Công Cụ Tính Chmod

Việc xử lý các quyền truy cập tệp tin và thư mục trong các môi trường giống UNIX (như Linux, macOS, máy chủ Ubuntu) có thể là một vấn đề đau đầu về mặt tính toán đối với những lập trình viên mới vào nghề và kể cả những quản trị viên hệ thống (sysadmin) lão luyện. Bất cứ khi nào bạn cần phân quyền cho người dùng thực thi một bash script, chỉnh sửa tệp Web, hay giới hạn khả năng truy cập tới thư mục khóa SSH, thì công cụ này chính là trợ thủ đắc lực giúp bạn hình dung các tham số một cách trực quan để tránh những lỗi bảo mật có thể làm sập máy chủ.

Hãy đánh dấu chọn vào các ô (Đọc, Ghi, Thực thi) cho Chủ sở hữu, Nhóm và Những người khác để lấy mã bát phân (ví dụ: 755), hoặc gõ trực tiếp một con số để xem nó kích hoạt những quyền truy cập nào.

Chuỗi quyền truy cập tiêu chuẩn trên Linux được viết dưới dạng một chuỗi gồm 3 chữ số.

• Chữ số đầu tiên: (Chủ sở hữu/Owner) Người sáng tạo ra tệp tin. Thông thường luôn có được quyền lực tối đa (7).
• Chữ số thứ hai: (Nhóm/Group) Những người dùng khác thuộc cùng nhóm hệ thống với người dùng đó. Thường thì chỉ được quyền đọc tệp (5, 4).
• Chữ số thứ ba: (Những người khác/Public) Tất cả những người còn lại trên thế giới, bao gồm những khách truy cập ẩn danh trên một Máy chủ Web. Vô cùng cẩn trọng—ban phát quyền Ghi (2) mang lại những rủi ro cực kỳ to lớn.

chmod

Một câu lệnh dùng trên môi trường Linux và Unix dùng để thay đổi quyền truy cập của file và thư mục. Quyền truy cập được quy định qua số lượng (mã bát phân) hoặc bằng các ký tự.

Quyền truy cập (Permission)

Tập hợp cài đặt điều khiển truy cập vào tệp hay thư mục. Cấu tạo từ 3 yếu tố: "Đọc (r)", "Ghi (w)", và "Thực thi (x)", gắn kết riêng lẻ cho Chủ, Nhóm, và Người khác.

Ký hiệu bát phân (Octal Notation)

Một giải pháp thể hiện phân quyền bao hàm một số 3 chữ số giới hạn từ 0 tới 7. Chẳng hạn: 755 = rwxr-xr-x. Mỗi vị trí sẽ bằng phép cộng của r=4, w=2, và x=1.

Ký hiệu tượng trưng (Symbolic Notation)

Một phương án hiển thị phần quyền truy cập dưới cấu trúc chuỗi ký tự dạng như "rwxr-xr-x". Kiểu chữ này cho chúng ta có thể nắm được liền các mức độ ủy quyền một cách nhìn dễ hiểu.

Chủ sở hữu (Owner)

Người dùng khởi tạo ra hoặc đang nắm quyền tập tin. Phân quyền dành cho chủ thường được điền vào ký tự đứng đầu (ở phía trái nhất) trong tập hợp số chmod, và người này thường giữ những quyền truy cập phổ quát nhất.

Nhóm (Group)

Một chuỗi các account sở hữu cùng danh mục chung của máy chủ phân quyền vào các tài liệu. Các giới hạn này thuộc trách nhiệm của dãy số thứ hai thuộc lệnh chmod. Giao quyền hợp lệ rất thiết yếu để đảm bảo làm việc tương trợ.

Người khác (Others/Public)

Những tài khoản chả phải là Người chủ sở hữu và cũng chả phải đồng lõa Nhóm của file đó. Những giới hạn này ứng với số thứ 3 (phải cùng). Cho lý do hạn chế mức độ tấn công, điều khoản phân quyền cần thắt chặt đối tượng trên.

Q.Kết quả tính toán có được gửi đến máy chủ của bạn không?

Không. Tất cả các quá trình tính toán đều được hoàn thành toàn bộ thông qua JavaScript ngay trong trình duyệt của bạn. Những giá trị bạn nhập vào và kết quả tạo ra không bao giờ bị gửi tới bất kỳ máy chủ bên ngoài nào.

Q.Sự khác biệt giữa 755 và 644 là gì?

755 (rwxr-xr-x) là phân quyền phổ biến cho các thư mục và tập lệnh thực thi, trao cho người sở hữu toàn quyền và cho phép những người khác quyền đọc/thực thi. 644 (rw-r--r--) dành cho các tệp thông thường như HTML hoặc CSS, trong đó chỉ người sở hữu mới có thể chỉnh sửa, và những người khác chỉ có thể đọc.

Q.Quyền truy cập nào được khuyến nghị cho một máy chủ web?

Thông thường, thư mục nên được đặt thành 755 và tệp tin là 644. Các tệp thực thi như mã lệnh CGI nên là 755, trong khi các tệp cấu hình chứa thông tin nhạy cảm (như .htaccess hay cấu hình cơ sở dữ liệu) tốt nhất nên giữ ở mức 604 hoặc 600.

Q.Điều gì sẽ xảy ra nếu tôi đặt quyền truy cập là 777?

Nó trao quyền đọc, ghi và thực thi đầy đủ cho tất cả người dùng (Chủ sở hữu, Nhóm, và Những người khác). Đây là một rủi ro bảo mật nghiêm trọng và nhìn chung không bao giờ nên sử dụng trong môi trường sản xuất. Chỉ nên dùng nó để gỡ lỗi tạm thời trong các không gian cục bộ cách ly.

Q.Tôi sử dụng lệnh chmod như thế nào?

Trong terminal của bạn, bạn sẽ chạy một lệnh như chmod 755 filename. Để áp dụng các thay đổi một cách đệ quy cho một thư mục và toàn bộ nội dung bên trong, hãy dùng chmod -R 755 directory_name. Hãy dùng công cụ này để tính ra giá trị bạn mong muốn trước tiên.

Q.Tôi có thể dùng chmod trên Windows không?

Command line (CMD) mặc định của Windows không sử dụng chmod, vì nó triển khai một hệ thống ACL (Danh sách kiểm soát truy cập) khác biệt. Tuy nhiên, lệnh chmod vẫn có hiệu lực bên trong các môi trường WSL (Windows Subsystem for Linux) và Git Bash chạy trên Windows.

Q.Các quyền truy cập đặc biệt (setuid, setgid, sticky bit) là gì?

Đây là những quyền lợi đặc biệt được thiết lập bởi một chữ số tùy chọn thứ 4 (đặt ở phía trước). 'setuid' (4) cho phép thực thi một chương trình dưới danh nghĩa chủ sở hữu tệp, 'setgid' (2) kế thừa các đặc quyền của nhóm, và 'sticky bit' (1) giới hạn quyền xóa tệp trong các thư mục dùng chung.

• 755 (rwxr-xr-x): Các lớp cấp quyền phổ quát toàn cục đối với Thư Mục Thông Thường cùng Mã Kịch Bản Shell (Shell Scripts). Ở đây, chủ sở hữu nắm toàn quyền, trong khi các đối tượng bên ngoài chỉ có được khả năng kéo lấy các tệp.
• 644 (rw-r--r--): Mẫu lý tưởng để áp dụng lên các Tệp tin Văn bản Thông Thường (.html, .php). Quét bỏ đi khả năng Thực thi bảo đảm phần mềm độc hại chèn vào không bao giờ làm ăn được gì.
• 600 (rw-------): Là dạng giới hạn cao cấp và quy tắc tuyệt đối bắt buộc áp dụng khi sử dụng xác thực khóa riêng tư SSH (như .pem, .cert). Nghiêm cấm hoàn toàn sự truy cập nếu đó không phải ông trùm quyền tối cao là bạn.
• 777 (rwxrwxrwx): Độc Lại. Thả cửa quyền lợi Đọc, Ghi, Xóa hay Thực Thi lên mọi đối tượng bất chấp tại cùng một điểm thời gian. Khuyến cáo xài chui ở không gian cát bụi cách ly để cho tiến trình tạm thời của một phần tử nhất định mà thôi.