1

Nội dung Khái niệm NSD và nhóm NSD

Quản lý NSD và nhóm NSD

Khái niệm quyền truy cập

Quyền truy cập của file

Quyền truy cập của thư mục

Quản lý quyền truy cập

Khái niệm người sử dụng NSD thông thường

Quản trị

Nhóm NSD

Tạo một người sử dụng

Tên, Mật khẩu, home của người sử dụng (/home/tên)

Nhóm (một người sử dụng có thể thuộc một hoặc nhiều nhóm, tuy nhiên cần phải xác định một nhóm chính)

Tất cả các thông tin về người sử dụng được lưu trong file: /etc/passwd

Các lệnh liên quan • Useradd: Tạo tài khoản người dùng

• Passwd: Thay đổi mật mã đăng nhập của tài khoản người dùng

• Userdel: Xoá bỏ tài khoản người dùng

• Usermod: Thay đổi thông tin về tài khoản người dùng

• Groupadd: Thêm tài khoản nhóm người dùng

• Groupdel: Xoá bỏ tài khoản nhóm người dùng

• Groupmod: Thay đổi thông tin về tài khoản nhóm người dùng

• Id: Cho biết thông tin về người dùng

• Su: Truy nhập với quyền người dùng khác

Các tệp tin liên quan • /etc/passwd: Lưu thông tin tài khoản người dùng

• /etc/shadow: Chứa mật mã đăng nhập và các thông tin về tài khoản người dùng

• /etc/group: Lưu thông tin tài khoản nhóm người dùng

• /etc/gshadow: Lưu mật mã đăng nhập của nhóm

• /etc/login.defs: Chứa các thông tin được gán tự động cho tài khoản khi được tạo

/etc/passwd Username:password:UID:GID:Info:Home:Shell

Username: It is used when user logs in. It should be between 1 and 32 characters in length.

Password: An x character indicates that encrypted password is stored in /etc/shadow file.

User ID (UID): Each user must be assigned a user ID (UID). UID 0 (zero) is reserved for root and UIDs 1-99 are reserved for other predefined accounts. Further UID 100-999 are reserved by system for administrative and system accounts/groups.

Group ID (GID): The primary group ID (stored in /etc/group file)

User ID Info: The comment field. It allow you to add extra information about the users such as user's full name, phone number etc. This field use by finger command.

Home directory: The absolute path to the directory the user will be in when they log in. If this directory does not exists then users directory becomes /

Command/shell: The absolute path of a command or shell (/bin/bash). Typically, this is a shell. Please note that it does not have to be a shell.

2/26/2014 6

2

/etc/shadow User:Pwd:Last pwd change :Minimum:Maximum:Warn:Inactive :Expire

User name : It is your login name

Password: It your encrypted password. The password should be minimum 6-8 characters long including special characters/digits

Last password change (lastchanged): Days since Jan 1, 1970 that password was last changed

Minimum: The minimum number of days required between password changes i.e. the number of days left before the user is allowed to change his/her password

Maximum: The maximum number of days the password is valid (after that user is forced to change his/her password)

Warn : The number of days before password is to expire that user is warned that his/her password must be changed

Inactive : The number of days after password expires that account is disabled

Expire : days since Jan 1, 1970 that account is disabled i.e. an absolute date specifying when the login may no longer be used

2/26/2014 7

Nhóm người sử dụng Mỗi người sử dụng có thể thuộc về một hoặc

nhiều nhóm

Một nhóm = tên nhóm + danh sách các thành viên

Khả năng chia sẻ các file giữa những người sử dụng trong cùng một nhóm.

Danh sách các nhóm được lưu trữ trong file: /etc/group

root có khả năng tạo ra các nhóm bổ sung, ngoài các nhóm mà hệ điều hành đã ngầm định

/etc/group • group_name:Password:Group ID (GID): Group List • group_name: It is the name of group. If you run ls -l

command, you will see this name printed in the group field.

• Password: Generally password is not used, hence it is empty/blank. It can store encrypted password. This is useful to implement privileged groups. X means passwd is stored in /etc/gshadow

• Group ID (GID): Each user must be assigned a group ID. You can see this number in your /etc/passwd file.

• Group List: It is a list of user names of users who are members of the group. The user names, must be separated by commas.

2/26/2014 9

/etc/gshadow • Group name — The name of the group. Used by various utility

programs as a human-readable identifier for the group. • Encrypted password — The encrypted password for the group. If set,

non-members of the group can join the group by typing the password for that group using the newgrp command. If the value of this field is !, then no user is allowed to access the group using the newgrp command. A value of !! is treated the same as a value of ! — however, it also indicates that a password has never been set before. If the value is null, only group members can log into the group.

• Group administrators — Group members listed here (in a comma delimited list) can add or remove group members using the gpasswd command.

• Group members — Group members listed here (in a comma delimited list) are regular, non-administrative members of the group.

2/26/2014 10

Tạo tài khoản người dùng - lệnh useradd

Để tạo tài khoản người dùng mới, ta sử dụng lệnh

useradd

Cú pháp lệnh

useradd [option] ... login

Trong đó login là tên của tài khoản người dùng, tên tài khoản này phải duy nhất, và phải được bắt đầu phải bằng một chữ cái

Tạo tài khoản người dùng - lệnh useradd • Các lựa chọn chính của lệnh: • -u uid [-o] Giá trị mã nhận diện người dùng (UID). Giá trị này phải là duy nhất (trừ trường

hợp sử dụng với lựa chọn -o). Giá trị này phải là một số dương. Khi không có lựa chọn này, uid của tài khoản được tạo là số nhỏ nhất lớn hơn 99 và lớn hơn mọi uid người dùng khác. Giá trị 0-99 được sử dụng cho các tài khoản hệ thống.

• -g initial_group Lựa chọn này cho phép chỉ ra tài khoản nhóm khởi nạp của người dùng

initial_group. Tên nhóm hay mã số nhóm (GID) này phải tồn tại. • -G group[,...] Lựa chọn này cho phép chỉ ra một danh sách tên các nhóm group muốn cho

người dùng là thành viên • -e expire_date Xác định thời điểm hết hạn sử dụng tài khoản expire_date. Định dạng ngày tháng

như sau: YYYY-MM-DD

3

Tạo tài khoản người dùng - lệnh useradd • -s shell: Tên shell đăng nhập của người dùng. Khi không sử dụng lựa

chọn này, tài khoản sử dụng shell mặc định của hệ thống • -d home_dir: Tạo thư mục home_dir, thự mục này sẽ là thư mục chủ

của người dùng. Trong trường hợp không có lựa chọn này, mặc định hệ thống sẽ tạo thư mục chủ của người dùng trong thư mục /home/

• -r: Được sử dụng để tạo một tài khoản hệ thống (tài khoản có UID nhỏ hơn 100)

• -M: Khi có lựa chọn này, Linux sẽ không tạo thư mục chủ của người dùng

• -m [-k skeleton_dir]: Tạo thư mục chủ của người dùng, nếu chưa có. Các tập tin, thư mục có trong thư mục skeleton_dir sẽ được sao chép vào thư mục chủ nếu sử dụng lựa chọn –k; ngược lại, các tập tin có trong thư mục /etc/skel/ sẽ được sử dụng để thay thế

Tạo tài khoản người dùng - lệnh useradd

Thí dụ: Để tạo tài khoản người dùng mới với tên alan có UID=503 và là thành viên của các nhóm sales, adv, team, ta thi hành lệnh sau:

$ useradd –u 503 –o –G sales,adv,team alan

Chú ý:

Mã nhận diện người dùng UID có giá trị nhỏ hơn 100 là người dùng hệ thống

Mã nhận diện người dùng được phát sinh dựa trên khai báo trong tập tin /etc/login.defs.

Thay đổi mật mã tài khoản - lệnh passwd

• passwd [option] [username] • Trong đó username là tên tài khoản muốn tạo hay thay đổi

mật mã. Trường hợp không có đối số username, lệnh passwd sẽ thực hiện thay đổi mật mã cho tài khoản hiện hành.

• Các lựa chọn của lệnh • -l: Lựa chọn này được sử dụng để khoá tài khoản. Một tài

khoản bị khoá sẽ có một ký tự ‘!’ đứng trước chuỗi mật mã đã được mã hoá trong tập tin /etc/shadow, đồng thời gán giá trị -1 tại các trường expire và disable trong tập tin.

• -u [-f]: Mở khoá một tài khoản đã bị khoá (ngược lại lựa chọn –l). Theo mặc định, passwd sẽ không mở khoá tài khoản nào không sử dụng mật mã. Lựa chọn -f bổ sung sẽ cho phép mở khoá tài khoản không sử dụng mật mã

• -d: Xoá bỏ mật mã của tài khoản

Xoá tài khoản người dùng - lệnh userdel

• Lệnh userdel được sử dụng để xoá tài khoản người dùng và các tập tin liên quan đến tài khoản người dùng đó.

• Cú pháp:

• userdel [-r] login

• Trong đó login là tên tài khoản người dùng muốn xoá bỏ. Mặc định, khi xoá bỏ tài khoản người dùng, các tập tin liên quan đến tài khoản đó không bị xoá. Lựa chọn -r trong lệnh này cho phép khi xoá bỏ một tài khoản, thư mục chủ của tài khoản cùng với tập tin thư tín của tài khoản đó cũng sẽ bị xoá.

Thay đổi thông tin tài khoản người dùng - lệnh usermod

• Lệnh usermod được sử dụng để thay đổi các thông tin về

tài khoản người dùng

• Cú pháp

• usermod [option]... login

• Trong đó login là tên tài khoản muốn thay đổi thông tin. Các lựa chọn chính của lệnh bao gồm:

• -L: Lựa chọn này được sử dụng để khoá tài khoản. Một tài khoản bị khoá sẽ có một ký tự '!' đứng trước chuỗi mật mã đã được mã hoá trong tập tin /etc/shadow.

• -U: Mở khoá một tài khoản đã bị khoá

Thay đổi thông tin tài khoản người dùng

-l login_name: Thay đổi tên tài khoản từ login thành login_name. Trong trường hợp thay đổi tên tài khoản, tên thư mục chủ của tài khoản đó không thay đổi.

-u uid [-o]: Giá trị mã số nhận diện người dùng (uid). Giá trị này phải là duy nhất (trừ trường hợp sử dụng với lựa chọn -o).

-g initial_group: Lựa chọn này cho phép thay đổi nhóm khởi nạp của tài khoản. Tên nhóm hay mã số nhóm (GID) initial_group phải tồn tại.

-G group[,...]: Thay đổi nhóm group mà tài khoản người dùng sẽ là thành viên

-e expire_date: Thay đổi thời điểm hết hạn của tài khoản expire_date. Định dạng ngày tháng như sau: YYYY-MM-DD

-s shell: Thay đổi shell đăng nhập của người dùng. Nếu trường shell bỏ trống thì cho phép tài khoản sử dụng shell mặc định của hệ thống

-d home_dir: Thay đổi thư mục chủ của tài khoản người dùng thành thư mục home_dir

4

Tạo tài khoản nhóm - lệnh groupadd

• Cú pháp lệnh • groupadd [options] group • Trong đó group là tên nhóm muốn tạo. Trên một máy tính,. tên

nhóm phải là duy nhất. Các lựa chọn chính của lệnh: • -g gid [-o]: Xác định mã nhận diện nhóm (GID). Giá trị này phải

là duy nhất (trừ trường hợp sử dụng với lựa chọn -o). Giá trị này phải là một số nguyên dương. Giá trị mặc định là số nhỏ nhất lớn hơn 500 và lớn hơn mọi GID của nhóm khác hiện có. Giá trị từ 0 đến 499 được sử dụng cho các tài khoản nhóm hệ thống.

• -r: Được sử dụng để tạo một tài khoản nhóm hệ thống. Thông thường lựa chọn này được thực hiện bởi các phần mềm. Tài khoản nhóm hệ thống có UID nằm trong khoảng từ 0-499

• Thí dụ: Để tạo tài khoản nhóm có tên là sales và có GID=10, ta thực hiện lệnh sau:

• $ groupadd -g 10 -o sales

Xoá tài khoản nhóm - lệnh groupdel

Lệnh groupdel cho phép xoá tài khoản nhóm cùng tất cả các mục từ tham chiếu tới tài nhóm bị xoá đó.

Cú pháp lệnh

groupdel group

Trong đó group là tên tài khoản nhóm muốn xoá.

Chú ý: Ta không thể xoá tài khoản nhóm còn có chứa các tài khoản người dùng. Muốn xoá được tài khoản nhóm, ta phải thực hiện loại bỏ các thành viên ra khỏi nhóm sau đó mới thực hiện xoá tài khoản nhóm.

Thay đổi thông tin tài khoản nhóm

• groupmod [option] group

• Trong đó group là tên tài khoản nhóm muốn thay đổi thông tin. Các lựa chọn chính của lệnh:

• -g gid [-o]: Xác định mã nhận diện tài khoản nhóm (GID). Giá trị này phải là duy nhất (trừ trường hợp sử dụng với lựa chọn -o). Giá trị này phải là một số nguyên dương. Giá trị từ 0 đến 499 được sử dụng cho các tài khoản hệ thống.

• -n group_name: Thay đổi tên nhóm từ group thành group_name. Chú ý là tên nhóm phải là duy nhất trên một hệ thống

• Thí dụ: Lệnh sau đây cho phép đổi tên tài khoản nhóm sales thành marketing:

• $ groupmod -n sales marketing

Các quyền

Mỗi file luôn thuộc về một người sử dụng và một nhóm xác định Người tạo ra file hoặc thư mục sẽ là người sở hữu,

nhóm chứa người tạo ra file hoặc thư mục sẽ là nhóm sở hữu đối với file/thư mục.

Sự phân quyền cho phép xác định rõ các quyền mà người sử dụng có đối với một file hoặc một thư mục.

Quyền truy cập r : đọc

Cho phép hiển thị nội dung của file hoặc thư mục

w : ghi

Cho phép thay đổi nội dung của file

Cho phép thêm hoặc xóa các file trong một thư mục

x : thực thi

Cho phép thực thi file dưới dạng một chương trình

Cho phép chuyển đến thư mục cần truy cập

Các nhóm người sử dụng Có 3 nhóm người sử dụng đối với 1 file/ thư mục:

u (người sở hữu) : người sở hữu duy nhất của file

g (groupe) : những người sử dụng thuộc nhóm chứa file

o (others) : những người sử dụng khác, không phải là người sở hữu file cũng như không thuộc nhóm chứa file.

Mỗi nhóm người sử dụng sẽ có một tập các quyền (r, w, x) xác định.

5

Ví dụ $ ls -l

----rw-rw- 1 tuananh user1 16 Feb 10 19:12 test1.txt

-rw-rw-rw- 1 tuananh user1 16 Feb 10 19:12 test2.txt

drw-r--r-- 2 tuananh user1 512 Feb 10 19:14 vanban

$ whoami

tuananh

$ cat test1.txt

cat: test1.txt: Permission denied

$ cat test2.txt

Un fichier de test

$ cp test2.txt vanban

cp: vanban: Permission denied

Các lưu ý Để có thể thêm các file, cần phải có quyền « w » đối với thư

mục

Để có thể xóa, thay đổi nội dung hoặc di chuyển 1 file, người sử dụng cũng cần phải có quyền « w » đối với thư mục

Việc xóa một file còn phụ thuộc vào quyền đối với thư mục chứa file đó

Để bảo mật các dữ liệu, người sở hữu file thậm chí có thể bỏ cả quyền đọc « r » đối với tất cả mọi người sử dụng khác.

Để hạn chế quá trình truy cập vào hệ thống file, người sử dụng có thể bỏ quyền thực thi (x) đối với thư mục gốc của hệ thống file.

Một số quyền đặc biệt đối với các file thực thi

set-uid: -rws --- ---

Chương trình được chạy dưới quyền của người sở hữu

set-gid: - --- rws ---

Chương trình được chạy bởi các người sử dụng thuộc cùng nhóm với người sở hữu

bit sticky

Chương trình chỉ được cấp phát bộ nhớ trong 1 lần

Ví dụ $ ls -l /etc/passwd

-rw-rw---- 1 root root 568 Feb 10 19:12 passwd

$ ls -l /bin/passwd

-rwsrws--x 1 root root 3634 Feb 10 19:12 passwd

Khi một người sử dụng thông thường gọi lệnh /bin/passwd, xem như người đó được « mượn » quyền root để thay đổi mật khẩu trong file /etc/passwd

Sử dụng phương pháp tuyệt đối

Sử dụng phương pháp tuyệt đối

Thí dụ: Để gán quyền đọc và thi hành cho chủ nhân và chỉ gán quyền đọc cho tất cả các người dùng khác đối với tập tin myfile, dùng lệnh: $ chmod 544 myfile.

Để cho phép mọi người dùng đều có quyền đọc và ghi vào thư mục /mydir, đồng thời 'bật' sticky bit của thư mục này, ta thi hành lệnh sau: $ chmod 1666 /mydir

6

Thay đổi quyền truy cập (1) $chmod <mode> <files>

set_uid set-gid sticky user group other

rwx --x --x

1 1 0 111 001 001

6 7 1 1

$ chmod 6711 test

$ ls -l test

-rws--s--x 1 tuananh user1 Mar 10 10:20 test

$ chmod 711 test

$ ls -l test

-rwx--x--x 1 tuananh user1 Mar 10 10:20 test

Thay đổi quyền truy nhập (2) $chmod <options><+-=><rwsx> <files>

Operation

+ (thêm 1 hoặc 1 số quyền vào tập các quyền file đã có)

- (bỏ 1 hoặc 1 số quyền khỏi tập các quyền file đã có)

= (gán mới 1 hoặc 1 số quyền cho file)

Quyền = r | w | x | s

options

Options • Dưới đây là ý nghĩa của các ký tự được sử dụng trong phương

pháp tượng trưng: • u : Chỉ ra chủ nhân (owner) của thư mục/tập tin sẽ được thay

đổi quyền • g: Chỉ ra nhóm (group) của thư mục/tập tin sẽ được thay đổi

quyền • o: Chỉ ra các người dùng khác không trong nhóm (group) của

tập tin sẽ được thay đổi quyền truy nhập • a: Chỉ ra tất cả các người dùng • + : Bổ sung thêm quyền truy nhập cho đối tượng • - : Loại bỏ bớt quyền truy nhập của đối tượng • = : Chỉ gán quyền được chỉ ra cho đối tượng , tất cả các quyền

khác hiện có sẽ bị loại bỏ • r : Quyền đọc tập tin/thư mục sẽ được thay đổi • w: Quyền ghi tập tin/thư mục sẽ được thay đổi • x: Quyền thi hành tập tin/thư mục sẽ được thay đổi • t: Sticky bit sẽ được thay đổi

Vi dụ

• Để chỉ cho tất cả các đối tượng chỉ được phép đọc tập tin myfile, ta thi hành lệnh sau:

$ chmod ugo=r myfile • Để thêm quyền đọc, bỏ quyền ghi trên tập tin myfile, dùng

lệnh: $ chmod +x-w myfile • Để thêm quyền đọc, bỏ quyền ghi và thi hành cho các

người dùng khác trên tập tin myfile, dùng lệnh: $ chmod o+x-wx myfile • Để thêm quyền đọc, thi hành và bỏ quyền ghi cho thư mục

letters/thanhkyou, ta dùng lệnh: $ chmod g+rx-w letters/thankyou

Định nghĩa các quyền ngầm định khi tạo ra 1 file

Các quyền ngầm định của 1 file khi tạo ra có thể được xác định bằng lệnh umask

$umask

022

Số 0 có nghĩa là quyền của người sử dụng không bị hạn chế (rwx)

Số 2 có nghĩa là quyền ghi (w) bị hạn chế (r-w).

$umask 022

Định nghĩa các quyền ngầm định khi tạo ra 1 file

Số bát phân Số nhị phân Quyền

0 000 rwx

1 001 rw-

2 010 r-x

3 011 r--

4 100 -wx

5 101 -w-

6 110 --x

7 111 ---

7

Thay đổi người sở hữu và nhóm $chown [-R] <utilisateur> <files>

Thay đổi người sở hữu của file

$chgrp <groupe> <files> Thay đổi nhóm của file

Có thể sử dụng tùy chọn –R để lặp lại việc thực hiện các lệnh (ví dụ thực hiện việc thay đổi quyền sở hữu hoặc nhóm của mọi file trong cùng một thư mục)

Các lệnh trên chỉ dành cho những người sử dụng có quyền root

Thay đổi chủ nhân của tập tin - lệnh chown

Lệnh chown cho phép ta thay đổi chủ nhân (onwer) của tập tin.

Cú pháp lệnh:

chown [options] owner[:[group]] file...

Thay đổi chủ nhân của tập tin - lệnh chown

• Các lựa chọn hay dùng của lệnh: • -R: Thay đổi chủ nhân cho cả các thư mục con và các tập tin có

trong đó • --dereference: Thay đổi chủ nhân tập tin mà symbolic link chỉ

đến, thay vì thay đổi chủ nhân của bản thân symbolic link • -h: Thay đổi chủ nhân của symbolic link, mà không thay đổi chủ

nhân của tập tin mà symbolic link chỉ đến • -v: Hiển thị các thông điệp hệ thống khi thực hiện xử lý mỗi tập

tin • Thí dụ: Trao quyền chủ nhân tập tin myfile cho người dùng larisa và nhóm

storm, thực hiện lệnh sau: • $ chown larisa:storm myfile

Thay đổi nhóm chủ nhân tập tin - lệnh chgrp

• chgrp [options] group file ... • Trong đó group là nhóm chủ nhân mới của tập tin và file là tập tin ta

muốn thay đổi nhóm chủ nhân. • Một số lựa chọn của lệnh: • -R: Thay đổi nhóm chủ nhân cho cả các thư mục con và các tập tin có

trong đó • --dereference: Thay đổi nhóm chủ nhân tập tin mà symbolic link chỉ

đến, thay vì thay đổi nhóm chủ nhân của bản thân symbolic link • -h: Thay đổi nhóm chủ nhân của symbolic link, mà không thay đổi

nhóm chủ nhân của tập tin mà symbolic link chỉ đến • -v: Hiển thị các thông điệp hệ thống khi thực hiện xử lý mỗi tập tin • Thí dụ:Để thay đổi nhóm chủ nhân cho tất cả các tập tin trong thư

mục hiện hành cho nhóm storm, $ chgrp storm *

Các quyền đặc biệt với tệp set-uid: -rws --- ---

Tệp chương trình được chạy dưới quyền của người sở hữu

set-gid: - --- rws ---

Chương trình được chạy dưới quyền của nhóm sở hữu

bit sticky

Chương trình chỉ được cấp phát bộ nhớ trong 1 lần

2/26/2014 41

Các quyền đặc biệt với thư mục set-uid: -rws --- ---

set-gid: - --- rws ---

Các tệp mới được tạo ra có nhóm chủ sở hữu là nhóm của thư mục

bit sticky

Chỉ có root và chủ sở hữu được xóa, kể cả khi có quyền rwx

2/26/2014 42

8

Sticky bit example

2/26/2014 @ Ha Quoc Trung 2009 43

Sticky bit example

2/26/2014 44

Suid bit-example

2/26/2014 45

Suid bit-example

2/26/2014 46