Quản trị hệ thông Linux - Công nghệ thông tin | Trường đại học Điện Lực

Quản trị hệ thông Linux - Công nghệ thông tin | Trường đại học Điện Lực được sưu tầm và soạn thảo dưới dạng file PDF để gửi tới các bạn sinh viên cùng tham khảo, ôn tập đầy đủ kiến thức, chuẩn bị cho các buổi học thật tốt. Mời bạn đọc đón xem!

TRUNG TÂM ĐÀO TẠO NEWSTAR
----------------------------------------
Qun tr h thng
LINUX
(LPI 2)
Biên so n: Hu nh Thanh Tâm
8-2017
http://newstar.vn
Trang 1
Mc Lc
B. LBI 2
Chương 14: WEBMIN ................................................................................................................................... 2
Chương 15: VNC SERVER.............................................................................................................................. 4
Chương 16: DHCP SERVER ........................................................................................................................... 7
Chương 17: SAMBA .................................................................................................................................... 10
Chương 18: NFS SERVER ............................................................................................................................ 13
Chương 19: DNS ......................................................................................................................................... 15
Chương 20: MAIL SERVER .......................................................................................................................... 23
Chương 21: SQUID PROXY ......................................................................................................................... 28
Chương 22: APACHE WEB SERVER ............................................................................................................ 33
Chương 23: IPTABLES ................................................................................................................................. 35
http://newstar.vn
Trang 2
Chương 14: WEBMIN
1) Gii thiu WebMin
Webmin là ph n m m qu n tr server linux qua giao di h Cho phép ện đồ a. người người
qun tr d dàng qu n lý tài nguyên và c u hình các d ch vu thông qua dao di ện web như:
User management, Disk managemet, Network, Iptables (Firewall), Cron, Apache, DNS ….
Mặc định Web min s d ng c giao ti p. ổng 10000 để ế
2) Mô hình tri n khai:
3) Cài đặt
Cài trc tiếp t internet
Chú ý: Linux Server ph c internet. T hải đi đượ t Firewall (s c chương sau)
Bước 1: To file webmin.repo t c /etc/yum.repos.d/ ại thư mụ
#vi /etc/yum.repos.d/webmin.repo
[Webmin]
name=Webmin Distribution Neutral
#baseurl=http://download.webmin.com/download/yum
mirrorlist=http://download.webmin.com/download/yum/mirrorlist
enabled=1
Bước 2: Import PGP Key c a webmin
#rpm import -- http://www.webmin.com/jcameron-key.asc
Bước 3: Cài đặt Webmin
http://newstar.vn
Trang 3
#yum -y install webmin
Bước 4: khởi động d ch v Webmin và cho kh ởi động cùng HĐH
#service webmin start
#chkconfig webmin on
Bước 5: ki m tra truy c p t Admin
Cài đặt t rpm:
Bước 1: Download webmin
#wget http://prdownloads.sourceforge.net/webadmin/webmin-1.840-1.noarch.rpm
Bước 2: Cài d n c n thi t t các gói thư vi ế
#yum -y install perl perl-Net-SSLeay openssl perl- -Tty pe IO rl-Encode-Detect
Bước 3: Cài đặt webmin
#rpm -ivh webmin-1.840-1.noarch.rpm
Bài tp:
- Ch cho phép l p 192.168.1.0/24 truy c n webmin. C m t các IP khác ập đế t c
- Phân quy n truy c p các ch a Wemin cho t ng user qu n tr ức năng củ
http://newstar.vn
Trang 4
Chương 15: VNC SERVER
1) thi Gii u VNC
VNC Virtual Network Computing m t công c ph bi cung c p truy c ến để p
Server t xa thông qua giao di h a.. ện đồ
2) Mô hình
3) Cài đặt và c u hình
Bước 1: Cài d internett tigervnc-server t
#yum install tigervnc-server
Bước 2: Cu hình cho phép 2 user root và nam truy c p vào VNC-Server
To file c u hình vnc cho user root bng cách copy file c u hình m u c a dch v
#cp /lib/systemd/system/vncserver@.service
/etc/systemd/system/vncserver@:1.service
M file và chnh s a tên user thành root và đổ đường thư mụi c home ca user root
#vi /etc/systemd/system/vncserver@:1.service
(chnh s a theo n is) ội dung bên dướ
ExecStart=/sbin/runuser -l root -c "/usr/bin/vncserver %i"
PIDFile=/root/.vnc/%H%i.pid
To file c u hình vnc cho user nam
#cp /lib/systemd/system/vncserver@.service
/etc/systemd/system/vncserver@:2.service
M file và chnh s a tên user thành nam và đ đường thư mụi c home ca user
nam
http://newstar.vn
Trang 5
#vi /etc/systemd/system/vncserver@:1.service
(chnh sa theo n ội dung bên dướis)
ExecStart=/sbin/runuser -l nam -c "/usr/bin/vncserver %i"
PIDFile=/home/nam/.vnc/%H%i.pid
To user nam
#useradd nam
Đặt password VNC cho user root
#vncpasswd
Đặt password VNC cho user nam
#su nam
#vncpasswd
Reload l i d ch v
#systemctl daemon-reload
Khi độ ng d ch v vnc cho user nam và root
#systemctl start vncserver@:1.service
#systemctl start vncserver@:2.service
Khởi độ ng khi h th ng starup
#systemctl enable vncserver@:1.service
#systemctl enable vncserver@:2.service
Bước 3: Kiểm tra hoat đng c a VNC. Máy admin download VNC-Viewer và truy c p
bng user: root (192.168.1.7:1)
http://newstar.vn
Trang 6
VNC bng user: nam
http://newstar.vn
Trang 7
Chương 16: DHCP SERVER
1) Gii thiu:
DHCP (DYNAMIC HOST CONFIGURATION PROTOCOL) là d c a ch ch v ấp phát đị
IP t ng cho các máy tính ho ng theo hình server-client, máy c u hình DHCP độ ạt độ
Server ph c t DHCP server g m: IP, ải được gán IP tĩnh. Thông tin client nhận đượ
subnet mask, default gateway, DNS server, …
Các đị ạng LAN đượa ch IP trong m c đặt theo RFC 1918:
Class A: 10.0.0.0 10.255.255.255 (10/8 prefix)
Class B: 172.16.0.0 172.31.255.255 (172.16/12 prefix)
Class C: 192.168.0.0 192.168.255.255 ( 192.168/16 prefix)
2) Mô hình trin khai
(Chú ý: t t dhcp trên VMWare)
3) Cài đặt
- Thiết lập địa ch IP tĩnh cho DHCP Server: 192.168.1.254/24
- Cài t internet:
#yum install dhcp
- Cài t CDROM:
#rpm ivh dhcp-4.1.1-25P1.el6.i686.rpm
4) C u hình
A. DHCP-Server
Bước 1:copy file c u hình
http://newstar.vn
Trang 8
#cp /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example /etc/dhcp/dhcpd.conf
Chn y
Bước 2:Tùy ch nh các thông s
#vi /etc/dhcp/dhcpd.conf
Bước 3: Xóa n i dung t dòng 23 n cu i file đế
Bước 4: Thêm n i dung sau vào cu i file
subnet 192.168.1.0 netmask 255.255.255.0{
option routers 192.168.1.1;
option subnet-mask 255.255.255.0;
option domain-name-servers 8.8.8.8;
range 192.168.1.100 192.168.1.200;
default-lease-time 21600;
max-lease-time 43200;
}
Kh i động li d ch v
#systemctl start dhcpd
Cho dch v kh ng cùng v ởi độ ới HĐH
# systemctl enable dhcpd
B. DHCP Client
Windows OS
- ipconfig /release
- ipconfig /renew
- ipconfig
Linux OS
- dhclient eth0
- dhclient r
- ifconfig
Thc hi p ip theo Mac-Address: n c
http://newstar.vn
Trang 9
subnet 192.168.1.0 netmask 255.255.255.0{
option routers 192.168.1.1;
option subnet-mask 255.255.255.0;
option domain-name-servers 8.8.8.8;
range 192.168.1.100 192.168.1.200;
default-lease-time 21600;
max-lease-time 43200;
host nsshare
{
hardware ethernet 00:50:56:c0:00:01;
-address 192.168.1.151; fixed
}
}
http://newstar.vn
Trang 10
Chương 17: SAMBA
1) Gii thiu
Samba la dich vu cua hê điêu hanh Linux, chay trên nên giao thưc SMB (Server Message
Block) cho phep chia se file hê thông, may in vơi cac may chay h điều hành Windows
Samba Server port numbers: 137/tcp; 137/udp; 138/tcp; 138/udp; 139/udp; 139/udp;
445/tcp; 445/udp
2) Mô hình
3) Cài đặt SAMBA Server
Cài t internet:
#yum install samba
Cài t đĩa CD:
#rpm ivh samba-3.5.10-114.el6.i686.rpm
4) Cu hình SAMBA Server
Trường hp 1: Không c truy c p d u chia sần username/password để li
- To một thư mục để thc hin share d liu.
Ví d: Tạo thư mục có tên là “soft”. Trong thư mụ ạo thư mục soft, t c có tên linux1
#mkdir /soft
#mkdir /soft/linux2
Phân quy c soft: ền thư mụ
#chmod 777 R /soft/
- Cu hình Server:
http://newstar.vn
Trang 11
#vi /etc/samba/smb.conf
Thêm vào dòng sau vào v trí dòng s 125
map to guest = bad user
Di chuy n cu i file và thêm n i dung sau
[Soft Newstar]
comment = Ung dung van phong
path = /soft
writable = yes
read only = yes
create mode = 0600
directory mode = 0700
guest ok = yes
Các options:
guest ok: cho phép clients k t n i t i thu mế ục file được chia s không c n password.
create mode: Quy n h n c o file ủa file khi được t
directory mode: Quy n h n c o ủa thư mục khi đưc t
Kim tra c u hình v a thi p ết l
#testparm
Kh i động d ch v samba
#systemctl restart smb.service
Kim tra tr ng thái samba
#smbstatus
A. Client Test (Windows):
http://newstar.vn
Trang 12
Trường hp 2: cn ch ng th truy c p d u chia s ực để li
- Tạo thư mục chia s
#mkdir /ketoan
- To group k toán, và thêm user kt1 vào nhóm nàyế
#groupadd ketoan
#useradd -g ketoan kt1
- To password samba cho user kt1
#smbpasswd -a kt1
- Chnh s a file c u hình
#vi /etc/samba/smb.conf
[Phong Ke Toan]
comment = tai lieu p.ketoan
path = /ketoan
valid users = @ketoan
writable = yes
guest ok = no
(chú ý: xóa cache user/pass truy c p trên windows : net use * /delete)
http://newstar.vn
Trang 13
Chương 18: NFS SERVER
1) Gii thiu
NFS(Network File System) d ch v chia s file trên các h ng Unix/Linux. th Dich vu
NFS cho phep chia se tâp tin cho nhiêu ngươi dung trên cung mang va ngươi dung co thê
thao tac như vơi tâp tin trên chinh đia cưng cua minh
2) Mô hình
3) Cài đặt và c u hình
A. Server
Bước 1: Cài các gói sau t internet
#yum install nfs-utils nfs-utils-lib portmap
Bước 2:Tạo thư mục chia s
#mkdir /soft
#mkdir /giaitri
#mkdir /data
Bước 3: C /soft ấu hình thư mục chia s
#vi /etc/exports
Cu trúc file exports như sau:
/Thư mục chia s host1(options) host2(option)
Các tùy ch n thông d ng:
ro:thuc tính ch c đọ
rw:thuộc tính đọc và ghi
sync: đồ ng b d liu
http://newstar.vn
Trang 14
root_squash: không cho phép s d ng h ng v n h n root th i quy
no_root_squash:ngược li vi root_squash
(Dùng #man exports để xem các options khác)
Ni dung file /etc/exports v i m cho phép các ip thu c l p m ng ục đích chỉ
192.168.1.0/24 có quyền đọc.
/soft 192.168.1.0/24(rw,sync)
/data 192.168.1.5(rw,sync)
/giaitri 192.168.1.5(ro,root_squash,sync)
Bước 4: ng d ch v Khởi độ
#service nfs start
Reload li toàn b c u hình cho nfs
#exportfs -a
(Nếu ch mun c p nh nh t các entry va thêm ta dùng l
#exportfs - r)
B. Client (Linux)
Bước 1: ki m tra thông tin d ch v c export trên NFS danh sách các thư mục đượ
NFS Server
#showmount e 192.168.1.5
Bước 2: Tạo thư mục để làm mount point
#mkdir /mnt/a1
#mkdir /mnt/a2
#mkdir /mnt/a3
Bước 2: thc hin mount c share v máy thư mụ
#mount t nfs 192.168.1.5: /soft /mnt/a1
#mount t nfs 192.168.1.5 :/data /mnt/a2
#mount t nfs 192.168.1.5 :/giaitri /mnt/a3
http://newstar.vn
Trang 15
Chương 19: DNS
1) Gii thiu
DNS (Domain Name System) h ng phân gi i tên mi th ền được phát minh vào năm
1984 cho Internet, cho phép thi ng gi IP và tên mi n. ết lập tương ứ ữa địa ch
2) Mô hình
s d phân gi i tên mi n c a 1 WebServer ụng 1 Server DNS dùng để
Chu n b h thng:
Server
OS
DNS Server (192.168.1.1)
Centos 7 .X
WebServer (192.168.1.10)
Centos 7 .X
client
Win 7 or Win 8 (test)
Cài đặ t và c u hình DNS (192.168.1.1):
Bước 1: Đặt hostname cho Server DNS là: dns1.newstar.vn và restart li Server
#vi /etc/sysconfig/network
HOSTNAME=dns1.newstar.vn
#init 6
http://newstar.vn
Trang 16
Bước 2: Cài đặt các gói bind*
#yum install bind*
Bước 3: Cu hình file named.conf
#vi /etc/named.conf
Bước 4: C u hình các Zone cho DNS Server
#vi /etc/named.rfc1912.zones
(Xung cu i file c u hình zone phân gi i thu n và phân gi i nghch)
Bước 5: T o các file CSDL cho zone thu n và zone ngh ch v hai báo a k
(copy file m u t i dung cho phù h p) chương trình cài đặt và s i na l
#cp /var/named/named.localhost /var/named/newstar.vn.zone
#cp /var/named/named.loopback /var/named/newstar.vn.rr.zone
#vi /var/named/newstar.vn.zone
http://newstar.vn
Trang 17
#vi /var/named/newstar.vn.rr.zone
Bước 6: Gán quy n trên 2 file zone v o a t
#cd /var/named/
#chown named:named newstar.vn.zone
#chown named:named newstar.vn.rr.zone
Bước 7: Restart d ch v named
#service named restart
#systemctl enable named
Cài đặt Web Server (192.168.1.10)
Bước 1: t gói httpd Cài đặ
#yum install httpd
Bước 2: Chnh sa file httpd.conf
#vi /etc/httpd/conf/httpd.conf
(Thêm vào cu i file n i dung sau)
<VirtualHost *:80>
http://newstar.vn
Trang 18
DocumentRoot /var/www/newstar
ServerName newstar.vn
ServerAlias www.newstar.vn
</VirtualHost>
Bước 3: T o file index.htm có n i dung tùy ý trong /var/www/newstar
Bước 4: Restart d ch v
# service httpd restart
Bước 5: Tr ip Server DNS DNS v
#vi /etc/resolv.conf
nameserver 192.168.1.1
TEST DNS trên máy Client
Vào terminal
#nslookup newstar.vn
#nslookup dns1.newstar.vn
Truy c p web newstar.vn
http://newstar.vn
Trang 19
B-Mô hình s d ng 2 Server DNS (primary secondary)
DNS Primary (192.168.1.1)
DNS Secondary (192.168.1.2)
Web Server (192.168.1.10)
Cài đặt gói bind cho 2 máy Primary và secondary:
Cài t Internet:
#yum install bind*
Cu hình cho DNS cho primary:
Bước 1: Xem n i dung file named.conf
#vi /etc/named.conf
Bước 2: thêm n i dung vào file named.rfc1912.zones
#vi /etc/named.rfc1912.zones
Thêm vào cu i file
zone "newstar.vn" IN {
e master; typ
newstar.vn.zone"; file "
allow-transfer {192.168.1.2;};
allow-update {192.168.1.2;};
allow-query {any;};
};
zone "1.168.192.in-addr.arpa" IN {
type master;
.rr.zone"; file "newstar.vn
allow-transfer {192.168.1.2;};
allow-update {192.168.1.2;};
allow-query {any;};
};
http://newstar.vn
Trang 20
Bước 3: Copy và d i tên 2 file sau:
#cp /var/named/named.localhost /var/named/newstar. .zone vn
#cp /var/named/named. /var/named/newstar.vn.rr.zone loopback
Bước 4: Chnh s a file c u hình cho file phân gi n i thu newstar. .zonevn
#vi /var/named/newstar. .zone vn
(NS dùng để khai báo máy ch DNS ca 1 tên min)
(A: ánh x tên host vào 1 ip)
$TTL 1D
@ IN SOA dns1.newstar. . root.newstar. . ( vn vn
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
IN NS dns1.newstar.com.
IN NS dns2.newstar.com.
newstar.vn. IN A 192.168.1.10
www IN CNAME newstar.vn
dns1 IN A 192.168.1.1
dns2 IN A 192.168.1.2
Bước 5: C u hình file phân gi i ngh ch
# vi /var/named/newstar.vn.rr.zone
$TTL 1D
@ IN SOA dns1.newstar. . root.newstar. . ( vn vn
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
http://newstar.vn
Trang 21
3H ) ; minimum
IN NS dns1.newstar. . vn
IN NS dns2. newstar. . vn
1 IN PTR dns1. newstar. . vn
2 IN PTR dns2. newstar. . vn
10 IN PTR newstar.vn.
Bước 6: Khởi động d ch v named khi boot Server
# chkconfig named on
Bước 7: gán nhóm s h u cho user named vào các file v o a t
#chgrp named newstar*
Bước 8: ng deamon cho quá trình làm vi c Khởi độ named
#/etc/init.d/named start
Bước 9: C u hình file phân gi i domain
#vi /etc/resolv.conf
(thêm vào dòng sau)
nameserver 192.168.1.1
Bước 10: m tra phân giKi i DNS
#nslookup newstar.vn
Cu hình Secondary DNS Server
Khai báo zone thun và zone ngh ch t dns1.newstar.vn
Bước 1: cu hình file dns
#vi /etc/named.rfc1912.zones
(Thêm vào cu i file dòng sau)
zone "newstar.vn" IN {
type slave;
file "slaves/newstar. .zone.bk"; vn
masters {192.168.1.1;};
};
http://newstar.vn
Trang 22
zone "1.168.192.in-addr.arpa" IN {
type slave;
file "slaves/newstar. .rr.zone.bk"; vn
masters {192.168.1.1;};
};
Bước 2: i Kim tra l
#ls l /var/named/slaves/
Bước 3: Restart dich v
# /etc/init.d/named restart
Bước 4:Kim tra l i n i dung thư m c slaves
#ls -l /var/named/slaves/
Bước 5: Xem nôi dung zone thu n transfer t master dns
#vi /var/named/slaves/ newstar. .zone.bk vn
Bước 6: C u hình nameserver
# vi /etc/resolv.conf
(Thêm vào)
nameserver 192.168.1.1
nameserver 192.168.1.2
Bước 7: n ki m tra dns Thc hi
# nslookup newstar. vn
Bước 8: t t máy dns1 và th n ki c hi m tra l i dns (nslookup)
http://newstar.vn
Trang 23
Chương 20: MAIL SERVER
(Postfix, Dovecot and SquirrelMail)
1) Gii thiu
Mail server cho phép user g i nh ận thư điện t . Mail server s qu n toàn b các tài kho n
email trong h ng n . th i b
2) Cài đặt
Bước 1: Đặt hostname cho Server Mail là: mail.newstar.vn
#nmtui
Update repository
#yum install epel-release
Bước 2: Cài đặt gói postfix
#yum install postfix
Bước 3: c u hình file postfix
# vi /etc/postfix/main.cf
(dòng 76)
myhostname = mail.newstar.vn
(dòng83 )
mydomain = newstar.vn
(dòng 99)
myorigin = $mydomain
(dòng 113)
inet_interfaces = all
(dòng 119)
inet_protocols = all
(dòng 164 comment)
#mydestination = $myhostname, localhost.$mydomain, localhost
(dòng 165 - uncomment)
http://newstar.vn
Trang 24
mydestination = $myhostname, localhost.$mydomain, localhost, newstar.vn
(dòng 264)
mynetworks = 168.100.189.0/28, 127.0.0.0/8, 0.0.0.0/0
(dòng 419 b d u #)
home_mailbox = Maildir/
Bước 4: start d postfix ch v
#systemctl enable postfix
#systemctl restart postfix
Bước 5: Test postfix
Bước 6: t gói dovecot Cài đặ
# yum install dovecot
Bước 7: c u hình dovecot
#vi /etc/dovecot/dovecot.conf
(dòng 24)
protocols = imap pop3 lmtp
# vi /etc/dovecot/conf.d/10-mail.conf
(dòng 24 b d u #)
mail_location = maildir:~/Maildir
#vi /etc/dovecot/conf.d/10-auth.conf
(dòng 10)
disable_plaintext_auth = yes
(dòng 100)
auth_mechanisms = plain login
# vi /etc/dovecot/conf.d/10-master.conf
(dòng 91,92)
user = postfix
group = postfix
http://newstar.vn
Trang 25
Bước 8: Start d dovecot ch v
# systemctl restart dovecot
# systemctl enable dovecot
Bước 9: install squirrelmail
# yum install squirrelmail
# service httpd start
#chkconfig httpd on
Bước 10: cu hình Squirrelmail
# cd /usr/share/squirrelmail/config/
./conf.pl
Chn 1
Thiết lp các thông s
http://newstar.vn
Trang 26
Sau khi thi p xong quay l i menu ết l chọn R để
Chn 2 thi p các thông s ết l
Chọn S để lưu
Chn Q để thoát
Bước 11: c u hình http cho mail server
#vi /etc/httpd/conf/httpd.conf
(Thêm vào cu i file n i dung sau)
http://newstar.vn
Trang 27
Alias /squirrelmail /usr/share/squirrelmail
<Directory /usr/share/squirrelmail>
Options Indexes FollowSymLinks
RewriteEngine On
lowOverride All Al
DirectoryIndex index.php
Order allow,deny
Allow from all
</Directory>
Bước 12: Restart d ch v http
# service httpd restart
3) Cu hình DNS cho Mail Server
a. File forward.zone
b. File reverse.zone
http://newstar.vn
Trang 28
Chương 21: SQUID PROXY
1) thi Gii u:
Squid là m t proxy server, kh năng của squid là ti t kiế ệm băng thông (bandwidth), cải
tiến vi o m truy c d ng. c b ật, tăng tốc độ ập web cho ngưi s
2) Mô hình
3) Chun b h thng
Loi
Ghi chú
Squid Proxy Server
2 card m ng. K ết n i được internet
eth0: dhcp
eth1: 192.168.1.1
Client
192.168.1.5,20
4) Cài đặt và c u hình Proxy Server
Bước 1: Cài đặt Squid t internet
#yum install squid
Bước 2: File c u hình
#vi /etc/squid/squid.conf
(Mặc định Squid Proxy cho phép tt c host trong LAN truy ccác p internet.)
Start squid
#services squid start
http://newstar.vn
Trang 29
Bước 3: C u hình phía client.
Trên client ta cấu hình proxy như sau:
M tab Connections ch IE, chọn Tools → Internet Opitions, từ ọn LAN Settings…
Thông s trong file squid.conf
http_port 3128: Squid l ng nghe trên port 3128
Yêu c u:
1) Thay đổi port squid lng nghe là 8080
2) IP ca sếp CNTT: 192.168.1.2
- Được phép truy c các trang web ngo c, xem phim p vào t t c i tr trang nghe nh
trong thi gian làm vi c (sáng t 8h:12h ; bu u t 13h:17h30 t -> th i chi th 2
6). i gian ngh p t t c . Th trưa được phép truy c
- Cho phép s k ết n i t ối đa là 10
- Dung lượng download tối đa 30M
- Dung lượng upload t ối đa 30kb
3) IP phòng CNTT 192.168.1.10-100
- Ch được truy c p vào antri.com, 24h.com.vn. các trang web: newstar.vn. d
- Thi gian truy c p bu i sáng t 8h:12h ; bu i chi u t 13h:17h30.
- Thi gian ngh n vào trang gi trưa cho phép thêm quyề chiasenhac.com để i trí
http://newstar.vn
Trang 30
- Trong th i gian làm vi c n u truy c p vào các trang nghe nh c (chiasenhac.com; ế
nhacso.net) n website newstar.vnthì t động redirect đế
Thc hi n c u hình:
1) #vi /etc/squid/squid.conf
http_port 8080
#squid k reconf
Thay đổi port trên trình duyt web proxy setting c p l a client và truy c i internet
T yêu cu 2 và 3: th n vic hi ết các access- list sau:
#các acl định nghĩa các website có keyword trên url
acl deny-nhac dstdom_regex "/etc/squid/web/denynhac.txt"
#các acl định nghĩa các dạng file
acl deny- -nhac url_regex - /.mp3$/ .mp4$ /.avi$ /.flv$ /.wmv$/ .mp4$ file-video i
#định các acl và action cm xem các video
acl deny_rep_mime_flashvideo rep_mime_type video/flv
acl deny_rep_mime_shockwave rep_mime_type ^application/x-shockwave-flash$
http_reply_access deny deny_rep_mime_flashvideo
http_reply_access deny deny_rep_mime_shockwave
#Acl định nghĩa các trang được phép truy cp
acl allow-web- CNTT dstdomain "/etc/squid/web/webcntt.txt”
#ACL cho phép vào trang chia se nhac
acl allow- -cntt dstdomain mp3 “etc/squid/web/giaitricntt.txt”
#ACL thi p th i gian làm vi c ết l
acl time-lam-viec time M T W H F 08:00-11:59
acl time-lam- -chieu M T W H F 13:00-17:30 viec time
http://newstar.vn
Trang 31
#ACL thi p th i gian ngh ết l trưa
acl time-nghi-trua time M T W H F 12:00-12:59
#ACL cho phép s k t n ế i tối đa là 10
acl sep-max maxconn 10
#ACL đị nghĩa IP cnh a Sếp phòng CNTT
acl ip-sep src "/etc/squid/danhsachip/ip-sep.txt"
#ACL định nghĩa IP phòng CNTT
acl ip-cntt src "/etc/squid/danhsachip/ip-cntt.txt"
#Thc hin yêu c u qu n lý truy c p
#Chính sách cho s p ế
http_access deny ip-sep time- deny-nhac lam-viec
http_access deny ip-sep time- -nhac lam-viec deny-file-video
http_access deny ip-sep time- -chieu deny-nhac lam-viec
http_access deny ip-sep time- -chieu deny- -video-nhac lam-viec file
http_access deny ip-sep sep- max
reply_body_max_size 30 MB ip-sep
re sepquest_body_max_size 30 kb ip-
http_access allow ip-sep
#chính sách cho phòng CNTT
http_access allow ip-cntt time-nghi- trua allow-giaitri-cntt
http_access deny deny-nhac
http_access deny deny- -nhac file-video
http_access deny ip-cntt !allow-web- cntt
http_access allow ip-cntt
http://newstar.vn
Trang 32
#cu hình redirect
deny_info http://newstar.vn deny-nhac
http_access deny all
#cu hình cache theo RAM và theo HDD;
#Cache RAM chi m 32 MB ế ;
#Cache đĩa sử ụng định lưu trữ ới 16 thư mụ d theo kiu ufs chiếm 512 MB v c cp 1
#và 256 c c thư mụ ỗi thư mục cho m ấp 1 đó.
cache_dir ufs /var/spool/squid 100 16 256
cache_mem 50 MB
#Thuật toán cache đĩa heap LFUDA (Least Frequently Used with Dynamic
Aging).
#Thut toán cache ram là heap GDSF (Greedy- Dual Size Frequency)
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
Nội dung các file .txt đã định nghĩa trong squid.conf
Tên file
Ni dung
denynhac.txt
nhac
music
mp3
giaitricntt.txt
.chiasenhac.com
webcntt.txt
.newstar.vn
.24h.com.vn
.dantri.com.vn
ip-cntt.txt
192.168.1.0/24
ip-sep.txt
192.168.1.5
http://newstar.vn
Trang 33
Chương 22: APACHE WEB SERVER
1) Mô hình tri n khai
2) Cài đặt
Bước 1: cài đặt các gói httpd
#yum install httpd
Bước 2: Khởi động d ch v
#systemctl start httpd
#chkconfig httpd on
Bước 3: Kim tra apache
Truy c p http://192.168.1.7
Thay đổi trang mặc định ca apache
Bước 4: download template website và copy vào thư mục /var/www/html
http://newstar.vn
Trang 34
Bước 5: Truy c p http://192.168.1.7
http://newstar.vn
Trang 35
Chương 23: IPTABLES
1) Gii thi u
IPTABLES h thng firewall tiêu chuẩn đưc tích h p trong h u h t h ế điu hành Linux.
IPTABLES theo dõi ng d u vào ra các interface, l c gói d a vào các thông tin clu li a
header t i các t ng c a Data link, Network, Transport c a mô hình OSI
Cu trúc Iptables g m 3 Table, mi table có các Chain, mi chain ch a các Rule do người
qun tr c u hình
http://newstar.vn
Trang 36
FILTER TABLE l c các gói tin, g : dùng để m các chain
- INPUT: lc những gói tin đi vào hệ thng
- OUTPUT: l h c những gói tin đi ra từ thng
- FORWARD: L c gói d liệu đi đến các server khác kết ni trên các NIC khác ca
firewall
NAT: sửa địa ch gói tin g m các chain
- PRE-ROUTING: S nh tuy n ửa địa ch đích của gói tin trước khi đị ế
- POST-ROUTING:Sửa địa ch ngu n c nh tuy ủa gói tin sau khi gói tin đã được đị ến
- OUTPUT: NAT đa ch local để đi ra ngoài.
MANGLE: dùng để chnh sa QOS bit trong phn TCP Header ca gói tin
Gm các chain: PREROUTING, OUTPUT, FORWARD, INPUT, POSTROUTING.
Cu trúc t ng quát c a rule
iptables [-t <table-name>] <command><chain-name> \ <parameter-1><option-1> \
<parameter-n><option-n>
Trong đó:
Iptables: là t khóa b t bu i có. c ph
-t: là tùy chọn để chn tên table s d ng k p v i <table-name> ụng, thườ ết h
http://newstar.vn
Trang 37
Nếu không dùng tùy ch n t thì m nh iptables s s d ặc đị ng Filter table
<command>:
-A
Ni 1 rule vào chain
-D
Xóa 1 rule ra khi chain
-I
Chèn 1 rule vào chain
-R
Thay th rule ế
-L
Xem các rule đã được load
-N
To m t chain m i
-X
Xóa 1 chain
-E
Đổi tên chain
<chain-name>: l ng v a chn các chain tương ứ i các table
<Parameters>:
PARAMETERS
Mô t
-p
Protocol (tcp, udp, icmp
-s
Source address [/mask]
-d
Destination address [/mask]
-i
Tên interface mà packet nhn vào
-o
Tên interface mà packet s g i ra
http://newstar.vn
Trang 38
-j
Chuyển packet đến target khi tha điều kin ca rule
Target có sn:
- : iptables ch p nh n chuy ACCEPT ển data đến đích.
- : iptables khóa nh ng packet. DROP
- : thông tin c a packet s g i vào syslog LOG
- REJECT: ngăn chặn packet và g i thông báo cho sender
- DNAT: thay đổ đích (i địa ch --to-destination)
- SNAT: Thay đổi địa ch source (--to-source)
<Options (match)>
parameters
Match options
Mô t
-p tcp
--dport
Thiết lp destination port
--sport
Thiết lp source port
--syn
Gói TCP vi c t lên SYN b
--tcp-flags
thiết lp flags
(SYN,ACK,FIN,RST)
-p udp
--dport
--sport
-p icmp
-- icmp-type
Thiết l p lo i icmp (echo-request,
echo-reply, …)
#iptable p icmp h
(để xem thêm)
http://newstar.vn
Trang 39
-m multiport
--sport <port, port>
--dport <port,port>
La chn nhi u port
2) Mô hình
3) Yêu cu và c u hình
- Cho phép t client truy c n Server thông qua port 80 t c ập đế
#iptables FORWARD i eth0 d 172.16.1.10 dport 80 j ACCEPT A
- Ch phép PC 192.168.1.2 telnet đến Web Server
#iptables FORWARD I eth0 s 192.168.1.2 d 172.16.1.10 dport 23 I j
ACCEPT
| 1/41

Preview text:

TRUNG TÂM ĐÀO TẠO NEWSTAR
----------------------------------------
Qun tr h thng LINUX (LPI 2)
Biên soạn: Huỳnh Thanh Tâm 8-2017 http://newstar.vn
Mc Lc B. LBI 2
Chương 14: WEBMIN ................................................................................................................................... 2
Chương 15: VNC SERVER.............................................................................................................................. 4
Chương 16: DHCP SERVER ........................................................................................................................... 7
Chương 17: SAMBA .................................................................................................................................... 10
Chương 18: NFS SERVER ............................................................................................................................ 13
Chương 19: DNS ......................................................................................................................................... 15
Chương 20: MAIL SERVER .......................................................................................................................... 23
Chương 21: SQUID PROXY ......................................................................................................................... 28
Chương 22: APACHE WEB SERVER ........................................................................................................... . 33
Chương 23: IPTABLES ................................................................................................................................. 35 Trang 1 http://newstar.vn Chương 14: WEBMIN
1) Gii thiu WebMin
Webmin là phần mềm quản trị server linux qua giao diện đồ họa. Cho phép người người
quản trị dễ dàng quản lý tài nguyên và cấu hình các dịch vu thông qua dao diện web như:
User management, Disk managemet, Network, Iptables (Firewall), Cron, Apache, DNS….
Mặc định Web min sử dụng cổng 10000 để giao tiếp.
2) Mô hình trin khai: 3) Cài đặt
Cài trc tiếp t internet
Chú ý: Linux Server phải đi được internet. Tắt Firewall (sẽ học ở chương sau)
Bước 1: Tạo file webmin.repo tại thư mục /etc/yum.repos.d/
#vi /etc/yum.repos.d/webmin.repo [Webmin]
name=Webmin Distribution Neutral
#baseurl=http://download.webmin.com/download/yum
mirrorlist=http://download.webmin.com/download/yum/mirrorlist enabled=1
Bước 2: Import PGP Key ca webmin
#rpm --import http://www.webmin.com/jcameron-key.asc
Bước 3: Cài đặt Webmin Trang 2 http://newstar.vn #yum -y install webmin
Bước 4: khởi động dịch vụ Webmin và cho khởi động cùng HĐH #service webmin start #chkconfig webmin on
Bước 5: kiểm tra truy cập từ Admin
 Cài đặt t rpm:
Bước 1: Download webmin
#wget http://prdownloads.sourceforge.net/webadmin/webmin-1.840-1.noarch.rpm
Bước 2: Cài dặt các gói thư v ệ i n cần thiết
#yum -y install perl perl-Net-SSLeay openssl perl-IO-Tty perl-Encode-Detect
Bước 3: Cài đặt webmin
#rpm -ivh webmin-1.840-1.noarch.rpm Bài tp:
- Chỉ cho phép lớp 192.168.1.0/24 truy cập đến webmin. Cấm tất cả các IP khác
- Phân quyền truy cập các chức năng của Wemin cho từng user quản trị Trang 3 http://newstar.vn
Chương 15: VNC SERVER 1) Gii t hiu VNC
VNC – Virtual Network Computing là một công cụ phổ biến để cung cấp truy cập
Server từ xa thông qua giao diện đồ họa.. 2) Mô hình
3) Cài đặt và cu hình
Bước 1: Cài dặt tigervnc-server từ internet
#yum install tigervnc-server
Bước 2: Cấu hình cho phép 2 user root và nam truy cập vào VNC-Server
 Tạo file cấu hình vnc cho user root bằng cách copy file cấu hình mẫu của dịch vụ
#cp /lib/systemd/system/vncserver@.service
/etc/systemd/system/vncserver@:1.service
 Mở file và chỉnh sửa tên user thành root và đổi đ
ường thư mục home của user root
#vi /etc/systemd/system/vncserver@:1.service
(chnh sa theo nội dung bên dướis)
ExecStart=/sbin/runuser -l root -c "/usr/bin/vncserver %i" PIDFile=/root/.vnc/%H%i.pid
 Tạo file cấu hình vnc cho user nam
#cp /lib/systemd/system/vncserver@.service
/etc/systemd/system/vncserver@:2.service
 Mở file và chỉnh sửa tên user thành nam và đổi đ
ường thư mục home của user nam Trang 4 http://newstar.vn
#vi /etc/systemd/system/vncserver@:1.service
(chỉnh sửa theo nội dung bên dướis )
ExecStart=/sbin/runuser -l nam -c "/usr/bin/vncserver %i"
PIDFile=/home/nam/.vnc/%H%i.pid  Tạo user nam #useradd nam
 Đặt password VNC cho user root #vncpasswd
 Đặt password VNC cho user nam #su nam #vncpasswd  Reload lại dịch vụ
#systemctl daemon-reload
 Khởi động dịch vụ vnc cho user nam và root
#systemctl start vncserver@:1.service
#systemctl start vncserver@:2.service
 Khởi động khi hệ t ố h ng starup
#systemctl enable vncserver@:1.service
#systemctl enable vncserver@:2.service
Bước 3: Kiểm tra hoat động của VNC. Máy admin download VNC-Viewer và truy cập
bằng user: root (192.168.1.7:1) Trang 5 http://newstar.vn
VNC bng user: nam Trang 6 http://newstar.vn
Chương 16: DHCP SERVER
1) Gii thiu:
DHCP (DYNAMIC HOST CONFIGURATION PROTOCOL) là dịch vụ cấp phát địa chỉ
IP tự động cho các máy tính hoạt động theo mô hình server-client, máy cấu hình DHCP
Server phải được gán IP tĩnh. Thông tin mà client nhận được từ DHCP server gồm: IP,
subnet mask, default gateway, DNS server, …
Các địa chỉ IP trong mạng LAN được đặt theo RFC 1918:
Class A: 10.0.0.0 – 10.255.255.255 (10/8 prefix)
Class B: 172.16.0.0 – 172.31.255.255 (172.16/12 prefix)
Class C: 192.168.0.0 – 192.168.255.255 ( 192.168/16 prefix)
2) Mô hình trin khai
(Chú ý: tt dhcp trên VMWare) 3) Cài đặt
- Thiết lập địa chỉ IP tĩnh cho DHCP Server: 192.168.1.254/24 - Cài từ internet: #yum install dhcp - Cài từ CDROM:
#rpm ivh dhcp-4.1.1-25P1.el6.i686.rpm 4) Cu hình A. DHCP-Server
Bước 1:copy file cấu hình Trang 7 http://newstar.vn
#cp /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example /etc/dhcp/dhcpd.conf Chn y
Bước 2:Tùy chỉnh các thông số
#vi /etc/dhcp/dhcpd.conf
Bước 3: Xóa nội dung từ dòng 23 đến cuối file
Bước 4: Thêm nội dung sau vào cuối file
subnet 192.168.1.0 netmask 255.255.255.0{
option routers 192.168.1.1;
option subnet-mask 255.255.255.0;
option domain-name-servers 8.8.8.8;
range 192.168.1.100 192.168.1.200;
default-lease-time 21600; max-lease-time 43200; } Khởi động lại ị d ch vụ #systemctl start dhcpd
Cho dịch vụ khởi động cùng với HĐH
# systemctl enable dhcpd B. DHCP Client Windows OS - ipconfig /release - ipconfig /renew - ipconfig Linux OS - dhclient eth0 - dhclient r - ifconfig
Thc hin cp ip theo Mac-Address: Trang 8 http://newstar.vn
subnet 192.168.1.0 netmask 255.255.255.0{
option routers 192.168.1.1;
option subnet-mask 255.255.255.0;
option domain-name-servers 8.8.8.8;
range 192.168.1.100 192.168.1.200;
default-lease-time 21600; max-lease-time 43200; host nsshare {
hardware ethernet 00:50:56:c0:00:01;
fixed-address 192.168.1.151; } } Trang 9 http://newstar.vn Chương 17: SAMBA
1) Gii thiu
Samba la dich vu cua hê điêu hanh Linux, chay trên nên giao thưc SMB (Server Message
Block) cho phep chia se file hê thông, may in vơi cac may chay hệ điều hành Windows
Samba Server port numbers: 137/tcp; 137/udp; 138/tcp; 138/udp; 139/udp; 139/udp; 445/tcp; 445/udp 2) Mô hình
3) Cài đặt SAMBA Server
Cài t internet: #yum install samba
Cài t đĩa CD:
#rpm ivh samba-3.5.10-114.el6.i686.rpm
4) Cu hình SAMBA Server
Trường hp 1: Không cần username/password để truy cập dữ liệu chia sẻ
- Tạo một thư mục để thực hiện share dữ liệu.
Ví dụ: Tạo thư mục có tên là “soft”. Trong thư mục soft, tạo thư mục có tên linux1 #mkdir /soft #mkdir /soft/linux2
Phân quyền thư mục soft:
#chmod 777 R /soft/ - Cấu hình Server: Trang 10 http://newstar.vn
#vi /etc/samba/smb.conf
Thêm vào dòng sau vào vị trí dòng số 125
map to guest = bad user
Di chuyển cuối file và thêm nội dung sau [Soft Newstar]
comment = Ung dung van phong path = /soft writable = yes read only = yes create mode = 0600 directory mode = 0700 guest ok = yes Các options:
guest ok: cho phép clients kết nối tới thu mục file được chia sẻ mà không cần password.
create mode: Quyền hạn của file khi được tạo file
directory mode: Quyền hạn của thư mục khi được tạo
Kiểm tra cấu hình vừa thiết lập #testparm
Khởi động dịch vụ samba
#systemctl restart smb.service
Kiểm tra trạng thái samba #smbstatus
A. Client Test (Windows): Trang 11 http://newstar.vn
Trường hp 2: cần chứng thực để truy cập dữ liệu chia sẻ
- Tạo thư mục chia sẻ #mkdir /ketoan
- Tạo group kế toán, và thêm user kt1 vào nhóm này #groupadd ketoan #useradd -g ketoan kt1
- Tạo password samba cho user kt1 #smbpasswd -a kt1
- Chỉnh sửa file cấu hình
#vi /etc/samba/smb.conf [Phong Ke Toan]
comment = tai lieu p.ketoan path = /ketoan valid users = @ketoan writable = yes guest ok = no
(chú ý: xóa cache user/pass truy cp trên windows : net use * /delete) Trang 12 http://newstar.vn
Chương 18: NFS SERVER
1) Gii thiu
NFS(Network File System) là dịch vụ chia sẻ file trên các hệ thống Unix/Linux. Dich vu
NFS cho phep chia se tâp tin cho nhiêu ngươi dung trên cung mang va ngươi dung co thê
thao tac như vơi tâp tin trên chinh đia cưng cua minh 2) Mô hình
3) Cài đặt và cu hình A. Server
Bước 1: Cài các gói sau từ interne t
#yum install nfs-utils nfs-utils-lib portmap
Bước 2:Tạo thư mục chia sẻ #mkdir /soft #mkdir /giaitri #mkdir /data
Bước 3: Cấu hình thư mục chia sẽ /soft #vi /etc/exports
Cấu trúc file exports như sau:
/Thư mục chia s
host1(options) host2(option)
Các tùy chn thông dng:
ro:thuc tính ch đọc
rw:thuộc tính đọc và ghi
 sync: đồng b d liu Trang 13 http://newstar.vn
root_squash: không cho phép s dng h thng vi quyn hn root
 no_root_squash:ngược li vi root_squash  …
(Dùng #man exports để xem các options khác)
Nội dung file /etc/exports với mục đích chỉ cho phép các ip thuộc lớp mạng
192.168.1.0/24 có quyền đọc.
/soft 192.168.1.0/24(rw,sync)
/data 192.168.1.5(rw,sync)
/giaitri 192.168.1.5(ro,root_squash,sync)
Bước 4: Khởi động dịch vụ #service nfs start
Reload li toàn b cu hình cho nf s #exportfs -a
(Nếu ch mun cp nht các entry va thêm ta dùng lnh #exportfs -r) B. Client (Linux)
Bước 1: kiểm tra thông tin dịch vụ NFS và danh sách các thư mục được export trên NFS Server
#showmount e 192.168.1.5
Bước 2: Tạo thư mục để làm mount point #mkdir /mnt/a1 #mkdir /mnt/a2 #mkdir /mnt/a3
Bước 2: thực hiện mount thư mục share về máy
#mount t nfs 192.168.1.5:/soft /mnt/a1
#mount t nfs 192.168.1.5:/data /mnt/a2
#mount t nfs 192.168.1.5:/giaitri /mnt/a3 Trang 14 http://newstar.vn Chương 19: DNS
1) Gii thiu
DNS (Domain Name System) là hệ thống phân giải tên miền được phát minh vào năm
1984 cho Internet, cho phép thiết lập tương ứng giữa địa chỉ IP và tên miền. 2) Mô hình
sử dụng 1 Server DNS dùng để phân giải tên miền của 1 WebServer
Chun b h thng: Server OS DNS Server (192.168.1.1) Centos 7.X WebServer (192.168.1.10) Centos 7.X client Win 7 or Win 8 (test)
Cài đặt và cu hình DNS (192.168.1.1):
Bước 1: Đặt hostname cho Server DNS là: dns1.newstar.vn và restart lại Server
#vi /etc/sysconfig/network HOSTNAME=dns1.newstar.vn #init 6 Trang 15 http://newstar.vn
Bước 2: Cài đặt các gói bind* #yum install bind*
Bước 3: Cấu hình file named.conf #vi /etc/named.conf
Bước 4: Cấu hình các Zone cho DNS Server
#vi /etc/named.rfc1912.zones
(Xuống cuối file cấu hình zone phân giải thuận và phân giải nghịch)
Bước 5: Tạo các file CSDL cho zone thuận và zone nghịch vừa khai báo
(copy file mẫu từ chương trình cài đặt và sửa lại nội dung cho phù hợp)
#cp /var/named/named.localhost /var/named/newstar.vn.zone
#cp /var/named/named.loopback /var/named/newstar.vn.rr.zone
#vi /var/named/newstar.vn.zone Trang 16 http://newstar.vn
#vi /var/named/newstar.vn.rr.zone
Bước 6: Gán quyền trên 2 file zone vừa tạo #cd /var/named/
#chown named:named newstar.vn.zone
#chown named:named newstar.vn.rr.zone
Bước 7: Restart dịch vụ named #service named restart
#systemctl enable named
Cài đặt Web Server (192.168.1.10)
Bước 1: Cài đặt gói httpd #yum install httpd
Bước 2: Chỉnh sửa file httpd.conf
#vi /etc/httpd/conf/httpd.conf
(Thêm vào cui file ni dung sau) Trang 17 http://newstar.vn
DocumentRoot /var/www/newstar ServerName newstar.vn
ServerAlias www.newstar.vn
Bước 3: Tạo file index.htm có nội dung tùy ý trong /var/www/newstar
Bước 4: Restart dịch vụ
# service httpd restart
Bước 5: Trỏ DNS về ip Server DNS #vi /etc/resolv.conf nameserver 192.168.1.1
TEST DNS trên máy Client Vào terminal #nslookup newstar.vn
#nslookup dns1.newstar.vn
Truy cp web newstar.vn Trang 18 http://newstar.vn
B-Mô hình s dng 2 Server DNS (primary secondary)  DNS Primary (192.168.1.1)
 DNS Secondary (192.168.1.2)  Web Server (192.168.1.10)
Cài đặt gói bind cho 2 máy Primary và secondary: Cài từ Internet: #yum install bind*
Cu hình cho DNS cho primary:
Bước 1: Xem nội dung file named.conf #vi /etc/named.conf
Bước 2: thêm nội dung vào file named.rfc1912.zones #vi /etc/named.rfc1912.zones Thêm vào cuối file zone "newstar.vn" IN { type master; file n " ewstar.vn.zone";
allow-transfer {192.168.1.2;};
allow-update {192.168.1.2;}; allow-query {any;}; };
zone "1.168.192.in-addr.arpa" IN { type master;
file "newstar.vn.rr.zone";
allow-transfer {192.168.1.2;};
allow-update {192.168.1.2;}; allow-query {any;}; }; Trang 19 http://newstar.vn
Bước 3: Copy và dổi tên 2 file sau:
#cp /var/named/named.localhost /var/named/newstar.vn.zone
#cp /var/named/named.loopback /var/named/newstar.vn.rr.zone
Bước 4: Chỉnh sửa file cấu hình cho file phân giải thuận newstar.vn.zone
#vi /var/named/newstar.vn.zone
(NS dùng để khai báo máy chủ DNS của 1 tên miền)
(A: ánh xạ tên host vào 1 ip) $TTL 1D
@ IN SOA dns1.newstar.vn. root.newstar.vn. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum
IN NS dns1.newstar.com.
IN NS dns2.newstar.com.
newstar.vn. IN A 192.168.1.10 www IN CNAME newstar.vn dns1 IN A 192.168.1.1 dns2 IN A 192.168.1.2
Bước 5: Cấu hình file phân giải nghịch
# vi /var/named/newstar.vn.rr.zone $TTL 1D
@ IN SOA dns1.newstar.vn. root.newstar.vn. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire Trang 20 http://newstar.vn 3H ) ; minimum
IN NS dns1.newstar.vn.
IN NS dns2. newstar.vn.
1 IN PTR dns1. newstar.vn.
2 IN PTR dns2. newstar.vn. 10 IN PTR newstar.vn.
Bước 6: Khởi động dịch vụ named khi boot Server # chkconfig named on
Bước 7: gán nhóm sở hữu cho user named vào các file vừa tạo #chgrp named newstar*
Bước 8: Khởi động deamon named cho quá trình làm việc
#/etc/init.d/named start
Bước 9: Cấu hình file phân giải domain #vi /etc/resolv.conf (thêm vào dòng sau) nameserver 192.168.1.1
Bước 10: Kiểm tra phân giải DNS #nslookup newstar.vn
Cu hình Secondary DNS Server
Khai báo zone thuận và zone nghịch từ dns1.newstar.vn
Bước 1: cấu hình file dns
#vi /etc/named.rfc1912.zones
(Thêm vào cui file dòng sau) zone "newstar.vn" IN { type slave;
file "slaves/newstar.vn.zone.bk";
masters {192.168.1.1;}; }; Trang 21 http://newstar.vn
zone "1.168.192.in-addr.arpa" IN { type slave;
file "slaves/newstar.vn.rr.zone.bk";
masters {192.168.1.1;}; };
Bước 2: Kiểm tra lại
#ls l /var/named/slaves/
Bước 3: Restart dich vụ
# /etc/init.d/named restar t
Bước 4:Kiểm tra lại nội dung thư ụ m c slaves
#ls -l /var/named/slaves/
Bước 5: Xem nôi dung zone thuận transfer từ master dns
#vi /var/named/slaves/ newstar.vn.zone.bk
Bước 6: Cấu hình nameserver # vi /etc/resolv.conf (Thêm vào) nameserver 192.168.1.1 nameserver 192.168.1.2
Bước 7: Thực hiện kiểm tra dns # nslookup newstar.vn
Bước 8: tắt máy dns1 và thực hiện kiểm tra lại dns (nslookup) Trang 22 http://newstar.vn
Chương 20: MAIL SERVER
(Postfix, Dovecot and SquirrelMail) 1)
Gii thiu
Mail server cho phép user gửi nhận thư điện tử. Mail server sẽ quản lý toàn bộ các tài khoản
email trong hệ thống nội bộ. 2) Cài đặt
Bước 1: Đặt hostname cho Server Mail là: mail.newstar.vn #nmtui Update repository
#yum install epel-release
Bước 2: Cài đặt gói postfix #yum install postfix
Bước 3: cấu hình file postfix
# vi /etc/postfix/main.cf (dòng 76)
myhostname = mail.newstar.vn (dòng83 ) mydomain = newstar.vn (dòng 99) myorigin = $mydomain (dòng 113) inet_interfaces = all (dòng 119) inet_protocols = all
(dòng 164 comment)
#mydestination = $myhostname, localhost.$mydomain, localhost
(dòng 165 - uncomment) Trang 23 http://newstar.vn
mydestination = $myhostname, localhost.$mydomain, localhost, newstar.vn (dòng 264)
mynetworks = 168.100.189.0/28, 127.0.0.0/8, 0.0.0.0/0
(dòng 419 b du #)
home_mailbox = Maildir/
Bước 4: start dch v postfix
#systemctl enable postfix
#systemctl restart postfix
Bước 5: Test postfix
Bước 6: Cài đặt gói dovecot # yum install dovecot
Bước 7: cấu hình dovecot #vi /etc/dovecot/dovecot.conf (dòng 24) protocols = imap pop3 lmtp
# vi /etc/dovecot/conf.d/10-mail.conf (dòng 24 – bỏ dấu #)
mail_location = maildir:~/Maildir
#vi /etc/dovecot/conf.d/10-auth.conf (dòng 10) disable_plaintext_auth = yes (dòng 100) auth_mechanisms = plain login
# vi /etc/dovecot/conf.d/10-master.conf (dòng 91,92) user = postfix group = postfix Trang 24 http://newstar.vn
Bước 8: Start dịch vụ dovecot
# systemctl restart dovecot
# systemctl enable dovecot
Bước 9: install squirrelmail
# yum install squirrelmail
# service httpd start #chkconfig httpd on
Bước 10: cấu hình Squirrelmail
# cd /usr/share/squirrelmail/config/ ./conf.pl Chn 1
Thiết lp các thông s Trang 25 http://newstar.vn
Sau khi thiết lp xong chọn R để quay li menu
Chn 2 thiết lp các thông s
Chọn S để lưu
Chn Q để thoát
Bước 11: cấu hình http cho mail server
#vi /etc/httpd/conf/httpd.conf
(Thêm vào cui file ni dung sau) Trang 26 http://newstar.vn
Alias /squirrelmail /usr/share/squirrelmail
Options Indexes FollowSymLinks RewriteEngine On AllowOverride All
DirectoryIndex index.php Order allow,deny Allow from all
Bước 12: Restart dịch vụ http
# service httpd restart 3)
Cu hình DNS cho Mail Server a. File forward.zone b. File reverse.zone Trang 27 http://newstar.vn
Chương 21: SQUID PROXY 1) Gii t hiu:
Squid là một proxy server, khả năng của squid là tiết kiệm băng thông (bandwidth), cải
tiến việc bảo mật, tăng tốc độ truy cập web cho người sử dụng. 2) Mô hình
3) Chun b h thng Loi OS Ghi chú Squid Proxy Server Centos 6.x
2 card mạng. Kết nối được internet eth0: dhcp eth1: 192.168.1.1 Client XP or Centos 192.168.1.5,20
4) Cài đặt và cu hình Proxy Server
Bước 1: Cài đặt Squid từ internet #yum install squid
Bước 2: File cấu hình
#vi /etc/squid/squid.conf
(Mặc định Squid Proxy cho phép tt c các host trong LAN truy cp internet.) Start squid
#services squid start Trang 28 http://newstar.vn
Bước 3: Cấu hình phía client.
Trên client ta cấu hình proxy như sau:
Mở IE, chọn Tools → Internet Opitions, từ tab Connections chọn LAN Settings…
Thông số trong file squid.conf
http_port 3128: Squid lng nghe trên port 3128 Yêu cu :
1) Thay đổi port squid lng nghe là 8080
2) IP ca sếp CNTT: 192.168.1.2
- Được phép truy cp vào tt c các trang web ngoi tr trang nghe nhc, xem phim
trong thi gian làm vic (sáng t 8h:12h ; bui chiu t 13h:17h30 t th 2 -> th
6). Thi gian ngh trưa được phép truy cp tt c.
- Cho phép s kết ni tối đa là 10
- Dung lượng download tối đa 30M
- Dung lượng upload tối đa 30kb
3) IP phòng CNTT 192.168.1.10-100
- Chỉ được truy cập vào các trang web: newstar.vn. dantri.com, 24h.com.vn.
- Thời gian truy cập buồi sáng từ 8h:12h ; buổi chiều từ 13h:17h30.
- Thời gian nghỉ trưa cho phép thêm quyền vào trang chiasenhac.com để giải trí Trang 29 http://newstar.vn
- Trong thời gian làm việc nếu truy cập vào các trang nghe nhạc (chiasenhac.com;
nhacso.net) thì tự động redirect đến website newstar.vn
Thc hin cu hình:
1) #vi /etc/squid/squid.conf http_port 8080 #squid –k reconf
Thay đổi port trên trình duyệt web proxy setting của client và truy cập lại internet
T yêu cu 2 và 3: thc hin viết các access-list sau:
#các acl định nghĩa các website có keyword trên url
acl deny-nhac dstdom_regex "/etc/squid/web/denynhac.txt"
#các acl định nghĩa các dạng file
acl deny-file-video-nhac url_regex -i /
.mp3$/ .mp4$ /.avi$ /.flv$ /.wmv$/ .mp4$
#định các acl và action cấm xem các video
acl deny_rep_mime_flashvideo rep_mime_type video/flv
acl deny_rep_mime_shockwave rep_mime_type ^application/x-shockwave-flash$
http_reply_access deny deny_rep_mime_flashvideo
http_reply_access deny deny_rep_mime_shockwave
#Acl định nghĩa các trang được phép truy cập
acl allow-web-CNTT dstdomain "/etc/squid/web/webcntt.txt”
#ACL cho phép vào trang chia se nhac
acl allow-mp3-cntt dstdomain “etc/squid/web/giaitricntt.txt”
#ACL thiết lập thời gian làm việc
acl time-lam-viec time M T W H F 08:00-11:59
acl time-lam-viec-chieu time M T W H F 13:00-17:30 Trang 30 http://newstar.vn
#ACL thiết lập thời gian nghỉ trưa
acl time-nghi-trua time M T W H F 12:00-12:59
#ACL cho phép số kết nối tối đa là 10 acl sep-max maxconn 10
#ACL định nghĩa IP của Sếp phòng CNTT
acl ip-sep src "/etc/squid/danhsachip/ip-sep.txt"
#ACL định nghĩa IP phòng CNTT
acl ip-cntt src "/etc/squid/danhsachip/ip-cntt.txt"
#Thực hiện yêu cầu quản lý truy cập #Chính sách cho sếp
http_access deny ip-sep time-lam-viec deny-nhac
http_access deny ip-sep time-lam-viec deny-file-video-nhac
http_access deny ip-sep time-lam-viec-chieu deny-nhac
http_access deny ip-sep time-lam-viec-chieu deny-file-video-nhac
http_access deny ip-sep sep-max
reply_body_max_size 30 MB ip-sep
request_body_max_size 30 kb ip-sep
http_access allow ip-sep
#chính sách cho phòng CNTT
http_access allow ip-cntt time-nghi-trua allow-giaitri-cntt
http_access deny deny-nhac
http_access deny deny-file-video-nhac
http_access deny ip-cntt !allow-web-cntt
http_access allow ip-cntt Trang 31 http://newstar.vn
#cu hình redirect
deny_info http://newstar.vn deny-nhac http_access deny all
#cu hình cache theo RAM và theo HDD;
#Cache RAM chiếm 32 MB;
#Cache đĩa sử dụng định lưu trữ theo kiu ufs chiếm 512 MB với 16 thư mục cp 1
#và 256 thư mục cho mỗi thư mục cấp 1 đó.
cache_dir ufs /var/spool/squid 100 16 256 cache_mem 50 MB
#Thuật toán cache đĩa là heap LFUDA (Least Frequently Used with Dynamic Aging).
#Thut toán cache ram là heap GDSF (Greedy-Dual Size Frequency)
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
Nội dung các file .txt đã định nghĩa trong squid.conf Tên file Ni dung denynhac.txt nhac music mp3 giaitricntt.txt .chiasenhac.com webcntt.txt .newstar.vn .24h.com.vn .dantri.com.vn ip-cntt.txt 192.168.1.0/24 ip-sep.txt 192.168.1.5 Trang 32 http://newstar.vn
Chương 22: APACHE WEB SERVER
1) Mô hình trin khai 2) Cài đặt
Bước 1: cài đặt các gói httpd #yum install httpd
Bước 2: Khởi động dịch vụ #systemctl start httpd #chkconfig httpd on
Bước 3: Kiểm tra apache
Truy cp http://192.168.1.7
Thay đổi trang mặc định ca apache
Bước 4: download template website và copy vào thư mục /var/www/html Trang 33 http://newstar.vn
Bước 5: Truy cập http://192.168.1.7 Trang 34 http://newstar.vn Chương 23: IPTABLES
1) Gii thiu
IPTABLES là hệ thống firewall tiêu chuẩn được tích hợp trong hầu hết hệ điều hành Linux.
IPTABLES theo dõi luồng dữ liệu vào ra các interface, lọc gói dựa vào các thông tin của
header tại các tầng của Data link, Network, Transport của mô hình OSI
Cấu trúc Iptables gồm 3 Table, mỗi table có các Chain, mỗi chain chứa các Rule do người quản trị cấu hình Trang 35 http://newstar.vn
 FILTER TABLE: dùng để lọc các gói tin, gồm các chai n
- INPUT: lọc những gói tin đi vào hệ thống
- OUTPUT: lọc những gói tin đi ra từ hệ thống
- FORWARD: Lọc gói dữ liệu đi đến các server khác kết nối trên các NIC khác của firewall
 NAT: sửa địa chỉ gói tin gồm các chain
- PRE-ROUTING: Sửa địa chỉ đích của gói tin trước khi định tuyến
- POST-ROUTING:Sửa địa chỉ nguồn của gói tin sau khi gói tin đã được định tuyến
- OUTPUT: NAT địa chỉ local để đi ra ngoài.
 MANGLE: dùng để chỉnh sửa QOS bit trong phần TCP Header của gói tin
Gồm các chain: PREROUTING, OUTPUT, FORWARD, INPUT, POSTROUTING.
Cấu trúc tổng quát của rule iptables [-t ] \ \ Trong đó:
Iptables: là từ khóa bắt buộc phải có.
-t: là tùy chọn để chọn tên table sử dụng, thường kết hợp với Trang 36 http://newstar.vn
Nếu không dùng tùy chọn –t thì mặc định iptables sẽ sử dụng Filter table : -A
Ni 1 rule vào chain -D Xóa 1 rule ra khỏi chain -I Chèn 1 rule vào chain -R Thay thế rule -L
Xem các rule đã được load -N Tạo một chain mới -X Xóa 1 chain -E Đổi tên chain
: lựa chọn các chain tương ứng với các table : PARAMETERS Mô t-p Protocol (tcp, udp, icmp -s Source address [/mask] -d Destination address [/mask] -i
Tên interface mà packet nhận vào -o
Tên interface mà packet sẽ gửi r a Trang 37 http://newstar.vn -j
Chuyển packet đến target khi thỏa điều kiện của rule Target có sẵn:
- ACCEPT: iptables chấp nhận chuyển data đến đích.
- DROP: iptables khóa những packet. - LO :
G thông tin của packet sẽ gởi vào syslog
- REJECT: ngăn chặn packet và gởi thông báo cho sender
- DNAT: thay đổi địa chỉ đích (--to-destination)
- SNAT: Thay đổi địa chỉ source (--to-source) parameters Match options Mô tả --dport
Thiết lập destination port --sport Thiết lập source port -p tcp --syn
Gói TCP với cờ SYN bật lên --tcp-flags thiết lập flags (SYN,ACK,FIN,RST) --dport -p udp --sport -- icmp-type
Thiết lập loại icmp (echo-request, echo-reply, …) -p icmp #iptable –p icmp –h (để xem thêm) Trang 38 http://newstar.vn --sport Lựa chọn nhiều port -m multiport --dport 2) Mô hình
3) Yêu cu và cu hình
- Cho phép tất cả client truy cập đến Server thông qua port 80
#iptables –A FORWARD –i eth0 –d 172.16.1.10 –dport 80 –j ACCEPT
- Chỉ phép PC 192.168.1.2 telnet đến Web Server
#iptables –I FORWARD –I eth0 –s 192.168.1.2 –d 172.16.1.10 –dport 23 –j ACCEPT Trang 39