Hệ thống quyền hạn tệp cơ bản của Linux, dù đơn giản nhưng cực kỳ mạnh mẽ, đã tồn tại và phát triển bền vững suốt hơn 50 năm qua. Trong số các quyền hạn này, “bit thực thi” (execute bit) thường gây ra nhiều nhầm lẫn nhất cho người dùng mới. Tuy nhiên, việc hiểu rõ chức năng và tầm quan trọng của nó là yếu tố then chốt để quản lý hệ thống Linux một cách hiệu quả và bảo mật. Bài viết này sẽ đi sâu vào khám phá bit thực thi, từ cách nó hoạt động trên các loại tệp khác nhau cho đến cách bạn có thể kiểm tra và thay đổi nó.
Bit Thực Thi (Execute Bit) Là Gì và Cách Kiểm Tra?
Mỗi tệp và thư mục trên hệ thống Linux đều được gán một tập hợp các quyền hạn để kiểm soát những gì có thể thực hiện với chúng: liệu tệp có thể được đọc (read), ghi (write) hay thực thi (execute) hay không. Các quyền này được phân bổ cho ba cấp độ người dùng riêng biệt: người sở hữu tệp (user), các thành viên của nhóm sở hữu tệp (group), và tất cả những người dùng khác (other). Sự kết hợp của ba hành động (đọc, ghi, thực thi) và ba loại người dùng này tạo thành tổng cộng chín quyền hạn cho mỗi tệp.
Cấu trúc 9 quyền hạn tệp Linux, hiển thị quyền đọc, ghi, thực thi cho người sở hữu, nhóm và người khác.
Điều quan trọng cần nhớ là, trong môi trường Unix và Linux, thư mục cũng được xem là một loại tệp. Do đó, chúng cũng có cùng dữ liệu quyền hạn như các tệp thông thường, mặc dù ý nghĩa của những quyền này có chút khác biệt.
Trong khi quyền đọc và ghi khá dễ hiểu, thì “bit thực thi” lại ẩn chứa nhiều điều bí ẩn hơn. Tuy nhiên, một khi đã nắm rõ, nó trở nên khá trực quan và đặc biệt hữu ích khi bạn cần đến.
Bạn có thể kiểm tra quyền hạn của một tệp bằng các công cụ như ls hoặc stat. Hãy thử chạy lệnh ls -l đối với một tệp trên hệ thống của bạn, và bạn sẽ thấy kết quả tương tự như sau:
ls -l my_script.sh
Kết quả lệnh ls -l trên Linux hiển thị chi tiết quyền hạn của một tệp tin.
Trong kết quả này, có rất nhiều thông tin về tệp, nhưng các quyền hạn chính là tập hợp các chữ cái ở đầu dòng. Ví dụ, “rwxr-xr-x” có nghĩa là chỉ người sở hữu tệp mới có quyền ghi vào nó, trong khi tất cả những người dùng khác đều có thể đọc và thực thi. Mặc dù bạn thường nghe nói về “bit thực thi” ở dạng số ít, thực tế mỗi tệp đều có ba bit thực thi, tương ứng với ba cấp độ người dùng khác nhau.
Vai Trò Của Bit Thực Thi Đối Với Tệp (Files)
Mục đích chính của bit thực thi đối với một tệp là kiểm soát xem bạn có được phép chạy tệp đó như một chương trình hoặc một script hay không. Khi bạn nhập tên một tệp vào dòng lệnh, shell của bạn sẽ cố gắng thực thi nó. Việc cố gắng chạy một tệp dữ liệu như tài liệu hoặc hình ảnh sẽ tạo ra lỗi quyền:
./my_image.jpg
Lỗi từ chối quyền khi cố gắng thực thi một tệp ảnh không có quyền thực thi trên Linux.
Lỗi này xảy ra vì bit thực thi không được đặt trên loại tệp đó. Tuy nhiên, bit thực thi không phải là một loại “phép thuật”; bạn không thể chỉ dùng lệnh chmod để biến một tệp hình ảnh thành một chương trình thực thi được:
chmod +x my_image.jpg
./my_image.jpg
Giao diện terminal Linux hiển thị các ký tự lạ và thông báo lỗi khi thực thi tệp ảnh đã được cấp quyền, minh chứng bit thực thi không thay đổi loại tệp.
Bạn chỉ có thể thực thi một tệp nếu nó thuộc một loại nhất định. Nói chung, có hai loại tệp bạn có thể chạy trực tiếp trên Linux:
- Tệp nhị phân thực thi (Binary executable): Đây là một tệp đã được biên dịch từ mã nguồn và đóng gói cho một kiến trúc cụ thể, sử dụng các lệnh mã máy để thực hiện tác vụ của nó. Bạn có thể biên dịch chương trình như vậy từ mã nguồn, tải xuống hoặc cài đặt nó bằng trình quản lý gói.
- Tệp script (Script file): Đây là một tệp văn bản được viết bằng ngôn ngữ dễ đọc và có thể chạy bằng một chương trình khác – một trình thông dịch (interpreter). Nó có thể là một shell script hoặc một chương trình bằng ngôn ngữ script như Perl hoặc Python.
Khi bạn chạy một tệp script trực tiếp bằng cách nhập đường dẫn của nó, shell sẽ quyết định sử dụng trình thông dịch nào dựa trên dòng shebang (dòng bắt đầu bằng #!) của script. Ví dụ, một script Python có thể bắt đầu bằng dòng này:
#!/usr/bin/pythonĐiều này khẳng định rằng bit thực thi chỉ liên quan đến quyền hạn và không có gì hơn. Nó cho phép shell quyết định xem bạn có được phép cố gắng chạy một tệp như một chương trình hay không, chứ không phải liệu việc chạy nó có thực sự có ý nghĩa hay không.
Điều quan trọng là phải hiểu rằng bit thực thi không phải là một cách hoàn hảo để ngăn chặn việc thực thi. Lấy ví dụ shell script sau:
#!/bin/sh
echo "Giả sử script này thực hiện một hành động nguy hiểm như rm -rf / ..."Bạn có thể nghĩ rằng việc loại bỏ quyền thực thi sẽ giữ an toàn cho bạn:
chmod a-x dangerous_script.sh
./dangerous_script.sh
Thông báo lỗi từ chối quyền khi cố gắng chạy một script Linux đã bị loại bỏ quyền thực thi.
Tuy nhiên, hãy xem xét trường hợp sau:
sh dangerous_script.sh
Ví dụ chạy một script Linux thông qua trình thông dịch sh, chứng minh khả năng bypass quyền thực thi trực tiếp.
Thảm họa! Script bây giờ vẫn chạy được vì:
- Mọi người đều có thể thực thi chương trình
/bin/sh. - Chương trình
shsẽ cố gắng chạy tệp script được truyền làm đối số mà không kiểm tra bit thực thi của chính script đó.
Vì vậy, việc chạy một chương trình liên quan đến hai khía cạnh riêng biệt. Quyền hạn của tệp quyết định xem bạn có thể thử chạy nó bằng cách nhập đường dẫn của nó hay không. Nội dung của tệp quyết định liệu nó có thực sự làm gì đó khi được thực thi hay không. Cuối cùng, bit thực thi là một cơ chế an toàn để ngăn bạn vô tình chạy một tệp.
Vai Trò Của Bit Thực Thi Đối Với Thư Mục (Directories)
Bit thực thi hoạt động rất khác khi bạn đặt nó trên một thư mục. Rốt cuộc, một thư mục không thể là một chương trình, vì vậy việc thực thi nó không có ý nghĩa gì. Thay vào đó, bit thực thi quyết định xem bạn có thể vào một thư mục và truy cập các tệp bên trong nó hay không.
Với bit thực thi được đặt trên một thư mục, bạn có thể sử dụng lệnh cd để vào thư mục đó và lệnh ls để hiển thị chi tiết nội dung của nó:
mkdir my_dir
chmod +x my_dir
cd my_dir
ls -l
Thao tác sử dụng lệnh cd để vào thư mục và ls để liệt kê nội dung khi thư mục có quyền thực thi trong Linux.
Tuy nhiên, nếu bạn loại bỏ quyền thực thi đó, bạn sẽ không còn có thể vào thư mục đó hoặc hiển thị chi tiết các tệp bên trong nó:
chmod -x my_dir
cd my_dir
ls -l my_dir
Hệ thống từ chối truy cập và hiển thị chi tiết tệp khi quyền thực thi của thư mục bị loại bỏ trên Linux.
Lưu ý rằng lệnh ls vẫn hiển thị danh sách dài, nhưng nó thay thế hầu hết dữ liệu bằng dấu hỏi, cho thấy rằng nó không thể đọc được. Tên thực tế của các tệp bên trong một thư mục được lưu trữ như một phần của thư mục đó, vì vậy quyền đọc sẽ cấp quyền truy cập vào chúng. Nhưng bất kỳ dữ liệu nào khác, như kích thước tệp hoặc ngày sửa đổi, đều không thể truy cập được nếu không có quyền thực thi trên thư mục.
Điều này có thể dẫn đến các lỗi khó hiểu nếu bạn có một lệnh được alias. Ví dụ, trên hệ thống Ubuntu, ls thường được alias thành ls --color, lệnh này sử dụng dữ liệu tệp nhất định để tô màu đầu ra của nó. Trên một thư mục không có quyền thực thi, điều này sẽ tạo ra lỗi:
ls my_dir
Lỗi quyền hạn hiển thị khi sử dụng lệnh ls được alias (–color) trên một thư mục không có quyền thực thi trong Linux.
Tuy nhiên, nếu không có tùy chọn đó (ls -l thay vì ls --color thông qua alias), ls vẫn hoạt động tốt trên thư mục như vậy vì tất cả những gì nó cần hiển thị là tên tệp.
Cách Sử Dụng và Thay Đổi Bit Thực Thi
Nếu bạn cần tập trung vào quyền hạn của một tệp, bạn có thể sử dụng lệnh stat để có kết quả chi tiết hơn ls. Tùy chọn -c của chương trình stat cho phép bạn chỉ định một định dạng để trích xuất chính xác siêu dữ liệu bạn cần. Ví dụ, để chỉ hiển thị quyền hạn của một tệp cùng với tên của nó, hãy sử dụng định dạng này:
stat -c "%a %n" filenameBạn sẽ cần điều chỉnh lệnh này trên macOS vì nó sử dụng phiên bản stat của BSD thay vì phiên bản GNU của Linux:
stat -f "%Sp %N" filenameNếu bạn chỉ muốn chuỗi quyền, bạn có thể bỏ “%n” hoặc “%N”:
stat -c "%a" filename
Giao diện terminal Ubuntu Linux minh họa kết quả lệnh stat hiển thị thông tin quyền hạn tệp.
Lệnh này có thể hữu ích cho việc viết script. Ví dụ, bạn có thể sử dụng câu lệnh một dòng này để nhận thông tin tóm tắt về các cài đặt quyền khác nhau cho tất cả các tệp trong một thư mục:
stat -c "%a" ~/home/projects/all/*/* | sort | uniq -c | sortBạn có thể thay đổi quyền hạn của một tệp bằng lệnh chmod. Cú pháp đầy đủ của chmod khá phức tạp vì đây là một công cụ mạnh mẽ. Tuy nhiên, nếu bạn nhớ các hành động cơ bản dựa trên chữ cái và các từ viết tắt (u=user/owner, g=group, o=other, a=all), nó rất dễ sử dụng.
Để làm cho một tệp có thể thực thi được bởi bất kỳ ai, hãy sử dụng lệnh này:
chmod a+x fileĐể loại bỏ quyền thực thi khỏi tất cả người dùng, hãy nhập lệnh này:
chmod a-x file
Giao diện terminal Linux minh họa các lệnh chmod để thay đổi quyền thực thi tệp.
Kết Luận
Bit thực thi là một thành phần không thể thiếu trong hệ thống quyền hạn tệp Linux, với những chức năng độc đáo và khác biệt rõ rệt giữa tệp và thư mục. Đối với tệp, nó kiểm soát khả năng chạy một chương trình hoặc script, đóng vai trò như một lớp bảo vệ cơ bản. Với thư mục, nó cho phép người dùng truy cập vào bên trong và thao tác với các nội dung. Việc nắm vững cách hoạt động của bit thực thi không chỉ giúp bạn quản lý các tác vụ hàng ngày trên Linux một cách an toàn và hiệu quả hơn mà còn là nền tảng quan trọng để hiểu sâu hơn về bảo mật hệ thống.
Hãy luôn cẩn trọng khi thay đổi quyền thực thi, đặc biệt là với các tệp và thư mục hệ thống. Việc áp dụng sai quyền có thể dẫn đến các lỗ hổng bảo mật hoặc làm gián đoạn hoạt động bình thường của hệ thống. Nếu bạn muốn tìm hiểu sâu hơn về lệnh chmod và stat, đừng ngần ngại tìm đọc các bài viết chi tiết khác của chúng tôi trên tinmoicongnghe.com để trở thành một chuyên gia Linux thực thụ!