Cơ chế phân quyền trong Linux

Quyền Linux cho phép chủ sở hữu tệp hoặc thư mục hạn chế quyền truy cập dựa trên mối quan hệ của người truy cập vào từng tệp. Điều này cho phép các lược đồ điều khiển cung cấp các mức truy cập khác nhau cho những người khác nhau.

Bài viết này sẽ trình bày về các cơ chế quản lý quyền và các cách thức để gán quyền cho tệp tin và thư mục và một số tình huống ví dụ chỉ ra việc sửa đổi các quyền được gán có thể là cần thiết.

Các nhóm phân quyền

Trong Linux mỗi file (folder) đều có 3 nhóm phân quyền chính:

  • owner: Quyền sở hữu này chỉ áp dụng cho chủ sở hữu của file và không ảnh hưởng đến hoạt động của người dùng khác.
  • group: Quyền sở hữu này được áp dụng cho nhóm đã được gán cho file.
  • others: Cấp quyền cho những người dùng khác không thuộc hai nhóm trên.

Tuy nhiên có ngoại lệ đó là root (super user) không bị ràng buộc bởi bất cứ sự phân quyền nào, có toàn quyền trên mọi file của hệ thống.

Các loại phân quyền

Mỗi file có 3 loại quyền cơ bản:

  • read: Quyền cho phép người dùng đọc nội dung của file.
  • write: Quyền cho phép người dùng viết hoặc thay đổi nội dung của file.
  • *execute *: Quyền cho phép người dùng thực thi file.
Tên quyềnKý hiệuDạng bát phânMô tả
Readr4Quyền đọc file
Writew2Quyền ghi file
Executex1Quyền thực thi file

Cách xem phân quyền của hệ thống

Để xem phân quyền của một file hoặc một folder ta sử dụng câu lệnh

ls -l path/to/file hoặc ls -la path/to/file (để hiện các hidden file)  

Output của câu lệnh trên là:

  • Kí tự đầu tiên là một cờ đặc biệt để chỉ loại file, - với file thông thường, d với thư mục, c với thiết bị, l với liên kết.
  • 3 ký tự tiếp theo (rwx) thể hiện quyền của owner có mọi quyền đối với file.
  • 3 ký tự tiếp theo (rwx) thể hiện quyền của group có mọi quyền đối với file.
  • 3 ký tự tiếp theo (r–) thể hiện quyền của others chỉ có quyền đọc file.
  • Số nguyên chỉ số lượng liên kết cứng tới file.
  • Cuối cùng là tên owner và group, ở đây owner là apache và group là apache

Thay đổi phân quyền

Các thiết lập mặc định của Linux về file nhiều khi sẽ không giải quyết được vấn đề thiết lập hoặc khi bạn muốn chia sẻ quyền cho người dùng khác…May mắn là việc phân quyền cũng không quá phức tạp.

a. Ký hiệu chung

Group Permission

Group PermisionKý hiệuMô tả
OwneruChủ sở hữu
GroupgNhóm sở hữu
OtheroNgười dùng và nhóm khác
AllaToàn bộ người dùng và nhóm (tương đương ugo )

Operator

OperatorKý hiệuMô tả
Add+Cấp thêm quyền
RemoveLoại bỏ quyền
Assign=Chỉ định quyền cụ thể

b. Sử dụng chmod

chmod (change mode) là câu lệnh cơ bản nhất để phân quyền file. Có hai cách để phân quyền bằng chmod đó là sử dụng symbolic và octal number:

chmod [options] [mode] file  

trong đó options bao gồm:

  • -R : áp dụng cho cả sub folder.
  • -f : tiếp tục kể cả khi xảy ra lỗi.
  • -v : hiển thị quá trình.

VD:

chmod a+r comments.txt  

-> Thêm quyền đọc cho tất cả người dùng và nhóm.

chmod u=rw,g=r,o= plan.sh  

-> Cho chủ sở hữu quyền đọc và ghi, group sở hữu quyền đọc, những người dùng và nhóm khác không được làm gì.

chmod -R 775 logs  

-> Cho chủ sở hữu và group sở hữu full quyền, còn những người khác chỉ được đọc và thực thi.

b. Sử dụng chown và chgrp

chown (change ownership): Thay đổi “chủ quyền” của file hoặc folder. Cú pháp:

chown [options] [newowner:newgroup] file  

Options cũng tương tự như chmod ngoài ra thì còn vài tùy chọn như -h--from--reference mà tôi sẽ không đề cập đến ở đây mà tập trung vào việc định danh chủ sở hữu mới. Có 5 cách để làm việc này:

FormDescription
userTên của người sở hữu mới, dấu hai chấm (“:”) và tên nhóm mới được bỏ qua, tức là nhóm sở hữu sẽ không thay đổi
user:groupDạng đầy đủ của chủ mới và nhóm mới, được ngăn cách bởi dấu hai chấm và không có khoảng cách ở giữa
:groupChủ sở hữu sẽ được bỏ qua, nhóm sở hữu mới bắt buộc phải đi sau dấu hai chấm
user:Nhóm sở hữu được bỏ qua, ở đây nhóm sở hữu mới sẽ được gán bằng nhóm login của user
:Bỏ qua cả hai, tức là không thay đổi gì cả

Lưu ý: Chủ sở hữu không thể chuyển quyền sở hữu trừ phi họ là root hoặc sử dụng sudo. Nhóm sở hữu sẽ được thay đổi bởi chủ sở hữu nếu chủ sở hữu thuộc nhóm đó.Vì vậy, tôi khuyến nghị chạy chown dưới quyền super admin.

chgrp (change group): Thay đổi nhóm sở hữu, cú pháp:

chgrp [options] group file  

Một số quyền cơ bản trong Linux

chmod 777 file.txt

Cho tất cả các người dùng quyền đọc, ghi và thực thi file -> phân quyền này rất nguy nguy hiểm dẫn đến website có thể bị hack.

chmod 775 file.txt

Cho chủ sở hữu quyền đọc và ghi, group sở hữu quyền đọc, những người dùng và nhóm khác không được làm gì

chmod 755 file.txt

Câp quyền cho chủ sở hữu đọc và các người dùng khác chỉ đọc và thực thi, không có quyền ghi

chmod 700 file.txt

Cấp full quyền cho user và bảo vệ file khỏi tác động từ các user truy cập của các user khác.

chmod 600 file.txt 

Cho chủ sở hữu quyền đọc và thực thi, không được phép ghi hoặc thay đổi. Thường sử dụng trong file key.

Tham khảo

https://blog.haposoft.com/co-ban-ve-phan-quyen-linux/

Leave a Reply

Your email address will not be published. Required fields are marked *