PHẦN 1: GIỚI THIỆU

PHẤN 2: CÀI ĐẶT HỆ ĐIỀU HÀNH FEDORACORE1. CÁC YÊU CẦU 2. CÀI ĐẶT

PHẦN 3. CẤU HÌNH CƠ BẢN

PHẦN 4: CẤU HÌNH DHCP SERVER

PHẦN 5: CẤU HÌNH WEBSERVER1. APACHE2. PHP3. MYSQL4.TOMCAT

PHẦN 6: CẤU HÌNH MAILSERVER1. SENDMAIL2. DEVOCOT3. OPENWEBMAIL

PHẦN 7: SAMBA SERVER

PHÂN 8: IPTABLES

PHẦN 9: QUẢN TRỊ TỪ XA1.TELNET2.SSH

PHẦN 10: KIỂM TRA LOG

PHẦN 2:

PHẦN 3.

PHẦN 4: CÀI ĐẶT VÀ CẤU HÌNH DHCP SERVERI. GIỚI THIỆUDịch vụ DHCP (Dynamic Host Configuration Protocol) là một dịch vụ dùng để cấp cho máy trạm những thông tin mạng bao gồm ip, netmask, gateway, dns,...DHCP là một công cụ hữu ích trong việc quản trị những mạng lớn hay mạng có những người dùng di động.

* ƯU ĐIỂM- Người quản trị mạng không cần đặt địa chỉ IP cho từng máy tính trong mạng.- Người quản trị mạng không cần cung cấp thông tin hệ thống mạng cho từng máy, nhờ đó tiết kiệm được thời gian.- Thuận lợi cho nhừng người dùng di động sử dụng laptop, Palm top, …

II. CÀI ĐẶT- Gói cài đặt dhcp-3.0.6-10.fc8.rpm- Cài đặt: chuyển vào thư mục chứa gói cài đặt sau đó dùng lệnh# rpm –ivh dhcp-3.0.6-10.fc8.rpm

III. CẤU HÌNH DỊCH VỤ DHCP- Tập tin cấu hình: /etc/dhcpd.conf.- Ta sẽ cấu hình để cấp cho các client thông tin hệ thống mạng như sau:

+ Dãy IP: 172.16.1.2 -172.16.1.254+ Subnet mask: 255.255.255.0+ Default Gateway: 172.16.1.1+ Preferred DNS: 192.168.1.254

- Trong tập tin /etc/dhcpd.conf ta sẽ cấu hình như sau:

- File cấu hình này có thể được tạo từ file mẫu /usr/share/doc/dhcp-3.0.6/dhcpd.conf.sampleChúng ta chỉ cần copy và đổi tên thành dhcpd.conf và đặt trong /etc là được.- Tập tin /var/lib/dhcp/dhcp.leases: tập tin này được sử dụng bởi daemon dhcpd để lưu những thông tin về các địa chỉ IP đã được cấp phát.- Sau khi thiết lập những tập tin cấu hình, ta khởi động lại dịch vụ DHCP bằng lệnh sau:#service dhcpd restart

PHẦN 5. CÀI ĐẶT VÀ CẤU HÌNH WEB SERVER

Giả sử Web Server có địa chỉ cục bộ 192.168.1.253 và một domain cục bộ là www.congtyphanmem.com ánh xạ về địa chỉ trên.

I. CÀI ĐẶT VÀ CẤU HÌNH APACHE1. GIỚI THIỆUAPACHE

- Apache là chương trình máy chủ web sử dụng giao thức HTTP. Apache có thể chạy trên nhiều hệ điều hành như: Unix, Microsoft Windows, Novel Netware. - Apache là chương trình máy chủ web mã nguồn mở có khả năng cạnh tranh với các chương trình máy chủ web khác (chẳng hạn Microsft IIS). Apache là chương trình máy chủ web thông dụng nhất hiện nay.- Apache được phát triển và duy trì bởi một cộng đồng mã nguồn mở dưới sự bảo trợ của Apache Software Foundation.- Apache là một phần mềm miễn phí.- Apache có thể hỗ trợ đầy đủ các chức năng của dịch vụ web như: chứng thực (Authentication) , cân bằng tải (load balancing), webhosting …

2. CÀI ĐẶT

Ta có thể tìm thấy gói cài đặt Apache là httpd-2.2.6-3.i386.rpm trong thư mục Packages của đĩa DVD cài đặt hệ điều hành Fedora Core hoặc có thể tìm và tải mã nguồn từ địa chỉ http://www.apache.org.

Chuyển vào thư mục chứa tập tin httpd-2.2.6-3.i386.rpm và gõ lệnh sau để cài đặt: [root@server source]# rpm –ivh httpd-2.2.6-3.i386.rpm

3. CẤU HÌNH APACHE

3.1 THÔNG TIN CẤU HÌNH

Các tập tin và thư mục cấu hình của Apache:- /etc/httpd/conf/httpd.conf : đây là tập tin cấu hình chính của Apache.- /etc/httpd/modules : thư mục lưu các modules của Apache.- /etc/httpd/logs : thư mục lưu các tập tin log của Apache.- /var/www/html : thư mục dùng để đặt các trang web (web root).- /var/www/cgi-bin : thư mục lưu các script sử dụng cho trang web.- Ngoài ra, ta có thể tìm hiểu thêm các tập tin khác của apache bằng cách dùng

lệnh: [root@server /]# rpm –ql httpd

3.2 CẤU HÌNH APACHE CƠ BẢN

Trong phần cấu hình này, ta cấu hình cho phép publish một website có nội dung chỉ là các trang html, htm.Bước 1: Tạo một trang default.htm và lưu vào thư mục /var/www/html

Bước 2: Chỉnh sửa tập tin cấu hình /etc/httpd/conf/httpd.conf+ Tìm đến phần #ServerName và sửa thành ServerName www.congtyphanmem.com:80

+ Tìm đến dòng DirectoryIndex thêm vào default.htm : mục này dùng để chỉ định trang chủ hiển thị của website.

Bước 3: Khởi động lại dịch vụ httpd bằng lệnh:[root@server ~]# service httpd restart

Bước 4: Dùng trình duyệt web để kiểm tra.

II. PHP1. Giới thiệu PHPPHP (Hypertext Preprocessor) là ngôn ngữ script trên server được thiết kế để dễ dàng xây dựng các trang Web động. Mã PHP có thể thực thi trên Webserver để tạo ra mã HTML và xuất ra trình duyệt web theo yêu cầu của người sử dụng. Có nhiều lý do khiến cho việc sử dụng ngôn ngữ này chiếm ưu thế. Sau đây là một số lý do cơ bản :- Mã nguồn mở.- Miễn phí, download dễ dàng từ Internet.- Rất đơn giản trong việc kết nối với nhiều nguồn DBMS, ví dụ như : MySQL, Microsoft SQL Server 2000, Oracle, PostgreSQL, Adabas, dBase, Empress, FilePro, Informix, InterBase, mSQL, Solid, Sybase, Velocis và nhiều hệ thống CSDL thuộc Hệ Điều Hành Unix (Unix dbm) cùng bất cứ DBMS nào có sự hổ trợ cơ chế ODBC (Open Database Connectivity) ví dụ như DB2 của IBM.

2. CÀI ĐẶT PHP

Chuyển vào thư mục Packages trên DVD cài đặt hệ điều hành Fedora Core 8, lần lượt dùng các lệnh sau để cài đặt 3 gói của php:[root@server Packages]# rpm –ivh php-common-5.2.4-3.rpm[root@server Packages]# rpm –ivh php-cli-5.2.4-3.rpm[root@server Packages]# rpm –ivh php-5.2.4-3.rpm

3. CẤU HÌNH- Ta có thể chỉnh sửa tập tin cấu hình /etc/httpd/conf/httpd.conf , tìm đến dòng DirectoryIndex thêm vào index.php để chỉ định trang chủ của website.

4. KIỂM TRA- Tạo tập tin default.htm trong thư mục /var/www/html/ có nội dung như hình sau:

- Tạo tập tin welcome.php trong thư mục /var/www/html/ có nội dung như hình sau:

- Mở trình duyệt web và nhập vào địa chỉ www.congtyphanmem.com . Điền thông tin vào 2 ô Name và Age. Nhấn Submit Query.

- Trình duyệt sẽ mở trang welcome.php và xuất ra thông tin vừa nhập.

- Kết quả cho thấy Web Server đã hỗ trợ website viết bằng PHP.

III. MySQL SERVER

1. Giới thiệu MySQL ServerMySQL là một phần mềm quản trị CSDL mã nguồn mở, miễn phí hoàn toàn, ổn định, an toàn.Hiện nay trong số các Website có lưu lượng truy cập lớn trên Internet, có rất nhiều Website sử dụng cơ sở dữ liệu là MySQL.

2. Cài đặt và cấu hình Chuyển vào thư mục Packages trên DVD cài đặt hệ điều hành Fedora Core, lần lượt dùng các lệnh sau để cài đặt 5 gói cần thiết:[root@server Packages]# rpm –ivh perl-DBI-1.58-2.fc8.i386.rpm[root@server Packages]# rpm –ivh mysql-libs-5.0.45-4.fc8.i386.rpm[root@server Packages]# rpm –ivh mysql-5.0.45-4.fc8.i386.rpm[root@server Packages]# rpm –ivh perl-DBD-MySQL-4.005-2.fc8.1.i386.rpm[root@server Packages]# rpm –ivh mysql-server-5.0.45-4.fc8.i386.rpm

- Khởi động lại dịch vụ MySQL:[root@server Packages]# service mysqld restart

* Thay đổi mật khẩu userSau khi cài đặt ta đăng nhập vào mysql với user root và mật khẩu mặc định là rỗng. Vì vậy, để thay đổi mật khẩu root khi đăng nhập mysql ta dùng lệnh sau:[root@server /]# /usr/bin/mysqladmin –u root password ‘mật khẩu mới’

3. Kiểm tra- Kết nối vào MySQL Server :

+ Nếu mật khẩu là rỗng:[root@server Packages]# mysql –u root + Nếu mật khẩu khác rỗng:[root@server Packages]# mysql –u root –password=<mật_khẩu>

- Tạo một cơ sở dữ liệu:mysql> create database dbkiemtra;

- Thông báo Query OK xuất hiện là đã tạo database thành công.

IV. TOMCAT1. GIỚI THIỆUApache Tomcat là một servlet container được phát triển bởi Apache Software Foundation (ASF). Tomcat thực hiện các chi tiết kỹ thuật Java servlet và JavaServer Pages (JSP) từ Sun Microsystems, và cung cấp một môi trường "pure Java" cho các HTTP Web Server để chạy mã Java.Apache Tomcat tương thích Apache HTTP Webserver.2. CÀI ĐẶT

2.1. Các gói cài đặt

- jdk-6u13-linux-i586-rpm.bin- apache-tomcat-5.5.26.tar.gz- Tomcat deamon linux bash script

Tải các gói cài đặt trên và đặt vào thư mục /source2.2 HƯỚNG DẪN CÀI ĐẶT

2.2.1 CÀI ĐẶT JDK

- Tải gói cài đặt JDK tại địa chỉ http://java.sun.com/javase/downloads/index.jsp. Tìm đến phần JDK 6 Update 13 chọn Download.

- Qua trang tiếp theo, phần Platform là Linux và phần Language chọn Muti-language. Đánh dấu vào mục I agree to the Java SE Development Kit 6 License Agreement. Nhấn vào nút Continue >>

- Trang download xuất hiện, nhấn vào liên kết của gói jdk-6u13-linux-i586-rpm.bin để download.

- Cấp quyền để tập tin này có quyền thực thi:[root@server source]# chmod u+x jdk-6u13-linux-i586-rpm.bin- Chạy tập tin jdk-6u13-linux-i586-rpm.bin để cài đặt:[root@server source]# ./jdk-6u13-linux-i586-rpm.bin- Màn hình thỏa thuận bản quyền xuất hiện. Nhấp phím Space để xem các trang tiếp theo.

- Khi trình cài đặt hỏi Do you agree to the above license terms? [yes or no]. Nhập vào yes và nhấn Enter để chấp nhận bản quyền.

- Trình cài đặt sẽ giải nén gói jdk-6u13-linux-i586-rpm.bin và cài đặt các gói ứng dụng bên trong.

2.2.2 CÀI ĐẶT TOMCAT

- Tải gói cài đặt Tomcat tại địa chỉ http://archive.apache.org/dist/tomcat/tomcat-5/v5.5.26/bin/apache-tomcat-5.5.26.tar.gz

- Giải nén gói apache-tomcat-5.5.26.tar.gz[root@server source]# tar -xzvf apache-tomcat-5.5.26.tar.gz

- Ta có thư mục apache-tomcat-5.5.26 trong thư mục /source. Ta sẽ di chuyển thư mục này sang thư mục /usr/tomcat , dùng lệnh sau:[root@server source]# mv apache-tomcat-5.5.26 /usr/tomcat

- Để khởi động và tắt Tomcat như một dịch vụ (daemon) ta sẽ tiến hành tải tập tin Tomcat deamon linux bash script tại địa chỉ http://www.satollo.com/english/wp-content/uploads/tomcat.zip . Giải nén tập tin này ta được tập tin tomcat[root@server source]# unzip tomcat.zip

- Copy tập tin tomcat vừa giải nén vào thư mục /etc/rc.d/init.d/[root@server source]# cp tomcat /etc/rc.d/init.d/

* Lưu ý: trong tập tin script này có chứa đường dẫn cài đặt của tomcat (/usr/tomcat), nếu cài tomcat ở thư mục khác thì sửa nội dung tập tin này cho phù hợp.

- Chuyển quyền sở hữu tập tin này cho người dùng root và nhóm root:[root@server source]# chown root:root /etc/init.d/tomcat

- Cấp quyền thực thi cho tập tin tomcat: [root@server source]# chmod a+x /etc/init.d/tomcat

- Chỉ định các run level mà script này sẽ tự khởi động:[root@server source]# /sbin/chkconfig --add tomcat

Sau khi thực hiện lệnh này, ta tiến hành kiểm tra và thấy rằng dịch vụ tomcat sẽ được bật (on) ở các run level 3,4,5. Dùng lệnh sau:[root@server source]# /sbin/chkconfig --list|grep tomcat

- Mặc định Tomcat sẽ sử dụng cổng (port) 8080. Nếu muốn thay đổi cổng ta chỉnh sửa tập tin /usr/tomcat/conf/server.xml. Tìm đến phần port=“8080” và thay thành cổng mong muốn.2.2.3 KIỂM TRA- Khởi động tomcat:[root@server /]# service tomcat startMở trình duyệt web và truy cập vào địa chỉ http://localhost:8080/jsp-examples/

- Truy cập vào các liên kết trong trang web để kiểm tra.

2.2.4 QUẢN LÝ TOMCAT- Tomcat hỗ trợ 3 công cụ để quản trị đó là:+ Server Status Application+Tomcat Administration Tool+ Tomcat Manager

2.2.4.1 The Administrator Tool Web ApplicationThe Administrator Tool Web Application cung cấp giao diện đồ họa để quản trị Tomcat. Để sử dụng công cụ này trướchết chúng ta phải tạo ra 2 Account để quản trị : một là Tomcat Aministrator Account với vai trò (role) là “admin”, hai là Tomcat Manager Account với vai trò là “manager”.Trong trường hợp này chúng ta tạo ra một Account với username “TomcatAdmin” cho cả hai quyền “manager” và “admin”

Tomcat Administration Role

Admin Role này đã được tạo trong Tomcat

Tomcat Manager Role Manager Role này đã được tạo trong Tomcat

Tomcat Administration Username

TomcatAmin

Tomcat Administration Password

Tcpass

Sau đó chúng ta mở tập tin /usr/tomcat/conf/tomcat-users.xml để thêm username và password với hai quyền là “admin” và “manager” để quản trị:

Sau khi thêm thêm các role cần thiết và username, password cần thiết thì chúng ta save tập tin lại và khởi động lại dich vụ tomcat. Mở trình duyệt web, khi đó chúng ta có thể truy cập vào Tomcat Administrator Tool. Trong một số trường hợp khi cài tomcat thì phần mềm không hỗ trợ Tomcat Administrator Tool, khi đó chúng ta phải tải công cụ này về và cài đặt. Chúng ta có thể tải công cụ này tại trang web của Apache:http://mirror-fpt-telecom.fpt.net/apache/tomcat/tomcat-5/v5.5.27/bin/apache-tomcat-5.5.27-admin.tar.gzSau khi cài đặt hoàn tất và khởi động lại dịch vụ thì chúng ta truy cập thử vào trang quản trị trên.

Nhập username và password dùng để quản trị đã tạo ở tập tin tomcat-users.xml để đăng nhập và trang quản trị này.

2.2.4.2 The Manager Web ApplicationChúng ta có thể truy cập The Manager Web Application bằng cách nhấn vào liên kết “Tomcat Manager” ở bên trái của trang mặc định của Tomcat. Khi truy cập vào trang này thì chúng ta có thể thấy các ứng dụng web chúng ta đã triển khai cũng như có thể cài đặt thêm các ứng dụng web mới, load lại các trang web, khởi động cũng như tắt các trang web.

2.2.4.3 TRIỂN KHAI ỨNG DỤNG WEB- Giả sử ta có một thư mục chứa source web là /MyFirst.- Thư mục Web Root của Tomcat là /$CATALINA_HOME/webappsa. Triển khai thủ côngTa chỉ cần copy thư mục /MyFirst vào thư mục Web Root của Tomcat.Người dùng có truy cập vào ứng dụng web này thông qua đường dẫn http://domain_máy_webserver/tên_thư_mụcb.Sử dụng Tomcat Manager Web Application- Ta sẽ tiến hành triển khai ứng dụng web trong /MyFirst bằng công cụ Tomcat Manager Web Application.Bước 1: Đăng nhập vào Tomcat Manager Web Application với username là TomcatAdmin và password là tcpass. Trong phần Application sẽ liệt tất cả các ứng dụng web có trong Web Root của Tomcat.

Bước 2: Trong phần Deploy ta nhập như sau:- Context Path (optional): /thunghiem- WAR or Directory URL: /MyFirst

- Nhấn DeployTrong đó, Context Path (optional): là tên ứng dụng web sau khi triển khai. Người dùng có truy cập vào ứng dụng web này thông qua đường dẫn http://domain_máy_webserver/tên_ứng_dụng và WAR or Directory URL là thư mục cục bộ chứa ứng dụng web.

Bước 3: Kiểm tra tên phần Applications sẽ thấy ứng dụng web đã được triển khai. Thực ra, Tomcat Manager Web Application đã copy thư mục /MyFirst vào thư mục Web Root và đổi tên thành thunghiem

2.2.4.4 GỠ BỎ ỨNG DỤNG WEB Nếu muốn gỡ bỏ ứng dụng web nào thì ta nhấn vào nút Undeploy tương ứng. Hộp thoại cảnh báo xuất hiện chọn OK.

2.2.4.5 Status Web ApplicationVà cuối cùng chúng ta sẽ có Status Web Application, trang này sẽ cho ta thông tin về trang thái của Tomcat Server

2.2.4.6 CẤU HÌNH WELCOME FILE-File cấu hình: /$CATALINA_HOME/conf/webKhi có một yêu cầu truy cập vào một thư mục của ứng dụng web, mặc định Web Server sẽ tìm kiếm một trong các “welcome file” được khai báo trong thẻ <welcome-file-list>.Để thêm một “welcome file” là default.htm thì ta khai báo thêm một dòng trong thẻ <welcome-file-list> như sau:<welcome-file>default.htm</welcome-file>

2.2.5 TÍCH HỢP TOMCAT 5 VỚI APACHE 2

(ĐANG VIẾT)

PHẦN 8: IPTABLESI. Giới thiệu iptables1. Giới thiệuIptables do Netfilter Organization viết ra để tăng tính bảo mật trên hệ thông Linux. Iptables cung cấp các tính năng sau:

- Tích hợp tốt với kernel của Linux.- Có khả năng phân tích package hiệu quả.- Lọc package dựa vào MAC và một số cờ hiệu trong TCP Header.- Cung cấp các tùy chọn để ghi nhận sự kiện hệ thống.- Cung cấp kỹ thuật NAT để thay đổi địa chỉ của gói tin.- Có khả năng ngăn chặn một số cơ chế tấn công theo kiểu từ chối dịch vụ (denial

of service – DoS attacks)2. Cài đặt iptablesThông thường thì iptables được cài đặt mặc định trong hệ thống Linux, gói tin của iptables trong Linux là iptables-version.rpm (với version là phiên bản iptables cần cài đặt)Cài đặt dịch vụ iptables

#rpm –ivh iptables-version.rpmCho dịch vụ iptables khởi động vào thời điểm hệ thống khởi động.

#chkconfig iptables onChúng ta sử dụng cú pháp sau để khởi động lại dịch vụ iptables

#service iptables restartXác định trạng thái của iptables

#service iptables statusII. Cấu hình Iptables1. Thực hiện chức năng NAT để cho các máy trong mạng LAN ra ngoài InternetBước 1:Kiểm tra thông tin card mạng#ifconfig

Trong đó card eth0 là card kết nối internet, card eth1 là card kết nối mạng lan trong công ty.Bước 2:Sau đó chúng ta mở iptables và khai báo các card mạng được tin tưởng (Trust interface).Ngay Terminal, chúng ta gõ lệnh lokkit#lokkitSẽ xuất hiện giao diện đồ họa của iptables

Chọn Enabled để bật chức năng firewall, tiếp sau đó chúng ta chọn Customize để vào trong. Đánh dấu vào interface eth0 và eth1.

Bước 3:Khi chúng ta chưa thực hiện lệnh NAT trên firewall thì các máy trong mạng không thể ra ngoài Internet. Để các máy có thể ra ngoài thì chúng ta phải bật chế độ ip_forward giữa hai card mạng trên firewall.Để bật chế độ ip forward ta thực hiện như sau:

Sau đó chúng ta chỉnh thông số net.ipv4.ip_forward=1 trong file /etc/systcl.conf

Bước 4:Thực hiện chức năng NAT outbound

Câu lệnh trên có ý nghĩa như sau: khi có các yêu cầu kết nối ra ngoài internet từ bên trong mạng với địa chỉ nguồn thuộc mạng 172.16.1.0/24 thì sẽ được NAT và chuyển ra ngoài qua địa chỉ 192.168.1.3 của card mạng eth0.Bước 5:Lưu lại file cấu hình#iptables-save > /etc/sysconfig/iptablesSau khi save lại cấu hình ta khởi động lại dịch vụ iptables, kiểm tra sẽ thấy có thể truy cập ra internet.2.Cấu hình net fillter để lọc các gói tin ra vào firewall.Bởi vì firewall đảm nhận luôn nhiệm vụ mail server và web server nên trên firewall ta chỉ mở một số port liên quan đến dịch vụ mà ta cung cấp. Do đó nếu gói tin nào không thỏa các điều kiện trong các rule cấu hình thì chúng ta sẽ không cho phép gói tin đó đi vào firewall. Để cấu hình chính sách (policy) xử lý các gói tin mà không thỏa điều kiện thì chúng ta cấu hình như sau:

Khi ta cấu hình chính sách này, nếu các gói tin đi vào hoặc đi ra firewall mà không thỏa điều kiện thì iptables sẽ DROP gói tin.2.1 Cấu hình cho người dùng ngoài interneta. Cấu hình để firewall nhận yêu cầu truy cập web từ bên ngoài internet bằng port 80 (http) và port 443 (https)

Khi có yêu cầu truy cập web từ bên ngoài bằng giao thức http hay https mà đến interface eth0 thì các gói tin sẽ thỏa điều kiện và firewall sẽ cho phép truy cập dịch vụ web.b. Cấu hình để firewall nhận yêu cầu lấy mail từ mail server của công ty (port 110)

Khi có yêu cầu lấy mail từ server của công ty thì sẽ được firewall chấp nhận.c. Cấu hình để firewall chấp nhận yêu cầu gửi mail từ bên ngoài vào mail server của công ty

Khi có yêu cầu gửi mail đến server của công ty thì yêu cầu sẽ được firewall chấp nhận.2.2 Cấu hình cho các máy trong mạng LAN của công tya. Cấu hình để các máy client trong mạng lan có thể ra ngoài để truy cập dịch vụ DNS

Dòng đầu tiên khi firewall nhận yêu cầu ra ngoài truy xuất dịch vụ DNS với port đích là 53 thì firewall sẽ cho ra ngoài qua cổng eth0. Sau khi phân giải xong DNS server trả kết quả về tới cổng eth0 thì với cấu hình dòng thứ 2 sẽ cho dịch vụ DNS đi vào trả kết quả cho client.b. Cấu hình cho các máy client có thể truy cập dịch vụ web bằng http và https

Khi có yêu cầu truy cập web từ các máy client tới interface eth1 thì các gói tin sẽ được firewall chấp nhận và cho đi qua, các gói tin không thỏa điều kiện thì sẽ bị xử lý theo chính sách đã thiết lập trước đó là DROP.c. Cấu hình cho các máy client có thể gửi mail bằng giao thức SMTPNhư chúng ta biết thì giao thức SMTP sử dụng port 25, vì thế chúng ta cấu hình cho firewall cho phép kết nối ra ngoài bằng port 25.

Khi có yêu cầu gửi mail sử dụng port 25 đi vào interface eth1 thì firewall sẽ cho phép kết nối.d. Cấu hình cho phép các máy client lấy mail về từ server bằng giao thức POP3

Khi có các yêu cầu sử dụng port 110 thì firewall sẽ cho kết nối.3. Sử dụng iptables để hạn chế tấn công theo dạng từ chối dịch vụ (Denial of service – DoS attacks)DoS là phương thức tấn công với phương thức gửi một lúc nhiều yêu cầu đến server để cho server xử lý dẫn đến quá tải. Để hạn chế tình trạng cùng một lúc xử lý nhiều yêu cầu dẫn đến quá tải chúng ta có thể hạn chế số lượng kết nối trong một đơn vị thời gian.ví dụ trong thời gian 1 giây thì web server chỉ chấp nhận tối đa 50 Request yêu cầu truy xuất web.

Trong ví dụ trên thì firewall chỉ chấp nhận tối đa 50 kết nối trong vòng 1 giây với các gói tin có yêu cầu truy xuất đến port 80 và port 443 tới interface eth0. Phần giới hạn này ta có thể điều chỉnh theo giây, phút, giờ hoặc ngày. Còn số lượng kết nối tại một đơn vị thời gian chúng ta có thể chỉnh sửa tùy yêu cầu của hệ thống.

PHẦN 9: QUẢN TRỊ TỪ XAI. TELNETTelnet là dịch vụ cho phép người quản trị có thể làm việc từ xa qua mạng. 1. Cài đặt telnetThông thường khi cài đặt Linux, dịch vụ telnet đã được cài đặt sẵn. Nếu chưa được cài bạn có thể cài đặt telnet server bằng dòng lệnh:# su –c “yum install telnet-server”Hệ thống sẽ kiểm tra và yêu cầu download phần mềm từ bộ nguồn được cung cấp trực tiếp trên Internet.

Quan sát ta sẽ thấy telnet-server sẽ đi kèm với gói xinetd. Xinetd là một Inetnet server daemon, quản lý tập trung tất cả các dịch vụ Internet. Chọn “y” để tiến hành download hai gói phần mềm telnet-server và xinetd về cài đặt lên hệ thống.

Trình cài đặt yum sẽ tiến hành download gói phần mềm về và cài đặt lên hệ thống.2. Cấu hình Telnet ServerCó nhiều cách cấu hình telnet server , sau đây là hai cách cấu hình cơ bản nhất:Cách 1: dựa vào tập tin cấu hình.Sau khi cài đặt xong, trong thư mục /etc/xinetd.d sẽ xuất hiện tập tin telnet. Tập tin này lưu những thông tin cấu hình về dịch vụ telnet.- Nếu tham số disable bằng no thì telnet server được khởi động, ngược lại nếu disable bằng yes thì telnet không được khởi động.

- Khởi động lại dịch vụ telnet bằng cách khởi động lại dịch vụ xinetd:#service xinetd restartCách 2: Cấu hình telnet server bằng dòng lệnh.- Cho telnet server khởi động khi khởi động hệ thống ta dùng lệnh:# chkconfig –level 35 telnet onMở tập tin /etc/xinetd/telnet ra ta sẽ thấy thuộc tính disable sẽ bằng no

- Khởi động lại dịch vụ:# service xinetd restart

- Kiểm tra dịch telnet server thông qua lệnh:# netstat –a|grep telnet

- Kiểm tra telnet có được đặt như dịch vụ hệ thống ta dùng lệnh:# chkconfig –list|grep telnet

- Tạm ngưng hoạt động telnet server ta dùng lệnh:# chkconfig telnet off3. Kiểm traNgồi từ một máy khác chạy hệ điều hành Windows XP chẳng hạn gõ lệnhC:\telnet <ip_telnet_server>

- Telnet Server yêu cầu đăng nhập. Do mục đích bảo mật nên hệ thống Linux không cho đăng nhập trực tiếp bằng user root nên bắt buộc phải đăng nhập bằng user thường.

- Sau khi đăng nhập người dùng có thể chuyển sang user root để quản trị bằng cách dùng lệnh:# su –l root

4. Bảo mật cho dịch vụ telnetKhi sử dụng telnet để quản lý từ xa thì dữ liệu không được mã hóa trên đường truyền. Do đó, để telnet server hoạt động trên tcp port 23 thì không được an toàn. Vì thế, ta có thể đặt lại port khác cho telnet server bằng các bước sau:Bước 1: Mở tập tin /etc/services, tìm dòng

telnet 23/tcpvà sửa thành: telnet 8888/tcp

Bước 3: Thay đổi một số thông tin trong file /etc/xinetd.d/telnet

Bước 4: Kích hoạt telnet thông qua lệnh chkconfig# chkconfig telnet onBước 5: Kiểm tra hoạt động củc telnet thông qua lệnh netstat#netstat –an|grep 8888

Ta có logon vào telnet server thông qua lệnh:# telnet <ip_telnet_server> 8888

5. Giới hạn địa chỉ truy xuất telnetMở tập tin /etc/xinetd.d/telnet và thêm vào dòng:only_from = <ip1> <ip2> <…>