Blog

  • Tại sao Permissions lại quan trọng đến vậy?

    Tại sao Permissions lại quan trọng đến vậy?

    Tại sao Permissions lại quan trọng đến vậy?

    Hầu hết các vụ leo thang đặc quyền (privilege escalation) trên Linux đều bắt nguồn từ một nguyên nhân đơn giản: permission được cấu hình sai. Một file có SUID bit bật nhầm, một thư mục /tmp không có Sticky bit, một user được cấp sudo quá rộng — đó là những cái bẫy mà cả sysadmin lẫn developer thường vô tình giăng ra cho chính mình.

    Bài này sẽ đi từ gốc rễ: mô hình phân quyền của Linux, cách quản lý user/group, rồi đến các “vũ khí” nâng cao như SUID/SGID/Sticky bit — những thứ mà bất kỳ ai học DevSecOps đều phải nắm chắc.

    Mô hình phân quyền Linux: rwx

    Linux dùng mô hình phân quyền dựa trên 3 đối tượng và 3 loại quyền:

    3 đối tượng (who)

    • Owner (u) — người sở hữu file
    • Group (g) — nhóm được gán cho file
    • Others (o) — tất cả người dùng còn lại

    3 loại quyền (what)

    • r (read) — đọc file / liệt kê nội dung thư mục
    • w (write) — ghi/sửa file / tạo-xóa file trong thư mục
    • x (execute) — chạy file / truy cập vào thư mục

    Khi chạy ls -l, bạn sẽ thấy output dạng:

    -rwxr-xr--  1 alice  devops  4096 May 27 20:00 deploy.sh
    

    Đọc từng phần:

    Ký tự Ý nghĩa
    - Loại: file thường (d=thư mục, l=symlink)
    rwx Owner (alice): đọc, ghi, chạy
    r-x Group (devops): đọc, chạy — không ghi
    r-- Others: chỉ đọc

    chmod — Thay đổi quyền

    Có 2 cú pháp: symbolic và octal. Dân thực chiến dùng cả hai tùy ngữ cảnh.

    Symbolic mode

    # Thêm quyền execute cho owner
    chmod u+x script.sh
    
    # Bỏ quyền write của others
    chmod o-w config.yaml
    
    # Gán chính xác quyền cho group
    chmod g=rx deploy.sh
    
    # Áp dụng cho tất cả (a = all: u+g+o)
    chmod a+r README.md
    

    Octal mode

    Mỗi quyền là một bit: r=4, w=2, x=1. Cộng lại cho từng nhóm:

    Octal Binary Permissions
    7 111 rwx
    6 110 rw-
    5 101 r-x
    4 100 r–
    0 000
    # 755: owner=rwx, group=r-x, others=r-x (chuẩn cho script)
    chmod 755 deploy.sh
    
    # 600: chỉ owner đọc/ghi (chuẩn cho private key SSH)
    chmod 600 ~/.ssh/id_rsa
    
    # 644: owner đọc/ghi, others chỉ đọc (chuẩn cho config file)
    chmod 644 /etc/nginx/nginx.conf
    
    # Recursive: áp dụng cho cả thư mục
    chmod -R 750 /var/app/
    

    SecOps note: Dùng find để phát hiện file có quyền quá rộng:

    # Tìm file world-writable (anyone can write — nguy hiểm!)
    find / -type f -perm -o+w 2>/dev/null
    
    # Tìm thư mục world-writable
    find / -type d -perm -o+w 2>/dev/null
    

    chown & chgrp — Thay đổi sở hữu

    # Đổi owner
    chown alice file.txt
    
    # Đổi cả owner lẫn group
    chown alice:devops file.txt
    
    # Chỉ đổi group
    chgrp devops file.txt
    
    # Recursive
    chown -R www-data:www-data /var/www/html/
    

    Nguyên tắc vàng: mỗi service chạy với user riêng, chỉ có quyền đọc/ghi đúng thư mục nó cần. Nginx chạy với user www-data, không cần và không nên có quyền ra ngoài /var/www/.

    Users & Groups: Quản lý danh tính trên Linux

    Các file quan trọng

    # Thông tin user (không có password hash)
    cat /etc/passwd
    # Format: username:x:UID:GID:comment:home:shell
    # root:x:0:0:root:/root:/bin/bash
    # www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
    
    # Password hash (chỉ root đọc được)
    cat /etc/shadow
    # alice:$6$rounds=4096$salt$hash...:19500:0:99999:7:::
    
    # Danh sách group
    cat /etc/group
    # Format: groupname:x:GID:members
    # devops:x:1001:alice,bob
    

    SecOps note: File /etc/shadow phải có permission 640 hoặc 000, chỉ root hoặc group shadow được đọc. Nếu file này readable bởi others — đó là một lỗ hổng nghiêm trọng.

    Quản lý user

    # Tạo user mới với home directory
    useradd -m -s /bin/bash alice
    
    # Tạo service account (không cần login)
    useradd -r -s /usr/sbin/nologin -d /var/lib/myapp myapp
    
    # Đặt password
    passwd alice
    
    # Sửa thông tin user
    usermod -aG devops alice   # Thêm alice vào group devops
    usermod -L alice           # Lock account
    usermod -U alice           # Unlock account
    
    # Xóa user (và home directory)
    userdel -r alice
    

    Quản lý group

    # Tạo group
    groupadd devops
    
    # Xem user thuộc group nào
    groups alice
    id alice
    
    # Xem thành viên của group
    getent group devops
    

    UID/GID đặc biệt

    Range Loại
    0 root — toàn quyền hệ thống
    1–999 System accounts (daemon, service users)
    1000+ Regular users

    sudo: Ủy quyền có kiểm soát

    sudo cho phép user thường chạy lệnh với quyền root (hoặc user khác) mà không cần biết password của root. Toàn bộ cấu hình nằm trong /etc/sudoerschỉ sửa bằng visudo, không bao giờ dùng text editor thường vì một lỗi cú pháp có thể khóa hệ thống.

    # Mở sudoers an toàn
    visudo
    

    Cú pháp sudoers

    # Cho alice toàn quyền sudo (giống root)
    alice ALL=(ALL:ALL) ALL
    
    # Cho alice chạy một số lệnh cụ thể không cần password
    alice ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart nginx, /usr/bin/journalctl
    
    # Cho group devops sudo
    %devops ALL=(ALL) ALL
    
    # Xấu: cho phép chạy bất kỳ lệnh nào bằng NOPASSWD
    alice ALL=(ALL) NOPASSWD: ALL  # <-- đừng làm vậy!
    

    Thực hành tốt với sudo:

    • Chỉ cấp quyền sudo cho đúng lệnh cần thiết (least privilege)
    • Tránh NOPASSWD: ALL — nếu session bị chiếm, kẻ tấn công có ngay toàn quyền
    • Log sudo được ghi vào /var/log/auth.log (Ubuntu) hoặc /var/log/secure (RHEL) — đây là nguồn audit quan trọng
    # Xem lịch sử sudo
    grep sudo /var/log/auth.log | tail -20
    

    su vs sudo

    su sudo
    Xác thực Password của target user Password của chính bạn
    Audit trail Yếu — chỉ biết ai switch Mạnh — ghi từng lệnh
    Granularity Toàn bộ session Từng lệnh cụ thể
    Khuyến nghị Hạn chế dùng Ưu tiên dùng

    SUID, SGID và Sticky Bit: Những bit đặc biệt

    Ngoài rwx, Linux còn có 3 bit đặc biệt — đây cũng là nơi nhiều lỗ hổng bảo mật ẩn nấp nhất.

    SUID (Set User ID) — bit s trên owner

    Khi SUID được bật trên một executable, file đó chạy với quyền của owner, không phải người đang chạy nó.

    # Ví dụ điển hình: /usr/bin/passwd
    ls -l /usr/bin/passwd
    # -rwsr-xr-x 1 root root 68208 /usr/bin/passwd
    #     ^-- chữ 's' thay cho 'x' của owner = SUID
    

    Lý do passwd cần SUID: nó phải ghi vào /etc/shadow (chỉ root mới ghi được), nhưng bất kỳ user nào cũng cần chạy được lệnh đổi password của họ.

    # Bật SUID
    chmod u+s /path/to/program
    # hoặc octal: 4755
    
    # Tìm tất cả file SUID trên hệ thống (SecOps audit!)
    find / -perm -4000 -type f 2>/dev/null
    

    ⚠️ SecOps alert: Bất kỳ binary nào có SUID + owned by root đều là mục tiêu của kẻ tấn công. Nếu binary đó có lỗ hổng (ví dụ: buffer overflow), khai thác nó = leo thang lên root. Đây là kỹ thuật SUID exploitation cơ bản trong CTF lẫn pentest thực tế.

    SGID (Set Group ID) — bit s trên group

    Trên file executable: chạy với quyền của group sở hữu file.
    Trên thư mục: file tạo trong thư mục sẽ kế thừa group của thư mục — rất hữu ích cho shared directories.

    # Bật SGID trên thư mục dùng chung
    chmod g+s /var/shared/team/
    # hoặc octal: 2755
    
    ls -ld /var/shared/team/
    # drwxr-sr-x 2 root devops 4096 /var/shared/team/
    #        ^-- 's' ở vị trí group execute = SGID
    
    # Tìm file SGID
    find / -perm -2000 -type f 2>/dev/null
    

    Sticky Bit — bit t trên others

    Khi Sticky bit được bật trên thư mục: chỉ owner của file mới có thể xóa file đó, dù thư mục có permission write cho all.

    ls -ld /tmp
    # drwxrwxrwt 10 root root 4096 /tmp
    #          ^-- chữ 't' = Sticky bit
    
    # Bật Sticky bit
    chmod +t /var/shared/uploads/
    # hoặc octal: 1777
    

    Nếu /tmp không có Sticky bit — bất kỳ user nào cũng có thể xóa file của user khác trong /tmp. Đó là lý do Sticky bit là mặc định bắt buộc trên thư mục /tmp của mọi distro Linux.

    Tóm tắt 3 bit đặc biệt

    Bit Octal Trên file Trên thư mục
    SUID 4000 Chạy với UID của owner Không có tác dụng (trên Linux)
    SGID 2000 Chạy với GID của group File mới kế thừa group
    Sticky 1000 Không có tác dụng Chỉ owner mới xóa được file của mình

    umask — Quyền mặc định khi tạo file

    umask xác định quyền bị trừ đi khi tạo file/thư mục mới. Mặc định thường là 022:

    umask
    # 0022
    
    # File mới: 666 - 022 = 644 (rw-r--r--)
    # Thư mục mới: 777 - 022 = 755 (rwxr-xr-x)
    
    # Đổi umask cho session hiện tại
    umask 027
    # File mới: 666 - 027 = 640 (chặt hơn: group chỉ đọc, others không gì)
    

    Để đặt umask cố định, thêm vào /etc/profile hoặc /etc/bash.bashrc. Nhiều tổ chức yêu cầu umask 027 hoặc 077 cho môi trường production.

    Checklist audit nhanh — Permission hardening

    # 1. File SUID/SGID (review từng cái)
    find / -perm /6000 -type f 2>/dev/null | sort
    
    # 2. File world-writable (ai cũng ghi được)
    find / -perm -o+w -not -path "/proc/*" -type f 2>/dev/null
    
    # 3. /etc/shadow permission
    stat /etc/shadow | grep Access
    
    # 4. Thư mục home có sticky bit chưa
    ls -ld /home/*
    
    # 5. User có shell login nhưng không cần thiết
    grep -v nologin /etc/passwd | grep -v "false"
    
    # 6. Ai đang có quyền sudo?
    grep -E '^[^#]' /etc/sudoers /etc/sudoers.d/* 2>/dev/null
    getent group sudo wheel
    

    Tổng kết

    Phân quyền Linux xây dựng trên nền tảng đơn giản — ba đối tượng, ba quyền — nhưng sức mạnh thực sự nằm ở cách kết hợp chúng: cấp đúng quyền, cho đúng người, trong đúng ngữ cảnh. Nguyên tắc least privilege không phải khái niệm trừu tượng mà là việc bạn làm mỗi ngày: chmod 600 cho private key, tạo service account với nologin, viết sudoers chỉ cấp lệnh cần thiết.

    SUID/SGID/Sticky bit là lớp nâng cao cần hiểu đúng — dùng sai một bit là để lộ một cửa hậu không ai ngờ tới. Audit định kỳ bằng find -perm là thói quen bắt buộc của bất kỳ SecOps engineer nào.

    Bài tiếp theo, chúng ta sẽ lên tầng trên: Processes & System Monitoring — học cách quan sát những gì đang chạy trên hệ thống, phân biệt process bình thường với process đáng ngờ, và dùng ps, top, lsof, strace như một incident responder thực thụ.

  • Vàng và Bạc: Lịch sử đã định hình hai loại tài sản khác nhau như thế nào?

    Vàng và Bạc: Lịch sử đã định hình hai loại tài sản khác nhau như thế nào?

    (Góc nhìn lịch sử)

    1. Khi vàng và bạc đều là tiền

    Rất lâu trước khi thế giới có:

    • Ngân hàng trung ương,
    • Tiền pháp định,
    • Hay thậm chí tiền giấy,

    Vàng và bạc đã được dùng làm tiền.

    Từ:

    • La Mã cổ đại,
    • Trung Hoa,
    • Các vương triều Hồi giáo,
    • Cho tới châu Âu trung cổ,

    Cả hai đều lưu hành như công cụ tiền tệ.

    Tuy nhiên, ngay từ thời kỳ sơ khai đó, vai trò của chúng chưa bao giờ giống nhau:

    • Vàng
      • Giá trị lớn trên một đơn vị nhỏ
      • Khó khai thác
      • Phù hợp để tích trữ của cải và thanh toán các giao dịch lớn
    • Bạc
      • Giá trị đơn vị thấp hơn
      • Dễ lưu thông
      • Được sử dụng trong giao dịch hằng ngày

    Nói đơn giản:

    • Vàng là tiền của quyền lực và chủ quyền
    • Bạc là tiền của thương mại và đời sống thường nhật

    Sự khác biệt này đã gieo hạt giống cho những hành vi rất khác nhau của chúng cho đến ngày nay.

    2. Cuộc chia tay lớn: từ tiền kim loại sang tiền pháp định

    Trong thế kỷ 19, phần lớn thế giới vận hành dưới:

    • Gold standard
    • Hoặc bimetallic standard (vàng – bạc)

    Hệ thống đó dần sụp đổ qua:

    • Chiến tranh Thế giới thứ nhất
    • Đại suy thoái
    • Và cuối cùng là sự kết thúc của Bretton Woods năm 1971

    Tại thời điểm đó, tiền tệ toàn cầu tách hoàn toàn khỏi kim loại quý.

    Và đây là lúc con đường của vàng và bạc phân kỳ rõ rệt.

    3. Vàng sống sót với tư cách kim loại tiền tệ

    Sau năm 1971:

    • Không còn đồng tiền nào còn được bảo chứng bởi vàng
    • Nhưng vàng không hề biến mất

    Ngược lại, vàng tiến hóa.

    Ngân hàng trung ương tiếp tục nắm giữ.

    Nhà đầu tư vẫn tin tưởng.

    Vàng trở thành:

    • Thước đo niềm tin vào tiền pháp định
    • Hàng rào chống lạm phát và nợ công
    • Tài sản trú ẩn trong các cú sốc hệ thống

    Vàng đã biến đổi thành:

    Một kim loại tiền tệ không phải là tiền

    Vàng không còn dùng để mua hàng hóa, nhưng nó đo lường độ tin cậy của hệ thống tiền tệ.

    4. Bạc rẽ sang hướng khác: công nghiệp hóa

    Bạc thì kém may mắn hơn.

    Khi rời khỏi hệ thống tiền tệ:

    • Ngân hàng trung ương ngừng tích trữ bạc
    • Vai trò tiền tệ chính thức dần biến mất

    Song song đó là làn sóng công nghiệp hóa:

    • Điện
    • Điện tử
    • Y tế
    • Năng lượng

    Nhờ đặc tính vật lý vượt trội — đặc biệt là khả năng dẫn điện — bạc trở nên không thể thiếu.

    Dần dần, bạc trở thành:

    Kim loại công nghiệp mang ADN tiền tệ còn sót lại

    Bản chất “lai” này định hình toàn bộ hành vi của bạc ngày nay.

    5. Vàng ngày nay: kim loại tiền tệ thuần túy

    Trong hệ thống hiện đại:

    • Vàng không phụ thuộc vào tăng trưởng kinh tế
    • Giá vàng phản ánh:
      • Lãi suất thực
      • Mở rộng tiền tệ
      • Tính bền vững của nợ
      • Mức độ tin cậy vào thể chế

    Vì vậy, vàng:

    • Di chuyển chậm
    • Tương đối ổn định
    • Giữ giá tốt trong suy thoái và khủng hoảng

    Vàng hoạt động tốt nhất trong môi trường risk-off, nơi nỗi sợ chi phối.

    6. Bạc ngày nay: lai giữa công nghiệp và tiền tệ

    Bạc tồn tại giữa hai lực kéo.

    Khoảng 50–60% nhu cầu bạc đến từ công nghiệp:

    • Pin mặt trời
    • Xe điện
    • Thiết bị điện tử
    • Ứng dụng y tế

    Phần còn lại đến từ:

    • Đầu tư
    • Trang sức
    • Bạc thỏi, bạc xu

    Vì vậy, bạc phản ứng với:

    • Chu kỳ tiền tệ 
    • Chu kỳ kinh doanh

    Khi hai chu kỳ này đồng pha thì bạc tăng mạnh.

    Khi chúng lệch pha thì bạc biến động dữ dội.

    7. Vì sao bạc biến động mạnh hơn vàng?

    Lịch sử giải thích điều này rất rõ ràng:

    Thị trường nhỏ hơn

    Quy mô thị trường bạc nhỏ hơn nhiều so với vàng.

    Cùng một dòng vốn khiến biến động giá lớn hơn.

    Nhu cầu mang tính chu kỳ

    Suy thoái làm cầu công nghiệp giảm.

    Phục hồi kinh tế khiến cầu bật lại nhanh.

    Đầu cơ cao

    Bạc thu hút nhiều đòn bẩy và nhà đầu cơ nhỏ lẻ hơn, khuếch đại biên độ dao động.

    Yếu tố tâm lý

    Bạc thường được xem là “vàng của người thu nhập thấp”.

    Khi vàng quá đắt, dòng tiền xoay sang bạc rất nhanh và mạnh.

    Bạc luôn phản ứng thái quá, theo cả hai chiều.

    8. Khi nào bạc vượt trội vàng?

    Bạc không vượt trội vàng một cách ổn định.

    Nó chỉ làm được điều đó trong những điều kiện vĩ mô nhất định.

    Lịch sử cho thấy bạc vượt trội khi:

    • Vàng đã xác nhận xu hướng tăng
    • Chính sách tiền tệ nới lỏng
    • Kỳ vọng tăng trưởng phục hồi

    Ví dụ điển hình:

    • Cuối thập niên 1970
    • 2009–2011
    • 2020–2021

    Ngược lại, trong:

    • Khủng hoảng thanh khoản
    • Nỗi lo giảm phát
    • Suy thoái mạnh

    Vàng luôn vượt trội hơn bạc.

    9. Tỷ lệ Vàng/Bạc – di sản của thời song kim loại

    Tỷ lệ Vàng/Bạc có từ thời lưỡng kim.

    • Trung bình dài hạn: ~60
    • Giai đoạn khủng hoảng: 90–100+
    • Chu kỳ lạm phát: dưới 50

    Cách diễn giải:

    • Tỷ lệ cao → sợ hãi, căng thẳng tiền tệ, kỳ vọng tăng trưởng yếu
    • Tỷ lệ giảm → lạm phát, tâm lý chu kỳ, bạc dẫn dắt

    Đây không phải công cụ trading ngắn hạn.

    Nó là chỉ báo chế độ vĩ mô.

    10. Lịch sử chưa bao giờ rời khỏi căn phòng

    Vàng và bạc hành xử khác nhau ngày nay vì chúng luôn phục vụ những mục đích khác nhau trong lịch sử.

    Sự khác biệt đó được hình thành bởi:

    • Hàng ngàn năm tiến hóa tiền tệ
    • Và cú chia tay quyết định khi thế giới chuyển sang tiền pháp định

    Vàng

    • Mỏ neo tiền tệ
    • Tài sản phòng thủ

    Bạc

    • Bộ khuếch đại theo chu kỳ
    • Lợi nhuận lớn nhưng rủi ro lớn

    Lịch sử không chỉ giải thích vàng và bạc di chuyển như thế nào — mà còn cho biết khi nào mỗi kim loại trở nên quan trọng nhất.


    Markets change every day.

    But the principles behind them change much more slowly.

    Understanding those principles is what really matters.


    If you found this useful, feel free to share or subscribe.

    Nếu bạn thấy bài viết hữu ích, hãy chia sẻ hoặc đăng ký theo dõi để nhận bài mới.


    Read more

  • FHS — Tiêu chuẩn cấu trúc thư mục

    FHS — Tiêu chuẩn cấu trúc thư mục

    Mở terminal lần đầu, nhiều người gõ cd / rồi ls — và thấy một rừng thư mục lạ: bin, etc, proc, sys, var… Không giống Windows chút nào. Không có ổ C hay ổ D. Tất cả nằm chung trong một cây thư mục duy nhất bắt đầu từ /.

    Đây không phải ngẫu nhiên. Mỗi thư mục trong Linux tồn tại vì một lý do cụ thể, được chuẩn hóa bởi Filesystem Hierarchy Standard (FHS). Hiểu được bản đồ này, bạn sẽ biết ngay file config nằm ở đâu, log được lưu chỗ nào, và tại sao /proc lại là công cụ troubleshooting mạnh nhất trên Linux.

    FHS — Tiêu chuẩn cấu trúc thư mục

    FHS là thỏa thuận chung giữa các distro Linux: dù bạn dùng Ubuntu, Debian, Rocky hay Arch, cấu trúc thư mục đều tuân theo cùng một quy ước. Điều này có nghĩa là kỹ năng navigate trên Ubuntu hoạt động ngay trên server Rocky Linux của production.

    Toàn bộ filesystem bắt đầu từ root directory, ký hiệu là / (dấu gạch chéo). Không nhầm với /root — đó là home directory của user root. / là gốc của toàn bộ cây thư mục.

    Bản đồ các thư mục quan trọng

    /etc — Trái tim cấu hình hệ thống

    /etc chứa toàn bộ file cấu hình của hệ thống và các ứng dụng. Tên viết tắt từ “Editable Text Configuration” (theo quy ước hiện đại). Đây là thư mục bạn sẽ vào nhiều nhất khi quản trị server.

    /etc/
    ├── passwd          # Danh sách user (không chứa password thật)
    ├── shadow          # Password hash (chỉ root đọc được)
    ├── group           # Danh sách group
    ├── sudoers         # Ai được quyền sudo gì
    ├── hostname        # Tên máy
    ├── hosts           # DNS tĩnh (map domain → IP)
    ├── resolv.conf     # DNS server
    ├── fstab           # Cấu hình mount point tự động khi boot
    ├── crontab         # Scheduled tasks hệ thống
    ├── ssh/
    │   └── sshd_config # Cấu hình SSH server
    ├── nginx/          # Cấu hình Nginx
    └── systemd/        # Unit files của systemd

    Quy tắc vàng: Trước khi sửa bất kỳ file nào trong /etc, backup trước:

    $ sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak

    /var — Dữ liệu thay đổi liên tục

    /var (variable) chứa dữ liệu thay đổi thường xuyên trong quá trình hệ thống chạy: log, cache, database, mail queue, lock file.

    /var/
    ├── log/            # Log hệ thống và ứng dụng
    │   ├── syslog      # Log chính (Ubuntu/Debian)
    │   ├── messages    # Log chính (RHEL/Rocky)
    │   ├── auth.log    # Đăng nhập, sudo, SSH
    │   ├── kern.log    # Kernel messages
    │   └── nginx/      # Access/error log của Nginx
    ├── www/            # Web root (thường đặt website ở đây)
    ├── lib/            # State data của ứng dụng
    ├── cache/          # Cache của các package manager
    ├── spool/          # Print queue, mail queue
    └── run/            # PID files, socket files

    Trong DevSecOps, /var/log là nơi đầu tiên bạn kiểm tra khi có sự cố. Bài 8 của series này sẽ đi sâu vào log management.

    /proc — Cửa sổ vào kernel đang chạy

    /proc là một virtual filesystem — không tồn tại trên ổ đĩa. Kernel tạo ra nó trong RAM và cập nhật real-time. Mỗi process đang chạy có một thư mục con trong /proc với tên là PID của nó.

    # Xem thông tin CPU
    $ cat /proc/cpuinfo
    
    # Xem RAM
    $ cat /proc/meminfo
    
    # Xem uptime hệ thống
    $ cat /proc/uptime
    
    # Xem tất cả process đang chạy
    $ ls /proc | grep -E '^[0-9]+$'
    
    # Xem chi tiết process PID 1234
    $ ls /proc/1234/
    $ cat /proc/1234/cmdline   # Lệnh đã chạy process này
    $ cat /proc/1234/status    # Trạng thái: CPU, RAM, state
    $ ls -la /proc/1234/fd/    # File descriptors đang mở

    Ứng dụng thực tế: Khi điều tra incident, /proc/[pid]/ cho bạn biết một process đang làm gì, mở file nào, kết nối tới đâu — mà không cần cài thêm tool nào.

    /sys — Giao tiếp với hardware và kernel

    /sys (sysfs) cũng là virtual filesystem, nhưng thay vì thông tin process, nó expose cấu hình kernel và hardware. Bạn có thể đọc và ghi vào đây để thay đổi hành vi kernel mà không cần reboot.

    # Xem danh sách network interface
    $ ls /sys/class/net/
    
    # Xem tốc độ link của eth0
    $ cat /sys/class/net/eth0/speed
    
    # Bật/tắt IPv6 (không cần reboot)
    $ echo 1 | sudo tee /sys/net/ipv6/conf/all/disable_ipv6
    
    # Xem thông tin battery (laptop)
    $ cat /sys/class/power_supply/BAT0/capacity

    Trong bài Hardening (Bài 9), bạn sẽ dùng /etc/sysctl.conf để thay đổi kernel parameters một cách persistent thông qua /proc/sys.

    /tmp — Bãi rác tạm thời

    /tmp chứa file tạm thời, bị xóa khi reboot (hoặc theo policy của distro). Bất kỳ user nào cũng có thể ghi vào đây.

    # Tạo file tạm để test
    $ echo "test" > /tmp/mytest.txt
    
    # Xem policy xóa tự động
    $ cat /usr/lib/tmpfiles.d/tmp.conf

    ⚠️ Lưu ý bảo mật: /tmp là target phổ biến của malware và khai thác privilege escalation. Trong hardening, người ta thường mount /tmp với flag noexec để ngăn chạy binary từ đây.

    Các thư mục quan trọng khác

    /bin   → Binaries cơ bản (ls, cp, mv...) — link tới /usr/bin trên distro mới
    /sbin  → System binaries (fdisk, ifconfig...) — chỉ root dùng
    /usr   → User programs: /usr/bin, /usr/lib, /usr/share
    /home  → Home directory của các user (/home/richard, /home/deploy)
    /root  → Home directory của root user
    /boot  → Kernel và bootloader (GRUB)
    /dev   → Device files (ổ đĩa, terminal, random...)
    /opt   → Software cài thêm từ bên ngoài (không qua package manager)
    /mnt   → Mount point tạm thời
    /media → Mount point cho USB, CD-ROM
    /lib   → Shared libraries (.so files)

    Đường dẫn tuyệt đối vs tương đối

    Đây là khái niệm quan trọng nhất khi làm việc với filesystem:

    Đường dẫn tuyệt đối bắt đầu từ / — luôn chính xác dù bạn đang đứng ở đâu:

    $ cat /etc/nginx/nginx.conf      # Luôn tìm đúng file này
    $ cd /var/log                    # Luôn vào đúng thư mục này

    Đường dẫn tương đối tính từ thư mục hiện tại — ngắn hơn nhưng phụ thuộc vào vị trí bạn đang đứng:

    # Đang đứng ở /var
    $ cat log/nginx/access.log       # = /var/log/nginx/access.log
    $ cd ..                          # Lên /
    $ cd ../home/richard             # Từ /var lên / rồi vào /home/richard
    
    # Ký hiệu đặc biệt:
    # .   = thư mục hiện tại
    # ..  = thư mục cha
    # ~   = home directory của user hiện tại

    Mẹo thực chiến: Trong script, luôn dùng đường dẫn tuyệt đối để tránh bug khi script chạy từ thư mục khác.

    Các lệnh navigate cần biết

    # pwd — biết mình đang ở đâu
    $ pwd
    /home/richard
    
    # ls — liệt kê nội dung
    $ ls -la /etc/ssh
    
    # cd — di chuyển
    $ cd /var/log
    $ cd ..           # lên /var
    $ cd -            # quay lại /var/log (như nút Back)
    $ cd ~            # về home
    
    # tree — xem cây thư mục (cần cài: apt install tree)
    $ tree /etc/nginx
    $ tree -L 2 /var  # chỉ 2 cấp sâu
    
    # find — tìm file theo điều kiện
    $ find /etc -name "*.conf"              # tìm file .conf
    $ find /var/log -mtime -1              # sửa trong 24h qua
    $ find /home -type d -name ".ssh"      # tìm thư mục .ssh
    $ find / -perm -4000 2>/dev/null       # tìm file SUID (quan trọng cho SecOps)
    
    # locate — tìm nhanh qua database index
    $ sudo updatedb                        # cập nhật database
    $ locate sshd_config                   # tìm ngay lập tức

    find vs locate: find tìm real-time trên ổ đĩa — chậm hơn nhưng luôn chính xác. locate tìm qua database được index trước — rất nhanh nhưng có thể cũ nếu chưa updatedb.

    Đây là phần nhiều người bỏ qua nhưng lại xuất hiện thường xuyên khi debug hoặc thiết kế hệ thống.

    Inode là gì?

    Mỗi file trên Linux thực ra gồm hai phần tách biệt:

    1. Inode — metadata của file: kích thước, quyền, timestamps, con trỏ đến vị trí data trên ổ đĩa. Không chứa tên file.
    2. Directory entry — ánh xạ giữa tên file và inode number.
    # Xem inode number của file
    $ ls -li /etc/hosts
    131073 -rw-r--r-- 1 root root 221 May 10 09:00 /etc/hosts
    # 131073 là inode number
    
    # Xem thông tin inode chi tiết
    $ stat /etc/hosts
      File: /etc/hosts
      Size: 221
      Inode: 131073
      Links: 1
      Access: (0644/-rw-r--r--)
      Modify: 2026-05-10 09:00:00

    Hard link là một tên file khác trỏ vào cùng một inode. Không tốn thêm dung lượng, không phân biệt “original” hay “link”:

    # Tạo hard link
    $ ln /etc/hosts /tmp/hosts-hardlink
    
    # Cả hai trỏ vào cùng inode
    $ ls -li /etc/hosts /tmp/hosts-hardlink
    131073 -rw-r--r-- 2 root root 221 ... /etc/hosts
    131073 -rw-r--r-- 2 root root 221 ... /tmp/hosts-hardlink
    # Cùng inode 131073, Links count = 2
    
    # Xóa một cái, file vẫn tồn tại qua cái kia
    $ rm /tmp/hosts-hardlink
    $ cat /etc/hosts   # Vẫn đọc được

    Giới hạn của hard link: Không thể tạo hard link xuyên filesystem, không thể hard link thư mục.

    Symlink là file đặc biệt chứa đường dẫn đến file/thư mục khác — giống shortcut trên Windows. Có inode riêng.

    # Tạo symlink (-s = symbolic)
    $ ln -s /etc/nginx/nginx.conf ~/nginx.conf
    
    # Xem symlink
    $ ls -la ~/nginx.conf
    lrwxrwxrwx 1 richard richard 22 ... nginx.conf -> /etc/nginx/nginx.conf
    # Dấu l ở đầu = symlink, -> chỉ đến đích
    
    # Symlink có thể trỏ đến thư mục
    $ ln -s /var/log/nginx ~/logs
    
    # Kiểm tra symlink còn valid không
    $ readlink -f ~/nginx.conf

    Symlink bị “broken” khi file gốc bị xóa hoặc di chuyển — lúc này symlink vẫn tồn tại nhưng trỏ vào khoảng không.

    Dùng khi nào?

    • Hard link: Backup, deduplication, khi cần đảm bảo data tồn tại dù một đường dẫn bị xóa.
    • Symlink: Mọi trường hợp còn lại — config, deploy, version switching.
    # Pattern phổ biến trong deploy: dùng symlink để switch version
    $ ls -la /var/www/
    myapp-v1.2.0/    # thư mục thật
    myapp-v1.3.0/    # thư mục thật
    current -> myapp-v1.3.0/   # symlink — Nginx trỏ vào đây
    
    # Deploy version mới: chỉ cần đổi symlink, không downtime
    $ ln -sfn /var/www/myapp-v1.4.0 /var/www/current

    Mount Points — Filesystem trong Filesystem

    Trên Linux, mọi thiết bị lưu trữ đều được “gắn” vào một điểm trong cây thư mục. Đây gọi là mount point. Ổ đĩa thứ hai không xuất hiện như ổ D — nó được mount vào /data hoặc /mnt/disk2.

    # Xem tất cả filesystem đang được mount
    $ mount | column -t
    
    # Xem dạng gọn hơn
    $ df -hT
    Filesystem     Type      Size  Used Avail Use% Mounted on
    /dev/sda1      ext4       50G   12G   36G  25% /
    /dev/sda2      ext4      200G   80G  108G  43% /data
    tmpfs          tmpfs     3.9G     0  3.9G   0% /dev/shm
    
    # Xem mount points dạng cây
    $ findmnt

    /etc/fstab — Mount tự động khi boot

    File /etc/fstab định nghĩa filesystem nào được mount tự động mỗi khi boot:

    $ cat /etc/fstab
    # <device>    <mount point>  <type>  <options>        <dump> <pass>
    UUID=abc123   /              ext4    defaults           0      1
    UUID=def456   /data          ext4    defaults,noatime   0      2
    UUID=ghi789   /boot          ext4    defaults           0      2
    tmpfs         /tmp           tmpfs   nodev,nosuid,noexec 0     0

    Chú ý cột optionsnodev,nosuid,noexec trên /tmp là hardening cơ bản: không cho phép device file, SUID, và chạy binary từ /tmp.

    # Mount thủ công (tạm thời, không lưu qua reboot)
    $ sudo mount /dev/sdb1 /mnt/usb
    
    # Unmount
    $ sudo umount /mnt/usb
    
    # Mount theo fstab (chỉ cần ghi /mnt/data nếu đã có trong fstab)
    $ sudo mount /mnt/data

    /proc và /sys trong troubleshooting thực tế

    Đây là lý do tại sao hiểu filesystem quan trọng với DevSecOps — bạn có thể debug mà không cần cài thêm tool:

    # Server chậm? Xem load average real-time
    $ watch -n 1 cat /proc/loadavg
    
    # Tìm process đang mở quá nhiều file (potential file descriptor leak)
    $ ls /proc/*/fd | wc -l
    
    # Xem network connections của process PID 1234
    $ cat /proc/1234/net/tcp
    
    # Kiểm tra kernel parameters bảo mật
    $ cat /proc/sys/net/ipv4/ip_forward         # IP forwarding
    $ cat /proc/sys/kernel/randomize_va_space   # ASLR
    
    # Xem memory map của process (useful khi phân tích malware)
    $ cat /proc/1234/maps
    
    # Detect process đang chạy từ /tmp (dấu hiệu xấu)
    $ ls -la /proc/*/exe 2>/dev/null | grep tmp

    Tổng kết

    Filesystem Linux không hề ngẫu nhiên — nó là một hệ thống được thiết kế cẩn thận:

    • 🔧 /etc — mọi config đều ở đây, backup trước khi sửa
    • 📋 /var — log, cache, runtime data — nơi đầu tiên kiểm tra khi debug
    • 🔬 /proc — cửa sổ vào kernel, real-time, không cần tool thêm
    • ⚙️ /sys — điều chỉnh kernel và hardware on-the-fly
    • 🗑️ /tmp — tạm thời, mount với noexec trong môi trường production

    Hiểu rõ symlink giúp bạn thiết kế deploy pipeline không downtime. Hiểu inode giúp bạn debug những lỗi kỳ lạ khi “file đã xóa mà disk vẫn đầy”. Hiểu mount point giúp bạn thiết kế partition scheme đúng cho server production.

    Bài tiếp theo sẽ đi vào Permissions, Users & Groups — hệ thống phân quyền của Linux và tại sao hiểu đúng chmod, SUID, sudo là điều kiện tiên quyết để làm bảo mật.

  • Tại sao các ngân hàng trung ương đang điên cuồng mua vàng?

    Tại sao các ngân hàng trung ương đang điên cuồng mua vàng?

    Sự thật đang dần lộ diện.

    Trong hơn một thập kỷ, vàng đang âm thầm quay lại trung tâm của hệ thống tài chính toàn cầu. Nhưng chỉ từ 2022 đến 2025, tốc độ gom vàng của các ngân hàng trung ương (NHTW) mới đạt đến mức chưa từng có kể từ thập niên 1950. Đây không còn là chuyện “đa dạng hóa dự trữ” nữa — mà là tín hiệu cho thấy thế giới đang bước vào một chu kỳ địa chính trị – tiền tệ hoàn toàn mới.


    1. Vàng trở lại: Từ 2010 đến đỉnh điểm 2022-2025

    Sau nhiều thập niên là người bán ròng, NHTW bắt đầu mua lại vàng từ năm 2010. Tuy nhiên, cú bùng nổ thực sự diễn ra trong ba năm gần đây:

    • 2022: 1.080 tấn
    • 2023: 1.050,8 tấn
    • 2024: 1.089,4 tấn

    Theo World Gold Council, đây là 3 năm liên tiếp NHTW mua hơn 1.000 tấn vàng — mức cao nhất từ năm 1950. 

    Đà tăng này tiếp tục sang 2025, khi chỉ riêng Q1/2025 đã ghi nhận 244 tấn vàng được mua, duy trì chuỗi mua ròng kéo dài 16 năm.


    2. Ai đang dẫn đầu cuộc đua gom vàng?

    Không chỉ vài nước, mà 23 quốc gia đã tăng dự trữ vàng trong nửa đầu 2025. 

    Nhưng dưới đây là 5 cái tên nổi bật nhất:


    Trung Quốc – Âm thầm nhưng liên tục

    • Thêm 19 tấn trong H1/2025. 
    • Tổng dự trữ đạt 2.306 tấn cuối năm 2025.

    Trung Quốc là nước kiên trì nhất trong việc mua vàng để tăng quyền tự chủ tài chính.


    Thổ Nhĩ Kỳ – Ổn định kinh tế bằng vàng

    • Thêm 17,2 tấn trong H1/2025.

    Trong bối cảnh đồng lira mất giá, vàng đóng vai trò “neo ổn định” cho dự trữ quốc gia.


    Ba Lan – Hiện tượng vàng của châu Âu

    • Người mua vàng lớn nhất thế giới 2024 & 2025, thêm 102 tấn chỉ trong năm 2025.
    • Dẫn đầu H1/2025 với 67,2 tấn. 

    Ba Lan thậm chí tuyên bố nâng mục tiêu dự trữ lên 700 tấn vì “lý do an ninh quốc gia”. 


    Singapore – Quyết đoán và thực dụng

    • Dự trữ vàng cuối 2025: 193,56 tấn.

    Singapore tập trung xây dựng “lá chắn tài chính” cho nền kinh tế nhỏ nhưng siêu mở.


    Ấn Độ – Hướng tới tự chủ tài chính

    • Tổng dự trữ đạt 880,17 tấn cuối 2025.

    Ấn Độ mua vàng đều đặn nhằm giảm phụ thuộc vào đồng USD trong thương mại quốc tế.


    3. Vì sao các quốc gia đổ xô mua vàng?

    Thế giới bất ổn: vàng là điểm tựa an toàn

    Chiến tranh, lạm phát cao, cạnh tranh Mỹ–Trung, khủng hoảng chuỗi cung ứng… khiến vàng trở thành tài sản ít rủi ro nhất trong giai đoạn bất ổn kéo dài.

    Lo ngại USD bị “vũ khí hoá”

    Các lệnh trừng phạt tài chính gần đây khiến nhiều quốc gia nhận ra rằng nắm giữ USD có thể đi kèm rủi ro chính trị. Vàng — tài sản không phụ thuộc quốc gia nào — trở thành lựa chọn rõ ràng.

    Đa dạng hóa dự trữ ngoại hối

    Theo khảo sát World Gold Council năm 2025:

    • 95% NHTW tin dự trữ vàng toàn cầu sẽ tiếp tục tăng,
    • 43% cho biết họ sẽ tự tăng dự trữ trong 12 tháng tới.

    Đây là mức kỳ vọng cao nhất từng được ghi nhận.

    Lạm phát kéo dài, trái phiếu mất sức hấp dẫn

    Trong môi trường lãi suất biến động và nợ công tăng, vàng — tài sản không mang rủi ro tín dụng — trở nên hấp dẫn hơn bao giờ hết.


    4. Ý nghĩa địa chính trị: De-dollarization không còn là lý thuyết

    Ba Lan là ví dụ điển hình

    Khi Ba Lan coi vàng là một phần của an ninh quốc gia, điều đó phản ánh sự dịch chuyển tư duy của nhiều nước: vàng không chỉ là tài sản tài chính mà còn là công cụ chiến lược.

    Châu Á đang trỗi dậy về quyền lực tài chính

    Trung Quốc, Ấn Độ, Thổ Nhĩ Kỳ, Singapore…

    → Đều theo đuổi chiến lược giảm phụ thuộc vào USD.

    → Đều tăng dự trữ vàng để củng cố chủ quyền tiền tệ.

    NHTW nắm gần 20% lượng vàng từng khai thác

    Theo World Gold Council, NHTW hiện giữ khoảng 1/5 số vàng từng được khai thác trong lịch sử.

    Quy mô này đủ lớn để ảnh hưởng đến xu hướng giá vàng toàn cầu và cả trật tự tài chính quốc tế.


    5. Thế giới đang chuẩn bị cho điều gì đó lớn hơn

    Những con số ấn tượng từ 2022–2025 cho thấy:

    • Thế giới đang trong thời kỳ bất ổn kéo dài.
    • Vàng trở lại vai trò trung tâm của hệ thống tài chính.
    • Xu hướng “phi đô la hoá” đang diễn ra thực sự.
    • Các quốc gia tích trữ vàng để tăng tự chủ và giảm rủi ro hệ thống.
    • Khi NHTW mua vàng nhiều nhất trong 70 năm, điều đó nói lên rằng cấu trúc quyền lực tiền tệ toàn cầu đang thay đổi.

    Vàng không chỉ đang được mua — nó đang được tái định nghĩa.

    Và câu chuyện này mới chỉ bắt đầu.


    Macro View Journal

    Markets change every day.

    But the principles behind them change much more slowly.

    Understanding those principles is what really matters.


    If you found this useful, feel free to share or subscribe.

    Nếu bạn thấy bài viết hữu ích, hãy chia sẻ hoặc đăng ký theo dõi để nhận bài mới.


    Read More

  • Linux là gì? Tại sao DevSecOps không thể bỏ qua?

    Linux là gì? Tại sao DevSecOps không thể bỏ qua?

    Bạn đang vận hành thứ mình không hiểu — đó là rủi ro lớn nhất

    Hơn 96% trong số 1 triệu website lớn nhất thế giới chạy trên Linux. Toàn bộ hạ tầng cloud — AWS EC2, Google Cloud, Azure VM — mặc định dùng Linux. Mọi container Docker, mọi cluster Kubernetes, mọi CI/CD pipeline đều sống trên Linux kernel.

    Trong lĩnh vực bảo mật, bức tranh còn rõ hơn: Trellix XDR agent, QRadar WinCollect, BeyondTrust Password Safe server, Wazuh, CrowdStrike Falcon — tất cả đều là Linux binary chạy trên Linux host.

    Nếu bạn làm DevSecOps mà chưa hiểu Linux, bạn đang vận hành một hệ thống mà mình không thực sự kiểm soát. Bạn biết dùng tool, nhưng không biết tool đó đang làm gì bên dưới. Đó là khoảng mù nguy hiểm nhất trong bảo mật.

    Serie này sẽ đóng khoảng mù đó, từng bước một.

    Linux là gì?

    Năm 1991, Linus Torvalds — sinh viên 21 tuổi người Phần Lan — đăng một thông báo trên mailing list với nội dung đại khái: “Tôi đang làm một hệ điều hành miễn phí, chỉ là hobby thôi, sẽ không to lớn như GNU.” Đó là lúc Linux kernel ra đời.

    Nhưng kernel không phải hệ điều hành hoàn chỉnh. Kernel là phần lõi — nó quản lý CPU, RAM, thiết bị phần cứng, và là cầu nối giữa phần mềm với phần cứng. Còn để có một hệ điều hành dùng được, bạn cần thêm shell, compiler, thư viện hệ thống, và các công cụ cơ bản — phần đó đến từ dự án GNU của Richard Stallman.

    Kết hợp lại, ta có GNU/Linux — thứ mà hầu hết mọi người gọi tắt là “Linux”.

    Analogy dễ nhớ: Kernel giống như động cơ xe. Distro (Ubuntu, Rocky, Debian…) giống như cả chiếc xe — cùng một loại động cơ, nhưng dashboard, ghế ngồi, và tính năng có thể khác nhau hoàn toàn.

    Kernel space vs Userspace — tại sao điều này quan trọng với bảo mật

    Linux chia bộ nhớ thành hai vùng tách biệt:

    • Kernel space: Nơi kernel chạy, có toàn quyền truy cập phần cứng. Code chạy ở đây có thể làm bất cứ điều gì với hệ thống.
    • Userspace: Nơi tất cả ứng dụng của bạn chạy — trình duyệt, web server, agent bảo mật. Muốn làm gì với phần cứng, phải “xin phép” kernel qua system call.

    Phân tách này là cơ chế bảo mật căn bản nhất của Linux. Khi một malware chiếm được process trong userspace, nó vẫn bị giới hạn. Chỉ khi leo thang đặc quyền lên kernel space (privilege escalation) mới thực sự nguy hiểm — đó là lý do các kernel exploit như Dirty COW hay Dirty Pipe từng gây chấn động cộng đồng bảo mật.

    FOSS — bảo mật nhờ minh bạch

    Linux là phần mềm mã nguồn mở (Free and Open Source Software). Toàn bộ source code của kernel có thể xem tại kernel.org. Điều này không làm Linux kém an toàn hơn — ngược lại, hàng nghìn kỹ sư bảo mật trên toàn thế giới đang liên tục review, audit, và vá lỗi.

    So sánh với Windows: khi có lỗ hổng trong Windows kernel, bạn phải chờ Microsoft vá. Với Linux, cộng đồng thường phát hiện và có patch trong vài giờ.

    Distro landscape — chọn đúng cho đúng mục đích

    Vì Linux là open source, bất kỳ ai cũng có thể lấy kernel và đóng gói thành hệ điều hành riêng. Đó là lý do có hàng trăm “distro” (distribution) Linux khác nhau. Nhưng trong thực tế DevSecOps, bạn chỉ cần biết một vài nhóm chính:

    DistroPackage ManagerUse caseSecurity default
    Ubuntu / DebianaptDev lab, cloud, containerAppArmor
    RHEL / Rocky / AlmaLinuxdnf / yumEnterprise, banking, productionSELinux
    Alpine LinuxapkContainer base imageMinimal attack surface
    Kali / ParrotaptPenetration testingN/A (không dùng làm server)

    Khuyến nghị cho serie này:

    • Ubuntu 24.04 LTS — dùng cho lab thực hành. Cộng đồng lớn, tài liệu nhiều, dễ setup.
    • Rocky Linux 9 — dùng cho các scenario enterprise. Tương thích 1:1 với RHEL, SELinux enabled mặc định.

    Nếu bạn làm việc ở ngân hàng hoặc tổ chức tài chính, khả năng cao server production đang chạy RHEL hoặc Oracle Linux — đều thuộc nhóm Red Hat family, dùng dnf và có SELinux.

    Linux trong DevSecOps pipeline — cụ thể hóa

    Hãy nhìn vào một pipeline DevSecOps điển hình và đếm xem Linux xuất hiện bao nhiêu lần:

    Dev side:

    • Developer push code lên GitLab — GitLab server chạy trên Linux
    • CI/CD runner (GitLab Runner, Jenkins agent) — Linux container
    • Docker build image — Linux daemon
    • SAST scan bằng SonarQube — Linux service

    Sec side:

    • WAF (ModSecurity, AWS WAF) ghi log theo định dạng syslog Linux
    • Auditd trên Linux host ghi lại mọi syscall đáng ngờ
    • Agent của XDR (Trellix, CrowdStrike) là Linux binary inject vào kernel
    • Log được forward qua syslog-ng/rsyslog lên SIEM

    Ops side:

    • Systemd quản lý lifecycle của mọi service
    • Cron job chạy backup, cleanup, health check
    • Prometheus node_exporter đọc metrics từ /proc filesystem của Linux

    Từ lúc developer commit code đến lúc alert lên SIEM, Linux có mặt ở từng bước. Không hiểu Linux là không hiểu pipeline của mình.

    CLI vs GUI — tại sao bắt buộc phải dùng terminal

    Đây là điều nhiều người mới ngại nhất: cửa sổ đen với dòng chữ trắng, không có nút bấm, không có menu chuột.

    Có ba lý do bắt buộc phải thành thạo CLI:

    1. Server không có màn hình. Khi bạn SSH vào một server production lúc 2 giờ sáng để xử lý incident, bạn chỉ có terminal. Không có GUI. Nếu không biết CLI, bạn bất lực.

    2. Automation chỉ làm được bằng CLI. Không thể script thao tác chuột. Nhưng có thể viết bash script chạy 500 server cùng lúc. Ansible, Terraform, mọi IaC tool đều hoạt động qua CLI.

    3. Forensics và incident response dùng CLI tool. netstat, ss, lsof, ps, strace, tcpdump — tất cả đều là CLI. Khi bạn cần tìm process đang mở kết nối ra ngoài lúc 2 giờ sáng, chỉ có terminal mới đủ nhanh.

    Mindset quan trọng: Terminal không phải “giao diện khó dùng” — nó là công cụ precision. Bạn nói chính xác với máy tính cần làm gì, không cần click qua 5 màn hình. Khi đã quen, bạn sẽ thấy GUI chậm chạp và thiếu kiểm soát hơn.

    Lab thực hành — Setup môi trường ngay hôm nay

    Trước khi vào Bài 2, bạn cần có môi trường Linux để thực hành. Có 3 cách:

    Option A: WSL2 trên Windows (Khuyên dùng cho người mới)

    WSL2 (Windows Subsystem for Linux 2) cho phép chạy Linux ngay trong Windows mà không cần dual-boot hay máy ảo nặng nề.

    # Mở PowerShell với quyền Administrator, chạy lệnh:
    wsl --install -d Ubuntu-24.04
    
    # Sau khi cài xong, restart máy và mở Ubuntu từ Start Menu
    

    Ưu điểm: zero overhead, tích hợp với VS Code, file system shared với Windows.

    Option B: VirtualBox + Ubuntu ISO

    Tải Ubuntu 24.04 LTS từ ubuntu.com và tạo máy ảo trong VirtualBox. Phân bổ tối thiểu 2 CPU, 4GB RAM, 20GB disk. Quan trọng: Tạo snapshot trước mỗi bài thực hành để có thể rollback nếu làm hỏng.

    Option C: VPS trên cloud (Môi trường real nhất)

    DigitalOcean Droplet hoặc Vultr VPS từ $6/tháng. Đây là môi trường gần nhất với production — có IP public, SSH từ bên ngoài, và bạn chịu trách nhiệm bảo mật nó.

    Verify cài đặt thành công

    Sau khi setup xong, chạy 3 lệnh sau:

    # Xem thông tin kernel
    uname -a
    
    # Xem distro và version
    cat /etc/os-release
    
    # Xem bạn đang là user nào
    whoami
    

    Nếu thấy output từ cả 3 lệnh — bạn đã sẵn sàng.

    Checklist — Sẵn sàng sang Bài 2 chưa?

    Trước khi đọc tiếp Bài 2, hãy tự kiểm tra:

    • [ ] Giải thích được sự khác nhau giữa kerneldistro
    • [ ] Biết khi nào dùng Ubuntu, khi nào dùng Rocky Linux
    • [ ] Hiểu tại sao phân tách kernel space / userspace quan trọng với bảo mật
    • [ ] Đã setup môi trường Linux và chạy thành công uname -a
    • [ ] Hiểu tại sao CLI là kỹ năng bắt buộc, không phải tùy chọn

    Nếu tick được hết 5 ô — sang Bài 2 ngay: Filesystem & Navigation.

  • Vì sao vàng tăng trong khủng hoảng: Góc nhìn vĩ mô về “flight-to-safety”

    Vì sao vàng tăng trong khủng hoảng: Góc nhìn vĩ mô về “flight-to-safety”

    Khi thế giới bất ổn, vàng trở nên quan trọng

    Trong thời kỳ bình thường, thị trường thưởng cho rủi ro.

    Cổ phiếu tăng.

    Tín dụng mở rộng.

    Nhà đầu tư tìm kiếm lợi nhuận.

    Nhưng khi khủng hoảng xảy ra, mọi thứ thay đổi.

    Câu hỏi không còn là:

    “Kiếm được bao nhiêu?”

    Mà là:

    “Mất bao nhiêu?”

    Và đó là lúc vàng trở nên quan trọng.


    1) Điều gì xảy ra khi khủng hoảng

    Khủng hoảng có thể đến từ:

    • Chiến tranh
    • Khủng hoảng ngân hàng
    • Rủi ro nợ công
    • Căng thẳng địa chính trị

    Nhưng điểm chung là:

    Sự bất định

    Khi bất định tăng, nhà đầu tư giảm rủi ro.

    Họ bán:

    • Cổ phiếu
    • Tài sản rủi ro
    • Trái phiếu lợi suất cao

    Và chuyển sang:

    • Tiền mặt
    • Trái phiếu chính phủ
    • Vàng

    Đây gọi là:

    Flight to safety (tìm nơi trú ẩn)


    2) Vì sao vàng trở nên hấp dẫn

    Vàng có một đặc điểm rất quan trọng:

    Không phải nghĩa vụ của bất kỳ ai

    Khác với:

    • Tiền gửi ngân hàng (nghĩa vụ của ngân hàng)
    • Trái phiếu (nghĩa vụ của chính phủ/doanh nghiệp)
    • Tiền pháp định (nghĩa vụ của ngân hàng trung ương)

    Vàng không phụ thuộc vào lời hứa của ai.

    Trong khủng hoảng, điều này cực kỳ quan trọng.

    Bởi vì khủng hoảng thường là:

    Khủng hoảng niềm tin


    3) Tâm lý “trú ẩn”

    Khủng hoảng không chỉ là số liệu.

    Mà còn là tâm lý.

    Khi bất ổn tăng:

    • Nhà đầu tư không tối ưu lợi nhuận
    • Mà tối ưu sự an toàn

    Họ tìm:

    • Thanh khoản
    • Sự đơn giản
    • Tài sản dễ hiểu

    Vàng đáp ứng cả 3.

    Và quan trọng hơn:

    “An toàn”.


    4) Vì sao USD và vàng có thể cùng tăng

    Thông thường USD và vàng đi ngược nhau.

    Nhưng trong khủng hoảng, cả hai có thể tăng cùng lúc.

    Vì:

    • USD = tài sản thanh khoản nhất hệ thống
    • Vàng = tài sản nằm ngoài hệ thống

    Trong khủng hoảng:

    • Cần thanh khoản → mua USD
    • Cần an toàn hệ thống → mua vàng

    5) Dòng tiền

    Về bản chất, đây là câu chuyện dòng tiền.

    Khi rủi ro tăng:

    • Tiền rút khỏi tài sản rủi ro
    • Dồn vào tài sản an toàn

    Vàng là một trong những điểm đến quan trọng.


    6) Điểm mấu chốt

    Vàng không phải lúc nào cũng tăng.

    Nhưng nó phát huy vai trò mạnh nhất khi thị trường gặp vấn đề.

    Nó không phải để kiếm nhiều tiền.

    Mà để giữ giá trị khi mọi thứ khác trở nên bất ổn.


    Markets change every day.

    But the principles behind them change much more slowly.

    Understanding those principles is what really matters.


    If you found this useful, feel free to share or subscribe.

    Nếu bạn thấy bài viết hữu ích, hãy chia sẻ hoặc đăng ký theo dõi để nhận bài mới.


    Read More

  • Vì sao thế giới rời bỏ bản vị vàng và vì sao khó quay lại

    Vì sao thế giới rời bỏ bản vị vàng và vì sao khó quay lại

    Nhiều người hay hỏi:

    “Sao không dùng vàng làm tiền nữa? Có phải vàng sẽ ổn định hơn không?”

    Để hiểu, ta cần nhìn qua 3 giai đoạn:

    1. Bản vị vàng cổ điển (1870 – 1914)
    2. Bretton Woods (1944 – 1971)
    3. Thời kỳ tiền pháp định ngày nay

    Và vì sao vàng ít được dùng như tiền, nhưng lại quan trọng hơn trong kho dự trữ.


    1) Bản vị vàng cổ điển: dễ hiểu, siêu kỷ luật, nhưng rất đau đớn

    Cách vận hành:

    • Mỗi đồng tiền gắn với một lượng vàng cố định.
    • Không được in tiền tùy ý.
    • Tỷ giá rất ổn định.

    Hệ thống này mang lại:

    • Giá cả ổn định dài hạn
    • Niềm tin mạnh vào tiền
    • Thương mại dễ dàng

    Nhưng đổi lại là:

    • Khi kinh tế gặp vấn đề (suy thoái, chiến tranh, mất mùa…), chính phủ không được nới tiền để cứu dân
    • Cách duy nhất để điều chỉnh là giảm phát

      → doanh nghiệp phá sản

      → người mất việc

      → lương giảm

    Rất kỷ luật. Rất đẹp về lý thuyết.

    Nhưng quá đau với người dân.

    Thế chiến I buộc các nước phải in tiền → bản vị vàng sụp đổ.


    2) Bretton Woods (1944 – 1971): bản vị vàng thông qua đồng USD

    Sau Thế chiến II, thế giới thử lại vàng theo cách mới:

    • USD gắn với vàng ở 35 USD/ounce
    • Các nước khác gắn với USD
    • Chỉ ngân hàng trung ương được đổi USD lấy vàng

    Ban đầu hoạt động rất tốt vì:

    • Mỹ giữ nhiều vàng nhất thế giới
    • Thế giới cần ổn định
    • Tỷ giá cố định giúp tái thiết và thương mại

    Nhưng có vấn đề lớn:

    Mỹ in nhiều USD hơn lượng vàng họ có.

    Để hỗ trợ thế giới, chiến tranh, thương mại…, Mỹ phải in thêm tiền.

    Kết quả:

    • Các nước cầm nhiều USD
    • Mỹ cầm ít vàng dần

    Đến lúc mọi người muốn đổi USD → vàng thì… Mỹ không đủ vàng.


    3) 1971 – Mỹ chấm dứt đổi USD ra vàng

    Ngày 15/08/1971, Tổng thống Nixon tuyên bố:

    “Mỹ ngừng đổi USD lấy vàng.”

    Hệ thống Bretton Woods kết thúc.

    Từ 1973: tiền thả nổi.

    Từ 1976: vàng chính thức không còn là nền của hệ thống tiền tệ.

    Kỷ nguyên tiền pháp định (fiat) bắt đầu.


    4) Vì sao rất khó quay lại bản vị vàng?

    Lý do 1: kinh tế hiện đại quá lớn

    Lượng vàng không đủ để “đỡ” cả hệ thống.

    Lý do 2: các nước cần linh hoạt

    Suy thoái, khủng hoảng ngân hàng, dịch bệnh…

    → cần cắt lãi suất, bơm tiền, kích cầu.

    Bản vị vàng không cho phép làm vậy.

    Lý do 3: nợ công quá cao

    Trở lại vàng → bắt buộc giảm phát mạnh → không quốc gia nào chịu nổi.

    Lý do 4: chính trị không cho

    Không ai chấp nhận thất nghiệp hàng loạt chỉ để “giữ tỷ lệ vàng”.


    5) Vậy vàng là gì trong thời nay?

    Không còn là tiền giao dịch.

    Nhưng lại là tài sản siêu quan trọng:

    • Dự trữ của ngân hàng trung ương
    • Tránh rủi ro mất giá tiền
    • Trú ẩn khi khủng hoảng
    • Không phụ thuộc vào quốc gia nào

    Đó là lý do các nước (đặc biệt thị trường mới nổi) mua vàng ngày càng nhiều.


    6) Kết

    Bản vị vàng cổ điển quá cứng để phù hợp với thế giới hiện đại.

    Bretton Woods là phiên bản nhẹ hơn – nhưng vẫn bị phá vì Mỹ in nhiều USD hơn vàng họ có.

    Tiền pháp định không hoàn hảo – nhưng cho phép xử lý khủng hoảng nhanh.

    Còn vàng?

    Vàng không quay lại làm tiền, nhưng sẽ mãi là tài sản dự trữ cuối cùng trong một thế giới nhiều biến động.


    If you found this useful, feel free to share or subscribe.

    Nếu bạn thấy bài viết hữu ích, hãy chia sẻ hoặc đăng ký theo dõi để nhận bài mới.


    Read More

  • Vàng: Tại sao một tài sản “không sinh lời” vẫn giữ giá trị suốt 5.000 năm

    Vàng: Tại sao một tài sản “không sinh lời” vẫn giữ giá trị suốt 5.000 năm

    vàng

    Lịch sử, kinh tế và vì sao vàng vẫn quan trọng trong thời hiện đại

    Hơn 5.000 năm trước, nhiều nền văn minh cổ đại đã sử dụng vàng như một nơi lưu trữ giá trị.

    Trước khi có ngân hàng trung ương, trước cả khi tiền giấy xuất hiện, vàng đã trở thành một dạng niềm tin giữa con người với nhau.

    Đế chế có thể sụp đổ.

    Tiền tệ có thể biến mất.

    Nhưng vàng vẫn tồn tại.

    Vì sao?

    Vàng là một tài sản khá kỳ lạ.

    Nó không tạo ra dòng tiền, không trả cổ tức và cũng không có lãi suất.

    Nhưng suốt hàng nghìn năm, vàng vẫn giữ được giá trị.

    Để hiểu điều đó, cần nhìn vào cả lịch sử lẫn kinh tế học.

    1. Vàng không tạo ra dòng tiền – nhưng vẫn có giá trị

    Nếu nhìn theo logic đầu tư hiện đại, vàng khá đặc biệt.

    Khác với nhiều tài sản tài chính:

    • Vàng không trả cổ tức
    • Không có lợi nhuận doanh nghiệp
    • Không có lãi suất

    Cầm vàng đơn giản chỉ là… giữ vàng.

    Nhưng dù không tạo ra thu nhập, vàng vẫn tồn tại suốt hàng nghìn năm.

    Lý do nằm ở một vài đặc điểm rất riêng.

    Trước hết, vàng khan hiếm tự nhiên.

    Việc khai thác vàng khó khăn và tốn kém.

    Nguồn cung toàn cầu chỉ tăng rất chậm mỗi năm.

    Không chính phủ nào có thể “in thêm vàng”.

    Thứ hai, vàng bền vững theo thời gian.

    Nó không rỉ, không mục, không bị phá hủy bởi môi trường.

    Nhiều hiện vật vàng từ thời cổ đại vẫn tồn tại gần như nguyên vẹn đến ngày nay.

    Thứ ba, vàng được chấp nhận rộng rãi trên toàn thế giới.

    Từ La Mã, Trung Hoa, Ấn Độ cho tới châu Âu, nhiều nền văn minh đã độc lập lựa chọn vàng làm nơi lưu trữ giá trị.

    Nói đơn giản:

    Vàng là một trong những tài sản hiếm hoi trong lịch sử mà không quốc gia nào thực sự kiểm soát được.

    2. Vì sao vàng tồn tại qua nhiều chế độ tiền tệ

    Vai trò của vàng thay đổi theo thời gian, nhưng chưa bao giờ biến mất hoàn toàn.

    Thời cổ đại → thế kỷ 19

    Trong phần lớn lịch sử nhân loại, vàng và bạc chính là tiền thật.

    Giá trị của tiền đến từ chính kim loại bên trong nó.

    Gold Standard (1870 – 1914)

    Cuối thế kỷ 19, nhiều quốc gia bắt đầu neo tiền giấy vào vàng.

    Lượng tiền phát hành phải tương ứng với lượng vàng dự trữ.

    Hệ thống này tạo ra kỷ luật tiền tệ cao, nhưng cũng hạn chế tính linh hoạt của nền kinh tế.

    Bretton Woods (1944 – 1971)

    Sau Thế chiến II, hệ thống tiền tệ toàn cầu mới ra đời.

    USD được neo vào vàng ở mức 35 USD/ounce, còn các đồng tiền khác neo vào USD.

    Điều này khiến USD trở thành đồng tiền dự trữ toàn cầu.

    1971 – Nixon Shock

    Năm 1971, Mỹ chấm dứt việc đổi USD sang vàng.

    Thế giới chính thức bước vào kỷ nguyên tiền pháp định (fiat money).

    Vàng không còn là tiền chính thức, nhưng vẫn là tài sản dự trữ quan trọng.

    Ngay cả hiện nay, nhiều ngân hàng trung ương vẫn tiếp tục mua vàng.

    3. Điều gì ảnh hưởng tới giá vàng

    Một trong những yếu tố quan trọng nhất là lãi suất thực (real yield).

    Có thể hiểu đơn giản:

    Real yield ≈ lãi suất danh nghĩa − kỳ vọng lạm phát.

    Thông thường:

    • Real yield giảm → vàng dễ tăng
    • Real yield tăng → vàng chịu áp lực

    Khi lãi suất thực thấp, việc nắm giữ tiền mặt hoặc trái phiếu kém hấp dẫn hơn.

    Trong môi trường đó, vàng trở nên hợp lý hơn dù không tạo ra dòng tiền.

    Ngoài ra còn có nhiều yếu tố khác:

    • Sức mạnh của đồng USD
    • Mua ròng của ngân hàng trung ương
    • Dòng vốn ETF vàng
    • Rủi ro địa chính trị

    Nhưng trong dài hạn, real yield vẫn thường là yếu tố dẫn dắt chính.

    4. Vai trò của vàng trong danh mục

    Nhiều nghiên cứu cho rằng một danh mục đầu tư nên có khoảng 5–10% vàng.

    Không phải vì vàng luôn tăng.

    Mà vì vàng thường biến động khác với nhiều tài sản khác.

    Trong những giai đoạn khủng hoảng tài chính, lạm phát cao hoặc tiền tệ mất giá, vàng thường giữ giá tốt hơn.

    Vì vậy vàng thường được xem như bảo hiểm cho danh mục đầu tư.

    5. Vàng cũng có rủi ro

    Vàng không phải tài sản hoàn hảo.

    Nó có thể giảm giá khi:

    • Lãi suất thực tăng
    • USD mạnh
    • Thị trường cổ phiếu tăng mạnh

    Trong những giai đoạn cổ phiếu bùng nổ, vàng có thể kém hấp dẫn.

    Vì vậy vàng hiếm khi là tài sản để “đánh bại thị trường”.

    Nó giống tài sản phòng thủ hơn.

    6. Kết

    Vàng tồn tại suốt hơn 5.000 năm vì một lý do khá đơn giản.

    Nó không phụ thuộc vào bất kỳ tổ chức nào.

    Không phụ thuộc vào:

    • Chính phủ
    • Ngân hàng trung ương
    • Lợi nhuận doanh nghiệp
    • Chu kỳ kinh tế

    Vàng tồn tại vì nó:

    • Khan hiếm
    • Bền vững
    • Khó tạo ra
    • Được con người tin tưởng

    Trong thế giới hiện đại, vàng không còn là tiền.

    Nhưng trong nhiều trường hợp, nó vẫn là bảo hiểm cuối cùng của hệ thống tài chính.


    Nếu bạn thấy bài viết hữu ích, hãy chia sẻ hoặc đăng ký theo dõi để nhận bài mới.

    Thanks for reading! Subscribe for free to receive new posts and support my work.




  • Tự do tài chính

    Tự do tài chính

    Thị trường không di chuyển một cách ngẫu nhiên.

    Đằng sau mỗi biến động luôn có những lực lớn hơn:

    • Lãi suất
    • Lạm phát
    • Dòng tiền
    • Chu kỳ kinh tế toàn cầu

    Những yếu tố này tạo nên môi trường mà nhà đầu tư phải đối mặt.

    Nơi đây chỉ đơn giản là nơi để quan sát những điều đó.

    Không phải để dự đoán tương lai một cách chắc chắn mà để hiểu hiện tại rõ ràng hơn.


    Góc nhìn vĩ mô

    Thị trường tài chính luôn ồn ào.

    Mỗi ngày đều có rất nhiều tin tức, dự đoán và quan điểm về việc thị trường sẽ đi đâu tiếp theo. Giá tăng, giá giảm, và luôn có ai đó giải thích lý do.

    Nhưng theo thời gian, tôi nhận ra một điều thú vị:

    Điều quan trọng nhất không phải là dự đoán thị trường.

    Mà là hiểu cách thế giới vận hành.

    Đó là lý do chuyên mục này ra đời.


    Tiền bạc và cuộc sống

    Tiền không chỉ là những con số.

    Nó ảnh hưởng đến cách chúng ta sống, làm việc và suy nghĩ về tương lai.

    Hành trình hướng tới tự do tài chính không chỉ là đầu tư.

    Nó còn là hành trình hiểu chính mình.

    Vì vậy, bên cạnh thị trường, chuyên mục cũng sẽ nói về:

    • Tiền bạc
    • Kỷ luật
    • Tư duy dài hạn
    • Tự do tài chính

    Lời kết

    Nơi đây không có lời khuyên đầu tư.

    Đây chỉ là những ghi chép cá nhân – những quan sát về thị trường và suy ngẫm về tiền bạc.

    Một cuốn nhật ký suy nghĩ công khai.


    Thanks for reading !

    Subscribe for free to receive new posts and support my work.


    Read More

  • Hello World!!

    Đây là bài post testing từ WordPress Headless.