Tìm hiểu giấy phép truy cập file cơ bản trong UNIX ppsx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (96.75 KB, 5 trang )
Tìm hiểu giấy phép truy cập file cơ
bản trong UNIX
UNIX không chỉ là một hệ điều hành độc lập mà còn là một trong những
thế hệ nối tiếp của AT&T UNIX được Ken Thompson và Dennis Ritchie phát
triển cùng với sựu hỗ trợ của Brian Kernighan sau này.
Kể từ thời điểm đó,một chuẩnIEEE chínhthức
cho hệ điều hành UNIX,có tên POSIX Standard
được phát triển. Cáitên UNIX sauđó đã được
sử dụng để đặt têncho nhữnghệ điều hành
tuân thủ theo chuẩnduy nhất này của UNIX,
mà phiên bản hiện tại của chuẩn này (SUS3)
rất giống với chuẩn POSIX:2001.
Một phầncủa chuẩnnày, chúngtacó thể thấy trên bất kì hệ điềuhành kiểu Linux
nào như những hệ thốngUNIX BSDhay các bản phân phối Linux,là hệ thống giấy
phép file của Unix. Hệ thống này cung cấp bakiểu đối tượngchính, mỗi đối tượng
trong số này cóthể đượcchấpthuậnhay từ chối cấp ba loạigiấy phéptươngứng.
Các đối tượng
Owner (chủ sở hữu)
Mỗi file và thư mục(một loại file cụ thể) đều cómột Owner. Đây là tài khoảnngười
dùngcó toàn quyền vớifile này, chophép thực hiện mộtsố thao tác như thay đổi
giấy phép file. Owner được coi là một tài khoản người dùng gốc(root)hay tài
khoản người dùng cá nhân,hay thậm chí làmộttài khoản người dùng bấtkì được
tự độngtạođể sử dụng mộtvài chức năng của phần mềm màchúng ta đã cài đặt.
Thôngthường, Owner của mộtfile là tài khoảnđượcsử dụng để tạo file đó, mặcdù
sau đó những file này có thể được gán lại cho Owner khác bằng lệnhchown.
Group (nhóm)
Ngoài Owner, mỗi file đềucó một tài khoản nhóm. Nhóm này, giốngnhư tài khoản
ngườidùng là chủ sở hữu file (Owner),có mộtnhóm giấy phép truycập vào file đó.
Khi tạomột file, nhómnày sẽ được coi lànhóm mặcđịnhcủa tài khoản người dùng
được sử dụng để tạo file này, dùsau đó file nàycó thể được gán lại cho một nhóm
khác bằng lệnh chgrp. Vídụ, trong tài khoản gốc, điều nàycó nghĩa là nhómsở hữu
file này lànhóm wheeltrong nhữnghệ thống BSDUnix.
World (cộng đồng)
Đây là đối tượng được cấp phép cuối cùng. Đối tượng nàybao gồmmọi tài khoản
khôngphải là Owner haythành viêncủa nhóm sở hữufile.
Các loại giấy phép
Những giấy phép trongUNIX baogồmba giá trị nhị phân dạng số:
100. Giá trị số nhị phân100 (giá trị thập phântương ứnglà 4) cấp
phép read hay r (đọc)file cho đối tượng. Điềunày có nghĩa là,dù đối tượng nào
được cấp giấy phépnày đều cóthể xem dữ liệu trong file. Mộttài khoản đượccấp
phép read tới một thư mụcsẽ cóthể xemdữ liệu trong thư mụcđó.
10. Trị số nhị phânnày (giátrị thập phân tương ứnglà 2) tương ứng vớigiấy
phép write hayw (ghi).Có nghĩa lànhững đối tượng được cấp giấy phép này đều
có thể ghi dữ liệu hay thựchiện thay đổi cho file, hoặc thậm chí làxóa dữ liệu trong
đó. Tương tự,một tài khoản được cấpphép write tới một thư mục cũng có thể thực
hiện thayđổi dữ liệu trong thư mụcđó, như tạo cácfile mới.
1. Đâylà một trị số nhị phân (giá trị thập phântương ứnglà 1) thể hiện giấy
phép execute hay x (thựcthi). Có nghĩa là những đối tượngđược cấpgiấy phép này
có thể chạy file, như trong trườnghợp cóthể chạy ứngdụng.Nếu không có đối
tượng nào được cấp phép chạy file, chúng sẽ không được truycập vào bấtcứ file
nào ngoại trừ nhữngdữ liệu thô trên ổ cứng.Khi mộttài khoản đượccấp
phép execute tới mộtthư mục nó có thể truycập vàothư mục đó để thực hiện mọi
thao tác, bao gồm cả xemdữ liệu, vì khixem dữ liệu của một thư mụctừ bên ngoài
ngườidùng sẽ phải chạy ứng dụng rồi truy cập vàothư mục đó.
Những trị số này cóthể được kết hợp lại với nhau để tạo ra mộtnhómgiấy phép
cho đối tượng người dùng cụ thể. Ví dụ,khikếthợp 100 và10 sẽ tạo ra đối tượng
với giấyphép 110 vớiquyềntruy cậpđọc và ghi,mà không có quyền thựcthi.
Tương ứngvới trị số nhị phân 110này là giátrị thập phân 6.
Hiển thị và thay đổi giấy phép
Hiển thị giấy phép
Để kiểmtra các cài đặt giấy phép củamột file,chúng ta chỉ cần dùng lệnh ls với tùy
chọn –l để hiển thị thông tinbao gồm cả các giấy phép.Khi chạy lệnh này trên thư
mục /etc/periodic củahệ thống mặc định Free BSDchúng ta sẽ thấy nhữngthông
tin như sau:
> ls -l /etc/periodic
drwxr-xr-x 2 root wheel 1024 Sep 7 09:10 daily
drwxr-xr-x 2 root wheel 512 Sep 7 09:10 monthly
drwxr-xr-x 2 root wheel 512 Sep 7 09:10 security
drwxr-xr-x 2 root wheel 512 Sep 7 09:10 weekly
Kí tự d ở phía đầucủa mỗi dòng cho biết file đó là thư mục. Nhómgiấy phép
còn lại sauđó được chiathành những nhóm gồm 3kí tự, trongđó, theo thứ tự các
nhóm giấy phép này sẽ làba quyềnx, w và r của từngđối
tượng Owner, Group và World. Dấu gạch nốigiữa các nhóm để phân biệt giấy phép
của cácđối tượng. Dođó,với nhữngthư mục trong/etc/periodic,đối
tượng Owner cócác giấy phép111/7/rwx, tương ứng với r, w và x, trong khiđó
giấy phép của cả đối tượng Group và World sẽ là 101/5/r-x, hayr và x.
Các cột root vàwheel là những giấy phép chỉ định củađối
tượng Owner vàGroup cho những file này.
Thay đổi giấy phép
Giả sử chúngta có mộtfile tmp.txt, và chúng ta muốnthay đổi cấp phép chofile
này. Vì mục đích minh họanên chúngta sẽ gán giấy phép ban đầucho file này như
sau:
> ls -l tmp.txt
-rw-r r 1 jon doe 0 Nov 12 15:30 tmp.txt
Lưu ý rằngđể thực hiện thay đổi file này chúng ta phải đăng nhập với tài
khoản cóđặc quyền hệ thống cần thiết để không chỉ tác động tới file mà còntác
động tớimọi đốitượng người dùng vànhóm.Nếu không, chúngta sẽ không thể
gán filetmp.txtchoroot user màkhông đăng nhập như root.
Quản lý bảo mật cấp độ file
Nếu sử dụng hệ điều hànhUNIX haykiểuUNIX, chúngtacần nắmđược những
phươngthức quản lýbảo mật cấp độ filecơ bảnnhất.Một yếu tố quan trọng với
bảo mật cấp độ file trên hệ thốngUNIX làđể giớihạn giấy phép file đến mức cóthể
mà khônglàm ảnhhưởng tớichức năng của hệ điềuhành, vàkhôngngăn cản
chúng ta truy cập vàonhững file cầnthiết.
Quan trọng nhất, giấy phép file bên ngoài thư mụcchủ của tài khoản người dùng
(như /usr/home/jon/ trong trường hợptài khoảngiả định jon ở trên,
hay /root/ trong trường hợptài khoản root củahệ thốngFreeBSD,
hay/home/jon/ và /root/ trênhệ thống nềntảng Linux điển hình) cần đượcgiữ
nguyênnhư mặc định nếu chúng ta không biết chínhxác thao tácđang thực hiện.
Hầu hết cácfile dữ liệu trongthư mục chủ của tài khoản người dùng,như các file
văn bản,cầncấp giấy phép110/6/rw- cho tàikhoản đó,và cấp giấy phép 000/0/-
cho đối tượng Group và World.Trong khi đó mọi thư mụccon trongthư mục chủ
đó sẽ cấp phép111/7/rwx cho đối tượng Owner, và 000/0/- cho đối
tượng Group và Worldnếu chúng ta chú ý tới quyền riêngtư với các tài khoản khác,
hay để ngăn ngừanhững kẻ bẻ khóa bảomật cóthể chiếm quyền haytạo những tài
khoản khác trên hệ thống.
Nắm được phương phápsử dụng giấy phép file củaUNIX là chúngtađã hiểu được
một thànhphần bảomật cơ bản củaUNIX. Nếu khôngsử dụng giấy phép bảo mật
file, thìkhả năng phânquyền rấtmạnh của hệ điều hànhUNIXgiúp cungcấpkhả
năng bảomật đángkể sovới cáchệ điều hànhkhácđã bị suy giảm.
Xian (Theo
TechRepublic)
