Quản lý người dùng Ubuntu: Hướng dẫn cấp quyền sudo từ A-Z

1 1. Giới thiệu
2 2. Cách thêm người dùng cơ bản
- 2.1 Sự khác biệt giữa lệnh adduser và useradd
  - 2.1.1 Lệnh adduser
  - 2.1.2 Lệnh useradd
- 2.2 Phân biệt cách dùng adduser và useradd
3 3. Cách cấp quyền sudo
4 4. Kiểm tra cài đặt quyền sudo và các lưu ý bảo mật
- 4.1 Cách kiểm tra cài đặt quyền sudo
  - 4.1.1 Kiểm tra bằng lệnh sudo -l
- 4.2 Các lưu ý về bảo mật
5 5. Các câu hỏi thường gặp về thêm và quản lý người dùng
6 6. Tóm tắt

1. Giới thiệu

Lý do quản lý người dùng trên Ubuntu

Khi sử dụng hệ điều hành dựa trên Linux như Ubuntu, bạn có thể cần thêm nhiều người dùng vào hệ thống và gán các quyền khác nhau cho mỗi người.
Ví dụ: khi chia sẻ một máy tính trong gia đình hoặc tại nơi làm việc, việc tách riêng các tài khoản đăng nhập cho từng người dùng cho phép họ quản lý tệp và cài đặt của riêng mình, từ đó bảo vệ quyền riêng tư và ngăn ngừa sự cố.

Ngoài ra, việc hạn chế các tính năng và phạm vi hoạt động mà người dùng có thể truy cập cũng giúp tăng cường bảo mật tổng thể của hệ thống.
Đặc biệt, Linux được nhiều công ty sử dụng làm máy chủ, và bằng cách chỉ cấp quyền quản trị cho những người dùng cần thiết và gán quyền người dùng thông thường cho những người khác, quản trị viên máy chủ có thể giảm thiểu rủi ro lỗi hệ thống do thao tác sai.

Tầm quan trọng và công dụng của quyền sudo

Trong Ubuntu, bạn sử dụng lệnh “sudo” (superuser do) để thực hiện các thao tác yêu cầu quyền quản trị.
Lệnh này tạm thời cấp quyền cần thiết để quản lý hệ thống, và đặc biệt đối với người dùng thông thường, nó không cho phép thực hiện tất cả các thao tác một cách không giới hạn mà có thể được cấu hình để chỉ cho phép các thao tác trong phạm vi quyền quản trị khi cần thiết.

Với quyền sudo, bạn có thể thực hiện các thao tác như sau:

Cài đặt hoặc gỡ bỏ phần mềm mới
Cập nhật hệ thống
Thay đổi cài đặt mạng
Thêm/xóa người dùng hoặc nhóm

Các thao tác này liên quan đến cốt lõi của hệ thống và có nguy cơ vô tình xóa các tệp quan trọng hoặc tạo lỗ hổng bảo mật.
Do đó, nên quản lý quyền sudo một cách cẩn thận và chỉ cấp cho những người dùng cần thiết.

Mục đích của bài viết này

Bài viết này sẽ giải thích một cách dễ hiểu cách thêm người dùng trong Ubuntu và các bước cấp quyền sudo cho người dùng đã thêm.
Chúng tôi cũng sẽ đề cập đến cách quản lý người dùng có quyền sudo và các lưu ý khi cấp quyền, nhằm giúp độc giả vận hành hệ thống một cách an toàn.

2. Cách thêm người dùng cơ bản

Sự khác biệt giữa lệnh adduser và useradd

Để tạo người dùng mới trong Ubuntu, bạn chủ yếu sử dụng hai lệnh: “adduser” và “useradd”.
Cả hai đều có chức năng thêm người dùng, nhưng có một chút khác biệt trong cách sử dụng và mục đích, vì vậy việc hiểu rõ đặc điểm của từng lệnh sẽ giúp bạn sử dụng chúng một cách hiệu quả.

Lệnh adduser

Lệnh “adduser” là phương pháp được khuyến nghị chung khi thêm người dùng mới vào hệ thống Ubuntu.
Adduser là một lệnh cấp cao hơn useradd và tự động tạo thư mục chính cùng các cài đặt ban đầu.
Ngoài ra, nó bao gồm một quy trình nhập thông tin người dùng tương tác, giúp người dùng mới dễ dàng thao tác. Dưới đây là ví dụ sử dụng cơ bản:

sudo adduser tên_người_dùng

Sau khi thực thi lệnh này, bạn sẽ được yêu cầu nhập các thông tin bổ sung sau khi nhập tên người dùng:

Họ và tên đầy đủ
Số điện thoại (cơ quan và nhà riêng)
Các ghi chú khác

Sau khi nhập xong các thông tin trên, thư mục chính sẽ tự động được tạo và cài đặt cơ bản cho người dùng sẽ hoàn tất.

Lệnh useradd

Ngược lại, lệnh “useradd” cung cấp các thao tác cấp thấp hơn và được sử dụng khi tạo người dùng trong khi thiết lập các tùy chọn chi tiết.
Useradd không tự động thực hiện các cài đặt, và việc tạo thư mục chính, v.v., phải được chỉ định bằng tùy chọn, do đó người dùng được tạo mà không có cài đặt cơ bản. Dưới đây là ví dụ sử dụng:

sudo useradd -m tên_người_dùng

Việc thêm tùy chọn “-m” này sẽ tạo thư mục chính. Useradd phù hợp hơn cho các mục đích chuyên biệt so với adduser và tiện lợi khi bạn muốn kiểm soát chặt chẽ cài đặt người dùng hoặc khi sử dụng từ script.

Phân biệt cách dùng adduser và useradd

Trong môi trường Ubuntu thông thường, nên sử dụng lệnh adduser để thêm người dùng một cách dễ dàng, nhưng useradd sẽ hữu ích khi quản trị viên hệ thống hoặc trong các script tự động hóa cần linh hoạt trong việc thiết lập người dùng.
Việc hiểu rõ đặc điểm của từng lệnh và chọn lệnh phù hợp với mục đích sử dụng là chìa khóa để quản lý người dùng Ubuntu hiệu quả.

3. Cách cấp quyền sudo

Thêm vào nhóm sudo

Trong Ubuntu, để cho phép người dùng mới thực hiện các thao tác với quyền quản trị (quyền sudo), thông thường sẽ thêm người dùng đó vào “nhóm sudo”.
Người dùng thuộc nhóm sudo có thể tạm thời mượn quyền quản trị và thực hiện các thao tác đặc quyền như thay đổi cài đặt hệ thống hoặc cài đặt phần mềm.

Lệnh thêm vào nhóm sudo

Sử dụng lệnh usermod
Nhập lệnh sau để thêm người dùng đã chỉ định vào nhóm sudo.

    sudo usermod -aG sudo tên_người_dùng

Sau khi thực thi lệnh này, người dùng cần đăng xuất và đăng nhập lại để quyền sudo có hiệu lực.

Sử dụng lệnh gpasswd
Một phương pháp khác là sử dụng lệnh gpasswd để thêm người dùng vào nhóm.

    sudo gpasswd -a tên_người_dùng sudo

Cách chỉnh sửa tệp sudoers

Một cách khác để cấp quyền sudo là chỉnh sửa trực tiếp tệp sudoers.
Tệp này định nghĩa những người dùng nào có thể chạy lệnh sudo trên hệ thống và phù hợp để thiết lập người dùng có quyền đặc biệt.

Lý do sử dụng lệnh visudo
Khi chỉnh sửa tệp sudoers, nên sử dụng lệnh visudo. Mở tệp sudoers bằng lệnh sau:

    sudo visudo

Ví dụ chỉnh sửa tệp sudoers
Trong tệp sudoers, để cấp quyền sudo cho một người dùng cụ thể, hãy thêm cài đặt như sau:

    tên_người_dùng ALL=(ALL:ALL) ALL

Thiết lập chỉ cho phép các lệnh cụ thể
Sử dụng tệp sudoers, bạn cũng có thể đặt quyền hạn chế chỉ cho phép thực thi các lệnh cụ thể.

    testuser ALL=(ALL) /usr/bin/apt

Kiểm tra sau khi cấp quyền sudo

Sau khi cấp quyền sudo, để xác nhận rằng quyền đã được đặt đúng cách, hãy thực thi lệnh sau:

sudo -l

4. Kiểm tra cài đặt quyền sudo và các lưu ý bảo mật

Cách kiểm tra cài đặt quyền sudo

Sau khi cấp quyền sudo cho người dùng, việc kiểm tra xem quyền đó có được áp dụng đúng cách hay không là rất quan trọng.
Việc có quyền sudo cho phép thực hiện các thao tác ảnh hưởng đến toàn bộ hệ thống, vì vậy cần kiểm tra cẩn thận để tránh lỗi cài đặt.

Kiểm tra bằng lệnh sudo -l

Để kiểm tra xem quyền sudo đã được đặt đúng cách hay chưa, hãy sử dụng lệnh sau:

sudo -l

Khi thực thi lệnh này, một danh sách các lệnh sudo mà người dùng có thể chạy sẽ được hiển thị.
Ví dụ, nếu “ALL” được hiển thị, điều đó có nghĩa là người dùng đó được cấu hình để chạy tất cả các lệnh sudo.

Các lưu ý về bảo mật

Khi cấp quyền sudo cho người dùng trong Ubuntu, cần lưu ý một số điểm bảo mật để đảm bảo an toàn hệ thống.

Cấp quyền tối thiểu cần thiết

Quyền sudo có thể gây ảnh hưởng lớn đến toàn bộ hệ thống, vì vậy điều quan trọng là chỉ cấp quyền cho số lượng người dùng tối thiểu cần thiết.

Quản lý và sao lưu tệp sudoers

Mặc dù sử dụng lệnh sudo visudo có thể ngăn ngừa lỗi cú pháp, nhưng việc sao lưu tệp sudoers trước khi chỉnh sửa cài đặt sẽ an toàn hơn.

Kiểm tra lịch sử sử dụng lệnh sudo

Kiểm tra lịch sử sử dụng lệnh sudo cũng rất hiệu quả. Bạn có thể hiển thị lịch sử thao tác sudo bằng lệnh sau:

sudo cat /var/log/auth.log | grep sudo

Xem xét lại quyền định kỳ

Khi số lượng người dùng có quyền sudo tăng lên, rủi ro bảo mật cũng tăng theo. Điều quan trọng là phải xem xét lại quyền sudo định kỳ, xóa các quyền không cần thiết khỏi người dùng và chọn cẩn thận những người dùng mới để cấp quyền.

5. Các câu hỏi thường gặp về thêm và quản lý người dùng

Khi quyền không được áp dụng sau khi thêm vào nhóm sudo

Ngay cả khi bạn đã thêm người dùng vào nhóm sudo, quyền có thể không được áp dụng ngay lập tức.
Trong trường hợp này, trước tiên hãy đảm bảo rằng người dùng đã đăng xuất và đăng nhập lại để việc thêm vào nhóm sudo có hiệu lực.

Ngoài ra, nếu các thay đổi không được áp dụng thành công, nên kiểm tra xem quyền có được cấp đúng cách hay không bằng lệnh id.

id tên_người_dùng

Cách thu hồi quyền sudo

Nếu bạn muốn thu hồi quyền sudo khỏi một người dùng cụ thể, bạn có thể xóa người dùng đó khỏi nhóm sudo để thu hồi quyền.

sudo gpasswd -d tên_người_dùng sudo

Cách thêm người dùng vào nhiều nhóm

Việc thêm người dùng vào nhiều nhóm cho phép họ thực hiện các thao tác với các quyền khác nhau.

sudo usermod -aG tên_nhóm1,tên_nhóm2 tên_người_dùng

Để chỉ cho phép các lệnh cụ thể chạy với quyền sudo

Cũng có cách để chỉ cho phép các thao tác cụ thể chạy với quyền sudo mà không cần cấp quyền sudo cho tất cả các lệnh.

tên_người_dùng ALL=(ALL) /usr/bin/apt

6. Tóm tắt

Chúng tôi đã giải thích cách thêm người dùng và quản lý quyền trong Ubuntu.
Thêm người dùng và cấp quyền sudo một cách thích hợp là một kỹ năng quan trọng trong quản lý hệ thống.
Đặc biệt, việc nắm vững các điểm sau sẽ giúp tăng cường bảo mật hệ thống và quản lý diễn ra suôn sẻ:

Sự khác biệt giữa các lệnh thêm người dùng
Bằng cách sử dụng luân phiên các lệnh adduser và useradd, bạn có thể thực hiện cài đặt cơ bản cho người dùng một cách hiệu quả. Adduser phù hợp cho các thao tác thông thường, trong khi useradd tiện lợi khi cần các cài đặt đặc biệt.
Cấp và kiểm tra quyền sudo
Thêm người dùng vào nhóm sudo cho phép họ thực hiện các thao tác với quyền quản trị khi cần. Ngoài ra, việc chỉnh sửa tệp sudoers cho phép cấp quyền giới hạn cho các lệnh cụ thể.
Đảm bảo bảo mật
Chỉ cấp quyền sudo cho số lượng người dùng tối thiểu và xem xét lại quyền khi cần thiết để duy trì an toàn hệ thống.

Việc nắm vững các thao tác cơ bản này sẽ giúp quản lý hệ thống Ubuntu an toàn và hiệu quả hơn.
Hãy tận dụng kiến thức về quản lý người dùng và cài đặt quyền để hướng tới một hệ thống vận hành ổn định.