Khóa học Masterclass về Quyền trong Linux – 「Từ cơ bản đến thực tiễn, bảo mật và vận hành dịch vụ」

Bài giảng này được thiết kế không phải là một bài giảng đơn thuần chỉ dừng lại ở mức độ khái niệm cơ bản về cấu trúc quyền hạn (permission) của hệ thống tệp Linux, mà là một khóa học tập trung vào thực tiễn giúp giải quyết các vấn đề về quyền hạn, rủi ro bảo mật và tình trạng lỗi dịch vụ phát sinh trong môi trường vận hành thực tế.

Quyền hạn là nền tảng của việc vận hành máy chủ Linux, nhưng đồng thời, chỉ cần một thiết lập sai lầm cũng có thể làm giảm tính ổn định của toàn bộ dịch vụ và trở thành nguyên nhân trực tiếp gây ra các sự cố bảo mật. Khóa học này giúp học viên ngăn chặn trước các rủi ro đó, hiểu cấu trúc quyền hạn một cách hệ thống và dẫn dắt từng bước đạt đến trình độ có thể thiết lập, giải thích và chẩn đoán chính xác.

Quyền hạn Linux không thể giải quyết được chỉ bằng cách ghi nhớ ba chữ cái rwx đơn thuần.
Có rất nhiều yếu tố cần cân nhắc trong môi trường thực tế như chủ sở hữu/nhóm của tệp, ACL, quyền đặc biệt (SetUID/SetGID/Sticky-Bit), tài khoản hệ thống mà các tiến trình dịch vụ sử dụng, quyền thư mục mà DBMS và Web Application truy cập, v.v. Chỉ khi hiểu rõ những điều này, bạn mới có thể đáp ứng được cả hai yếu tố vận hành và bảo mật.

Khóa học này đi sâu vào các nội dung sau đây, với mỗi phần được thiết kế dựa trên thực hành để bất kỳ ai cũng có thể hiểu được thông qua việc trực tiếp thực hiện.

Mục tiêu của khóa học là dẫn dắt học viên một cách hệ thống đạt đến trình độ có thể giải thích logic hệ thống phân quyền phức tạp này và tự mình giải quyết các vấn đề thực tế.


Ngoài ra, để thuận tiện cho việc thực hành, khóa học cung cấp script cài đặt có thể tự động thiết lập môi trường Oracle 11g XE, Apache Tomcat, ứng dụng web JSP và tài liệu PDF dài 300 trang tóm tắt hệ thống toàn bộ nội dung bài giảng.
(Tuy nhiên, vì tài liệu PDF là đối tượng được bảo vệ bản quyền nên nghiêm cấm chia sẻ hoặc phân phối ra bên ngoài, chỉ có thể sử dụng cho mục đích học tập cá nhân của học viên.)

Khóa học này được thiết kế để mang lại lợi ích thực tế cho tất cả mọi người, từ những người mới bắt đầu đến các quản trị viên máy chủ, chuyên gia bảo mật và kỹ sư DevOps, những người cần nắm vững kiến thức chuyên sâu về quyền hạn trong Linux.

Phần 1. Thiết lập môi trường thực hành

Bắt đầu từ việc cấu hình một cách hệ thống môi trường ảo hóa, cài đặt OS và môi trường kết nối terminal vốn là những yếu tố thiết yếu để phân tích quyền hạn và xây dựng dịch vụ.

Chúng ta sẽ cài đặt các bản phân phối được sử dụng rộng rãi trong môi trường doanh nghiệp thực tế như Rocky Linux 9, Ubuntu 24.04, đồng thời tạo nền tảng để học viên có thể áp dụng cùng một nguyên lý phân quyền trên bất kỳ hệ điều hành nào.

Nội dung học tập

• Giới thiệu tổng quan khóa học và giải thích mục tiêu học tập tổng thể

• Thiết lập môi trường ảo hóa dựa trên VMware Workstation

• Thực hành cài đặt Rocky Linux 9 & Ubuntu 24.04

• Cài đặt nhanh và thiết lập ban đầu

• Cấu hình môi trường kết nối MobaXterm / SSH terminal

thoughtful 16 tokens.

Phần này là nền tảng cho toàn bộ khóa học và tất cả các bài thực hành về quyền hạn tiếp theo sẽ được thực hiện trong môi trường Rocky Linux 9.
Do đó, cấu trúc máy ảo, tài khoản, dịch vụ và thư mục được xây dựng trong bước này sẽ trở thành nền tảng chung cho mọi hoạt động học tập sau này như phân tích quyền hạn, thực hành ACL và thiết lập quyền hạn cho từng dịch vụ.

Phần 2. Người dùng và Nhóm

Trong phần này, chúng ta sẽ tìm hiểu một cách hệ thống về cấu trúc Người dùng (User) và Nhóm (Group), vốn là cốt lõi của phân quyền trong Linux.
Bên cạnh việc thực hành các lệnh tạo, xóa và sửa đổi tài khoản, chúng tôi cũng sẽ giải thích từng bước cấu trúc của các tệp /etc/passwd và /etc/shadow.

Đặc biệt, tệp /etc/shadow lưu trữ thông tin mật khẩu đã mã hóa (băm) không được để lộ cho người dùng thông thường. Chúng ta sẽ tìm hiểu cách giá trị băm này được tạo ra và xác thực như thế nào, cách thức hoạt động của thuật toán băm SHA512 dựa trên hàm crypt(), cũng như vai trò của giá trị salt trong bảo mật xác thực.

Ngoài ra, chúng tôi cũng giải thích lý do tại sao quyền truy cập vào tệp /etc/shadow chỉ dành riêng cho root và những sự cố bảo mật nào có thể xảy ra nếu tệp /etc/shadow bị lộ.

Nội dung học tập

• Hiểu cấu trúc người dùng và nhóm

• Thực hành các lệnh useradd / userdel / usermod

• Phân tích cấu trúc UID/GID

• Sự khác biệt giữa tài khoản hệ thống và tài khoản thông thường

• Cách xử lý thư mục gốc (home directory) khi xóa tài khoản

• Phân tích cấu trúc các trường trong tệp /etc/passwd

• Phân tích cấu trúc các trường của tệp /etc/shadow
  
  

Những nội dung bạn sẽ nhận được thông qua phần này là

• Nguyên lý xác thực đăng nhập

• Nguyên lý tạo mã băm mật khẩu

• thoughtful Mô hình bảo mật /etc/shadow

• Ảnh hưởng của tài khoản, nhóm, UID/GID đến việc giải thích quyền hạn (permission)

• Tạo, xóa và quản lý chi tiết người dùng

  
  

Bạn sẽ có thể hiểu chúng một cách rõ ràng.

Phần 3. Quyền truy cập Linux 1 – Cấu trúc cơ bản của quyền hạn

Trong phần này, các yếu tố cấu thành nên quyền truy cập (permission) sẽ được giải thích dựa trên trọng tâm là nguyên lý hoạt động thực tế thay vì chỉ giải thích đơn thuần, giúp bạn có thể phân tích việc xác định quyền hạn một cách logic. Thông qua phần này, bạn sẽ hiểu rõ cách thức quyền hạn được giải thích và áp dụng như thế nào trong hệ thống tệp tin.

Nội dung học tập

• Cấu trúc quyền sở hữu và quyền hạn của tệp tin

• Cách thức hoạt động của quyền đọc/ghi/thực thi

• Sự khác biệt giữa ACL (Access Control List) và quyền hạn cơ bản (Permission)

• Thực hành getfacl/setfacl

• Ảnh hưởng của quyền hạn (permission) đến hoạt động của dịch vụ

• Thực hành các lệnh thay đổi quyền hạn chmod, chown, chgrp

• Giới thiệu khái niệm và tính nguy hiểm của quyền đặc biệt (special permissions)

• Kiểm tra truy cập vào /etc/shadow, tệp mà tài khoản thông thường không được phép truy cập

  
  

Phần 4. Quyền hạn Linux 2 – Thực hành quyền cơ bản (r, w, x)

Một trong những nội dung cốt lõi của bài giảng về quyền hạn là trực tiếp trải nghiệm các trường hợp thất bại khi truy cập. Chúng ta sẽ thiết lập các tình huống kiểm tra thực tế cho từng loại quyền, so sánh kết quả truy cập tệp và phân tích lý do tại sao kết quả đó lại xảy ra.

Nội dung học tập

• Sự khác biệt về hoạt động tùy theo việc có hay không có quyền đọc (r)

• Sự khác biệt về hoạt động tùy theo việc có hay không có quyền ghi (w)

• Sự khác biệt về hoạt động tùy theo việc có hay không có quyền thực thi (x)

• Ảnh hưởng của quyền hạn tệp thông thường và thư mục đến việc truy cập tệp

Đây là phần học tập trung vào thực hành, được thiết kế để bạn không chỉ ghi nhớ máy móc mà còn có thể tự mình giải thích nguyên nhân của các lỗi thường gặp trong quá trình vận hành dịch vụ.

Phần 5. Quyền hạn Linux 3 – Chuyên sâu về quyền đặc biệt (SetUID, SetGID, Sticky-Bit)

Phần này không chỉ dừng lại ở việc giải thích khái niệm đơn thuần mà còn thông qua nhiều bài thực hành đa dạng để phân tích chuyên sâu về việc các quyền đặc biệt hoạt động như thế nào trong hệ thống thực tế và chúng có ý nghĩa bảo mật ra sao.
Đi xa hơn một bước so với cấp độ quyền hạn thông thường, chúng ta sẽ cùng tìm hiểu tầm ảnh hưởng của các quyền đặc biệt đối với việc vận hành dịch vụ và bảo mật hệ thống dưới góc nhìn thực tiễn.

Đặc biệt, vì các quyền đặc biệt nếu được thiết lập sai sẽ dẫn đến các lỗ hổng bảo mật tức thì, nên việc hiểu chính xác nguyên lý hoạt động và tiêu chuẩn áp dụng là vô cùng quan trọng.

Nội dung học tập

• Phân tích cơ chế hoạt động của SetUID và tìm hiểu cấu trúc bên trong của lệnh passwd

• Thực hành cách áp dụng SetGID trong thư mục

• Kịch bản vấn đề bảo mật có thể xảy ra trong môi trường không có Sticky-bit

• Kiểm tra khả năng khai thác tiềm ẩn của các chương trình được cấp quyền đặc biệt

• Nhu cầu về quyền đặc biệt và phương pháp hạn chế an toàn khi vận hành dịch vụ và ứng dụng

thoughtful Thông qua phần này, học viên sẽ hiểu chính xác các lỗ hổng đặc quyền thường xuyên bị lợi dụng trong các sự cố bảo mật và tấn công thực tế, đồng thời nắm vững các tiêu chuẩn thiết lập đúng đắn để vận hành hệ thống một cách an toàn.

Phần 6. Dịch vụ DBMS & WEB và Quyền hạn

Phần này không chỉ dừng lại ở việc đào tạo về quyền hạn đơn thuần, mà là một khóa học nâng cao giúp bạn hiểu rõ cách thức áp dụng quyền hạn trong môi trường dịch vụ thực tế và chúng ảnh hưởng như thế nào đến hoạt động của dịch vụ thông qua thực hành trực tiếp với DBMS và ứng dụng WEB.

Chúng tôi cung cấp ứng dụng web JSP (chương trình jumsu) hoạt động dựa trên JDBC và hướng dẫn cài đặt trực tiếp Oracle Database 11g XE và Apache Tomcat trong môi trường Rocky Linux 9 để phục vụ thực hành.
Ứng dụng này được phân phối dưới dạng tệp jumsu.war đã được xây dựng sẵn , học viên sẽ triển khai tệp WAR này lên Tomcat, sau đó tự thiết kế các bảng cần thiết trong Oracle DB và kết nối chúng để trải nghiệm toàn bộ quá trình vận hành bình thường của các chức năng.

Trong quá trình này, bằng cách phân tích chi tiết ứng dụng web truy cập vào những thư mục nào bên trong, cần những quyền gì để kết nối DB, tiến trình Tomcat được thực thi bằng tài khoản nào và cần quyền đọc/ghi trên những thư mục nào,
bạn có thể hiểu sâu sắc về mức độ ảnh hưởng của quyền hạn đối với sự ổn định của dịch vụ trong thực tế.

Ngoài ra, vì việc cài đặt Oracle 11g XE và Tomcat có thể gây khó khăn cho người mới bắt đầu, bài học này cũng cung cấp các script tự động hóa toàn bộ quá trình cài đặt và thiết lập ban đầu để giúp học viên nhanh chóng xây dựng môi trường tương tự và tập trung vào việc thực hành.

Nội dung học tập

• Cài đặt Oracle Database 11g XE trên Rocky Linux 9

• Cung cấp script tự động hóa cài đặt Oracle và Tomcat → Đơn giản hóa việc thiết lập lặp đi lặp lại

• Phân tích cấu trúc quyền của thư mục oradata, nơi lưu trữ các tệp dữ liệu Oracle

  
  

• Thực hành quy trình triển khai và thực thi ứng dụng web jumsu.war

• Thiết kế trực tiếp các bảng cần thiết trong Oracle DB và kiểm tra kết nối JDBC

  
  

• Tiêu chuẩn thiết lập quyền hạn cho thư mục Web Root và đường dẫn triển khai ứng dụng an toàn

Thông qua phần này, học viên sẽ được
trải nghiệm toàn bộ cấu trúc vận hành hữu cơ giữa ứng dụng web JSP + Tomcat + Oracle DB, đồng thời hiểu rõ vai trò của quyền hạn (permission) trong quá trình đó dựa trên các tiêu chuẩn thực tế.

Đây không chỉ đơn thuần là việc học về quyền hạn, mà là phần cốt lõi giúp bạn trang bị khả năng phân tích quyền hạn dưới góc nhìn tổng thể về vận hành dịch vụ, bảo mật và kỹ thuật hạ tầng.

Phần 7. Dịch vụ Daemon lập lịch và Quyền hạn (Cron)

Trong phần này, chúng ta sẽ tìm hiểu sâu về cấu trúc hoạt động và mô hình quyền hạn của Cron, một dịch vụ lập lịch không thể thiếu trong vận hành máy chủ Linux. Không chỉ dừng lại ở việc thiết lập các tác vụ định kỳ đơn giản, nội dung sẽ tập trung vào thực hành để giải thích Cron chạy với quyền hạn nào, cũng như cách các tệp cron của từng người dùng được tạo và quản lý trong /var/spool/cron như thế nào.

Chúng ta cũng sẽ thực hành tự động hóa sao lưu dựa trên rsync, một tác vụ thường xuyên được sử dụng trong vận hành máy chủ, để trực tiếp kiểm tra xem các tác vụ tự động hóa sẽ thành công hay thất bại dưới những điều kiện quyền hạn nào trong môi trường dịch vụ thực tế.

Đặc biệt, chúng ta sẽ phân tích mối quan hệ giữa Cron của người dùng và quyền SetUID, cũng như các cấp độ phân quyền.
Trong quá trình này, phương thức tạo tệp /var/spool/cron/tên_người_dùng và ý nghĩa bảo mật của quyền hạn trên tệp đó cũng sẽ được giải thích chi tiết.

Nội dung học tập

• Hiểu cấu trúc dịch vụ Cron và cách thức hoạt động của bộ lập lịch (scheduler)

• Phân tích tệp /etc/crontab của cron hệ thống

• Cấu hình lịch trình sao lưu tự động bằng rsync

• So sánh và sự khác biệt giữa Cron hệ thống và Cron người dùng

• Phân tích cấu trúc tệp /var/spool/cron/ khi cron của người dùng được tạo.

  
  

• Thiết lập Cron theo điều kiện (thứ/giờ/chu kỳ)

Thông qua phần này, học viên không chỉ dừng lại ở việc thiết lập lịch trình đơn thuần mà còn có thể hiểu được dựa trên tiêu chuẩn thực tế về việc Cron được thực thi với quyền người dùng nào, cũng như quyền hạn tệp tin và thư mục ảnh hưởng ra sao đến các tác vụ lập lịch.

Phần 8. Dịch vụ DNS và quyền hạn

DNS là một dịch vụ mạng cực kỳ quan trọng trong môi trường máy chủ Linux và là dịch vụ điển hình thường xuyên xảy ra lỗi do sai sót trong thiết lập quyền hạn. Đặc biệt, quyền hạn (permission) của thư mục /var/named không chỉ ảnh hưởng đến bảo mật mà còn tác động trực tiếp đến hoạt động bình thường của dịch vụ DNS, vì vậy việc hiểu rõ chính xác là điều bắt buộc.

Phần này sẽ bao gồm các nội dung dựa trên thực tế, từ nguyên lý cơ bản của DNS đến cài đặt và thiết lập BIND, cấu hình vùng thuận (forward zone), và viết kịch bản tự động hóa cho máy chủ DNS chính và phụ. Đồng thời, thông qua thực hành, chúng ta sẽ phân tích rõ ràng dịch vụ DNS hoạt động trong cấu trúc quyền hạn nào và những lỗi nào sẽ phát sinh nếu thiếu quyền hạn.

Ngoài ra, bạn còn có thể học cách tự tay viết các tập lệnh tự động hóa việc cài đặt và gỡ bỏ DNS, bao gồm cả quy trình triển khai chúng lên máy chủ từ xa.

Nội dung học tập

• Tìm hiểu khái niệm DNS và cấu trúc máy chủ tên miền

• Cấu hình môi trường vim để thiết lập DNS

• Thực hành cài đặt và thiết lập máy chủ DNS dựa trên BIND

• Công tác chuẩn bị trước để cấu hình máy chủ DNS chính và phụ

• Cấu hình tệp vùng thuận (forward zone file) và kiểm tra truy vấn

• Viết script tự động hóa cài đặt và gỡ bỏ DNS

• Triển khai kịch bản đã viết lên máy chủ từ xa để thực hiện cài đặt/xóa bỏ

• Phân tích chi tiết các hạng mục thiết lập chính trong named.conf

• Cấu trúc quyền thư mục /var/named và tiêu chuẩn thiết lập bảo mật

• Phân tích các trường hợp truy vấn DNS thất bại do sai lệch quyền hạn (permission)

Phần này là một khóa học được thiết kế không chỉ để xây dựng DNS đơn thuần mà còn giúp bạn hiểu rõ hoàn toàn về vận hành DNS và mô hình quyền hạn dưới góc độ phân quyền Linux. Bằng việc thấu hiểu không chỉ nguyên lý hoạt động của dịch vụ DNS mà còn cả cơ chế lỗi quyền hạn dẫn đến sự cố dịch vụ thực tế, khóa học sẽ giúp ích rất nhiều trong việc nắm bắt phân quyền Linux dưới góc nhìn tổng thể về vận hành dịch vụ.

Những kết quả thực tế đạt được thông qua khóa học

Sau khi hoàn thành khóa học này, bạn sẽ trang bị được các năng lực thực hành thực tế như sau.

• Khả năng hiểu rõ cấu trúc quyền hạn từ cơ bản và thiết lập một cách hoàn chỉnh

• Hiểu sự khác biệt giữa ACL và quyền hạn cơ bản, cũng như các lưu ý khi vận hành dịch vụ

• Nắm vững các rủi ro của quyền đặc biệt và chiến lược phòng thủ phù hợp

• Khả năng phân tích cấu trúc quyền hạn của các dịch vụ như DBMS, WEB, DNS, v.v.

• Nắm vững các kỹ năng vận hành thiết yếu như quản lý tài khoản người dùng và hệ thống, vận hành Cron, quản lý quyền sở hữu tệp tin.

• Năng lực trực tiếp giải quyết các vấn đề liên quan đến quyền hạn phát sinh trong môi trường thực tế

Khóa học này bao gồm các nội dung cần thiết cho tất cả mọi người, từ người mới bắt đầu đến người làm thực tế, nhân viên bảo mật và quản trị viên máy chủ, đồng thời được thiết kế như một khóa học chuyên sâu bao quát toàn bộ quá trình vận hành dịch vụ dựa trên quyền hạn.

Phần 9. Dịch vụ ứng dụng Web và Quyền hạn

thoughtful Dịch vụ web dựa trên APM (Apache · PHP · MariaDB) là cấu trúc được vận hành rộng rãi nhất trong môi trường Linux,
nhưng đây cũng là lĩnh vực dễ phát sinh các vấn đề như lỗi cài đặt, lỗi tải lên, lỗi kết nối DB, lỗ hổng webshell do thiết lập quyền hạn sai cách.

Đặc biệt, việc hiểu rõ máy chủ web Apache hoạt động dưới tư cách người dùng nào, PHP truy cập vào những thư mục nào, cũng như cấu trúc quyền hạn mà các dịch vụ thực tế như WordPress, Gnuboard và phpMyAdmin yêu cầu là điều vô cùng thiết yếu.

Trong phần này, chúng ta sẽ tìm hiểu toàn bộ quy trình từ xây dựng môi trường APM, phân tích tệp cấu hình Apache đến thực hành cài đặt Gnuboard, WordPress và phpMyAdmin dưới góc nhìn thực tế, đồng thời phân tích rõ ràng cách thức hoạt động của dịch vụ web với tư cách người dùng và quyền hạn tương ứng thông qua
các bài thực hành từng bước.

Ngoài ra, chúng tôi sẽ tái hiện các vấn đề thường phát sinh trong quá trình cài đặt và thiết lập ban đầu dịch vụ web như lỗi phân quyền, thất bại khi ghi vào thư mục, kiểm soát truy cập dựa trên các tình huống thực tế, đồng thời đề xuất phương pháp cấu hình quyền hạn an toàn để giải quyết các vấn đề này.

Nội dung học tập

• Thiết lập môi trường APM (Apache · PHP · MariaDB)

• Cài đặt APM và phân tích tài khoản hoạt động của dịch vụ

• Thực hành cài đặt GNU Board và cấu hình quyền hạn cho thư mục data

• Quy trình cài đặt WordPress và phân tích tiêu chuẩn quyền hạn của thư mục wp-content/upload

• Cài đặt phpMyAdmin và thiết lập bảo mật cho thư mục config

• Phân tích các chỉ thị (directive) chính trong tệp cấu hình Apache (httpd.conf, vhost.conf)

• Phân tích các trường hợp lỗi quyền hạn phát sinh trong quá trình vận hành dịch vụ web

  
  

• Mô hình quyền hạn của cấu trúc thư mục dịch vụ web và tiêu chuẩn thiết lập quyền (permission) an toàn

• Nguyên tắc vận hành quyền hạn tối thiểu cho tài khoản thực thi tiến trình Apache

• Phân tích các lỗ hổng bảo mật web (lộ thông tin DB, v.v.) phát sinh do thiết lập quyền hạn sai lệch

Phần này không chỉ đơn thuần là xây dựng dịch vụ web, mà là một khóa học được thiết kế để giúp bạn hiểu rõ hoàn toàn dưới góc độ quản lý quyền hạn trong Linux về việc mô hình phân quyền thực tế được áp dụng như thế nào trong môi trường APM và chúng có ảnh hưởng ra sao đến tính ổn định cũng như bảo mật của dịch vụ.

Bằng cách nắm vững vai trò của quyền hạn trong mọi giai đoạn từ cài đặt, vận hành đến bảo mật, bạn sẽ xây dựng được năng lực thực tiễn để quản lý ổn định toàn bộ quá trình vận hành dịch vụ web.