Tìm hiểu giấy phép truy cập file cơ bản trong UNIX UNIX không chỉ là một hệ điều hành độc lập mà còn là một trong những thế hệ nối tiếp của AT&T UNIX được Ken Thompson và Dennis Ritchie phát triển cùng với sựu hỗ trợ của Brian Kernighan sau này. Kể từ thời điểm đó,một chuẩnIEEE chínhthức cho hệ điều hành UNIX,có tên POSIX Standard được phát triển. Cáitên UNIX sauđó đã được sử dụng để đặt têncho nhữnghệ điều hành tuân thủ theo chuẩnduy nhất này của UNIX, mà phiên bản hiện tại của chuẩn này (SUS3) rất giống với chuẩn POSIX:2001. Một phầncủa chuẩnnày, chúngtacó thể thấy trên bất kì hệ điềuhành kiểu Linux nào như những hệ thốngUNIX BSDhay các bản phân phối Linux,là hệ thống giấy phép file của Unix. Hệ thống này cung cấp bakiểu đối tượngchính, mỗi đối tượng trong số này cóthể đượcchấpthuậnhay từ chối cấp ba loạigiấy phéptươngứng. Các đối tượng Owner (chủ sở hữu) Mỗi file và thư mục(một loại file cụ thể) đều cómột Owner. Đây là tài khoảnngười dùngcó toàn quyền vớifile này, chophép thực hiện mộtsố thao tác như thay đổi giấy phép file. Owner được coi là một tài khoản người dùng gốc(root)hay tài khoản người dùng cá nhân,hay thậm chí làmộttài khoản người dùng bấtkì được tự độngtạođể sử dụng mộtvài chức năng của phần mềm màchúng ta đã cài đặt. Thôngthường, Owner của mộtfile là tài khoảnđượcsử dụng để tạo file đó, mặcdù sau đó những file này có thể được gán lại cho Owner khác bằng lệnhchown. Group (nhóm) Ngoài Owner, mỗi file đềucó một tài khoản nhóm. Nhóm này, giốngnhư tài khoản ngườidùng là chủ sở hữu file (Owner),có mộtnhóm giấy phép truycập vào file đó. Khi tạomột file, nhómnày sẽ được coi lànhóm mặcđịnhcủa tài khoản người dùng được sử dụng để tạo file này, dùsau đó file nàycó thể được gán lại cho một nhóm khác bằng lệnh chgrp. Vídụ, trong tài khoản gốc, điều nàycó nghĩa là nhómsở hữu file này lànhóm wheeltrong nhữnghệ thống BSDUnix. World (cộng đồng) Đây là đối tượng được cấp phép cuối cùng. Đối tượng nàybao gồmmọi tài khoản khôngphải là Owner haythành viêncủa nhóm sở hữufile. Các loại giấy phép Những giấy phép trongUNIX baogồmba giá trị nhị phân dạng số: 100. Giá trị số nhị phân100 (giá trị thập phântương ứnglà 4) cấp phép read hay r (đọc)file cho đối tượng. Điềunày có nghĩa là,dù đối tượng nào được cấp giấy phépnày đều cóthể xem dữ liệu trong file. Mộttài khoản đượccấp phép read tới một thư mụcsẽ cóthể xemdữ liệu trong thư mụcđó. 10. Trị số nhị phânnày (giátrị thập phân tương ứnglà 2) tương ứng vớigiấy phép write hayw (ghi).Có nghĩa lànhững đối tượng được cấp giấy phép này đều có thể ghi dữ liệu hay thựchiện thay đổi cho file, hoặc thậm chí làxóa dữ liệu trong đó. Tương tự,một tài khoản được cấpphép write tới một thư mục cũng có thể thực hiện thayđổi dữ liệu trong thư mụcđó, như tạo cácfile mới. 1. Đâylà một trị số nhị phân (giá trị thập phântương ứnglà 1) thể hiện giấy phép execute hay x (thựcthi). Có nghĩa là những đối tượngđược cấpgiấy phép này có thể chạy file, như trong trườnghợp cóthể chạy ứngdụng.Nếu không có đối tượng nào được cấp phép chạy file, chúng sẽ không được truycập vào bấtcứ file nào ngoại trừ nhữngdữ liệu thô trên ổ cứng.Khi mộttài khoản đượccấp phép execute tới mộtthư mục nó có thể truycập vàothư mục đó để thực hiện mọi thao tác, bao gồm cả xemdữ liệu, vì khixem dữ liệu của một thư mụctừ bên ngoài ngườidùng sẽ phải chạy ứng dụng rồi truy cập vàothư mục đó. Những trị số này cóthể được kết hợp lại với nhau để tạo ra mộtnhómgiấy phép cho đối tượng người dùng cụ thể. Ví dụ,khikếthợp 100 và10 sẽ tạo ra đối tượng với giấyphép 110 vớiquyềntruy cậpđọc và ghi,mà không có quyền thựcthi. Tương ứngvới trị số nhị phân 110này là giátrị thập phân 6. Hiển thị và thay đổi giấy phép Hiển thị giấy phép Để kiểmtra các cài đặt giấy phép củamột file,chúng ta chỉ cần dùng lệnh ls với tùy chọn –l để hiển thị thông tinbao gồm cả các giấy phép.Khi chạy lệnh này trên thư mục /etc/periodic củahệ thống mặc định Free BSDchúng ta sẽ thấy nhữngthông tin như sau: > ls -l /etc/periodic drwxr-xr-x 2 root wheel 1024 Sep 7 09:10 daily drwxr-xr-x 2 root wheel 512 Sep 7 09:10 monthly drwxr-xr-x 2 root wheel 512 Sep 7 09:10 security drwxr-xr-x 2 root wheel 512 Sep 7 09:10 weekly Kí tự d ở phía đầucủa mỗi dòng cho biết file đó là thư mục. Nhómgiấy phép còn lại sauđó được chiathành những nhóm gồm 3kí tự, trongđó, theo thứ tự các nhóm giấy phép này sẽ làba quyềnx, w và r của từngđối tượng Owner, Group và World. Dấu gạch nốigiữa các nhóm để phân biệt giấy phép của cácđối tượng. Dođó,với nhữngthư mục trong/etc/periodic,đối tượng Owner cócác giấy phép111/7/rwx, tương ứng với r, w và x, trong khiđó giấy phép của cả đối tượng Group và World sẽ là 101/5/r-x, hayr và x. Các cột root vàwheel là những giấy phép chỉ định củađối tượng Owner vàGroup cho những file này. Thay đổi giấy phép Giả sử chúngta có mộtfile tmp.txt, và chúng ta muốnthay đổi cấp phép chofile này. Vì mục đích minh họanên chúngta sẽ gán giấy phép ban đầucho file này như sau: > ls -l tmp.txt -rw-r r 1 jon doe 0 Nov 12 15:30 tmp.txt Lưu ý rằngđể thực hiện thay đổi file này chúng ta phải đăng nhập với tài khoản cóđặc quyền hệ thống cần thiết để không chỉ tác động tới file mà còntác động tớimọi đốitượng người dùng vànhóm.Nếu không, chúngta sẽ không thể gán filetmp.txtchoroot user màkhông đăng nhập như root. Quản lý bảo mật cấp độ file Nếu sử dụng hệ điều hànhUNIX haykiểuUNIX, chúngtacần nắmđược những phươngthức quản lýbảo mật cấp độ filecơ bảnnhất.Một yếu tố quan trọng với bảo mật cấp độ file trên hệ thốngUNIX làđể giớihạn giấy phép file đến mức cóthể mà khônglàm ảnhhưởng tớichức năng của hệ điềuhành, vàkhôngngăn cản chúng ta truy cập vàonhững file cầnthiết. Quan trọng nhất, giấy phép file bên ngoài thư mụcchủ của tài khoản người dùng (như /usr/home/jon/ trong trường hợptài khoảngiả định jon ở trên, hay /root/ trong trường hợptài khoản root củahệ thốngFreeBSD, hay/home/jon/ và /root/ trênhệ thống nềntảng Linux điển hình) cần đượcgiữ nguyênnhư mặc định nếu chúng ta không biết chínhxác thao tácđang thực hiện. Hầu hết cácfile dữ liệu trongthư mục chủ của tài khoản người dùng,như các file văn bản,cầncấp giấy phép110/6/rw- cho tàikhoản đó,và cấp giấy phép 000/0/- cho đối tượng Group và World.Trong khi đó mọi thư mụccon trongthư mục chủ đó sẽ cấp phép111/7/rwx cho đối tượng Owner, và 000/0/- cho đối tượng Group và Worldnếu chúng ta chú ý tới quyền riêngtư với các tài khoản khác, hay để ngăn ngừanhững kẻ bẻ khóa bảomật cóthể chiếm quyền haytạo những tài khoản khác trên hệ thống. Nắm được phương phápsử dụng giấy phép file củaUNIX là chúngtađã hiểu được một thànhphần bảomật cơ bản củaUNIX. Nếu khôngsử dụng giấy phép bảo mật file, thìkhả năng phânquyền rấtmạnh của hệ điều hànhUNIXgiúp cungcấpkhả năng bảomật đángkể sovới cáchệ điều hànhkhácđã bị suy giảm. Xian (Theo TechRepublic) . Tìm hiểu giấy phép truy cập file cơ bản trong UNIX UNIX không chỉ là một hệ điều hành độc lập mà còn là một trong những thế hệ nối tiếp của AT&T UNIX được Ken Thompson. phápsử dụng giấy phép file củaUNIX là chúngtađã hiểu được một thànhphần bảomật cơ bản củaUNIX. Nếu khôngsử dụng giấy phép bảo mật file, thìkhả năng phânquyền rấtmạnh của hệ điều hànhUNIXgiúp cungcấpkhả năng. điều hànhUNIX haykiểuUNIX, chúngtacần nắmđược những phươngthức quản lýbảo mật cấp độ filecơ bảnnhất.Một yếu tố quan trọng với bảo mật cấp độ file trên hệ thốngUNIX làđể giớihạn giấy phép file đến