> Phần 2 — Quản lý hệ điều hành và công cụ nền tảng

Khi Raspberry Pi đã cài xong và chạy ổn định, bước tiếp theo rất quan trọng là quản lý user, password, quyền sudo và một số nguyên tắc bảo mật cơ bản. Raspberry Pi documentation cho biết bạn có thể cấu hình sẵn user account ngay từ lúc cài hệ điều hành bằng Raspberry Pi Imager, và các thiết lập như boot/autologin hay SSH cũng liên quan trực tiếp tới tài khoản người dùng.

Mục tiêu sau bài học

Sau khi hoàn thành bài này, bạn nên đạt được các mục tiêu sau:

• hiểu user trên Raspberry Pi OS là gì
• biết cách đổi password an toàn
• hiểu sudo dùng để làm gì
• biết khi nào nên dùng tài khoản thường và khi nào cần quyền quản trị
• biết một số nguyên tắc bảo mật cơ bản cho Raspberry Pi, nhất là khi bật SSH
• tránh các lỗi phổ biến như dùng password yếu, bật autologin bừa bãi, hoặc lạm dụng quyền root

User là gì trên Raspberry Pi OS?

User là tài khoản dùng để đăng nhập và sử dụng hệ thống. Từ tài liệu getting started của Raspberry Pi, trong quá trình cài OS bạn có thể preconfigure luôn user account, cùng với hostname, network và SSH. Điều này cho thấy tài khoản người dùng là một phần nền tảng của hệ thống ngay từ lần boot đầu tiên.

Hiểu đơn giản:

• user thường: dùng để làm việc hằng ngày
• user có sudo: có thể thực hiện các lệnh quản trị khi cần
• root: tài khoản quản trị mức cao nhất của Linux, nhưng không phải thứ bạn nên đăng nhập trực tiếp để dùng hằng ngày

Password quan trọng ra sao?

Password là lớp bảo vệ đầu tiên cho Raspberry Pi của bạn, nhất là khi:

• bạn bật SSH
• Pi nối vào mạng công ty hoặc mạng công cộng
• Pi được dùng như mini server, gateway hoặc máy headless

Nếu dùng password yếu, người khác có thể dễ dàng thử đoán hoặc brute-force khi thiết bị lộ trên mạng. Raspberry Pi documentation về SSH cũng khuyến nghị dùng SSH keypair để tránh phải dùng password mỗi lần kết nối, đồng thời tăng mức an toàn cho remote access.

Cách đổi password

Bạn có thể đổi password của user hiện tại bằng lệnh:

passwd

Nếu muốn đổi password cho một user khác với quyền quản trị:

sudo passwd <username>

Nếu bạn đang đăng nhập user thường và muốn tự đổi password của mình, passwd là đủ. Còn nếu là người quản lý máy và cần đặt lại password cho tài khoản khác, dùng sudo passwd.

Về tư duy quản trị, đây là một trong những việc nên làm sớm sau khi cài máy mới.

Password mạnh nên như thế nào?

Một password tốt nên:

• đủ dài
• không quá dễ đoán
• không dùng các mẫu đơn giản như 12345678, raspberry, admin123
• không trùng với password Wi-Fi hay password email chính của bạn

Một quy tắc thực tế:

• dài tối thiểu 12 ký tự
• có pha trộn chữ hoa, chữ thường, số, ký tự đặc biệt
• ưu tiên dùng passphrase dễ nhớ với bạn nhưng khó đoán với người khác

Ví dụ kiểu tốt hơn:

PiLab@Home2026!

sudo là gì?

sudo cho phép một user chạy lệnh với quyền quản trị. Đây là cách Linux hiện đại thường dùng thay vì đăng nhập root trực tiếp để làm mọi thứ.

Ví dụ:

sudo apt update
sudo apt full-upgrade
sudo raspi-config

Trong tài liệu Raspberry Pi, rất nhiều lệnh hệ thống chính thức đều được viết với sudo, cho thấy đây là cách chuẩn để thực hiện các thao tác quản trị trên Raspberry Pi OS.

Khi nào cần dùng sudo?

Bạn cần sudo khi:

• cài hoặc gỡ package
• sửa file cấu hình hệ thống
• bật/tắt service
• đổi password của user khác
• thay đổi cấu hình boot, network, SSH, interface phần cứng

Bạn không nên dùng sudo cho mọi lệnh hằng ngày nếu không cần, vì:

• dễ vô tình sửa nhầm thứ quan trọng
• khó phát hiện lỗi tư duy quyền truy cập
• làm tăng rủi ro nếu copy nhầm lệnh nguy hiểm

Có nên đăng nhập root trực tiếp không?

Thông thường là không nên.

Về thực hành bảo mật Linux nói chung và Raspberry Pi nói riêng, cách an toàn hơn là:

• đăng nhập bằng user thường
• chỉ dùng sudo khi thật sự cần

Điều này giúp giảm rủi ro thao tác nhầm với toàn quyền hệ thống. Các trao đổi kỹ thuật trong cộng đồng Raspberry Pi cũng nhất quán theo hướng không khuyến khích login root trực tiếp chỉ để “đỡ phải gõ sudo”.

Autologin có nên bật không?

Raspberry Pi documentation có phần Boot/Auto login, cho phép boot vào console hoặc desktop với tùy chọn tự động đăng nhập vào user hiện tại.

Autologin tiện trong một số tình huống như:

• máy demo offline
• kiosk nội bộ
• máy học tập đặt tại nhà

Nhưng không nên bật bừa khi:

• thiết bị đặt ở nơi nhiều người chạm vào được
• Raspberry Pi chứa dữ liệu quan trọng
• máy có quyền truy cập tới hạ tầng khác
• bạn muốn giữ mức bảo mật cơ bản

Quy tắc thực tế:

• máy cá nhân offline: có thể cân nhắc
• máy server/headless/gateway: thường không nên bật

Quản lý SSH an toàn hơn

Nếu bạn dùng Raspberry Pi headless, SSH gần như là thứ sẽ dùng thường xuyên. Raspberry Pi documentation về remote access khuyến nghị một hướng rất tốt: dùng SSH keypair để truy cập mà không cần password mỗi lần. Ngoài ra, Raspberry Pi Imager còn cho phép preconfigure SSH key trong quá trình cài OS.

Hướng an toàn hơn cho SSH

• bật SSH chỉ khi cần
• dùng password mạnh nếu đang dùng password login
• ưu tiên chuyển sang SSH key khi dùng lâu dài
• không chia sẻ tài khoản quản trị với nhiều người nếu không cần

Dùng SSH key có lợi gì?

SSH key giúp:

• không phải nhập password mỗi lần
• khó bị brute-force hơn kiểu password đơn thuần
• tiện cho người quản lý nhiều Raspberry Pi

Raspberry Pi documentation mô tả rõ cách cấu hình SSH without a password bằng SSH keypair.

Có nên tạo nhiều user không?

Có, nếu bạn có nhu cầu tách vai trò.

Ví dụ:

• một user dùng học tập hằng ngày
• một user quản trị riêng
• một user dịch vụ rất giới hạn cho tác vụ đặc biệt

Nhưng với người mới, thường chỉ cần:

• 1 user chính
• user đó có sudo
• password đủ mạnh
• không lạm dụng autologin
• SSH cấu hình gọn và an toàn

Kiểm tra mình đang là user nào

Bạn có thể dùng:

whoami

hoặc xem thông tin user:

id

Điều này rất hữu ích để tránh nhầm giữa user thường và ngữ cảnh đang có quyền quản trị.

Kiểm tra hostname và user để SSH đúng

Khi SSH, bạn sẽ dùng dạng:

ssh username@hostname.local

hoặc:

ssh username@ip-address

Raspberry Pi documentation nêu rõ hostname là tên mDNS hiển thị trên mạng, và phần getting started cũng xác nhận bạn có thể cấu hình sẵn user account cùng hostname ngay từ lúc cài.

Ví dụ:

ssh quan@pi-study-01.local

Một cấu hình cơ bản mình khuyên dùng

Với một Raspberry Pi cá nhân dùng học tập hoặc lab tại nhà, bạn có thể giữ bộ nguyên tắc này:

• một user chính dễ nhớ
• password mạnh
• bật SSH nếu có dùng headless
• không bật autologin nếu máy có thể bị người khác chạm vào
• dùng sudo khi cần, không dùng root login trực tiếp
• chuyển sang SSH key nếu bạn dùng máy thường xuyên

Những lỗi thường gặp

1. Giữ password quá yếu

Đây là lỗi phổ biến nhất, nhất là với máy headless.

2. Bật autologin trên máy cần bảo mật

Tiện thật, nhưng không hợp với máy có dữ liệu quan trọng hoặc dùng như server.

3. Dùng sudo cho mọi lệnh

Điều này dễ tạo thói quen xấu và tăng rủi ro thao tác nhầm.

4. Muốn dùng root trực tiếp chỉ vì ngại gõ sudo

Đây không phải cách quản trị tốt về lâu dài.

5. Bật SSH nhưng không nâng mức an toàn

Ít nhất hãy dùng password mạnh; tốt hơn nữa là chuyển sang SSH key theo tài liệu chính thức của Raspberry Pi.

Checklist bảo mật cơ bản cho Raspberry Pi mới cài

[ ] Đã tạo hoặc xác nhận user chính
[ ] Password đủ mạnh
[ ] SSH chỉ bật khi cần
[ ] Có thể SSH ổn định bằng đúng user
[ ] Không bật autologin nếu không thực sự cần
[ ] Dùng sudo đúng chỗ
[ ] Có kế hoạch chuyển sang SSH key

Kết luận

Quản lý user, password và quyền sudo là phần nền tảng nhưng rất quan trọng trên Raspberry Pi OS. Chỉ cần làm đúng vài điểm cơ bản như dùng password mạnh, hiểu khi nào cần sudo, không lạm dụng root, và cấu hình SSH cẩn thận, bạn đã tăng độ an toàn cho hệ thống lên khá nhiều. Raspberry Pi documentation cũng nhất quán theo hướng: cấu hình user ngay từ lúc cài OS, dùng SSH đúng cách, và tận dụng các công cụ hệ thống như raspi-config hay SSH key để quản lý thiết bị tốt hơn.

Bài tiếp theo

Bài 9: Kết nối Wi-Fi, Ethernet và kiểm tra mạng trên Raspberry Pi