avatar Published on Mar 18, 2024

Permission in Linux

Trong quá trình làm việc, Linux luôn đóng vai trò là môi trường chính để mình phát triển các dự án. Tuy đã làm việc với Linux trong một thời gian khá lâu nhưng nhiều khi mình vẫn thấy bối rối khi không thể chỉnh sửa hay chạy một file nào đó. Lỗi đơn giản chỉ là không có quyền thực hiện các tác vụ đó. Những lúc như thế mình thường thêm sudo vào đằng trước câu lệnh vừa nãy hay cục xúc hơn là sử dụng chmod 777 mà không cần biết tại sao. Dù hơi muộn nhưng vẫn hơn không, ngày hôm nay mình sẽ dành ra một buổi tối để tìm hiểu về vấn đề này.

Classes

Chúng ta đều biết permission là việc phân chia các quyền được phép thực hiện trên một tài nguyên hệ thống tương ứng với từng loại user. Vì vậy trước khi đi vào chủ đề chính, việc đầu tiên chúng ta cần biết là trong Linux tồn tại những lớp đối tượng nào có khả năng tác động đến các tài nguyên hệ thống.

root

Trong các hệ điều hành họ Linux đều tồn tại một người dùng đặc biệt là root. Đây là người dùng có mọi quyền hạn liên quan đến việc quản lý tài nguyên trên hệ thống.

user

Đây là những user bình thường, bao gồm cả user đang đăng nhập trong hệ thống. Bạn có thể kiểm tra user mà mình đang đăng nhập thông qua dòng lệnh:

whoami

Trong hệ thống có thể sẽ có nhiều user khác nhau nên bạn cũng có thể switch sang các user khác bằng lệnh:

su – otheruser

Khi không truyền tên user thì mặc định bạn sẽ được switch sang user root.

group

Khi có nhiều user cùng tồn tại trên hệ thống, việc quan trọng bạn cần làm để có thể quản lý được quyền hạn của chúng là nhóm chúng vào trong các group. Mỗi user trong group sẽ có quyền tương ứng với group đó và một user có thể ở trong nhiều group khác nhau. Bạn có thể tạo mới một group như sau:

sudo groupadd docker

Bạn cũng có thể thêm một user vào trong một group:

sudo usermod -a -G docker lam

owner

Với bất kỳ tài nguyên nào trên hệ thống, khi xét về tính sở hữu đối với tài nguyên, chúng ta có thể liệt kê ra những loại sau:

  • Owner: Là user sở hữu tài nguyên
  • Group: Là group sở hữu tài nguyên
  • Other: Là những user, group còn lại, không sở hữu tài nguyên đó

Vậy làm thế nào để thay đổi chủ sở hữu cho một tài nguyên nào đó? Để dễ hình dung, chúng ta sẽ coi file hello.example là tài nguyên mà chúng ta cần thao tác.

Để đổi người sở hữu, chúng ta sử dụng:

chown [username] hello.example

Tương tự, nếu bạn muốn đổi group sở hữu:

chown :[groupname] hello.example

Trong trường hợp bạn muốn đổi cả owner và group thì sẽ chạy câu lệnh sau:

chown [username]:[groupname] hello.example

Permission

Bây giờ bạn hãy vào thư mục chứa file hello.example, mở terminal lên và gõ lệnh sau:

ls -l

Trên máy của bạn có thể sẽ cho ra một kết quả khác nhưng trên máy của mình thì là:

-rwxrw-r-x  1 lam root       0 Th09 22 21:40 hello.example

Trong đó lam thể hiện user đang sở hữu file hello.example, còn root sẽ tương ứng với group đang sở hữu. Để dễ hiểu chúng ta sẽ phần tách chuỗi -rwxrw-r-- ra như sau:

-       rwx        rw-        r-x
        u(owner)   g(group)   o(other)

Kí tự đầu tiên trong chuỗi biểu thị loại của tài nguyên. Nó cho ta biết đó là một file, một folder hay là một link. Mỗi 3 ký tự tiếp theo sẽ tương ứng với những permission đang được áp dụng cho owner, group và other. Cụ thể ý nghĩa của nó như sau:

alt text

Dựa vào đây chúng ta có thể thay đổi quyền thao tác lên bất cứ một tài nguyên nào chúng ta muốn.

chmod

Đến thời điểm này, kết hợp tất cả những gì đã biết, bạn hoàn toàn có thể thay đổi quyền của từng nhóm người dùng chỉ trong một câu lệnh. Cú pháp chung sẽ là:

chmod [target][condition][permission] [filename]

Trong đó:

  • target - đối tượng thay đổi quyền: u (owner), g (group), o (other), a (all).
  • condition - điều kiện thay đổi: + (thêm vào), - (thu hồi).
  • permission - các quyền được phép: r (read), w (write), x (execute).
  • filename: Đối tượng chịu tác động.

Trở lại với ví dụ bên trên, bây giờ hãy thử thêm quyền execute file hello.example cho group rootother:

chmod go+x hello.example

Tương tự, nếu bạn muốn bỏ quyền execute của owner thì chỉ cần chạy lệnh dưới đây:

chmod u-x hello.example

Cú pháp trên rất thuận tiện và thích hợp khi bạn muốn thêm hoặc thu hồi quyền đối với một đối tượng nào đó. Tuy nhiên, nó có một hạn chế là bạn không thể thêm và thu hồi quyền một cách đồng thời. Rất may mắn là chmod cũng cung cấp cho chúng ta một cách khác để thực hiện điều đó. Mỗi permission sẽ tương ứng với một lũy thừa của 2, tổng các quyền sẽ tương ứng với tổng các giá trị của từng permission. File hello.example đang có trạng thái như sau:

alt text

Khi biểu diễn bằng số, các quyền của nó sẽ là: 765 . Đến đây chắc các bạn cũng đã nhận ra, đôi khi chúng ta chmod 777 là vì điều gì rồi đúng không.

Conclusion

Vừa rồi là một số chia sẻ của mình về phân quyền trong Linux. Về cơ bản, chỉ cần nắm được kiến thức bên trên bạn đã có thể tự tin thao tác với những tài nguyên trên máy. Bạn có thể sẽ chưa thấy nó hữu ích nhưng đến một lúc nào đó, khi phải thao tác nhiều trên server, bạn chắc chắn sẽ cần đến những kiến thức này.

Linux

Read more

AWS CDK

Overview And Key Techniques In CDK

AWS Cloud Development Kit (CDK) là một framework mạnh mẽ cho phép sử dụng ngôn ngữ lập trình thông dụng như TypeScript, Python, Go… để định nghĩa và triển khai hạ tầng trên AWS. CDK giúp chúng ta dễ dàng quản lý resources bằng cách chuyển đổi từ mã nguồn sang mô hình hạ tầng dưới dạng CloudFormation. Để tìm hiểu kỹ hơn về CDK bạn có thể đọc qua bài viết IaC With AWS CDK. Dưới đây là tổng hợp các khía cạnh quan trọng khác mà bạn cần nắm vững để sử dụng CDK một cách hiệu quả. Phases CDK hoạt động theo ba phase chính: synth time, deploy time, và runtime. Mỗi phase có vai trò khác nhau trong việc xây dựng và quản lý hạ tầng trên AWS. Synth Time Ở giai đoạn này, CDK tổng hợp (synthesize) mã nguồn của bạn thành một tập hợp các tệp JSON dưới dạng CloudFormation Template. Không có resource nào được tạo trong giai đoạn này, nó chỉ đơn thuần là việc tạo ra mô tả hạ tầng. Khi bạn chạy lệnh cdk synth, CDK sẽ tạo ra template CloudFormation mô tả toàn bộ hạ tầng của bạn. Deploy Time Đây là giai đoạn triển khai (deploy) thực sự. Các template CloudFormation được gửi lên AWS và triển khai resources theo mô tả trong template. Lệnh cdk deploy sẽ triển khai các thay đổi của bạn lên tài khoản AWS. Trong quá trình này, AWS sẽ tạo, cập nhật hoặc xóa resource. Runtime Đây là giai đoạn khi các resource của bạn đang hoạt động trên AWS sau khi đã được triển khai. Các dịch vụ như Lambda, EC2, S3 sẽ hoạt động theo logic đã định nghĩa và bạn có thể bắt đầu tương tác với chúng. Resources Mỗi resource trong AWS được định nghĩa thông qua Construct. Tập hợp nhiều constructs tạo nên một Stack. Ví dụ về construct: new s3.Bucket(this, 's3-bucket', { versioned: false, autoDeleteObjects: true, removalPolicy: cdk.RemovalPolicy.RETAIN, }); Ví dụ về stack: import * as cdk from 'aws-cdk-lib'; import * as s3 from 'aws-cdk-lib/aws-s3'; import * as iam from 'aws-cdk-lib/aws-iam'; import { Construct } from 'constructs'; interface S3Props extends cdk.StackProps { allowPolicies: Array<iam.Policy>; } export class S3Stack extends cdk.Stack { constructor(scope: Construct, id: string, props: S3Props) { super(scope, id, props); const bucket = new s3.Bucket(this, 's3-bucket', { versioned: false, autoDeleteObjects: true, removalPolicy: cdk.RemovalPolicy.RETAIN, }); props.allowPolicies.forEach((policy) => { bucket.grantReadWrite(policy); }); } } Bất cứ resource nào trong CDK sẽ luôn được xác định dựa vào scope và ID. Trong một scope không được phép xuất hiện 2 resources có cùng ID. Khi thay đổi scope hoặc ID của một resource, CDK sẽ xoá resource cũ và replace nó bằng một resource mới. Vì vậy với những resource như S3, RDS, Elasticache… việc thay đổi trên có thể làm mất dữ liệu. Do đó bạn cần quản lý chúng thông qua removalPolicy một cách cẩn thận. Stack References Trong một project CDK, bạn cần nhóm những resources có liên quan vào trong một stack, điều này giúp bạn quản lý resources tốt hơn. Lý tưởng nhất là khi các stacks hoạt động độc lập, sự thay đổi trong stack này không ảnh hưởng đến các stacks khác. Việc có quá nhiều resources trong một stack sẽ phát sinh vấn đề khi deploy. Nếu có bất kỳ lỗi nào xảy ra trong quá trình này thì toàn bộ stack sẽ bị rollback. Đôi khi điều này sẽ làm tốn khá nhiều thời gian của bạn. Nhưng nếu thiết kế một stack có ít resources hơn thì bạn sẽ cần tạo ra nhiều stacks hơn, các stacks cũng sẽ ràng buộc với nhau phức tạp hơn. Vì vậy việc thiết kế stack là rất quan trọng. Trong trường hợp không tránh khỏi việc ràng buộc giữa các stacks, bạn có thể sử dụng những cách dưới đây để truyền thông tin giữa chúng. Sử dụng Properties Đây là cách đơn giản nhất, bạn chỉ cần truyền properties từ stack này sang stack kia thông qua stack props: const vpcStack = new VpcStack(scope, 'vpc-stack', { env: props.env }); const webStack = new WebStack(scope, 'web-stack', { env: props.env, vpc: vpcStack.vpc, }); new S3Stack(scope, 's3-stack', { env: props.env, allowPolicies: [webStack.policy] }); Trong ví dụ trên web-stack nhận vào vpc được tạo từ vpc-stack. Policy được tạo ra trong web-stack sau đó được truyền vào s3-stack để thực hiện grant bucket cho policy này. cdk.CfnOutput và cdk.Fn.importValue Bạn có thể sử dụng cdk.CfnOutput để export thông tin trong một stack. Các stack khác có thể sử dụng cdk.Fn.importValue để import những thông tin cần thiết. Quay lại ví dụ trên, ở vpc-stack sẽ thực hiện export vpcId : import * as cdk from 'aws-cdk-lib'; import * as ec2 from 'aws-cdk-lib/aws-ec2'; import { Construct } from 'constructs'; export class VpcStack extends cdk.Stack { constructor(scope: Construct, id: string, props: cdk.StackProps) { super(scope, id, props); const vpc = new ec2.Vpc(this, 'main-vpc'); new cdk.CfnOutput(this, 'mainVpcId', { value: vpc.vpcId, exportName: 'mainVpcId', }); } } web-stack sẽ import giá trị này vào để sử dụng: import * as cdk from 'aws-cdk-lib'; import * as ec2 from 'aws-cdk-lib/aws-ec2'; import { Construct } from 'constructs'; export class WebStack extends cdk.Stack { constructor(scope: Construct, id: string, props: cdk.StackProps) { super(scope, id, props); const vpcId = cdk.Fn.importValue('mainVpcId'); const vpc = ec2.Vpc.fromVpcAttributes(this, 'vpc', { availabilityZones: ['ap-northeast-1a', 'ap-northeast-1c'], vpcId: vpcId, }); } } Với cách này, việc chia sẻ thông tin giữa các stack trở nên linh hoạt hơn, bạn không cần phải truyền trực tiếp thông tin từ stack này sang stack kia. Tuy nhiên nó không giải quyết được vấn đề ràng buộc giữa các stack. Nếu không quản lý tốt, bạn có thể gặp phải tình huống hai stacks bị phụ thuộc vào tham số export từ stack còn lại dẫn đến việc lock lẫn nhau. Bạn sẽ không thể thực hiện update hay delete một trong hai stack. Sử dụng SSM Parameter Store SSM Parameter Store được sử dụng để lưu trữ các tham số, như các thông tin cấu hình, secret key. Chúng có thể được truy xuất bằng API hoặc SDK từ các dịch vụ AWS hay các ứng dụng khác. Bạn cũng có thể dùng nó để chia sẻ thông tin giữa các stack nằm trong các dự án cdk khác nhau. Với SSM chúng ta sẽ viết lại vpc-stack như sau: import * as cdk from 'aws-cdk-lib'; import * as ec2 from 'aws-cdk-lib/aws-ec2'; import * as ssm from 'aws-cdk-lib/aws-ssm'; import { Construct } from 'constructs'; export class VpcStack extends cdk.Stack { constructor(scope: Construct, id: string, props: cdk.StackProps) { super(scope, id, props); const vpc = new ec2.Vpc(this, 'main-vpc'); new ssm.StringParameter(this, 'main-vpc-id', { parameterName: '/main-vpc/id', stringValue: vpc.vpcId, }); } } Tương tự, web-stack sẽ lockup parameter main-vpc-id để sử dụng: import * as cdk from 'aws-cdk-lib'; import * as ec2 from 'aws-cdk-lib/aws-ec2'; import * as ssm from 'aws-cdk-lib/aws-ssm'; import { Construct } from 'constructs'; export class WebStack extends cdk.Stack { constructor(scope: Construct, id: string, props: cdk.StackProps) { super(scope, id, props); const vpcId = ssm.StringParameter.valueFromLookup(this, '/main-vpc/id'); const vpc = ec2.Vpc.fromLookup(this, 'vpc', { vpcId }); } } Như vậy web-stack không còn phụ thuộc vào vpc-stack nữa, nó sẽ chỉ phụ thuộc vào parameter store. Cách làm này thích hợp khi có nhiều dự án cùng sử dụng chung một resource ví dụ như RDS, ALB… Lúc này bạn có thể lưu thông tin như ID, ARN của các resources này lên store, dự án khác muốn dùng chỉ cần lookup các thông tin cần thiết để import vào. Conclusion Sử dụng AWS CDK đòi hỏi sự hiểu biết về các phase hoạt động cũng như cách quản lý resource thông qua stack và chia sẻ thông tin giữa các stack với nhau. Bằng cách nắm vững các kỹ thuật này bạn sẽ có thể xây dựng và quản lý hạ tầng trên AWS một cách hiệu quả và tối ưu hơn.
Sep 15, 2024
Vue

SPA With Vue And Rails

Ứng dụng SPA đang ngày càng trở nên phổ biến bởi những ưu điểm mà nó mang lại. Có thể kể đến như tốc độ tải trang nhanh, trải nghiệm mượt mà, tách biệt logic frontend và backend, giúp chuyên môn hoá từng bộ phận trong dự án. Khó khăn khi phát triển ứng dụng SPA nằm ở việc kết nối giữa và đảm bảo tính đồng bộ giữa hai server frontend và backend. Đây là những vấn đề mà bạn không bao giờ gặp ở một ứng dụng SSR. Chưa kể việc tạo ra nhiều server có thể gây lãng phí vì thực tế chỉ có server backend chịu tải chính, server frontend sẽ chỉ lưu các tài nguyên như html, css, js… Có một hướng tiếp cận đơn giản hơn giúp bạn sử dụng SPA cho dự án của mình mà không phải lo lắng đến các vấn đề trên. Bài viết này sẽ giúp bạn thực hiện điều đó với Vue và Rails.
Aug 20, 2024
Back to top Go to bottom