Hướng Dẫn Cài Đặt Password Auth Nginx Trên Ubuntu 20.04

Chào bạn, có phải bạn đang tìm cách thêm một lớp bảo mật cho website hoặc các dịch vụ nội bộ chạy trên máy chủ Nginx? Việc để các trang quản trị, môi trường thử nghiệm (staging) hoặc các tài nguyên nhạy cảm không được bảo vệ có thể dẫn đến nhiều rủi ro an ninh không đáng có. Đây là lúc xác thực là gì, hay còn gọi là Basic Authentication, phát huy tác dụng. Đây là một phương pháp đơn giản nhưng cực kỳ hiệu quả để yêu cầu người dùng nhập tên đăng nhập và mật khẩu trước khi truy cập vào một khu vực nhất định. Trong bài viết này, AZWEB sẽ hướng dẫn bạn từng bước chi tiết cách thiết lập Password auth cho Nginx trên hệ điều hành Ubuntu 20.04 một cách dễ dàng và nhanh chóng. Chúng ta sẽ cùng nhau đi qua các bước từ cài đặt công cụ cần thiết, tạo file mật khẩu, cấu hình Nginx và kiểm tra kết quả. Hãy bắt đầu hành trình gia cố bảo mật cho máy chủ của bạn ngay thôi!

Cài đặt công cụ htpasswd để tạo file mật khẩu

Để bắt đầu quá trình thiết lập xác thực bằng mật khẩu, chúng ta cần một công cụ chuyên dụng để tạo và quản lý tệp tin chứa thông tin người dùng. Công cụ đó chính là htpasswd.

Giới thiệu về công cụ htpasswd

Vậy htpasswd là gì? Đây là một tiện ích dòng lệnh có nguồn gốc từ Apache HTTP Server, nhưng được sử dụng rộng rãi cho nhiều máy chủ web khác, bao gồm cả Nginx. Vai trò chính của htpasswd là tạo ra các tệp văn bản đơn giản (thường được gọi là file .htpasswd) để lưu trữ tên người dùng và mật khẩu đã được mã hóa. Khi Nginx được cấu hình để sử dụng Basic Auth, nó sẽ đọc tệp này để xác minh danh tính của người dùng đang cố gắng truy cập. Thay vì lưu mật khẩu dưới dạng văn bản thuần, htpasswd sử dụng các thuật toán băm như MD5, bcrypt, hoặc SHA-1 để mã hóa mật khẩu, giúp tăng cường tính bảo mật một cách đáng kể. Bạn có thể tham khảo thêm khái niệm mật khẩu là gì để hiểu rõ hơn về vai trò của mật khẩu trong bảo mật.

Hướng dẫn cài đặt htpasswd trên Ubuntu 20.04

Trên Ubuntu 20.04, công cụ htpasswd không được cài đặt sẵn mà nó nằm trong gói apache2-utils. Bạn không cần phải cài đặt toàn bộ máy chủ Apache, chỉ cần gói tiện ích này là đủ.

Đầu tiên, hãy mở Terminal trên máy chủ của bạn và cập nhật danh sách các gói phần mềm để đảm bảo bạn cài đặt phiên bản mới nhất:

sudo apt update

Tiếp theo, bạn chạy lệnh sau để cài đặt gói apache2-utils:

sudo apt install apache2-utils

Hệ thống sẽ yêu cầu bạn xác nhận việc cài đặt, hãy nhấn Y và Enter để tiếp tục. Quá trình cài đặt diễn ra rất nhanh chóng.

Sau khi cài đặt hoàn tất, bạn có thể kiểm tra xem công cụ htpasswd đã sẵn sàng hay chưa bằng cách kiểm tra phiên bản của nó:

htpasswd -v

Nếu bạn thấy thông tin phiên bản hiển thị trên màn hình, xin chúc mừng, bạn đã cài đặt thành công và sẵn sàng cho bước tiếp theo là tạo file mật khẩu.

Tạo và quản lý file chứa mật khẩu người dùng

Sau khi đã có trong tay công cụ htpasswd, bước tiếp theo là sử dụng nó để tạo ra một tệp tin chứa danh sách người dùng và mật khẩu tương ứng. Tệp tin này sẽ là “cuốn sổ” mà Nginx dùng để kiểm tra thông tin đăng nhập.

Cách tạo file mật khẩu bằng htpasswd

Để tạo một file mật khẩu mới và thêm người dùng đầu tiên vào đó, chúng ta sẽ sử dụng lệnh htpasswd với tùy chọn -c (create). Tùy chọn này báo cho htpasswd biết rằng bạn muốn tạo một tệp mới. Nếu tệp đã tồn tại, nó sẽ bị ghi đè. Vì vậy, hãy nhớ chỉ sử dụng -c cho lần đầu tiên tạo file.

Ví dụ, để tạo một file có tên là .htpasswd trong thư mục /etc/nginx và thêm người dùng admin, bạn thực hiện lệnh sau:

sudo htpasswd -c /etc/nginx/.htpasswd admin

Sau khi nhấn Enter, hệ thống sẽ yêu cầu bạn nhập mật khẩu mới cho người dùng admin và sau đó xác nhận lại mật khẩu đó.

Hãy phân tích câu lệnh trên:

• sudo: Thực thi lệnh với quyền quản trị cao nhất.
• htpasswd: Tên công cụ.
• -c: Tùy chọn để tạo file mới.
• /etc/nginx/.htpasswd: Đường dẫn và tên file mật khẩu. Đặt tên file bắt đầu bằng dấu chấm (.) là một quy ước để biến nó thành file ẩn trên hệ thống Linux.
• admin: Tên người dùng đầu tiên bạn muốn thêm.

Sau khi thực hiện xong, một file .htpasswd sẽ được tạo ra với thông tin của người dùng admin và mật khẩu đã được mã hóa.

Thêm, xóa hoặc thay đổi mật khẩu người dùng

Việc quản lý danh sách người dùng cũng rất đơn giản với htpasswd.

Để thêm một người dùng mới vào file .htpasswd đã tồn tại, bạn chỉ cần chạy lại lệnh htpasswd nhưng không có tùy chọn -c. Ví dụ, để thêm người dùng azweb_user:

sudo htpasswd /etc/nginx/.htpasswd azweb_user

Hệ thống sẽ lại yêu cầu bạn nhập và xác nhận mật khẩu cho người dùng mới này. Thông tin của azweb_user sẽ được nối vào cuối file .htpasswd.

Để thay đổi mật khẩu cho một người dùng đã có, bạn cũng sử dụng cú pháp tương tự như khi thêm người dùng mới. htpasswd sẽ tự động nhận diện người dùng đã tồn tại và chỉ cập nhật mật khẩu của họ.

Để xóa một người dùng khỏi file mật khẩu, bạn sử dụng tùy chọn -D (delete). Ví dụ, để xóa azweb_user:

sudo htpasswd -D /etc/nginx/.htpasswd azweb_user

Lệnh này sẽ tìm và xóa dòng chứa thông tin của azweb_user ra khỏi tệp. Quản lý người dùng với htpasswd thật trực quan và hiệu quả phải không nào?

Cấu hình Nginx để yêu cầu đăng nhập khi truy cập

Khi đã có tệp mật khẩu, giờ là lúc chúng ta “chỉ” cho Nginx biết rằng nó cần phải sử dụng tệp này để yêu cầu xác thực đối với một số khu vực nhất định trên website của bạn.

Chỉnh sửa file cấu hình Nginx

Trên Ubuntu 20.04, các file cấu hình cho từng website (còn gọi là server block) thường được đặt tại /etc/nginx/sites-available/. Bạn cần xác định đúng file cấu hình cho trang web mà bạn muốn bảo vệ. Thông thường, đó có thể là file default hoặc một file mang tên miền của bạn, ví dụ your_domain.

Hãy mở file cấu hình đó bằng một trình soạn thảo văn bản như nano hoặc vim:

sudo nano /etc/nginx/sites-available/your_domain

Bên trong file này, bạn cần tìm đến khối server { ... } và xác định khối location mà bạn muốn áp dụng xác thực. Nếu bạn muốn bảo vệ toàn bộ trang web, bạn có thể thêm vào khối location / { ... }. Nếu bạn chỉ muốn bảo vệ một thư mục cụ thể, ví dụ /admin, bạn sẽ thêm vào khối location /admin { ... }.

Bên trong khối location đã chọn, bạn cần thêm hai dòng sau:

auth_basic "Restricted Access";
auth_basic_user_file /etc/nginx/.htpasswd;

Giải thích hai dòng lệnh này:

• auth_basic "Restricted Access";: Dòng này bật chế độ Basic Auth và thiết lập một thông điệp sẽ hiển thị trên hộp thoại đăng nhập. Bạn có thể thay đổi chuỗi "Restricted Access" thành bất kỳ thông điệp nào bạn muốn, ví dụ: “Vui lòng đăng nhập để truy cập”.
• auth_basic_user_file /etc/nginx/.htpasswd;: Đây là dòng quan trọng nhất, nó chỉ định đường dẫn tuyệt đối đến file mật khẩu mà Nginx sẽ sử dụng để kiểm tra thông tin đăng nhập. Hãy chắc chắn rằng đường dẫn này chính xác với vị trí bạn đã tạo file ở bước trước.

Sau khi thêm xong, hãy lưu lại file cấu hình và thoát khỏi trình soạn thảo.

Kiểm tra và reload Nginx

Mỗi khi thay đổi cấu hình Nginx, bạn không nên khởi động lại ngay lập tức. Thay vào đó, hãy luôn kiểm tra cú pháp của file cấu hình để đảm bảo không có lỗi nào xảy ra. Sử dụng lệnh sau:

sudo nginx -t

Nếu mọi thứ đều ổn, bạn sẽ nhận được một thông báo tương tự như:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Nếu có lỗi, hệ thống sẽ chỉ ra vị trí và mô tả lỗi để bạn sửa chữa.

Khi đã chắc chắn cấu hình không có lỗi, hãy áp dụng các thay đổi bằng cách reload lại dịch vụ Nginx. Việc reload sẽ áp dụng cấu hình mới mà không làm gián đoạn các kết nối hiện tại.

sudo systemctl reload nginx

Vậy là xong! Nginx của bạn giờ đã được cấu hình để yêu cầu mật khẩu.

Kiểm tra và xác thực cài đặt trên máy chủ Ubuntu 20.04

Sau khi hoàn tất các bước cấu hình, việc quan trọng tiếp theo là kiểm tra xem lớp bảo vệ bằng mật khẩu của chúng ta có hoạt động như mong đợi hay không.

Truy cập thử trang được bảo vệ

Cách đơn giản nhất để kiểm tra là mở trình duyệt web của bạn và truy cập vào URL mà bạn đã cấu hình để bảo vệ. Ví dụ, nếu bạn bảo vệ toàn bộ trang http://your_domain, hãy truy cập vào đó.

Ngay lập tức, thay vì thấy nội dung trang web, bạn sẽ được chào đón bằng một hộp thoại pop-up yêu cầu Tên người dùng (Username) và Mật khẩu (Password). Thông điệp hiển thị trên hộp thoại này chính là chuỗi văn bản bạn đã đặt trong chỉ thị auth_basic. Bạn có thể tìm hiểu thêm về Captcha là gì để biết thêm về bảo vệ website khỏi bot.

Bây giờ, hãy thử các trường hợp sau:

1. Nhập đúng thông tin: Nhập tên người dùng và mật khẩu bạn đã tạo bằng htpasswd (ví dụ: admin và mật khẩu tương ứng). Nếu chính xác, bạn sẽ được chuyển hướng đến nội dung trang web như bình thường.
2. Nhập sai thông tin: Cố tình nhập sai mật khẩu hoặc tên người dùng. Trình duyệt sẽ hiển thị lại hộp thoại đăng nhập.
3. Nhấn Hủy (Cancel): Nếu bạn nhấn nút hủy hoặc đóng hộp thoại, bạn sẽ nhận được một trang lỗi “401 Authorization Required” hoặc “401 Unauthorized”. Điều này xác nhận rằng Nginx đang chặn truy cập trái phép thành công.

Xử lý lỗi và kiểm tra log

Nếu mọi thứ không hoạt động như mong đợi (ví dụ: trang web vẫn tải bình thường mà không hỏi mật khẩu, hoặc bạn gặp lỗi 500 Internal Server Error), nơi đầu tiên bạn nên tìm đến là các file log của Nginx.

File log lỗi mặc định của Nginx trên Ubuntu thường nằm tại /var/log/nginx/error.log. Bạn có thể xem nội dung của file này bằng lệnh tail:

sudo tail -f /var/log/nginx/error.log

Lệnh này sẽ hiển thị những dòng log mới nhất và tiếp tục theo dõi file. Khi bạn cố gắng truy cập trang được bảo vệ, hãy quan sát các thông báo lỗi xuất hiện ở đây.

Một số lỗi phổ biến bạn có thể thấy:

• cannot load user file "/etc/nginx/.htpasswd": Lỗi này thường xảy ra khi đường dẫn trong auth_basic_user_file bị sai, hoặc file .htpasswd không tồn tại, hoặc Nginx không có quyền đọc file đó.
• user "someuser" was not found in "/etc/nginx/.htpasswd": Lỗi này xuất hiện khi người dùng nhập một username không có trong file mật khẩu.

Dựa vào các thông báo lỗi trong log, bạn có thể quay lại các bước trước để kiểm tra lại đường dẫn file, quyền sở hữu và quyền truy cập của file .htpasswd, cũng như cú pháp trong file cấu hình Nginx. Trường hợp bạn muốn tìm hiểu sâu hơn về các lỗ hổng bảo mật phổ biến để phòng tránh khi thiết lập hệ thống.

Các lưu ý bảo mật khi sử dụng xác thực Basic Auth

Xác thực Basic Auth là một công cụ hữu ích, nhưng để sử dụng nó một cách an toàn nhất, bạn cần nắm vững một số nguyên tắc bảo mật quan trọng. Việc bỏ qua những lưu ý này có thể vô tình tạo ra các lỗ hổng an ninh mới.

1. Không bao giờ lưu mật khẩu dạng văn bản thuần (plain-text)
   Đây là lý do chúng ta sử dụng htpasswd. Công cụ này đảm bảo rằng mật khẩu được lưu trong file .htpasswd luôn ở dạng mã hóa. Nếu kẻ tấn công có được quyền truy cập vào file này, họ cũng không thể đọc được mật khẩu gốc ngay lập tức.
2. Hạn chế quyền truy cập file mật khẩu
   File .htpasswd chứa thông tin nhạy cảm. Bạn nên thiết lập quyền truy cập cho nó một cách chặt chẽ. Chỉ người dùng root và người dùng mà Nginx đang chạy (thường là www-data) mới nên có quyền đọc file này. Bạn có thể thực hiện điều này bằng các lệnh sau:

sudo chown www-data:www-data /etc/nginx/.htpasswd
sudo chmod 640 /etc/nginx/.htpasswd

Lệnh chmod 640 có nghĩa là chỉ chủ sở hữu (www-data) có quyền đọc-ghi, nhóm sở hữu (www-data) chỉ có quyền đọc, và những người khác không có quyền gì cả.

3. Luôn kết hợp với SSL/TLS (HTTPS)
   Đây là lưu ý quan trọng nhất. Cơ chế Basic Auth tự nó chỉ mã hóa thông tin đăng nhập bằng Base64, một phương thức mã hóa rất yếu và có thể dễ dàng bị giải mã. Nếu bạn sử dụng Basic Auth trên một kết nối HTTP thông thường, tên người dùng và mật khẩu sẽ được gửi đi dưới dạng gần như văn bản thuần qua mạng. Bất kỳ ai nghe lén trên đường truyền đều có thể lấy được thông tin này. Vì vậy, bắt buộc phải sử dụng Basic Auth trên một kết nối HTTPS đã được mã hóa bằng chứng chỉ SSL/TLS. HTTPS là gì sẽ giúp bạn hiểu rõ hơn về các yếu tố bảo mật liên quan đến giao thức này. HTTPS sẽ mã hóa toàn bộ phiên giao tiếp giữa trình duyệt và máy chủ, bao gồm cả thông tin đăng nhập, giúp bảo vệ chúng khỏi bị đánh cắp.
4. Cân nhắc các phương án xác thực nâng cao hơn
   Basic Auth phù hợp cho các môi trường nội bộ, trang staging, hoặc các ứng dụng không quá quan trọng. Đối với các hệ thống yêu cầu bảo mật cao hơn, bạn nên cân nhắc các giải pháp mạnh mẽ hơn như OAuth 2.0, OpenID Connect, xác thực hai yếu tố (2FA là gì), hoặc JSON Web Tokens (JWT là gì).

Các vấn đề thường gặp và cách khắc phục

Trong quá trình cài đặt, bạn có thể gặp phải một vài sự cố phổ biến. Đừng lo lắng, AZWEB đã tổng hợp các vấn đề thường gặp nhất và cách khắc phục chúng ngay dưới đây.

Nginx không yêu cầu xác thực sau khi cấu hình

Đây là vấn đề phổ biến nhất. Bạn đã thêm auth_basic và auth_basic_user_file vào cấu hình, reload Nginx nhưng khi truy cập trang web, không có hộp thoại đăng nhập nào hiện ra.

Nguyên nhân và cách khắc phục:

1. Chưa reload Nginx: Đây là lỗi đơn giản nhất. Hãy chắc chắn rằng bạn đã chạy lệnh sudo systemctl reload nginx sau khi lưu file cấu hình.
2. Sai đường dẫn file mật khẩu: Kiểm tra kỹ lại đường dẫn trong chỉ thị auth_basic_user_file. Đường dẫn phải là tuyệt đối và chính xác đến từng ký tự.
3. Sai vị trí cấu hình: Đảm bảo rằng bạn đã đặt hai dòng lệnh auth_basic vào đúng khối location mà bạn muốn bảo vệ. Nếu bạn đặt sai chỗ, nó sẽ không có hiệu lực.
4. Vấn đề về quyền truy cập: Người dùng mà Nginx đang chạy (thường là www-data trên Ubuntu) phải có quyền đọc file .htpasswd. Hãy kiểm tra lại quyền sở hữu và quyền truy cập của file như đã đề cập ở phần trước. Bạn có thể xem log lỗi của Nginx (/var/log/nginx/error.log) để tìm các thông báo liên quan đến việc “permission denied”.

Lỗi “401 Unauthorized” dù đã nhập đúng mật khẩu

Bạn chắc chắn rằng mình đã nhập đúng tên người dùng và mật khẩu, nhưng trình duyệt vẫn liên tục báo lỗi “401 Unauthorized” và hiển thị lại hộp thoại đăng nhập.

Nguyên nhân và cách khắc phục:

1. Nhầm lẫn hoặc lỗi chính tả: Hãy thử tạo lại mật khẩu cho người dùng đó bằng lệnh sudo htpasswd /etc/nginx/.htpasswd username. Việc này sẽ ghi đè mật khẩu cũ, đảm bảo không có lỗi chính tả nào khi bạn nhập lần đầu.
2. File .htpasswd bị hỏng: Trong một số trường hợp hiếm gặp, file có thể bị hỏng. Bạn có thể thử xóa file cũ và tạo lại từ đầu với một người dùng duy nhất để kiểm tra.
3. Lỗi cache của trình duyệt: Trình duyệt đôi khi lưu cache thông tin đăng nhập cũ. Hãy thử xóa cache và cookie của trang web, hoặc mở trang web trong một cửa sổ ẩn danh (Incognito/Private Mode) để kiểm tra.
4. Sử dụng ký tự đặc biệt: Một số ký tự đặc biệt trong mật khẩu có thể gây ra vấn đề nếu không được xử lý đúng cách. Hãy thử với một mật khẩu đơn giản hơn (chỉ chứa chữ và số) để xem vấn đề có được giải quyết hay không.

Bằng cách kiểm tra tuần tự các nguyên nhân trên, bạn sẽ nhanh chóng tìm ra và khắc phục được sự cố.

Best Practices

Để tận dụng tối đa sức mạnh của Basic Auth mà vẫn đảm bảo an toàn và hiệu quả, hãy tuân thủ các thực tiễn tốt nhất sau đây. Đây là những kinh nghiệm được đúc kết từ thực tế vận hành hệ thống mà AZWEB muốn chia sẻ với bạn.

1. Luôn sử dụng HTTPS khi bật Basic Auth
   Chúng tôi không thể nhấn mạnh điều này đủ. Việc sử dụng Basic Auth trên kết nối HTTP không an toàn giống như việc bạn khóa cửa nhà nhưng lại để chìa khóa ngay dưới tấm thảm chùi chân. Hãy luôn đảm bảo rằng trang web của bạn đã được cài đặt chứng chỉ SSL/TLS và mọi truy cập đều được chuyển hướng qua HTTPS. Điều này mã hóa thông tin đăng nhập và bảo vệ nó khỏi những kẻ nghe lén. Tham khảo thêm Ssl là gì để hiểu tổng quan về giao thức SSL và vai trò trong bảo mật website.
2. Hạn chế quyền truy cập file chứa mật khẩu
   File .htpasswd là tài sản cần được bảo vệ cẩn mật. Hãy đặt nó ở một vị trí an toàn (ví dụ: /etc/nginx/) và thiết lập quyền truy cập tối thiểu. Chỉ có root và Nginx worker process (www-data) mới nên có quyền đọc file này. Tránh đặt file mật khẩu trong thư mục gốc của website (document root) vì nó có thể vô tình bị lộ ra ngoài.
3. Thường xuyên cập nhật và thay đổi password định kỳ
   Giống như bất kỳ hệ thống nào khác, việc thay đổi mật khẩu định kỳ (ví dụ: 3 tháng một lần) là một thói quen tốt để tăng cường bảo mật. Điều này làm giảm rủi ro trong trường hợp mật khẩu cũ bị lộ mà bạn không hề hay biết. Hãy hướng dẫn người dùng của bạn về tầm quan trọng của việc sử dụng mật khẩu mạnh và duy nhất.
4. Không sử dụng Basic Auth cho các dịch vụ hoặc trang quan trọng
   Hãy nhận thức rõ giới hạn của Basic Auth. Nó là giải pháp tuyệt vời cho việc bảo vệ các môi trường phát triển, trang staging, các công cụ quản trị nội bộ hoặc các tài nguyên ít nhạy cảm. Tuy nhiên, đối với các ứng dụng quan trọng, các trang thương mại điện tử, hoặc bất kỳ nơi nào xử lý dữ liệu nhạy cảm của khách hàng, bạn nên đầu tư vào các phương thức xác thực mạnh mẽ hơn như OAuth, SAML, hoặc các hệ thống Single Sign-On (SSO) tích hợp xác thực đa yếu tố. Việc tìm hiểu về Tấn công mạng là gì cũng giúp bạn nâng cao nhận thức về các nguy cơ bảo mật hiện nay.

Bằng cách áp dụng những thực tiễn tốt nhất này, bạn không chỉ triển khai được một tính năng mà còn xây dựng được một hệ thống vững chắc và an toàn hơn.

Kết luận

Qua bài viết này, chúng ta đã cùng nhau đi qua toàn bộ quy trình thiết lập xác thực bằng mật khẩu (Password Auth) cho Nginx trên máy chủ Ubuntu 20.04. Từ việc cài đặt công cụ htpasswd, tạo và quản lý file mật khẩu, cho đến việc cấu hình Nginx và kiểm tra kết quả, bạn có thể thấy rằng đây là một phương pháp bảo mật đơn giản nhưng mang lại hiệu quả tức thì. Lợi ích lớn nhất của Basic Auth là khả năng nhanh chóng tạo ra một lớp “barie” ngăn chặn các truy cập không mong muốn vào các tài nguyên nội bộ, trang quản trị hay môi trường thử nghiệm.

Việc áp dụng giải pháp này không chỉ giúp bạn bảo vệ dữ liệu mà còn thể hiện sự chuyên nghiệp trong quản lý và vận hành hệ thống. Sau khi đã thiết lập thành công, bước tiếp theo bạn nên cân nhắc là đảm bảo toàn bộ trang web của mình hoạt động trên giao thức HTTPS để mã hóa thông tin xác thực khi truyền đi. Nếu nhu cầu bảo mật cao hơn, bạn có thể tìm hiểu thêm về các giải pháp xác thực nâng cao hơn như Hacker mũ trắng là gì hay các kỹ thuật bảo mật chuyên sâu khác.

AZWEB hy vọng rằng hướng dẫn chi tiết này sẽ giúp bạn dễ dàng gia cố thêm một lớp bảo mật vững chắc cho máy chủ của mình. Đừng chần chừ, hãy thử ngay các bước trên để bảo vệ hệ thống của bạn một cách hiệu quả hơn ngay hôm nay.

---

---