Giáo trình quản trị Linux Ubuntu

QUYỀN CỦA NGƯỜI DÙNG TRÊN FILESYSTEM
Trên môi trường nhiều người dùng chung tài nguyên, bảo mật các tài nguyên này rất quan trọng. Người quản trị cần phải thiết lập quyền hạn cho tập tin, thư mục sao cho không bị thay đổi nội dung, không bị xóa. Để nắm rõ vấn đề này, bạn cần tìm hiểu quyền hạn của người dùng trên FileSystem.

I.QUYỀN TRÊN FILESYSTEM:
Trong Linux mọi đối tượng đều có dạng là tập tin. Tất cả tập tin đều có người sở hữu và quyền truy cập. Ta xét ví dụ :

-Các ký tự rw-r--r-- : biểu thị quyền truy cập của tập tin passwd, loại tập tin được chỉ định trong ký tự đầu tiên. -Linux cho phép người dùng xác định các quyền đọc (read), ghi (write) và thự thi (execute) cho từng đối tượng. Có ba loại đối tượng : +Người sở hữu (owner) : 3 ký tự đầu tiên (rw-) +Nhóm sở hữu (group) : 3 ký tự tiếp theo (r--) +Người khác (others) : 3 ký tự cuối cùng (r--) -Quyền đọc : cho phép bạn đọc nội dung của tập tin. Đối với thư mực, quyền đọc cho phép bạn di chuyển vào thư mục bằng lệnh cd hoặc Nautilus và xem nội dung của thư mục. -Quyền ghi : cho phép bạn thay đổi nội dung hay xóa tập tin. Đối với thư mục, quyền ghi cho phép bạn tạo ra, xóa hay thay đổi tên các tập tin, thư mục con trong thư mục cha, nhưng không phụ thuộc vào quyền cụ thể của tập tin trong thư mục. Như vậy, quyền ghi của thư mục sẽ vô hiệu hóa các quyền truy cập của tập tin trong thư mục. -Quyền thực thi : cho phép bạn gọi chương trình lên bộ nhớ cách cách nhập tên tập tin từ bàn phím hay nhấn đôi mouse vào tập tin trong Nautilus. Đối với thư mục, bạn chỉ có thể chuyển vào (cd) thư mục nếu bạn có quyền thực thi với thư mục. -Biểu thị quyền của các tập tin, thư mục của các đối tượng như sau: Owner read write execute Read Group write execute Read Others write execute

-Song song với việc miêu tả bằng các ký tự (r, w, e) ở trên, quyền truy cập còn có thể biểu diễn dưới dạng số nhị phân. Quyền hạn của từng loại người dùng sử dụng một nhóm số hệ nhị phân có 3 bít tương ứng cho quyền read, write, execute. Nếu cấp quyền thì bít đó là 1, ngược lại là 0. -Biểu thị quyền của các tập tin, thư mục của một đối tượng như sau: bít vị trí 2 read Ví dụ : Set quyền chỉ đọc : 100 Set quyền ghi Phan Huy Phong : 010 bít vị trí 1 Write bít vị trí 0 execute

Chỉ có chủ sở hữu và superuser mới có quyền thực hiện lệnh này. có quyền là r-. có quyền là rw. ta có thể xác định số quyền hạn của một đối tượng bằng cách tính tổng giá trị các quyền. write. có quyền là r-. khi cấp quyền trên tập tin/thư mục.→ 4  Ba ký tự cuối cùng. Xét lại ví dụ trên : Trong đó :  Ba ký tự đầu tiên. Cú pháp : #chmod [nhóm người dùng] [thao tác] [quyền hạn] [tập tin/thư mục] Trong đó : Phan Huy Phong . đại diện cho chủ sở hữu là root. đại diện cho những người khác. Số đầu tiên là quyền sở hữu. đại diện cho nhóm sỡ hữu là nhóm root. số thứ hai là nhóm sở hữu và số thứ ba là những người dùng khác.→ 4 Vậy tập tin passwd có quyền là 644 II.GÁN QUYỀN TRÊN FILESYSTEM: 1.Lệnh chmod: Cấp quyền hạn cho tập tin/thư mục. Quyền Read Write Execute None Giá trị hệ 2 100 010 001 000 Giá trị hệ 10 4 2 1 0 -Tổ hợp của 3 quyền trên có giá trị từ 0 đến 7: Quyền Không có quyền Execute Write-only Write và Execute Read-only Read và Execute Read và Write Read.→ 6  Ba ký tự kế tiếp. Execute Ký hiệu ---x -w-wr r-r-x rwrwx Giá trị hệ 2 000 001 010 011 100 101 110 111 Giá trị hệ 10 0 1 2 3 4 5 6 7 -Như vậy.Giáo trình quản trị Linux Ubuntu -Theo cách tính số nhị phân. bạn có thể dùng số thập phân gồm 3 con số dễ dàng hơn.

nhóm sở hữu của thư mục và tất cả thư mục con bên trong.txt hoặc #chmod 700 myfile. và ta không thể thay đổi được + đối với tập tin là 666 (rw-rw-rw) + đối với thư mục là 777 (rwxrwxrwx) -umask là giá trị đựợc thiết lập bởi người dùng bằng lệnh umask. x là execute III. execute) cho các đối tượng (owner.txt -Gán thêm quyền ghi cho group #chmod g+w myfile. g là group . Với umask này thì giá trị mặc định của thư mục là 775 và giá trị mặc định của tập tin là 664. write. -Default mask cho root user là 022. -Base Permission là giá trị được thiết lập sẵn từ trước. Ví dụ : myfile.LỆNH UMASK: Trong Linux.txt hoặc #chmod 775 myfile.txt -Xóa quyền read trên group và others 2.txt #chown hv1 /home/php/myfile. nhóm sở hữu cho tập tin/thư mục. group. -Giá trị mặc định umask cho user thường là 002.txt #chmod go-r myfile. Cú pháp : #chgrp [nhóm sở hữu] [tập tin/thư mục] Ví dụ : myfile. -Thao tác -Quyền Ví dụ : myfile. o là others . Giá trị umask sẽ "che đi" một số bit trong Base Permission để tạo ra quyền truy nhập chính thức cho tập tin/thư mục. quyền truy cập chính thức được tính bằng cách lấy giá trị nhị phân của Base Permission AND với dạng biểu diễn bù 1 của umask.là xóa quyền . khi một tập tin hay một thư mục được tạo ra thì quyền truy cập đối với chúng (read.txt 3.Giáo trình quản trị Linux Ubuntu -Nhóm người dùng : u là user . .Lệnh chown: Thay đổi người sở hữu.txt #chown hv1:root /home/php/myfile. other) sẽ được xác định dựa trên hai giá trị là quyền truy nhập cơ sở (base permission) và mặt nạ (umask). w là write .txt : + là thêm quyền . Cú pháp : #chown [tên người sở hữu : nhóm sở hữu] [tập tin/thư mục] #chown -R [tên người sở hữu : nhóm sở hữu] [tập tin/thư mục] -R (recursive) cho phép thay đổi người sở hữu. Bạn có thể thay đổi giá trị umask bằng lệnh #umask <giá trị> Phan Huy Phong .txt #chgrp users /home/php/myfile. Với umask này thì giá trị mặc định của thư mục là 755 và giá trị mặc định của tập tin là 664.Lệnh chgrp: Thay đổi nhóm sở hữu cho tập tin/thư mục. = là gán quyền bằng : r là read . Cụ thể. a là all.

chọn Properties hoặc File/Properties. Phan Huy Phong . thư mục) -Bạn nhấn mouse phải trên đối tượng này.QUẢN LÝ QUYỀN FILESYSTEM QUA GIAO DIỆN X: -Bạn mở Nautilus lên.Giáo trình quản trị Linux Ubuntu IV. sau đó chọn đối tượng (tập tin.

BÀI TẬP: 1. Bạn có thể kiểm tra thông qua Terminal hoặc giao diện X. +Mục Other : bạn có thể gán quyền truy cập thư mục (Folder access). -B1 : #mkdir /baocao -B2: tạo các user và đặt password cho từng user (hv1). Nơi đây lưu trữ các báo cáo tuần. gán quyền truy cập cho tập tin cho nhóm (File access). -B3: Phân quyền #chmod 755 /baocao Hoặc gán quyền Access files cho Group và Others bằng giao diện X. gán quyền truy cập cho tập tin cho nhóm (File access). +Mục Execute : bạn gán quyền thực thi cho tập tin. -Nhấn Close để gán quyền. -B4 : Kiểm tra quyền. sửa các đối tượng trong thư mục này. không có quyền xóa. V. gán quyền truy cập cho tập tin (File access).Giáo trình quản trị Linux Ubuntu -Gán quyền : +Mục Owner : bạn có thể thay đổi người sở hữu và gán quyền truy cập thư mục (Folder access). Phan Huy Phong . Bạn muốn cho người khác chỉ có quyền mở những tập tin trong thư mục này lên. +Mục Group : bạn có thể thay đổi nhóm sở hữu và gán quyền truy cập thư mục (Folder access).Bài 1: Bạn có thư mục /baocao.

không có quyền truy cập thư mục của ti (/data/ti). chủ sở hữu thư mục này : có toàn quyền +bạn login vào hv1 : chỉ có quyền truy xuất.… muốn chỉ có họ mới truy cập toàn quyền các thư mục của họ. không có quyền truy cập thư mục của teo (/data/teo). +login ti : ti có quyền trên thư mục của ti (/data/ti) . User này không được phép truy cập thư mục của user khác.Bài 2: Bạn có thư mục /data/ti . toàn vẹn. Các user ti. hoặc #chown root:ti /data/ti hoặc #chown root:teo /data/teo +login teo : teo có quyền trên thư mục của teo (/data/teo) . /data/…. sự bảo mật của cá nhân được đảm bảo. Vậy. teo và đặt password. -B3: #chmod 775 /data #chmod –R 700 /data/* #chown ti:root /data/ti #chown teo:root /data/teo -B4:Kiểm tra. -B1: #mkdir /data #mkdir /data/ti /data/teo -B2: tạo user ti. 2. Thư mục /data lưu trữ thư mục cá nhân của từng user tương ứng.Giáo trình quản trị Linux Ubuntu +bạn login vào root. teo. /data/teo. Phan Huy Phong .

…. Mỗi phòng ban có user tương ứng là kt1. kt2 và kd1. kt2 và group kd để chứa kd1. Thư mục /data/dungchung cho phép tất cả user có quyền truy xuất.Giáo trình quản trị Linux Ubuntu 3.Bài 3: Bạn có thư mục /data/ketoan. kd2 -B3: #chmod 755 /data #chmod –R 770 /data/* #chmod 755 /data/dungchung #chown root:kt /data/ketoan #chown root:kd /data/kinhdoanh -B4: Kiểm tra. kd2. +kt1: +kt2: +kd1: +kd2: tương tự kd1. User của phòng này không được truy xuất vào thư mục của phòng ban khác. -B1: #mkdir /data #mkdir /data/ketoan /data/kinhdoanh /data/dungchung -B2: Tạo các user và password tương ứng. không quyền ghi. /data/kinhdoanh. Tạo group kt để chứa kt1.. /data/dungchung. lưu trữ trong thư mục của phòng ban của mình. Phan Huy Phong . Thư mục /data lưu trữ thư mục từng phòng ban tương ứng. Các user cùng phòng ban có quyền truy xuất. xóa.

không được phép ghi. các user khác chỉ truy xuất. không ghi. -B1: Cài Access Control List #apt-get install acl -B2: Thêm từ khóa acl vào /etc/fstab ở partion / và /home để không bị báo lỗi Operation not supported. không ghi. xóa. 4. Nhưng kt1 có toàn quyền trong /data/ketoan. Bạn khởi động lại Ubuntu. Tương tự. Phan Huy Phong . kd1 có toàn quyền trong /data/kinhdoanh. các user kdX (X=2…n) chỉ có quyền truy xuất. kt2. xóa. kd1. kt2 và group kd để chứa kd1. Thư mục /data/dungchung do root toàn quyền quả lý. không có quyền tạo. -B3: #mkdir /data #mkdir /data/ketoan /data/kinhdoanh /data/dungchung -B4: Tạo các user và password tương ứng.Giáo trình quản trị Linux Ubuntu +user kt1. xóa. các user ktX (X=2…n) chỉ có quyền truy xuất. Tạo group kt để chứa kt1. xóa. kd2 -B5: #chmod 755 /data #chmod –R 750 /data/* #chmod 755 /data/dungchung #setfacl -m u:kt1:rwx /dulieu/ketoan → set quyền cho kt1 là full #setfacl -m u:kd1:rwx /dulieu/kinhdoanh → set quyền cho kd1 là full -B6 : kiểm tra.Bài 4: Yêu cầu tương tự bài 3. kd2 : có quyền truy xuất /data/dungchung.

kd2 : kiểm tra tương tự kt1. Chỉ có thể truy xuất /data/dungchung Phan Huy Phong . +ti : user này không thuộc nhóm kt.Giáo trình quản trị Linux Ubuntu +kt1: +kt2: +kd1. kt2. kd.

Sign up to vote on this title
UsefulNot useful