Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 33 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
33
Dung lượng
1,29 MB
Nội dung
NFS & NIS GVHD: Nguyễn Tấn Khôi Lời nói đầu Đề Tài 13: _ A NFS-NETWORK FILE SYSTEM I Giới Thiệu Sơ Lược Về NFS II Setup NFS Server _ Danh sách file cấu hình, dịch vụ, file script câu lệnh NFS server a b /etc/exports _ /Etc / hosts.allow / etc / hosts.deny Khởi động dịch vụ có liên quan a b Khởi động portmapper Các tiến trình ngầm: Xác minh dịch vụ NFS chạy _ Cập nhật thay đổi cho /etc/exports _ III Minh Họa Việc Cấu Hình NFS: _ Thiết lập server: Thiết lập client 11 IV Bảo Mật 11 Tổng quan 11 The Portmapper-quản lý kết nối 11 Server security: nfsd and mountd _ 12 Client security _ 13 a b Tùy chọn gắn kết “nosuid” – the nosuid mount option _13 Tùy chọn gắn kết “broken_suid” – the broken_suid mount option 14 NFS tường lửa 14 Truyền đa giao thức NFS thông qua SSH 16 Tóm tắt 17 B NIS-NETWORK INFORMATION SERVICE _ 18 I Giới Thiệu Sơ Lược Về NIS _ 18 II Cấu Hình NIS 18 Cấu hình NIS server: _ 19 a b c d e Cài đặt gói dịch vụ 19 Thay đổi file /etc/sysconfig/network _19 Thay đổi file /etc/yp.conf 19 Khởi động dịch vụ NIS server liên quan _19 Khởi tạo NIS domain _20 Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page NFS & NIS f g GVHD: Nguyễn Tấn Khôi Khởi động dịch vụ ypbind ypxfrd 22 Kiểm tra lại xem dịch vụ chạy ổn chưa 22 Thêm người dùng NIS 23 Cấu hình NIS client 24 a b c d a Chạy authconfig _24 Khởi động dịch vụ ngầm liên quan tới NIS client 24 Kiểm tra việc phân giải tên miền 24 Kiểm tra việc truy cập tới NIS server _25 Thử đăng nhập vào NIS server 25 i Đăng nhập thông qua Telnet _25 ii Đăng nhập thông qua SSH _26 iệ Cấu Hình NIS _ 27 III Minh Họ IV Bảo Mật 32 Phụ Lục: _ 33 Một số khái niệm: 33 Tài liệu tham khảo: _ 33 Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page NFS & NIS GVHD: Nguyễn Tấn Khôi Lời nói đầu Hiện hệ điều hành Linux ngày ứng dụng nhiều ngành khoa học phục vụ sống thường ngày, từ ứng dụng hệ thống chuyên biệt phục vụ y tế, quân đội tới phục vụ hệ thống giáo dục ứng dụng văn phòng cho người dùng cuối… Trong năm gần hệ điều hành Linux bước đưa vào sử dụng Việt Nam Nhiều tổ chức, công ty dự án tin học chọn Linux môi trường để phát triển ứng dụng Chính nhu cầu tìm hiểu hệ điều hành trở nên quan trọng cần thiết Đề tài đề cập tới ứng dụng nhỏ việc khai thác dịch vụ quản trị mạng hệ điều hành linux Network File System (NFS) Network Information Service (NIS) Tài liệu linux nhiều nhiên tài liệu chuyên sâu mảng đa số vẩn tiếng Anh nữa: Linux có nhiều phân phối ( 30 phân phối tính đến tháng 4/2011 ), trình thực đồ án, chúng em gặp không khó khăn tham khảo tài liệu với nhiều từ chuyên ngành, có sai khác bước thiết lập phân phối Từ thực tế chắn đề tài không tránh khỏi nhiều thiếu sót chưa xác Rất mong nhận đóng góp ý kiến thầy Nhóm chúng em chân thành cảm ơn hướng dẫn thầy Nguyễn Tấn Khôi bạn thành viên diễn đàn linux giúp đỡ chúng em hoàn thành đề tài Kontum,ngày 30, tháng 05, năm 2011 Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page NFS & NIS GVHD: Nguyễn Tấn Khôi Đề Tài 13: Tìm hiểu khai thác dịch vụ quản trị mạng NIS, NFS hệ điều hành Linux: Giới thiệu chức Các thư viện hỗ trợ cách biên dịch cài đặt từ mã nguồn Các dịch vụ/tools liên quan file cấu hình Triển khai dịch vụ máy server client Minh họa kết cụ thể Cơ chế an toàn bảo mật cho dịch vụ Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page Network File System GVHD: Nguyễn Tấn Khôi A NFS-NETWORK FILE SYSTEM I Giới Thiệu Sơ Lược Về NFS NFS (Network File System) hệ thống cung cấp dịch vụ chia sẻ file phổ biến hệ thống mạng Linux Unix NFS phát triển phép máy tính gắn kết tới phân vùng đĩa máy từ xa giống đĩa cục (local disk.)vậy cho phép việc truyền tải file qua mạng nhanh trơn tru Nó tạo khả tìm tàng cho người mà bạn không mong muốn truy cập ổ cứng bạn qua mạng (theo cách họ đọc email, xóa file làm sập hệ thống bạn) bạn cài đặt không xác NFSử dụng hệ thống mô hình client/server Trên server có ổ đĩa vật lý chứa file hệ thống chia sẻ số dịch vụ chạy ngầm hệ thống (daemon) phục vụ cho việc chia sẻ với client (gọi trình export) Ngoài dịch vụ chạy server cung cấp chức bảo mật file quản lý lưu lượng sử dụng (file system quota) Các client muốn sử dụng file system chia sẻ Server đơn giản dùng giao thức NFS để mount (gắn kết) file system lên hệ thống Hệ thống chia sẻ file NFS sử dụng với nhiều chức khác Ví dụ thay mổi hệ thống client/server bạn phải có phân vùng /home/username người dùng cần lưu trữ thư mục máy chủ trung tâm (NFS server), sau dùng giao thức NFS để mount thư mục /home/username tương ứng người dùng họ đăng nhập hệ thống Có vài khác biệt phiên NFS,3NFS,4NFS Bạn cần NFS cài đặt hệ thống lớn hay hệ thống chuyên biệt đấy, NFS NFS thích hợp cho người dùng ngẫu nhiên, nhỏ lẻ NFS (Network File System) hệ thống phát triển để gán phân vùng đĩa máy từ xa thể máy local Cho phép chia sẻ file nhanh tập trung mạng Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page Network File System II GVHD: Nguyễn Tấn Khôi Setup NFS Server Thiết lập máy chủ thực theo hai bước: Thiết lập tập tin cấu hình cho NFS, sau khởi động dịch vụ NFS Danh sách file cấu hình, dịch vụ, file script câu lệnh NFS server Các file cấu hình NFS Server /etc/exports /var/lib/nfs/rmtab /var/lib/nfs/xtab /etc/host.allow /etc/host.deny ác dịch vụ NFS Server rpc.portmap rpc.mountd rpc.nfsd rpc.statd rpc.rquotad rpc.rquotad ác file script câu lệnh /etc/rc.d/init.d/nfs nfstat showmount rpcinfo exportfs Có ba tập tin cấu hình chính, bạn cần phải chỉnh sửa để thiết lập máy chủ NFS: /etc/exports , /etc/hosts.allow /etc/hosts.deny Nội dung file cấu hình: a /etc/exports Các dòng text file cấu hình /etc/exports có cú pháp sau : dir host1(options) host2(options) hostN(options) … Trong : dir : thư mục file system muốn chia sẻ host : nhiều host cho phép mount dir định nghĩa tên, nhóm sử dụng ký tự , * nhóm sử dụng dải địa mạng/subnetmask options : định nghĩa nhiều options mount Cụ thể: ro: thư mục chia sẻ đọc được; client ghi lên rw: client đọc ghi thư mục no_root_squash: mặc định, file truy vấn tạo người chủ (root) máy trạm xử lý tương tự tạo user nobody (các file tạo hệ thống mà ko người dùng can thiệp-tài khoản vô danh) máy chủ (truy vấn ánh xạ phụ thuộc vào UID user nobody server client) Nếu no_root_squash chọn, người quản trị cao cấp client có mức truy cập đến file hệ thống giống quản trị cao cấp server Điều kéo theo nhiều vấn đề an ninh nghiêm trọng, cần thiết bạn muốn thực công việc quản trị client-công việc đòi hỏi thư mục phải chia sẻ Bạn không nên định lựa chọn lý rõ ràng no_subtree_check: phần ổ đĩa chia sẻ, đoạn chương trình gọi “thẩm tra lại việc kiểm tra con” yêu cầu từ phía client (nó file n m phân vùng chia sẻ) Nếu toàn ổ đĩa chia sẻ, việc vô hiệu hóa kiểm tra tăng tốc độ truyền tải Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page Network File System GVHD: Nguyễn Tấn Khôi sync: thông báo cho client biết file ghi xong- tức ghi để lưu trữ an toàn-khi mà NFS hoàn thành việc kiểm soát ghi lên file hệ thống cách xử lí nguyên nhân làm sai lệch liệu server khởi động lại Ví dụ file cấu hình mẫu /etc/exports : /usr/local *.ipmac.vn(ro) /home 192.168.1.0/255.255.255.0(rw) /var/tmp 192.168.1.1(rw) Dòng thứ : cho phép tất host với tên miền định dạng “somehost”.ipmac.vn mount thư mục /usr/local với quyền đọc Dòng thứ hai : cho phép host có địa IP thuộc subnet 192.168.1.0/24 mount thư mục /home với quyền đọc ghi Dòng thứ ba : cho phép host có địa IP 192.168.1.1 mount thư mục /var/tmp với quyền đọc ghi b /Etc / hosts.allow / etc / hosts.deny Hai tập tin đặc biệt giúp xác định máy tính mạng sử dụng dịch vụ máy bạn Mỗi dòng nội dung file chứa danh sách gồm dịch vụ nhóm máy tính Khi server nhận yêu cầu từ client, công việc sau thực thi: Kiểm tra file host.allow – client phù hợp với quy tắc liệt kê có quyền truy cập Nếu client không phù hợp với mục host.allow server chuyển sang kiểm tra host.deny để xem thử client có phù hợp với quy tắc liệt kê hay không (host.deny) Nếu phù hợp client bị từ chối truy cập Nếu client phù hợp với quy tắc không liệt kê file quyền truy cập Khởi động dịch vụ có liên quan Để sử dụng dịch vụ NFS, cần có daemon (dịch vụ chạy ngầm hệ thống) sau: Portmap: Quản lý kết nối, sử dụng chế RPC (Remote Procedure Call), dịch vụ chạy server client NFS: Khởi động tiến trình RPC yêu cầu để phục vụ cho chia sẻ file, dịch vụ chạy server NFS lock: Sử dụng cho client khóa file NFS server thông qua PRC Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page Network File System GVHD: Nguyễn Tấn Khôi a Khởi động portmapper NFS phụ thuộc vào tiến trình ngầm quản lý kết nối (portmap rpc.portmap), chúng cần phải khởi động trước Nó nên đặt /sbin /usr/sbin Hầu hết phân phối linux gần khởi động dịch vụ „kịch khởi động‟ (boot scripts –tự khởi động server khởi động) vẩn phải đảm bảo khởi động trước bạn làm việc với NFS (chỉ cần gõ lệnh netstat -anp |grep portmap để kiểm tra) b ác tiến trình ngầm: Dịch vụ NFS hỗ trợ tiến trình ngầm: rpc.nfsd- thực hầu hết công việc rpc.lockd and rpc.statd-quản lý việc khóa file rpc.mountd-quản lý yêu cầu gắn kết lúc ban đầu rpc.rquotad-quản lý hạn mức truy cập file người sử dụng server truy xuất lockd gọi theo yêu cầu nfsd Vì bạn không cần quan tâm tới việc khởi động statd cần phải khởi động riêng Tuy nhiên phân phối linux gần có kịch khởi động cho tiến trình Tất tiến trình n m gói nfs-utils, lưu giữ /sbin /usr/sbin Nếu phân phối bạn không tích hợp chúng kịch khởi động, bạn nên tự thêm chúng vào, cấu hình theo thứ tự sau đây: rpc.portmap rpc.mountd, rpc.nfsd rpc.statd, rpc.lockd (nếu cần thiết) rpc.rquotad Xác minh dịch vụ NFS chạy Để làm điều này, ta truy vấn portmapper với lệnh rpcinfo quota để tìm dịch vụ cung cấp, bạn nhận kết tương tự sau: Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page Network File System GVHD: Nguyễn Tấn Khôi program vers proto port 100000 tcp 111 portmapper 100000 udp 111 portmapper 100011 udp 749 rquotad 100011 udp 749 rquotad 100005 udp 759 mountd 100005 tcp 761 mountd 100005 udp 764 mountd 100005 tcp 766 mountd 100005 udp 769 mountd 100005 tcp 771 mountd 100003 udp 2049 nfs 100003 udp 2049 nfs 300019 tcp 830 amd 300019 udp 831 amd 100024 udp 944 status 100024 tcp 946 status 100021 udp 1042 nlockmgr 100021 udp 1042 nlockmgr 100021 udp 1042 nlockmgr 100021 tcp 1629 nlockmgr 100021 tcp 1629 nlockmgr 100021 tcp 1629 nlockmgr Cập nhật thay đổi cho /etc/exports Nếu bạn thay đổi /etc/exports, thay đổi chưa có hiệu lực lập tức, bạn phải thực thi lệnh exportfs để bắt nfst cập nhật lại nội dung file /etx/exports Nếu bạn không tìm thấy lệnh exportfs bạn kết thúc nfsd với lệnh HUD Nếu việc không hoạt động, đừng quên kiểm tra lại hosts.allow để đảm bảo r ng bạn không quên việc khai báo danh sách máy Ngoài nên kiểm tra danh sách máy chủ hệ thống tường lửa mà bạn thiết lập inh Họa Việc ấu Hình NFS: III Mô hình máy để thực việc cấu hình Thiết lập server: Việc tạo thư mục dùng để chia sẻ máy NFS server thư mục “nfsdir” Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page Network File System GVHD: Nguyễn Tấn Khôi Chỉnh sửa file /etc/exports phép gắn kết NFS thư mục với quyền truy cập dùng lệnh vi /etc/exports VD: (ro)=read –only (rw)=read+write Cập nhật ghi file /etc/exports ta dùng lệnh exportfs Kiểm tra xem dịch vụ NFS ,NFSlock, daemon portmap hoạt động tự khởi động mổi server khởi động lại hay không Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page 10 Network Information Service GVHD: Nguyễn Tấn Khôi Cấu hình NIS server: Thao tác cấu hình NIS server không khó lại trải qua nhiều bước (nhưng chúng bỏ qua) a Cài đặt gói dịch vụ Tải biên dịch gói ypserv package, sau cài đặt b Thay đổi file /etc/sysconfig/network Bạn phải thêm NIS domain mà bạn muốn dùng vào cuối file trên, ví dụ domain NIS-SCHOOLNETWORK #/etc/sysconfig/network NISDOMAIN="NIS-SCHOOL-NETWORK" c Thay đổi file /etc/yp.conf NIS server phải đồng thời NIS client, bạn phải điều chỉnh lại nội dung file config NIS client /etc/yp.conf , thêm vào localhost # /etc/yp.conf - ypbind configuration file ypserver 127.0.0.1 d Khởi động dịch vụ NIS server liên quan Khởi động dịch vụ NIS cần thiết /etc/init.d dùng lệnh chkconfig để r ng chúng tự khởi động với máy tính [root@bigboy tmp]# service portmap start Starting portmapper: [ OK ] [root@bigboy tmp]# service yppasswdd start Starting YP passwd service: [ OK ] [root@bigboy tmp]# service ypserv start Setting NIS domain name NIS-SCHOOL-NETWORK: [ OK ] Starting YP server services: [ OK ] [root@bigboy tmp]# [root@bigboy tmp]# chkconfig portmap on [root@bigboy tmp]# chkconfig yppasswdd on [root@bigboy tmp]# chkconfig ypserv on Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page 19 Network Information Service GVHD: Nguyễn Tấn Khôi Các dịch vụ cần có NIS server Để kiểm tra trạng thái dịch vụ bảng trước chuyển qua bước tiếp theo, bạn dùng lệnh rpcinfo [root@bigboy tmp]# rpcinfo -p localhost program vers proto port 100000 tcp 111 portmapper 100000 udp 111 portmapper 100009 udp 681 yppasswdd 100004 udp 698 ypserv 100004 udp 698 ypserv 100004 tcp 701 ypserv 100004 tcp 701 ypserv [root@bigboy tmp]# Hai dịch vụ ypbind ypxfrd không khởi động xác bạn khởi tạo NIS domain Bạn khởi động chúng sau hoàn tất việc khởi tạo e Khởi tạo NIS domain Bây bạn định tên NIS domain, bạn phải dùng lệnh ypinit dể tạo tập tin xác thực liên quan cho tên miền bạn nhắc nhập tên máy chủ NIS, mà trường hợp bigboy Với thủ thuật này, tài khoản nonprivileged (không có đặc quyền) tự động truy cập thông qua NIS [root@bigboy tmp]# /usr/lib/yp/ypinit -m At this point, we have to construct a list of the hosts which will run NIS servers bigboy is in the list of NIS server hosts Please continue to add the names for the other hosts, one per line When you are done with the list, type a next host to add: bigboy Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page 20 Network Information Service GVHD: Nguyễn Tấn Khôi next host to add: The current list of NIS servers looks like this: bigboy Is this correct? [y/n: y] y We need a few minutes to build the databases Building /var/yp/NIS-SCHOOL-NETWORK/ypservers Running /var/yp/Makefile gmake[1]: Entering directory `/var/yp/NIS-SCHOOL-NETWORK' Updating passwd.byname Updating passwd.byuid Updating group.byname Updating group.bygid Updating hosts.byname Updating hosts.byaddr Updating rpc.byname Updating rpc.bynumber Updating services.byname Updating services.byservicename Updating netid.byname Updating protocols.bynumber Updating protocols.byname Updating mail.aliases gmake[1]: Leaving directory `/var/yp/NIS-SCHOOL-NETWORK' bigboy has been set up as a NIS master server Now you can run ypinit -s bigboy on all slave server [root@bigboy tmp]# Chú ý: bạn phải đảm bảo portmap chạy trước thực bước này, không nhận thông báo lổi dạng như: failed to send 'clear' to local ypserv: RPC: Port mapper failureUpdating group.bygid Bạn phải xóa thư mục /var/yp/NIS-SCHOOL-NETWORK khởi động lại portmap, yppasswd, ypserv trước thử làm lại bước Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page 21 Network Information Service f GVHD: Nguyễn Tấn Khôi Khởi động dịch vụ ypbind ypxfrd Bây khởi động dịch vụ NIS domain khởi tạo [root@bigboy tmp]# service ypbind start Binding to the NIS domain: [ OK ] Listening for an NIS domain server [root@bigboy tmp]# service ypxfrd start Starting YP map server: [ OK ] [root@bigboy tmp]# chkconfig ypbind on [root@bigboy tmp]# chkconfig ypxfrd on g Kiểm tra lại xem dịch vụ chạy ổn chưa [root@bigboy tmp]# rpcinfo -p localhost program vers proto port 100000 tcp 111 portmapper 100000 udp 100003 udp 2049 nfs 100003 udp 2049 nfs 100021 udp 1024 nlockmgr 100021 udp 1024 nlockmgr 100021 udp 1024 nlockmgr 100004 udp 784 ypserv 100004 udp 784 ypserv 100004 tcp 787 ypserv 100004 tcp 787 ypserv 100009 udp 111 portmapper 798 yppasswdd 600100069 udp 600100069 tcp 850 fypxfrd 852 fypxfrd 100007 udp 924 ypbind 100007 udp 924 ypbind 100007 tcp 927 ypbind 100007 tcp 927 ypbind [root@bigboy tmp]# Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page 22 Network Information Service GVHD: Nguyễn Tấn Khôi Thêm người dùng NIS Có thể đăng nhập vào NIS server để tao tài khoản người dùng bạn cấp kèm mật cho NIS user Khi hoàn thành, bạn phải dùng lệnh make để cập nhật lại tập tin xác thực /var/yp Thủ tục kích hoạt tất NIS, tài khoản nonprivileged tự động truy cập thông qua NIS Đồng thời chia sẻ thông tin đặc tính người dùng lưu trữ file /etc/passwd /etc/group (ví dụ thông tin login shell, nhóm người dùng, thư mục chính…) [root@bigboy tmp]# useradd -g users nisuser [root@bigboy tmp]# passwd nisuser Changing password for user nisuser New password: Retype new password: passwd: all authentication tokens updated successfully [root@bigboy tmp]# cd /var/yp [root@bigboy yp]# make gmake[1]: Entering directory `/var/yp/NIS-SCHOOL-NETWORK' Updating passwd.byname Updating passwd.byuid Updating netid.byname gmake[1]: Leaving directory `/var/yp/NIS-SCHOOL-NETWORK' [root@bigboy yp]# Bạn kiểm tra xem thông tin chứng thực cập nhật hay chưa b ng lệnh ypmatch, kết trả chuỗi mật mã hóa người dùng [root@bigboy yp]# ypmatch nisuser passwd nisuser:$1$d6E2i79Q$wp3Eo0Qw9nFD/::504:100::/home/nisuser:/bin/bash [root@bigboy yp] Ta dùng lệnh getent có cú pháp tương tự, nhiên khác ypmatch, không đưa chuỗi mật mã hóa chạy lệnh máy chủ, mà nơi chứa file passwd Trên máy client kết trả giống lệnh ypmatch [root@bigboy yp]# getent passwd nisuser nisuser:x:504:100::/home/nisuser:/bin/bash [root@bigboy yp]# Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page 23 Network Information Service GVHD: Nguyễn Tấn Khôi Cấu hình NIS client a Chạy authconfig Authconfig authconfig-tui chương trình tự động thiết lập file NIS [root@smallfry tmp]# authconfig-tui Khi hoàn thành, tạo file /etc/yp.conf, file định nghĩa số thứ khác, địa IP NIS server cho tên miền cụ thể Nó thay đổi file /etc/sysconfig/network để định nghĩa NIS domain mà NIS client phụ thuộc # /etc/yp.conf - ypbind configuration file domain NIS-SCHOOL-NETWORK server 192.168.1.100 #/etc/sysconfig/network NISDOMAIN=NIS-SCHOOL-NETWORK b Khởi động dịch vụ ngầm liên quan tới NIS client Khởi động dịch vụ ypbind client portmap thư mục /etc/init.d dùng lệnh chkconfig để khiến chúng tự khởi động sau mổi lần máy tính khởi động lại [root@smallfry tmp]# service portmap start Starting portmapper: [ OK ] [root@smallfry tmp]# service ypbind start Binding to the NIS domain: Listening for an NIS domain server [root@smallfry tmp]# [root@smallfry tmp]# chkconfig ypbind on [root@smallfry tmp]# chkconfig portmap on c Kiểm tra việc phân giải tên miền Bạn phải kiểm tra xem việc phân giải tên miền có với địa IP hay không # File: /etc/hosts (smallfry) #192.168.1.100 bigboy # File: /etc/hosts (bigboy) #192.168.1.102 smallfry Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page 24 Network Information Service GVHD: Nguyễn Tấn Khôi d Kiểm tra việc truy cập tới NIS server Bạn dùng lện ypcat, ypmatch,getent để chắn r ng trình giao tiếp với máy chủ diễn xác [root@smallfry tmp]# ypcat passwd nisuser:$1$Cs2GMe6r$1hohkyG7ALrDLjH1:505:100::/home/nisuser:/bin/bash quotauser:!!:503:100::/home/quotauser:/bin/bash ftpinstall:$1$8WjAVtes$SnRh9S1w07sYkFNJwpRKa.:502:100::/:/bin/bash www:$1$DDCi/OPI$hwiTQ.L0XqYJUk09Bw.pJ/:504:100::/home/www:/bin/bash smallfry:$1$qHni9dnR$iKDs7gfyt BS9Lry3DAq.:501:100::/:/bin/bash [root@smallfry tmp]# [root@smallfry tmp]# ypmatch nisuser passwd nisuser:$1$d6E2i79Q$wp3Eo0Qw9nFD/:504:100::/home/nisuser:/bin/bash [root@smallfry tmp]# [root@smallfry tmp]# getent passwd nisuser nisuser:$1$d6E2i79Q$wp3Eo0Qw9nFD/:504:100::/home/nisuser:/bin/bash [root@smallfry tmp]# Các nguyên nhân phát sinh lổi là: Thiết lập sai authconfig /etc/yp.conf , /etc/sysconfig/network /etc/nsswitch.conf Không chạy lệnh ypinit trêm NIS server NIS không khởi động NIS server client Việc định tuyến server client bị lổi, tường lửa chặn việc lưu thông mạng a Thử đăng nhập vào NIS server Sau bước thiết lập NIS server, thêm người dùng cấu hình NIS client, ta thử đăng nhập vào NIS server từ client Nếu việc đăng nhập thất bại nguyên nhân chính: tường lửa chặn việc truy cập thông qua SSH TELNET dịch vụ chưa khởi động máy client i Đăng nhập thông qua Telnet [root@bigboy tmp]# telnet 192.168.1.201 Trying 192.168.1.201 Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page 25 Network Information Service GVHD: Nguyễn Tấn Khôi Connected to 192.168.1.201 Escape character is '^]' Red Hat Linux release (Shrike) Kernel 2.4.20-6 on an i686 login: nisuser Password: Last login: Sun Nov 16 22:03:51 from 192-168-1-100.simiya.com [nisuser@smallfry nisuser]$ ii Đăng nhập thông qua SSH [root@bigboy tmp]# ssh -l nisuser 192.168.1.102 nisuser@192.168.1.102's password: [nisuser@smallfry nisuser]$ Trong vài phiên linux, dịch vụ SSH máy client không tự động cập nhật lại nội dung file /etc/nsswitch.conf mà bạn thay đổi SSH khởi động lại lí nên ta không truy vấn đến NIS server được, trừ khởi động lại SSH máy client [root@smallfry root]# service sshd restart Stopping sshd:[ OK ] Starting sshd:[ OK ] [root@smallfry root]# Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page 26 Network Information Service III GVHD: Nguyễn Tấn Khôi Minh Họa Việc Cấu Hình NIS Cấu hình máy dùng CentOS: máy server, máy client Trên máy cài gói ypserv-2.19-3.rmp Khai báo NIS domain: mở file sau Thêm dòng sau vào cuối file Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page 27 Network Information Service GVHD: Nguyễn Tấn Khôi Khai báo NIS DOMAIN b ng cách mở file cấu hình sau: Thêm dòng sau vào cuối file: khai báo NISdomain máy b ng IP lookback: Sau dùng lệnh sau để xem port đăng ký Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page 28 Network Information Service GVHD: Nguyễn Tấn Khôi Sau cần cập nhật CSDL cho nis server b ng lệnh sau: Ở bạn add user vào Hoặc add user sau Ở add user sau b ng cách nhấn phím "Ctrl +D " Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page 29 Network Information Service máy báo cài đặt thành công NIS domain để xem CSLD NIS server vừa update xong ta gõ lệnh sau: Phan Xuân Phước Thịnh-Phan Thị Bích Thủy GVHD: Nguyễn Tấn Khôi Page 30 Network Information Service GVHD: Nguyễn Tấn Khôi Start NIS client: Tạo user client login vào NIS server import user vào NIS domain Import user vào NIS domain Xem, kiểm tra user có NIS domain chưa Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page 31 Network Information Service GVHD: Nguyễn Tấn Khôi Lưu ý : bạn tạo user b ng lệnh useradd user n m local để thuộc NIS domain bạn cần import user vào IV Bảo Mật Cách thông thường để thay đổi mật NIS chạy lệnh yppasswd NIS client Lệnh sử dụng giao thức yppasswd cần tiến trình rpc.yppasswdd chạy máy NIS server Giao thức có điểm bất lợi, mật cũ gởi dạng văn thuần-clear text (không mã hóa) mạng Điều đáng bàn việc thay đổi mật thành công, trường hợp mật cũ ghi đ mật trường hợp việc thay đổi mật thất bại chừng, kẻ công bắt – sử dụng mật không mã hóa để đăng nhập mạng Tồi tệ hơn: người quản lý hệ thống thay đổi mật NIS cho đấy, mật root (root password) máy chủ NIS truyền dạng văn mạng Để tránh tình trạng này, ta sử dụng lệnh rpasswd gói pwdutils với tính an toàn cao rpasswd thay đổi mật tài khoản người dùng máy chủ thông qua kết nối SSL an toàn Một người dùng bình thường thay đổi mật họ Nếu người biết mật người quản trị hệ thống (trong trường hợp root password máy chủ NIS), người thay đổi mật tài khoản gọi lệnh rpasswd với tùy chọn –a -a, admin With this option, rpasswd connects as administrator user to the remote server The user has to supply the administrator password and can change then every password Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page 32 Network Information Service GVHD: Nguyễn Tấn Khôi Phụ Lục: Một số khái niệm: loadable module: modun nạp tải Network Loadable Module (Netware) (NLM): modun nạp tải mạng Source tree: thuật ngữ thư mục – nơi mà mã nguồn biên dịch Traffic: lưu thông liệu Portmapper: sơ đồ cổng (port), chứa danh sách ánh xạ cổng với dịch vụ tương ứng (cấu trúc tự file C:\Windows\System32\drivers\etc\services windows) Daemon: dịch vụ chạy ngầm hệ thống Export: chia sẻ file (quá trình export) Tài liệu tham khảo: Managing NFS and NIS – Hal Stern, Mike Eisle and Ricardo labiaga Advanced Linux Network Administration – LinuxIT Technical Education Centre Website: linuxhomenetworking.com, linux-nis.org, ubuntu-vn.org … HẾT Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page 33 [...]... thôi Điều này rất tốt và có lẽ bạn nên dùng root_squash trên tất cả các file hệ thống mà bạn cho truy cập đến Vẩn tồn tại câu hỏi r ng “ liệu người quản trị cao cấp trên máy trạm có thể dùng lệnh su để mạo danh thành người dùng bất kỳ và cố gắng truy cập, thay đổi các file hệ thống trên máy chủ hay không ” Câu trả lời là có, và đó thật sự là những gì sẻ diển ra (trên 1 hệ thống chạy linux với NFS) ... (volume), hệ điều hành của máy sẽ có quyền truy cập đến mọi file trên đĩa và được ghi lên các file đó, nếu đĩa được thể hiện với tùy chọn rw Bước thứ hai là việc truy cập file Đây là chức năng điều khiển truy cập file thông thường trên client chứ không phải 1 chức năng đặc biệt của NFS Mỗi ổ đĩa được gắn với người sử dụng và nhóm những quyền hạn trên các file giới hạn quyền điều khiển truy cập Một ví dụ: trên. .. người dùng- Là một tài khoản người dùng đặc biệt trên UNIX có quyền truy cập tới Root) trên máy client thì họ có thể dùng lệnh su – username (để thay đổi tên tài khoản) và trở thành bất kỳ ai Lúc này NFS không còn là sự lựa chọn sáng suốt 2 The Portmapper -quản lý các kết nối The Portmapper (quản lý tiến trình) giữ 1 danh sách những dịch vụ đang chạy trên các cổng Danh sách này được sử dụng bởi 1 máy... dụng tùy chọn nosuid là ý tưởng tốt, và bạn nên xem xét áp dụng nó trên tất cả các ổ đĩa NFS được gắn kết Điều này có nghĩa là người dùng có quyền root trên máy chủ không thể tạo 1 chương trình suid-root trên file hệ thống, đăng nhập máy trạm như người sử dụng bình hường và dùng chương trình suid-root đó để trở thành người quản trị cao cấp trên máy trạm Một người nào đấy cũng có thể chặn truy Phan Xuân... trên máy chủ Có nghĩa là nếu có 1 máy trạm 192.158.0.46 cố gắng liên lạc với máy chủ NFS thì nó sẽ không thể gắn kết… Với những cổng có khả năng gắn kết, hiển nhiên là rất dể dàng để điều khiển những gì các máy chủ được cho phép để gắn kết các chia sẻ NFS của bạn Điều đang nói đó là NFS không phải là 1 giao thức mã hóa và bất cứ ai trên cùng mạng vật lý có thể phát hiện sự lưu thông (các gói tin) và. .. Mục đích lệnh trên là điều khiển ssh trên máy trạm thực hiện bất kỳ truy vấn trực tiếp ở cổng 250 của máy trạm và chuyển hướng nó (request), đầu tiên là thông qua sshd trên máy chủ, sau đó là trên cổng 2049 của máy chủ Dòng lệnh thứ 2 tương tự, điều khiển việc giao nhận giữa các yêu cầu truy xuất đến công 251 trên máy trạm và cổng 32767 của máy chủ Localhost tương đương với máy chủ, điều này nghĩa... trong NFS và có thể cảm thấy an toàn Nhưng chưa hết, sau tất cả điều đó: khi kẻ đột nhập truy cập mạng, họ có thể khiến các mã lệnh lạ xuất hiện, chuyển hướng hay đọc trộm thư điện tử khi /home hoặc /var/mail được chia sẻ trong NFS Vì vài lý do trên, bạn đừng bao giờ nên truy cập khóa bảo vệ PGP (một phương pháp mã hóa dữ liệu) trên NFS Hoặc ít nhất bạn nên biết những nguy cơ liên quan NFS và portmaper... mạng con 192.168.0.0 và các máy trong mạng con có thể truy cập đến nó (192.168.0.254) Để thực hiện điều trên thay vì portmap: ALL ta sẽ viết lại là portmap: 192.168.0.0/255.255.255.0 (Nếu bạn không chắc chắn về địa chỉ mạng/ mặt nạ mạng, bạn có thể sử dụng lênh ifconfig hay netstat để xác minh lại) 3 Server security: nfsd and mountd Trên máy chủ, chúng ta không hề muốn tin cậy vào bất cứ yêu cầu truy... cập tới các dịch vụ nào đấy Portmapper không còn tệ như vài năm trước đây nhưng nó vẩn là 1 điểm đáng lo đối với nhiều người quản trị hệ thống portmapper giống như NIS và NFS, thật sự không nên có những kết nối ra bên ngoài 1 Phan Xuân Phước Thịnh-Phan Thị Bích Thủy Page 11 Network File System GVHD: Nguyễn Tấn Khôi mạng LAN Nếu bạn bắt buộc phải chia sẻ chúng ra bên ngoài – hãy cẩn thận và duy trùy... năng chia sẻ trên mọi hệ thống trong mạng của bạn NIS là 1 dịch vụ cho phép chứng thực user tập trung: Các tài khoản người dùng chỉ được tạo ra trên NIS server Các NIS client tải thông tin và mật khẩu cần thiết từ NIS server để chứng thực mỗi khi user đăng nhập Một lợi thế đó là user chỉ phải thay đổi mật khẩu trên NIS server, thay vì tại mổi hệ thống trong mạng Điều này khiến NIS phổ biến trong các ... ipchains -A input -f -j ACCEPT -s 192.168.0.45 ipchains -A input -s 192.168.0.45 -d 0/0 32765:32768 -p -j ACCEPT ipchains -A input -s 192.168.0.45 -d 0/0 32765:32768 -p 17 -j ACCEPT ipchains -A input... -s 192.168.0.45 -d 0/0 2049 -p 17 -j ACCEPT ipchains -A input -s 192.168.0.45 -d 0/0 2049 -p -j ACCEPT ipchains -A input -s 192.168.0.45 -d 0/0 111 -p 17 -j ACCEPT Dòngipchains cho chấp nhận-d... rờiDENY rạc -A biết input -s 0/0 -pphần -j -ygói -ltin (ngoại trừ mảnh tin sử lý gói tin bình thường) Trên lý thuyết gói tin qua ghép ipchains -A input -scông 0/0 -d 0/0 17 việc -j DENY -ltải máy