MỤC LỤC Page | Phần 1: Triển khai dịch vụ DNS Giới thiệu dịch vụ DNS DNS từ viết tắt tiếng Anh Domain Name System, hệ thống phân giải tên miền phát minh năm 1984 cho Internet, hệ thống cho phép thiết lập tương ứng địa IP tên miền Hệ thống tên miền DNS hệ thống đặt tên theo thứ tự cho máy tính, dịch vụ, nguồn lực tham gia vào Internet Mỗi website có tên ( tên miền hay đường dẫn URL) địa IP, Khi mở trình duyệt web nhập tên website, trình duyệt đến thẳng website mà không cần phải thông qua địa IP trang web Quá trình “dịch “ tên miền thành địa IP trình duyệt hiểu truy cập website công việc DNS server Các DNS trợ giúp qua lại với để dịch địa IP thành “tên “ ngược lại Giới thiệu BIND Hầu hết DNS Server ngày chạy Berkeley Internet Name Daemon(BIND) Các phân phối BIND có phần: + Domain Name Resolver + Domain Name Authority server + Tools Triển khai dịch vụ DNS Chuyển chế độ người dử dụng cho root: sudo su Sau để cài đặt cấu hình dich vụ DNS server, cần cài đặt bind9 lệnh apt-get install bind9 Dùng lệnh ifconfig kiểm tra thông tin tất giao diện mạng có: Page | Vậy ta cấu hình DNS server có địa ip là: ip máy: 192.168.5.107 Chỉnh sửa nameserver máy mở file /etc/network/interfaces IP máy DNS server, dns-nameservers 192.168.5.107 Sau restart lại chỉnh sửa /etc/network/interfaces lệnh: /etc/init.d/networking restart Kiểm tra lại nano /etc/resolv.conf xem nameserver 192.168.5.107 bổ sung chưa( chưa bổ sung) Tạo file zone cho domain named.conf.local, file khai báo file zone thuận zone nghịch cho tên miền đặt Đặt lại cấu hình zone file: Page | + Thành phần sở liệu DNS ghi nguồn RR(Resource Record) Mỗi ghi có kiểu liệu dạng ghi tương ứng với loại lớp ghi Lớp ghi đặc trưng cho địa mạng tương ứng với lớp sử dụng địa IP(lớp IN), địa mạng Hesoid (dùng mạng MIT) Dạng ghi thông dụng ghi lạo A, cặp tên miền định danh đầy đủ (FTDN)-địa IP + Trong liên mạng trạm có nhiều tên Trong có tên phải khai báo thức, tên lại bí danh Các tên thức khai báo ghi loại A, tên bí danh khai báo ghi loại CNAME trỏ tới ghi loại A tương ứng + Ngoài ghi loại A CNAME, có ghi loại SOA(Start Of Authority).Bản ghi chứa thông tin chung vùng mà NameServer có thẩm quyền Trong ghi chứa thời gian tồn mặc định TTL(Time To Live) cho tất ghi + Ký tự đặc biệt @ cho biết ghi tự trỏ đến tên miền + Ánh xạ địa ngược chuyển đổi từ địa IP sang tên thức máy trạm DNS tiến hành tổ chức tên miền đặt biệt in-addr.arpa, miền chứa địa IP tất máy trạm theo kí pháp thập phân có chấm đảo ngược Bản ghi nguồn liên kết với tên thức máy trạm ghi loại PTR Zone thuận dùng để phân giải tên sang địa IP: tạo file nhom0241.com từ file db.local có sẵn để lưu zone thuận cho DNS nhờ lệnh: cp /etc/bind/db.local /etc/bind/nhom0241.com Zone nghịch dùng để phân giải địa IP sang tên: tạo file db.192 từ file db.127 có sẵn để lưu zone nghịch cho DNS nhờ lệnh: cp /etc/bind/db.127 /etc/bind/db.192 Cấu hình lại cho file lưu zone thuận nghịch cách mở file tạo chỉnh sửa nhờ lệnh : nano /etc/bind/nhom0241.com Page | nano /etc/bind/db.192 Cấu hình lại thơng tin cho zone hình vẽ nhờ lệnh : nano /etc/bind/named.conf Page | Trong : zone “zone name” { type master; file “đường dẫn đến zone file”; [ lệnh tùy chọn] }; Khởi động lại bind9 service bind9 restart Kiểm tra : Sử dụng host, dig nslookup Page | Phần 2: Triển khai mơ hình Web Server Apache2 Sơ lược lý thuyết • Apache: Apache chương trình dành cho máy chủ đối thoại qua giao thức HTTP Apache chạy hệ điều hành Unix, Linux, Windows số hệ điều hành khác Khi phát hành lần đầu Apache trở thành chương trình mã nguồn mở có khả cạnh tranh với chương trình máy chủ tương tự Netscape Communications Corporation Từ trở đi, Apache khơng ngừng phát triển trở thành phần mềm máy chủ thông dụng Apache phát triển trì cộng đồng mã nguồn mở bảo trợ Apache Software Foundation Apache phát hành với giấy phép Apache License phần mềm tự miễn phí • Web Server Page | Web Server máy chủ có dung lượng lớn, tốc độ cao, dung để lưu trữ thông tin ngân hang liệu, chứa website đá thiết kế thơng tin khác Web Server có khả gửi đến máy khách trang Web thông qua môi trường Internet qua giao thức HTTP – giao thức thiết kế để gửi file đến trình duyệt web, giao thức khác Tất Web Server có địa IP có Domain Name Giả sử bạn đánh vào Address trình duyệt bạn dòng http://www.nhom0241.com ấn Enter máy gửi yêu cầu đến Server có Domain Name www.nhom0241.com Server tìm đến trang index.html gửi đến trình duyệt bạn Cài đặt cấu hình Apache • Cài đặt: Chuyển sang tài khoản root để thực cài đặt câu lệnh: sudo su Đánh mật root để chuyển Trong Ubuntu để cài đặt apache2 (phiên Apache Apache2) ta dung cấu lệnh: apt-get install apache2 Và ấn “y” cho câu hỏi [y/n] trình cài đặt Sau qua trình cài hồn thành ta mở trình duyệt đánh vào ô địa localhost đỉa 127.0.0.1 để kiểm tra xem trình cài đặt Apache2 Page | thành công hay chưa Nếu kết trình duyệt lên “It works” sau tức q trình cài đặt thành cơng • Cấu hình Apache2 Một số file thư mục cần lưu tâm: - conf-available/ – Thư mục chứa file thiết lập cấu hình sẵn Apache Ubuntu, thiết lập chưa áp dụng Ubuntu khơng load thiết lập cấu hình thư mục - conf-enabled/ – Thư mục chứa file thiết lập cấu hình Apache Ubuntu bật Hãy hiểu thư mục có liên kết tượng trưng (symlink) qua file module bên thư mục confavailable bật - mods-available/ – Thư mục chứa file module Apache Ubuntu chưa bật - mods-enabled/ – Thư mục chứa file module Apache Ubuntu bật - site-available/ – Thư mục chứa file cấu hình VirtualHost Apache Ubuntu chưa bật - site-enabled/ – Thư mục chứa file cấu hình VirtualHost Apache Ubuntu bật - apache2.conf – File cấu hình Apache Ubuntu - envvars – File thiết lập biến với giá trị sẵn để sử dụng file cấu hình - magic – File thiết lập module mod_mime_magic Apache Page | - ports.conf – File cấu hình cổng mạng Apache (mặc định port 80).Sau cài đặt ta khởi động, ngừng hoạt động Apache2 câu lệnh : service apache2 start service apache2 stop service apache2 restart #khởi động apache2 # dừng apache2 #khởi động lại apache2 Triển khai Web Server • Triển khai web server http://nhom0241.com - Bước 1: Trong thư mục /var/www ta tạo thư mục để chứa website, ta tạo thư mục nhom0241.com thư mục ta tạo thư mục public_html để dễ quản lí, ta sử dụng câu lệnh: mkdir –p /var/www/nhom0241.com mkdir –p /var/www/nhom0241.com/public_html - Bước 2: Trong thư mục /var/www/nhom0241.com vừa tạo ta tạo file index.html file mà Server tìm đến yêu cầu Ta dùng câu lệnh: nano /var/www/nhom0241.com/public_html/index.html Ở file tạo hình: - Bước 3: Trong thư mục /etc/apache2/sites-available cấu hình file nhom0241.com.conf để cấu hình cho site Có thể dung lệnh cp để dung mẫu có sẵn sau: Page | 10 - Bước 4: enable site lệnh a2ensite demo.com.conf - Bước 5: restart apache2 lệnh service apache2 restart - Bước 6: Mở trình duyệt test thử ta kết quả: HTTPS Web Server Để triển khai https Web Server ta sử dụng SSL: • SSL gì?? - Việc kết nối web browser (vd IE, Firefox, Chrome v.v ) tới điểm mạng internet qua nhiều hệ thống độc lập mà khơng có bảo vệ với thông tin gửi đường truyền Để bảo vệ thông tin mật đường mạng internet hay mạng TCP/IP nào, SSL thiết lập giao dịch an toàn: - Xác thực: đảm bảo tính xác thực trang mà bạn làm việc đầu kết nối Cũng vậy, trang Web cần phải kiểm tra tính xác thực người sử dụng - Mã hố: đảm bảo thông tin bị truy cập trái phép đối tượng thứ ba Để loại trừ việc nghe trộm thơng tin “ nhạy cảm” truyền qua internet, liệu mã hoá để bị đọc người khác người gửi người nhận Page | 14 - Tồn vẹn liệu: đảm bảo thơng tin khơng bị sai lệch phải thể xác thơng tin gốc gửi đến - Với việc sử dụng SSL, website cung cấp khả bảo mật thơng tin, xác thực tồn vẹn liệu đến người dùng SSL tích hợp sẵn vào web browser web server, cho phép người sử dụng làm việc với trang web chế độ an toàn Khi web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa xuất trạng thái cửa sổ web browser dòng “http” hộp nhập địa URL đổi thành “https” Một phiên giao dịch HTTPS sử dụng cổng 443 thay sử dụng cổng 80 dùng cho HTTP • Triển khai SSL lên hệ thống Bước 1: SSL tích hợp sẵn Ubuntu 14.04 nên ta cần khởi động câu lệnh: a2enmod ssl Sau khởi động SSL ta cần restart apache2 câu lệnh: service apache2 restart - Bước 2: Tạo file chứa chứng SSL câu lệnh: mkdir /etc/apache2/ssl Bước 3: Tạo key certificate file /etc/apache2/ssl/apache.key /etc/apache2/ssl/apache.crt câu lệnh openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt - Bước 4: Lần lượt trả lời câu hỏi đưa VD hình: - Bước 5: Chỉnh sửa file /etc/apache2/sites-available/defaultssl.conf câu lệnh nano /etc/apache2/sites-available/default-ssl.conf Page | 15 Nội dung chỉnh sửa sau : - Bước : Enable Virtual Host câu lệnh : a2ensite default-ssl.conf - Bước 7: Restart Apache2: service apache2 restart - Bước 8: Test kết cách mở trình duyệt lên gõ https://www.nhom0241.com Cấu hình User Directory - Ý nghĩa: Home Folder share folder tự động map máy trạm thành ổ đĩa mạng User đăng nhập client Home directory thư mục cất giữ liệu, chương trình, ứng dụng User ngồi thư mục My Documents • Các bước cấu hình Page | 16 - Bước 1: Để tiện cho phần tạo thêm tài khoản người dung có tên nhomlinux câu lệnh adduser nhomlinux hình: - Bước 2: Dùng lệnh a2enmod userdir để khỏi động userdir - Bước 3: Restart lệnh service apache2 restart - Bước 4: Trong thư mục /home/nhomlinux tạo thư mục public_html, thư mục tạo file index.html file nguồn site Dùng câu lệnh hình: - Bước 5: Cấu hình file index.html - Bước 6: Test kết nhận cách vào trình duyệt đánh địa sau: www.nhom0241.com/~nhomlinux Page | 17 Phần Mail Server Hệ thống E-Mail a Các thành phân hệ thống e-mail • Mail User Agent(MUA): chương trình mà người dùng sử dụng để đọc gửi e-mail Nó đọc e-mail gửi vào mail box người dùng gửi e-mail tới MTA để gửi đến nơi nhận Các MUA thường sử dụng Linux là: elm, pine, mutt • Mail Tranfer Agent (MTA): hoạt động giống "mail router" nhận e-mail từ MUA hay từ MTA khác, dựa vào thông tin phần header e-mail đưa xử lý phù hợp với e-mail đó, sau e-mail gửi đến MDA phù hợp để gửi e-mail Các MTA thường sử dụng Linux là: sendmail, postfix • Mail Delivery Agent (MDA): nhận e-mail từ MTA thực việc gửi e-mail đến đích thực b Mô tả Page | 18 User host1 dùng chương trình MUA(pine, elm ) để gửi mail cho user khác host2, mail gửi đến MTA (sendmail) host1 (localhost) - MTA kiểm tra mail biết địa đích email đó, MTA config để biết làm để gửi e-mail đến đích gửi email đến MDA để thực điều (với sendmail MDA tích hợp sẵn nó) - MDA kết nối với MTA host2 gửi email tới - MTA host2 kiểm tra mail nhận xác định user nhận email gửi mail cho MDA host2 - MDA host2 gửi mail đến mail box user nhận - Khi user nhận dùng MUA để log vào mail box để check mail đọc mail Quá trình cấu hình sendmail Chúng ta làm việc với dns có tên miền nhom2041.com Cài đặt cài Lấy quyền quản trị sudo su Sau người dùng nhập pass root vào • Cài đặt sendmail apt-get install sendmail Page | 19 • Cài đặt alpine apt-get install alpine Thực gửi mail nội bộ: Truy cập vào alpine: alpine Tiếp theo chọn mục COMPOSE MESSAGE Nhập địa cần gửi vào mục To: Nhập tiêu đề vào Subject Nhập nội dung mail vào phần message text Sau ấn Ctrl+X để gửi Ta thực gửi cho root Page | 20 Kết root: Tiến hành gửi từ root sang người dùng Kết Page | 21 Phần 4: Triển khai dịch vụ Iptables dòng lệnh Giới thiệu FireWall Iptables Trong ngành mạng máy tính firewall định nghĩa rào chắn mà số cá nhân, tổ chức, doanh nghiệp, quan nhà nước lập nhằm ngăn chặn người dùng mạng Internet truy cập thông tin không mong muốn ngăn chặn người dùng từ bên truy nhập thông tin bảo mật nằm mạng nội Iptables chương trình chạy khơng gian người dùng, cho phép người quản trị hệ thống cấu hình bảng tường lửa nhân Linux (được cài đặt mô đun Netfilter khác nhau) lưu trữ chuỗi, luật Các mô đun nhân chương trình khác áp dụng cho giao thức Iptables gồm ba bảng FILTER, MANGLE, NAT chain bảng, với chúng người quản trị tạo rules cho phép gói tin vào hệ thống (được bảo vệ iptables) tuỳ theo ý muốn Chức cụ thể chúng sau: • • • Mangle: dùng để chỉnh sửa QOS(qulity of service) bit phần TCP Header gói tin Filter: tên gọi dùng để lọc gói tin gồm build-in chain Nat: nhận sửa địa gói tin gồm build-in chain Mỗi rule mà bạn tạo phải tương ứng với chain, table Nếu bạn không xác định tables iptables coi mặc định cho bảng FILTER Các tham số chuyển mạch (switching) quan trọng Iptables Lệnh switching Ý nghĩa Page | 22 -t Nếu không định rõ table filter table áp dụng Có loại table fillter, nat, mangle -j Nhảy đén chuỗi target gói liệu phù hợp với quy luật -A Nối thêm quy luật vào cuối chuỗi (chain) -F -p Xóa hét tất quy luật bảng dã chọn Phù hợp với giao thức (protocols), thông thường icmp, tcp, udp all -s Phù hợp IP nguồn -d Phù hợp IP đích -i Phù hợp với điều kiện INPUT gói liệu vào firewall -o Phù hợp với điều kiện OUTPUT gói liệu firewall Triển khai dịch vụ Iptables Ubuntu a Xây dựng mơ hình ba nơi: Cài máy ảo Ubuntu phần mềm VMware Workstation • Máy A có địa IP 192.168.3.2 • Máy B có địa IP 192.168.4.2 • Máy FireWall có card mạng với địa IP 192.168.3.1 192.168.4.1 • Máy A kết nối với máy FireWall thơng qua mạng Vmnet • Máy B kết nối với máy FireWall thông qua mạng Vmnet Page | 23 Mơ hình ba nơi b Triển khai dịch vụ Iptables dòng lệnh Để cài đặt iptables Ubuntu ta dùng lệnh: apt-get install iptables Cài đặt gói telnetd openssh-server để thực telnet ssh máy: apt-get install telnetd openssh-server Cấu hình IP cho card mạng cách chỉnh sửa file interfaces: nano /etc/network/interfaces Lưu file lại tiến hành restart network: /etc/init.d/networking restart Sau restart, kiểm tra lại kết quả: Page | 24 Tiến hành ping từ máy A đến máy FireWall Ping telnet từ máy FireWall đến máy A Page | 25 Chặn ping từ máy A đến máy FireWall: iptables –A INPUT –s 192.168.3.2 –p icmp –j REJECT Kết máy A ping đến máy FireWall Tương tự ta chặn telnet ssh từ máy A đến máy FireWall: iptables –A INPUT –s 192.168.3.2 –p tcp –j REJECT Tiếp theo, ta thử kết nối máy A B thông qua máy FireWall Để làm điều này, trước hết ta phải bật chức Packet Forwarding Tức ta thêm giá trị '1' vào file /proc/sys/net/ipv4/ip_forward Nó có tác dụng tức thời, ta restart lại serive network reboot router giá trị trở chức packet forwarding bị disable Để giá trị ln mặc định ta phải sửa file /etc/sysctl.conf, thêm vào dòng sau: net.ipv4.ip_forward = Sau restart network: /etc/init.d/networking restart Page | 26 Sau chỉnh sửa xong, ta thực ping từ máy A đến máy B: Và ping ngược lại từ máy B: Chặn ping từ máy A đến máy B: iptables –A FORWARD –s 192.168.3.2 –d 192.168.4.2 –p icmp – j REJECT Kết quả: Chặn telnet, ssh từ Máy A đến Máy B: iptables –A FORWARD –s 192.168.3.2 –d 192.168.4.2 –p tcp –j REJECT Chặn kết nối với internet: iptables –A OUTPUT –p tcp –dport 80 –j REJECT Để tiến hành lưu rules file chạy ta thực sau: Tạo file có tên fw.sh sau chỉnh sửa sau: Page | 27 Để tiến hành thực thi ta dùng lệnh chmod +x fw.sh firewall.sh Kết quả: Page | 28 ...Phần 1: Triển khai dịch vụ DNS Giới thiệu dịch vụ DNS DNS từ viết tắt tiếng Anh Domain Name System, hệ thống phân giải tên miền... Resolver + Domain Name Authority server + Tools Triển khai dịch vụ DNS Chuyển chế độ người dử dụng cho root: sudo su Sau để cài đặt cấu hình dich vụ DNS server, cần cài đặt bind9 lệnh apt-get install... Quá trình dịch “ tên miền thành địa IP trình duyệt hiểu truy cập website công việc DNS server Các DNS trợ giúp qua lại với để dịch địa IP thành “tên “ ngược lại Giới thiệu BIND Hầu hết DNS Server