Mục tiêu khóa học

Active Directory

Exchange server

Quản trị mạng Linux
Print/ File server DHCP server

Proxy server

ISA server

FTP server

IIS server

SQL server

An Ninh Mạng ATHENA , www.athena.com.vn

Mục tiêu khóa học (tt)
  

Mục tiêu khóa học (tt)

Sử dụng máy tính Linux đáp ứng các yêu cầu chức năng như máy tính Windows. Thay thế mô hình mạng các server Windows bằng mô hình mạng các server Linux. Các server Linux đáp ứng đủ vai trò như server Windows, có khả năng quản lý tốt, chịu lỗi tốt.

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

1

Nội dung khóa học
 Installing Linux as a Server
• Technical Summary of Linux Distributions • Installing Linux in a Server Configuration • Installing Software

Nội dung khóa học (tt)
 Single host Administration
• Managing User • The Command Line • Booting and shutting down • File Systems • Core System Services • Compiling the Linux Kernel

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

Nội dung khóa học (tt)
 Intranet services
• Networking Fundamentals • DHCP server • Samba/ NFS server • NIS • LDAP

Nội dung khóa học (tt)
 Internet services
• FPT/ SSH server • DNS server • Web server/ Database server • Proxy server • Mail server • Firewall server • IDS

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

2

Hỏi & Đáp

Technical summary of Linux Distributions

An Ninh Mạng ATHENA , www.athena.com.vn

Nội dung
  

Mã nguồn mở và GPL
 

Phần mềm mã nguồn mở và GNU General Public License. Lịch sử phát triển của Linux

GNU GPL: GNU General Public License.

Đặc điểm của hệ điều hành Linux.  Khác biệt giữa hệ điều hành Linux và Windows. Lợi ích và hạn chế của hệ điều hành Linux.  Các phiên bản Linux chính.

Mọi người đều có thể có source code của mã nguồn mở, chỉnh sửa, biên dịch theo ý riêng.  Mã nguồn mở đã chỉnh sửa có thể dùng cho mục đích riêng hoặc công khai. Nếu công khai phải cung cấp đầy đủ source code.

Linux là hệ điều hành mã nguồn mở, được phân phối theo quy định của GNU GPL.

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

3

athena.… • Linux không yêu cầu giao diện đồ họa.athena. họ được tự do chỉnh sửa.rpmfind. www.net • http://www. • Những ứng dụng khác. phân phối lại… Hệ điều hành Linux gồm: • Linux kernel. MIPS.vn An Ninh Mạng ATHENA . www. FORTRAN. • Những ứng dụng và tiện ích GNU.freshmeat. Perl. không cần reboot. An Ninh Mạng ATHENA .com. Sparc… Giao diện đồ họa: • Hỗ trợ GNOME.  Nhiều người tình nguyện tham gia phát triển Linux. www.com. Alpha.com.  Software: • http://www.  Document: http://www.vn 4 . PowerPC. An Ninh Mạng ATHENA .org/  Tính ổn định cao: Linux có thể chạy nhiều năm.vn An Ninh Mạng ATHENA .net/linux/RPM/   Ngôn ngữ lập trình: C. Được cộng đồng Internet đón nhận.com.   Lịch sử Linux   Linux được Linus Torvalds viết năm 1991.com • http://www.  Tuy nhiên. C++.athena.athena. AMD.tldp. PHP… Dễ dàng quản lý từ xa: • Dễ dàng remote từ xa bằng commandline hoặc GUI. Python. chia sẻ. khi phân phối phải kèm theo source code. KDE.vn Đặc điểm của Linux  Đặc điểm của Linux  Hardware: • Chạy trên nhiều platform. www.Mã nguồn mở và GPL (tt) Có thể tính phí khi phân phối một sản phẩm có nguồn gốc là mã nguồn mở.  Khi người sử dụng đã có một phần mềm mã nguồn mở.linuxberg. Intel. Java.

Nhiều người cùng chạy một chương trình trên một máy tính vào cùng một thời điểm. Tuy nhiên.athena.vn An Ninh Mạng ATHENA .  => không có một chuẩn cấu hình. phù hợp với server.athena.vn An Ninh Mạng ATHENA .vn Linux và Windows (tt) Tất cả những cấu hình của Windows được lưu trong registry.athena.com. • Với Linux. vốn không cần GUI. GUI tách biệt với kernel. www. Thường phải có phầm mềm third-party.com.  Cấu hình của Linux là file text. Nhiều ý kiến cho rằng ai cũng có thể kiểm soát source code khiến nó không an toàn. www. www. đã hỗ trợ multi user. Người sử dụng có thể sử dụng GUI hay không. Có thể xóa bỏ hoàn toàn những cấu hình cũ khi không cần  Lợi ích & hạn chế của Linux chế   Tính ổn định cao và hầu như không có virus. dễ bị lỗi nhất. Khi muốn chỉnh sửa rất phức tạp.vn 5 . An Ninh Mạng ATHENA .  Tuy nhiên.   Linux và Windows (tt)  Sự tách biệt giữa GUI và Kernel: • GUI là thành phần chiếm nhiều memory nhất. www.com.athena. và ít bị lỗi. hoặc sử dụng những GUI khác nhau => cho phép tùy biến.Linux và Windows Windows là hệ điều hành được thiết kế cho single users. dễ dàng được tìm thấy hơn mã nguồn đóng. Mỗi dịch vụ định nghĩa một chuẩn cấu hình riêng. An Ninh Mạng ATHENA . và rất phức tạp. bí mật không phải là an toàn.com. Từ Windows 95.  Nếu có bug. • Với Windows. tiết kiệm được memory. vì vậy dễ dàng chỉnh sửa theo ý muốn.  Unix là hệ điều hành được kế cho multi users. Unix đã hỗ trợ multi user từ 1969. GUI và kernel là không thể tách rời => tiện lợi cho người dùng. Code của linux được hàng ngàn programer kiểm tra.

com Slackware Linux • http://www.debian.org Không có hỗ trợ.vn 6 .com  SuSE • http://www.Lợi ích & hạn chế của Linux (tt) chế (tt)   Các phiên bản Linux  Khó sử dụng cho người mới bắt đầu.com.turbolinux.com.athena. www.linux-mandrake. không có document đầy đủ.com An Ninh Mạng ATHENA .vn Hỏi & Đáp Installing Linux in a Server Configuration An Ninh Mạng ATHENA . Debian GNU/Linux • http://www.redhat.com Khi phát sinh lỗi.vn An Ninh Mạng ATHENA .suse. www. www.   Red Hat • http://www.athena. không phải ai cũng có khả năng hiểu lỗi.com  TurboLinux • http://www.com.  Bug vẫn tồn tại.athena.   MandrakeSoft • http://www.slackware.

Hầu hết các distribution của Linux tự nhận diện cấu hình phần cứng như: PCMCIA.  Linux boot loader.athena. SCSI adaptor… Cần chý ý đến những thiết bị phần cứng đặc biệt.com/hcl. Kiểm tra sự hỗ trợ phần cứng. Memory.  Các mode hoạt động của Linux. NIC.vn An Ninh Mạng ATHENA . An Ninh Mạng ATHENA . www. Chọn lựa software để cài đặt. CDROM. • Từ một volume trên network server. www.  Kiểm tra sự hỗ trợ phần cứng. Laptop issues. Modem. • Dùng CD shared từ máy tính khác • Qua FTP. Linux file system. mới.athena. Phân chia partition: • Phân chia tự động hoặc theo định dạng riêng.Nội dung Tóm tắt các bước cài đặt. www. • Qua môi trường mạng. • http://hardware.com. HTTP. • Chia các phân vùng còn lại theo nhu cầu. Tiến hành cài đặt.com.redhat.vn An Ninh Mạng ATHENA . Hard drive. Chọn lựa boot loader. • Bắt buộc phải có phân vùng / và /swap.vn Các bước cài đặt (tt) bướ tt)   Hỗ trợ phần cứng  Kiểm tra sự hỗ trợ phần cứng. Mouse.com.  An Ninh Mạng ATHENA .vn 7 .      Cấu hình mạng.com.    Các bước cài đặt bướ  Chọn lựa kiểu cài đặt: • Từ CD local. Cấu hình mạng.athena.athena. www.

com.vn Cấu hình mạng  Linux boot loader  Thiết lập các thông số cấu hình mạng cho server: • IP Address • Netmask • Gateway IP Address • Nameserver IP Address • Domain name • Hostname Boot loader • LILO • GRUB  Boot loader cho phép chọn hệ điều hành nào để boot. /boot: file cấu hình boot loader.vn An Ninh Mạng ATHENA .vn 8 . /bin: lệnh quan trọng. www.com. www.athena.athena. có thể can thiệp bằng command để thay đổi các tham số boot. An Ninh Mạng ATHENA .  Tại boot loader.athena. và kernel module.vn An Ninh Mạng ATHENA . các phân vùng được mount trên phân vùng / /swap: virtual memory. An Ninh Mạng ATHENA .com. /etc: file cấu hình. /dev: file devices. /home: dữ liệu của users. www.Linux file system Linux file systems (tt)         Mặc định. www.athena.com. /lib: file thư viện quan trọng.

vn 9 . • 5: graphic.6. www.6.conf Linux có các mode hoạt động sau: • 0: shutdown. boot=/dev/sda default=0 timeout=10 splashimage=(hd0.358smp.5-1. • 3: multi user with networking.5-1.358smp) root (hd0.img title Windows 2000 rootnoverify (hd0.0) kernel /vmlinuz-2.com.vn An Ninh Mạng ATHENA . www.0)/grub/splash. • 6: reboot.com. • 1: single mode. • 4: unused.0) chainloader +1 An Ninh Mạng ATHENA .athena.xpm. • 2: multi user without networking.vn Hỏi & Đáp Installing software An Ninh Mạng ATHENA .com.athena.athena.6.Linux boot loader (tt)  Mode hoạt động của Linux  File grub.358smp ro root=LABEL=/ rhgb quiet initrd /initrd-2.5-1.gz hiddenmenu title Linux Fedora (2. www.

vn Redhat Package Manager Được phát triển đầu tiên bởi Redhat. bỏ qua conflicts.    Add/ Remove Program  Cài đặt bằng công cụ graphic add/ remove program của Linux giải quyết được các vấn đề sau: • thao tác đơn giản.vn 10 . • --test: không cài đặt. chỉ test.com.   Cài đặt bằng lệnh rpm. www.com. www. SuSe  Gói rpm có dạng:  Lệnh rpm     Cài đặt một package: • rpm –i package. An Ninh Mạng ATHENA . dễ thực hiện. www. www. bỏ qua các gói phụ thuộc.  Dễ cài đặt. • --force: bắt buộc upgrade. Cài đặt bằng lệnh rpm.vn An Ninh Mạng ATHENA . sau đó được các phiên bản linux khác sử dụng rộng rãi: Fedora. dễ remove.athena.  Giới thiệu một số ứng dụng. upgrage. Cài đặt bằng source. • dễ quản lý.rpm Một số option khác sử dụng trong cài đặt: • --nodeps: cho phép cài đặt.athena.com.vn An Ninh Mạng ATHENA . • tự động cài các gói phụ thuộc. An Ninh Mạng ATHENA .Nội dung Add/ Remove Program.athena.  Redhat Package Manager (RPM).rpm Update một package: • rpm –U package. Đây là kiểu cài đặt phổ biến nhất của linux. Mandrake.com. • --requires: liệt kê các gói phụ thuộc.athena.rpm Gỡ bỏ một package: • rpm –e package.

vn An Ninh Mạng ATHENA .tar.gz) hoặc BZip2 (bz2).Lệnh rpm (tt)  Lệnh rpm (tt) Các option truy vấn: kết hợp với option -q • -a: hiển thị danh sách các package đã cài đặt.bz2  Đọc file INSTALL hoặc README để có những chỉ dẫn riêng biệt của gói cài đặt. • -l <package_name>: hiển thị file chứa trong package_name.gz or <filename>.vn 11 .vn Lệnh rpm (tt) Cài đặt bằng source   Tương thích với mọi phiên bản Linux.tar. • <filename>. www.gz • tar xvjf <filename>. www.vn An Ninh Mạng ATHENA . An Ninh Mạng ATHENA .bz2  Giải nén bằng lệnh: • tar xvzf <filename>.athena.tar.com.athena.com.athena. An Ninh Mạng ATHENA .com.com. Được đóng gói sử dụng kiểu GNU Zip (. www. (package_name chưa được cài đặt). • -f <file_name>: hiển thị package sở hữu <file_name>. www.tar. • -p <package_name>: hiển thị thông tin của package_name.athena. • -i <package_name>: hiển thị thông tin của package.

INSTALL để có những option cần thiết: • .vn 12 .  Sau khi cài đặt xong.athena. cần biên dịch.com.athena.vn Một số ứng dụng  Hỏi & Đáp Một số ứng dụng cơ bản cần cho thao tác văn phòng trên linux: • open office • unikey • acrobat reader • chm reader An Ninh Mạng ATHENA . cài đặt lại.com. www.Cài đặt bằng source (tt)  Cài đặt bằng source (tt) Khi có thay đổi trong source. để gỡ bỏ gói source. www. cần đọc file README.com. www.com.athena.vn An Ninh Mạng ATHENA . dùng những lệnh sau:  Sau khi giải nén. chuyển đến thư mục của gói source: • cd <extracted_dir_name>  Chạy script configure.athena./configure • make clean • make distclean   Build gói source bằng lệnh make: • make Nếu cần thiết xóa bỏ luôn thư mục source cài đặt: • rm –rf <extracted_dir_name>  Cài đặt gói source: • make install An Ninh Mạng ATHENA . www.vn An Ninh Mạng ATHENA .

Có thể chỉnh sửa thông tin của users bằng công cụ. home directory… Windows quản lý thông tin bằng LDAP. • => UID có khả năng sử dụng lại??? Mỗi users cần có những thông tin: tên user.athena. An Ninh Mạng ATHENA . GID.com.vn Định nghĩa Users   Định nghĩa Users (tt)    Users được định nghĩa trong một hệ thống để xác định “ai? được quyền dùng cái gì?” trong hệ thống đó. Kerberos. >= 500: không phải user hệ thống. Mỗi group cũng có một định danh duy nhất là GID. www. • > 99: user khác.athena. mỗi user có một định danh duy nhất. www.com. Định nghĩa cấu hình mặc định cho người dùng.athena.   Users và cấp quyền users.  Mỗi user thuộc ít nhất một group. hoặc sửa trực tiếp bằng text file. Managing Users  An Ninh Mạng ATHENA .vn 13 . • 0 – 99: user có quyền quản trị. gọi là UID (User ID).Nội dung Những thông tin định nghĩa users  Công cụ quản lý users. www. Với Linux. Linux quản lý thông tin bằng file text.com. tên group.vn An Ninh Mạng ATHENA . UID.

com.athena. thời gian sử dụng password. www.com.athena. thời gian phải thay đổi password… • /etc/group: chứa thông tin group.athena. và login shell. File /etc/passwd GID Password Home directory Username UID Description Shell Shell An Ninh Mạng ATHENA .vn An Ninh Mạng ATHENA .com. www. www. home directory. www. GID. password mã hóa.athena.Định nghĩa Users (tt)  Định nghĩa Users (tt)  Những file định nghĩa thông tin users: • /etc/passwd: chứa thông tin user login.vn Định nghĩa Users (tt)  Định nghĩa Users (tt)  File /etc/shadow Password Ngày user bị warn nếu Ngà bị nế không thay đối pass đố Ngày trước khi phải Ngà trướ phả thay đổi password đổ File /etc/group Groupmember Grouppassword Username Lần thay đổi đổ password cuối cùng cuố cù Groupname GID Ngày sau khi phải thay Ngà phả đổi password An Ninh Mạng ATHENA .com.vn An Ninh Mạng ATHENA . UID. Mỗi dòng là thông tin của một user.vn 14 . • /etc/shadow: chứa thông tin password mã hóa.

• Quyền ghi: w (write). www.vn Cấp quyền users (tt) Cấp quyền users (tt) Dùng cho file thực thi thự An Ninh Mạng ATHENA .vn An Ninh Mạng ATHENA . www.athena. • groupmod: chỉnh sửa thông tin group.com.Công cụ quản lý Users cụ quả  Cấp quyền Users  Quản lý bằng command line • useradd: tạo user. • Quyền thực thi: x (excute). • groupdel: xóa group.vn An Ninh Mạng ATHENA . Quyền trong linux được phân chia như sau: • Quyền đọc: r (read).athena.com. • groupadd: tạo group.vn 15 . • userdel: xóa user.com.  Mỗi file trong linux được gán quyền theo ba lớp user sau: • owner • group • everyone (other)  Quản lý bằng giao diện đồ họa An Ninh Mạng ATHENA .athena.athena. www.com. www. • usermod: chỉnh sửa thông tin user.

athena. www. thay đổi trực tiếp trong những file này.vn An Ninh Mạng ATHENA .vn 16 .Cấp quyền users (tt) SetUID: program nào được set SUID.  Những file định nghĩa cấu hình mặc định: • /etc/default/useradd • /etc/skel • /etc/login. An Ninh Mạng ATHENA .com.    Cấu hình mặc định Khi dùng lệnh useradd không có option kèm theo để tạo user.vn An Ninh Mạng ATHENA .  SetGID: hiện thực như SUID. hoặc root được quyền delete file.athena. Nếu muốn thay đổi cấu hình mặc định. /etc/login. www. các thuộc tính của user sẽ được tạo theo các cấu hình mặc định. khi thực thi sẽ được sở hữu bởi owner của program đó.com.athena.athena.vn Cấu hình mặc định (tt)    Hỏi & Đáp /etc/default/useradd: những giá trị mặc định cho việc tạo acount.com. nhưng áp dụng cho file group owner. www.defs: những cấu hình mặc định cho shadow password. /etc/skel: thư mục chứa nội dung mặc định sẽ tạo trong home directory của users. www.com.defs  Sticky bit: chỉ cho phép owner. An Ninh Mạng ATHENA . bất kể user nào gọi thực thi program này.

vn An Ninh Mạng ATHENA . Dòng lệnh trong Unix và Linux là “case sensitive”.vn Giới thiệu dòng lệnh   Cú pháp dòng lệnh  Dòng lệnh là thế mạnh của hệ điều hành Unix và Linux. www.The Command Line Giới thiệu dòng lệnh  Cú pháp dòng lệnh    Một số lệnh thông dụng Chuyển hướng dòng lệnh • redirection • pipe The Command Line  Background jobs An Ninh Mạng ATHENA .athena.com. Dòng lệnh là công cụ hữu hiệu nhất. Với hệ điều hành Unix và Linux. www. arguments command option An Ninh Mạng ATHENA .vn 17 .com. Để biết cách sử dụng dòng lệnh.com.athena.athena. gọi lệnh man. www. • Vd: man ls Cú pháp của một dòng lệnh gồm có ba thành phần: <command> [option] [arguments] • command: hệ thống sẽ làm gì? • option: hệ thống sẽ làm gì? • arguments: hệ thống sẽ thực thi lệnh ở đâu?    ls –al /root: liệt kê nội dung của thư mục root (bao gồm cả file ẩn). các thao tác đồ họa không thể đáp ứng đủ công việc cần thiết.

xóa. rm Phân tích lệnh ls –al /root Xử lí ls -al  Lệnh cấp quyền trên file.athena. Lệnh gán biến môi trường. thư mục.vn Chuyển hướng dòng lệnh Chuyể hướ lệ  Chuyển hướng dòng lệnh (tt) Chuyể hướ lệ  Redirection: có hai loại redirection: • redirect input – command < filename – Tạo file /tmp/in.txt có nội dung /root – Sử dụng lệnh: ls –al /tmp/in. Lệnh tạo.athena. • command1 | command2 • ls –al /root | more • redirect output – command > output – command >> output – Sử dụng lệnh: ls –al /root > /tmp/out. locate  Lệnh xem kích thưóc thư mục. rmdir.vn  Lệnh quản lý tiến trình. cp.vn An Ninh Mạng ATHENA . • chown. www. kill An Ninh Mạng ATHENA . top.txt An Ninh Mạng ATHENA . www. copy file . vi. ln • cat. • mkdir.com. • ps.vn 18 .Lệnh thông dụng    Chuyển hướng dòng lệnh  Lệnh su và sudo. chgrp. www.athena.txt Pipe: là khái niệm đưa output của lệnh này thành input của lệnh kia. www. mv. chmod  Lệnh tìm kiếm • find. thư mục. • df. phân vùng. du Input (Người dùng nhập) Output (Kết quả) /root An Ninh Mạng ATHENA .com. sửa.com.com. tình trạng hệ thống.athena.

Background jobs Thông thường.com.  Nếu một lệnh chạy 1h ở mode foreground. Start lệnh ở background: • command &  Một số lệnh kiểm soát jobs. đưa kết quả output ra màn hình (có thể chuyển hướng đưa kết quả output vào file).vn 19 .athena. An Ninh Mạng ATHENA . www.athena.   Background jobs (tt)   Lệnh chạy ở background gọi là JOB.vn An Ninh Mạng ATHENA . www. Có thể start lệnh chạy mode background. www.athena. nếu cần thiết thì đưa kết quả output vào file và người dùng vẫn có thể làm việc với BASH shell đó bình thường. lệnh chạy ở mode foreground. thì lệnh sẽ chiếm luôn BASH shell đó => người dùng phải mở một shell khác để làm việc.com.vn Hỏi & Đáp Booting and shutting down An Ninh Mạng ATHENA .com.

Hai boot loader phổ biến của Linux: • LILO (LInux LOader) • GRUB (GRand Unified Boot loader)   Khi thay đổi file cấu hình.vn An Ninh Mạng ATHENA .com.com.vn An Ninh Mạng ATHENA .com.  Boot loader hay còn gọi là boot manager cho phép quản lý nhiều hệ điều hành.vn Quá trình boot Linux   Boot loader   BIOS/ POST MBR (lilo hoặc grub): cho phép lựa chọn hệ điều hành boot. www. www.Nội dung (tt)   Quá trình boot linux Quá trình boot Linux Boot loader (boot manager) • Boot loader GRUB • Boot loader LILO   Kernel image và initrd Tiến trình init và file inittab  Tiến trình rc. GRUB tự động nhận biết. chọn boot vào hệ điều hành nào. Ngày nay.  An Ninh Mạng ATHENA . Mount root file system (read only)  /sbin/init: tiến trình cha của mọi tiến trình.athena.athena. www.sysinit /etc/rc. www.  Hiển thị đồ họa nếu ở runlevel 5.vn 20 . /etc/inittab: quyết định run level và gọi start các dịch vụ cần thiết của run level đó. LILO thì phải dùng lệnh /sbin/lilo để update cấu hình.athena.d/rc script  Quá trình shutdown Linux  An Ninh Mạng ATHENA .athena.com. GRUB là boot loader mặc định của đại đa số các hệ điểu hành Linux.  Kernel + initrd: load kernel và detect hardware.

358smp.  LILO có cách hiểu thông thường như Linux: hdXY. www.vn An Ninh Mạng ATHENA .5-1.6.xpm.0)/grub/splash.5-1.6.conf: boot=/dev/hda prompt timeout=10 image=/boot/vmlinuz-2.conf: default=0 timeout=10 splashimage=(hd0.Boot loader GRUB  Boot loader GRUB (tt) Cách phân biệt partition trong boot loader GRUB khác với cách thông thường của Linux.com.athena.  GRUB không phân biệt IDE.conf File cấu hình lilo.athena.358smp ro root=LABEL=/ rhgb quiet initrd /initrd-2. www.img title Windows server 20003 rootnoverify (hd0.athena.gz hiddenmenu title Linux Fedora (2. www.358smp) root=/dev/hda1 read-only other = /dev/hda2 label=Windows server 2003 table=/dev/hda Đĩa IDE đầu tiên. partition đầu tiên An Ninh Mạng ATHENA . www. sdXY.  File cấu hình grub.0) Đĩa đầu tiên.  An Ninh Mạng ATHENA .358smp label=Linux Fedora (2.5-1.5-1.5-1.358smp) root (hd0.vn 21 .athena.6.6.com. hoặc trong file grub.1) chainloader +1 An Ninh Mạng ATHENA .vn Boot loader GRUB (tt)  Boot loader LILO  Một số lệnh của grub: sử dụng trong mode grub. partition đầu tiên kernel /vmlinuz-2. đĩa cứng được hiểu là: hd%d.com.6. bắt đầu từ zero để chỉ partition đầu tiên.com.vn %d: là số nguyên. và SCSI.

com. dùng lệnh: • /sbin/lilo –u  Tìm hiểu lệnh lilo: • man lilo  Tìm hiểu file cấu hình boot loader lilo: • man lilo.  An Ninh Mạng ATHENA .vn 22 .gz.Boot loader LILO (tt)  Kernel image và initrd Kernel image là hình ảnh nhỏ nhất của kernel được nén thành file vmlinuz-version. www.  Kernel image chứa những thành phần quan trọng cần thiết đầu tiên để boot máy tính. Tiến trình init sẽ tìm đọc file /etc/inittab để quyết định runlevel nào sẽ được boot. www.athena. sẽ boot vào runlevel nào??? An Ninh Mạng ATHENA .conf initrd – initial ram disk: được sử dụng để detect phần cứng và load driver.vn An Ninh Mạng ATHENA . www.com. www.vn Tiến trình init và file inittab Tiế trì   Tiến trình init …(tt) Tiến trình init là cha của mọi tiến trình.com.athena.conf  Gỡ bỏ boot loader LILO.  Mỗi dòng trong /etc/inittab có dạng như sau: – id: runlevels:action:process Nếu không định nghĩa.com.  Để cài đặt LILO làm boot loader.vn An Ninh Mạng ATHENA . dùng lệnh: • /sbin/lilo – yêu cầu phải có file lilo.athena.tar.athena.  Đồng thời mount file systems dưới dạng read only để tiến hành kiểm tra.

d/rc script    Tiến trình rc.vn An Ninh Mạng ATHENA .athena.vn /etc/rc. fonts. Thực thi tất cả script liên quan đến run level đó.com.d/rc script (tt) /etc/rc.athena.athena. link đến các script thật sự.vn  An Ninh Mạng ATHENA . • Thiết lập các tham số của kernel. • Load những module cần thiết. Vd: nếu runlevel là 5. Những script bắt đầu bằng K. • Mount /proc file system. sẽ gọi thực thi các script trong /etc/rc.d/init.d<command> stop.d start stop An Ninh Mạng ATHENA .vn 23 .d/init.d/<command> start. thường chứa trong /etc/init. An Ninh Mạng ATHENA .d Các script này là file symbolic link. • Khởi tạo phân vùng swap. hệ thống sẽ gọi chạy lệnh: /etc/rc.com.d/rc (tt) Quá trình shut down linux  Những script có bắt đầu bằng S.com. • Thiết lập giờ hệ thống.com.sysinit thực thi những nhiệm vụ sau: • thiết lập hostname của máy tính và detect môi trường network. hệ thống sẽ gọi chạy lệnh: /etc/rc. www. www.Tiến trình rc. • Check file system và mount lại ở mode read-write.athena. www. www.sysinit  /etc/rc.d/rc5.

Có thể cài các hệ điều hành khác nhau lên các partition khác nhau.com. Mỗi partition được xem như một phân vùng độc lập.com. Quản lý File Systems. • Lệnh fsck.vn Nội dung Disk và partition.vn 24 .com. www.Hỏi & Đáp File systems An Ninh Mạng ATHENA . Khi dữ liệu đầy.  Khái niệm File Systems.  Sau đó.athena. www.vn An Ninh Mạng ATHENA . • mount và umount.  Logical Volume Management. partition này không thể “overflow” (lấn chiếm) kích thước của partition khác.  An Ninh Mạng ATHENA .   Disk và partition   Mọi đĩa cứng (disk) đều cần được phân chia partition.athena. www. dùng một một trình quản lý boot loader để quản lý quá trình boot.athena.

www.com. www. www. www. hdb1.athena.com.vn An Ninh Mạng ATHENA . hda2.vn 25 .com. hdb2…   CDROM cũng được hiểu như một ổ đĩa IDE. Ổ đĩa SCSI sẽ có tên là sdX An Ninh Mạng ATHENA .athena.Disk và partition (tt)  Disk và partition (tt) Những ổ đĩa IDE sẽ có tên là hdX. • Vd: hda1.vn An Ninh Mạng ATHENA .athena.com.athena. • X có giá trị từ [a-z] đại diện cho một ổ đĩa vật lý.vn Disk và partition (tt) Khái niệm File systems An Ninh Mạng ATHENA . Vd: hda. • Y là số thứ tự. hdb…  Khi được chia partition. partition sẽ có dạng: hdXY • X là kí tự ổ đĩa.

 Xem nội dung của thư mục mount point.com. usb… cần được mount.athena. Thư mục này dùng làm mount-point cho ổ đĩa CD-ROM Nếu thư mục mount point đã có dữ liệu trước.vn An Ninh Mạng ATHENA . /boot: file cấu hình boot loader.athena. Xem nội dung của partition vừa được mount bằng xem nội dung của thư mục mount-point. nhờ thế nội dung của nó mới có thể đọc được. /bin: lệnh quan trọng. www. /lib: file thư viện quan trọng. một thiết bị (CDROM. các phân vùng được mount trên phân vùng / /swap: virtual memory.ổ đĩa CD-ROM.athena.Khái niệm File Systems (tt)         Quản lý File Systems Quả Partition. An Ninh Mạng ATHENA .  Mount là biến một partition.com. floopy. www.com. Thư mục này được gọi là mount-point. www. www.   Mặc định.vn Quản lý File Systems (tt) Quả (tt)  Quản lý File Systems (tt) Quả (tt)  Tạo một thư mục /mnt/cdrom. và kernel module. Mount một partition vào thư mục mount point.athena.  • Có những file trước đó không???  Umount CD-ROM ra khỏi mount point • Những file trước đó có bị mất không??? An Ninh Mạng ATHENA .com.vn 26 . USB…) thành một thư mục trên cây thư mục.vn An Ninh Mạng ATHENA . /etc: file cấu hình. /home: dữ liệu của users. /dev: file devices.

www. PV (Physical Volume) Dễ dàng mở rộng kích thước của volume.com.com. www.athena.  Để mở rộng dung lượng lưu trữ dữ liệu.vn 27 .com. www. xóa partition.vn Logical Volume Management Logical Volume Management (tt) (tt)   Linh hoạt trong việc phân chia partition.com.  Lênh fsck: chẩn đoán và sửa lỗi file systems. tạo.athena. VG (Volume Group) LV (Logical Volume) An Ninh Mạng ATHENA . đơn giản chỉ cần thêm đĩa mới vào. An Ninh Mạng ATHENA .vn An Ninh Mạng ATHENA .athena.Quản lý File Systems (tt)  Quản lý File Systems (tt)  Mọi partition đều phải được mount để sử dụng => những partition hệ thống được mount lúc nào => /etc/fstab Lệnh fdisk: xem.athena. www.vn An Ninh Mạng ATHENA .

www.vn Nội dung Service syslogd  Service crond   Service xinetd Core System Services An Ninh Mạng ATHENA .com.com. www.vn An Ninh Mạng ATHENA . vgextend: thêm physical volume vào volume group.athena.com.athena.athena. thiết bị lưu trữ khác. www. vgcreate: khởi tạo một volume group từ những physical devices đã được khởi tạo bằng pvcreate. lvdisplay: xem thông tin của logical volume.vn 28 .Logical Volume Management (tt) (tt)  Hỏi & Đáp pvcreate: khởi tạo những physical volume để sử dụng trong môi trường LVM. vgdisplay: xem không tin của volume group lvcreate: tạo logical volume từ volume group.       An Ninh Mạng ATHENA . hoặc partition… pvdisplay: hiển thị thông tin của physical volume. Physical volume có thể là đĩa cứng.

user.athena. news. – syslog định nghĩa các facility có sẵn: authpriv. lpr. người quản trị có nhu cầu tìm lại các sự kiện xảy ra trước thời điểm đó trong hệ thống.com.com. lưu ở đâu? An Ninh Mạng ATHENA . www.athena. – syslog dành facility từ local0 -> local7 cho người dùng định nghĩa.conf: – file cấu hình chính của service syslogd.Service syslogd Người quản trị có nhu cầu thường xuyên theo dõi các sự kiện xảy ra trong hệ thống. hoặc lưu log tập trung.vn 29 .  Có thể lưu log cục bộ. www. syslog. hay lưu log vào remote server? facility level action An Ninh Mạng ATHENA .com. cron.athena. Một hệ thống luôn có nhu cầu cần lưu log.  Service syslogd (tt)  Log trong hệ thống được syslog phân loại như sau: • facility: cho biết ứng dụng nào phát sinh ra log. mark. mail. và ghi vào đâu? • /etc/sysconfig/syslog: – định nghĩa mode hoạt động của service syslogd. debug < info < notice < warn < err < crit.com. www. kern.  • level: mức độ nghiêm trọng của log. – Lưu log cục bộ. www.vn An Ninh Mạng ATHENA .vn An Ninh Mạng ATHENA .vn Service syslogd (tt)  Service syslogd (tt) File cấu hình của syslog: • /etc/syslog.athena.  Khi có sự cố. uucp . daemon. – Kiểm soát việc record log nào được ghi. alert < emerg • action: log sẽ được xử lí như thế nào? Lưu hay không.

com.  Service crond là service định kì gọi thực thi các tác vụ được định nghĩa sẵn.Service syslogd (tt)   Service syslogd (tt)  Log trong hệ thống được lưu liên tục sẽ quá nhiều log. cắt theo theo kích thước do người dùng định nghĩa.conf: định nghĩa các option dùng chung cho việc cắt log. Cần có một tiến trình cắt log hàng ngày.d/radiusd An Ninh Mạng ATHENA .athena. www. www. không cần thiết nữa.athena. File /etc/logrorate. • trường nào có dấu “*”: mọi lúc.vn Service crond Các dịch vụ cần chạy định kì.d/: mỗi dịch vụ có thể định nghĩa một file riêng.athena. www. chạy vào một thời điểm nào đó cụ thể trong ngày -> cần các thao tác lập lịch. • Những dịch vụ cắt log theo kiểu thông thường có thể định nghĩa trực tiếp trong file logrotate.com. để cắt log theo yêu cầu.vn An Ninh Mạng ATHENA . www. với file cấu hình là /etc/crontab An Ninh Mạng ATHENA . • trường nào có dấu “/*”: mỗi lúc. phù hợp với dịch vụ đó. để dọn dẹp bớt log cũ. Có những log quá cũ. • /etc/logrotate.com. Chạy trực tiếp bằng lệnh crontab.    Service crond  File /etc/crontab có cấu trúc như sau: • minute hour day month dayofweek command • minute: có giá trị từ 0-59.com. Chạy bằng serivce crond. • hour: có giá trị từ 0-23 • day of month: có giá trị từ 0-31 • month:có giá trị từ 1-12 • day of week: có giá trị từ 0-6 • command: như command thực thi ở BASH shell.vn An Ninh Mạng ATHENA .vn 30 . Tiến trình thực hiện việc cắt log: logrorate.athena.conf • /etc/logrotate.conf   File /etc/logrotate.

athena. xinetd mới khởi tạo dịch vụ đó.com.the extended Internet services daemon.vn Service xinetd (tt)  Service xinetd (tt)  Cấu hình xinetd: • /etc/xinetd.vn An Ninh Mạng ATHENA . xinetd quản lý chung các dịch vụ. File /etc/xinetd. www. www. nhận request từ client.athena. • 0 1 1-15 * * command. Khi cần dịch vụ nào. • 0 1 */5 * * command.athena. www.15 * * command.vn An Ninh Mạng ATHENA . định nghĩa cụ thể cấu hình của dịch vụ đó khi sử dụng xinetd.com. • 0 1 1.athena. và forward request cho dịch vụ. không nhận trực tiếp từ client. Có nhiều dịch vụ không có request thường xuyên.d/: mỗi dịch vụ có một file cấu hình. xinetd . www.vn 31 .com. An Ninh Mạng ATHENA .conf: định nghĩa một số option chung cho các dịch vụ sử dụng xinetd. vẫn lắng nghe => tốn tài nguyên.com.Service crond  Service xinetd  Những dòng định nghĩa sau có ý nghĩa như thế nào??? • 0 1 * * * command. Các dịch vụ chỉ cần nhận request từ xinetd.d/krb5-telnet • /etc/xinetd. Các dịch vụ được xinetd bảo vệ kiểm tra trước khi nhận request.      Mỗi dịch vụ đều lắng nghe. xinetd sẽ lắng nghe tất cả các request gởi đến các dịch vụ mà nó phục vụ. An Ninh Mạng ATHENA .

vn Nội dung Kernel version.com.vn 32 .deny: những host trong file này bị discard request.allow??? An Ninh Mạng ATHENA .athena. Compiling The Linux kernel An Ninh Mạng ATHENA . www.allow: những host trong file này được chấp nhận.com.Service xinetd (tt)  Hỏi & Đáp Trước khi cho phép xử lí request.com. • /etc/hosts. xinetd có thể kiểm tra sự hợp lệ của IP request bằng những file sau: • /etc/hosts.athena.  Kernel modules. • Cấu hình như thế nào.athena. www.   Compiling kernel. chỉ chấp nhận những host trong hosts.vn An Ninh Mạng ATHENA . www. để deny tất cả.

www.athena.8 Để xác định kernel version. An Ninh Mạng ATHENA .com.Kernel version  Kernel version (tt)  Version của kernel có format như sau: • linux-major. • video: module cho video adapter. • ipv4: module cần thiết cho việc hoạt động với TCP/IP networking.6… – số lẻ: version này dùng cho mục đích thử nghiệm. Các module ít sử dụng có thể được insert vào kernel khi cần thiết. Các module của kernel là một file object.patchlevel – Vd: linux-2. www. • net: module cho network interface. • scsi: module cho SCSI controller. An Ninh Mạng ATHENA . nằm trong thư mục /lib/modules/kernel-version/kernel. www.athena.com. – số chẵn: version này đã được kiểm tra và công bố sử dụng. 2.minor.4.vn Kernel modules    Kernel modules (tt)  Kernel thường được biên dịch với các module cần thiết nhất. • fs: module cho file systems. www. Một số kernel modules: • block: module cho những thiết bị phần cứng đặc biệt: RAID controller.18.6. • cdrom: module cho CDROM. dùng lệnh: • uname –a • uname –r • major: version chính của kernel • minor: những thay đổi quan trọng của version.com. • misc: các module không thuộc các module kể trên.  • patchlevel: dùng để vá lỗi.athena. IDE tape drivers. Kernel mặc định đã được dịch với các module cần thiết.vn 33 .vn An Ninh Mạng ATHENA . khi có nhu cầu có thể tiến hành dịch lại kernel => có một hệ điều hành mới.vn An Ninh Mạng ATHENA .com. Các kernel developer thường sử dụng. 2.athena.

 File modules.com. • Sau khi tạo file config xong.  Lệnh insmod: thêm một module vào kernel.com.Kernel modules (tt) Lệnh lsmod: liệt kê những module đang được kernel hỗ trợ.    Compiling kernel  Download source kernel từ: • kernel.athena. cần cài đặt bộ C compiler. • make modules: biên dịch những driver thiết bị.dep: liệt kê mối quan hệ phụ thuộc giữa các module.vn An Ninh Mạng ATHENA .athena.vn An Ninh Mạng ATHENA . hoặc make oldconfig. • make bzImage: tạo một file kernel image.athena. An Ninh Mạng ATHENA . www.athena. có thể edit trong makefile.com.com. và thực hiện tiếp các lệnh sau. • make mrproper • make config.org Lệnh rmmod: xóa bỏ một module ra khỏi kernel.  Các lệnh để biên dịch:  Lệnh modinfo: xem thông tin một module. www. hoặc make menuconfig. • make modules_install: tất cả những modules đã được biên dịch sẽ được cài đặt vào thư mục /lib/modules/kernel-version. www. make xconfig.vn 34 .vn Compiling kernel (tt)  Compiling kernel (tt)  Các lệnh để biên dịch kernel: • make dep • make clean • make bzImage • make modules • make modules_install Các lệnh để biên dịch kernel: • make dep: những file source C sẽ được kiểm tra các mối quan hệ phụ thuộc. An Ninh Mạng ATHENA . • make clean: remove những output file cũ có thể đã tồn tại trong source. www. Để biên dịch được kernel. và những module đã chọn lựa để biên dịch.

debug thông tin • ifconfig.com.  Khởi động lại máy.  Hệ điều hành mới chỉ khác hệ điều hành cũ các modules được biên dịch trong kernel.athena.Compiling kernel (tt) Sau khi biên dịch kernel hoàn tất.athena. www.com.  Hỏi & Đáp File system của hệ điều hành mới cũng là file system của hệ điều hành cũ.vn 35 . www.  An Ninh Mạng ATHENA . www.conf • /etc/services  Các lệnh cấu hình. tạo ra một kernel image và một initrd mới. ifdown • route • traceroute. tcpdump An Ninh Mạng ATHENA .com.vn Nội dung  Các file cấu hình • /etc/hosts • /etc/network • /etc/sysconfig/network-scripts/ifcfg-eth[n] Networking Fundamentals • /etc/resolv.athena. boot loader sẽ nhận thêm một hệ điều hành mới. ifup.vn An Ninh Mạng ATHENA . netstat.

vn File ifcfg-eth[n]   File /etc/resolv.conf File /etc/resolv. Có tối đa 3 giá trị.com. An Ninh Mạng ATHENA .10 centos-1. www. www.  Card loopback có file cấu hình ifcfg-lo tên card mạng gán IP tĩnh.  Một số cú pháp thông dụng:  Mỗi card mạng có một file cấu hình /etc/sysconfig/network-scripts/ifcfg-eth[n].vn An Ninh Mạng ATHENA .File /etc/hosts Là bản map giữa địa chỉ IP và tên máy tính trong network.athena. www.Qualified. n: có giá trị bắt đầu từ 1.conf dùng để định nghĩa name server mà máy tính sẽ sử dụng để thực hiện các truy vấn phân giải tên miền. www.com. • nameserver: IP hoặc tên của name server mà máy tính sẽ sử dụng.nhatnghe.athena.   File /etc/sysconfig/network  File /etc/sysconfig/network định nghĩa các cấu hình network cơ bản cho máy tính.athena.com.com centos-1  Các ứng dụng trước tiên sẽ sử dụng file này khi cần truy vấn một máy tính bằng tên. enable network enable network IPv6 tên máy tính so sánh với giá trị trong /etc/hosts default gateway của máy tính Cú pháp của file: • IP address<Tab>Fully.vn 36 .athena.  Tương tự file lmhosts của Windows.Name<space>[host_alias]* • 192. An Ninh Mạng ATHENA .168.com.1. • search: active khi boot.vn An Ninh Mạng ATHENA . hoặc DHCP • domain: DNS domain của máy tính.

ifdown  File /etc/services gồm một danh sách network port và các service sử dụng những port này. không phải cập nhật thường xuyên. www. Lệnh route cũng cho phép người quản trị điều chỉnh default gateway theo ý muốn. www. Lệnh ifdown dùng để disable một interface. Lệnh netstat: để liệt kê các port đang lắng nghe.com. Port > 1024: port được định nghĩa thêm vào tùy theo nhu cầu của ứng dụng. quản lý bảng routing table.10 netmask 255. Lệnh ifconfig dùng để cấu hình địa chỉ IP. Static route là những routing ít thay đổi. • ifconfig eth0 192. xác định vì sao gói tin không di chuyển đến một network được. Lệnh ifup dùng để enable một interface.1.168.vn Lệnh route    Lệnh traceroute. chỉnh sửa. Khi định nghĩa một service mới.0 • man ifconfig.   Port 0 – 1024: là những port đã được dành riêng. người quản trị phải định nghĩa một cặp service name và port number vào file /etc/services. tcpdump  Lệnh route dùng để hiển thị. Lệnh route cho phép định nghĩa các static route theo ý của người quản trị.vn An Ninh Mạng ATHENA .File /etc/services   Lệnh ifconfig.vn 37 .    An Ninh Mạng ATHENA . netmask.athena.athena.255. www.com. www. được định nghĩa vì một mục đích nào đó.athena. Các tham số cấu hình của lệnh ifconfig có ý nghĩa như file /etc/sysconfig/network-scripts/ifcfg-eth[n]. Lệnh traceroute thường dùng để debug.com.athena. Lệnh traceroute: để theo dõi đường đi của gói tin trong hệ thống mạng.   An Ninh Mạng ATHENA .vn An Ninh Mạng ATHENA . và tình trạng của các kết nối này.   Lệnh ifconfig cấu hình cho từng card mạng (từng interface). địa chỉ broadcast và các tham số cấu hình khác. ifup. Có thể lưu lại thành file. hoặc tìm kiếm các dấu hiệu mong muốn. dùng ethereal để phân tích gói tin. các kết nối đang mở đến máy tính. netstat.com. xác định loại traffic.255. Lệnh tcpdump: để bắt gói tin di chuyển trong network.

cấp IP tĩnh. DHCP là dịch vụ cung cấp địa chỉ IP động cho các máy tính trong hệ thống. www.vn Nội dung  Giới thiệu dịch vụ DHCP    Giới thiệu dịch vụ DHCP • chức năng • gói cài đặt.  File cấu hình • /etc/dhcpd.athena.  Lệnh dhclient  File cấu hình chính: • /etc/dhcpd. www. An Ninh Mạng ATHENA .leases.com.athena.athena.com. www.rpm.conf.com. DHCP được cài đặt bằng hai gói: • dhcp-[version].vn 38 .conf. • /var/lib/dhcpd/dhcpd. • dhcp-devel-[version]. DHCP cũng cung cấp động các tham số khác: DNS.rpm. gateway….vn An Ninh Mạng ATHENA .Hỏi & Đáp DHCP Server An Ninh Mạng ATHENA . • Hoặc cài đặt từ gói source.

com.athena.vn Lệnh dhclient  Hỏi & Đáp Có thể get IP động bằng cách điều chỉnh file: • /etc/sysconfig/network-scripts/ifcfg-eth[n]  Lệnh dhclient: dùng để get IP động từ DHCP server.conf File dhcpd.vn 39 .com.File /etc/dhcpd. www.leases theo dõi tình trạng cấp phát IP động: An Ninh Mạng ATHENA . An Ninh Mạng ATHENA . www.athena.com.leases  File dhcpd.athena. www. www.athena.vn An Ninh Mạng ATHENA .vn An Ninh Mạng ATHENA .com.

statd và rpc.   Cấu hình NFS  Các tiến trình của NFS server: • portmap • rpc.lockd • rpc. • Cấu hình dịch vụ NFS. • rpc. • NFS security.rpquotad: kiểm soát quota mà NFS users có thể sử dụng.vn 40 .com. • Cấu hình dịch vụ Samba. www. www.mountd: kiểm soát quyền được mount partition của NFS users. NFS & Samba server  Samba server • Giới thiệu dịch vụ Samba.com.vn Giới thiệu dịch vụ NFS NFS – Network File System là dịch vụ chia sẻ file trong môi trường network giữa các server Linux.athena.com.athena.  File cấu hình của NFS server: • /etc/exports An Ninh Mạng ATHENA .Nội dung  NFS server • Giới thiệu dịch vụ NFS.athena. Dịch vụ NFS không được security nhiều.vn An Ninh Mạng ATHENA . • SWAT An Ninh Mạng ATHENA .nfsd • rpc. www.  Dịch vụ NFS cho phép các NFS client mount một phân vùng của NFS server như phân vùng cục bộ của nó. vì vậy cần thiết phải tin tưởng các client được permit mount các phân vùng của NFS server.

0.0/255.mountd. www. www.athena.vn Cấu hình NFS (tt)  NFS security   Lệnh của NFS client: • mount: dùng để mount một phân vùng của NFS server thành phân vùng cục bộ.deny.255.com.0(rw)  • no_root_squash : Cho phép remote root users Hai cú pháp sau giống hay khác nhau: – host (options) – host(options) An Ninh Mạng ATHENA .rquotad.mountd.com.168.0 An Ninh Mạng ATHENA .allow • portmap.vn An Ninh Mạng ATHENA .Cấu hình NFS (tt)  Cấu hình NFS (tt)  File /etc/exports: • Cú pháp: – /path/to/export Thư mục chia sẻ Quyền truy cập Quyền truy cập có các giá trị sau: • secure • ro • rw : Port từ client requests phải nhỏ hơn 1024 : Read only : Read – write : Denied access : Ngăn remote root users [host](options) Host truy cập • noaccess • root_squash • Ví dụ: – /mnt/cdrom (ro) – /tmp – /home (rw) 192.statd: ALL  File /etc/hosts.rquotad. Để đảm bảo NFS security.athena. www.statd: 192.com.vn An Ninh Mạng ATHENA . sử dụng dựa vào 2 file /etc/hosts.lockd.0.0/255.255. • nfsstat • rpcinfo • showmount: hiển thị thông tin client nào sử dụng phân vùng nào của NFS server. www.athena.allow và /etc/hosts.com.0.lockd.168.255.athena. File /etc/hosts.deny • portmap. Có thể đưa vào file /etc/fstab để mount tự động lúc khởi động.vn 41 .

File cấu hình chính của dịch vụ Samba: • /etc/samba/smb. phục vụ cho kết nối này. smbd sẽ tạo ra một tiến trình mới. đem so sánh với password mã hóa đã được lưu sẵn. Nếu giống nhau thì chứng thực thành công. www. Dịch vụ Samba gồm những tiến trình sau: • Tiến trình smbd: – lắng nghe trên port 139.vn Giới thiệu dịch vụ Samba (tt) Giớ thiệ dị vụ   Cấu hình Samba  Windows và Linux đều sử dụng mã hóa khi cần chứng thực users.vn An Ninh Mạng ATHENA .  • Tiến trình nmdb: – lắng nghe trên port 137. www. www.Giới thiệu dịch vụ Samba Giớ thiệ dị vụ  Giới thiệu dịch vụ Samba (tt) Giớ thiệ dị vụ  Samba là dịch vụ chia sẻ file và dịch vụ in trong môi trường network giữa các máy tính Linux và máy tính Windows. Kiểu mã hóa mà Windows và Linux sử dụng là khác nhau.athena. • Truy cấp máy in của Linux.vn 42 . Khi users cần chứng thực. • Chứng thực với các máy tính Windows. Dịch vụ Samba có thể được cài đặt từ RPM: • samba-client-[version] • samba-common-[version] • samba-[version] • system-config-samba-[version]     Hoặc có thể cài đặt dịch vụ Samba từ gói source.athena.com. chịu trách nhiệm cung cấp tên NetBIOS của samba server cho các request kết nối. Để một user trên windows chứng thực thành công trên linux.vn An Ninh Mạng ATHENA . • Truy cập máy in của Windows.conf • Dùng lệnh testparm để test file cấu hình Samba. trực tiếp xử lí các request truy cập đến thư mục chia sẻ trên Linux. www. An Ninh Mạng ATHENA . An Ninh Mạng ATHENA .  Từ Windows: • Thấy những thư mục chia sẻ của Linux. tạo lại user đó trên linux.com. password do user nhập vào sẽ được mã hóa. Từ Linux: • Mount thư mục chia sẻ của Windows. – Khi một client kết nối. dùng lệnh smbpasswd.com. • Chứng thực với các máy tính Linux.athena.com.athena.

www.athena.athena.athena. www. • http://localhost:901/  Lệnh của Samba client: • smbclient • smbmount An Ninh Mạng ATHENA .com.com. hoặc chỉnh sửa qua giao diện web sử dụng SWAT.Cấu hình Samba (tt) File cấu hình dịch vụ Samba có thể được chỉnh sửa trực tiếp.athena.  Định nghĩa các option chung của Samba trong section [global]:  share | domain | server Cấu hình Samba (tt)  Thư mục share của Samba: đường dẫn để share tên thư mục thật sự gán quyền  Những thư mục share của Samba được định nghĩa thành từng section.vn 43 .com. www.vn SWAT  Hỏi & Đáp SWAT là giao diện web-based cho phép chỉnh sửa các cấu hình của Samba trên giao diện web.vn An Ninh Mạng ATHENA .vn An Ninh Mạng ATHENA . An Ninh Mạng ATHENA . www.com.

Thông tin về các module xác thực của PAM: • man [pam_module] An Ninh Mạng ATHENA .athena. PAM cung cấp nhiều module xác thực /lib/security từ đơn giản đến phức tạp. www. PAM là một thư viện.vn An Ninh Mạng ATHENA .vn Pluggable Authentication Modules      PAM (tt)      Mỗi ứng dụng có một kiểu xác thực => phức tạp hệ thống. Theo cách hiểu của Windows. Khi ứng dụng cần xác thực theo phương thức nào thì gọi phương thức đó của trong thư viện của PAM.athena. Pluggable Authentication Modules – PAM: cung cấp một phương thức xác thực tập trung. www.com. www. PAM làm việc và trả về kết quả xác thực cho ứng dụng. Ứng dụng quyết định cho phép user login hay không.com.com. Theo cách hiểu của Linux.Nội dung  Pluggable Authentication Modules (PAM). mà chuyển request cho PAM.athena. yêu cầu xác thực. • Giới thiệu • Cấu hình PAM An Ninh Mạng ATHENA . PAM đóng vai trò như DLL đối với các ứng dụng khác.vn 44 . Ứng dụng không trực tiếp xác thực.

• => mỗi ứng dụng xác thực bằng PAM có một file cấu hình trong /etc/pam. Nếu module này fail. module_path: đường dẫn cụ thể của module xác thực. dù module này bị fail.vn An Ninh Mạng ATHENA .d module_type control_flag module_path arguments     module_type: nhận một trong 4 giá trị: auth.vn 45 .com.athena. Cho phép user đổi password. control_flag: cấu hình cách xử lí của ứng dụng với kết quả xác thực do PAM trả về.athena.athena.vn PAM (tt) module_type auth account Mô tả Ứng dụng yêu cầu user phải nhập password. PAM (tt) control_flag required requisite Mô tả Module phải chứng thực thành công.d: file cấu hình của những ứng dụng sử dụng PAM xác thực. arguments: các tham số khác. www. password. www. Cho phép tiếp tục kiểm tra module khác. kết quả thành công sẽ được trả về.com.PAM (tt)    PAM (tt)  /lib/security: những module xác thực của PAM. session.athena. account. /etc/security: file cấu hình tương ứng của từng module xác thực của PAM.com. dựa vào các yếu tố khác để quyết định user có được login không: login từ đâu. session password sufficient optional An Ninh Mạng ATHENA . kết quả sẽ được trả về ngay lập tức.com. An Ninh Mạng ATHENA . nếu không kết quả fail sẽ được gởi về. www. và không có module required nào nữa. vào giờ nào… Chỉ định những thao tác cần thực hiện trước hoặc sau khi user login. www.vn An Ninh Mạng ATHENA . /etc/pam. Nếu module này thành công. không sử dụng đến các module sau. Không thực hiện chứng thực.

www. tuy nhiên nếu password fail.athena.vn Hỏi & Đáp NIS An Ninh Mạng ATHENA .athena. để sử dụng cho lần xác thực sau.PAM (tt) argument debug no_warn Mô tả Log lại thông tin debug Không gởi msg waring đến ứng dụng.athena. www.vn 46 . Dùng lệnh man [pam_module] để tìm hiểu về từng module xác thực: Vd: man pam_nologin An Ninh Mạng ATHENA . PAM (tt) use_first_pass Lưu lại password. yêu cầu user nhập lại. try_first_pass Giống option trên.com.vn An Ninh Mạng ATHENA . www.com.com.

athena. www. www. /etc/protocol… • những dữ liệu text này cách nhau bằng “tab”. việc chứng thực cho một user login vào hệ thống như sau: • các daemon • file cấu hình  NIS tools An Ninh Mạng ATHENA .Nội dung Giới thiệu NIS  Cài đặt NIS  Giới thiệu NIS Trước khi có NIS. việc chứng thực cho user login vào hệ thống có thể hiểu như sau: • /etc/passwd.vn Giới thiệu NIS (tt) Khi Giới thiệu NIS (tt) NIS – Network Information Service là nơi lưu trữ dữ liệu tập trung để các client có thể truy vấn. www. /etc/hosts. và có ít nhất một cột có giá trị duy nhất trên mỗi dòng.  có NIS.com.athena. /etc/services.vn 47 .vn An Ninh Mạng ATHENA . An Ninh Mạng ATHENA . www.  Dữ liệu có thể lưu trữ trong NIS là những dữ liệu text.com.com.com.athena.vn An Ninh Mạng ATHENA .athena.

Server có các daemon sau: • ypserv: lắng nghe truy vấn từ client. đầu tiên cần khởi tạo dữ liệu cho NIS server bằng tiến trình ypinit. hoặc source: • ypserv-[version].vn An Ninh Mạng ATHENA .  Daemon của client: • ypbind: tìm kiếm NIS server để gởi truy vấn. • ypxfrd: transfer những thay đổi từ NIS master sang NIS slave.vn An Ninh Mạng ATHENA . www. www.com.rpm NIS hoạt động theo mô hình client/server.athena. – ypcat passwd • ypwhich: cho biết NIS server nào đang phục vụ request – ypwhich • ypmatch: truy vấn dữ liệu bảng map của NIS match một từ khóa nào đó – ypmatch test passwd An Ninh Mạng ATHENA .  File /var/yp/Makefile: quyết định những dữ liệu nào NIS server sẽ hỗ trợ.Cài đặt & cấu hình NIS    Cài đặt & cấu hình NIS (tt) đặ cấ hì Để NIS server có thể hoạt động được.vn NIS tools  Hỏi & Đáp Client có thể sử dụng những tools sau để truy vấn từ NIS server: • ypcat: dump nội dung một bảng map của NIS server. Khi cần update dữ liệu của NIS server. sử dụng lệnh: • /var/yp/make An Ninh Mạng ATHENA .athena.vn 48 .athena. www. www. và trả lời cho những truy vấn này.com.com.   NIS được cài đặt gói bằng gói rpm.com.athena.

500 là một network directory.com. DAP hoạt động dựa trên giao thức OSI. www.vn Network Directory    Giới thiệu LDAP protocol Giớ thiệ   Network directory là một cấu trúc dùng để tổ chức lưu trữ theo dạng phân cấp hình cây. người ta đã sử dụng giao thức DAP – Directory Access Protocol.Nội dung Giới thiệu Network Directory  Giới thiệu LDAP protocol    Cấu trúc lưu trữ LDAP Directory Giới thiệu Openldap • server side daemon • client side command LDAP An Ninh Mạng ATHENA . Nếu ứng dụng cần nhiều thao tác insert. LDAP định nghĩa một tập lệnh giao tiếp giữa client/server dựa trên giao thức TCP để truy vấn dữ liệu directory.vn 49 .     An Ninh Mạng ATHENA . Giao thức này qui định một tập lệnh giao tiếp giữa client và server lưu trữ (network directory) để truy vấn dữ liệu cần thiết.athena. Network directory được tổ chức để thuận tiện nhất cho việc đọc và tìm kiếm. www. www.com.athena.com.vn An Ninh Mạng ATHENA . LDAP – Lightweight Directory Access Protocol là giao thức ra đời để thay thế DAP.athena. X. Để truy vấn network directory. update thì không nên lưu trữ theo kiểu network directory.

vn 50 . dc=com attribute Những schema và objectclass thường được dùng đều đã được định nghĩa sẵn trong RFC.athena.com.athena.com. quyết định cần những attribute nào. www.vn LDAP directory (tt) entry LDAP directory (tt)    cn=gerald carter.com.athena. dc=plainjoe. www. xây dựng nên cấu trúc cây thư mục. Nếu không có schema thỏa mãn yêu cầu.athena.vn An Ninh Mạng ATHENA .com. ou=people. dc=example. schema có những attribute này. objectclass mới. www. Từ đó. có thể định nghĩa schema.LDAP protocol (tt) LDAP directory RDN: Relative Distinguished Name uid=babs.vn An Ninh Mạng ATHENA . Khi muốn định nghĩa một cấu trúc cây thư mục.   An Ninh Mạng ATHENA . www. phân tích. dc=com DN: Distinguished Name An Ninh Mạng ATHENA . sau đó tìm những objectclass. ou=people.

athena. Daemon này dùng để đồng bộ những thay đổi từ LDAP master server sang LDAP slave server. client dùng những lệnh sau: • ldapadd: thêm một entry mới. và gởi câu trả lời. • ldapsearch: tìm kiếm thông tin entry.athena.com. www.LDAP directory (tt) OPENLDAP (tt) Openldap là phần mềm mã nguồn mở. Daemon này lắng nghe các request truy vấn LDAP từ client. An Ninh Mạng ATHENA . • ldapmodrdn: chỉnh sửa RDN của entry. • ldapdelete: xóa một entry. tiến hành truy vấn. dùng để hiện thực LDAP chạy trên hệ điều hành Linux/ UNIX. www.athena.vn An Ninh Mạng ATHENA .  Phía server gồm có hai dịch vụ chính:  • slapd: standalone LDAP daemon.com.vn 51 .athena.vn OPENLDAP (tt)  Hỏi & Đáp Để truy vấn LDAP.com. • slurpd: LDAP replication daemon.com. www. • ldapmodify: chỉnh sửa thông tin một entry. www. An Ninh Mạng ATHENA .vn An Ninh Mạng ATHENA .

www. www.com. Dữ liệu sẽ được truyền trên port này.Nội dung  Dịch vụ FTP • Giới thiệu dịch vụ FTP • Cài đặt dịch vụ FTP • Cấu hình dịch vụ FTP FTP & SSH server  Dịch vụ SSH • Giới thiệu dịch vụ SSH • Cài đặt dịch vụ SSH • Cấu hình dịch vụ SSH An Ninh Mạng ATHENA .vn Giới thiệu dịch vụ FTP   Giới thiệu dịch vụ FTP (tt) Giớ thiệ dị vụ  Dịch vụ FTP là dịch vụ cung cấp cơ chế truyền.com. • Passive FTP. www.com. Active FTP  Dịch vụ FTP có hai mode hoạt động: • Active FTP. Port này dùng để trao đổi lệnh. • Port 21: control port.vn 52 . Dịch vụ FTP hoạt động trên hai port: • Port 20: data port. reply giữa client và server.vn An Ninh Mạng ATHENA .athena. nhận file qua giao thức TCP/IP.athena. An Ninh Mạng ATHENA .athena.

dịch vụ SSH được tin dùng hơn dịch vụ telnet. wuftpd.conf: kiểm soát hoạt động của dịch vụ FTP.athena.com. • vsftpd.user_list: tùy theo cấu hình file vsftpd. password Mặc định dịch vụ SSH đã được cài đặt khi cài đặt máy tính. File cấu hình chính của gói vsftpd: • vsftpd.Giới thiệu dịch vụ FTP (tt) Giớ thiệ dị vụ  Cài đặt & cấu hình dịch vụ FTP đặ cấ hì dị vụ     Passive FTP Có nhiều gói để cài đặt dịch vụ FTP như: vsftpd. truyền trong mô trường SSH là dữ liệu mã hóa. Có thể cài đặt bằng RPM hoặc source. Vì tính an toàn dữ liệu. dịch vụ FTP sẽ deny hoặc allow ds những users này. vụ SSH cho phép điều khiển một phiên làm việc từ xa bằng dòng lệnh. www. www. pureFTPd.vn 53 . Hoặc có thể cài đặt dịch vụ SSH bằng gói: • openssh-[version]. • vsftpd.com. Gói vsftpd được đánh giá là security tốt.vn An Ninh Mạng ATHENA .vn Giới thiệu dịch vụ SSH Thế mạnh Dịch Cài đặt dịch vụ SSH đặ dị vụ   của hệ điều hành Linux là dòng lệnh.com.athena. Dịch  File cấu hình chính của dịch vụ SSH: • sshd_config vụ SSH lắng nghe ở port 22.athena. www.com.vn An Ninh Mạng ATHENA . www. Dữ liệu.conf. An Ninh Mạng ATHENA .ftpusers: ds những users không được phép log vào FTP.athena. An Ninh Mạng ATHENA . proFTPD.

arpa Domain • Phân giải request DNS • Types of DNS server       Cài đặt dịch vụ DNS Cấu hình dịch vụ DNS DNS tools An Ninh Mạng ATHENA . • Fully Qualified Domain Name (FQDN) • The in-addr. dùng file text để quản lý.athena.vn An Ninh Mạng ATHENA . www. www.  Hoạt động của dịch vụ DNS  Giới thiệu dịch vụ DNS   Để máy tính này có thể liên lạc với máy tính kia. www. Với hệ thống mạng nhỏ. Người sử dụng muốn liên lạc với máy tính khác trong mạng bằng tên máy tính.Hỏi & Đáp DNS server An Ninh Mạng ATHENA .com.com.vn 54 .athena. Với mạng Internet. Người sử dụng khó khăn trong việc nhớ địa chỉ IP. sử dụng dịch vụ DNS. Cần có một bảng map giữa địa chỉ IP và tên máy tính. cần phải biết địa chỉ IP.vn Nội dung Giới thiệu dịch vụ DNS.athena.com.

www.com.vn An Ninh Mạng ATHENA . www.athena.com. Top-level domain Dịch vụ DNS cho phép người dùng truy cập đến các máy tính khác bằng tên.vn 55 . www. không cần nhớ đến địa chỉ IP. Root domain Third-level domain   DNS quản lý tên miền theo cấu trúc cây.vn An Ninh Mạng ATHENA .athena.Giới thiệu dịch vụ DNS Dịch vụ DNS – Domain Name Service là dịch vụ phân giải tên miền.com. Second-level domain org .  serverA. Dịch vụ DNS được hiện thực bằng phần mềm Berkely Internet Name Domain system (BIND).  Dịch vụ DNS sẽ ánh xạ từ tên miền sang địa chỉ IP. www.com.athena. example.athena.vn Fully Qualified Domain Name (tt) Fully Qualified Domain Name (tt) An Ninh Mạng ATHENA . An Ninh Mạng ATHENA .   Fully Qualified Domain Name  Dịch vụ DNS quản lý tên miền bằng Fully Qualified Domain Name (FQDN).

tên miền quốc tế.com. www. server DNS: DNS của nhà cung cấp khác. tên miền do VNNIC quản lý.d) server tên miền do Athena quản lý.b.  DNS của nhà cung cấp khác: • request -> DNS server -> answer. • request -> Athena -> Root servers -> DNS primary > answer.d) domain name: domain name: domain name: request (domain name) -> server DNS -> IP (a. An Ninh Mạng ATHENA .c.com. www.b.vn An Ninh Mạng ATHENA .The in-addr.vn Phân giải request DNS (tt) giả  Phân giải request DNS (tt) giả  Tên miền do Athena quản lý: • request -> Athena -> answer. DNS: DNS của Athena.athena.com.athena.c.arpa Domain (tt) in- Phân giải request DNS request -> server DNS -> IP (a.  domain name: tên miền quốc tế.com. An Ninh Mạng ATHENA . • request -> Athena -> VNNIC -> ISP -> answer.vn An Ninh Mạng ATHENA . • request -> DNS server -> VNNIC -> Athena -> answer. DNS Athena: • request -> Viettel -> answer. www.athena.vn 56 . www.athena.  domain name: tên miền do VNNIC quản lý.

vn Type of DNS server   Cài đặt dịch vụ DNS  Primary DNS server Cài đặt dịch vụ DNS bằng các gói bind • bind-utils-[version] • bind-libs-[version] • bind-[version] Secondary DNS server  Caching/ Forwarding DNS server  File cấu hình chính của dịch vụ DNS: • named.Phân giải request DNS (tt) giả  Phân giải request DNS (tt) giả  Chi tiết xử lí request của DNS không hỗ trợ mode recursive: Chi tiết xử lí request của DNS hỗ trợ mode recursive: An Ninh Mạng ATHENA .athena.com.athena.com.vn An Ninh Mạng ATHENA .com. www. www.com. www.vn An Ninh Mạng ATHENA .vn 57 .conf An Ninh Mạng ATHENA . www.athena.athena.

A. NS.com.vn 58 . Root servers Định nghĩa domain An Ninh Mạng ATHENA .athena. PTR.com.athena. www. www.athena. MX. www.Cấu hình dịch vụ DNS (tt) hì dị vụ Cấu hình dịch vụ DNS (tt) hì dị vụ  Option chung DNS hỗ trợ các bản ghi: SOA.com.com.vn DNS tools  Hỏi & Đáp Lệnh dig: • dig @nameserver domain  Lệnh dnsquery: • dnsquery -n nameserver host  Lệnh host: • host domain  Lệnh nslookup: • nslookup record [server] • nslookup ipaddress An Ninh Mạng ATHENA .athena. www.vn An Ninh Mạng ATHENA . CNAME.vn An Ninh Mạng ATHENA .

athena. Apache… Apache là một phần mềm mã nguồn mở được sử dụng để làm web server phổ biến nhất trên Linux. www. xử lí. www. Apache tương thích với hầu hết hệ điều hành UNIX. và trả kết quả cho web client (browers). có thể biên dịch thêm nhiều module từ: • http://modules.apache.com. www. và cả Windows.com.vn An Ninh Mạng ATHENA .com. Web client (browsers) sẽ gởi request đến Web server sử dụng HTTP protocol. cho phép mở rộng nhiều tính năng.    Cài đặt Apache. Web server nhận request.vn 59 . Apache hoạt động linh hoạt. Nhiều phần mềm được sử dụng để hiện thực tính năng của web server: IIS. HyperText Markup Language (HTML) là ngôn ngữ dùng để viết web.athena.vn Giới thiệu dịch vụ Web     Apache     World Wide Web (WWW) là một ứng dụng client-server dựa trên giao thức HTTP protocol. Cấu hình Apache  Access control Log Files  Performance  An Ninh Mạng ATHENA .athena.Nội dung Web server Trung tâm Đào tạo Quản trị & An ninh mạng ATHENA Giới thiệu dịch vụ Web.org An Ninh Mạng ATHENA .  Giới thiệu Apache.

www.gz  Khi cài đặt bằng gói source có thể chọn nhiều option để biên dịch Apache • --enable-proxy • --enable-ssl • --enable-rewrite • …………….com:80 # Khai báo địa chỉ URL DocumentRoot “/var/www/html”# Thư mục gốc của web server Cấu hình Apache (tt)   Virtual host: có hai kiểu hiện thực name-based và IP-based. • Virtual host section: mỗi virtual host có thể có một section riêng. • Main section: apply cho những virtual host không có section riêng. www.com.vn 60 .rpm File cấu hình của Apache: httpd.conf Cấu hình của Apache gồm ba phần chính: • Global section: những cấu hình trong section này apply cho tất cả host trên server.vn An Ninh Mạng ATHENA . mỗi virtual phải có một card mạng: An Ninh Mạng ATHENA .vn Cấu hình Apache (tt) File cấu hình của Apache: httpd.vn An Ninh Mạng ATHENA .com.athena.athena.nhatnghe_lpi.athena. www. Với kiểu IP-based.Cài đặt Apache  Cấu hình Apache hì   Có thể cài đặt Apache bằng gói rpm • httpd-[version].com.tar.conf – Global section: ServerRoot “/etc/httpd” # Vị trí cài đặt Apache Timeout 120 # Thời gian sống của một kết nối (giây) KeepAlive On # Client gửi nhiều y/c đến server qua 1 kết nối MaxkeepAliveRequests 100 # Số request tối đa trên một kết nối KeepAliveTimeout 15 # Thời gian timeout của một request Listen 80 # Lắng nghe trên port 80 User apache # User và Group để chạy httpd Group apache ServerAdmin root@localhost # Email của người quản trị ServerName www.athena.  Hoặc có thể cài đặt Apache bằng gói source • httpd-[version]. An Ninh Mạng ATHENA .com. www.

vn 61 .com.athena.com.athena.athena.conf error_log – Lỗi phát sinh trong quá trình chạy của web server.athena.    Cấu hình Apache hỗ trợ Virtual host theo kiểu name-based Có thể giới hạn truy cập qua dãy IP của user. www.com.vn An Ninh Mạng ATHENA . khi cấu hình. Những user được kiểm tra username/pass đúng mới được truy cập. không thể truy cập trang web nào. An Ninh Mạng ATHENA . hoặc có thể không cấu hình.vn An Ninh Mạng ATHENA . www. Log này là option.com.  User có thể truy cập trang web nào.conf   An Ninh Mạng ATHENA . Tạo username/pass: access_log – liệt kê từng request truy cập vào trang web. Có thể giới hạn truy cập bằng cách chỉ chấp nhận những user đã được xác thực (valid user).  Giới hạn truy cập trong file httpd. agent_log – liệt kê những chương trình được web server gọi chạy. có thể chọn lúc biên dịch apache.Cấu hình Apache (tt) hì  Access control Access control giúp kiểm tra user nào được phép truy cập trang web. www.vn Access control (tt)   Log Files   Có thể giới hạn truy cập qua thông tin users. có thể chọn trong khi biên dịch. refer_log – liệt kê những URL trước đó browser đã sử dụng. hoặc cấu hình trực tiếp trong file cấu hình httpd. Log này cũng là option. www.

athena.com. để chờ kết nối. www. www. An Ninh Mạng ATHENA .vn Nội dung Squid server Trung tâm Đào tạo Quản trị & An ninh mạng ATHENA Giới thiệu Squid server  Cấu hình Squid server  • Option • Cấu hình ACL  Squid Authentication An Ninh Mạng ATHENA .vn 62 .athena.Performance  Hỏi & Đáp Những option này được định nghĩa trong phần Global Section: • StartServers: số tiến trình con được sinh ra lúc đầu khi web server start.com. • MaxClient: web server phục vụ tối đa cho bao nhiêu request đồng thời. để chờ kết nối. • MinSpareServers: số tiến trình con tối thiểu ở trạng thái idle. • MaxSpareServers: số tiến trình con tối đa cho phép ở trạng thái idle. www.vn An Ninh Mạng ATHENA .com.athena.

xác nhận tính hợp lệ của request dựa trên những policy đã được định nghĩa trong Squid.com.athena. Mặc định là port 3128.vn Cấu hình Squid server  Cấu hình Squid server (tt) hì • cache_mem: Squid server sẽ sử dụng bao nhiêu memory của RAM.vn An Ninh Mạng ATHENA . www.168. • cache_dir: định nghĩa Squid server sẽ chứa cache ở đâu – cache_dir storage_type directory-name megabytes L1 L2 [options] – cache_dir ufs /var/spool/squid 10000 16 256 Directory Megabytes Top level directory Second level directory An Ninh Mạng ATHENA . thì Squid trả kết quả về ngay cho request.vn 63 . www.0/24 http_access allow intranet http_access deny all Một số option chính cấu hình Squid server: • http_port: port Squid server lắng nghe request để phục vụ. • cache_access_log: Squid server ghi nhận lại các request đã query Squid.   Giới thiệu Squid server (tt) Giớ thiệ Squid server có thể được cài đặt bằng source hoặc bằng rpm.com. An Ninh Mạng ATHENA .athena.com. Nếu kết quả đã có trong cache của Squid.  Squid server gồm những file sau trong hệ thống:  • /etc/squid • /usr/lib/squid • /usr/sbin/squid • /var/log/squid Sau đó. Squid sẽ kiểm tra.Giới thiệu Squid server Squid là một caching proxy server.com. truy cập những trang nào.vn An Ninh Mạng ATHENA .athena.  Khi có request yêu cầu Web page. Squid server được đặt giữa Web client và Web server.1. acl intranet src 192. • acl: đây là phần phức tạp nhất của Squid server.athena. cho phép người nào sẽ được truy cập Web. www. truy vấn Web page để trả về kết quả cho request. www.

Để sử dụng tính năng Squid Authentication. www. www.com.athena. • Giới hạn băng thông tối đa được sử dụng. www.Cấu hình Squid server (tt) hì  Cấu hình Squid server (tt) hì Có thể dùng acl để giới hạn truy cập bằng nhiều cách: • Giới hạn truy cập theo thời gian. user phải có username/pass hợp lệ => Squid Authentication. cần biên dịch ncsa_auth với Squid.com. www. • Giới hạn truy cập theo port.com.vn An Ninh Mạng ATHENA . • Giới hạn truy cập theo giao thức. An Ninh Mạng ATHENA . • Giới hạn file được phép download. • Giới hạn truy cập theo trang web.athena.vn 64 .athena. Tạo password cho user: Cấu hình Squid hỗ trợ tính năng Squid Authentication:  An Ninh Mạng ATHENA .athena. • Giới hạn truy cập theo IP.com.vn An Ninh Mạng ATHENA .vn Squid Authentication    Hỏi & Đáp Để sử dụng Squid.

com. đã được nhận về chưa.Nội dung Mail server Trung tâm Đào tạo Quản trị & An ninh mạng ATHENA  Giới thiệu dịch vụ Mail • MUA – Mail User Agent.vn Giới thiệu dịch vụ Mail   Giới thiệu dịch vụ Mail (tt) Giớ thiệ dị vụ  Dịch vụ Mail là dịch vụ quan trọng và cần thiết nhất đối với người sử dụng. người nhận mới nhận được email.com. • monitor được các kết nối gởi.athena. • MTA – Mail Transfer Agent. • Gởi email. • MDA – Mail Delivery Agent. có bị nghẽn hay không? • kiểm soát được tình trạng gởi spam mail. • Thường xuyên phải nhận thư rác.athena. www. thư quảng cáo… Để kiểm soát tốt dịch vụ Mail.vn An Ninh Mạng ATHENA . những lỗi thường gặp: • Gởi email. • Các protocol để transfer mail. nhưng > 1h. www. gởi đến nơi chưa.com. đến 1 ngày. nhưng người nhận không nhận được.vn 65 . nhiều hay ít. người quản trị phải: • monitor tình trạng của email.   Phân tích cách cấu hình MTA. Phân tích chính sách chống spam. đã được gởi đi chưa. www. virus mail… An Ninh Mạng ATHENA . và người gửi cũng không nhận được msg báo lỗi. không nhận được. Với người sử dụng. An Ninh Mạng ATHENA . nhận mail. lí do vì sao không gởi được.athena.

An Ninh Mạng ATHENA . Người sử dụng dùng giao thức POP hoặc IMAP kết nối với Incoming (MDA) để lấy mail về. An Ninh Mạng ATHENA .athena.com. www. Và liên lạc với server mail chịu trách nhiệm về rcpt này để gởi mail.vn An Ninh Mạng ATHENA . -> test1@yahoo. • Outgoing sẽ liên lạc với remote MTA theo kết quả phân giải bản ghi MX của DNS. xác định rcpt cùng domain với sender. Incoming server trong chương trình soạn email.com Server outgoing LMTP Athena -> DNS -> Record MX -> Mail yahoo.com. deliver local.vn An Ninh Mạng ATHENA . • Rcpt thuộc domain khác.athena. www. eudora. • Server Outgoing phân tích “To”:address. www.com test@nhatnghe. • Người dùng send email. >checkmail bằng POP để nhận email từ Incoming.com. outgoing sẽ dùng DNS để tìm bản ghi MX của mail server domain đó (remote MTA). www. outgoing -> Mail yahoo SMTP Athena -> Incoming Athena test1@nhatnghe.athena.com -> test1@yahoo. (Outlook. SMTP • Remote MTA sẽ chuyển email đến rcpt của họ. Remote MTA MTA Quá trình liên lạc giữa các MTA như sau: • Sau khi phân tích “To”:address. Khi gởi mail trong cùng domain. Server Outgoing nhận email. Incoming server thường là một server POP3 -> MDA – Mail Delivery Agent.vn Giới thiệu dịch vụ Mail (tt) Giớ thiệ dị vụ  Giới thiệu dịch vụ Mail (tt) Giớ thiệ dị vụ test@nhatnghe.vn 66 .com   User check email qua Incoming server.Giới thiệu dịch vụ Mail (tt) Giớ thiệ dị vụ  Giới thiệu dịch vụ Mail (tt) Giớ thiệ dị vụ  Quá trình gởi mail của người dùng như sau: • Người dùng cấu hình Outgoing. server Outgoing (MTA) sẽ deliver mail cho server Incoming (MDA) bằng giao thức LMTP – Local Mail Transfer Protocol.com.com. MUA thunderbird…) • Dùng chương trình đó soạn email.athena.com Server outgoing ->test1@nhatnghe.

Cyrus-IMAP.athena. Mail yahoo -> Mail Athena SMTP -> test@nhatnghe. Postfix. số kết nối tối đa mà MTA có thể đảm nhận.Giới thiệu dịch vụ Mail (tt) Giớ thiệ dị vụ test1@yahoo.vn An Ninh Mạng ATHENA . Athena -> LMTP Incoming Athena để deliver mail cho test@nhatnghe. • MTA sẽ chuyển mail cho server MDA nào.com. thời gian drop mail trong hàng đợi.com. Thunderbird.vn An Ninh Mạng ATHENA .vn 67 . cần lưu ý những tính năng sau: • MTA yêu cầu user xác thực trước khi gởi mail => SMTP Authentication.com Các protocol sử dụng trong quá trình gởi nhận mail như sau: • SMTP – Simple Mail Transfer Protocol: giao thức gởi nhận mail giữa các MTA. Qmail.com.com Yahoo -> DNS -> Record MX -> Mail Athena.com. Exim. IP nào.athena. • MTA giới hạn số rcpt tối đa có thể gởi đồng thời. • MTA giới hạn số kết nối đồng thời từ một IP.com. An Ninh Mạng ATHENA .com test@nhatnghe. thời gian gởi warning cho người dùng. • Cách MTA xử lí hàng đợi mail: ở trong hàng đợi tối đa bao lâu. • MTA không chấp nhận kết nối từ những domain. • IMAP – Internet Mail Access Protocol: giao thức lấy mail từ MDA về MUA.vn Giới thiệu dịch vụ Mail (tt) Giớ thiệ dị vụ  Cấu hình MTA  Các phần mềm dùng để đảm nhận chức năng MTA – Mail Transfer Agent: • Sendmail.  Các phần mềm cho chức năng MUA – Mail User Agent: • Outlook. www. • LMTP – Local Mail Transfer Protocol: giao thức deliver mail giữa MTA và MDA. • POP – Post Office Protocol: giao thức lấy mail từ MDA về MUA. ->checkmail bằng POP để nhận email từ Incoming. Khi cấu hình MTA.com Mail Giới thiệu dịch vụ Mail (tt) Giớ thiệ dị vụ  -> test@nhatnghe. An Ninh Mạng ATHENA .  Các phần mềm dùng để đảm nhận chức năng MDA – Mail Delivery Agent: • Procmail. • MTA giới hạn kích thước của msg. www. Maildrop. • MTA xử lí mail cho những domain nào => relay domains.athena.athena. Courier IMAP. www. www. Eudora.

• Nội dung mail SPAM: chống SPAM bằng cách lọc nội dung email.com. An Ninh Mạng ATHENA .athena.athena. www.  Mô hình xử lí logic của iptables Cú pháp iptables Firewall  An Ninh Mạng ATHENA .Chính sách chống SPAM  Hỏi & Đáp Chống SPAM cho mail có hai loại chính: • SPAM từ kết nối: chống SPAM bằng các chính sách kiểm tra kết nối gởi mail.vn An Ninh Mạng ATHENA . dựa vào blacklist.athena. www. – Nội dung email là nội dung quảng cáo – Email chứa virus nguy hiểm. – => dùng phần mềm lọc spam. virus.vn Nội dung  Giới thiệu iptables • Giới thiệu một mô hình mạng.com.vn 68 . www. – nhiều IP liên tục mở kết nối: kiểm tra reverse. • Áp dụng firewall. • Phân tích traffic.com. – một IP liên tục mở nhiều kết nối -> hạn chế ngưỡng kết nối tối đa của một IP. – gởi liên tục nhiều email: dùng những phần mềm đánh giá nguồn gởi email.

2 Default route: 10.0.88 From: 200. ngoại trừ những traffic sau: – TCP port 80.88: 80 Client: 200.2: 1025 To: 172.12.2.com.20. – TCP port 443: forward đến file server.1 chain From: 200.0. port 22.athena.vn An Ninh Mạng ATHENA .0/24) ra ngoài.1 DNAT Eth0: 172.2.athena.com.2: 80 table Eth1: 10.Giới thiệu iptables Miền cần bảo vệ Giới thiệu iptables  Cần quản lý những loại traffic sau: • Cho phép mọi traffic từ trong firewall (10.2.0.0. port 443 – TCP port 80: forward đến web server. www.com.0.12.0.0.2 ` An Ninh Mạng ATHENA .2.2.0.athena.2. www.2: 1025 To: 10. www.com.0.athena.vn Mô hình logic iptables hì Mô hình logic iptables hì Server 10. nat filter An Ninh Mạng ATHENA . – TCP port 22: forward đến file server.20.0. • Cấm tất cả các traffic từ ngoài vào trong firewall. www.vn An Ninh Mạng ATHENA .vn 69 .

• RETURN: trả về cho chain cấp trên hoặc default policy.com. • -N chain: định nghĩa một chain mới. www.Mô hình logic iptables hì Server: 10. • -E [old_chain] [new_chain]: đổi tên chain (chỉ có thể thay đổi với những chain do người dùng tạo ra).athena. www.2.vn An Ninh Mạng ATHENA .12. • -D chain: xóa một rule.0. • LOG: ghi lại thông tin packet trong system log – --log-level – --log-prefix – --log-tcp-sequence – --log-tcp-options – --log-ip-options An Ninh Mạng ATHENA .0. • --reject-with type: gửi ICMP với type chỉ định.88: 80 To: 200.athena.1 Cú pháp iptables  iptables –t table –A chain [match] [target] • table: filter (default). sẽ không gởi nữa.20. • -I chain number: chèn một rule vào dòng [number].athena. rules From: 10.athena.0.0. match target REJECT: • drop gói tin.2. mangle • -A chain: thêm một rule mới.2: 1025 • -L chain: xem các rule đã có.1 SNAT Eth0: 17.com.vn An Ninh Mạng ATHENA .2: 1025 Eth1: 10.0. • -F chain: xóa mọi rule hiện có.20. đồng thời gởi gói tin ICMP trả lời về cho người gửi.2.0. – icmp-net-unreachable – icmp-host-unreachable – icmp-port-unreachable – icmp-proto-unreachable • QUEUE: chuyển gói tin vào hàng đợi queue. www.2 Default route: 10.com. nat.vn 70 .2. www.2. Nếu đã gửi quá nhiều lần.vn Cú pháp iptables (tt)  Cú pháp iptables – TARGET phá  iptables –A INPUT –p tcp –dport 22 –j ACCEPT • ACCEPT: cho phép gói tin đi qua.com.2: 80 To: 200.0.0. Client: 200. • DROP: vứt bỏ gói tin. • -R chain number: thay thế một rule ở dòng [number].12.2 ` An Ninh Mạng ATHENA .88 From: 172.2.

vn An Ninh Mạng ATHENA .0. • -j REDIRECT --to-ports 80 An Ninh Mạng ATHENA . [!] –f: chọn những gói tin bị phân mảnh (từ mảnh vụn thứ hai).20.athena.TARGET (tt)  Match -p [!] name: chọn những packet dựa trên protocol.  -d [!] address[/mask]: cũng giống trường hợp trên nhưng là địa chỉ đích của packet.1.0. www.vn An Ninh Mạng ATHENA .com. Protocol có thể là tên hoặc port tương ứng trong file /etc/protocols.168. www.vn 71 . --sport [!] [port][:port]: chọn những packet có port nguồn xác định như trên --dport [!] [port][:port]: chọn những packet có port đích xác định như trên.12.athena.0/24 –i eth0 -d 192.2:80 MASQUERADE: là một dạng đặc biệt của SNAT. -o name: chọn những packet được gửi từ interface name (output).1 --dport 80 -j ACCEPT An Ninh Mạng ATHENA .athena.1.  REDIRECT: chuyển hướng của gói tin tới một port khác trên máy local. Address có thể là hostname hoặc địa chỉ IP.com.com. www.athena. iptables –A INPUT -p tcp –s 10.1.vn Match (tt)    Match (tt)    -i name: chọn packet được nhận từ interface name (input).   SNAT: chỉ có thể sử dụng trong table nat trong chain POSTROUTING • --to-source address[-address][:port-port] • -j SNAT --to-source 172. www.com.88  DNAT: chỉ có thể sử dụng trong table nat trong chain PREROUTING • --to-destination address[-address][:port-port] • -j DNAT --to-destination 10.  -s [!] address[/mask]: chọn những packet dựa trên địa chỉ nguồn.

ESTABLISHED.athena.  Đối với mac (sử dụng -m) • --mac-source [!] address: chọn những packet có địa chỉ MAC nguồn là address.com. được chỉ định bằng 1 con số và đằng sau là /second.athena.vn An Ninh Mạng ATHENA . /day.com. www. RELATED An Ninh Mạng ATHENA . • --state states: chọn gói tin có trạng thái là 1 trong các trạng thái được liệt kê ở states • Các trạng thái của một kết nối là: INVALID.vn Match state (tt)  Hỏi & Đáp Module state cho phép nhận biết và chọn các packet dựa trên trạng thái kết nối của các packet đó.vn An Ninh Mạng ATHENA . www.Match icmp & mac (tt)  Match limit (tt)  Đối với icmp (sử dụng -p icmp) • --icmp-type [!] type: chọn những packet icmp thuộc kiểu type. NEW. Default là 5. Address viết dưới dạng 00:60:08:91:CC:B7 An Ninh Mạng ATHENA . Type có thể chỉ định bằng số hoặc tên (iptables -p icmp -h) Đối với limit (sử dụng -m) • --limit rate: giới hạn tần suất của packet.com. Iptables là stateful.com. • --limit-burst [number]: xác định số lượng packet tối đa được chấp nhận. /hour.athena. www. Default là 3/hour. www.vn 72 .athena. /minute.

Nội dung

Giới thiệu Snort
• Sniffer mode • Packet Logger mode • Network Instrution Detection System (NIDS) • Inline mode

IDS server

Cài đặt, cấu hình Snort
• Preprocessor • Output modules

Cấu trúc luật của Snort
• Rule header • Rule option

An Ninh Mạng ATHENA , www.athena.com.vn

Giới thiệu Snort
 

Giới thiệu Snort (tt) Giớ thiệ

Snort là một phần mềm mã nguồn mở có khả năng phát hiện, chống sự xâm nhập trái phép. Snort hoạt động như một phần mềm đứng giữa sự giao tiếp của hai máy tính. Các packet trước khi được gửi đến máy tính đích sẽ được snort kiểm tra, thẩm định. Snort có thể phát hiện nhiều loại xâm nhập như: buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts…

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

73

Giới thiệu Snort (tt) Giớ thiệ

Sniffer Mode

Hiển thị thông tin header của packet:
• snort -v

Hiển thị thông tin ứng dụng đang phát sinh packet:
• snort –v -d

Header của tầng datalink:
• snort –vde • snort –v –d -e

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

Packet Logger Mode

Network Instrution Detection System
Mode

Lưu thông tin xuống file:
• snort –dev –l [filename]

hoạt động phức tạp nhất, nhiều option

nhất.
Bắt

Lưu thông tin ở dạng binary:
• snort –l [filename] -b

buộc phải chỉ ra file luật dùng để hoạt động (option -c)
• snort –u snort –g snort –D –c /etc/snort
Mặc

Đọc ngược thông tin từ file binary:
• snort –dv –r [filename] • snort –dv –r [filename] icmp

định của mode này là cảnh báo full alert và log lại packet theo dạng ASCII.

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

74

Inline Mode

Cài đặt đặ
 

Biên dịch hỗ trợ inline mode:
• ./configure –enable-inline

./configure

Có 3 loại luật được sử dụng ở mode inline:
• drop: iptables sẽ bỏ qua packet và log lại sự kiện này. • reject: iptables sẽ bỏ qua packet, log lại sự kiện, và thông báo đến máy tính rằng packet này sẽ không đến nơi. • sdrop: iptables sẽ bỏ qua packet, không thông báo đến máy đích và cũng không log lại sự kiện.

make  make install
  

Để hoạt động ở mode NIDS cần có tập luật: snortrules.tar.gz. tar –xzvf snortrules.tar.gz -C /etc/snort Sửa file /etc/snort/snort.conf

snort_inline –QDc ../etc/drop.conf –l /var/log/snort

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

Cấu hình Snort
var HOME_NET: định nghĩa mạng cần bảo vệ.  var EXTERNAL_NET: định nghĩa mạng bên ngoài.  var DNS_SERVERS: định nghĩa các server DNS cần bảo vệ.  var SMTP_SERVERS: định nghĩa các server SMTP cần bảo vệ.  portvar HTTP_PORTS : định nghĩa port của ứng dụng.

Cấu hình Snort (tt)

preprocessor: kiểm tra packet ngay sau khi packet được giải mã. Preprocessor được thực hiện trước tất cả các luật tìm kiếm, phát hiện khác.
• preprocessor <name>:<option>

output module: linh hoạt trong việc định dạng thông báo đến người sử dụng
• output <name>:<options>

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

75

Cấu hình Snort (tt)  Cấu trúc luật Snort Rule header: rule action.com. địa chỉ IP nguồn và địa chỉ IP đích. www. phần thông tin để xác định packet nào sẽ bị giữ lại. đồng thời gởi thông báo từ chối đến máy nguồn. • reject: cho phép iptables bỏ qua packet này. www. • dynamic: ở trạng thái idle cho đến khi được một rule khác được kích hoạt. user=snort dbname=snort host=localhost. Định nghĩa rule type riêng phù hợp với mục đích: ruletype redalert { type alert output alert_syslog: LOG_AUTH LOG_ALERT output database: log.com.vn An Ninh Mạng ATHENA .athena.vn An Ninh Mạng ATHENA .athena. www.) Protocol Rule action An Ninh Mạng ATHENA . } An Ninh Mạng ATHENA . • active: cảnh báo và gọi thực thi một rule khác. • log: ghi lại packet.vn 76 . • pass: bỏ qua packet. cũng không thông báo đến máy nguồn. protocol.com. log lại packet.   Preprocessor: • stream4 -> replace bằng stream5 • sfPortscan • Performance Monitor • ftp_telnet  Output modules: • alert_syslog • alert_fast • alert_full • log_tcpdump • alert_csv alert tcp any any -> any any (content:”|00 01 86 a5|”. • sdrop: cho phép iptables bỏ qua packet này nhưng không log lại packet.com.athena.athena. port nguồn và port đích . mysql. msg: “mountd access”.vn Rule action  Rule action (tt)  Rule action: • alert: cảnh báo và ghi lại packet.  Rule option: thông điệp cảnh báo. • drop: cho phép iptables bỏ qua packet này và log lại packet bị bỏ qua. www.

www.vn priority: <priority integer> Payload          Non Payload    content: [!] “<context string>”.vn 77 .com. An Ninh Mạng ATHENA . distance: <byte count>. A: ACK).  dsize: kiểm tra non-payload có lớn hơn một kích thước xác định không.    Meta data   msg: “<message text>”. depth: <number>.athena.vn  An Ninh Mạng ATHENA . non-payload: tìm kiếm thông tin trong phần non-payload của packet.com. www. <id>.  flow: xác định chiều của kết nối. byte jump ttl: time to live.athena. An Ninh Mạng ATHENA .   window: kiểm tra tcp window size.vn An Ninh Mạng ATHENA .endian] [.<number type>. reference: <id system>. uricontent: [!]<context string>. www.com. post-detection: xảy ra sau khi một rule được kích hoạt. string].  sid: <snort rules id>.athena. isdataat: <int>. byte_test: <bytes to convert>. <offset> [. rawbytes. offset: <number>. flag: kiểm tra TCP flag bits (F: FIN. nocase.  payload: tìm kiếm thông tin trong phần payload của packet. S: SYN. <value>.relative] [.com. [!] <operator>. tos: type of service. R: RST. www.Rule option meta-data: cung cấp thông tin về rule nhưng không gây ra bất cứ ảnh hưởng nào đến quá trình phát hiện packet.athena.  classtype: <classname>.

Post detection  Hỏi & Đáp logto: kiểm tra log lại sự kiện vào file.vn An Ninh Mạng ATHENA . • logto: “filename”.vn 78 .athena. react. • session: [printable|all]. www.athena.  resp.  session: sử dụng để lấy sự kiện từ một TCP session.com. www.com. An Ninh Mạng ATHENA .