc  thực  hiện  các   lệnh  (ví  dụ  thực  hiện  việc  thay  đổi  quyền  sở  hữu  hoặc   nhóm  của  mọi  file  trong  cùng  một  thư  mục)   •  Các  lệnh  trên  chỉ  dành  cho  những  người  sử  dụng  có   quyền  root   Các  quyền  đặc  biệt  với  tệp   •  set-uid: -rws --- --- –  Tệp  chương  trình  được  chạy  dưới  quyền  của  người  sở  hữu •  set-gid: - --- rws --- –  Chương  trình  được  chạy  dưới  quyền  của  nhóm    sở  hữu •  bit sticky –  Chương  trình  chỉ  được  cấp  phát  bộ  nhớ  trong  1  lần 3/6/11 @ Ha Quoc Trung 2009 22 Các  quyền  đặc  biệt  với  thư  mục   •  set-uid: -rws --- --- •  set-gid: - --- rws --- –  Các  tệp  mới  được  tạo  ra  có  nhóm  chủ  sở  hữu  là  nhóm  của   thư  mục •  bit sticky –  Chỉ  có  root  và  chủ  sở  hữu  được  xóa,  kể  cả  khi  có  quyền  rwx 3/6/11 @ Ha Quoc Trung 2009 23 S]cky  bit  example   3/6/11 @ Ha Quoc Trung 2009 24 S]cky  bit  example   3/6/11 @ Ha Quoc Trung 2009 25 Suid  bit-­‐example   3/6/11 @ Ha Quoc Trung 2009 26 Suid  bit-­‐example   3/6/11 @ Ha Quoc Trung 2009 27