Khóa học Masterclass về Quyền hạn Linux – 「Từ cơ bản đến Thực tế · Bảo mật · Vận hành dịch vụ」

Khóa học này được thiết kế không phải là một bài giảng đơn thuần chỉ dừng lại ở mức độ khái niệm cơ bản về cấu trúc quyền hạn của hệ thống tệp Linux, mà là một lộ trình học tập tập trung vào thực hành giúp bạn có thể giải quyết các vấn đề về quyền hạn, rủi ro bảo mật và tình trạng lỗi dịch vụ phát sinh trong môi trường vận hành thực tế.

Quyền hạn là nền tảng của việc vận hành máy chủ Linux, nhưng đồng thời, chỉ cần một thiết lập sai lầm cũng có thể làm giảm tính ổn định của toàn bộ dịch vụ và trở thành nguyên nhân trực tiếp gây ra các sự cố bảo mật. Khóa học này giúp học viên ngăn chặn trước các rủi ro đó, hiểu rõ cấu trúc quyền hạn một cách hệ thống và dẫn dắt từng bước cho đến khi đạt đến trình độ có thể thiết lập, giải thích và chẩn đoán chính xác.

Quyền hạn Linux (Linux Permission) không thể giải quyết được chỉ bằng cách ghi nhớ ba ký tự rwx.
Có rất nhiều yếu tố cần xem xét trong môi trường thực tế như chủ sở hữu/nhóm của tệp, ACL, quyền đặc biệt (SetUID/SetGID/Sticky-Bit), tài khoản hệ thống mà các tiến trình dịch vụ sử dụng, quyền thư mục mà DBMS và Web Application truy cập, v.v. Chỉ khi hiểu chính xác những điều này, bạn mới có thể đáp ứng được cả hai yếu tố vận hành và bảo mật.

Khóa học này đi sâu vào các nội dung sau đây, với mỗi phiên phần được thiết kế dựa trên thực hành để bất kỳ ai cũng có thể hiểu được thông qua việc trực tiếp trải nghiệm.

Mục tiêu của khóa học này là dẫn dắt học viên một cách hệ thống để có thể giải thích logic hệ thống phân quyền phức tạp và đạt đến trình độ tự mình giải quyết các vấn đề thực tế.


Ngoài ra, để thuận tiện cho việc thực hành, khóa học cung cấp kịch bản cài đặt (script) có thể tự động thiết lập môi trường Oracle 11g XE, Apache Tomcat, và ứng dụng web JSP, cùng với tài liệu giáo trình PDF dài 300 trang tóm tắt hệ thống toàn bộ nội dung bài giảng.
(Tuy nhiên, vì tệp PDF là đối tượng được bảo vệ bản quyền, việc chia sẻ hoặc phân phối ra bên ngoài bị nghiêm cấm và chỉ có thể được sử dụng cho mục đích học tập cá nhân của học viên.)

Khóa học này được thiết kế để mang lại sự trợ giúp thực tế cho tất cả mọi người, từ những người mới bắt đầu cho đến các quản trị viên máy chủ chuyên nghiệp, nhân viên bảo mật và kỹ sư DevOps, những người cần củng cố kiến thức chuyên sâu về quyền hạn trong Linux.

Phần 1. Thiết lập môi trường thực hành

Chúng ta sẽ bắt đầu từ việc cấu hình một cách hệ thống môi trường ảo hóa · cài đặt OS · môi trường kết nối terminal vốn là những yếu tố thiết yếu để phân tích quyền hạn và xây dựng dịch vụ.

Chúng ta sẽ cài đặt các bản phân phối được sử dụng rộng rãi trong môi trường doanh nghiệp thực tế như Rocky Linux 9, Ubuntu 24.04 và tạo nền tảng để học viên có thể áp dụng cùng một nguyên lý phân quyền trên bất kỳ OS nào.

Nội dung học tập

• Giới thiệu khái quát khóa học và giải thích mục tiêu học tập tổng thể

• Cấu hình môi trường ảo hóa dựa trên VMware Workstation

• Thực hành cài đặt Rocky Linux 9 & Ubuntu 24.04

• Cài đặt nhanh và thiết lập ban đầu

• Cấu hình môi trường kết nối terminal MobaXterm / SSH

Phần này là nền tảng cho toàn bộ khóa học và tất cả các bài thực hành về quyền hạn sau này sẽ được thực hiện trên môi trường Rocky Linux 9.
Do đó, cấu trúc máy ảo, tài khoản, dịch vụ và thư mục được thiết lập ở giai đoạn này sẽ là nền tảng chung cho mọi bài học sau này như phân tích quyền hạn, thực hành ACL và thiết lập quyền hạn cho từng dịch vụ.

Phần 2. Người dùng và Nhóm

Trong phần này, chúng ta sẽ tìm hiểu một cách hệ thống về cấu trúc Người dùng (User) và Nhóm (Group), vốn là cốt lõi của phân quyền trong Linux.
Ngoài việc thực hành các lệnh tạo, xóa và sửa đổi tài khoản, chúng tôi sẽ giải thích từng bước cấu trúc của các tệp /etc/passwd và /etc/shadow.

Đặc biệt, tệp /etc/shadow lưu trữ thông tin mật khẩu đã mã hóa (băm) không được để lộ cho người dùng thông thường. Chúng tôi cũng sẽ đề cập đến cách giá trị băm này được tạo ra và xác thực, cách thức hoạt động của thuật toán băm SHA512 dựa trên hàm crypt() và vai trò của giá trị salt trong bảo mật xác thực.

Ngoài ra, chúng tôi cũng sẽ giải thích lý do tại sao quyền truy cập vào tệp /etc/shadow chỉ dành riêng cho root và những sự cố bảo mật nào có thể xảy ra nếu tệp /etc/shadow bị lộ.

Nội dung học tập

• Hiểu cấu trúc người dùng và nhóm

• Thực hành các lệnh useradd / userdel / usermod

• Phân tích cấu trúc UID/GID

• Sự khác biệt giữa tài khoản hệ thống và tài khoản thông thường

• Cách xử lý thư mục gốc (home directory) khi xóa tài khoản

• Phân tích cấu trúc các trường trong tệp /etc/passwd

• Phân tích cấu trúc các trường của tệp /etc/shadow
  
  

Những nội dung bạn sẽ nhận được thông qua phần này là

• Nguyên lý xác thực đăng nhập

• Nguyên lý tạo mã băm mật khẩu

• Mô hình bảo mật /etc/shadow

• Ảnh hưởng của tài khoản, nhóm và UID/GID đến việc giải thích quyền hạn

• Tạo, xóa và quản lý chi tiết người dùng

  
  

giúp bạn có thể hiểu rõ chúng một cách rõ ràng.

Phần 3. Quyền hạn Linux 1 – Cấu trúc cơ bản của quyền hạn

Trong phần này, chúng tôi sẽ giải thích các yếu tố cấu thành quyền hạn không chỉ bằng cách mô tả đơn thuần mà tập trung vào nguyên lý hoạt động thực tế, giúp bạn có thể giải thích việc phân định quyền hạn một cách logic. Thông qua phần này, bạn sẽ hiểu rõ cách quyền hạn được giải thích và áp dụng như thế nào trong hệ thống tệp.

Nội dung học tập

• Cấu trúc quyền sở hữu và quyền hạn của tệp tin

• Cách thức hoạt động của quyền đọc/ghi/thực thi

• Sự khác biệt giữa ACL (Access Control List) và quyền hạn cơ bản (Permission)

• Thực hành getfacl/setfacl

• Ảnh hưởng của quyền hạn (permission) đến hoạt động của dịch vụ

• Thực hành các lệnh thay đổi quyền chmod, chown, chgrp

• Giới thiệu khái niệm và sự nguy hiểm của quyền đặc biệt

• Kiểm tra truy cập vào /etc/shadow, nơi mà tài khoản thông thường không được phép truy cập

  
  

Phần 4. Thực hành quyền hạn Linux 2 – Quyền hạn thông thường (r, w, x)

Một trong những nội dung cốt lõi của bài giảng về quyền truy cập là trực tiếp trải nghiệm các trường hợp thất bại do thiếu quyền. Chúng ta sẽ thiết lập các tình huống thử nghiệm thực tế cho từng loại quyền, so sánh kết quả truy cập tệp và phân tích lý do tại sao kết quả đó lại xảy ra.

Nội dung học tập

• Sự khác biệt về hoạt động tùy theo việc có hay không có quyền đọc (r)

• Sự khác biệt về hoạt động tùy theo việc có hay không có quyền ghi (w)

• Sự khác biệt về hoạt động tùy theo việc có hay không có quyền thực thi (x)

• Ảnh hưởng của quyền hạn tệp tin thông thường và thư mục đến việc truy cập tệp tin

Đây là phần tập trung vào thực hành, được thiết kế để bạn không chỉ học thuộc lòng một cách máy móc mà còn có thể tự mình giải thích nguyên nhân của các lỗi vận hành thường gặp trong quá trình quản lý dịch vụ.

Phần 5. Quyền hạn Linux 3 – Chuyên sâu về quyền đặc biệt (SetUID, SetGID, Sticky-Bit)

Phần này không chỉ dừng lại ở việc giải thích khái niệm đơn thuần mà thông qua nhiều bài thực hành đa dạng để phân tích chuyên sâu về cách các quyền đặc biệt hoạt động trong hệ thống thực tế và ý nghĩa bảo mật của chúng.
Tiến xa hơn một bước so với cấp độ quyền hạn thông thường, chúng tôi sẽ đề cập đến tầm ảnh hưởng của các quyền đặc biệt đối với việc vận hành dịch vụ và bảo mật hệ thống dưới góc nhìn thực tiễn.

Đặc biệt, vì các quyền đặc biệt nếu được thiết lập sai sẽ dẫn đến các lỗ hổng bảo mật ngay lập tức, nên việc hiểu chính xác nguyên lý hoạt động và tiêu chuẩn áp dụng là vô cùng quan trọng.

Nội dung học tập

• Phân tích cách hoạt động của SetUID và hiểu cấu trúc bên trong của lệnh passwd

• Thực hành cách áp dụng SetGID trên thư mục như thế nào

• Kịch bản vấn đề bảo mật có thể xảy ra trong môi trường không có Sticky-bit

• Kiểm tra khả năng lạm dụng tiềm ẩn của các chương trình được cấp quyền đặc biệt

• Nhu cầu về quyền đặc biệt và phương pháp hạn chế an toàn khi vận hành dịch vụ·ứng dụng

Thông qua phần này, học viên sẽ hiểu chính xác các lỗ hổng về quyền đặc biệt thường xuyên bị lợi dụng trong các sự cố bảo mật và tấn công thực tế, đồng thời nắm vững các tiêu chuẩn thiết lập đúng đắn để vận hành hệ thống một cách an toàn.

Phần 6. Dịch vụ DBMS & WEB và Quyền hạn

Phần này không chỉ dừng lại ở việc đào tạo về quyền hạn đơn thuần, mà là một khóa học nâng cao giúp bạn hiểu rõ cách thức áp dụng quyền hạn trong môi trường dịch vụ thực tế và chúng ảnh hưởng như thế nào đến hoạt động của dịch vụ thông qua việc thực hành trực tiếp với DBMS và ứng dụng WEB.

Chúng tôi cung cấp ứng dụng web JSP (chương trình jumsu) hoạt động dựa trên JDBC và hướng dẫn bạn tự cài đặt Oracle Database 11g XE và Apache Tomcat trên môi trường Rocky Linux 9 để phục vụ thực hành.
Ứng dụng này được phân phối dưới dạng tệp jumsu.war đã được chuẩn bị sẵn. Sau khi triển khai tệp WAR này lên Tomcat, học viên sẽ trải nghiệm toàn bộ quá trình để chức năng hoạt động bình thường bằng cách tự thiết kế và liên kết các bảng cần thiết trong Oracle DB.

Trong quá trình này, bạn có thể hiểu sâu sắc về tác động của quyền hạn đối với sự ổn định của dịch vụ thực tế bằng cách phân tích chi tiết ứng dụng web truy cập vào các thư mục nào bên trong, cần những quyền gì để kết nối DB, quy trình Tomcat được thực thi bằng tài khoản nào và cần quyền đọc/ghi trên những thư mục nào
, v.v.

Ngoài ra, vì việc cài đặt Oracle 11g XE và Tomcat có thể gây khó khăn cho người mới bắt đầu, khóa học này cũng cung cấp các tập lệnh tự động hóa toàn bộ quá trình cài đặt và thiết lập ban đầu để giúp học viên nhanh chóng xây dựng môi trường tương tự và tập trung vào việc thực hành.

Nội dung học tập

• Cài đặt Oracle Database 11g XE trên Rocky Linux 9

• Cung cấp script tự động hóa cài đặt Oracle và Tomcat → Đơn giản hóa việc thiết lập lặp đi lặp lại

• Phân tích cấu trúc quyền của thư mục oradata, nơi lưu trữ các tệp dữ liệu Oracle where Oracle data files are stored

  
  

• Thực hành quy trình triển khai và thực thi ứng dụng web jumsu.war

• Thiết kế trực tiếp các bảng cần thiết trong Oracle DB và kiểm tra kết nối JDBC

  
  

• Tiêu chuẩn thiết lập quyền hạn cho thư mục Web Root an toàn và đường dẫn triển khai ứng dụng

Thông qua phần này, học viên sẽ được
trải nghiệm toàn bộ cấu trúc vận hành hữu cơ của ứng dụng web JSP + Tomcat + Oracle DB, đồng thời hiểu rõ vai trò của quyền hạn (permission) trong quá trình đó dựa trên các tiêu chuẩn thực tế.

Đây không chỉ đơn thuần là học về quyền hạn, mà là phần cốt lõi giúp bạn có khả năng giải thích các quyền hạn dưới góc nhìn tổng thể về vận hành dịch vụ, bảo mật và kỹ thuật hạ tầng.

Phần 7. Dịch vụ lập lịch Daemon và Quyền hạn (Cron)

Phần này đi sâu vào cấu trúc hoạt động và mô hình quyền hạn của Cron, một dịch vụ lập lịch không thể thiếu trong việc vận hành máy chủ Linux. Không chỉ dừng lại ở việc thiết lập các tác vụ đặt lịch đơn giản, phần này còn giải thích trọng tâm thông qua thực hành về việc Cron được thực thi với quyền hạn nào, cũng như cách các tệp cron của từng người dùng được tạo và quản lý trong /var/spool/cron như thế nào.

Chúng ta cũng sẽ cùng thực hành tự động hóa sao lưu dựa trên rsync, một kỹ thuật thường xuyên được sử dụng trong vận hành máy chủ, để trực tiếp kiểm tra xem các tác vụ tự động hóa sẽ thành công hay thất bại dưới những điều kiện quyền hạn nào trong môi trường dịch vụ thực tế.

Đặc biệt, chúng ta sẽ phân tích mối quan hệ giữa Cron của người dùng và quyền SetUID cũng như các cấp độ quyền hạn (permission).
Trong quá trình này, phương thức tạo tệp /var/spool/cron/tên_người_dùng và ý nghĩa bảo mật về quyền hạn của tệp đó cũng sẽ được giải thích chi tiết.

Nội dung học tập

• Hiểu cấu trúc của dịch vụ Cron và cách thức hoạt động của bộ lập lịch (scheduler)

• Phân tích tệp /etc/crontab của cron hệ thống

• Cấu hình lịch trình sao lưu tự động sử dụng rsync

• Sự khác biệt và so sánh giữa cron hệ thống và cron người dùng

• Phân tích cấu trúc tệp /var/spool/cron/<người dùng> khi cron của người dùng được tạo.

  
  

• Thiết lập Cron theo điều kiện (thứ/giờ/chu kỳ)

Thông qua phần này, học viên không chỉ dừng lại ở việc thiết lập lịch trình đơn thuần mà còn có thể hiểu theo tiêu chuẩn thực tế về việc Cron được thực thi với quyền hạn người dùng nào, cũng như quyền hạn tệp tin và thư mục ảnh hưởng như thế nào đến các tác vụ lập lịch.

Phần 8. Dịch vụ DNS và Quyền truy cập

DNS là một dịch vụ mạng cực kỳ quan trọng trong môi trường máy chủ Linux và là dịch vụ điển hình thường xuyên xảy ra lỗi do sai sót trong thiết lập quyền hạn. Đặc biệt, quyền hạn của thư mục /var/named không chỉ ảnh hưởng đến bảo mật mà còn tác động trực tiếp đến hoạt động bình thường của dịch vụ DNS, vì vậy việc hiểu rõ chính xác là điều bắt buộc.

Trong phần này, chúng ta sẽ tìm hiểu từ nguyên lý cơ bản của DNS đến cài đặt và thiết lập BIND, cấu hình vùng thuận (forward zone), và viết kịch bản tự động hóa cho máy chủ DNS chính và phụ dựa trên thực tế, đồng thời phân tích rõ ràng thông qua thực hành xem dịch vụ DNS hoạt động trong cấu trúc quyền hạn nào và những lỗi nào sẽ xảy ra nếu thiếu quyền hạn nhất định.

Ngoài ra, bạn cũng có thể học cách trực tiếp viết kịch bản tự động hóa việc cài đặt và gỡ bỏ DNS, bao gồm cả quá trình triển khai chúng lên máy chủ từ xa.

Nội dung học tập

• Hiểu khái niệm DNS và cấu trúc Name Server

• Cấu hình môi trường vim để thiết lập DNS

• Thực hành cài đặt và thiết lập máy chủ DNS dựa trên BIND

• Công việc chuẩn bị trước để cấu hình máy chủ DNS chính và phụ

• Cấu hình tệp vùng thuận (forward zone) và kiểm tra truy vấn

• Viết script tự động hóa cài đặt và gỡ bỏ DNS

• Phân phối script đã viết đến máy chủ từ xa để thực hiện cài đặt/xóa bỏ

• Phân tích chi tiết các mục thiết lập chính trong named.conf

• Cấu trúc quyền và tiêu chuẩn thiết lập bảo mật cho thư mục /var/named

• Phân tích các trường hợp truy vấn DNS thất bại do sai lệch quyền hạn (permission)

Phần này được thiết kế không chỉ để xây dựng DNS đơn thuần mà còn giúp bạn hiểu hoàn toàn về vận hành DNS và mô hình quyền hạn dưới góc độ phân quyền Linux. Bằng cách hiểu không chỉ nguyên lý hoạt động của dịch vụ DNS mà còn cả cơ chế lỗi quyền hạn dẫn đến sự cố dịch vụ thực tế, khóa học này sẽ giúp ích rất nhiều trong việc nắm bắt phân quyền Linux từ góc nhìn tổng thể về vận hành dịch vụ.

Những kết quả thực tế đạt được thông qua khóa học

Sau khi hoàn thành khóa học này, bạn sẽ trang bị được những năng lực thực tiễn sau đây.

• Khả năng hiểu và thiết lập hoàn hảo cấu trúc quyền hạn (permission) từ những bước cơ bản nhất

• Hiểu sự khác biệt giữa ACL và quyền cơ bản, cũng như các lưu ý khi vận hành dịch vụ

• Nắm vững các rủi ro của quyền đặc biệt và chiến lược phòng thủ phù hợp

• Khả năng phân tích cấu trúc quyền hạn của các dịch vụ như DBMS·WEB·DNS

• Nắm vững các kỹ năng vận hành thiết yếu như quản lý tài khoản người dùng và hệ thống, vận hành Cron, và quản lý quyền sở hữu tệp tin.

• Năng lực trực tiếp giải quyết các vấn đề liên quan đến quyền hạn phát sinh trong môi trường thực tế

Khóa học này bao gồm các nội dung cần thiết cho tất cả mọi người, từ người mới bắt đầu đến người làm thực tế, nhân viên bảo mật và quản trị viên máy chủ, và được thiết kế như một khóa học chuyên sâu bao quát toàn bộ quá trình vận hành dịch vụ dựa trên quyền hạn.

Phần 9. Dịch vụ ứng dụng Web và Quyền hạn

Dịch vụ web dựa trên APM (Apache · PHP · MariaDB) là cấu trúc được vận hành rộng rãi nhất trong môi trường Linux, nhưng
do thiết lập quyền hạn sai lầm nên đây là lĩnh vực dễ phát sinh các vấn đề như lỗi cài đặt, lỗi tải lên, lỗi kết nối DB, lỗ hổng webshell.

Đặc biệt, việc hiểu rõ máy chủ web Apache hoạt động dưới quyền người dùng nào, PHP truy cập vào thư mục nào, cũng như cấu trúc quyền hạn mà các dịch vụ thực tế như WordPress, Gnuboard và phpMyAdmin yêu cầu là vô cùng thiết yếu.

Trong phần này, chúng ta sẽ tìm hiểu toàn bộ quy trình từ xây dựng môi trường APM, phân tích tệp cấu hình Apache cho đến thực hành cài đặt Gnuboard, WordPress và phpMyAdmin dưới góc nhìn thực tế, đồng thời phân tích rõ ràng thông qua
thực hành từng bước về cách dịch vụ web hoạt động với tư cách là người dùng với các quyền hạn nào.

Ngoài ra, chúng tôi sẽ tái hiện các vấn đề thường gặp trong quá trình cài đặt và thiết lập ban đầu dịch vụ web như lỗi quyền truy cập, lỗi ghi thư mục, kiểm soát truy cập dựa trên các tình huống thực tế, đồng thời đề xuất phương pháp cấu hình quyền hạn an toàn để khắc phục các vấn đề đó.

Nội dung học tập

• Cấu hình môi trường APM (Apache · PHP · MariaDB)

• Cài đặt APM và phân tích tài khoản vận hành dịch vụ

• Thực hành cài đặt GNU Board và cấu hình quyền cho thư mục data

• Quá trình cài đặt WordPress và phân tích tiêu chuẩn quyền hạn của thư mục wp-content/upload

• Cài đặt phpMyAdmin và thiết lập bảo mật thư mục config

• Phân tích các chỉ thị chính trong tệp cấu hình Apache (httpd.conf, vhost.conf)

• Phân tích các trường hợp lỗi quyền hạn xảy ra trong quá trình vận hành dịch vụ web

  
  

• Mô hình quyền hạn của cấu trúc thư mục dịch vụ web và tiêu chuẩn thiết lập quyền hạn an toàn

• Nguyên tắc vận hành quyền hạn tối thiểu cho tài khoản thực thi quy trình Apache

• Phân tích các lỗ hổng bảo mật web (lộ thông tin DB, v.v.) phát sinh do thiết lập quyền hạn sai lệch

Phần này không chỉ đơn thuần là xây dựng dịch vụ web, mà là một khóa học được thiết kế để giúp bạn hiểu rõ hoàn toàn dưới góc độ quản lý quyền hạn trong Linux về việc mô hình phân quyền thực tế được áp dụng như thế nào trong môi trường APM và nó có ảnh hưởng ra sao đến tính ổn định cũng như bảo mật của dịch vụ.

Bằng cách nắm bắt rõ ràng vai trò của quyền hạn trong mọi giai đoạn từ cài đặt đến vận hành và bảo mật, bạn sẽ xây dựng được năng lực thực tiễn để quản lý ổn định toàn bộ quá trình vận hành dịch vụ web.