「Linux Permission Masterclass – Từ Cơ Bản đến Thực Tế, Bảo Mật và Vận Hành Dịch Vụ」

Khóa học này không phải là một khóa học đơn giản chỉ dừng lại ở mức độ khái niệm cơ bản về cấu trúc phân quyền trong hệ thống tệp Linux, mà được thiết kế như một quá trình học tập hướng đến thực tiễn giúp bạn có thể giải quyết các vấn đề về quyền hạn, rủi ro bảo mật và sự cố dịch vụ xảy ra trong môi trường vận hành thực tế.

Phân quyền là nền tảng cơ bản trong vận hành máy chủ Linux, nhưng đồng thời, một khi cấu hình sai có thể làm giảm tính ổn định của toàn bộ dịch vụ và trở thành nguyên nhân trực tiếp gây ra sự cố bảo mật. Khóa học này sẽ giúp bạn ngăn chặn những rủi ro đó từ trước, hiểu một cách có hệ thống về cấu trúc phân quyền và từng bước dẫn dắt học viên đến mức độ có thể cấu hình, diễn giải và chẩn đoán chính xác.

Linux Permission không thể được giải quyết chỉ bằng cách ghi nhớ ba ký tự rwx.
Có rất nhiều yếu tố cần xem xét trong môi trường thực tế như chủ sở hữu và nhóm của tệp, ACL, quyền đặc biệt (SetUID/SetGID/Sticky-Bit), tài khoản hệ thống được sử dụng bởi các tiến trình dịch vụ, quyền truy cập thư mục của DBMS và Web Application, và chỉ khi hiểu chính xác những điều này, bạn mới có thể đáp ứng được cả yêu cầu vận hành lẫn bảo mật.

Khóa học này đề cập sâu sắc đến các nội dung sau đây và mỗi phần học được cấu trúc dựa trên thực hành để bất kỳ ai cũng có thể hiểu được trong khi thực hành trực tiếp.

Khóa học này hướng đến mục tiêu dẫn dắt học viên một cách có hệ thống đến mức độ có thể giải thích logic hệ thống phân quyền phức tạp này và tự giải quyết các vấn đề thực tế.

Ngoài ra, để thuận tiện cho việc thực hành, khóa học cung cấp script cài đặt có thể tự động xây dựng môi trường Oracle 11g XE, Apache Tomcat, ứng dụng web JSP và tài liệu PDF 300 trang tổng hợp có hệ thống toàn bộ nội dung khóa học.
(Tuy nhiên, PDF là đối tượng được bảo vệ bản quyền nên nghiêm cấm chia sẻ và phân phối ra bên ngoài, chỉ có thể sử dụng cho mục đích học tập cá nhân của học viên.)

Khóa học này được thiết kế để mang lại sự trợ giúp thực tế cho tất cả những ai cần nắm vững sâu sắc về quyền hạn Linux, từ người mới bắt đầu đến quản trị viên máy chủ thực tế, nhân viên phụ trách bảo mật và kỹ sư DevOps.

Phần 1. Xây dựng môi trường thực hành

Bắt đầu từ việc cấu trúc có hệ thống môi trường ảo hóa·cài đặt OS·môi trường kết nối terminal - những yếu tố bắt buộc để phân tích quyền hạn và xây dựng dịch vụ.

Cài đặt các bản phân phối được sử dụng rộng rãi trong môi trường doanh nghiệp thực tế như Rocky Linux 9, Ubuntu 24.04 và thiết lập nền tảng để học viên có thể áp dụng các nguyên tắc permission giống nhau trên bất kỳ hệ điều hành nào.

Nội dung học tập

• Giới thiệu tổng quan về khóa học và giải thích mục tiêu học tập tổng thể

• Cấu hình môi trường ảo hóa dựa trên VMware Workstation

• Rocky Linux 9 & Ubuntu 24.04 Thực hành cài đặt

• Cài đặt nhanh và thiết lập ban đầu

• MobaXterm / Cấu hình môi trường kết nối SSH terminal

Phần này là nền tảng cho toàn bộ khóa học và tất cả các bài thực hành về quyền (permission) sau này sẽ được thực hiện trên môi trường Rocky Linux 9.
Do đó, máy ảo, tài khoản, dịch vụ và cấu trúc thư mục được xây dựng ở giai đoạn này sẽ trở thành nền tảng chung cho tất cả các phần học sau như phân tích quyền, thực hành ACL, cài đặt quyền theo từng dịch vụ, v.v.

Phần 2. Người dùng và Nhóm

Trong phần này, chúng ta sẽ hiểu một cách có hệ thống về cấu trúc User (Người dùng) và Group (Nhóm), yếu tố cốt lõi của quyền hạn Linux.
Ngoài việc thực hành các lệnh tạo, xóa và sửa đổi tài khoản, chúng ta sẽ giải thích từng bước cấu trúc của các file /etc/passwd và /etc/shadow.

Đặc biệt, file /etc/shadow lưu trữ thông tin mật khẩu đã được mã hóa (hash) không được phép tiết lộ cho người dùng thông thường, chúng ta cũng sẽ tìm hiểu cách giá trị hash này được tạo ra và xác thực, thuật toán hash SHA512 dựa trên hàm crypt() hoạt động như thế nào, và giá trị salt đóng vai trò gì trong bảo mật xác thực.

Ngoài ra, tôi cũng sẽ giải thích tại sao quyền truy cập vào tệp /etc/shadow chỉ dành cho root và những sự cố bảo mật nào có thể xảy ra nếu tệp /etc/shadow bị lộ.

Nội dung học tập

• Hiểu về cấu trúc người dùng và nhóm

• # Thực hành lệnh useradd / userdel / usermod

• # Phân tích cấu trúc UID/GID

• Sự khác biệt giữa tài khoản hệ thống và tài khoản thường

• Cách xử lý thư mục home khi xóa tài khoản

• Phân tích cấu trúc trường của tệp /etc/passwd

• Phân tích cấu trúc trường của tệp /etc/shadow
  
  

Những nội dung bạn sẽ thu được thông qua phần này là

• Nguyên lý xác thực đăng nhập

• Nguyên lý tạo hash mật khẩu

• Mô hình bảo mật /etc/shadow

• Ảnh hưởng của tài khoản, nhóm, UID/GID đến việc phân tích quyền hạn

• Tạo và xóa người dùng cũng như quản lý chi tiết

  
  

  
  

có thể hiểu rõ ràng các điểm này.

Phần 3. Quyền Linux 1 – Cấu trúc cơ bản của quyền

Trong phần này, chúng tôi giải thích các yếu tố cấu thành quyền hạn theo nguyên lý hoạt động thực tế thay vì chỉ đơn thuần mô tả, giúp bạn có thể diễn giải việc phán đoán quyền hạn một cách logic. Thông qua phần này, bạn sẽ hiểu rõ ràng cách quyền hạn được diễn giải và áp dụng trong hệ thống tệp.

Nội dung học tập

• Ld �Tnrs � Resa Rc Alls alls Rede rneeia rc Arra Crews Es rs ingsInashs ats. Amises

• Cách thức hoạt động của quyền đọc/ghi/thực thi

• Sự khác biệt giữa ACL(Access Control List) và quyền hạn cơ bản

• Thực hành getfacl/setfacl

• Ảnh hưởng của quyền đến hoạt động dịch vụ

• # Lệnh thay đổi quyền chmod, chown, chgrp - Thực hành

• Giới thiệu về khái niệm và nguy cơ của đặc quyền đặc biệt

• Kiểm tra truy cập vào /etc/shadow mà tài khoản thông thường không được phép truy cập

  
  

Phần 4. Quyền hạn Linux 2 – Thực hành quyền hạn thông thường (r, w, x)

Một trong những điểm cốt lõi của khóa học về Permission là trải nghiệm trực tiếp các trường hợp thất bại về quyền hạn. Chúng ta sẽ thiết lập các tình huống kiểm tra thực tế cho từng quyền hạn, so sánh kết quả truy cập file và phân tích tại sao lại xảy ra kết quả như vậy.

Nội dung học tập

• Sự khác biệt trong hoạt động tùy theo có hay không có quyền đọc(r)

• Sự khác biệt trong hoạt động tùy thuộc vào có hay không có quyền ghi (w)

• Sự khác biệt trong hoạt động tùy theo có hay không có quyền thực thi(x)

• Ảnh hưởng của quyền truy cập tệp thông thường và thư mục đến việc truy cập tệp

Đây là phần thực hành tập trung vào việc giúp bạn tự diễn giải nguyên nhân gây ra lỗi thường gặp khi vận hành dịch vụ, thay vì chỉ học thuộc lòng.

Phần 5. Quyền Linux 3 – Chuyên sâu về quyền đặc biệt (SetUID, SetGID, Sticky-Bit)

Trong phần này, chúng ta vượt qua việc giải thích khái niệm đơn giản để thông qua các bài thực hành đa dạng, phân tích sâu sắc cách thức hoạt động của các quyền đặc biệt trong hệ thống thực tế và ý nghĩa bảo mật của chúng.
Tiến xa hơn một bước so với cấp độ phân quyền thông thường, chúng ta sẽ đề cập đến tác động của các quyền đặc biệt đối với vận hành dịch vụ và bảo mật hệ thống từ góc độ thực tế.

Đặc biệt, nếu quyền đặc biệt được cấu hình sai, nó có thể dẫn đến lỗ hổng bảo mật ngay lập tức, vì vậy việc hiểu chính xác nguyên lý hoạt động và tiêu chí áp dụng là vô cùng quan trọng.

Nội dung học tập

• # Phân tích cơ chế hoạt động của SetUID và hiểu cấu trúc bên trong lệnh passwd

• � � In � � Been � � to as Anda as 0 Non Been The Onds on yde�ás ats been ings onds of the's the formations hs- ods yse- yds-33 aBee- the- The the of the it is very good and the

• # Các tình huống vấn đề bảo mật có thể xảy ra trong môi trường không có Sticky-bit

• Kiểm tra khả năng lạm dụng tiềm ẩn của các chương trình được cấp quyền đặc biệt

• Nhu cầu về quyền đặc biệt khi vận hành dịch vụ·ứng dụng và phương pháp hạn chế an toàn

Thông qua phần này, học viên sẽ hiểu chính xác các lỗ hổng đặc quyền thường bị lạm dụng trong các vụ tấn công và sự cố bảo mật thực tế và nắm vững các tiêu chuẩn cấu hình đúng đắn để vận hành hệ thống một cách an toàn.

Phần 6. DBMS & Dịch vụ WEB và Quyền hạn

Phần này không chỉ là khóa học đơn giản về quyền hạn, mà là khóa học nâng cao giúp bạn hiểu rõ cách quyền hạn được áp dụng trong môi trường dịch vụ thực tế và ảnh hưởng như thế nào đến hoạt động của dịch vụ thông qua thực hành trực tiếp với DBMS và ứng dụng WEB.

Trong môi trường Rocky Linux 9, bạn sẽ trực tiếp cài đặt Oracle Database 11g XE và Apache Tomcat và được cung cấp ứng dụng web JSP hoạt động dựa trên JDBC (chương trình jumsu) để thực hành.
Ứng dụng này được phân phối dưới dạng file jumsu.war đã được chuẩn bị sẵn và học viên sẽ triển khai file WAR này lên Tomcat, sau đó tự thiết kế các bảng cần thiết trong Oracle DB để kết nối và trải nghiệm toàn bộ quá trình để các chức năng hoạt động bình thường.

Trong quá trình này, bạn sẽ phân tích chi tiết ứng dụng web truy cập vào thư mục nào bên trong, cần quyền hạn gì để kết nối DB, tiến trình Tomcat chạy với tài khoản nào và cần quyền đọc/ghi đối với thư mục nào
để hiểu sâu sắc về ảnh hưởng của quyền hạn đối với tính ổn định của dịch vụ trong thực tế.

Ngoài ra, vì việc cài đặt Oracle 11g XE và Tomcat khá khó khăn đối với người mới bắt đầu, khóa học này cũng cung cấp script tự động hóa toàn bộ quá trình cài đặt và thiết lập ban đầu để giúp học viên nhanh chóng xây dựng môi trường tương tự và tập trung vào thực hành.

Nội dung học tập

• Cài đặt Oracle Database 11g XE trên Rocky Linux 9

• Oracle và Tomcat cung cấp script tự động hóa cài đặt → Đơn giản hóa việc xây dựng lặp lại

• Phân tích cấu trúc quyền của thư mục oradata nơi lưu trữ các tệp dữ liệu Oracle

  
  

• Thực hành quy trình triển khai và chạy ứng dụng web jumsu.war

• # Thiết kế bảng cần thiết cho Oracle DB và kiểm tra kết nối JDBC

  
  

• Tiêu chuẩn thiết lập quyền cho thư mục Web Root an toàn và đường dẫn triển khai ứng dụng

Qua phần này, học viên sẽ
trải nghiệm toàn bộ cấu trúc hoạt động hữu cơ của JSP Web Application + Tomcat + Oracle DB và trong quá trình đó, hiểu rõ vai trò của permission theo tiêu chuẩn thực tế.

Đây là phần quan trọng giúp bạn có khả năng hiểu về quyền hạn từ góc độ tổng thể bao gồm vận hành dịch vụ, bảo mật và kỹ thuật hạ tầng, vượt xa việc chỉ học về quyền hạn đơn thuần.

Phần 7. Dịch vụ daemon lập lịch và quyền (Cron)

Trong phần này, chúng ta sẽ tìm hiểu sâu về cấu trúc hoạt động và mô hình phân quyền của Cron - dịch vụ lập lịch không thể thiếu trong vận hành máy chủ Linux. Không chỉ dừng lại ở việc thiết lập tác vụ đặt lịch đơn giản, chúng ta sẽ giải thích chi tiết thông qua thực hành về quyền thực thi của Cron và cách thức tạo và quản lý file cron theo từng người dùng trong /var/spool/cron.

Chúng ta cũng sẽ thực hành tự động hóa backup dựa trên rsync thường được sử dụng trong vận hành máy chủ, đồng thời trực tiếp xác nhận các điều kiện phân quyền nào khiến tác vụ tự động hóa thành công hoặc thất bại trong môi trường dịch vụ thực tế.

Đặc biệt, chúng ta sẽ phân tích mối quan hệ giữa Cron của người dùng với quyền SetUID và các quyền permission.
Trong quá trình này, chúng ta cũng sẽ giải thích chi tiết về cách thức tạo file /var/spool/cron/tên_người_dùng và ý nghĩa bảo mật của quyền hạn file đó.

Nội dung học tập

• # Hiểu về cấu trúc dịch vụ Cron và cách hoạt động của Scheduler

• Phân tích /etc/crontab của system cron

• Cấu hình lịch trình sao lưu tự động bằng rsync

• Sự khác biệt và so sánh giữa System Cron và User Cron

• Phân tích cấu trúc file /var/spool/cron/ khi tạo cron của người dùng

  
  

• Cài đặt cron theo điều kiện (ngày trong tuần/thời gian/chu kỳ)

Thông qua phần này, học viên có thể hiểu theo tiêu chuẩn thực tế Cron chạy với quyền người dùng nào và quyền tệp cũng như phân quyền thư mục ảnh hưởng như thế nào đến tác vụ lập lịch, vượt xa việc chỉ đơn thuần thiết lập lịch trình.

Phần 8. Dịch vụ DNS và Quyền hạn

DNS là một dịch vụ mạng rất quan trọng trong môi trường máy chủ Linux và là dịch vụ điển hình thường xuyên gặp sự cố do thiết lập quyền sai. Đặc biệt, quyền truy cập của thư mục /var/named không chỉ ảnh hưởng đến bảo mật mà còn tác động trực tiếp đến hoạt động bình thường của dịch vụ DNS, do đó việc hiểu rõ là vô cùng cần thiết.

Trong phần này, chúng ta sẽ tìm hiểu từ nguyên lý cơ bản của DNS đến cài đặt·cấu hình BIND, thiết lập forward zone, viết script tự động hóa cho DNS server chính và phụ dựa trên thực tế, đồng thời phân tích rõ ràng thông qua thực hành về cấu trúc quyền mà dịch vụ DNS hoạt động, và lỗi nào sẽ xảy ra khi thiếu quyền nào.

Ngoài ra, bạn có thể học cách tự viết script tự động hóa việc cài đặt và gỡ bỏ DNS, cũng như quy trình triển khai script đó lên server từ xa.

Nội dung học tập

• Hiểu về khái niệm DNS và cấu trúc máy chủ tên miền

• Cấu hình môi trường vim để thiết lập DNS

• Thực hành cài đặt và cấu hình máy chủ DNS dựa trên BIND

• Công việc chuẩn bị trước cho việc cấu hình máy chủ DNS chính và phụ

• Cấu hình tệp zone thuận và kiểm tra truy vấn

• Viết script tự động hóa cài đặt và gỡ bỏ DNS

• Triển khai script đã viết lên máy chủ từ xa để thực thi cài đặt/gỡ bỏ

• # Phân tích chi tiết các mục cấu hình chính trong named.conf `named.conf`는 BIND(Berkeley Internet Name Domain) DNS 서버의 주요 설정 파일로, DNS 서버의 동작 방식을 정의합니다. 이 파일의 주요 설정 항목들

• Cấu trúc phân quyền thư mục /var/named và tiêu chuẩn cấu hình bảo mật

• Phân tích trường hợp thất bại truy vấn DNS do quyền truy cập không chính xác

Phần này được thiết kế không chỉ để xây dựng DNS đơn giản mà còn giúp bạn hiểu hoàn toàn về vận hành DNS và mô hình phân quyền từ góc độ permission của Linux. Bằng cách hiểu không chỉ nguyên lý hoạt động của dịch vụ DNS mà còn cả cơ chế lỗi phân quyền dẫn đến sự cố dịch vụ thực tế, bạn sẽ được hỗ trợ rất nhiều trong việc nắm bắt permission của Linux từ quan điểm tổng thể về vận hành dịch vụ.

Thành quả thực tế có thể đạt được thông qua khóa học

Sau khi hoàn thành khóa học này, bạn sẽ có được các kỹ năng thực tế sau đây.

• Khả năng hiểu và cấu hình cấu trúc phân quyền một cách hoàn hảo từ cơ bản

• # Hiểu về sự khác biệt giữa ACL và quyền mặc định, các điểm cần xem xét khi vận hành dịch vụ

• Nắm vững nguy hiểm của đặc quyền và chiến lược phòng thủ phù hợp

• Khả năng phân tích cấu trúc quyền hạn của các dịch vụ DBMS·WEB·DNS

• Quản lý tài khoản người dùng và hệ thống, vận hành Cron, quản lý quyền sở hữu file và các kỹ năng vận hành thiết yếu khác

• Khả năng giải quyết trực tiếp các vấn đề liên quan đến quyền hạn phát sinh trong môi trường thực tế

Khóa học này chứa đựng nội dung cần thiết không chỉ cho người mới bắt đầu mà còn cho cả những người làm việc thực tế, người phụ trách bảo mật và quản trị viên máy chủ và được thiết kế như một khóa học chuyên sâu bao quát toàn bộ vận hành dịch vụ dựa trên quyền hạn (permission).

Phần 9. Dịch vụ APM và Quyền hạn (Đang chuẩn bị)

Dịch vụ web dựa trên APM (Apache · PHP · MariaDB) là cấu trúc được vận hành rộng rãi nhất trong môi trường Linux nhưng
do cấu hình quyền truy cập không đúng, dễ xảy ra các vấn đề như lỗi cài đặt, thất bại tải lên, lỗi kết nối DB, lỗ hổng webshell.

Đặc biệt, việc hiểu chính xác máy chủ web Apache hoạt động dưới tài khoản người dùng nào, PHP truy cập vào thư mục nào, cũng như cấu trúc phân quyền mà các dịch vụ thực tế như WordPress, Gnuboard, phpMyAdmin yêu cầu là điều vô cùng cần thiết.

Trong phần này, chúng ta sẽ đề cập đến toàn bộ quy trình từ góc độ thực tế, bao gồm xây dựng môi trường APM, phân tích file cấu hình Apache, thực hành cài đặt Gnuboard, WordPress và phpMyAdmin, đồng thời phân tích rõ ràng cách dịch vụ web hoạt động với quyền và người dùng nào
thông qua các bài thực hành từng bước.

Ngoài ra, khóa học tái hiện các vấn đề thường gặp trong quá trình cài đặt và thiết lập ban đầu dịch vụ web như lỗi phân quyền, thất bại ghi thư mục, kiểm soát truy cập dựa trên các tình huống thực tế, đồng thời đề xuất phương pháp cấu hình phân quyền an toàn để giải quyết những vấn đề này.

Nội dung học tập

• Cấu hình môi trường APM (Apache · PHP · MariaDB)

• # Phân tích tài khoản cài đặt APM và hoạt động dịch vụ

• Thực hành cài đặt GNU Board và cấu hình quyền thư mục data

• # Phân tích quy trình cài đặt WordPress và tiêu chuẩn quyền thư mục wp-content/uploads

• Cài đặt phpMyAdmin và thiết lập bảo mật thư mục config

• Phân tích các chỉ thị chính trong tệp cấu hình Apache (httpd.conf, vhost.conf)

• # Phân tích các trường hợp lỗi phân quyền xảy ra trong quá trình vận hành dịch vụ web

  
  

• Mô hình phân quyền và tiêu chuẩn thiết lập permission an toàn cho cấu trúc thư mục dịch vụ web

• Nguyên tắc vận hành quyền tối thiểu cho tài khoản thực thi tiến trình Apache

• Phân tích các lỗ hổng bảo mật web phát sinh do quyền hạn sai (web shell, tải lên tệp tùy ý, v.v.)

Phần này không chỉ đơn thuần là xây dựng dịch vụ web mà là một khóa học được thiết kế để hiểu hoàn toàn từ góc độ quyền hạn Linux về cách mô hình phân quyền thực sự được áp dụng trong môi trường APM và ảnh hưởng như thế nào đến tính ổn định và bảo mật của dịch vụ.

Bằng cách nắm rõ vai trò của quyền hạn trong từng giai đoạn từ cài đặt, vận hành đến bảo mật, bạn sẽ xây dựng được năng lực thực tế để quản lý toàn bộ quá trình vận hành dịch vụ web một cách ổn định.