Quản lý giấy phép mặc định của UNIX với adduser và umask docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (97.66 KB, 3 trang )
Quản lý giấy phép mặc định của UNIX với adduser và
umask
Trong trường hợp tổng quát, các quản trị viên hệ thống UNIX và LINUX
cần đảm bảo rằng chủ sở hữu của một file (Owner) sẽ có toàn quyền đối với
file đó và mặc định sẽ không cấp phép truy cập cho bất kì người dùng nào
khác. Làm như vậy sẽ giảm được các rắc rối gặp phải khi quản trị hệ thống
mà không phải thực hiện thêm các tác vụ phức tạp để tự động hóa tiến trình
cấp các giấy phép mặc định cho những file mới.
Cấu hình giấy phép mặc định của thư mục chủ
Trước tiên, những giấy phép cho thư mục chủ của một người dùng mới có
thể được cấp khi người dùng đó được tạo bằng lệnh adduser. Ví dụ, trong
FreeBSD, chúng ta có thể cấp các giấy phép ban đầu cho thư mục chủ của
một người dùng mới bằng cách sử dụng tùy chọn –M với lệnh adduser. Do
đó, nếu muốn tạo một tài khoản người dùng với quyền của thư mục chủ
được cài đặt là 750 thì chúng ta cần chạy lệnh sau:
adduser –M 750
Trong Ubuntu Linux, để cấp giấy phép tương tự, chúng ta phải hiệu chỉnh
dòng DIR_MODE trong file/etc/adduser.conf, khi đó dòng này sẽ được thay
đổi thành:
DIR_MODE=0750
File /etc/adduser.conf có thể được sử dụng để cấu hình giấy phép mặc định
của thư mục chủ cho các tài khoản người dùng qua công cụ quản trị trên
những hệ thống FreeBSD cũng như những hệ thống Ubuntu Linux, tuy
nhiên tùy chọn –M của lệnh adduser sẽ cho phép giấy phép mặc định
trong /etc/adduser.conf được ghi đè khi chạy lệnh adduser.
Khi cấp giấy phép mặc định cho thư mục chủ của một người dùng, thì thư
mục chủ của người dùng đó sẽ là bất khả xâm phạm dù là duyệt tìm hay xem
đối với tất cả các tài khoản không có đặc quyền gốc, ngoại trừ tài khoản sở
hữu thư mục này và những tài khoản thuộc nhóm mặc định của tài khoản đó.
Ngoài ra, giấy phép mặc định này sẽ không cho phép xóa thư mục chủ này,
thậm chí là cả những tài khoản khác trong nhóm mặc định của tài khoản
người dùng được cấp phép. Khi thư mục chủ đã được tạo thì chúng ta vẫn
cần phải tự động hóa tiến trình cấp giấy phép mặc định cho những file bổ
sung được tài khoản đó tạo ra.
Cấu hình mask mặc định của giấy phép file
File Creation Mask (FCM) có thể giúp tự động hóa chính sách bảo mật cấp
độ file bằng cách sử dụng một nhóm giấy phép file mặc định giới hạn khi
những file mới được tạo. Lệnh thường được sử dụng cho FCM trong hệ
thống UNIX và kiểu UNIX là umask (được viết tắt từ user mask). Trong
những môi trường hệ điều hành theo chuẩn POSIX, mọi tiến trình đều có
một user mask để giới hạn các chế độ cho những file mà nó tạo ra.
Lệnhumask sẽ chỉ định những giấy phép không được cho phép. Những hệ
thống kiểu UNIX cũng sử dụng lệnhumask để cài đặt umask cho một trình
tiện ích.
Lệnh này có thể được cải tiến để tác động tới mọi tiến trình vận hành trong
bối cảnh của một trình tiện ích đăng nhập của người dùng. Chúng ta có thể
áp dụng umask này với mọi tài khoản người dùng trên một hệ thống bằng
cách chỉ định một umask mặc định trong một file cấu hình trình tiện ích mặc
định của hệ thống. Ví dụ, trong hầu hết các bản phân phối Linux, bash là
trình tiện ích mặc định, file cấu hình của bash sẽ
là /etc/profile hoặc/etc/bashrc. Với những hệ thống BSD Unix, các trình tiện
ích mặc định là một phần của nhóm trình tiện ích C, như csh và tcsh, và file
cấu hình của những trình tiện ích này sẽ là /etc/login.conf.
