<style id="sas-global-polish">
html,body{overflow-x:hidden!important;max-width:100%!important}body #masthead.site-header{position:sticky!important;top:0!important;z-index:100!important;background:rgba(255,255,255,.94)!important;border-bottom:1px solid #e6edf6!important;box-shadow:0 10px 30px rgba(15,23,42,.055)!important;backdrop-filter:blur(14px)!important}body #masthead .site-title-centered{max-width:1320px!important;margin:0 auto!important;padding:10px 24px!important;display:flex!important;align-items:center!important;justify-content:space-between!important;gap:28px!important}body #masthead .site-branding{display:flex!important;align-items:center!important;min-width:250px!important;margin:0!important;padding:0!important;text-align:left!important}body #masthead .site-title{margin:0!important;line-height:1!important;display:flex!important;align-items:center!important}body #masthead img.custom-logo{width:190px!important;max-width:190px!important;height:auto!important;display:block!important}body #masthead .site-description,body #masthead .social-links,body #masthead .top-search{display:none!important}body #masthead .main-navbar{flex:1!important;background:transparent!important;border:0!important;box-shadow:none!important;margin:0!important;padding:0!important}body #masthead .main-navbar .container{max-width:none!important;width:100%!important;margin:0!important;padding:0!important;display:flex!important;align-items:center!important;justify-content:flex-end!important}body #site-navigation{display:flex!important;justify-content:flex-end!important;width:auto!important;float:none!important;margin:0!important;padding:0!important}body #site-navigation ul.main-menu{display:flex!important;align-items:center!important;justify-content:flex-end!important;gap:6px!important;margin:0!important;padding:0!important;list-style:none!important;flex-wrap:wrap!important}body #site-navigation ul.main-menu>li{margin:0!important;padding:0!important;float:none!important;display:block!important}body #site-navigation ul.main-menu>li>a{display:flex!important;align-items:center!important;min-height:38px!important;padding:9px 13px!important;border-radius:999px!important;color:#334155!important;font-size:14px!important;font-weight:800!important;line-height:1!important;text-decoration:none!important;background:transparent!important;transition:.18s ease!important}body #site-navigation ul.main-menu>li.current-menu-item>a,body #site-navigation ul.main-menu>li>a:hover{background:#eff6ff!important;color:#1d4ed8!important}body.content-sidebar #primary,body #primary.content-area,body #primary,body .content-area{float:none!important;width:100%!important;max-width:100%!important;display:block!important;padding:0!important;margin:0!important}body #secondary,body aside#secondary,body .sidebar.widget-area,body .widget-area{display:none!important;visibility:hidden!important;width:0!important;max-width:0!important;padding:0!important;margin:0!important}body #content.site-content,body #content .container,body #content .inside,body .site-content,body .container,body .inside,body #main.site-main{width:100%!important;max-width:100%!important;padding-left:0!important;padding-right:0!important;margin-left:0!important;margin-right:0!important}body:not(.page-id-11) .entry-header,body:not(.page-id-11) .entry-content,body:not(.page-id-11) .entry-footer{max-width:980px!important;margin-left:auto!important;margin-right:auto!important;padding-left:22px!important;padding-right:22px!important}body.archive #main,body.blog #main,body.search #main{max-width:1180px!important;margin:0 auto!important;padding:28px 22px!important}@media(max-width:920px){body #masthead .site-title-centered{display:block!important;padding:10px 16px!important}body #masthead .site-branding{justify-content:center!important;margin-bottom:10px!important}body #masthead img.custom-logo{width:170px!important}body #site-navigation,body #site-navigation ul.main-menu{justify-content:center!important}body #site-navigation ul.main-menu>li>a{font-size:13px!important;padding:8px 10px!important}}@media(max-width:560px){body #site-navigation ul.main-menu{gap:4px!important}body #site-navigation ul.main-menu>li>a{font-size:12px!important;padding:7px 9px!important}body #masthead img.custom-logo{width:150px!important}body:not(.page-id-11) .entry-header,body:not(.page-id-11) .entry-content,body:not(.page-id-11) .entry-footer{padding-left:14px!important;padding-right:14px!important}}
</style>
<style>.sas-lesson{max-width:940px;margin:0 auto;padding:38px 18px 78px;font-family:Inter,"Segoe UI",Arial,sans-serif;color:#344054;font-size:17px;line-height:1.86}.sas-lesson h1,.sas-lesson h2,.sas-lesson h3{color:#172033;letter-spacing:-.02em;line-height:1.22}.sas-lesson h1{font-size:clamp(34px,5vw,56px);margin:0 0 18px}.sas-lesson h2{font-size:29px;margin:38px 0 13px}.sas-lesson h3{font-size:22px;margin:26px 0 10px}.sas-lesson .lead{font-size:18px;color:#667085;line-height:1.78}.sas-lesson .box,.sas-lesson .lab,.sas-lesson .warn,.sas-lesson .check,.sas-lesson .note{padding:20px 22px;border:1px solid #e4e7ec;border-radius:18px;background:#f8fafc;margin:23px 0}.sas-lesson .warn{background:#fff7ed;border-color:#fed7aa}.sas-lesson .lab{background:#eff6ff;border-color:#bfdbfe}.sas-lesson .check{background:#ecfdf3;border-color:#bbf7d0}.sas-lesson .note{background:#f5f3ff;border-color:#ddd6fe}.sas-lesson code{background:#eef2ff;padding:2px 6px;border-radius:6px;color:#1e3a8a}.sas-lesson pre{background:#0b1220;color:#dbeafe;padding:18px;border-radius:15px;overflow:auto;font-size:14px;line-height:1.72}.sas-lesson ul,.sas-lesson ol{line-height:1.86}.sas-lesson table{width:100%;border-collapse:collapse;margin:18px 0}.sas-lesson th,.sas-lesson td{border:1px solid #e4e7ec;padding:11px;text-align:left;vertical-align:top}.sas-lesson th{background:#f8fafc;color:#172033}.sas-lesson .next{margin-top:30px;padding:18px;border-radius:16px;background:#eff6ff;border:1px solid #bfdbfe}</style><div class="sas-lesson"><h1>Bài 44: Linux security audit cơ bản</h1><p class="lead">Bài này chi tiết hóa Linux Security Audit theo hướng thực hành chuyên sâu: có lệnh kiểm tra, tình huống production, checklist và bài tập.</p><div class="box"><strong>Sau bài này anh sẽ biết:</strong><ul><li>Linux Security Audit nằm ở đâu trong hạ tầng production.</li><li>Các thành phần và lệnh kiểm tra quan trọng.</li><li>Cách debug khi có lỗi thực tế.</li><li>Checklist an toàn trước khi thao tác.</li></ul></div><h2>1. Bối cảnh thực tế</h2><p>Linux Security Audit là nhóm kiến thức chuyên sâu hơn. Mục tiêu không phải học thuộc lệnh, mà là biết kiểm tra đúng lớp, đọc đúng trạng thái và tránh thao tác gây mất dữ liệu hoặc downtime.</p><h2>2. Khái niệm cần nắm</h2><ul><li><strong>Control plane / data plane:</strong> phần điều khiển và phần chạy tải thật.</li><li><strong>Stateful vs stateless:</strong> ứng dụng có dữ liệu bền vững cần xử lý cẩn thận hơn.</li><li><strong>Health:</strong> trạng thái tổng thể phải nhìn từ nhiều nguồn: service, log, metric, endpoint.</li><li><strong>Blast radius:</strong> phạm vi ảnh hưởng nếu thao tác sai.</li></ul><h2>3. Lab thực hành / lệnh kiểm tra</h2><div class="lab"><strong>Mục tiêu:</strong> dùng lệnh để quan sát trạng thái, không sửa production khi chưa hiểu.</div><pre>last
lastb 2>/dev/null || true
who
w
getent passwd
sudo ss -tulpn
systemctl list-unit-files –state=enabled
sudo find / -perm -4000 -type f 2>/dev/null
journalctl -u ssh –since "24 hours ago" || journalctl -u sshd –since "24 hours ago"</pre><h2>4. Tình huống thực tế</h2><div class="note"><p>Server có nhiều login failed và port lạ đang listen. Anh kiểm tra user, service enabled, port mở, SUID file và auth log để phát hiện rủi ro.</p></div><h2>5. Quy trình debug an toàn</h2><ol><li>Xác định triệu chứng: lỗi gì, xảy ra từ khi nào, ảnh hưởng ai.</li><li>Kiểm tra trạng thái tổng quan bằng lệnh read-only trước.</li><li>Đọc event/log liên quan.</li><li>Khoanh vùng: network, storage, compute, config hay application.</li><li>Chỉ thay đổi một thứ tại một thời điểm.</li><li>Kiểm tra lại health sau mỗi thay đổi.</li><li>Ghi lại nguyên nhân và bài học.</li></ol><h2>6. Lỗi thường gặp</h2><ul><li>Thấy cảnh báo là chạy lệnh sửa ngay mà không đọc nguyên nhân.</li><li>Không phân biệt lỗi control plane và lỗi workload.</li><li>Xóa resource/volume/secret khi chưa backup.</li><li>Không kiểm tra quyền truy cập và audit log.</li></ul><div class="warn"><strong>Lưu ý production:</strong> Với Kubernetes, storage, cloud và security, lệnh xóa/sửa sai có thể ảnh hưởng nhiều workload. Ưu tiên lệnh xem trạng thái trước.</div><h2>7. Checklist</h2><div class="check"><ul><li>Đã dùng lệnh read-only để kiểm tra.</li><li>Đã xác định resource/service bị ảnh hưởng.</li><li>Đã đọc log/event trước khi sửa.</li><li>Đã có backup/snapshot nếu liên quan dữ liệu.</li><li>Đã có phương án rollback hoặc escalation.</li></ul></div><h2>8. Bài tập</h2><ol><li>Dựng lab hoặc dùng môi trường test.</li><li>Chạy các lệnh kiểm tra trong bài.</li><li>Ghi lại output bình thường.</li><li>Mô phỏng một lỗi nhỏ nếu an toàn.</li><li>Viết runbook 5 bước cho sự cố tương tự.</li></ol><div class="next"><strong>Bài tiếp theo:</strong> Checklist vận hành production</div></div>
Chốt ý nhanh
| Chủ đề | Điểm cần nhớ |
|---|---|
| Security Audit | Là hoạt động rà soát có cấu trúc để tìm lỗ hổng cấu hình, quyền và bề mặt tấn công. |
| Mục tiêu thực tế | Không phải tìm cho đủ lỗi, mà là biết rủi ro nào đáng xử lý trước theo mức ảnh hưởng. |
| Tư duy đúng | Audit tốt phải tạo ra checklist hành động, không dừng ở báo cáo cho đẹp. |
Phần thực hành mở rộng: security audit Linux như một vòng rà soát có ưu tiên
Bảo mật không thể chỉ dựa vào niềm tin rằng “máy này chắc ổn”. Audit là lúc anh nhìn lại server bằng con mắt nghi ngờ có hệ thống: ai đang truy cập, cổng nào mở, package nào cũ, quyền nào quá rộng và log có gì bất thường.
Lab 1: Kiểm kê người dùng, SSH và quyền sudo
getent passwd | grep -E '/bin/bash|/bin/sh'
sudo getent group sudo || sudo getent group wheel
sudo grep -E '^(PermitRootLogin|PasswordAuthentication)' /etc/ssh/sshd_configĐây là lớp audit nền tảng để phát hiện tài khoản dư thừa hoặc chính sách SSH quá lỏng.
Lab 2: Rà cổng mở và service chạy thực tế
ss -tulpn
systemctl --type=service --state=running
sudo ufw status verbose || sudo firewall-cmd --list-allNếu một service đang lắng nghe nhưng không nằm trong thiết kế mong muốn, đó là tín hiệu cần điều tra ngay.
Lab 3: Kiểm tra package cập nhật và thành phần cũ rủi ro
apt list --upgradable
rpm -qa --last | head
uname -rAudit không phải lúc nào cũng vá ngay, nhưng ít nhất phải biết server đang nợ những gì.
Lab 4: Tìm quyền file và cron bất thường
find /etc/cron* -type f -maxdepth 2 -ls
find / -perm -4000 -type f 2>/dev/null | head -100
ls -l /etc/passwd /etc/shadowNhững điểm nhỏ như file SUID lạ hoặc cron script bị ghi sai quyền đôi khi lại là cửa vào rất thực tế.
Lab 5: Viết ma trận ưu tiên xử lý sau audit
- mức độ ảnh hưởng nếu bị khai thác
- khả năng xảy ra
- độ khó/độ rủi ro khi sửa
Nhờ vậy anh sẽ không sa vào việc xử lý những lỗi nhỏ trước trong khi lỗ hổng lớn vẫn nằm đó.
Tình huống thực tế
Một server có root login qua password, cổng dịch vụ thử nghiệm còn mở và nhiều user cũ chưa xóa. Từng thứ riêng lẻ có thể chưa tạo sự cố ngay, nhưng cộng lại chúng biến một máy “vẫn chạy ổn” thành mục tiêu khá dễ bị khai thác.
Lỗi phổ biến
- Audit xong nhưng không có ticket hay checklist remediations.
- Chỉ tin vào tool scan mà không kiểm tra thực tế.
- Xử lý quá nhiều thay đổi bảo mật cùng lúc trên production.
- Không lưu lại baseline để audit vòng sau.
Kết bài
Sau bài này, anh sẽ có khung audit Linux thực dụng hơn: kiểm kê, đối chiếu, ưu tiên và theo dõi remediation. Bài tiếp theo sẽ khép lại phase này bằng checklist vận hành production — nơi mọi mảnh kỹ thuật trước đó được gom lại thành thói quen làm việc hàng ngày.
