Quản lý giấy phép mặc định của UNIX với adduser và umask Trong trường hợp tổng quát, các quản trị viên hệ thống UNIX và LINUX cần đảm bảo rằng chủ sở hữu của một file Owner sẽ có toàn q
Trang 1Quản lý giấy phép mặc định của UNIX với adduser và
umask
Trong trường hợp tổng quát, các quản trị viên hệ thống UNIX và LINUX cần đảm bảo rằng chủ sở hữu của một file (Owner) sẽ có toàn quyền đối với file đó và mặc định sẽ không cấp phép truy cập cho bất kì người dùng nào khác Làm như vậy sẽ giảm được các rắc rối gặp phải khi quản trị hệ thống
mà không phải thực hiện thêm các tác vụ phức tạp để tự động hóa tiến trình cấp các giấy phép mặc định cho những file mới
Cấu hình giấy phép mặc định của thư mục chủ
Trước tiên, những giấy phép cho thư mục chủ của một người dùng mới có thể được cấp khi người dùng đó được tạo bằng lệnh adduser Ví dụ, trong FreeBSD, chúng ta có thể cấp các giấy phép ban đầu cho thư mục chủ của
một người dùng mới bằng cách sử dụng tùy chọn –M với lệnh adduser Do
đó, nếu muốn tạo một tài khoản người dùng với quyền của thư mục chủ
được cài đặt là 750 thì chúng ta cần chạy lệnh sau:
adduser –M 750
Trong Ubuntu Linux, để cấp giấy phép tương tự, chúng ta phải hiệu chỉnh
dòng DIR_MODE trong file/etc/adduser.conf, khi đó dòng này sẽ được thay
đổi thành:
DIR_MODE=0750
Trang 2File /etc/adduser.conf có thể được sử dụng để cấu hình giấy phép mặc định
của thư mục chủ cho các tài khoản người dùng qua công cụ quản trị trên những hệ thống FreeBSD cũng như những hệ thống Ubuntu Linux, tuy
nhiên tùy chọn –M của lệnh adduser sẽ cho phép giấy phép mặc định
trong /etc/adduser.conf được ghi đè khi chạy lệnh adduser
Khi cấp giấy phép mặc định cho thư mục chủ của một người dùng, thì thư mục chủ của người dùng đó sẽ là bất khả xâm phạm dù là duyệt tìm hay xem đối với tất cả các tài khoản không có đặc quyền gốc, ngoại trừ tài khoản sở hữu thư mục này và những tài khoản thuộc nhóm mặc định của tài khoản đó Ngoài ra, giấy phép mặc định này sẽ không cho phép xóa thư mục chủ này, thậm chí là cả những tài khoản khác trong nhóm mặc định của tài khoản người dùng được cấp phép Khi thư mục chủ đã được tạo thì chúng ta vẫn cần phải tự động hóa tiến trình cấp giấy phép mặc định cho những file bổ sung được tài khoản đó tạo ra
Cấu hình mask mặc định của giấy phép file
File Creation Mask (FCM) có thể giúp tự động hóa chính sách bảo mật cấp
độ file bằng cách sử dụng một nhóm giấy phép file mặc định giới hạn khi những file mới được tạo Lệnh thường được sử dụng cho FCM trong hệ
thống UNIX và kiểu UNIX là umask (được viết tắt từ user mask) Trong
những môi trường hệ điều hành theo chuẩn POSIX, mọi tiến trình đều có
một user mask để giới hạn các chế độ cho những file mà nó tạo ra
Lệnhumask sẽ chỉ định những giấy phép không được cho phép Những hệ thống kiểu UNIX cũng sử dụng lệnhumask để cài đặt umask cho một trình
tiện ích
Trang 3Lệnh này có thể được cải tiến để tác động tới mọi tiến trình vận hành trong bối cảnh của một trình tiện ích đăng nhập của người dùng Chúng ta có thể
áp dụng umask này với mọi tài khoản người dùng trên một hệ thống bằng cách chỉ định một umask mặc định trong một file cấu hình trình tiện ích mặc
định của hệ thống Ví dụ, trong hầu hết các bản phân phối Linux, bash là trình tiện ích mặc định, file cấu hình của bash sẽ
là /etc/profile hoặc/etc/bashrc Với những hệ thống BSD Unix, các trình tiện ích mặc định là một phần của nhóm trình tiện ích C, như csh và tcsh, và file cấu hình của những trình tiện ích này sẽ là /etc/login.conf