Phân quyền và kiểm soát truy cập tài nguyên chia sẻ trên hệ điều hành linux

DANH MỤC VIẾT TẮT 2 MỞ ĐầU 4 CHƯƠNG I. KHÁI QUÁT VỀ PHÂN QUYỀN VÀ KIỂM SOÁT TRUY CẬP TÀI NGUYÊN CHIA SẺ HĐH LINUX 4 1.1 Khái niệm cơ bản 4 CHƯƠNG II. TẠO DANH SÁCH KIỂM SOÁT TRUY CẬP (ACL) CHO NGƯỜI DÙNG HOẶC NHÓM NGƯỜI DÙNG 4 2.1. Cài đặt quyền bình thường không có ACL 4 2.2. Thiết lập ACL 5 Chương III : TẠO DANH SÁCH KIỂM SOÁT TRUY CẬP (ACL) CHO NGƯỜI DÙNG HOẶC NHÓM NGƯỜI DÙNG 8 3.1 Tạo một ACL kế thừa 8 CHƯƠNG IV: LOẠI BỎ MỘT SỐ QUYỀN CỤ THỂ BẰNG CÁCH SỬ DỤNG MẶT NẠ ACL 10 4.1 Xóa ACL khỏi tệp hoặc thư mục 10 CHƯƠNG V: SỬ DỤNG TÙY CHỌN TARACLS ĐỂ NGĂN CHẶN MẤT ACL TRONG QUÁ TRÌNH SAO LƯU 12 CHƯƠNG VI: TẠO NHÓM NGƯỜI DÙNG VÀ THÊM THÀNH VIÊN ĐẾN NÓ 15 6.1. Thêm thành viên khi chúng tôi tạo tài khoản người dùng cho họ 17 6.2. Sử dụng usermod để thêm người dùng hiện có vào nhóm 17 6.3. Thêm người dùng vào một nhóm bằng cách chỉnh sửa etcgrouptập tin 18 6.4. Tạo một thư mục chia sẻ 19 CHƯƠNG VII: ĐẶT BIT SGID VÀ BIT DÍNH TRÊN THƯ MỤC CHIA SẺ 21 CHƯƠNG VIII: SỬ DỤNG ACL ĐỂ TRUY CẬP CÁC TỆP TRONG PHẦN ĐƯỢC CHIA SẺ DANH MỤC. 24 8.1 Đặt quyền và tạo ACL 24 8.2 Hoainam cố gắng truy cập tệp của caotrungduc bằng ACL đặt cho xuanthanh 26 8.3 Handson lab tạo một thư mục nhóm được chia sẻ 26 KẾT LUẬN 29 TÀI LIỆU THAM KHẢO 30

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

HỌC PHẦN

QUẢN TRỊ AN TOÀN HỆ THỐNG

BÁO CÁO BÀI TẬP LỚN

Phân quyền và kiểm soát truy cập tài nguyên chia sẻ trên hệ điều

hành Linux

Giảng viên : Phạm Minh Thuấn

Ngày gửi : 10/09/2021

Hà Nội, 2021

DANH MỤC VIẾT TẮT

DAC Discretionary Access Control

ACL Access Control List

MỤC LỤC

DANH MỤC VIẾT TẮT 2

MỞ ĐầU 4

CHƯƠNG I KHÁI QUÁT VỀ PHÂN QUYỀN VÀ KIỂM SOÁT TRUY CẬP TÀI NGUYÊN CHIA SẺ HĐH LINUX 4

1.1 Khái niệm cơ bản 4

CHƯƠNG II TẠO DANH SÁCH KIỂM SOÁT TRUY CẬP (ACL) CHO NGƯỜI DÙNG HOẶC NHÓM NGƯỜI DÙNG 4

2.1 Cài đặt quyền bình thường không có ACL 4

2.2 Thiết lập ACL 5

Chương III : TẠO DANH SÁCH KIỂM SOÁT TRUY CẬP (ACL) CHO NGƯỜI DÙNG HOẶC NHÓM NGƯỜI DÙNG 8

3.1 Tạo một ACL kế thừa 8

CHƯƠNG IV: LOẠI BỎ MỘT SỐ QUYỀN CỤ THỂ BẰNG CÁCH SỬ DỤNG MẶT NẠ ACL 10

4.1 Xóa ACL khỏi tệp hoặc thư mục 10

CHƯƠNG V: SỬ DỤNG TÙY CHỌN TAR-ACLS ĐỂ NGĂN CHẶN MẤT ACL TRONG QUÁ TRÌNH SAO LƯU 12

CHƯƠNG VI: TẠO NHÓM NGƯỜI DÙNG VÀ THÊM THÀNH VIÊN ĐẾN NÓ 15

6.1 Thêm thành viên khi chúng tôi tạo tài khoản người dùng cho họ 17

6.2 Sử dụng usermod để thêm người dùng hiện có vào nhóm 17

6.3 Thêm người dùng vào một nhóm bằng cách chỉnh sửa /etc/group/tập tin 18

6.4 Tạo một thư mục chia sẻ 19

CHƯƠNG VII: ĐẶT BIT SGID VÀ BIT DÍNH TRÊN THƯ MỤC CHIA SẺ 21

CHƯƠNG VIII: SỬ DỤNG ACL ĐỂ TRUY CẬP CÁC TỆP TRONG PHẦN ĐƯỢC CHIA SẺ DANH MỤC 24

8.1 Đặt quyền và tạo ACL 24

8.2 Hoainam cố gắng truy cập tệp của caotrungduc bằng ACL đặt cho xuanthanh 26

8.3 Hands-on lab - tạo một thư mục nhóm được chia sẻ 26

KẾT LUẬN 29

TÀI LIỆU THAM KHẢO 30

MỞ ĐầU

Hiện nay, Linux đang ngày càng trở nên phổ biến Kể từ khi Linus Torvalds công khai mã nguồn của nhân Linux đến nay, càng ngày càng có nhiều lập trình viên trên thế giới quan tâm đến dòng hệ điều hành này Nhiều công ty đã sử dụng các distro của Linux làm hệ điều hành mặc định cho nhân viên sử dụng Có thể kể đến

các phiên bản đang phổ biến hiện nay như Ubuntu, Fedora, OpenSUSE (cho máy

cá nhân), CentOS, RedHat, Debian (cho doanh nghiệp)… Một trong những ưu

điểm của Linux là tính năng phân quyền sử dụng trên file Một tính năng vô cùng mạnh mẽ nhưng cũng rất nguy hiểm nếu chúng ta không hiểu về nó

CHƯƠNG I KHÁI QUÁT VỀ PHÂN QUYỀN VÀ KIỂM SOÁT TRUY CẬP TÀI NGUYÊN CHIA SẺ HĐH LINUX

1.1 Khái niệm cơ bản

Nhiều người đã chuyển từ Windows sang Linux hay ngược lại, tuy nhiên khi chuyển sang một hệ điều hành mới thì gặp khó khăn trong việc làm quen với hệ điều hành mới cũng là điều dễ hiểu

- Khi chuyển từ Windows sang Linux thì cấu trúc thư mục file trong Linux khác hoàn toàn so với Win, hay bạn phải làm quen với việc dùng lệnh để tối ưu

hóa công việc và đặc biệt là phần phân quyền trong Linux.

CHƯƠNG II TẠO DANH SÁCH KIỂM SOÁT TRUY CẬP (ACL) CHO NGƯỜI DÙNG HOẶC NHÓM NGƯỜI DÙNG

2.1 Cài đặt quyền bình thường không có ACL

- Với ACL, chúng tôi chỉ cho phép một người nhất định truy cập vào tệp hoặc thư mục hoặc chúng tôi có thể cho phép nhiều người truy cập vào một tệp hoặc thư mục với các quyền khác nhau cho mỗi người Nếu chúng tôi có một tệp hoặc một thử mục mở rộng cho mọi người, chúng tôi có thể sử dụng ACL để cho phép các cấp độ truy cập khác nhau cho một nhóm hoặc một các nhân Bạn sẽ sử dụng getfacl để xem danh sách kiểm soát truy cập cho một tệp hoặc thư mục ( lưu

ý rằng bạn không thể sử dụng nó để xem tất cả các tệp trong một thư mục cùng 1 lúc) Để bắt đầu, hãy sử dụng getfacl để xem liệu chúng ta có bất kỳ danh sách kiểm soát truy cập nao đã được đặt trên tệp acl_demo.txt không

- Tất cả những gì chúng ta thấy ở đây chỉ là cài đặt quyền bình thường, vì vậy không có ACL

2.2 Thiết lập ACL

- Bước đầu tiên để thiết lập ACL là xóa tất cả các quyền khỏi mọi người ngoại trù người dùng của tệp Đó là vì cài đặt quyền mặc định cho phép thành viên của

nhóm để có quyền truy nhập đọc/ ghi và những người khác có quyền truy cập đọc

=> Vì vậy, thiết lập ACL không có xóa những quyền đó sẽ là vô nghĩa

-Khi sử dụng setfacl để đặt ACL,bạn có thể cho phép một người dùng hoặc một nhóm có bất kỳ kết hợp các đặc quyền đọc ,ghi hoặc thực thi.Trong trường hợp

chúng ta ,tôi muốn trungduc đọc tệp để ngăn anh ấy có các quyền ghi hoặc thực

thi:

- Tùy chọn -m của setfacl có nghãi là chúng tôi sắp sửa đổi ACL Có nghĩa là chúng

tôi thiết lập ACL cho người dùng Sau đó chúng tôi liệt kê tên người dùng theo sau

là dấu hai chấm khác và danh sách các quyền mà chúng tôi muốn cấp cho người

dùng này Trong trường hợp này, chúng tôi chỉ cho phép trungduc đọc quyền truy

cập mà chúng tôi muốn áp dụng ACL này Đầu ra getfacl cho thấy trungduc thực sự

có quyền đọc, mặc dù chúng tôi đã cài đặt 600 quyền trên tệp này Tuy nhiên, cũng có một dấu +, cho chúng ta biết rằng tệp có ACL Khi chúng tôi đặt một ACL, quyền cho ACL hiển thị dưới dụng quyền nhóm trong ls -l

- Để tiến thêm một bước nữa, hãy nói rằng chúng tôi muốn hoainam có quyền

truy cập đọc/ ghi vào tệp này

- Vì vậy, chúng ta thể có 2 hay nhiều ACL kahcs nhau được gán cho cùng một tệp trong đầu ra ls -l, chúng ta thấy rằng chúng ta đã đặt các quyền rw cho nhóm, điềunày thực sử chỉ là một bản tóm tắt của quyền mà chúng tôi đã đặt trong hai ACL Chúng ta có thể đặt Acl cho quyền truy cập nhóm bằng cách thay thế u: bằng g::

Chương III : TẠO DANH SÁCH KIỂM SOÁT TRUY CẬP (ACL) CHO NGƯỜI DÙNG HOẶC NHÓM NGƯỜI DÙNG

3.1 Tạo một ACL kế thừa

- Có thể đôi khi bạn muốn tất cả các tệp được tạo trong một thư mục dùng

chung phải có cùng một danh sách kiểm saost tủy cập chúng ta có thể làm điều đó bằng cách áp dụng ACL kế thừa vào thư mục

- Mặc dù, hãy hiểu rằng, mặc dù điều này nghe có vè là một ý tưởng hay,

nhưng việc tạo tệp trong cách thông thường sẽ khiến các tệp có quyền đọc/ghi được đặt cho các nhóm và quyền đọc được đặt cho người khác Vì

vậy, nếu ban đang thiết lập điều này cho một thư mục mà người dùng chỉ tạo tệp bình thường, điều tốt nhất ban có thể làm là tạo một ACL bổ sung quyền ghi hoặc thực thi cho ai đó Hoặc là đảm bảo rằng người dùng đặt cài đặt quyền trên tất cả các tệp mà họ tạo, giả sử rằng người dùng thực sựcần hạn chế quyền truy cập vào các tệp của họ.

- Mặt khác, nếu bạn đang tạo một tập lệnh shell tạo các tệp trong một thư

mục cụ thể, bạn có thể bao gồm các lệnh chmod để đảm bảo rằng các tệp được tạp với các quyền cần thiết để làm cho ACL của bnaj hoạt động như

dự kiến

- Để demo, chúng ta tạo thư mục nhom15 và đặt ACL kế thừa trên đó.

- Tất cả những gì tối phải làm để biến điều này thành một ACL kế thừa là

thêm d: vào trước u: hoainam

- Cài đặt quyền mặc định trên thư mục, cho phép mọi người đọc quyền truy

cập vào danh mục Tiếp theo, tôi sẽ tạo tập lệnh shell kali_scrip.sh sẽ tạo

một tệp bên trong thư mục đó sẽ đặt quyền đọc/ghi chỉ cho người dùng tệp mới.

- Sau khi thực thi tập lệnh, sẽ chạy nó và xem kết quả:

- Vì vậy, new_file.txt đã được tạo với cài đặt quyền chính xác và với một ACL cho phép Frank đọc nó

CHƯƠNG IV: LOẠI BỎ MỘT SỐ QUYỀN CỤ THỂ BẰNG CÁCH SỬ DỤNG MẶT NẠ ACL

4.1 Xóa ACL khỏi tệp hoặc thư mục

- Bạn có thể xóa ACL khỏi tệp hoặc thư mục bằng tùy chọn -x Hãy quay trở lại

tệp acl_demo.txt mà tôi đã tạo trước đó và xóa ACL cho trungduc:

- Vì vậy, ACL của trungduc đã biến mất Tuy nhiên, tùy chọn -x loại bỏ toàn

bộ ACL, ngay cả khi điều đó không như những gì bạn thực sự muốn Nếu bạn có ACL với nhiều quyền được đặt, bạn có thể chỉ muốn xóa một quyền trong khi vẫn để lại các quyền khác Ở đây, chúng ta thấy rằng hoainam vẫn

có ACL của anh ấy cấp cho anh ấy quyền truy cập đọc / ghi Bây giờ hãy nói rằng chúng tôi muốn xóa phần viết cho phép, trong khi vẫn cho phép anh

ta quyền đọc Đối với điều đó, chúng tôi sẽ cần áp dụng mặt nạ:

- M :: r đặt mặt nạ chỉ đọc trên ACL Chạy getfacl cho thấy hoainam vẫn có

đọc / ghi ACL, nhưng nhận xét ở bên cạnh cho thấy quyền hiệu quả của anh ta là chỉ đọc Vì vậy, quyền ghi tệp của hoainam giờ đã không còn nữa

Và, nếu chúng ta đã đặt ACL cho những người dùng khác, mặt nạ này sẽ ảnh hưởng đến họ theo cùng một cách

CHƯƠNG V: SỬ DỤNG TÙY CHỌN TAR-ACLS ĐỂ NGĂN CHẶN MẤT ACL TRONG QUÁ TRÌNH SAO LƯU

- Nếu bạn cần sử dụng tar để tạo bản sao lưu của tệp hoặc thư mục có ACL

được gán cho nó, bạn sẽ cần bao gồm công tắc tùy chọn acls Nếu không,các ACL sẽ mất Để hiển thị điều này, tôi sẽ tạo một bản sao lưu của thưmục nhom15 mà không có –acls Lựa chọn Trước tiên, hãy lưu ý rằng tôi cóACL trên các tệp trong thư mục này, như được biểu thị bằng dấu + trên haitệp cuối cùng:

- Bây giờ, tôi sẽ thực hiện sao lưu mà không có acls:

- Xem điều gì xảy ra khi tôi xóa thư mục và sau đó khôi phục nó từ bản sao

lưu

- Tôi thậm chí không phải sử dụng getfacl để thấy rằng các ACL đã biến mất

khỏi nhom15 thư mục và tất cả các tệp của nó, vì các dấu + hiện đã biếnmất khỏi chúng Bây giờ hãy nhìn điều gì sẽ xảy ra khi tôi bao gồm tùy chọn acls Đầu tiên, tôi sẽ cho bạn thấy rằng ACL được đặt cho thư mục này vàtệp duy nhất của nó:

- Bây giờ, tôi sẽ sử dụng tar với acls:

- Bây giờ tôi sẽ xóa thư mục nhom15 và khôi phục nó từ bản sao lưu Một

lần nữa, tôi sẽ sử dụng - -acls tùy chọn

- Sự hiện diện của các dấu + chỉ ra rằng các ACL vẫn tồn tại trong quá trình

sao lưu và khôi phục thủ tục Một phần hơi khó khăn về điều này là bạnphải sử dụng acls cho cả hai sao lưu và phục hồi Nếu bạn bỏ qua tùychọn này một trong hai lần, bạn sẽ mất ACL của mình

CHƯƠNG VI: TẠO NHÓM NGƯỜI DÙNG VÀ THÊM THÀNH VIÊN ĐẾN NÓ

- Cho đến nay, tôi đã thực hiện tất cả các bản demo bên trong thư mục

chính của riêng mình, chỉ vì mục đíchhiển thị các khái niệm cơ bản Tuynhiên, mục tiêu cuối cùng là chỉ cho bạn cách sử dụngkiến thức để làm

điều gì đó thiết thực hơn, chẳng hạn như kiểm soát quyền truy cập tệptrong một nhóm được chia sẻ danh mục Bước đầu tiên là tạo một nhómngười dùng và thêm các thành viên vào đó.

- Giả sử rằng chúng tôi muốn tạo một nhóm attt cho các thành viên của bạn

đã tạo ra

- Nhóm attt:

- Bây giờ chúng ta hãy thêm một số thành viên Bạn có thể làm điều đó theo

ba cách khác nhau:

- Thêm thành viên khi chúng tôi tạo tài khoản người dùng của họ

- Sử dụng usermod để thêm thành viên đã có tài khoản người dùng

- Chỉnh sửa tệp / etc / group

7 Thêm thành viên khi chúng tôi tạo tài khoản người dùng cho họ

- Đầu tiên, chúng tôi có thể thêm thành viên vào nhóm khi chúng tôi tạo tàikhoản người dùng của họ, sử dụng -G tùy chọn của người dùng thêm TrênRed Hat hoặc CentOS, lệnh sẽ giống như sau:

- Trên Debian / Ubuntu, lệnh sẽ giống như sau:

- Và, tất nhiên, tôi sẽ cần gán mật khẩu cho Cleopatra theo cách thôngthường:

8 Sử dụng usermod để thêm người dùng hiện có vào nhóm

- Tin tốt là điều này hoạt động giống nhau trên Red Hat hoặc CentOS hoặcDebian / Ubuntu:

- Trong trường hợp này, -a không cần thiết, vì Maggie không phải là thànhviên của bất kỳnhóm thứ cấp Nhưng, nếu cô ấy đã thuộc về một nhómkhác, -a sẽ cócần thiết để tránh ghi đè bất kỳ thông tin nhóm hiện có nào,

do đó xóa cô ấy từ các nhóm trước

- Phương pháp này đặc biệt tiện dụng để sử dụng trên hệ thống Ubuntu, nơicần sử dụng adduser để tạo các thư mục chính được mã hóa (Như chúng ta

đã thấy trong chương trước, adduser không cho bạn cơ hội thêm ngườidùng vào nhóm khi bạn tạo tài khoản.)

9 Thêm người dùng vào một nhóm bằng cách chỉnh sửa /etc/group/tập tin

- Phương pháp cuối cùng này là một cách tốt để gian lận, để tăng tốc quátrình thêm nhiềungười dùng hiện tại vào một nhóm

- Đầu tiên, chỉ cần mở tệp / etc / group trong trình soạn thảo văn bản yêuthích của bạn,và tìm dòng xác định nhóm mà bạn muốn thêm thành viên:

- Vì vậy, tôi đã thêm Cleopatra và Maggie vào nhóm này Hãy chỉnh sửa cáinày để thêm một vài các thành viên khác:

- Khi bạn hoàn tất, hãy lưu tệp và thoát khỏi trình chỉnh sửa

- Một lệnh nhóm cho mỗi người trong số họ sẽ cho thấy rằng một chút gianlận nhỏ của chúng tôi hoạt động tốt:

- Phương pháp này cực kỳ tiện dụng cho bất cứ khi nào bạn cần thêm nhiềuthành viên vào một nhóm đồng thời

10 Tạo một thư mục chia sẻ

- Hành động tiếp theo trong kịch bản của chúng tôi liên quan đến việc tạomột thư mục dùng chung mà tất cả các thành viên trong bộ phận tiếp thịcủa chúng tôi có thể sử dụng Bây giờ, đây là một trong những lĩnh vực gây

ra một chút tranh cãi Một số người thích đặt các thư mục được chia sẻtrong cấp độ gốc của hệ thống tệp, trong khi những người khác thích đặtcác thư mục được chia sẻ trong thư mục / home Và, một số người thậm chí

có sở thích khác Nhưng thực sự, đó là vấn đề về sở thích cá nhân và / hoặcchính sách của công ty Ngoài ra, nó thực sự không quan trọng là bạn đặtchúng ở đâu Đối với mục đích của chúng tôi, để làm cho mọi thứ trở nênđơn giản, tôi sẽ chỉ tạo thư mục trong cấp cơ sở của hệ thống tập tin:

- Thư mục mới thuộc về người dùng root Nó có cài đặt quyền là 755, chophép đọc và thực thi quyền truy cập đối với mọi người và chỉ truy cập ghi

đối với người dùng gốc Những gì chúng tôi thực sự muốn là chỉ cho phépcác thành viên của bộ phận tiếp thị truy cập vào thư mục này Trước tiên,chúng tôi sẽ thay đổi quyền sở hữu và liên kết nhóm, sau đó chúng tôi sẽđặt các quyền thích hợp:

- Trong trường hợp này, chúng tôi không có bất kỳ người dùng cụ thể nào màchúng tôi muốn sở hữu thư mục và chúng tôi không thực sự muốn ngườidùng root sở hữu nó Vì vậy, việc gán quyền sở hữu cho tài khoản ngườidùng giả không ai cung cấp cho chúng tôi một cách để đối phó với điều đó.Sau đó, tôi đã gán giá trị quyền 770 cho thư mục, cho phép truy cập đọc /ghi / thực thi đối với tất cả các thành viên nhóm tiếp thị, đồng thời giữ chomọi người khác tránh xa Bây giờ, hãy để một thành viên trong nhóm củachúng ta đăng nhập để xem liệu cô ấy có thể tạo tệp trong thư mục này haykhông:

- Được rồi, nó hoạt động, ngoại trừ một vấn đề nhỏ Tệp thuộc vềcaotrungduc, đúng như vậy Nhưng, nó cũng được liên kết với nhóm cánhân của caotrungduc Để kiểm soát quyền truy cập tốt nhất của nhữngchia sẻ này, chúng tôi cần chúng được liên kết với nhóm học sinh

CHƯƠNG VII: ĐẶT BIT SGID VÀ BIT DÍNH TRÊN THƯ MỤC CHIA SẺ

- Trước đây tôi đã nói với bạn rằng việc đặt SUID hoặc SGID có một chút rủi

ro về bảo mật quyền đối với tệp, đặc biệt là trên tệp thực thi Tuy nhiên, nóvừa hoàn toàn an toàn và rất hữu ích để đặt SGID trên một thư mục dùngchung

- Hành vi SGID trên một thư mục hoàn toàn khác với hành vi SGID trên mộttệp Trên mộtthư mục, SGID sẽ làm cho bất kỳ tệp nào mà bất kỳ ai tạo rađược liên kết với cùng một nhóm mà thư mục được liên kết với Vì vậy, hãynhớ rằng quyền SGID giá trị là 2000, hãy đặt SGID trên thư mục Student củachúng tôi:

- Các số ở vị trí thực thi cho nhóm chỉ ra rằng lệnh đã thành công

- Bây giờ hãy để caotrungduc đăng nhập lại để tạo một tệp khác:

- Tệp thứ hai của caotrungduc được liên kết với nhóm tiếp thị, đó chỉ lànhững gì chúng tôi muốn.

- Vui thôi, hãy để hoainam làm như vậy

- Một lần nữa, hồ sơ của hoainam được liên kết với nhóm tiếp thị Nhưng, vìmột số lý do kỳ lạ điều đó không ai hiểu, hoainam thực sự không thíchcaotrungduc và quyết định xóa các tệp của anh ấy, chỉ vì thuần túy mặc dù:

- Hệ thống phàn nàn rằng tệp gốc của caotrungduc được chống ghi, vì nó vẫnđược liên kết với nhóm cá nhân của cô ấy Nhưng, hệ thống vẫn cho phéphoainam xóa nó, ngay cả khi không có đặc quyền của sudo Và, vì hoainam

có quyền ghi vào tệp thứ hai, do sự liên kết của nó với nhóm tiếp thị, hệthống cho phép anh ta xóa nó mà không cần thắc mắc

- Được chứ Vì vậy, caotrungduc phàn nàn về điều này, và cố gắng khiếnhoainam bị sa thải Nhưng, quản trị viên gan dạ của chúng tôi có một ýtưởng hay hơn Anh ấy sẽ chỉ thiết lập một chút dính để ngăn điều này xảy

ra một lần nữa Vì bit SGID có giá trị là 2000 và bit dính có giá trị là 1000,chúng ta có thể cộng cả hai lại với nhau để có giá trị là 3000:

- Chữ T ở vị trí có thể thực thi đối với những người khác cho biết rằng bitdính đã được thiết lập Vì T là chữ hoa nên chúng ta biết rằng quyền thựcthi cho người khác chưa được đặt

- Tập hợp bit cố định sẽ ngăn các thành viên trong nhóm xóa tệp của bất kỳngười nào khác Hãy để caotrungduc cho chúng tôi thấy điều gì sẽ xảy ra khianh ấy cố gắng trả đũa hoainam: