Cách định cấu hình quyền truy cập của người dùng vào tệp và thư mục trong Linux
Do bản chất của hệ thống Linux, có nhiều hạn chế và cài đặt ủy quyền cho các tệp và thư mục về mặt bảo mật. Người dùng duy nhất có tất cả các đặc quyền này là người dùng root.
Do đó, trong khi sử dụng hệ thống, nếu chúng ta là người dùng root, cảnh báo trước chúng ta sẽ không phải là một cơ chế hạn chế và trong một số trường hợp, những thay đổi chúng ta thực hiện có thể gây ra sự cố lớn với hệ thống. Đây là lý do tại sao biết về quyền người dùng Linux là rất quan trọng đối với mọi người dùng Linux.
Mục Lục
Hành động mà người dùng có thể thực hiện liên quan đến tệp và thư mục
Mỗi người dùng có thể hành động trong khuôn khổ các ủy quyền được cấp cho anh ta. Có ba hành động mà người dùng có thể thực hiện liên quan đến tệp hoặc thư mục.
- đọc (r): Đó là về việc có thể xem danh sách thư mục và nội dung tệp.
- ghi (w): Đó là về việc thực hiện các thay đổi đối với tệp hoặc thư mục.
- thực thi (x): Đó là về việc chạy tệp đích hoặc có thể truy cập vào thư mục.
Nếu bạn đã quen thuộc với lệnh chmod và quyền đối với tệp Linux, bạn có thể đã nghe nói về ba quyền này trước đây.
Nhập ls -l để xem tệp hiện tại của bạn có quyền nào.
Những phần chúng tôi thấy là drwxr-xr-x và -rw-r – r– tham chiếu đến quyền đối với tệp. Lá thư d ở đầu một số biểu thức chỉ ra rằng biểu thức đó là một thư mục. Nếu chúng tôi giải thích các phần còn lại một cách riêng biệt, các phần được phân tách bởi – dấu hiệu đại diện cho nhóm người dùng với quyền đó.
Để hiểu rõ hơn, hãy chia chúng thành các nhóm ba người, không bao gồm chữ cái d.
rwxr-xr-x = rwx rx rx
rw-r – r– = rw- r– r–
Tập hợp các chữ cái đầu tiên chỉ định quyền của chủ sở hữu tệp, quyền thứ hai trong số các quyền của nhóm và tập hợp cuối cùng chỉ định quyền của những người dùng khác.
Theo đó, các quyền trong các tệp trên là:
- r: đặc quyền đọc
- w: viết đặc quyền
- x: thực thi đặc quyền
- rwx: người dùng sở hữu tệp có thể đọc, ghi, thực thi
- rx: những người dùng khác có thể đọc, thực thi, nhưng không thể viết
Thay đổi quyền với chmod
Chỉ root, người được ủy quyền cao nhất, mới có thể thay đổi đặc quyền truy cập. Quá trình thay đổi này được thực hiện dễ dàng với chmod yêu cầu.
Các tham số và ý nghĩa của chmod lệnh được đưa ra dưới đây.
- u: Chủ sở hữu của tệp hoặc thư mục
- g: Người dùng trong cùng một nhóm với chủ sở hữu của tệp hoặc thư mục
- o: Những người dùng khác
- một: Mở cho tất cả
- =: Đồng bộ hóa ủy quyền
- +: Thêm ủy quyền
- –: Xóa ủy quyền
Bây giờ bạn đã thấy ý nghĩa của các tham số, bây giờ bạn có thể xem xét một hoạt động ví dụ. Đối với điều này, hãy tạo một thư mục mẫu và làm theo các bước bên dưới theo thứ tự.
Sử dụng ls -l lệnh để duyệt các quyền của các tệp trong thư mục bạn đã tạo. Trong khi thực hiện việc này, hãy nghĩ rằng cấu trúc quyền của các tệp của bạn như sau.
ls -l
total 4
---------- 1 root root 0 Apr 25 16:20 example.txt
---------- 1 root root 0 Apr 25 16:21 ex_File
d--------- 2 root root 4096 Apr 25 16:21 ex_Folder
---------- 1 root root 0 Apr 25 16:20 ex_Text
Sau đó, truy cập tất cả các tệp trong thư mục bằng cách sử dụng * ký tự và để write (w) trở nên công khai bằng cách sử dụng chmod + w * yêu cầu.
chmod +w *ls -l
total 4
--w-r-x--- 1 root root 0 Apr 25 16:20 example.txt
--w-r-x--- 1 root root 0 Apr 25 16:21 ex_File
d-w-r-x--- 2 root root 4096 Apr 25 16:21 ex_Folder
--w-r-x--- 1 root root 0 Apr 25 16:20 ex_Text
Bây giờ, hãy thử cấp quyền đọc-ghi-thực thi (rwx) cho người dùng trong nhóm (g), quyền ghi (w) cho người dùng (u) và chỉ thực thi quyền (x) cho những người dùng khác.
chmod g+rwx,u+w,o+x *ls -l
total 4
--w-rwx--x 1 root root 0 Apr 25 16:20 example.txt
--w-rwx--x 1 root root 0 Apr 25 16:21 ex_File
d-w-rwx--x 2 root root 4096 Apr 25 16:21 ex_Folder
--w-rwx--x 1 root root 0 Apr 25 16:20 ex_Text
Và cuối cùng, bạn có thể sử dụng một lệnh như lệnh bên dưới để hủy cấp phép các tệp ở vị trí của bạn.
chmod a-rwx *code>ls -l
total 4
---------- 1 root root 0 Apr 25 16:20 example.txt
---------- 1 root root 0 Apr 25 16:21 ex_File
d--------- 2 root root 4096 Apr 25 16:21 ex_Folder
---------- 1 root root 0 Apr 25 16:20 ex_Text
Ngoài những cách sử dụng này, các quy trình ủy quyền cũng có thể được thể hiện bằng các thuật ngữ số mà bạn có thể đã xem qua và sử dụng trước đây mà không nhận ra.
Số lượng được xác định cho mỗi ủy quyền
| Chủ sở hữu của tệp | Người dùng trong cùng một nhóm với tư cách là chủ sở hữu của tệp | Người dùng khác | |
| r | 4 | 4 | 4 |
| w | 2 | 2 | 2 |
| x | 1 | 1 | 1 |
Ví dụ: hãy tưởng tượng bạn muốn chỉ cấp tất cả quyền cho chủ sở hữu của tệp. Đối với điều này, trước tiên bạn phải thu thập số lượng tương đương của các mẫu ủy quyền. Nói cách khác, vì bạn sẽ cấp tất cả các quyền nên r = 4 + w = 2 + x = 1 = tổng số là 7.
Bạn chỉ muốn cấp quyền này cho chủ sở hữu của tệp. Để làm điều này, bạn có thể sửa đổi một chút chmod rwx- —– lệnh bạn thường sử dụng. Nếu bạn sử dụng một lệnh như tệp chmod 700chỉ chủ sở hữu của tệp mới có tất cả các đặc quyền.
Để hiểu rõ hơn điều này, bạn có thể nghĩ đến một ví dụ khác. Hãy tưởng tượng rằng chủ sở hữu của tệp có tất cả các quyền, những người trong nhóm công khai có quyền ghi và những người dùng khác có quyền đọc.
Bạn có thể sử dụng phương trình r (4) + w (2) + x (1) = 7 cho tất cả các đặc quyền được cấp cho chủ sở hữu của tệp.
Quyền ghi mà bạn cấp cho người dùng trong nhóm chung với chủ sở hữu tệp sẽ sử dụng số 2, là số tương đương với ký tự write (w). Ủy quyền đọc mà bạn sẽ cấp cho những người dùng khác sẽ sử dụng số 4, là số tương đương với ký tự đọc (r).
Như nó có thể được hiểu từ đầu ra, các số tương đương phải thực hiện ủy quyền bạn muốn.
Làm cho cài đặt ủy quyền của bạn hợp lệ trong thư mục con với -R
Ngoài ra, nếu bạn muốn các quyền bạn cấp có hiệu lực trên thư mục đó và các thư mục con của nó, bạn nên sử dụng lệnh của mình với -R tham số.
Ví dụ: liệt kê các quyền truy cập của thư mục có tên “ex_Folder“ở vị trí của bạn. Kết quả sẽ là một đầu ra cho biết không tìm thấy quyền lợi nào.
ls -l
total 4
---------- 1 root root 0 Apr 25 16:20 example.txt
-rwx-w-r-- 1 root root 0 Apr 25 16:21 ex_File
d--------- 2 root root 4096 Apr 25 16:21 ex_Folder
---------- 1 root root 0 Apr 25 16:20 ex_Text
Sau đó vào bên trong thư mục có tên “ex_Folder“.
Sau đó quay lại thư mục mẹ. Sử dụng -R tham số và viết một lệnh như chmod -R 422 ex_Folder để các quyền truy cập được thêm vào có giá trị đối với tất cả các tệp con.
Do đó, tất cả các tệp, bao gồm tất cả các tệp và thư mục và thư mục con, được ủy quyền theo cách tương ứng với câu lệnh 422.
Giải pháp tốt nhất cho các tệp bị xóa vô tình: chattr
Dù lý do là gì, nếu có những tập tin mà bạn cho là quan trọng, bạn hoàn toàn có thể bảo vệ chúng trước khi chúng vô tình bị xóa. Lệnh cung cấp cơ hội bảo vệ này là chattr yêu cầu. Các chattr Lệnh này không chỉ bảo vệ chống lại việc xóa, nó còn được sử dụng để ngăn chặn việc sửa đổi tệp.
Bạn có thể sử dụng lsattr lệnh liệt kê các tệp như vậy.
Cố gắng bảo vệ main.cpp tệp xuất hiện ở đây với chattr + i main.cpp yêu cầu.
Như đã thấy trong đầu ra, có một -tôi trong phần quyền. Tuyên bố này là một dấu hiệu cho thấy tệp không thể chỉnh sửa được nữa. Để xác nhận điều này, bạn có thể thử xóa tệp này bằng lệnh như rm -rf main.cpp.
rm -rf main.cpp
rm: cannot remove 'main.cpp': Operation not permitted
Nếu bạn muốn hoàn tác thao tác này và làm cho tệp có thể chỉnh sửa được, chỉ cần sử dụng chattr -i main.cpp yêu cầu.
Đặc quyền truy cập rất quan trọng đối với bảo mật hệ thống tệp
Ủy quyền truy cập tạo thành xương sống của bảo mật hệ thống tệp Linux. Nhờ các quyền truy cập có thể được cấp cho từng tệp riêng biệt, việc quản lý hệ thống thoải mái hơn nhiều có thể được thực hiện.
Quyền truy cập trên cơ sở mỗi người dùng đôi khi thậm chí có thể có ý nghĩa hơn. Do đó, bạn có thể muốn tiếp cận các dự án và tệp trên hệ thống của mình khi biết các phương pháp ủy quyền được mô tả trong bài viết này.
Đọc tiếp
Giới thiệu về tác giả
