Trung Tâm Thông Tin Khoa Học Công nghệ Tp Hồ Chí Minh oOo TÀI LIỆU XÂY DỰNG VÀ PHÁT TRIỂN HỆ THỐNG MẠNG INTRANET/INTERNET SỬ DỤNG PHẦN MỀM MÃ NGUỒN MỞ Phiên 2.1 Tháng 07/2007 MỤC LỤC PHẦN I : GIỚI THIỆU .4 Tính cần thiết đề tài Phần mềm mã nguồn mở (Open Source Software - OSS) .6 2.1 Giới thiệu phần mềm mã nguồn mở .6 2.2 Các ưu điểm phần mềm mã nguồn mở Tóm lược tình hình sử dụng phấn mềm mã nguồn mở 10 3.1 Trên giới 10 3.2 Tại Việt nam 11 3.3 Kết khảo sát sử dụng phần mềm mã mở 12 3.4 Một số nhận xét từ kết khảo sát .17 PHẦN II : MÔ TẢ GIẢI PHÁP XÂY DỰNG 18 Các yêu cầu chung 18 Kiến trúc hệ thống mạng 19 Kiến trúc hệ thống dịch vụ 21 3.1 Hệ thống cung cấp dịch vụ 22 a Hệ thống xác thực trung tâm .22 b Hệ thống phân giải tên miền 23 c Hệ thống dịch vụ thư điện tử .24 d Hệ thống cung cấp dịch vụ web 27 e Hệ thống dịch vụ truyền liệu (FTP) 28 f Hệ thống dịch vụ truy cập từ xa 28 g Hệ thống truy cập Internet qua proxy 30 3.2.Hệ thống bảo vệ 30 3.3 Các hệ thống quản trị 34 Cấu trúc liệu LDAP .35 4.1 Giới thiệu LDAP 35 4.2 Cấu trúc liệu sử dụng giải pháp 36 Phần mềm sử dụng giải pháp .45 5.1 Các tiêu chí lựa chọn phần mềm 45 5.2 Đánh giá phần mềm mã mở 46 5.3.Các phần mềm sử dụng giải pháp 62 PHẦN III : ĐÁNH GIÁ HỆ THỐNG 65 Môi trường thử nghiệm 65 Đánh giá hệ thống .66 a Hệ thống xác thực trung tâm .66 b Hệ thống phân giải tên miền (DNS) 67 c Hệ thống cung cấp dịch vụ web 68 d Hệ thống thư điện tử 69 e Hệ thống truyền tệp .73 f Hệ thống bảo vệ 75 PHẦN IV : TÀI LIỆU 77 Cài đặt hệ thống 77 Cấu hình hệ thống .78 2.1 Tạo chứng thực cho máy chủ 78 2.2 Cấu hình máy chủ LDAP 80 2.3 Cấu hình máy trạm LDAP 81 2.4 Cấu hình lớp xác thực SASL 82 2.5 Cấu hình máy chủ FTP 83 2.6 Cấu hình máy chủ cổng thư điện tử .86 2.7 Cấu hình máy chủ lưu hộp thư điện tử .87 2.8 Cấu hình hệ thống chống virus .88 2.9 Cấu hình chống virus thư rác cho hệ thống thư điện tử 88 PHỤ LỤC A : CÁC TỆP DỮ LIỆU KHỞI ĐỘNG LDAP 91 Khởi động LDAP : init.ldif 91 Thêm tài khỏan FTP : ftp-user.ldif 92 Thêm tài khỏan hệ thống: login.ldif .93 Thêm nhóm hệ thống : group.ldif 93 PHỤC LỤC B: CÁC TỆP CẤU HÌNH 95 Phần mềm Cyrus SAL 95 Phần mềm máy chủ LDAP .95 Phần mềm máy trạm LDAP .97 Phần mềm Apache HTTP .99 Phần mềm ProFTP 103 Phần mềm Postfix 106 Phần mềm MailScanner 113 Phần mềm Freeradius .157 PHẦN I : GIỚI THIỆU Tính cần thiết đề tài Trong hệ thống thông tin, mạng máy tính đóng vai trị quan trọng trục xương sống hệ thống thông tin Nếu mạng máy tính hoạt động khơng ổn định, tồn hệ thống thông tin bị ảnh hưởng kết công việc bị ảnh hưởng theo hiệu ứng dây chuyền Để có hệ thống mạng hoạt động ổn định, cần phải có đầu tư lớn cho phần mềm, cho thiết bị , cho đội ngũ kỹ thuật cho người sử dụng cuối Trong thời điểm nay, phần mềm sử dụng hầu hết chép không hợp lệ doanh nghiệp chưa nhận thức rõ chi phí cho quyền phần mềm hậu việc sử dụng Theo điều tra tổ chức BSA(Business Software Alliance) IDC vào năm 2005, Việt nam nước có tỷ lệ vi phạm quyền phần mềm cao giới 92% gần đây, quan chức Việt Nam xử phạt số cơng ty máy tính cài đặt phần mềm khơng có quyền Trong tương lai Việt nam gia nhập WTO , vấn đề quyền trở nên rào cản thật doanh nghiệp nhà sản xuất phần mềm với hỗ trợ luật phát có biện pháp mạnh buộc doanh nghiệp thực nghiêm túc cam kết quyền phần mềm phủ Phần mềm nguồn mở "một giải pháp hữu hiệu” chiến chống lại tình trạng vi phạm quyền Không muốn dùng phần mềm khơng hợp pháp chi phí cho phần mềm vuợt khả tài doanh nghiệp người sử dụng số nhà sản xuất có sách giá đặc biệt cho nước khu vực châu Á Giá phần mềm tối thiểu máy tính làm việc gồm MS Windows MS Office hàng trăm USD phần mềm cho máy chủ MS Windows 2000 Server, MS SQL 2000 Server với số lượng người dùng hạn chế 2.000 USD Theo thơng tin chúng tơi có được, phần mềm mã nguồn mở sử dụng số hệ thống mạng Việt nam chưa có giải pháp tích Trang hợp cho hệ thống mạng Internet/Intranet triển khai giải pháp cách nhanh chóng hiệu Một ví dụ cho điều việc xây dựng hệ thống mạng HCM CityWeb sử dụng giải pháp tích hợp cơng ty Siemens với chi phí cao cho dù tất phần mềm sử dụng phần mềm mã nguồn mở tải tự Internet Cần nói thêm rằng, chủ đầu tư dự án mời số đơn vị có kinh nghiệm xây dựng hệ thống mạng Intranet/Internet lớn Đại học quốc gia, Đại học Kỹ thuật, Phân viện Công nghệ thông tin Tp Hồ Chí Minh đơn vị từ chối không tham gia dự án Kinh nghiệm sử dụng phần mềm mã nguồn mở giới cho thấy , chi phí lớn khơng nằm thân phần mềm ỏ việc tích hợp phần mềm có sẵn (được cung cấp tự do) thành giải pháp đáp ứng yêu cầu sử dụng việc đánh giá khả họat động phần mềm giải pháp tích hợp Nhóm thực đề tài tiến hành khảo sát số đơn vị quản lý khai thác hệ thống mạng cung cấp dịch vụ tương đối lớn thành phố Hồ Chi Minh Trung tâm điện tốn Truyền số liệu khu vực II (VDC), cơng ty FPT (FPT Information System), Đại học Quốc gia TP.HCM, công ty REE Kết khảo sát cho thấy hầu hết đơn vị sử dụng giải pháp nước ngòai cung cấp phần mềm thương mại Ở đơn vị có sử dụng phần mềm mã mở, việc tích hợp phần mềm khó khăn lớn, khơng có đủ đầu tư tài nhân lực cho việc nghiên cứu tích hợp sản phẩm phần mềm mã mở riêng rẽ thành giải pháp sử dụng chuyển giao cho đơn vị khác Điển Đại Học Quốc Gia (ĐHQG) thành phố Hồ Chí Minh, đơn vị đầu việc nghiên cứu sử dụng phần mềm mã mở hệ thống mạng ĐHQG sử dụng giải pháp Sun Solaris khơng có đủ nhân lực cho việc tích hợp sử dụng phần mềm mã mở Từ thực tế này, giải pháp tích hợp cho hệ thống mạng Internet/Intranet phần mềm mã nguồn mở giúp tổ chức nhà nước, trường học, doanh nghiệp… tiết kiệm đáng kể chi phí đầu tư triển khai nhanh chóng hệ thống mạng Giải pháp sử dụng mã nguồn mở giải pháp cho vấn đề quyền Trang phần mềm nhằm tránh phụ thuộc vào sản phẩm thương mại ràng buộc pháp lý giai đọan hội nhập nhanh với giới Đối tượng sử dụng sản phẩm đơn vị quan nhà nước, trường học, doanh nghiệp nhà cung cấp dịch vụ (ISP)… có nhu cầu xây dựng hệ thống mạng Intranet/Internet Sản phẩm dễ sử dụng quản trị để phục vụ cho đơn vị có mặt cơng nghệ thông tin tương đối thấp nhiều quan, đơn vị nhà nước Phần mềm mã nguồn mở (Open Source Software - OSS) 2.1 Giới thiệu phần mềm mã nguồn mở - Tên gọi “phần mềm mã nguồn mở” có lẽ khơng xác xét nguồn gốc phát sinh lọai phần mềm Tên gọi “Phần mềm tự do” (free software) có lẽ xác với lọai phần mềm thể tinh thần Richard Stallman, người đưa có cơng đầu việc đưa giấy phép nguồn mở GPL (General Public Licence) cho lọai phần mềm “tự do” Trong đề tài sử dụng tên gọi phần mềm mã nguồn mở hiểu phần mềm “tự do” định nghĩa lọai phần mềm sau:  Người sử dụng có quyền tự phân phối lại (redistribute) phần mềm  Mã nguồn phải cơng bố tự  Người dùng thực sửa đổi phần mềm  Không hạn chế việc sử dụng mã nguồn Nguồn : http://www.opensource.org/docs/definition.php - Phần mềm mã nguồn mở khơng có nghĩa phần mềm có chất lượng thấp (inferior software) Một số phần mềm mã nguồn mở chứng tỏ ưu việt so với sản phẩm khác Apache HTTP ví dụ tiêu biểu cho ưu việt Trang - Phần mềm mã nguồn mở khơng có nghĩa hồn tồn miễn phí sử dụng Phần mềm mã nguồn mở có nghĩa sử dụng tiền cách khôn ngoan (money wise) Phần mềm mã nguồn mở cần chi phí cho dịch vụ liên quan Ví dụ chi phí cho việc cài đặt chi phí cho hỗ trợ sử dụng phần mềm Sự khơn ngoan cịn thể quyền lợi người dùng phần mềm sử dụng Điều tương tự mua xe, người mua có quyền tìm hiểu xem xe có phận gì, hoạt động Người mua thay phận phận nhà sản xuất khác thấy điều phù hợp tự sửa chữa phận hư hỏng xe Phần mềm mã nguồn mở cho phép làm tất việc 2.2 Các ưu điểm phần mềm mã nguồn mở Phần mềm mã nguồn mở có nhiều ưu điểm , liệt kê số ưu điểm tiêu biểu loại phần mềm 2.2.1 Tính ổn định (Reliability) - Được kiểm tra độc lập nhiều nhà lập trình chuyên nghiệp chuyên gia lãnh vực liên quan khắp giới - Hạ tầng Internet dựa nhiều phần mềm mã nguồn mở  BIND DNS dùng 70% máy chủ phần giải tên miền DNS Microsoft chiếm khoảng 6.2% theo thống kê tháng 05/2004 Nguồn : http://mydns.bboy.net/survey/  Phần mềm Apache Web server sử dụng 64% máy chủ web sản phẩm tương tự Microsoft (Ms IIS) chiếm 25% (Nguồn Netcraft 05/2006, http://news.netcraft.com/archives/web_server_survey.html )  Sendmail phần mềm mã nguồn mở dùng rộng rãi Theo thống kê Dan Bernsten vào tháng 10 năm 2001, 42% máy chủ mail dùng Sendmail, 18% dùng Ms Exchange (nguồn http://cr.yp.to/surveys/smtpsoftware6.txt) Theo thống kê khác Thomas Pircher vào tháng 05/2003 số máy chủ mail Trang sử dụng Sendmail 35%, qmail 8.4%, Postfix 7.6% 5,2% Ms Exchange (nguồn : http://www.os3.nl/~karst/web/2005-2006/CIA/Email.pdf)  Perl, PHP,MySQL… phần mềm dùng nhiều cho ứng dụng web  Theo thống kế đăng tải tạp chí “The European Journal for the Informatics Professional” số tháng 12/2001 phần mềm mã mở dùng 90% máy chủ tên miền Mỹ, 70% máy chủ thư tín điện tử 60% máy chủ web giới (nguồn http://www.upgrade- cepis.org/issues/2001/6/upgrade-vII-6.html) - Theo báo cáo tháng 05/2004 Netcraft , 80% số 10 nhà cung cấp dịch vụ web hosting hàng đầu giới sử dụng phần mềm mã nguồn mở Nguồn: http://news.netcraft.com/archives/2004/06/02/most_reliable_hosting_providers_duri ng_may.html - Theo báo cáo năm 2000 Đại học Wiscosin Mỹ , tỉ lệ lỗi (Failure rate) phần mềm sau : 6-9% GNU/Linux, 19% HP Unix, 45% Windows 2000 Cũng theo báo cáo tỉ lệ lỗi phần mềm mã mở thấp hẳn sản phẩm tương tự khác thể đồ thị sau 80 70 60 50 # Utilites 40 % Crashed 30 20 10 HP-UX AIX Solaris Irix Linux/GNU Nguồn : http://www.cs.wisc.edu/~bart/fuzz/fuzz.html Trang 2.2.2 Tính bảo mật (Security) Đây điểm gây nhiều tranh luận giới Theo quan điểm Edsger W Dijkstra khẳng định phần mềm có lỗi khơng có lỗi Điều hàm ý , lỗi bảo mật phần mềm điều tránh khỏi Ngồi tính bảo mật hệ thống mạng phạm trù rộng liên quan đến nhiều đối tượng khác : thiết kế, phần mềm sử dụng, công tác quản trị, vận hành hệ thống, môi trường sử dụng… Có thể khẳng định khơng thể có hệ thống an toàn tuyệt đối, hệ thống tốt cần có khả phát cơng phải cập nhật thường xuyên để giảm thiểu tối đa nguy nội hệ thống Mã nguồn mở khơng có nghĩa khơng an tồn có nhiều cách để tìm lỗ hổng mà không cần đến mã nguồn Microsoft Windows phần mềm có mã nguồn đóng phần mềm bị khai thác nhiều lỗi bảo mật Đồ thị sau thể lỗi bảo mật phát năm từ 1997 đến 2000 cho loại hệ điều hành khác hệ điều hành Windows dẫn đầu số luợng lỗi bảo mật phát Nguồn:http://www.securitymap.net/sdm/docs/general/Bugtraq-stat/stats.html Trang Thời gian vá lỗi (patch) tiêu chí quan trọng vấn đề bảo mật Phần mềm mã nguồn mở có thời gian vá lỗi nhanh nhiều so với phần mềm khác Ví dụ lỗi Ping-o-death, vá lỗi (patch) Linux có sau 24 sau phát Các phần mềm khác phải tuần hàng tháng Mã nguồn phần mềm cung cấp tự điều kiện để thực việc vá lỗi 2.2.3 Chi phí đầu tư thấp Mã nguồn cung cấp miễn phí người sử dụng chọn lựa phần mềm để xây dựng hệ thống với chi phí đầu tư ban đầu thấp Dự án FedStat phủ Mỹ cho thấy sử dụng phần mềm mã nguồn mở tiết kiệm 311.000USD phân tích bảng sau Độc quyền # Mục đích sử dụng Mã nguồn mở Tỉ lệ giảm (Proprietary) Hệ điều hành + phần cứng Webserver Database Search Software 80.000 30.000 -67 3.000 -100 80.000 12.000 -85 195.000 5.000 -95 Nguồn : USAID Open Source Briefing Tóm lược tình hình sử dụng phấn mềm mã nguồn mở 3.1 Trên giới Với ưu chi phí rẻ, ổn định khả bảo mật cao, Linux dần chiếm ưu thị trường giới, không lĩnh vực máy chủ mà lan sang mảng thị trường máy tính để bàn Hãng nghiên cứu thị trường IDC cho biết: Sự ủng hộ dành cho Linux ứng dụng nguồn mở trở thành xu hướng chủ đạo Tây Âu Ít 98 triệu USD công ty phủ rót cho dịch vụ hỗ trợ hệ Trang 10 Spam Lists To Be Spam = # If a message appears in at least this number of "Spam Lists" (as defined # above), then the message will be treated as "High Scoring Spam" and so # the "High Scoring Spam Actions" will happen You probably want to set # this to if you are actually using this feature is high enough that # it will never happen unless you use lots of "Spam Lists" # This can also be the filename of a ruleset Spam Lists To Reach High Score = # If an individual "Spam List" or "Spam Domain List" check takes longer # that this (in seconds), the check is abandoned and the timeout noted Spam List Timeout = 10 # The maximum number of timeouts caused by any individual "Spam List" or # "Spam Domain List" before it is marked as "unavailable" Once marked, # the list will be ignored until the next automatic re-start (see # "Restart Every" for the longest time it will wait) # This can also be the filename of a ruleset Max Spam List Timeouts = # The total number of Spam List attempts during which "Max Spam List Timeouts" # will cause the spam list fo be marked as "unavailable" See the previous # comment for more information # The default values of and 10 mean that timeouts in any sequence of 10 # attempts will cause the list to be marked as "unavailable" until the next # periodic restart (see "Restart Every") Spam List Timeouts History = 10 # Spam Whitelist: # Make this point to a ruleset, and anything in that ruleset whose value # is "yes" will *never* be marked as spam # The whitelist check is done before the blacklist check If anyone whitelists # a message, then all recipients get the message If no-one has whitelisted it, # then the blacklist is checked # This setting over-rides the "Is Definitely Spam" setting # This can also be the filename of a ruleset #Is Definitely Not Spam = no Is Definitely Not Spam = %rules-dir%/spam.whitelist.rules # Spam Blacklist: Trang 144 # Make this point to a ruleset, and anything in that ruleset whose value # is "yes" will *always* be marked as spam # This value can be over-ridden by the "Is Definitely Not Spam" setting # This can also be the filename of a ruleset Is Definitely Spam = no # Setting this to yes means that spam found in the blacklist is treated # as "High Scoring Spam" in the "Spam Actions" section below Setting it # to no means that it will be treated as "normal" spam # This can also be the filename of a ruleset Definite Spam Is High Scoring = no # Spammers have learnt that they can get their message through by sending # a message with lots of recipients, one of which chooses to whitelist # everything coming to them, including the spammer # So if a message arrives with more than this number of recipients, ignore # the "Is Definitely Not Spam" whitelist Ignore Spam Whitelist If Recipients Exceed = 20 # # SpamAssassin # -# # Do you want to find spam using the "SpamAssassin" package? # This can also be the filename of a ruleset #Use SpamAssassin = no Use SpamAssassin = yes # SpamAssassin is not very fast when scanning huge messages, so messages # bigger than this value will be truncated to this length for SpamAssassin # testing The original message will not be affected by this This value # is a good compromise as very few spam messages are bigger than this Max SpamAssassin Size = 30000 # This replaces the SpamAssassin configuration value 'required_hits' # If a message achieves a SpamAssassin score higher than this value, # it is spam See also the High SpamAssassin Score configuration option # This can also be the filename of a ruleset, so the SpamAssassin # required_hits value can be set to different values for different messages Required SpamAssassin Score = # If a message achieves a SpamAssassin score higher than this value, # then the "High Scoring Spam Actions" are used You may want to use # this to deliver moderate scores, while deleting very high scoring messsages Trang 145 # This can also be the filename of a ruleset High SpamAssassin Score = # Set this option to "yes" to enable the automatic whitelisting functions # available within SpamAssassin This will cause addresses from which you # get real mail, to be marked so that it will never incorrectly spamtag # messages from those addresses # To disable whitelisting, you must set "use_auto_whitelist 0" in your # spam.assassin.prefs.conf file as well as set this to no SpamAssassin Auto Whitelist = yes # If SpamAssassin takes longer than this (in seconds), the check is # abandoned and the timeout noted SpamAssassin Timeout = 75 # If SpamAssassin times out more times in a row than this, then it will be # marked as "unavailable" until MailScanner next re-starts itself # This means that remote network failures causing SpamAssassin trouble will # not mean your mail stops flowing Max SpamAssassin Timeouts = 10 # The total number of SpamAssassin attempts during which "Max SpamAssassin # Timeouts" will cause SpamAssassin to be marked as "unavailable" # See the previous comment for more information # The default values of 10 and 20 mean that 10 timeouts in any sequence of # 20 attempts will trigger the behaviour described above, until the next # periodic restart (see "Restart Every") SpamAssassin Timeouts History = 30 # If the message sender is on any of the Spam Lists, you still want # to the SpamAssassin checks? Setting this to "no" will reduce the load # on your server, but will stop the High Scoring Spam Actions from ever # happening # This can also be the filename of a ruleset Check SpamAssassin If On Spam List = yes # Do you want to include the "Spam Score" header This shows character # (Spam Score Character) for every point of the SpamAssassin score This # makes it very easy for users to be able to filter their mail using # whatever SpamAssassin threshold they want For example, they just look # for "sssss" for every message whose score is > 5, for example # This can also be the filename of a ruleset Spam Score = yes Trang 146 # If you are using the Bayesian statistics engine on a busy server, # you may well need to force a Bayesian database rebuild and expiry # at regular intervals This is measures in seconds # day = 86400 seconds # To disable this feature set this to Rebuild Bayes Every = 86400 # The Bayesian database rebuild and expiry may take a or minutes # to complete During this time you can either wait, or simply # disable SpamAssassin checks until it has completed Wait During Bayes Rebuild = no # # Custom Spam Scanner Plugin # -# # Use the Custom Spam Scanner This is code you will have to write yourself, # a function called "GenericSpamScanner" stored in the file # MailScanner/lib/MailScanner/CustomFunctions/GenericSpamScanner.pm # It will be passed # $IP - the numeric IP address of the system on the remote end # of the SMTP connections # $From - the address of the envelope sender of the message # $To - a perl reference to the envelope recipients of the message # $Message - a perl reference to the list of line of the message # A sample function is given in the correct file in the distribution # This sample function also includes code to show you how to make it run # an external program to produce a spam score # This can also be the filename of a ruleset Use Custom Spam Scanner = no # How much of the message should be passed tot he Custom Spam Scanner # Most spam tools only need the first 20kbytes of the message to determine # if it is spam or not Passing more than is necessary only slows things # down # This can also be the filename of a ruleset Max Custom Spam Scanner Size = 20000 # How long should the custom spam scanner take to run? If it takes more # seconds than this, then it should be considered to have crashed and # should be killed This stops denial-of-service attacks Custom Spam Scanner Timeout = 20 # If the Custom Spam Scanner times out more times in a row than this, # then it will be marked as "unavailable" until MailScanner next re# starts itself Max Custom Spam Scanner Timeouts = 10 # The total number of Custom Spam Scanner attempts during which "Max # Custom Spam Scanner Timeouts" will cause the Custom Spam Scanner to Trang 147 # be marked as "unavailable" See the previous comment for more information # The default values of 10 and 20 mean that 10 timeouts in any sequence of # 20 attempts will trigger the behaviour described above, until the next # periodic restart (see "Restart Every") Custom Spam Scanner Timeout History = 20 # # What to with spam # -# # This is a list of actions to take when a message is spam # It can be any combination of the following: # deliver - deliver the message as normal # delete - delete the message # store - store the message in the quarantine # bounce - send a rejection message back to the sender # forward user@domain.com - forward a copy of the message to user@domain.com # striphtml - convert all in-line HTML content to plain text # You need to specify "deliver" as well for the # message to reach the original recipient # attachment - Convert the original message into an attachment # of the message This means the user has to take # an extra step to open the spam, and stops "web # bugs" very effectively # notify - Send the recipients a short notification that # spam addressed to them was not delivered They # can then take action to request retrieval of # the original message if they think it was not # spam # header "name: value" - Add the header # name: value # to the message name must not contain any spaces # # This can also be the filename of a ruleset, in which case the filename # must end in ".rule" or ".rules" #Spam Actions = store forward anonymous@ecs.soton.ac.uk #Spam Actions = deliver Spam Actions = deliver forward spam-report@maila.cesti.gov.vn Trang 148 # This is just like the "Spam Actions" option above, except that it applies # when the score from SpamAssassin is higher than the "High SpamAssassin Score" # value # deliver - deliver the message as normal # delete - delete the message # store - store the message in the quarantine # forward user@domain.com - forward a copy of the message to user@domain.com # striphtml - convert all in-line HTML content to plain text # You need to specify "deliver" as well for the # message to reach the original recipient # attachment - Convert the original message into an attachment # of the message This means the user has to take # an extra step to open the spam, and stops "web # bugs" very effectively # notify - Send the recipients a short notification that # spam addressed to them was not delivered They # can then take action to request retrieval of # the original message if they think it was not # spam # header "name: value" - Add the header # name: value # to the message name must not contain any spaces # # This can also be the filename of a ruleset, in which case the filename # must end in ".rule" or ".rules" #High Scoring Spam Actions = deliver fordward spamreport@maila.cesti.gov.vn High Scoring Spam Actions = notify fordward spamreport@maila.cesti.gov.vn # This is just like the "Spam Actions" option above, except that it applies # to messages that are *NOT* spam # deliver - deliver the message as normal # delete - delete the message # store - store the message in the quarantine # forward user@domain.com - forward a copy of the message to user@domain.com # striphtml - convert all in-line HTML content to plain text # header "name: value" - Add the header # name: value Trang 149 # to the message name must not contain any spaces # # This can also be the filename of a ruleset, in which case the filename # must end in ".rule" or ".rules" Non Spam Actions = deliver # There are reports: # Sender Spam Report - sent when a message triggers both a Spam # List and SpamAssassin, # Sender Spam List Report - sent when a message triggers a Spam List, # Sender SpamAssassin Report - sent when a message triggers SpamAssassin # # These can also be the filenames of rulesets Sender Spam Report = %report-dir%/sender.spam.report.txt Sender Spam List Report = %report-dir%/sender.spam.rbl.report.txt Sender SpamAssassin Report = %report-dir%/sender.spam.sa.report.txt # If you use the 'attachment' Spam Action or High Scoring Spam Action # then this is the location of inline spam report that is inserted at # the top of the message Inline Spam Warning = %report-dir%/inline.spam.warning.txt # If you use the 'notify' Spam Action or High Scoring Spam Action then # this is the location of the notification message that is sent to the # original recipients of the message Recipient Spam Report = %report-dir%/recipient.spam.report.txt # You can use this ruleset to enable the "bounce" Spam Action # You must *only* enable this for mail from sites with which you have # agreed to bounce possible spam Use it on low-scoring spam only ( 12 # %5.2f ==> 12.34 # %05.1f ==> 012.3 # This can also be the filename of a ruleset Spam Score Number Format = %d # This is the version number of the MailScanner distribution that created # this configuration file Please not change this value MailScanner Version Number = 4.49.7 # Set Debug to "yes" to stop it running as a daemon and just process # one batch of messages and then exit Debug = no # Do you want to debug SpamAssassin from within MailScanner? Debug SpamAssassin = no # Set Run In Foreground to "yes" if you want MailScanner to operate # normally in foreground (and not as a background daemon) # Use this if you are controlling the execution of MailScanner # with a tool like DJB's 'supervise' (see http://cr.yp.to/daemontools.html) Run In Foreground = no # If you are using an LDAP server to read the configuration, these # are the details required for the LDAP connection The connection # is anonymous #LDAP Server = localhost #LDAP Base = o=fsl #LDAP Site = default # This option is intended for people who want to log more information # about messages than what is put in syslog It is intended to be used # with a Custom Function which has the side-effect of logging information, # perhaps to an SQL database, or any other processing you want to # after each message is processed # Its value is completely ignored, it is purely there to have side # effects # If you want to use it, read CustomConfig.pm Always Looked Up Last = no # When attempting delivery of outgoing messages, should we it in the # background or wait for it to complete? The danger of doing it in the # background is that the machine load goes ever upwards while all the # slow sendmail processes run to completion However, running it in the # foreground may cause the mail server to run too slowly Deliver In Background = yes Trang 155 # Attempt immediate delivery of messages, or just place them in the outgoing # queue for the MTA to deliver when it wants to? # batch attempt delivery of messages, in batches of up to 20 at once # queue just place them in the queue and let the MTA find them # This can also be the filename of a ruleset For example, you could use a # ruleset here so that messages coming to you are immediately delivered, # while messages going to any other site are just placed in the queue in # case the remote delivery is very slow Delivery Method = batch # Are you using Exim with split spool directories? If you don't understand # this, the answer is probably "no" Refer to the Exim documentation for # more information about split spool directories Split Exim Spool = no # Where to put the virus scanning engine lock files # These lock files are used between MailScanner and the virus signature # "autoupdate" scripts, to ensure that they aren't both working at the # same time (which could cause MailScanner to let a virus through) Lockfile Dir = /tmp # Where to put the code for your "Custom Functions" No code in this # directory should be over-written by the installation or upgrade process # All files starting with "." or ending with ".rpmnew" will be ignored, # all other files will be compiled and may be used with Custom Functions Custom Functions Dir = /usr/lib/MailScanner/MailScanner/CustomFunctions # How to lock spool files # Don't set this unless you *know* you need to # For sendmail, it defaults to "flock" # For sendmail 8.13 onwards, you will probably need to change it to posix # For Exim, it defaults to "posix" # No other type is implemented Lock Type = # Minimum acceptable code stability status if we come across code # that's not at least as stable as this, we barf # This is currently only used to check that you don't end up using untested # virus scanner support code without realising it # Levels used are: # none - there may not even be any code Trang 156 # unsupported - code may be completely untested, a contributed dirty hack, # anything, really # alpha - code is pretty well untested Don't assume it will work # beta - code is tested a bit It should work # supported - code *should* be reliable # # Don't even *think* about setting this to anything other than "beta" or # "supported" on a system that receives real mail until you have tested it # yourself and are happy that it is all working as you expect it to # Don't set it to anything other than "supported" on a system that could # ever receive important mail # # READ and UNDERSTAND the above text BEFORE changing this # Minimum Code Status = supported Phần mềm Freeradius Tệp cấu hình : /work/etc/raddb/radiusd.conf ldap { server = ldap1.cesti.gov.vn identity = "cn=manager,o=cesti" password = secret basedn="ou=network,ou=services,dc=cesti.gov.vn,o=cesti" filter = "(cn=%{Stripped-User-Name:-%{User-Name}})" access_attr = "dialupAccess" ldap_connections_number = password_attribute = userPassword timeout = timelimit = net_timeout = } ippool main_pool { range-start = 172.30.5.50 range-stop = 172.30.5.254 netmask = 255.255.255.0 } authentication { Trang 157 Auth-Type LDAP { ldap } authorize { preprocess auth_log ldap } Tệp cấu hình /etc/raddb/clients.conf client 172.30.5.4 { secret = test shortname = ras1 nastype = cisco } client 172.30.0.0/16 { secret = test shortname = lan nastype = other } Trang 158