Mục tiêu khóa học

Active Directory

Exchange server

Quản trị mạng Linux
Print/ File server DHCP server

Proxy server

ISA server

FTP server

IIS server

SQL server

An Ninh Mạng ATHENA , www.athena.com.vn

Mục tiêu khóa học (tt)
  

Mục tiêu khóa học (tt)

Sử dụng máy tính Linux đáp ứng các yêu cầu chức năng như máy tính Windows. Thay thế mô hình mạng các server Windows bằng mô hình mạng các server Linux. Các server Linux đáp ứng đủ vai trò như server Windows, có khả năng quản lý tốt, chịu lỗi tốt.

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

1

Nội dung khóa học
 Installing Linux as a Server
• Technical Summary of Linux Distributions • Installing Linux in a Server Configuration • Installing Software

Nội dung khóa học (tt)
 Single host Administration
• Managing User • The Command Line • Booting and shutting down • File Systems • Core System Services • Compiling the Linux Kernel

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

Nội dung khóa học (tt)
 Intranet services
• Networking Fundamentals • DHCP server • Samba/ NFS server • NIS • LDAP

Nội dung khóa học (tt)
 Internet services
• FPT/ SSH server • DNS server • Web server/ Database server • Proxy server • Mail server • Firewall server • IDS

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

2

Hỏi & Đáp

Technical summary of Linux Distributions

An Ninh Mạng ATHENA , www.athena.com.vn

Nội dung
  

Mã nguồn mở và GPL
 

Phần mềm mã nguồn mở và GNU General Public License. Lịch sử phát triển của Linux

GNU GPL: GNU General Public License.

Đặc điểm của hệ điều hành Linux.  Khác biệt giữa hệ điều hành Linux và Windows. Lợi ích và hạn chế của hệ điều hành Linux.  Các phiên bản Linux chính.

Mọi người đều có thể có source code của mã nguồn mở, chỉnh sửa, biên dịch theo ý riêng.  Mã nguồn mở đã chỉnh sửa có thể dùng cho mục đích riêng hoặc công khai. Nếu công khai phải cung cấp đầy đủ source code.

Linux là hệ điều hành mã nguồn mở, được phân phối theo quy định của GNU GPL.

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

3

Java.vn Đặc điểm của Linux  Đặc điểm của Linux  Hardware: • Chạy trên nhiều platform.vn An Ninh Mạng ATHENA . • Những ứng dụng và tiện ích GNU. không cần reboot.… • Linux không yêu cầu giao diện đồ họa.  Document: http://www.linuxberg. www. Sparc… Giao diện đồ họa: • Hỗ trợ GNOME.com.rpmfind.com • http://www.net/linux/RPM/   Ngôn ngữ lập trình: C. www.  Tuy nhiên. FORTRAN.  Nhiều người tình nguyện tham gia phát triển Linux. họ được tự do chỉnh sửa.vn An Ninh Mạng ATHENA . www. www. chia sẻ.com. Được cộng đồng Internet đón nhận. C++. Perl.Mã nguồn mở và GPL (tt) Có thể tính phí khi phân phối một sản phẩm có nguồn gốc là mã nguồn mở. PHP… Dễ dàng quản lý từ xa: • Dễ dàng remote từ xa bằng commandline hoặc GUI. An Ninh Mạng ATHENA .  Khi người sử dụng đã có một phần mềm mã nguồn mở. khi phân phối phải kèm theo source code.   Lịch sử Linux   Linux được Linus Torvalds viết năm 1991. PowerPC.org/  Tính ổn định cao: Linux có thể chạy nhiều năm. An Ninh Mạng ATHENA . • Những ứng dụng khác.tldp. MIPS.com.vn 4 . phân phối lại… Hệ điều hành Linux gồm: • Linux kernel. Python.athena. KDE.freshmeat. AMD.athena.athena.com.athena.  Software: • http://www. Alpha.net • http://www. Intel.

 Tuy nhiên.   Linux và Windows (tt)  Sự tách biệt giữa GUI và Kernel: • GUI là thành phần chiếm nhiều memory nhất. và rất phức tạp. GUI và kernel là không thể tách rời => tiện lợi cho người dùng.Linux và Windows Windows là hệ điều hành được thiết kế cho single users. • Với Windows.athena.  Nếu có bug. www. bí mật không phải là an toàn.  Cấu hình của Linux là file text. và ít bị lỗi. phù hợp với server. Người sử dụng có thể sử dụng GUI hay không. www.athena.vn 5 .athena. Mỗi dịch vụ định nghĩa một chuẩn cấu hình riêng. An Ninh Mạng ATHENA .athena. hoặc sử dụng những GUI khác nhau => cho phép tùy biến. • Với Linux.com. vốn không cần GUI. www.  Unix là hệ điều hành được kế cho multi users. Khi muốn chỉnh sửa rất phức tạp. Nhiều người cùng chạy một chương trình trên một máy tính vào cùng một thời điểm.  => không có một chuẩn cấu hình. Thường phải có phầm mềm third-party.vn Linux và Windows (tt) Tất cả những cấu hình của Windows được lưu trong registry. Có thể xóa bỏ hoàn toàn những cấu hình cũ khi không cần  Lợi ích & hạn chế của Linux chế   Tính ổn định cao và hầu như không có virus. Nhiều ý kiến cho rằng ai cũng có thể kiểm soát source code khiến nó không an toàn.com. An Ninh Mạng ATHENA .com.vn An Ninh Mạng ATHENA . Tuy nhiên.com. tiết kiệm được memory. www. dễ dàng được tìm thấy hơn mã nguồn đóng. Từ Windows 95. dễ bị lỗi nhất. đã hỗ trợ multi user. Code của linux được hàng ngàn programer kiểm tra. vì vậy dễ dàng chỉnh sửa theo ý muốn. GUI tách biệt với kernel.vn An Ninh Mạng ATHENA . Unix đã hỗ trợ multi user từ 1969.

www. không phải ai cũng có khả năng hiểu lỗi. www.com.com  TurboLinux • http://www.vn 6 .org Không có hỗ trợ.Lợi ích & hạn chế của Linux (tt) chế (tt)   Các phiên bản Linux  Khó sử dụng cho người mới bắt đầu.athena.com An Ninh Mạng ATHENA .com  SuSE • http://www.athena.vn Hỏi & Đáp Installing Linux in a Server Configuration An Ninh Mạng ATHENA . không có document đầy đủ.turbolinux.  Bug vẫn tồn tại.com.   MandrakeSoft • http://www.athena.linux-mandrake.com Khi phát sinh lỗi.com Slackware Linux • http://www.com.slackware. Debian GNU/Linux • http://www.vn An Ninh Mạng ATHENA .debian. www.suse.redhat.   Red Hat • http://www.

com. mới.vn An Ninh Mạng ATHENA .com/hcl. NIC. Linux file system. www. Tiến hành cài đặt.vn 7 .athena. Hầu hết các distribution của Linux tự nhận diện cấu hình phần cứng như: PCMCIA.Nội dung Tóm tắt các bước cài đặt. An Ninh Mạng ATHENA .com. Chọn lựa software để cài đặt. HTTP. www. • http://hardware.vn An Ninh Mạng ATHENA .  Linux boot loader. SCSI adaptor… Cần chý ý đến những thiết bị phần cứng đặc biệt. Phân chia partition: • Phân chia tự động hoặc theo định dạng riêng. • Bắt buộc phải có phân vùng / và /swap.athena. Modem.com.athena. Kiểm tra sự hỗ trợ phần cứng. • Từ một volume trên network server.  An Ninh Mạng ATHENA .com. www. Cấu hình mạng. Hard drive.  Các mode hoạt động của Linux. Mouse. • Dùng CD shared từ máy tính khác • Qua FTP. Laptop issues. Memory.    Các bước cài đặt bướ  Chọn lựa kiểu cài đặt: • Từ CD local.  Kiểm tra sự hỗ trợ phần cứng. CDROM. • Chia các phân vùng còn lại theo nhu cầu. • Qua môi trường mạng. www.athena.redhat.      Cấu hình mạng.vn Các bước cài đặt (tt) bướ tt)   Hỗ trợ phần cứng  Kiểm tra sự hỗ trợ phần cứng. Chọn lựa boot loader.

athena. /etc: file cấu hình.com.vn 8 . /dev: file devices. www.vn Cấu hình mạng  Linux boot loader  Thiết lập các thông số cấu hình mạng cho server: • IP Address • Netmask • Gateway IP Address • Nameserver IP Address • Domain name • Hostname Boot loader • LILO • GRUB  Boot loader cho phép chọn hệ điều hành nào để boot.vn An Ninh Mạng ATHENA .com. /boot: file cấu hình boot loader. www.athena. /home: dữ liệu của users. và kernel module. /bin: lệnh quan trọng. www. www. An Ninh Mạng ATHENA . An Ninh Mạng ATHENA . các phân vùng được mount trên phân vùng / /swap: virtual memory.athena. /lib: file thư viện quan trọng.vn An Ninh Mạng ATHENA . có thể can thiệp bằng command để thay đổi các tham số boot.com.Linux file system Linux file systems (tt)         Mặc định.athena.  Tại boot loader.com.

xpm. • 6: reboot.com. • 4: unused.athena.5-1.gz hiddenmenu title Linux Fedora (2.vn 9 .Linux boot loader (tt)  Mode hoạt động của Linux  File grub.conf Linux có các mode hoạt động sau: • 0: shutdown.6.6.vn An Ninh Mạng ATHENA . www.358smp) root (hd0.0) chainloader +1 An Ninh Mạng ATHENA . www. boot=/dev/sda default=0 timeout=10 splashimage=(hd0. • 5: graphic.0) kernel /vmlinuz-2. • 1: single mode. • 3: multi user with networking.5-1.com.6.358smp ro root=LABEL=/ rhgb quiet initrd /initrd-2.vn Hỏi & Đáp Installing software An Ninh Mạng ATHENA .5-1.0)/grub/splash. • 2: multi user without networking.com. www.img title Windows 2000 rootnoverify (hd0.athena.358smp.athena.

SuSe  Gói rpm có dạng:  Lệnh rpm     Cài đặt một package: • rpm –i package. bỏ qua các gói phụ thuộc.vn An Ninh Mạng ATHENA .com.  Dễ cài đặt.   Cài đặt bằng lệnh rpm. • --test: không cài đặt.athena. www.rpm Một số option khác sử dụng trong cài đặt: • --nodeps: cho phép cài đặt. • tự động cài các gói phụ thuộc. Đây là kiểu cài đặt phổ biến nhất của linux. Cài đặt bằng source.vn Redhat Package Manager Được phát triển đầu tiên bởi Redhat.athena. • --requires: liệt kê các gói phụ thuộc. www. upgrage. sau đó được các phiên bản linux khác sử dụng rộng rãi: Fedora. • --force: bắt buộc upgrade.vn An Ninh Mạng ATHENA . Mandrake. Cài đặt bằng lệnh rpm. www.  Redhat Package Manager (RPM). bỏ qua conflicts.    Add/ Remove Program  Cài đặt bằng công cụ graphic add/ remove program của Linux giải quyết được các vấn đề sau: • thao tác đơn giản. An Ninh Mạng ATHENA .com.com.rpm Update một package: • rpm –U package. dễ remove. chỉ test.athena.athena. dễ thực hiện. • dễ quản lý. An Ninh Mạng ATHENA .Nội dung Add/ Remove Program. www.  Giới thiệu một số ứng dụng.vn 10 .rpm Gỡ bỏ một package: • rpm –e package.com.

gz • tar xvjf <filename>.com.bz2  Giải nén bằng lệnh: • tar xvzf <filename>. www.gz or <filename>.vn Lệnh rpm (tt) Cài đặt bằng source   Tương thích với mọi phiên bản Linux.com.athena.com.athena.gz) hoặc BZip2 (bz2). www.athena. Được đóng gói sử dụng kiểu GNU Zip (.bz2  Đọc file INSTALL hoặc README để có những chỉ dẫn riêng biệt của gói cài đặt. • -p <package_name>: hiển thị thông tin của package_name.tar. www.athena. • -i <package_name>: hiển thị thông tin của package.com.tar. • -f <file_name>: hiển thị package sở hữu <file_name>.tar.tar.vn An Ninh Mạng ATHENA .Lệnh rpm (tt)  Lệnh rpm (tt) Các option truy vấn: kết hợp với option -q • -a: hiển thị danh sách các package đã cài đặt. (package_name chưa được cài đặt).vn 11 . An Ninh Mạng ATHENA . www. An Ninh Mạng ATHENA . • -l <package_name>: hiển thị file chứa trong package_name. • <filename>.vn An Ninh Mạng ATHENA .

com.athena. www.vn 12 .vn An Ninh Mạng ATHENA .com./configure • make clean • make distclean   Build gói source bằng lệnh make: • make Nếu cần thiết xóa bỏ luôn thư mục source cài đặt: • rm –rf <extracted_dir_name>  Cài đặt gói source: • make install An Ninh Mạng ATHENA . cần biên dịch.athena.  Sau khi cài đặt xong. www.vn Một số ứng dụng  Hỏi & Đáp Một số ứng dụng cơ bản cần cho thao tác văn phòng trên linux: • open office • unikey • acrobat reader • chm reader An Ninh Mạng ATHENA . www.vn An Ninh Mạng ATHENA . dùng những lệnh sau:  Sau khi giải nén.athena. cài đặt lại.Cài đặt bằng source (tt)  Cài đặt bằng source (tt) Khi có thay đổi trong source. cần đọc file README. INSTALL để có những option cần thiết: • .com. www.athena. để gỡ bỏ gói source. chuyển đến thư mục của gói source: • cd <extracted_dir_name>  Chạy script configure.com.

hoặc sửa trực tiếp bằng text file.vn An Ninh Mạng ATHENA . www. Có thể chỉnh sửa thông tin của users bằng công cụ.com.athena. Kerberos. gọi là UID (User ID). Linux quản lý thông tin bằng file text. Managing Users  An Ninh Mạng ATHENA . Với Linux. tên group. mỗi user có một định danh duy nhất. • => UID có khả năng sử dụng lại??? Mỗi users cần có những thông tin: tên user. www. UID.athena. • > 99: user khác.vn Định nghĩa Users   Định nghĩa Users (tt)    Users được định nghĩa trong một hệ thống để xác định “ai? được quyền dùng cái gì?” trong hệ thống đó. An Ninh Mạng ATHENA .com. GID.  Mỗi user thuộc ít nhất một group.   Users và cấp quyền users.athena.Nội dung Những thông tin định nghĩa users  Công cụ quản lý users.com. • 0 – 99: user có quyền quản trị. >= 500: không phải user hệ thống. home directory… Windows quản lý thông tin bằng LDAP.vn 13 . www. Mỗi group cũng có một định danh duy nhất là GID. Định nghĩa cấu hình mặc định cho người dùng.

www.athena. thời gian phải thay đổi password… • /etc/group: chứa thông tin group.athena. www. password mã hóa. www. Mỗi dòng là thông tin của một user. home directory.Định nghĩa Users (tt)  Định nghĩa Users (tt)  Những file định nghĩa thông tin users: • /etc/passwd: chứa thông tin user login.vn An Ninh Mạng ATHENA . và login shell.vn Định nghĩa Users (tt)  Định nghĩa Users (tt)  File /etc/shadow Password Ngày user bị warn nếu Ngà bị nế không thay đối pass đố Ngày trước khi phải Ngà trướ phả thay đổi password đổ File /etc/group Groupmember Grouppassword Username Lần thay đổi đổ password cuối cùng cuố cù Groupname GID Ngày sau khi phải thay Ngà phả đổi password An Ninh Mạng ATHENA .athena. www.vn An Ninh Mạng ATHENA . UID.com.com. • /etc/shadow: chứa thông tin password mã hóa.vn 14 . thời gian sử dụng password.com.com. File /etc/passwd GID Password Home directory Username UID Description Shell Shell An Ninh Mạng ATHENA .athena. GID.

• Quyền ghi: w (write). • groupmod: chỉnh sửa thông tin group.com.athena.com.vn An Ninh Mạng ATHENA . www.com. www. www. • userdel: xóa user. • groupadd: tạo group.vn An Ninh Mạng ATHENA .athena.vn 15 . • groupdel: xóa group.athena. • Quyền thực thi: x (excute). • usermod: chỉnh sửa thông tin user. Quyền trong linux được phân chia như sau: • Quyền đọc: r (read).vn Cấp quyền users (tt) Cấp quyền users (tt) Dùng cho file thực thi thự An Ninh Mạng ATHENA .Công cụ quản lý Users cụ quả  Cấp quyền Users  Quản lý bằng command line • useradd: tạo user.athena.  Mỗi file trong linux được gán quyền theo ba lớp user sau: • owner • group • everyone (other)  Quản lý bằng giao diện đồ họa An Ninh Mạng ATHENA . www.com.

các thuộc tính của user sẽ được tạo theo các cấu hình mặc định.athena.vn An Ninh Mạng ATHENA . www. /etc/skel: thư mục chứa nội dung mặc định sẽ tạo trong home directory của users. www.com.  SetGID: hiện thực như SUID.defs  Sticky bit: chỉ cho phép owner. An Ninh Mạng ATHENA .vn 16 .Cấp quyền users (tt) SetUID: program nào được set SUID.vn Cấu hình mặc định (tt)    Hỏi & Đáp /etc/default/useradd: những giá trị mặc định cho việc tạo acount.athena.    Cấu hình mặc định Khi dùng lệnh useradd không có option kèm theo để tạo user. hoặc root được quyền delete file.defs: những cấu hình mặc định cho shadow password. /etc/login. Nếu muốn thay đổi cấu hình mặc định.com. thay đổi trực tiếp trong những file này. bất kể user nào gọi thực thi program này.athena.vn An Ninh Mạng ATHENA .athena.com. nhưng áp dụng cho file group owner. www. khi thực thi sẽ được sở hữu bởi owner của program đó.  Những file định nghĩa cấu hình mặc định: • /etc/default/useradd • /etc/skel • /etc/login.com. www. An Ninh Mạng ATHENA .

• Vd: man ls Cú pháp của một dòng lệnh gồm có ba thành phần: <command> [option] [arguments] • command: hệ thống sẽ làm gì? • option: hệ thống sẽ làm gì? • arguments: hệ thống sẽ thực thi lệnh ở đâu?    ls –al /root: liệt kê nội dung của thư mục root (bao gồm cả file ẩn). www. Để biết cách sử dụng dòng lệnh. Dòng lệnh là công cụ hữu hiệu nhất. Dòng lệnh trong Unix và Linux là “case sensitive”. arguments command option An Ninh Mạng ATHENA .The Command Line Giới thiệu dòng lệnh  Cú pháp dòng lệnh    Một số lệnh thông dụng Chuyển hướng dòng lệnh • redirection • pipe The Command Line  Background jobs An Ninh Mạng ATHENA . các thao tác đồ họa không thể đáp ứng đủ công việc cần thiết.vn 17 .vn An Ninh Mạng ATHENA .com.com.athena.athena. www. gọi lệnh man. Với hệ điều hành Unix và Linux. www.vn Giới thiệu dòng lệnh   Cú pháp dòng lệnh  Dòng lệnh là thế mạnh của hệ điều hành Unix và Linux.com.athena.

du Input (Người dùng nhập) Output (Kết quả) /root An Ninh Mạng ATHENA . vi. Lệnh tạo. phân vùng.com.athena. Lệnh gán biến môi trường.Lệnh thông dụng    Chuyển hướng dòng lệnh  Lệnh su và sudo.vn An Ninh Mạng ATHENA . • chown.vn  Lệnh quản lý tiến trình. tình trạng hệ thống. chgrp. • ps.txt Pipe: là khái niệm đưa output của lệnh này thành input của lệnh kia. • mkdir. • command1 | command2 • ls –al /root | more • redirect output – command > output – command >> output – Sử dụng lệnh: ls –al /root > /tmp/out. kill An Ninh Mạng ATHENA . ln • cat.com. mv.txt An Ninh Mạng ATHENA . • df.vn 18 . www. cp.athena. copy file .athena. thư mục. rmdir.athena. rm Phân tích lệnh ls –al /root Xử lí ls -al  Lệnh cấp quyền trên file. sửa. locate  Lệnh xem kích thưóc thư mục. top.com.com. xóa.txt có nội dung /root – Sử dụng lệnh: ls –al /tmp/in. chmod  Lệnh tìm kiếm • find. www. www. thư mục.vn Chuyển hướng dòng lệnh Chuyể hướ lệ  Chuyển hướng dòng lệnh (tt) Chuyể hướ lệ  Redirection: có hai loại redirection: • redirect input – command < filename – Tạo file /tmp/in. www.

com. An Ninh Mạng ATHENA . www.Background jobs Thông thường. Có thể start lệnh chạy mode background. lệnh chạy ở mode foreground.com. Start lệnh ở background: • command &  Một số lệnh kiểm soát jobs.vn Hỏi & Đáp Booting and shutting down An Ninh Mạng ATHENA . đưa kết quả output ra màn hình (có thể chuyển hướng đưa kết quả output vào file).com. www. www. nếu cần thiết thì đưa kết quả output vào file và người dùng vẫn có thể làm việc với BASH shell đó bình thường.athena.   Background jobs (tt)   Lệnh chạy ở background gọi là JOB. thì lệnh sẽ chiếm luôn BASH shell đó => người dùng phải mở một shell khác để làm việc.vn 19 .athena.athena.  Nếu một lệnh chạy 1h ở mode foreground.vn An Ninh Mạng ATHENA .

Ngày nay.athena.com.athena. GRUB là boot loader mặc định của đại đa số các hệ điểu hành Linux.  Boot loader hay còn gọi là boot manager cho phép quản lý nhiều hệ điều hành. GRUB tự động nhận biết.com. www.vn An Ninh Mạng ATHENA .athena. www. Hai boot loader phổ biến của Linux: • LILO (LInux LOader) • GRUB (GRand Unified Boot loader)   Khi thay đổi file cấu hình.  Kernel + initrd: load kernel và detect hardware.  An Ninh Mạng ATHENA .vn Quá trình boot Linux   Boot loader   BIOS/ POST MBR (lilo hoặc grub): cho phép lựa chọn hệ điều hành boot. www. www. chọn boot vào hệ điều hành nào.vn 20 . /etc/inittab: quyết định run level và gọi start các dịch vụ cần thiết của run level đó.athena.  Hiển thị đồ họa nếu ở runlevel 5. Mount root file system (read only)  /sbin/init: tiến trình cha của mọi tiến trình.vn An Ninh Mạng ATHENA . LILO thì phải dùng lệnh /sbin/lilo để update cấu hình.com.sysinit /etc/rc.Nội dung (tt)   Quá trình boot linux Quá trình boot Linux Boot loader (boot manager) • Boot loader GRUB • Boot loader LILO   Kernel image và initrd Tiến trình init và file inittab  Tiến trình rc.d/rc script  Quá trình shutdown Linux  An Ninh Mạng ATHENA .com.

6.conf: default=0 timeout=10 splashimage=(hd0.com.6.0)/grub/splash.358smp) root=/dev/hda1 read-only other = /dev/hda2 label=Windows server 2003 table=/dev/hda Đĩa IDE đầu tiên.com.  File cấu hình grub. bắt đầu từ zero để chỉ partition đầu tiên.5-1.358smp) root (hd0.0) Đĩa đầu tiên.athena.athena.athena. partition đầu tiên kernel /vmlinuz-2.img title Windows server 20003 rootnoverify (hd0.com. www. www. www.conf File cấu hình lilo.  An Ninh Mạng ATHENA .vn An Ninh Mạng ATHENA .vn %d: là số nguyên.6.  GRUB không phân biệt IDE. hoặc trong file grub.358smp label=Linux Fedora (2. partition đầu tiên An Ninh Mạng ATHENA .358smp ro root=LABEL=/ rhgb quiet initrd /initrd-2.Boot loader GRUB  Boot loader GRUB (tt) Cách phân biệt partition trong boot loader GRUB khác với cách thông thường của Linux.5-1.vn 21 .6.1) chainloader +1 An Ninh Mạng ATHENA .athena. sdXY.conf: boot=/dev/hda prompt timeout=10 image=/boot/vmlinuz-2.6.5-1. đĩa cứng được hiểu là: hd%d. www.5-1.gz hiddenmenu title Linux Fedora (2.  LILO có cách hiểu thông thường như Linux: hdXY.com. và SCSI.xpm.vn Boot loader GRUB (tt)  Boot loader LILO  Một số lệnh của grub: sử dụng trong mode grub.358smp.5-1.

 An Ninh Mạng ATHENA .conf  Gỡ bỏ boot loader LILO.tar.vn 22 .com. dùng lệnh: • /sbin/lilo –u  Tìm hiểu lệnh lilo: • man lilo  Tìm hiểu file cấu hình boot loader lilo: • man lilo.athena.  Mỗi dòng trong /etc/inittab có dạng như sau: – id: runlevels:action:process Nếu không định nghĩa. www. www. sẽ boot vào runlevel nào??? An Ninh Mạng ATHENA .com.athena.athena.com. Tiến trình init sẽ tìm đọc file /etc/inittab để quyết định runlevel nào sẽ được boot.vn An Ninh Mạng ATHENA .  Đồng thời mount file systems dưới dạng read only để tiến hành kiểm tra. www.Boot loader LILO (tt)  Kernel image và initrd Kernel image là hình ảnh nhỏ nhất của kernel được nén thành file vmlinuz-version.athena.  Kernel image chứa những thành phần quan trọng cần thiết đầu tiên để boot máy tính.vn Tiến trình init và file inittab Tiế trì   Tiến trình init …(tt) Tiến trình init là cha của mọi tiến trình.  Để cài đặt LILO làm boot loader. www.gz. dùng lệnh: • /sbin/lilo – yêu cầu phải có file lilo.conf initrd – initial ram disk: được sử dụng để detect phần cứng và load driver.com.vn An Ninh Mạng ATHENA .

thường chứa trong /etc/init. www.athena. www.com. • Mount /proc file system.Tiến trình rc.com.athena.d/init.sysinit thực thi những nhiệm vụ sau: • thiết lập hostname của máy tính và detect môi trường network. • Thiết lập giờ hệ thống.athena. www. • Load những module cần thiết.d/<command> start.d/rc (tt) Quá trình shut down linux  Những script có bắt đầu bằng S. • Khởi tạo phân vùng swap. link đến các script thật sự.athena.d/rc5.d/init. Những script bắt đầu bằng K.sysinit  /etc/rc.vn An Ninh Mạng ATHENA . www.d/rc script (tt) /etc/rc. An Ninh Mạng ATHENA . • Thiết lập các tham số của kernel. Thực thi tất cả script liên quan đến run level đó.com.d Các script này là file symbolic link. sẽ gọi thực thi các script trong /etc/rc. fonts.com. hệ thống sẽ gọi chạy lệnh: /etc/rc. • Check file system và mount lại ở mode read-write.vn 23 .d/rc script    Tiến trình rc.d<command> stop. Vd: nếu runlevel là 5. hệ thống sẽ gọi chạy lệnh: /etc/rc.d start stop An Ninh Mạng ATHENA .vn  An Ninh Mạng ATHENA .vn /etc/rc.

Mỗi partition được xem như một phân vùng độc lập.vn Nội dung Disk và partition.athena. • mount và umount. Có thể cài các hệ điều hành khác nhau lên các partition khác nhau.com.vn An Ninh Mạng ATHENA .athena. dùng một một trình quản lý boot loader để quản lý quá trình boot. www. www.athena. www.vn 24 .Hỏi & Đáp File systems An Ninh Mạng ATHENA .  Logical Volume Management.   Disk và partition   Mọi đĩa cứng (disk) đều cần được phân chia partition. Khi dữ liệu đầy. Quản lý File Systems.  Khái niệm File Systems.  Sau đó. partition này không thể “overflow” (lấn chiếm) kích thước của partition khác.com. • Lệnh fsck.com.  An Ninh Mạng ATHENA .

vn An Ninh Mạng ATHENA .vn 25 .Disk và partition (tt)  Disk và partition (tt) Những ổ đĩa IDE sẽ có tên là hdX.com. • Vd: hda1.vn An Ninh Mạng ATHENA . hdb…  Khi được chia partition.athena. Ổ đĩa SCSI sẽ có tên là sdX An Ninh Mạng ATHENA .com.vn Disk và partition (tt) Khái niệm File systems An Ninh Mạng ATHENA . www. • X có giá trị từ [a-z] đại diện cho một ổ đĩa vật lý. hda2. www.com.athena.com. Vd: hda. hdb1. www. partition sẽ có dạng: hdXY • X là kí tự ổ đĩa. • Y là số thứ tự.athena.athena. hdb2…   CDROM cũng được hiểu như một ổ đĩa IDE. www.

/dev: file devices. Xem nội dung của partition vừa được mount bằng xem nội dung của thư mục mount-point.athena. /lib: file thư viện quan trọng. www. và kernel module.athena. /home: dữ liệu của users. www.vn 26 .com.  Xem nội dung của thư mục mount point.   Mặc định.com.ổ đĩa CD-ROM. USB…) thành một thư mục trên cây thư mục. các phân vùng được mount trên phân vùng / /swap: virtual memory. Thư mục này dùng làm mount-point cho ổ đĩa CD-ROM Nếu thư mục mount point đã có dữ liệu trước.vn An Ninh Mạng ATHENA . /etc: file cấu hình.vn An Ninh Mạng ATHENA .athena.Khái niệm File Systems (tt)         Quản lý File Systems Quả Partition. www.athena.vn Quản lý File Systems (tt) Quả (tt)  Quản lý File Systems (tt) Quả (tt)  Tạo một thư mục /mnt/cdrom. floopy. Mount một partition vào thư mục mount point.com. Thư mục này được gọi là mount-point.  • Có những file trước đó không???  Umount CD-ROM ra khỏi mount point • Những file trước đó có bị mất không??? An Ninh Mạng ATHENA . usb… cần được mount.com.  Mount là biến một partition. một thiết bị (CDROM. An Ninh Mạng ATHENA . www. /bin: lệnh quan trọng. /boot: file cấu hình boot loader. nhờ thế nội dung của nó mới có thể đọc được.

vn An Ninh Mạng ATHENA .athena.com. www.  Lênh fsck: chẩn đoán và sửa lỗi file systems. VG (Volume Group) LV (Logical Volume) An Ninh Mạng ATHENA . PV (Physical Volume) Dễ dàng mở rộng kích thước của volume. An Ninh Mạng ATHENA .com.vn Logical Volume Management Logical Volume Management (tt) (tt)   Linh hoạt trong việc phân chia partition.athena. đơn giản chỉ cần thêm đĩa mới vào.com.athena.com. tạo. www. xóa partition.Quản lý File Systems (tt)  Quản lý File Systems (tt)  Mọi partition đều phải được mount để sử dụng => những partition hệ thống được mount lúc nào => /etc/fstab Lệnh fdisk: xem.vn An Ninh Mạng ATHENA .athena.  Để mở rộng dung lượng lưu trữ dữ liệu. www. www.vn 27 .

www.com.vn An Ninh Mạng ATHENA .com. lvdisplay: xem thông tin của logical volume.athena.athena. vgextend: thêm physical volume vào volume group. vgdisplay: xem không tin của volume group lvcreate: tạo logical volume từ volume group.Logical Volume Management (tt) (tt)  Hỏi & Đáp pvcreate: khởi tạo những physical volume để sử dụng trong môi trường LVM. vgcreate: khởi tạo một volume group từ những physical devices đã được khởi tạo bằng pvcreate. hoặc partition… pvdisplay: hiển thị thông tin của physical volume.vn 28 . www.       An Ninh Mạng ATHENA . thiết bị lưu trữ khác.athena.vn Nội dung Service syslogd  Service crond   Service xinetd Core System Services An Ninh Mạng ATHENA . www. Physical volume có thể là đĩa cứng.com.

vn Service syslogd (tt)  Service syslogd (tt) File cấu hình của syslog: • /etc/syslog. news.athena.  Service syslogd (tt)  Log trong hệ thống được syslog phân loại như sau: • facility: cho biết ứng dụng nào phát sinh ra log. – Lưu log cục bộ. daemon.Service syslogd Người quản trị có nhu cầu thường xuyên theo dõi các sự kiện xảy ra trong hệ thống.athena.  • level: mức độ nghiêm trọng của log. và ghi vào đâu? • /etc/sysconfig/syslog: – định nghĩa mode hoạt động của service syslogd.  Khi có sự cố.vn An Ninh Mạng ATHENA .  Có thể lưu log cục bộ.com.com. người quản trị có nhu cầu tìm lại các sự kiện xảy ra trước thời điểm đó trong hệ thống. Một hệ thống luôn có nhu cầu cần lưu log. hay lưu log vào remote server? facility level action An Ninh Mạng ATHENA . user. – Kiểm soát việc record log nào được ghi. www. alert < emerg • action: log sẽ được xử lí như thế nào? Lưu hay không. uucp . cron. debug < info < notice < warn < err < crit.com. – syslog dành facility từ local0 -> local7 cho người dùng định nghĩa. www.athena.vn An Ninh Mạng ATHENA . syslog. hoặc lưu log tập trung. mark.conf: – file cấu hình chính của service syslogd. www.vn 29 . www. – syslog định nghĩa các facility có sẵn: authpriv. lưu ở đâu? An Ninh Mạng ATHENA .athena. mail. kern. lpr.com.

conf: định nghĩa các option dùng chung cho việc cắt log. www.Service syslogd (tt)   Service syslogd (tt)  Log trong hệ thống được lưu liên tục sẽ quá nhiều log.vn An Ninh Mạng ATHENA .d/radiusd An Ninh Mạng ATHENA .conf   File /etc/logrotate.vn Service crond Các dịch vụ cần chạy định kì.com.com. • trường nào có dấu “*”: mọi lúc.com.    Service crond  File /etc/crontab có cấu trúc như sau: • minute hour day month dayofweek command • minute: có giá trị từ 0-59. • Những dịch vụ cắt log theo kiểu thông thường có thể định nghĩa trực tiếp trong file logrotate.athena.vn 30 .  Service crond là service định kì gọi thực thi các tác vụ được định nghĩa sẵn.athena.athena. www. www. Chạy trực tiếp bằng lệnh crontab. • trường nào có dấu “/*”: mỗi lúc. Chạy bằng serivce crond.d/: mỗi dịch vụ có thể định nghĩa một file riêng. phù hợp với dịch vụ đó. Cần có một tiến trình cắt log hàng ngày. • /etc/logrotate. với file cấu hình là /etc/crontab An Ninh Mạng ATHENA . để cắt log theo yêu cầu. chạy vào một thời điểm nào đó cụ thể trong ngày -> cần các thao tác lập lịch.vn An Ninh Mạng ATHENA . File /etc/logrorate. Tiến trình thực hiện việc cắt log: logrorate.conf • /etc/logrotate. cắt theo theo kích thước do người dùng định nghĩa. Có những log quá cũ.com.athena. không cần thiết nữa. để dọn dẹp bớt log cũ. • hour: có giá trị từ 0-23 • day of month: có giá trị từ 0-31 • month:có giá trị từ 1-12 • day of week: có giá trị từ 0-6 • command: như command thực thi ở BASH shell. www.

com. xinetd .Service crond  Service xinetd  Những dòng định nghĩa sau có ý nghĩa như thế nào??? • 0 1 * * * command. Có nhiều dịch vụ không có request thường xuyên.d/: mỗi dịch vụ có một file cấu hình. • 0 1 1-15 * * command.vn 31 . xinetd sẽ lắng nghe tất cả các request gởi đến các dịch vụ mà nó phục vụ. Các dịch vụ chỉ cần nhận request từ xinetd. An Ninh Mạng ATHENA . www. và forward request cho dịch vụ. Các dịch vụ được xinetd bảo vệ kiểm tra trước khi nhận request.athena. www. vẫn lắng nghe => tốn tài nguyên. nhận request từ client.15 * * command. xinetd mới khởi tạo dịch vụ đó.the extended Internet services daemon. Khi cần dịch vụ nào. File /etc/xinetd.d/krb5-telnet • /etc/xinetd.vn An Ninh Mạng ATHENA . định nghĩa cụ thể cấu hình của dịch vụ đó khi sử dụng xinetd. An Ninh Mạng ATHENA . • 0 1 1. • 0 1 */5 * * command. xinetd quản lý chung các dịch vụ. www. www.conf: định nghĩa một số option chung cho các dịch vụ sử dụng xinetd.com.vn Service xinetd (tt)  Service xinetd (tt)  Cấu hình xinetd: • /etc/xinetd.athena.vn An Ninh Mạng ATHENA .athena.com.      Mỗi dịch vụ đều lắng nghe.athena. không nhận trực tiếp từ client.com.

www. • Cấu hình như thế nào.athena.allow??? An Ninh Mạng ATHENA .  Kernel modules. • /etc/hosts.allow: những host trong file này được chấp nhận. chỉ chấp nhận những host trong hosts.Service xinetd (tt)  Hỏi & Đáp Trước khi cho phép xử lí request.   Compiling kernel.athena. để deny tất cả.athena. xinetd có thể kiểm tra sự hợp lệ của IP request bằng những file sau: • /etc/hosts.deny: những host trong file này bị discard request. Compiling The Linux kernel An Ninh Mạng ATHENA .com.vn 32 .vn Nội dung Kernel version.vn An Ninh Mạng ATHENA . www. www.com.com.

– số chẵn: version này đã được kiểm tra và công bố sử dụng.com.com.vn An Ninh Mạng ATHENA .6. • fs: module cho file systems.com.patchlevel – Vd: linux-2. www. Kernel mặc định đã được dịch với các module cần thiết. Một số kernel modules: • block: module cho những thiết bị phần cứng đặc biệt: RAID controller. Các module ít sử dụng có thể được insert vào kernel khi cần thiết. Các module của kernel là một file object.4. • misc: các module không thuộc các module kể trên.athena. 2.vn Kernel modules    Kernel modules (tt)  Kernel thường được biên dịch với các module cần thiết nhất.Kernel version  Kernel version (tt)  Version của kernel có format như sau: • linux-major.com. An Ninh Mạng ATHENA .vn 33 . Các kernel developer thường sử dụng.6… – số lẻ: version này dùng cho mục đích thử nghiệm.athena. An Ninh Mạng ATHENA . dùng lệnh: • uname –a • uname –r • major: version chính của kernel • minor: những thay đổi quan trọng của version.  • patchlevel: dùng để vá lỗi.minor. • cdrom: module cho CDROM.8 Để xác định kernel version. • net: module cho network interface. IDE tape drivers. www. www. nằm trong thư mục /lib/modules/kernel-version/kernel. www.vn An Ninh Mạng ATHENA .athena. • video: module cho video adapter. • ipv4: module cần thiết cho việc hoạt động với TCP/IP networking. khi có nhu cầu có thể tiến hành dịch lại kernel => có một hệ điều hành mới.18. • scsi: module cho SCSI controller.athena. 2.

hoặc make oldconfig. www. hoặc make menuconfig.vn An Ninh Mạng ATHENA .athena.athena. có thể edit trong makefile. An Ninh Mạng ATHENA .com.com.com.athena.com. • make bzImage: tạo một file kernel image.vn An Ninh Mạng ATHENA . www. • make clean: remove những output file cũ có thể đã tồn tại trong source.    Compiling kernel  Download source kernel từ: • kernel. • Sau khi tạo file config xong. và thực hiện tiếp các lệnh sau.  File modules.vn Compiling kernel (tt)  Compiling kernel (tt)  Các lệnh để biên dịch kernel: • make dep • make clean • make bzImage • make modules • make modules_install Các lệnh để biên dịch kernel: • make dep: những file source C sẽ được kiểm tra các mối quan hệ phụ thuộc.  Các lệnh để biên dịch:  Lệnh modinfo: xem thông tin một module. Để biên dịch được kernel.vn 34 . www. www. • make modules_install: tất cả những modules đã được biên dịch sẽ được cài đặt vào thư mục /lib/modules/kernel-version.org Lệnh rmmod: xóa bỏ một module ra khỏi kernel.dep: liệt kê mối quan hệ phụ thuộc giữa các module. và những module đã chọn lựa để biên dịch.Kernel modules (tt) Lệnh lsmod: liệt kê những module đang được kernel hỗ trợ. cần cài đặt bộ C compiler. • make modules: biên dịch những driver thiết bị. • make mrproper • make config. make xconfig. An Ninh Mạng ATHENA .  Lệnh insmod: thêm một module vào kernel.athena.

boot loader sẽ nhận thêm một hệ điều hành mới.  Khởi động lại máy. netstat.com. tcpdump An Ninh Mạng ATHENA . ifup.com. www.vn Nội dung  Các file cấu hình • /etc/hosts • /etc/network • /etc/sysconfig/network-scripts/ifcfg-eth[n] Networking Fundamentals • /etc/resolv.com. tạo ra một kernel image và một initrd mới.  Hệ điều hành mới chỉ khác hệ điều hành cũ các modules được biên dịch trong kernel. www.athena.vn An Ninh Mạng ATHENA .Compiling kernel (tt) Sau khi biên dịch kernel hoàn tất. www.vn 35 . ifdown • route • traceroute.  Hỏi & Đáp File system của hệ điều hành mới cũng là file system của hệ điều hành cũ.conf • /etc/services  Các lệnh cấu hình.athena. debug thông tin • ifconfig.  An Ninh Mạng ATHENA .athena.

 Một số cú pháp thông dụng:  Mỗi card mạng có một file cấu hình /etc/sysconfig/network-scripts/ifcfg-eth[n].File /etc/hosts Là bản map giữa địa chỉ IP và tên máy tính trong network. enable network enable network IPv6 tên máy tính so sánh với giá trị trong /etc/hosts default gateway của máy tính Cú pháp của file: • IP address<Tab>Fully. n: có giá trị bắt đầu từ 1.com.1. Có tối đa 3 giá trị.Name<space>[host_alias]* • 192.   File /etc/sysconfig/network  File /etc/sysconfig/network định nghĩa các cấu hình network cơ bản cho máy tính. www.vn An Ninh Mạng ATHENA .com. hoặc DHCP • domain: DNS domain của máy tính. www.athena.conf File /etc/resolv. www. • search: active khi boot.  Tương tự file lmhosts của Windows.com.com centos-1  Các ứng dụng trước tiên sẽ sử dụng file này khi cần truy vấn một máy tính bằng tên.com.vn File ifcfg-eth[n]   File /etc/resolv.10 centos-1.athena.vn An Ninh Mạng ATHENA . An Ninh Mạng ATHENA .nhatnghe.168. • nameserver: IP hoặc tên của name server mà máy tính sẽ sử dụng.athena.Qualified.conf dùng để định nghĩa name server mà máy tính sẽ sử dụng để thực hiện các truy vấn phân giải tên miền. www. An Ninh Mạng ATHENA .athena.vn 36 .  Card loopback có file cấu hình ifcfg-lo tên card mạng gán IP tĩnh.

xác định loại traffic. Lệnh tcpdump: để bắt gói tin di chuyển trong network. chỉnh sửa.athena. Lệnh traceroute: để theo dõi đường đi của gói tin trong hệ thống mạng.255. Static route là những routing ít thay đổi. được định nghĩa vì một mục đích nào đó.255. không phải cập nhật thường xuyên.vn An Ninh Mạng ATHENA .    An Ninh Mạng ATHENA . Các tham số cấu hình của lệnh ifconfig có ý nghĩa như file /etc/sysconfig/network-scripts/ifcfg-eth[n].athena. Lệnh route cho phép định nghĩa các static route theo ý của người quản trị.com. Có thể lưu lại thành file. các kết nối đang mở đến máy tính.   An Ninh Mạng ATHENA .1. Lệnh ifconfig dùng để cấu hình địa chỉ IP.vn Lệnh route    Lệnh traceroute.athena.168.com.com. www.vn 37 .10 netmask 255. quản lý bảng routing table. www. ifdown  File /etc/services gồm một danh sách network port và các service sử dụng những port này. Lệnh traceroute thường dùng để debug. địa chỉ broadcast và các tham số cấu hình khác.   Port 0 – 1024: là những port đã được dành riêng. Lệnh netstat: để liệt kê các port đang lắng nghe. • ifconfig eth0 192.vn An Ninh Mạng ATHENA .0 • man ifconfig. xác định vì sao gói tin không di chuyển đến một network được. Port > 1024: port được định nghĩa thêm vào tùy theo nhu cầu của ứng dụng. netmask. người quản trị phải định nghĩa một cặp service name và port number vào file /etc/services.   Lệnh ifconfig cấu hình cho từng card mạng (từng interface). Khi định nghĩa một service mới. Lệnh route cũng cho phép người quản trị điều chỉnh default gateway theo ý muốn.com. netstat. dùng ethereal để phân tích gói tin. Lệnh ifdown dùng để disable một interface. tcpdump  Lệnh route dùng để hiển thị. Lệnh ifup dùng để enable một interface. hoặc tìm kiếm các dấu hiệu mong muốn. www. www. ifup. và tình trạng của các kết nối này.athena.File /etc/services   Lệnh ifconfig.

com. www.leases.rpm.vn 38 . cấp IP tĩnh.athena. An Ninh Mạng ATHENA .com.conf. • /var/lib/dhcpd/dhcpd. • Hoặc cài đặt từ gói source.vn An Ninh Mạng ATHENA .vn Nội dung  Giới thiệu dịch vụ DHCP    Giới thiệu dịch vụ DHCP • chức năng • gói cài đặt.athena.Hỏi & Đáp DHCP Server An Ninh Mạng ATHENA .com. DHCP cũng cung cấp động các tham số khác: DNS. www. DHCP là dịch vụ cung cấp địa chỉ IP động cho các máy tính trong hệ thống.athena. • dhcp-devel-[version].rpm. DHCP được cài đặt bằng hai gói: • dhcp-[version].  Lệnh dhclient  File cấu hình chính: • /etc/dhcpd. gateway…. www.  File cấu hình • /etc/dhcpd.conf.

leases  File dhcpd.vn 39 . An Ninh Mạng ATHENA .File /etc/dhcpd.athena.athena.com.athena.com.vn An Ninh Mạng ATHENA . www. www.leases theo dõi tình trạng cấp phát IP động: An Ninh Mạng ATHENA .vn Lệnh dhclient  Hỏi & Đáp Có thể get IP động bằng cách điều chỉnh file: • /etc/sysconfig/network-scripts/ifcfg-eth[n]  Lệnh dhclient: dùng để get IP động từ DHCP server.com.com.vn An Ninh Mạng ATHENA .athena. www. www.conf File dhcpd.

• NFS security.athena.  Dịch vụ NFS cho phép các NFS client mount một phân vùng của NFS server như phân vùng cục bộ của nó. • Cấu hình dịch vụ Samba.com. www.athena. Dịch vụ NFS không được security nhiều.  File cấu hình của NFS server: • /etc/exports An Ninh Mạng ATHENA .lockd • rpc.vn An Ninh Mạng ATHENA .rpquotad: kiểm soát quota mà NFS users có thể sử dụng.statd và rpc.com.com.   Cấu hình NFS  Các tiến trình của NFS server: • portmap • rpc. • Cấu hình dịch vụ NFS.vn Giới thiệu dịch vụ NFS NFS – Network File System là dịch vụ chia sẻ file trong môi trường network giữa các server Linux.Nội dung  NFS server • Giới thiệu dịch vụ NFS.mountd: kiểm soát quyền được mount partition của NFS users. www. NFS & Samba server  Samba server • Giới thiệu dịch vụ Samba. • rpc. vì vậy cần thiết phải tin tưởng các client được permit mount các phân vùng của NFS server.vn 40 .nfsd • rpc.athena. www. • SWAT An Ninh Mạng ATHENA .

vn 41 .0(rw)  • no_root_squash : Cho phép remote root users Hai cú pháp sau giống hay khác nhau: – host (options) – host(options) An Ninh Mạng ATHENA .mountd.0. www.com.255. sử dụng dựa vào 2 file /etc/hosts.athena.vn Cấu hình NFS (tt)  NFS security   Lệnh của NFS client: • mount: dùng để mount một phân vùng của NFS server thành phân vùng cục bộ.0.168.rquotad.vn An Ninh Mạng ATHENA .athena. www.lockd. www.mountd.deny • portmap.Cấu hình NFS (tt)  Cấu hình NFS (tt)  File /etc/exports: • Cú pháp: – /path/to/export Thư mục chia sẻ Quyền truy cập Quyền truy cập có các giá trị sau: • secure • ro • rw : Port từ client requests phải nhỏ hơn 1024 : Read only : Read – write : Denied access : Ngăn remote root users [host](options) Host truy cập • noaccess • root_squash • Ví dụ: – /mnt/cdrom (ro) – /tmp – /home (rw) 192. • nfsstat • rpcinfo • showmount: hiển thị thông tin client nào sử dụng phân vùng nào của NFS server.com.0 An Ninh Mạng ATHENA .com.0/255. Có thể đưa vào file /etc/fstab để mount tự động lúc khởi động.0.0/255. www.com.255.statd: ALL  File /etc/hosts.255. File /etc/hosts.athena.vn An Ninh Mạng ATHENA .168.allow và /etc/hosts.allow • portmap.lockd.rquotad. Để đảm bảo NFS security.deny.statd: 192.athena.

www.com. An Ninh Mạng ATHENA .  • Tiến trình nmdb: – lắng nghe trên port 137. Từ Linux: • Mount thư mục chia sẻ của Windows. • Truy cấp máy in của Linux. trực tiếp xử lí các request truy cập đến thư mục chia sẻ trên Linux. chịu trách nhiệm cung cấp tên NetBIOS của samba server cho các request kết nối.Giới thiệu dịch vụ Samba Giớ thiệ dị vụ  Giới thiệu dịch vụ Samba (tt) Giớ thiệ dị vụ  Samba là dịch vụ chia sẻ file và dịch vụ in trong môi trường network giữa các máy tính Linux và máy tính Windows.athena. • Chứng thực với các máy tính Windows. tạo lại user đó trên linux. Kiểu mã hóa mà Windows và Linux sử dụng là khác nhau. Để một user trên windows chứng thực thành công trên linux. phục vụ cho kết nối này. www. www.  Từ Windows: • Thấy những thư mục chia sẻ của Linux.vn Giới thiệu dịch vụ Samba (tt) Giớ thiệ dị vụ   Cấu hình Samba  Windows và Linux đều sử dụng mã hóa khi cần chứng thực users. dùng lệnh smbpasswd. Dịch vụ Samba có thể được cài đặt từ RPM: • samba-client-[version] • samba-common-[version] • samba-[version] • system-config-samba-[version]     Hoặc có thể cài đặt dịch vụ Samba từ gói source.com. Nếu giống nhau thì chứng thực thành công. password do user nhập vào sẽ được mã hóa.athena.vn 42 . đem so sánh với password mã hóa đã được lưu sẵn. • Truy cập máy in của Windows.athena. • Chứng thực với các máy tính Linux.com.vn An Ninh Mạng ATHENA . Dịch vụ Samba gồm những tiến trình sau: • Tiến trình smbd: – lắng nghe trên port 139.conf • Dùng lệnh testparm để test file cấu hình Samba.vn An Ninh Mạng ATHENA .athena. Khi users cần chứng thực. – Khi một client kết nối. File cấu hình chính của dịch vụ Samba: • /etc/samba/smb. An Ninh Mạng ATHENA . www. smbd sẽ tạo ra một tiến trình mới.com.

www.  Định nghĩa các option chung của Samba trong section [global]:  share | domain | server Cấu hình Samba (tt)  Thư mục share của Samba: đường dẫn để share tên thư mục thật sự gán quyền  Những thư mục share của Samba được định nghĩa thành từng section.athena. www. www.athena.com.Cấu hình Samba (tt) File cấu hình dịch vụ Samba có thể được chỉnh sửa trực tiếp.vn 43 . www. hoặc chỉnh sửa qua giao diện web sử dụng SWAT.athena. An Ninh Mạng ATHENA .com.vn An Ninh Mạng ATHENA .vn An Ninh Mạng ATHENA .com.com.vn SWAT  Hỏi & Đáp SWAT là giao diện web-based cho phép chỉnh sửa các cấu hình của Samba trên giao diện web.athena. • http://localhost:901/  Lệnh của Samba client: • smbclient • smbmount An Ninh Mạng ATHENA .

vn 44 . PAM đóng vai trò như DLL đối với các ứng dụng khác.vn Pluggable Authentication Modules      PAM (tt)      Mỗi ứng dụng có một kiểu xác thực => phức tạp hệ thống. Khi ứng dụng cần xác thực theo phương thức nào thì gọi phương thức đó của trong thư viện của PAM. Ứng dụng không trực tiếp xác thực.com.athena.com. Ứng dụng quyết định cho phép user login hay không. Theo cách hiểu của Linux.Nội dung  Pluggable Authentication Modules (PAM).com. www. PAM là một thư viện. • Giới thiệu • Cấu hình PAM An Ninh Mạng ATHENA . Thông tin về các module xác thực của PAM: • man [pam_module] An Ninh Mạng ATHENA . PAM làm việc và trả về kết quả xác thực cho ứng dụng. yêu cầu xác thực. mà chuyển request cho PAM. PAM cung cấp nhiều module xác thực /lib/security từ đơn giản đến phức tạp. Theo cách hiểu của Windows. www.vn An Ninh Mạng ATHENA .athena. www. Pluggable Authentication Modules – PAM: cung cấp một phương thức xác thực tập trung.athena.

không sử dụng đến các module sau.d: file cấu hình của những ứng dụng sử dụng PAM xác thực. password.vn An Ninh Mạng ATHENA . Cho phép user đổi password. module_path: đường dẫn cụ thể của module xác thực. www.PAM (tt)    PAM (tt)  /lib/security: những module xác thực của PAM. Không thực hiện chứng thực.athena.athena. dựa vào các yếu tố khác để quyết định user có được login không: login từ đâu.com. vào giờ nào… Chỉ định những thao tác cần thực hiện trước hoặc sau khi user login. session password sufficient optional An Ninh Mạng ATHENA . arguments: các tham số khác.vn An Ninh Mạng ATHENA . dù module này bị fail. Nếu module này fail. kết quả thành công sẽ được trả về. control_flag: cấu hình cách xử lí của ứng dụng với kết quả xác thực do PAM trả về. www.com.com. kết quả sẽ được trả về ngay lập tức. • => mỗi ứng dụng xác thực bằng PAM có một file cấu hình trong /etc/pam. session.athena.com.d module_type control_flag module_path arguments     module_type: nhận một trong 4 giá trị: auth. www. Cho phép tiếp tục kiểm tra module khác.vn PAM (tt) module_type auth account Mô tả Ứng dụng yêu cầu user phải nhập password.vn 45 .athena. nếu không kết quả fail sẽ được gởi về. và không có module required nào nữa. /etc/pam. www. PAM (tt) control_flag required requisite Mô tả Module phải chứng thực thành công. /etc/security: file cấu hình tương ứng của từng module xác thực của PAM. account. Nếu module này thành công. An Ninh Mạng ATHENA .

PAM (tt) use_first_pass Lưu lại password.athena. yêu cầu user nhập lại.com. www. tuy nhiên nếu password fail.athena. để sử dụng cho lần xác thực sau. www.com. Dùng lệnh man [pam_module] để tìm hiểu về từng module xác thực: Vd: man pam_nologin An Ninh Mạng ATHENA .vn Hỏi & Đáp NIS An Ninh Mạng ATHENA . www.PAM (tt) argument debug no_warn Mô tả Log lại thông tin debug Không gởi msg waring đến ứng dụng.vn 46 .com.athena. try_first_pass Giống option trên.vn An Ninh Mạng ATHENA .

com.  có NIS.vn An Ninh Mạng ATHENA .com.vn Giới thiệu NIS (tt) Khi Giới thiệu NIS (tt) NIS – Network Information Service là nơi lưu trữ dữ liệu tập trung để các client có thể truy vấn.athena. www. www.com.com. việc chứng thực cho một user login vào hệ thống như sau: • các daemon • file cấu hình  NIS tools An Ninh Mạng ATHENA . /etc/hosts.athena. www.vn 47 .athena.  Dữ liệu có thể lưu trữ trong NIS là những dữ liệu text. và có ít nhất một cột có giá trị duy nhất trên mỗi dòng. www. việc chứng thực cho user login vào hệ thống có thể hiểu như sau: • /etc/passwd.vn An Ninh Mạng ATHENA . /etc/protocol… • những dữ liệu text này cách nhau bằng “tab”.Nội dung Giới thiệu NIS  Cài đặt NIS  Giới thiệu NIS Trước khi có NIS. An Ninh Mạng ATHENA . /etc/services.athena.

vn An Ninh Mạng ATHENA .vn NIS tools  Hỏi & Đáp Client có thể sử dụng những tools sau để truy vấn từ NIS server: • ypcat: dump nội dung một bảng map của NIS server. www.vn An Ninh Mạng ATHENA . – ypcat passwd • ypwhich: cho biết NIS server nào đang phục vụ request – ypwhich • ypmatch: truy vấn dữ liệu bảng map của NIS match một từ khóa nào đó – ypmatch test passwd An Ninh Mạng ATHENA .athena. đầu tiên cần khởi tạo dữ liệu cho NIS server bằng tiến trình ypinit.com.com.Cài đặt & cấu hình NIS    Cài đặt & cấu hình NIS (tt) đặ cấ hì Để NIS server có thể hoạt động được. sử dụng lệnh: • /var/yp/make An Ninh Mạng ATHENA .vn 48 . Server có các daemon sau: • ypserv: lắng nghe truy vấn từ client. và trả lời cho những truy vấn này.athena.  Daemon của client: • ypbind: tìm kiếm NIS server để gởi truy vấn. www.athena. • ypxfrd: transfer những thay đổi từ NIS master sang NIS slave. www. www. hoặc source: • ypserv-[version].com.  File /var/yp/Makefile: quyết định những dữ liệu nào NIS server sẽ hỗ trợ.   NIS được cài đặt gói bằng gói rpm. Khi cần update dữ liệu của NIS server.com.athena.rpm NIS hoạt động theo mô hình client/server.

500 là một network directory. www. DAP hoạt động dựa trên giao thức OSI. người ta đã sử dụng giao thức DAP – Directory Access Protocol.athena. X. LDAP định nghĩa một tập lệnh giao tiếp giữa client/server dựa trên giao thức TCP để truy vấn dữ liệu directory. Nếu ứng dụng cần nhiều thao tác insert.vn 49 .     An Ninh Mạng ATHENA .vn An Ninh Mạng ATHENA . Network directory được tổ chức để thuận tiện nhất cho việc đọc và tìm kiếm.athena. Để truy vấn network directory. www. www.com.Nội dung Giới thiệu Network Directory  Giới thiệu LDAP protocol    Cấu trúc lưu trữ LDAP Directory Giới thiệu Openldap • server side daemon • client side command LDAP An Ninh Mạng ATHENA . Giao thức này qui định một tập lệnh giao tiếp giữa client và server lưu trữ (network directory) để truy vấn dữ liệu cần thiết.com.athena. LDAP – Lightweight Directory Access Protocol là giao thức ra đời để thay thế DAP.vn Network Directory    Giới thiệu LDAP protocol Giớ thiệ   Network directory là một cấu trúc dùng để tổ chức lưu trữ theo dạng phân cấp hình cây. update thì không nên lưu trữ theo kiểu network directory.com.

vn 50 .com. www. dc=com attribute Những schema và objectclass thường được dùng đều đã được định nghĩa sẵn trong RFC.athena. có thể định nghĩa schema. Từ đó. www.com. phân tích.vn LDAP directory (tt) entry LDAP directory (tt)    cn=gerald carter.vn An Ninh Mạng ATHENA .athena. dc=example. Khi muốn định nghĩa một cấu trúc cây thư mục.vn An Ninh Mạng ATHENA . dc=com DN: Distinguished Name An Ninh Mạng ATHENA . ou=people.athena.   An Ninh Mạng ATHENA . sau đó tìm những objectclass. objectclass mới. Nếu không có schema thỏa mãn yêu cầu. xây dựng nên cấu trúc cây thư mục.com. schema có những attribute này.com. www. dc=plainjoe.athena. ou=people. www. quyết định cần những attribute nào.LDAP protocol (tt) LDAP directory RDN: Relative Distinguished Name uid=babs.

LDAP directory (tt) OPENLDAP (tt) Openldap là phần mềm mã nguồn mở. www. client dùng những lệnh sau: • ldapadd: thêm một entry mới.com.vn An Ninh Mạng ATHENA .athena. Daemon này dùng để đồng bộ những thay đổi từ LDAP master server sang LDAP slave server. Daemon này lắng nghe các request truy vấn LDAP từ client. www. và gởi câu trả lời.vn OPENLDAP (tt)  Hỏi & Đáp Để truy vấn LDAP. www.athena.vn An Ninh Mạng ATHENA . • ldapmodrdn: chỉnh sửa RDN của entry.athena.com. • ldapmodify: chỉnh sửa thông tin một entry.vn 51 .com. dùng để hiện thực LDAP chạy trên hệ điều hành Linux/ UNIX.athena. • slurpd: LDAP replication daemon.  Phía server gồm có hai dịch vụ chính:  • slapd: standalone LDAP daemon.com. tiến hành truy vấn. • ldapdelete: xóa một entry. An Ninh Mạng ATHENA . www. • ldapsearch: tìm kiếm thông tin entry. An Ninh Mạng ATHENA .

com. nhận file qua giao thức TCP/IP. Active FTP  Dịch vụ FTP có hai mode hoạt động: • Active FTP.vn An Ninh Mạng ATHENA . Dịch vụ FTP hoạt động trên hai port: • Port 20: data port.athena. www.vn 52 .athena. • Port 21: control port. reply giữa client và server. An Ninh Mạng ATHENA .athena.Nội dung  Dịch vụ FTP • Giới thiệu dịch vụ FTP • Cài đặt dịch vụ FTP • Cấu hình dịch vụ FTP FTP & SSH server  Dịch vụ SSH • Giới thiệu dịch vụ SSH • Cài đặt dịch vụ SSH • Cấu hình dịch vụ SSH An Ninh Mạng ATHENA . Port này dùng để trao đổi lệnh. Dữ liệu sẽ được truyền trên port này.vn Giới thiệu dịch vụ FTP   Giới thiệu dịch vụ FTP (tt) Giớ thiệ dị vụ  Dịch vụ FTP là dịch vụ cung cấp cơ chế truyền. • Passive FTP.com.com. www. www.

vn 53 . truyền trong mô trường SSH là dữ liệu mã hóa. An Ninh Mạng ATHENA .conf. An Ninh Mạng ATHENA .vn An Ninh Mạng ATHENA . • vsftpd. Hoặc có thể cài đặt dịch vụ SSH bằng gói: • openssh-[version]. Gói vsftpd được đánh giá là security tốt.conf: kiểm soát hoạt động của dịch vụ FTP. dịch vụ SSH được tin dùng hơn dịch vụ telnet. proFTPD. password Mặc định dịch vụ SSH đã được cài đặt khi cài đặt máy tính. Dữ liệu. www. www. pureFTPd.user_list: tùy theo cấu hình file vsftpd.vn An Ninh Mạng ATHENA .athena.com. wuftpd.athena. vụ SSH cho phép điều khiển một phiên làm việc từ xa bằng dòng lệnh.com.com.com. Dịch  File cấu hình chính của dịch vụ SSH: • sshd_config vụ SSH lắng nghe ở port 22.Giới thiệu dịch vụ FTP (tt) Giớ thiệ dị vụ  Cài đặt & cấu hình dịch vụ FTP đặ cấ hì dị vụ     Passive FTP Có nhiều gói để cài đặt dịch vụ FTP như: vsftpd. dịch vụ FTP sẽ deny hoặc allow ds những users này.athena. Có thể cài đặt bằng RPM hoặc source. • vsftpd. www. File cấu hình chính của gói vsftpd: • vsftpd.ftpusers: ds những users không được phép log vào FTP.athena.vn Giới thiệu dịch vụ SSH Thế mạnh Dịch Cài đặt dịch vụ SSH đặ dị vụ   của hệ điều hành Linux là dòng lệnh. Vì tính an toàn dữ liệu. www.

vn 54 . cần phải biết địa chỉ IP. • Fully Qualified Domain Name (FQDN) • The in-addr.vn Nội dung Giới thiệu dịch vụ DNS.  Hoạt động của dịch vụ DNS  Giới thiệu dịch vụ DNS   Để máy tính này có thể liên lạc với máy tính kia.com.athena.com.com. Người sử dụng muốn liên lạc với máy tính khác trong mạng bằng tên máy tính.arpa Domain • Phân giải request DNS • Types of DNS server       Cài đặt dịch vụ DNS Cấu hình dịch vụ DNS DNS tools An Ninh Mạng ATHENA . Cần có một bảng map giữa địa chỉ IP và tên máy tính. dùng file text để quản lý.vn An Ninh Mạng ATHENA . www. www.athena. Người sử dụng khó khăn trong việc nhớ địa chỉ IP. Với hệ thống mạng nhỏ. www. Với mạng Internet.Hỏi & Đáp DNS server An Ninh Mạng ATHENA . sử dụng dịch vụ DNS.athena.

Second-level domain org .athena. www.Giới thiệu dịch vụ DNS Dịch vụ DNS – Domain Name Service là dịch vụ phân giải tên miền.vn An Ninh Mạng ATHENA . Root domain Third-level domain   DNS quản lý tên miền theo cấu trúc cây.athena. www.vn Fully Qualified Domain Name (tt) Fully Qualified Domain Name (tt) An Ninh Mạng ATHENA .   Fully Qualified Domain Name  Dịch vụ DNS quản lý tên miền bằng Fully Qualified Domain Name (FQDN).  serverA. example.com. An Ninh Mạng ATHENA .com. không cần nhớ đến địa chỉ IP.com. Dịch vụ DNS được hiện thực bằng phần mềm Berkely Internet Name Domain system (BIND).athena.vn 55 .vn An Ninh Mạng ATHENA . www.com.  Dịch vụ DNS sẽ ánh xạ từ tên miền sang địa chỉ IP.athena. Top-level domain Dịch vụ DNS cho phép người dùng truy cập đến các máy tính khác bằng tên. www.

com.The in-addr.  domain name: tên miền quốc tế.d) domain name: domain name: domain name: request (domain name) -> server DNS -> IP (a.com. DNS Athena: • request -> Viettel -> answer. server DNS: DNS của nhà cung cấp khác. • request -> Athena -> VNNIC -> ISP -> answer. • request -> DNS server -> VNNIC -> Athena -> answer. www.vn 56 . tên miền quốc tế.b. • request -> Athena -> Root servers -> DNS primary > answer.com. An Ninh Mạng ATHENA . tên miền do VNNIC quản lý.athena.vn An Ninh Mạng ATHENA .athena.vn Phân giải request DNS (tt) giả  Phân giải request DNS (tt) giả  Tên miền do Athena quản lý: • request -> Athena -> answer.c.  domain name: tên miền do VNNIC quản lý.b. www.com.  DNS của nhà cung cấp khác: • request -> DNS server -> answer. An Ninh Mạng ATHENA .athena. www.c.vn An Ninh Mạng ATHENA . DNS: DNS của Athena. www.arpa Domain (tt) in- Phân giải request DNS request -> server DNS -> IP (a.d) server tên miền do Athena quản lý.athena.

com.conf An Ninh Mạng ATHENA .com. www.com.Phân giải request DNS (tt) giả  Phân giải request DNS (tt) giả  Chi tiết xử lí request của DNS không hỗ trợ mode recursive: Chi tiết xử lí request của DNS hỗ trợ mode recursive: An Ninh Mạng ATHENA .vn 57 .athena.athena.com. www.vn An Ninh Mạng ATHENA . www.vn An Ninh Mạng ATHENA .athena.vn Type of DNS server   Cài đặt dịch vụ DNS  Primary DNS server Cài đặt dịch vụ DNS bằng các gói bind • bind-utils-[version] • bind-libs-[version] • bind-[version] Secondary DNS server  Caching/ Forwarding DNS server  File cấu hình chính của dịch vụ DNS: • named.athena. www.

com.vn An Ninh Mạng ATHENA .athena.vn An Ninh Mạng ATHENA . www.com. PTR.Cấu hình dịch vụ DNS (tt) hì dị vụ Cấu hình dịch vụ DNS (tt) hì dị vụ  Option chung DNS hỗ trợ các bản ghi: SOA.vn DNS tools  Hỏi & Đáp Lệnh dig: • dig @nameserver domain  Lệnh dnsquery: • dnsquery -n nameserver host  Lệnh host: • host domain  Lệnh nslookup: • nslookup record [server] • nslookup ipaddress An Ninh Mạng ATHENA .com. MX.com.athena. A. www.athena.athena. www. www. NS. Root servers Định nghĩa domain An Ninh Mạng ATHENA . CNAME.vn 58 .

athena. Web client (browsers) sẽ gởi request đến Web server sử dụng HTTP protocol. HyperText Markup Language (HTML) là ngôn ngữ dùng để viết web. và cả Windows.  Giới thiệu Apache.com.apache.    Cài đặt Apache. cho phép mở rộng nhiều tính năng. Apache tương thích với hầu hết hệ điều hành UNIX.vn Giới thiệu dịch vụ Web     Apache     World Wide Web (WWW) là một ứng dụng client-server dựa trên giao thức HTTP protocol. www.vn An Ninh Mạng ATHENA .com. www. Web server nhận request. Cấu hình Apache  Access control Log Files  Performance  An Ninh Mạng ATHENA . xử lí. và trả kết quả cho web client (browers).athena.athena. Nhiều phần mềm được sử dụng để hiện thực tính năng của web server: IIS. Apache hoạt động linh hoạt.Nội dung Web server Trung tâm Đào tạo Quản trị & An ninh mạng ATHENA Giới thiệu dịch vụ Web. www.com.vn 59 . có thể biên dịch thêm nhiều module từ: • http://modules. Apache… Apache là một phần mềm mã nguồn mở được sử dụng để làm web server phổ biến nhất trên Linux.org An Ninh Mạng ATHENA .

www. • Virtual host section: mỗi virtual host có thể có một section riêng.com.conf Cấu hình của Apache gồm ba phần chính: • Global section: những cấu hình trong section này apply cho tất cả host trên server.  Hoặc có thể cài đặt Apache bằng gói source • httpd-[version].com:80 # Khai báo địa chỉ URL DocumentRoot “/var/www/html”# Thư mục gốc của web server Cấu hình Apache (tt)   Virtual host: có hai kiểu hiện thực name-based và IP-based.athena.vn 60 .tar. An Ninh Mạng ATHENA .com. Với kiểu IP-based.com.conf – Global section: ServerRoot “/etc/httpd” # Vị trí cài đặt Apache Timeout 120 # Thời gian sống của một kết nối (giây) KeepAlive On # Client gửi nhiều y/c đến server qua 1 kết nối MaxkeepAliveRequests 100 # Số request tối đa trên một kết nối KeepAliveTimeout 15 # Thời gian timeout của một request Listen 80 # Lắng nghe trên port 80 User apache # User và Group để chạy httpd Group apache ServerAdmin root@localhost # Email của người quản trị ServerName www.athena.vn An Ninh Mạng ATHENA .athena. www. www.gz  Khi cài đặt bằng gói source có thể chọn nhiều option để biên dịch Apache • --enable-proxy • --enable-ssl • --enable-rewrite • …………….Cài đặt Apache  Cấu hình Apache hì   Có thể cài đặt Apache bằng gói rpm • httpd-[version]. • Main section: apply cho những virtual host không có section riêng.vn Cấu hình Apache (tt) File cấu hình của Apache: httpd. www.athena.rpm File cấu hình của Apache: httpd.com.vn An Ninh Mạng ATHENA .nhatnghe_lpi. mỗi virtual phải có một card mạng: An Ninh Mạng ATHENA .

conf error_log – Lỗi phát sinh trong quá trình chạy của web server. không thể truy cập trang web nào. có thể chọn lúc biên dịch apache. Log này là option. khi cấu hình.  User có thể truy cập trang web nào.    Cấu hình Apache hỗ trợ Virtual host theo kiểu name-based Có thể giới hạn truy cập qua dãy IP của user.vn Access control (tt)   Log Files   Có thể giới hạn truy cập qua thông tin users.Cấu hình Apache (tt) hì  Access control Access control giúp kiểm tra user nào được phép truy cập trang web.athena. www. hoặc có thể không cấu hình. refer_log – liệt kê những URL trước đó browser đã sử dụng. agent_log – liệt kê những chương trình được web server gọi chạy.vn An Ninh Mạng ATHENA . www.vn An Ninh Mạng ATHENA . Có thể giới hạn truy cập bằng cách chỉ chấp nhận những user đã được xác thực (valid user).com.com.  Giới hạn truy cập trong file httpd. www.athena. có thể chọn trong khi biên dịch.com.athena.conf   An Ninh Mạng ATHENA . Log này cũng là option.vn 61 . www.com.athena. Tạo username/pass: access_log – liệt kê từng request truy cập vào trang web. Những user được kiểm tra username/pass đúng mới được truy cập. An Ninh Mạng ATHENA . hoặc cấu hình trực tiếp trong file cấu hình httpd.

Performance  Hỏi & Đáp Những option này được định nghĩa trong phần Global Section: • StartServers: số tiến trình con được sinh ra lúc đầu khi web server start. www.com. www.com. để chờ kết nối. • MinSpareServers: số tiến trình con tối thiểu ở trạng thái idle. www.vn 62 .vn Nội dung Squid server Trung tâm Đào tạo Quản trị & An ninh mạng ATHENA Giới thiệu Squid server  Cấu hình Squid server  • Option • Cấu hình ACL  Squid Authentication An Ninh Mạng ATHENA .athena.com.athena. • MaxSpareServers: số tiến trình con tối đa cho phép ở trạng thái idle. để chờ kết nối. • MaxClient: web server phục vụ tối đa cho bao nhiêu request đồng thời.athena.vn An Ninh Mạng ATHENA . An Ninh Mạng ATHENA .

thì Squid trả kết quả về ngay cho request. www. cho phép người nào sẽ được truy cập Web.com.1. truy cập những trang nào. Squid sẽ kiểm tra.com. xác nhận tính hợp lệ của request dựa trên những policy đã được định nghĩa trong Squid. • acl: đây là phần phức tạp nhất của Squid server.vn Cấu hình Squid server  Cấu hình Squid server (tt) hì • cache_mem: Squid server sẽ sử dụng bao nhiêu memory của RAM. www.com.vn 63 .  Khi có request yêu cầu Web page.Giới thiệu Squid server Squid là một caching proxy server. • cache_access_log: Squid server ghi nhận lại các request đã query Squid.   Giới thiệu Squid server (tt) Giớ thiệ Squid server có thể được cài đặt bằng source hoặc bằng rpm.0/24 http_access allow intranet http_access deny all Một số option chính cấu hình Squid server: • http_port: port Squid server lắng nghe request để phục vụ.168. truy vấn Web page để trả về kết quả cho request. Nếu kết quả đã có trong cache của Squid. An Ninh Mạng ATHENA .vn An Ninh Mạng ATHENA .athena. • cache_dir: định nghĩa Squid server sẽ chứa cache ở đâu – cache_dir storage_type directory-name megabytes L1 L2 [options] – cache_dir ufs /var/spool/squid 10000 16 256 Directory Megabytes Top level directory Second level directory An Ninh Mạng ATHENA . www.  Squid server gồm những file sau trong hệ thống:  • /etc/squid • /usr/lib/squid • /usr/sbin/squid • /var/log/squid Sau đó. acl intranet src 192. www. Mặc định là port 3128.athena.vn An Ninh Mạng ATHENA .com.athena. Squid server được đặt giữa Web client và Web server.athena.

athena. Để sử dụng tính năng Squid Authentication.vn 64 .athena.vn Squid Authentication    Hỏi & Đáp Để sử dụng Squid.com. www.athena.Cấu hình Squid server (tt) hì  Cấu hình Squid server (tt) hì Có thể dùng acl để giới hạn truy cập bằng nhiều cách: • Giới hạn truy cập theo thời gian.com. user phải có username/pass hợp lệ => Squid Authentication. An Ninh Mạng ATHENA . • Giới hạn truy cập theo trang web. • Giới hạn truy cập theo port. • Giới hạn truy cập theo giao thức.com. www.athena. • Giới hạn băng thông tối đa được sử dụng.vn An Ninh Mạng ATHENA . • Giới hạn file được phép download. cần biên dịch ncsa_auth với Squid. Tạo password cho user: Cấu hình Squid hỗ trợ tính năng Squid Authentication:  An Ninh Mạng ATHENA .com. www. • Giới hạn truy cập theo IP.vn An Ninh Mạng ATHENA . www.

athena. đã được gởi đi chưa.athena. virus mail… An Ninh Mạng ATHENA . nhưng người nhận không nhận được.athena. An Ninh Mạng ATHENA . www. những lỗi thường gặp: • Gởi email. nhận mail. gởi đến nơi chưa. có bị nghẽn hay không? • kiểm soát được tình trạng gởi spam mail. • Thường xuyên phải nhận thư rác. người nhận mới nhận được email. • MDA – Mail Delivery Agent. www.com. nhưng > 1h. Phân tích chính sách chống spam. lí do vì sao không gởi được. • monitor được các kết nối gởi. đến 1 ngày.Nội dung Mail server Trung tâm Đào tạo Quản trị & An ninh mạng ATHENA  Giới thiệu dịch vụ Mail • MUA – Mail User Agent. thư quảng cáo… Để kiểm soát tốt dịch vụ Mail. và người gửi cũng không nhận được msg báo lỗi.com.vn 65 . www. đã được nhận về chưa. • Các protocol để transfer mail.   Phân tích cách cấu hình MTA. • Gởi email. không nhận được.com.vn Giới thiệu dịch vụ Mail   Giới thiệu dịch vụ Mail (tt) Giớ thiệ dị vụ  Dịch vụ Mail là dịch vụ quan trọng và cần thiết nhất đối với người sử dụng. nhiều hay ít.vn An Ninh Mạng ATHENA . người quản trị phải: • monitor tình trạng của email. Với người sử dụng. • MTA – Mail Transfer Agent.

com.com. Incoming server trong chương trình soạn email. • Người dùng send email.athena. Và liên lạc với server mail chịu trách nhiệm về rcpt này để gởi mail.com -> test1@yahoo. outgoing -> Mail yahoo SMTP Athena -> Incoming Athena test1@nhatnghe.vn Giới thiệu dịch vụ Mail (tt) Giớ thiệ dị vụ  Giới thiệu dịch vụ Mail (tt) Giớ thiệ dị vụ test@nhatnghe. www.com Server outgoing ->test1@nhatnghe. An Ninh Mạng ATHENA . xác định rcpt cùng domain với sender. Server Outgoing nhận email.vn An Ninh Mạng ATHENA . Khi gởi mail trong cùng domain. deliver local.com. Incoming server thường là một server POP3 -> MDA – Mail Delivery Agent.vn 66 .com   User check email qua Incoming server. An Ninh Mạng ATHENA . www.com test@nhatnghe. • Outgoing sẽ liên lạc với remote MTA theo kết quả phân giải bản ghi MX của DNS. www. outgoing sẽ dùng DNS để tìm bản ghi MX của mail server domain đó (remote MTA).athena.com. (Outlook.vn An Ninh Mạng ATHENA . Người sử dụng dùng giao thức POP hoặc IMAP kết nối với Incoming (MDA) để lấy mail về. Remote MTA MTA Quá trình liên lạc giữa các MTA như sau: • Sau khi phân tích “To”:address. SMTP • Remote MTA sẽ chuyển email đến rcpt của họ. MUA thunderbird…) • Dùng chương trình đó soạn email.Giới thiệu dịch vụ Mail (tt) Giớ thiệ dị vụ  Giới thiệu dịch vụ Mail (tt) Giớ thiệ dị vụ  Quá trình gởi mail của người dùng như sau: • Người dùng cấu hình Outgoing. server Outgoing (MTA) sẽ deliver mail cho server Incoming (MDA) bằng giao thức LMTP – Local Mail Transfer Protocol. • Server Outgoing phân tích “To”:address. www.athena.com Server outgoing LMTP Athena -> DNS -> Record MX -> Mail yahoo. • Rcpt thuộc domain khác. >checkmail bằng POP để nhận email từ Incoming.athena. -> test1@yahoo.com. eudora.

www. • MTA sẽ chuyển mail cho server MDA nào.com test@nhatnghe.com Các protocol sử dụng trong quá trình gởi nhận mail như sau: • SMTP – Simple Mail Transfer Protocol: giao thức gởi nhận mail giữa các MTA.  Các phần mềm dùng để đảm nhận chức năng MDA – Mail Delivery Agent: • Procmail.com.com Yahoo -> DNS -> Record MX -> Mail Athena.athena. Exim. • MTA giới hạn số kết nối đồng thời từ một IP.vn An Ninh Mạng ATHENA . • LMTP – Local Mail Transfer Protocol: giao thức deliver mail giữa MTA và MDA.athena. thời gian gởi warning cho người dùng. • MTA xử lí mail cho những domain nào => relay domains. thời gian drop mail trong hàng đợi.com.com. • POP – Post Office Protocol: giao thức lấy mail từ MDA về MUA.com Mail Giới thiệu dịch vụ Mail (tt) Giớ thiệ dị vụ  -> test@nhatnghe. Qmail. Mail yahoo -> Mail Athena SMTP -> test@nhatnghe.vn An Ninh Mạng ATHENA . ->checkmail bằng POP để nhận email từ Incoming.com. Maildrop. • MTA giới hạn kích thước của msg. Postfix. • MTA giới hạn số rcpt tối đa có thể gởi đồng thời.Giới thiệu dịch vụ Mail (tt) Giớ thiệ dị vụ test1@yahoo. www. • MTA không chấp nhận kết nối từ những domain.athena.athena.vn 67 . Courier IMAP. • Cách MTA xử lí hàng đợi mail: ở trong hàng đợi tối đa bao lâu.com. số kết nối tối đa mà MTA có thể đảm nhận. Eudora. An Ninh Mạng ATHENA . An Ninh Mạng ATHENA . Thunderbird. Athena -> LMTP Incoming Athena để deliver mail cho test@nhatnghe. IP nào. Khi cấu hình MTA. www.vn Giới thiệu dịch vụ Mail (tt) Giớ thiệ dị vụ  Cấu hình MTA  Các phần mềm dùng để đảm nhận chức năng MTA – Mail Transfer Agent: • Sendmail.  Các phần mềm cho chức năng MUA – Mail User Agent: • Outlook. • IMAP – Internet Mail Access Protocol: giao thức lấy mail từ MDA về MUA. www. Cyrus-IMAP. cần lưu ý những tính năng sau: • MTA yêu cầu user xác thực trước khi gởi mail => SMTP Authentication.

– một IP liên tục mở nhiều kết nối -> hạn chế ngưỡng kết nối tối đa của một IP. • Áp dụng firewall.athena.Chính sách chống SPAM  Hỏi & Đáp Chống SPAM cho mail có hai loại chính: • SPAM từ kết nối: chống SPAM bằng các chính sách kiểm tra kết nối gởi mail.com. • Phân tích traffic.athena.vn An Ninh Mạng ATHENA . www. – Nội dung email là nội dung quảng cáo – Email chứa virus nguy hiểm. www.vn 68 . – => dùng phần mềm lọc spam.athena. dựa vào blacklist.com. – gởi liên tục nhiều email: dùng những phần mềm đánh giá nguồn gởi email.vn Nội dung  Giới thiệu iptables • Giới thiệu một mô hình mạng. • Nội dung mail SPAM: chống SPAM bằng cách lọc nội dung email. – nhiều IP liên tục mở kết nối: kiểm tra reverse. virus.com. An Ninh Mạng ATHENA . www.  Mô hình xử lí logic của iptables Cú pháp iptables Firewall  An Ninh Mạng ATHENA .

vn An Ninh Mạng ATHENA . ngoại trừ những traffic sau: – TCP port 80.88 From: 200. www. port 443 – TCP port 80: forward đến web server.2.20.0. port 22.0.0/24) ra ngoài. – TCP port 22: forward đến file server.2.2: 80 table Eth1: 10. www.2 Default route: 10.athena.0.com.20.com.0. www. – TCP port 443: forward đến file server.12.0.1 chain From: 200.88: 80 Client: 200.0. nat filter An Ninh Mạng ATHENA .2. • Cấm tất cả các traffic từ ngoài vào trong firewall.athena.athena.athena.2.2 ` An Ninh Mạng ATHENA . www.0.vn 69 .Giới thiệu iptables Miền cần bảo vệ Giới thiệu iptables  Cần quản lý những loại traffic sau: • Cho phép mọi traffic từ trong firewall (10.0.2.2.2: 1025 To: 10.vn An Ninh Mạng ATHENA .vn Mô hình logic iptables hì Mô hình logic iptables hì Server 10.0.1 DNAT Eth0: 172.2: 1025 To: 172.12.com.com.0.

20.2.athena.2. – icmp-net-unreachable – icmp-host-unreachable – icmp-port-unreachable – icmp-proto-unreachable • QUEUE: chuyển gói tin vào hàng đợi queue.com. sẽ không gởi nữa. www.2.12.Mô hình logic iptables hì Server: 10.12. • -N chain: định nghĩa một chain mới. • -R chain number: thay thế một rule ở dòng [number].2.athena. • RETURN: trả về cho chain cấp trên hoặc default policy.0. mangle • -A chain: thêm một rule mới.0.athena.88 From: 172.2.athena. Nếu đã gửi quá nhiều lần. • -E [old_chain] [new_chain]: đổi tên chain (chỉ có thể thay đổi với những chain do người dùng tạo ra). • -I chain number: chèn một rule vào dòng [number].vn 70 .0.0. match target REJECT: • drop gói tin. • LOG: ghi lại thông tin packet trong system log – --log-level – --log-prefix – --log-tcp-sequence – --log-tcp-options – --log-ip-options An Ninh Mạng ATHENA .88: 80 To: 200.2: 1025 Eth1: 10. rules From: 10.com.vn An Ninh Mạng ATHENA . www.0.20. • -F chain: xóa mọi rule hiện có.vn Cú pháp iptables (tt)  Cú pháp iptables – TARGET phá  iptables –A INPUT –p tcp –dport 22 –j ACCEPT • ACCEPT: cho phép gói tin đi qua. • -D chain: xóa một rule.0.1 SNAT Eth0: 17.com. đồng thời gởi gói tin ICMP trả lời về cho người gửi. • DROP: vứt bỏ gói tin.2 ` An Ninh Mạng ATHENA . nat. www.1 Cú pháp iptables  iptables –t table –A chain [match] [target] • table: filter (default).0. Client: 200. • --reject-with type: gửi ICMP với type chỉ định.2: 1025 • -L chain: xem các rule đã có.2 Default route: 10.2: 80 To: 200. www.0.2.vn An Ninh Mạng ATHENA .com.

athena.168.1.TARGET (tt)  Match -p [!] name: chọn những packet dựa trên protocol.com. Address có thể là hostname hoặc địa chỉ IP. [!] –f: chọn những gói tin bị phân mảnh (từ mảnh vụn thứ hai).0.88  DNAT: chỉ có thể sử dụng trong table nat trong chain PREROUTING • --to-destination address[-address][:port-port] • -j DNAT --to-destination 10. --sport [!] [port][:port]: chọn những packet có port nguồn xác định như trên --dport [!] [port][:port]: chọn những packet có port đích xác định như trên. • -j REDIRECT --to-ports 80 An Ninh Mạng ATHENA .0/24 –i eth0 -d 192.vn 71 .vn An Ninh Mạng ATHENA .athena. www. -o name: chọn những packet được gửi từ interface name (output). www. www.1 --dport 80 -j ACCEPT An Ninh Mạng ATHENA .  -s [!] address[/mask]: chọn những packet dựa trên địa chỉ nguồn.12. Protocol có thể là tên hoặc port tương ứng trong file /etc/protocols.com.athena.  -d [!] address[/mask]: cũng giống trường hợp trên nhưng là địa chỉ đích của packet.vn Match (tt)    Match (tt)    -i name: chọn packet được nhận từ interface name (input).com.1.1.com.0.  REDIRECT: chuyển hướng của gói tin tới một port khác trên máy local.vn An Ninh Mạng ATHENA . iptables –A INPUT -p tcp –s 10.20.2:80 MASQUERADE: là một dạng đặc biệt của SNAT.athena.   SNAT: chỉ có thể sử dụng trong table nat trong chain POSTROUTING • --to-source address[-address][:port-port] • -j SNAT --to-source 172. www.

/minute. RELATED An Ninh Mạng ATHENA . Iptables là stateful. /day.athena. Default là 5.vn Match state (tt)  Hỏi & Đáp Module state cho phép nhận biết và chọn các packet dựa trên trạng thái kết nối của các packet đó.athena.athena.  Đối với mac (sử dụng -m) • --mac-source [!] address: chọn những packet có địa chỉ MAC nguồn là address. Default là 3/hour.vn An Ninh Mạng ATHENA .com. Address viết dưới dạng 00:60:08:91:CC:B7 An Ninh Mạng ATHENA . Type có thể chỉ định bằng số hoặc tên (iptables -p icmp -h) Đối với limit (sử dụng -m) • --limit rate: giới hạn tần suất của packet. www.com.athena. • --limit-burst [number]: xác định số lượng packet tối đa được chấp nhận.com. /hour. www.vn An Ninh Mạng ATHENA . www. • --state states: chọn gói tin có trạng thái là 1 trong các trạng thái được liệt kê ở states • Các trạng thái của một kết nối là: INVALID.Match icmp & mac (tt)  Match limit (tt)  Đối với icmp (sử dụng -p icmp) • --icmp-type [!] type: chọn những packet icmp thuộc kiểu type.com. www. ESTABLISHED. được chỉ định bằng 1 con số và đằng sau là /second.vn 72 . NEW.

Nội dung

Giới thiệu Snort
• Sniffer mode • Packet Logger mode • Network Instrution Detection System (NIDS) • Inline mode

IDS server

Cài đặt, cấu hình Snort
• Preprocessor • Output modules

Cấu trúc luật của Snort
• Rule header • Rule option

An Ninh Mạng ATHENA , www.athena.com.vn

Giới thiệu Snort
 

Giới thiệu Snort (tt) Giớ thiệ

Snort là một phần mềm mã nguồn mở có khả năng phát hiện, chống sự xâm nhập trái phép. Snort hoạt động như một phần mềm đứng giữa sự giao tiếp của hai máy tính. Các packet trước khi được gửi đến máy tính đích sẽ được snort kiểm tra, thẩm định. Snort có thể phát hiện nhiều loại xâm nhập như: buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts…

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

73

Giới thiệu Snort (tt) Giớ thiệ

Sniffer Mode

Hiển thị thông tin header của packet:
• snort -v

Hiển thị thông tin ứng dụng đang phát sinh packet:
• snort –v -d

Header của tầng datalink:
• snort –vde • snort –v –d -e

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

Packet Logger Mode

Network Instrution Detection System
Mode

Lưu thông tin xuống file:
• snort –dev –l [filename]

hoạt động phức tạp nhất, nhiều option

nhất.
Bắt

Lưu thông tin ở dạng binary:
• snort –l [filename] -b

buộc phải chỉ ra file luật dùng để hoạt động (option -c)
• snort –u snort –g snort –D –c /etc/snort
Mặc

Đọc ngược thông tin từ file binary:
• snort –dv –r [filename] • snort –dv –r [filename] icmp

định của mode này là cảnh báo full alert và log lại packet theo dạng ASCII.

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

74

Inline Mode

Cài đặt đặ
 

Biên dịch hỗ trợ inline mode:
• ./configure –enable-inline

./configure

Có 3 loại luật được sử dụng ở mode inline:
• drop: iptables sẽ bỏ qua packet và log lại sự kiện này. • reject: iptables sẽ bỏ qua packet, log lại sự kiện, và thông báo đến máy tính rằng packet này sẽ không đến nơi. • sdrop: iptables sẽ bỏ qua packet, không thông báo đến máy đích và cũng không log lại sự kiện.

make  make install
  

Để hoạt động ở mode NIDS cần có tập luật: snortrules.tar.gz. tar –xzvf snortrules.tar.gz -C /etc/snort Sửa file /etc/snort/snort.conf

snort_inline –QDc ../etc/drop.conf –l /var/log/snort

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

Cấu hình Snort
var HOME_NET: định nghĩa mạng cần bảo vệ.  var EXTERNAL_NET: định nghĩa mạng bên ngoài.  var DNS_SERVERS: định nghĩa các server DNS cần bảo vệ.  var SMTP_SERVERS: định nghĩa các server SMTP cần bảo vệ.  portvar HTTP_PORTS : định nghĩa port của ứng dụng.

Cấu hình Snort (tt)

preprocessor: kiểm tra packet ngay sau khi packet được giải mã. Preprocessor được thực hiện trước tất cả các luật tìm kiếm, phát hiện khác.
• preprocessor <name>:<option>

output module: linh hoạt trong việc định dạng thông báo đến người sử dụng
• output <name>:<options>

An Ninh Mạng ATHENA , www.athena.com.vn

An Ninh Mạng ATHENA , www.athena.com.vn

75

com. • dynamic: ở trạng thái idle cho đến khi được một rule khác được kích hoạt. phần thông tin để xác định packet nào sẽ bị giữ lại.Cấu hình Snort (tt)  Cấu trúc luật Snort Rule header: rule action.vn Rule action  Rule action (tt)  Rule action: • alert: cảnh báo và ghi lại packet.  Rule option: thông điệp cảnh báo. www.com. www.com. • active: cảnh báo và gọi thực thi một rule khác.vn An Ninh Mạng ATHENA .   Preprocessor: • stream4 -> replace bằng stream5 • sfPortscan • Performance Monitor • ftp_telnet  Output modules: • alert_syslog • alert_fast • alert_full • log_tcpdump • alert_csv alert tcp any any -> any any (content:”|00 01 86 a5|”.vn 76 .athena. • drop: cho phép iptables bỏ qua packet này và log lại packet bị bỏ qua. } An Ninh Mạng ATHENA . port nguồn và port đích . • log: ghi lại packet.vn An Ninh Mạng ATHENA . cũng không thông báo đến máy nguồn.athena. • reject: cho phép iptables bỏ qua packet này.) Protocol Rule action An Ninh Mạng ATHENA .athena.athena. địa chỉ IP nguồn và địa chỉ IP đích. www. www. user=snort dbname=snort host=localhost. msg: “mountd access”. mysql. log lại packet. Định nghĩa rule type riêng phù hợp với mục đích: ruletype redalert { type alert output alert_syslog: LOG_AUTH LOG_ALERT output database: log. đồng thời gởi thông báo từ chối đến máy nguồn. • pass: bỏ qua packet. • sdrop: cho phép iptables bỏ qua packet này nhưng không log lại packet.com. protocol.

www. An Ninh Mạng ATHENA . rawbytes. tos: type of service.com. distance: <byte count>. reference: <id system>.athena.    Meta data   msg: “<message text>”. flag: kiểm tra TCP flag bits (F: FIN.vn priority: <priority integer> Payload          Non Payload    content: [!] “<context string>”. R: RST.endian] [. nocase. www. uricontent: [!]<context string>.   window: kiểm tra tcp window size. A: ACK).  payload: tìm kiếm thông tin trong phần payload của packet. string]. [!] <operator>.<number type>. www.athena.com. An Ninh Mạng ATHENA . www.vn 77 . isdataat: <int>. <id>.athena. byte jump ttl: time to live.relative] [.vn An Ninh Mạng ATHENA .  classtype: <classname>. <value>. S: SYN. post-detection: xảy ra sau khi một rule được kích hoạt. non-payload: tìm kiếm thông tin trong phần non-payload của packet.Rule option meta-data: cung cấp thông tin về rule nhưng không gây ra bất cứ ảnh hưởng nào đến quá trình phát hiện packet.athena.vn  An Ninh Mạng ATHENA . <offset> [. depth: <number>. offset: <number>.  dsize: kiểm tra non-payload có lớn hơn một kích thước xác định không.com. byte_test: <bytes to convert>.  flow: xác định chiều của kết nối.com.  sid: <snort rules id>.

www.  session: sử dụng để lấy sự kiện từ một TCP session. An Ninh Mạng ATHENA .vn 78 . react.com. • session: [printable|all].athena.Post detection  Hỏi & Đáp logto: kiểm tra log lại sự kiện vào file.com. www. • logto: “filename”.  resp.athena.vn An Ninh Mạng ATHENA .

Sign up to vote on this title
UsefulNot useful