Tải bản đầy đủ (.docx) (29 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Phân quyền và kiểm soát truy cập tài nguyên chia sẻ trên hệ điều hành linux

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.46 MB, 29 trang )

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

HỌC PHẦN

QUẢN TRỊ AN TOÀN HỆ THỐNG
BÁO CÁO BÀI TẬP LỚN

Phân quyền và kiểm soát truy cập tài nguyên chia sẻ trên hệ điều
hành Linux

Giảng viên
Ngày gửi

:
:

Phạm Minh Thuấn
10/09/2021
Hà Nội, 2021

1


DANH MỤC VIẾT TẮT
Viết Tắt

Tên đầy đủ

DAC



Discretionary Access Control

ACL

Access Control List

MỤC LỤC
DANH MỤC VIẾT TẮT..................................................................................................................................2
MỞ ĐầU..........................................................................................................................................................4
CHƯƠNG I. KHÁI QUÁT VỀ PHÂN QUYỀN VÀ KIỂM SOÁT TRUY CẬP TÀI NGUYÊN CHIA
SẺ HĐH LINUX..............................................................................................................................................4
1.1

Khái niệm cơ bản..........................................................................................................................4

CHƯƠNG II. TẠO DANH SÁCH KIỂM SỐT TRUY CẬP (ACL) CHO NGƯỜI DÙNG HOẶC NHĨM NGƯỜI
DÙNG................................................................................................................................................................4
2.1. Cài đặt quyền bình thường khơng có ACL...................................................................................4
2.2. Thiết lập ACL......................................................................................................................................5
Chương III : TẠO DANH SÁCH KIỂM SOÁT TRUY CẬP (ACL) CHO NGƯỜI DÙNG HOẶC NHÓM NGƯỜI
DÙNG................................................................................................................................................................8
3.1

Tạo một ACL kế thừa....................................................................................................................8

CHƯƠNG IV: LOẠI BỎ MỘT SỐ QUYỀN CỤ THỂ BẰNG CÁCH SỬ DỤNG MẶT NẠ ACL..................................10
4.1 Xóa ACL khỏi tệp hoặc thư mục...........................................................................................................10
CHƯƠNG V: SỬ DỤNG TÙY CHỌN TAR-ACLS ĐỂ NGĂN CHẶN MẤT ACL TRONG QUÁ TRÌNH SAO LƯU.....12
CHƯƠNG VI: TẠO NHÓM NGƯỜI DÙNG VÀ THÊM THÀNH VIÊN ĐẾN NÓ...................................................15

6.1.

Thêm thành viên khi chúng tôi tạo tài khoản người dùng cho họ...............................................17

6.2.

Sử dụng usermod để thêm người dùng hiện có vào nhóm..........................................................17

6.3.

Thêm người dùng vào một nhóm bằng cách chỉnh sửa /etc/group/tập tin................................18

6.4.

Tạo một thư mục chia sẻ................................................................................................................19

CHƯƠNG VII: ĐẶT BIT SGID VÀ BIT DÍNH TRÊN THƯ MỤC CHIA SẺ..............................................................21
CHƯƠNG VIII: SỬ DỤNG ACL ĐỂ TRUY CẬP CÁC TỆP TRONG PHẦN ĐƯỢC CHIA SẺ DANH MỤC...............24

2


8.1 Đặt quyền và tạo ACL...............................................................................................................................24
8.2 Hoainam cố gắng truy cập tệp của caotrungduc bằng ACL đặt cho xuanthanh.................................26
8.3 Hands-on lab - tạo một thư mục nhóm được chia sẻ.........................................................................26
KẾT LUẬN....................................................................................................................................................29
TÀI LIỆU THAM KHẢO..............................................................................................................................30

MỞ ĐầU
Hiện nay, Linux đang ngày càng trở nên phổ biến. Kể từ khi Linus Torvalds công

khai mã nguồn của nhân Linux đến nay, càng ngày càng có nhiều lập trình viên
trên thế giới quan tâm đến dịng hệ điều hành này. Nhiều cơng ty đã sử dụng các
distro của Linux làm hệ điều hành mặc định cho nhân viên sử dụng. Có thể kể đến
các phiên bản đang phổ biến hiện nay như Ubuntu, Fedora, OpenSUSE (cho máy
cá nhân), CentOS, RedHat, Debian (cho doanh nghiệp)… Một trong những ưu
điểm của Linux là tính năng phân quyền sử dụng trên file. Một tính năng vơ cùng
mạnh mẽ nhưng cũng rất nguy hiểm nếu chúng ta không hiểu về nó.

CHƯƠNG I. KHÁI QUÁT VỀ PHÂN QUYỀN VÀ KIỂM SOÁT
TRUY CẬP TÀI NGUYÊN CHIA SẺ HĐH LINUX
1.1 Khái niệm cơ bản
- Linux là một hệ điều hành mã nguồn mở được rất nhiều người sử dụng.
Nhiều người đã chuyển từ Windows sang Linux hay ngược lại, tuy nhiên khi
chuyển sang một hệ điều hành mới thì gặp khó khăn trong việc làm quen
với hệ điều hành mới cũng là điều dễ hiểu.
- Khi chuyển từ Windows sang Linux thì cấu trúc thư mục file trong Linux khác
hoàn toàn so với Win, hay bạn phải làm quen với việc dùng lệnh để tối ưu
hóa cơng việc và đặc biệt là phần phân quyền trong Linux.

3


CHƯƠNG II. TẠO DANH SÁCH KIỂM SOÁT TRUY CẬP (ACL) CHO
NGƯỜI DÙNG HOẶC NHĨM NGƯỜI DÙNG
2.1. Cài đặt quyền bình thường khơng có ACL
- Với ACL, chúng tơi chỉ cho phép một người nhất định truy cập vào tệp
hoặc thư mục hoặc chúng tơi có thể cho phép nhiều người truy cập vào một tệp
hoặc thư mục với các quyền khác nhau cho mỗi người. Nếu chúng tơi có một tệp
hoặc một thử mục mở rộng cho mọi người, chúng tơi có thể sử dụng ACL để cho
phép các cấp độ truy cập khác nhau cho một nhóm hoặc một các nhân. Bạn sẽ sử

dụng getfacl để xem danh sách kiểm soát truy cập cho một tệp hoặc thư mục ( lưu
ý rằng bạn khơng thể sử dụng nó để xem tất cả các tệp trong một thư mục cùng 1
lúc). Để bắt đầu, hãy sử dụng getfacl để xem liệu chúng ta có bất kỳ danh sách
kiểm sốt truy cập nao đã được đặt trên tệp acl_demo.txt không.

- Tất cả những gì chúng ta thấy ở đây chỉ là cài đặt quyền bình thường, vì vậy
khơng có ACL.
2.2. Thiết lập ACL
- Bước đầu tiên để thiết lập ACL là xóa tất cả các quyền khỏi mọi người ngoại trù
người dùng của tệp. Đó là vì cài đặt quyền mặc định cho phép thành viên của
4


nhóm để có quyền truy nhập đọc/ ghi và những người khác có quyền truy cập
đọc.
=> Vì vậy, thiết lập ACL khơng có xóa những quyền đó sẽ là vơ nghĩa.

-Khi sử dụng setfacl để đặt ACL,bạn có thể cho phép một người dùng hoặc một
nhóm có bất kỳ kết hợp các đặc quyền đọc ,ghi hoặc thực thi.Trong trường hợp
chúng ta ,tôi muốn trungduc đọc tệp để ngăn anh ấy có các quyền ghi hoặc thực
thi:

- Tùy chọn -m của setfacl có nghãi là chúng tơi sắp sửa đổi ACL. Có nghĩa là chúng
tơi thiết lập ACL cho người dùng. Sau đó chúng tơi liệt kê tên người dùng theo sau
là dấu hai chấm khác và danh sách các quyền mà chúng tôi muốn cấp cho người
dùng này. Trong trường hợp này, chúng tôi chỉ cho phép trungduc đọc quyền truy
5


cập mà chúng tôi muốn áp dụng ACL này. Đầu ra getfacl cho thấy trungduc thực sự

có quyền đọc, mặc dù chúng tôi đã cài đặt 600 quyền trên tệp này. Tuy nhiên,
cũng có một dấu +, cho chúng ta biết rằng tệp có ACL. Khi chúng tơi đặt một ACL,
quyền cho ACL hiển thị dưới dụng quyền nhóm trong ls -l.
- Để tiến thêm một bước nữa, hãy nói rằng chúng tơi muốn hoainam có quyền
truy cập đọc/ ghi vào tệp này.

- Vì vậy, chúng ta thể có 2 hay nhiều ACL kahcs nhau được gán cho cùng một tệp.
trong đầu ra ls -l, chúng ta thấy rằng chúng ta đã đặt các quyền rw cho nhóm, điều
này thực sử chỉ là một bản tóm tắt của quyền mà chúng tơi đã đặt trong hai ACL.
Chúng ta có thể đặt Acl cho quyền truy cập nhóm bằng cách thay thế u: bằng g::

6


Chương III : TẠO DANH SÁCH KIỂM SOÁT TRUY CẬP (ACL) CHO
NGƯỜI DÙNG HOẶC NHÓM NGƯỜI DÙNG
3.1 Tạo một ACL kế thừa
- Có thể đơi khi bạn muốn tất cả các tệp được tạo trong một thư mục dùng
chung phải có cùng một danh sách kiểm saost tủy cập. chúng ta có thể làm
điều đó bằng cách áp dụng ACL kế thừa vào thư mục.
- Mặc dù, hãy hiểu rằng, mặc dù điều này nghe có vè là một ý tưởng hay,
nhưng việc tạo tệp trong cách thông thường sẽ khiến các tệp có quyền
đọc/ghi được đặt cho các nhóm và quyền đọc được đặt cho người khác. Vì
7


vậy, nếu ban đang thiết lập điều này cho một thư mục mà người dùng chỉ
tạo tệp bình thường, điều tốt nhất ban có thể làm là tạo một ACL bổ sung
quyền ghi hoặc thực thi cho ai đó. Hoặc là đảm bảo rằng người dùng đặt
cài đặt quyền trên tất cả các tệp mà họ tạo, giả sử rằng người dùng thực sự

cần hạn chế quyền truy cập vào các tệp của họ.
- Mặt khác, nếu bạn đang tạo một tập lệnh shell tạo các tệp trong một thư
mục cụ thể, bạn có thể bao gồm các lệnh chmod để đảm bảo rằng các tệp
được tạp với các quyền cần thiết để làm cho ACL của bnaj hoạt động như
dự kiến.
- Để demo, chúng ta tạo thư mục nhom15 và đặt ACL kế thừa trên đó.

- Tất cả những gì tối phải làm để biến điều này thành một ACL kế thừa là
thêm d: vào trước u: hoainam.
- Cài đặt quyền mặc định trên thư mục, cho phép mọi người đọc quyền truy
cập vào danh mục Tiếp theo, tôi sẽ tạo tập lệnh shell kali_scrip.sh sẽ tạo

8


một tệp bên trong thư mục đó sẽ đặt quyền đọc/ghi chỉ cho người dùng
tệp mới.
- Sau khi thực thi tập lệnh, sẽ chạy nó và xem kết quả:

- Vì vậy, new_file.txt đã được tạo với cài đặt quyền chính xác và với một ACL
cho phép Frank đọc nó.

CHƯƠNG IV: LOẠI BỎ MỘT SỐ QUYỀN CỤ THỂ BẰNG CÁCH SỬ
DỤNG MẶT NẠ ACL
4.1 Xóa ACL khỏi tệp hoặc thư mục
- Bạn có thể xóa ACL khỏi tệp hoặc thư mục bằng tùy chọn -x. Hãy quay trở lại
tệp acl_demo.txt mà tơi đã tạo trước đó và xóa ACL cho trungduc:

9



- Vì vậy, ACL của trungduc đã biến mất. Tuy nhiên, tùy chọn -x loại bỏ toàn
bộ ACL, ngay cả khi điều đó khơng như những gì bạn thực sự muốn. Nếu
bạn có ACL với nhiều quyền được đặt, bạn có thể chỉ muốn xóa một quyền
trong khi vẫn để lại các quyền khác. Ở đây, chúng ta thấy rằng hoainam vẫn
có ACL của anh ấy cấp cho anh ấy quyền truy cập đọc / ghi. Bây giờ hãy nói
rằng chúng tơi muốn xóa phần viết cho phép, trong khi vẫn cho phép anh
ta quyền đọc. Đối với điều đó, chúng tôi sẽ cần áp dụng mặt nạ:

10


- M :: r đặt mặt nạ chỉ đọc trên ACL. Chạy getfacl cho thấy hoainam vẫn có
đọc / ghi ACL, nhưng nhận xét ở bên cạnh cho thấy quyền hiệu quả của
anh ta là chỉ đọc. Vì vậy, quyền ghi tệp của hoainam giờ đã khơng cịn nữa.
Và, nếu chúng ta đã đặt ACL cho những người dùng khác, mặt nạ này sẽ
ảnh hưởng đến họ theo cùng một cách

CHƯƠNG V: SỬ DỤNG TÙY CHỌN TAR-ACLS ĐỂ NGĂN CHẶN MẤT
ACL TRONG QUÁ TRÌNH SAO LƯU
- Nếu bạn cần sử dụng tar để tạo bản sao lưu của tệp hoặc thư mục có ACL
được gán cho nó, bạn sẽ cần bao gồm công tắc tùy chọn --acls. Nếu không,
các ACL sẽ mất. Để hiển thị điều này, tôi sẽ tạo một bản sao lưu của thư
mục nhom15 mà khơng có –acls Lựa chọn. Trước tiên, hãy lưu ý rằng tôi có
ACL trên các tệp trong thư mục này, như được biểu thị bằng dấu + trên hai
tệp cuối cùng:

11



- Bây giờ, tôi sẽ thực hiện sao lưu mà khơng có --acls:

- Xem điều gì xảy ra khi tơi xóa thư mục và sau đó khơi phục nó từ bản sao
lưu.

12


- Tơi thậm chí khơng phải sử dụng getfacl để thấy rằng các ACL đã biến mất
khỏi nhom15 thư mục và tất cả các tệp của nó, vì các dấu + hiện đã biến
mất khỏi chúng. Bây giờ hãy nhìn điều gì sẽ xảy ra khi tơi bao gồm tùy chọn
--acls. Đầu tiên, tôi sẽ cho bạn thấy rằng ACL được đặt cho thư mục này và
tệp duy nhất của nó:

13


- Bây giờ, tôi sẽ sử dụng tar với --acls:

- Bây giờ tơi sẽ xóa thư mục nhom15 và khơi phục nó từ bản sao lưu. Một
lần nữa, tơi sẽ sử dụng - -acls tùy chọn

- Sự hiện diện của các dấu + chỉ ra rằng các ACL vẫn tồn tại trong q trình
sao lưu và khơi phục thủ tục. Một phần hơi khó khăn về điều này là bạn
phải sử dụng --acls cho cả hai sao lưu và phục hồi. Nếu bạn bỏ qua tùy
chọn này một trong hai lần, bạn sẽ mất ACL của mình.

CHƯƠNG VI: TẠO NHĨM NGƯỜI DÙNG VÀ THÊM THÀNH VIÊN
ĐẾN NÓ
- Cho đến nay, tôi đã thực hiện tất cả các bản demo bên trong thư mục

chính của riêng mình, chỉ vì mục đíchhiển thị các khái niệm cơ bản. Tuy
nhiên, mục tiêu cuối cùng là chỉ cho bạn cách sử dụngkiến thức để làm

14


điều gì đó thiết thực hơn, chẳng hạn như kiểm sốt quyền truy cập tệp
trong một nhóm được chia sẻ danh mục. Bước đầu tiên là tạo một nhóm
người dùng và thêm các thành viên vào đó.
- Giả sử rằng chúng tơi muốn tạo một nhóm attt cho các thành viên của bạn
đã tạo ra.
- Nhóm attt:

- Bây giờ chúng ta hãy thêm một số thành viên. Bạn có thể làm điều đó theo
ba cách khác nhau:
- Thêm thành viên khi chúng tôi tạo tài khoản người dùng của họ
- Sử dụng usermod để thêm thành viên đã có tài khoản người dùng
- Chỉnh sửa tệp / etc / group

15


7. Thêm thành viên khi chúng tôi tạo tài khoản người dùng cho họ
- Đầu tiên, chúng tơi có thể thêm thành viên vào nhóm khi chúng tơi tạo tài
khoản người dùng của họ, sử dụng -G tùy chọn của người dùng thêm. Trên
Red Hat hoặc CentOS, lệnh sẽ giống như sau:

- Trên Debian / Ubuntu, lệnh sẽ giống như sau:

- Và, tất nhiên, tôi sẽ cần gán mật khẩu cho Cleopatra theo cách thông

thường:

8. Sử dụng usermod để thêm người dùng hiện có vào nhóm
- Tin tốt là điều này hoạt động giống nhau trên Red Hat hoặc CentOS hoặc
Debian / Ubuntu:
16


- Trong trường hợp này, -a khơng cần thiết, vì Maggie khơng phải là thành
viên của bất kỳnhóm thứ cấp. Nhưng, nếu cơ ấy đã thuộc về một nhóm
khác, -a sẽ cócần thiết để tránh ghi đè bất kỳ thơng tin nhóm hiện có nào,
do đó xóa cơ ấy từ các nhóm trước.
- Phương pháp này đặc biệt tiện dụng để sử dụng trên hệ thống Ubuntu, nơi
cần sử dụng adduser để tạo các thư mục chính được mã hóa. (Như chúng ta
đã thấy trong chương trước, adduser không cho bạn cơ hội thêm người
dùng vào nhóm khi bạn tạo tài khoản.).

9. Thêm người dùng vào một nhóm bằng cách chỉnh sửa /etc/group/tập tin
- Phương pháp cuối cùng này là một cách tốt để gian lận, để tăng tốc quá
trình thêm nhiềungười dùng hiện tại vào một nhóm.
- Đầu tiên, chỉ cần mở tệp / etc / group trong trình soạn thảo văn bản u
thích của bạn,và tìm dịng xác định nhóm mà bạn muốn thêm thành viên:

- Vì vậy, tơi đã thêm Cleopatra và Maggie vào nhóm này. Hãy chỉnh sửa cái
này để thêm một vài các thành viên khác:

- Khi bạn hồn tất, hãy lưu tệp và thốt khỏi trình chỉnh sửa.

17



- Một lệnh nhóm cho mỗi người trong số họ sẽ cho thấy rằng một chút gian
lận nhỏ của chúng tôi hoạt động tốt:

- Phương pháp này cực kỳ tiện dụng cho bất cứ khi nào bạn cần thêm nhiều
thành viên vào một nhóm đồng thời
10. Tạo một thư mục chia sẻ
- Hành động tiếp theo trong kịch bản của chúng tôi liên quan đến việc tạo
một thư mục dùng chung mà tất cả các thành viên trong bộ phận tiếp thị
của chúng tơi có thể sử dụng. Bây giờ, đây là một trong những lĩnh vực gây
ra một chút tranh cãi. Một số người thích đặt các thư mục được chia sẻ
trong cấp độ gốc của hệ thống tệp, trong khi những người khác thích đặt
các thư mục được chia sẻ trong thư mục / home. Và, một số người thậm chí
có sở thích khác. Nhưng thực sự, đó là vấn đề về sở thích cá nhân và / hoặc
chính sách của cơng ty. Ngồi ra, nó thực sự không quan trọng là bạn đặt
chúng ở đâu. Đối với mục đích của chúng tơi, để làm cho mọi thứ trở nên
đơn giản, tôi sẽ chỉ tạo thư mục trong cấp cơ sở của hệ thống tập tin:

- Thư mục mới thuộc về người dùng root. Nó có cài đặt quyền là 755, cho
phép đọc và thực thi quyền truy cập đối với mọi người và chỉ truy cập ghi
18


đối với người dùng gốc. Những gì chúng tơi thực sự muốn là chỉ cho phép
các thành viên của bộ phận tiếp thị truy cập vào thư mục này. Trước tiên,
chúng tôi sẽ thay đổi quyền sở hữu và liên kết nhóm, sau đó chúng tơi sẽ
đặt các quyền thích hợp:

- Trong trường hợp này, chúng tơi khơng có bất kỳ người dùng cụ thể nào mà
chúng tôi muốn sở hữu thư mục và chúng tôi không thực sự muốn người

dùng root sở hữu nó. Vì vậy, việc gán quyền sở hữu cho tài khoản người
dùng giả không ai cung cấp cho chúng tơi một cách để đối phó với điều đó.
Sau đó, tơi đã gán giá trị quyền 770 cho thư mục, cho phép truy cập đọc /
ghi / thực thi đối với tất cả các thành viên nhóm tiếp thị, đồng thời giữ cho
mọi người khác tránh xa. Bây giờ, hãy để một thành viên trong nhóm của
chúng ta đăng nhập để xem liệu cơ ấy có thể tạo tệp trong thư mục này hay
không:

19


- Được rồi, nó hoạt động, ngoại trừ một vấn đề nhỏ. Tệp thuộc về
caotrungduc, đúng như vậy. Nhưng, nó cũng được liên kết với nhóm cá
nhân của caotrungduc. Để kiểm soát quyền truy cập tốt nhất của những
chia sẻ này, chúng tơi cần chúng được liên kết với nhóm học sinh

CHƯƠNG VII: ĐẶT BIT SGID VÀ BIT DÍNH TRÊN THƯ MỤC CHIA SẺ
- Trước đây tơi đã nói với bạn rằng việc đặt SUID hoặc SGID có một chút rủi
ro về bảo mật quyền đối với tệp, đặc biệt là trên tệp thực thi. Tuy nhiên, nó
vừa hồn tồn an tồn và rất hữu ích để đặt SGID trên một thư mục dùng
chung.
- Hành vi SGID trên một thư mục hoàn toàn khác với hành vi SGID trên một
tệp. Trên mộtthư mục, SGID sẽ làm cho bất kỳ tệp nào mà bất kỳ ai tạo ra
được liên kết với cùng một nhóm mà thư mục được liên kết với. Vì vậy, hãy
nhớ rằng quyền SGID giá trị là 2000, hãy đặt SGID trên thư mục Student của
chúng tôi:

- Các số ở vị trí thực thi cho nhóm chỉ ra rằng lệnh đã thành công.
- Bây giờ hãy để caotrungduc đăng nhập lại để tạo một tệp khác:


20


- Tệp thứ hai của caotrungduc được liên kết với nhóm tiếp thị, đó chỉ là
những gì chúng tơi muốn.
- Vui thôi, hãy để hoainam làm như vậy

- Một lần nữa, hồ sơ của hoainam được liên kết với nhóm tiếp thị. Nhưng, vì
một số lý do kỳ lạ điều đó khơng ai hiểu, hoainam thực sự khơng thích
caotrungduc và quyết định xóa các tệp của anh ấy, chỉ vì thuần túy mặc dù:

21


- Hệ thống phàn nàn rằng tệp gốc của caotrungduc được chống ghi, vì nó vẫn
được liên kết với nhóm cá nhân của cô ấy. Nhưng, hệ thống vẫn cho phép
hoainam xóa nó, ngay cả khi khơng có đặc quyền của sudo. Và, vì hoainam
có quyền ghi vào tệp thứ hai, do sự liên kết của nó với nhóm tiếp thị, hệ
thống cho phép anh ta xóa nó mà khơng cần thắc mắc.
- Được chứ. Vì vậy, caotrungduc phàn nàn về điều này, và cố gắng khiến
hoainam bị sa thải. Nhưng, quản trị viên gan dạ của chúng tơi có một ý
tưởng hay hơn. Anh ấy sẽ chỉ thiết lập một chút dính để ngăn điều này xảy
ra một lần nữa. Vì bit SGID có giá trị là 2000 và bit dính có giá trị là 1000,
chúng ta có thể cộng cả hai lại với nhau để có giá trị là 3000:

- Chữ T ở vị trí có thể thực thi đối với những người khác cho biết rằng bit
dính đã được thiết lập. Vì T là chữ hoa nên chúng ta biết rằng quyền thực
thi cho người khác chưa được đặt.
- Tập hợp bit cố định sẽ ngăn các thành viên trong nhóm xóa tệp của bất kỳ
người nào khác. Hãy để caotrungduc cho chúng tơi thấy điều gì sẽ xảy ra khi

anh ấy cố gắng trả đũa hoainam:

22


- Ngay cả với tùy chọn -f, caotrungduc vẫn không thể xóa tệp của hoainam.
caotrungduc khơng có đặc quyền sudo trên hệ thống này, vì vậy sẽ vơ ích
nếu anh ấy thử điều đó.

CHƯƠNG VIII: SỬ DỤNG ACL ĐỂ TRUY CẬP CÁC TỆP TRONG PHẦN
ĐƯỢC CHIA SẺ DANH MỤC.
8.1 Đặt quyền và tạo ACL
- Đầu tiên, caotrungduc đặt các quyền bình thường để chỉ cho phép anh ấy
truy cập vào tệp của mình. Sau đó, anh ấy sẽ đặt ACL:

23


- Khơng có gì ở đây mà bạn chưa thấy. caotrungduc vừa xóa tất cả các quyền
khỏi nhóm và từ những người khác, đồng thời đặt ACL chỉ cho phép
xuanthanh đọc tệp. Hãy xem liệu xuanthanh có thực sự đọc được nó
khơng:

- Xuanthanh có thể viết thư cho nó khơng?

24


- Được rồi, xuanthanh khơng thể làm điều đó, vì caotrungduc chỉ cho phép
anh ấy có đặc quyền đọc trong ACL.


8.2 Hoainam cố gắng truy cập tệp của caotrungduc bằng ACL đặt
cho xuanthanh
- Tuy nhiên, bây giờ, còn hoainam lén lút, người muốn theo dõi các tệp của
người dùng khác thì sao?

- Vì vậy, vâng, thực sự là chỉ xuanthanh mới có thể truy cập vào hồ sơ của
caotrungduc, và thậm chí sau đó chỉ để đọc.

8.3 Hands-on lab - tạo một thư mục nhóm được chia sẻ
- Đối với phịng thí nghiệm này, bạn sẽ chỉ tập hợp mọi thứ bạn đã học được
trong chương này để tạo một thư mục dùng chung cho một nhóm. Bạn có
thể thực hiện việc này trên một trong các máy ảo của mình:
- Trên một trong hai máy ảo, hãy tạo nhóm

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×