Tìm hiểu về tính năng quản lý User và Group trong Linux

Lê Tuấn Anh

QuanTriMang.com - Trong bài viết sau, chúng ta sẽ cùng nhau tìm hiểu về chức năng quản lý tài khoản người dùng và nhóm của hệ điều hành Linux, qua đó người quản trị sẽ biết được những hoạt động gì đang diễn ra trên hệ thống, họ sử dụng bao nhiêu thời gian, và với những việc gì...

User và Group:

Về bản chất, Ubuntu được cài đặt dành cho 1 người duy nhất sử dụng trên hệ thống, nhưng nếu yêu cầu có nhiều hơn 1 người, cách tốt nhất là tạo nhiều tài khoản tương ứng với số người dùng. Do đó, mỗi người sẽ có những thiết lập và thư mục lưu trữ riêng biệt, không ảnh hưởng cũng như liên quan đến tài khoản khác.

Thông thường, những máy tính sử dụng Linux có 2 tài khoản: user bình thường và root – là tài khoản mức cao nhất, có thể quản lý mọi tài nguyên trên máy tính, cấu hình và thiết lập thông số kỹ thuật, giám sát và điều khiển tất cả các tài khoản còn lại. Người sử dụng không thể đăng nhập trực tiếp ngay vào tài khoản root được, thay vào đó phải sử dụng câu lệnh sudo để chuyển tiếp.

Để quản lý, Linux lưu giữ danh sách tất cả user trong file /etc/groups. Hãy gõ lệnh sau trong Terminal để xem trước và chỉnh sửa danh sách này:

sudo vigr /etc/groups

Tạo tài khoản người dùng mới:

Để tạo mới 1 tài khoản, các bạn hãy chọn System –> Administration -> User and Groups -> Add:

Đặt tên cho tài khoản đó và đánh dấu ô encrypt để tăng tính bảo mật cho thư mục home của tài khoản đó:

Nhấn nút Advanced Settings để điều chỉnh các thuộc tính khác:

Các module quản lý trực tiếp quyền truy cập của tài khoản Anna có trong thẻ User Privileges:

Chúng tôi khuyến cáo mọi người nên bỏ bớt quyền Administer System khỏi tất cả các tài khoản bình thường, để đảm bảo rằng những người khác không thể can thiệp và thay đổi các thiết lập cố định của hệ thống.

Quyền truy cập file và thư mục hệ thống:

Mỗi file trong Linux đều được thiết lập quyền truy cập bởi 1 tài khoản hoặc 1 nhóm người dùng nhất định, bạn có thể sử dụng lệnh ls -l để hiển thị toàn bộ các thiết lập này từ Terminal:

Theo thứ tự, cú pháp này sẽ được đọc từ trái sang phải, mỗi thành phần trong câu lệnh mang ý nghĩa như sau:

<permissions> 1 <file owner> <file group> <file size> <file date> <file name>

Ví dụ, trong ví dụ trên đã chỉ ra rằng có 1 file với tên anki, các quyền truy cập được thiết lập là rwxr-xr-x, được quản lý trực tiếp bởi tài khoản root, thuộc về nhóm root và có dung lượng 159 byte.

Mục phân quyền có 4 thành phần chính. Đầu tiên là mục đánh dấu, được sử dụng để chỉ định đó là thư mục hoặc file (d nếu là thư mục và dấu – nếu là file bình thường). Chuỗi 9 ký tự tiếp theo được chia làm 3 tổ hợp bằng nhau, xác định rõ ràng tài khoản người sử dụng, nhóm và quyền truy cập.

<flag><user permissions><group permissions><everyone permissions>

Như trong ví dụ trên, chúng ta có rwxr-xr-x, có thể phân tích cụ thể như sau:

<flag><user permissions = rwx><group permissions = r-x><everyone permissions = r-x>

các mức phân quyền:

r = read
w = write
x = execute

Thay đổi vai trò của nhóm và thư mục:

Chúng ta có 1 ví dụ như sau: Anna là học sinh lớp 7, còn Peter vừa mới tham gia vào khóa học lập trình của trường đại học. Và Anna cảm thấy thích thú hơn với những phần mềm giáo dục chuyên ngành về toán và địa lý, trong khi Peter chú trọng vào mục đích chính – lập trình ứng dụng.

Do vậy, chúng ta sẽ phải gán và điều chỉnh các thiết lập khác nhau tương ứng cho Anna và Peter. Cách đơn giản là gán mỗi tài khoản vào 1 nhóm riêng biệt và thích hợp qua module Manage Groups:

Tạo 2 nhóm riêng biệt, K-12 và University:

Sau đó gán quyền truy cập và sử dụng những phần mềm giáo dục cho nhóm K-12 đó:

Linux lưu trữ hầu hết các file thực thi tại thư mục /usr/bin, ví dụ với tài khoản Anki là thư mục riêng biệt /usr/bin/anki. Nếu bạn không chắc chắn vị trí của những file cần thiết, hãy sử dụng lệnh which tại Terminal:

which anki

Và gán quyền cho tài khoản Anna và Kig trong nhóm k12 qua lệnh chown theo cú pháp sau:

sudo chown :[group name] [files list]

Hoặc thay đổi quyền đọc và truy cập từ các người dùng hoặc nhóm khác bằng lệnh chmod:

sudo chown :[group name] [files list]

Câu lệnh trên sẽ thu hồi lại quyền đọc và thực thi khỏi nhóm người dùng áp dụng lệnh chmod:

sudo chown :[group name] [files list]

Câu lệnh trên sẽ cho phép tất cả các thành viên của nhóm K12 truy cập Anki và Kig. Bên cạnh đó, chúng ta nên hạn chế một số quyền truy cập của nhóm University khỏi Anki và Pig bằng việc xóa bỏ quyền đọc và thực thi từ nhóm Other. Cú pháp chung của lệnh này như sau:

chmod [ugoa][+-=][rwxXst] fileORdirectoryName

Như các bạn có thể thấy, câu lệnh đầu tiên đã loại bỏ quyền đọc - r và thực thi - x khỏi nhóm Other. Trong khi đó, lựa chọn O chỉ định chúng ta đang chỉnh sửa các quyền truy cập của nhóm Other, còn tham số – nghĩa là muốn hạn chế các quyền nhất định của file đằng sau dấu – đó. Nếu muốn tìm hiểu cặn kẽ và chi tiết hơn nữa về cú pháp này, các bạn gõ lệnh sau:

man chmod

Quản lý mức hoạt động của máy tính:

Công cụ Timekpr cho phép chúng ta thiết lập và khởi tạo mức tài nguyên cho mỗi tài khoản, cũng như lượng thời gian sử dụng. Bạn có thể cài đặt ứng dụng này từ Ubuntu Software Center hoặc dòng lệnh:

deb http://ppa.launchpad.net/timekpr-maintainers/ppa/ubuntu lucid main
deb-src http://ppa.launchpad.net/timekpr-maintainers/ppa/ubuntu lucid main

Về chức năng cơ bản, Timekpr có thể giới hạn thời gian dùng máy tính trong 1 khoảng nhất định trong ngày, tuần hoặc tháng. Ví dụ, nếu muốn hạn chế mức thời gian này là 300 phút trong ngày chủ nhật và 60 phút trong ngày thứ 2 thì làm như sau: