Mục tiêu :
- Thiết lập được cấu hình mạng TCP /IP
- Thiết lập được cấu hình bức tường lửa và cấu hình khác
2.1. Thiết lập cấu hình mạng TCP/IP
Chúng ta khai báo thông tin về TCP/IP qua hộp thoại Network Configuration. Quản trị viên mạng hoặc nhà cung cấp dịch vụ Internet sẽ cung cấp cho chúng ta các thông tin sau đây:
IP number, netmask, network address và broadcast address.
Minh hoạ 3.17: Thiết lập cấu hình mạng
Sau đó chương trình sẽ thiết lập cấu hình mạng máy chúng ta. Chúng ta khai báo vào hộp thoại Network Configuration các thông tin như tên miền và host name của hệ thống. Tên miền là hai phần cuối của địa chỉ Internet. Thí dụ nếu địa chỉ là www.citynet.com, thì citynet.com là tên miền, còn www là host name. Tuy nhiên ở đây chúng ta cần ghi tên đầy đủ (FQDN=Fully qualified Domain Name) vào ô “hostname”.
Tiếp theo quản trị viên mạng sẽ cho chúng ta giá trị của cổng kết nối (Gateway) mặc định và máy chủ tên miền chính (Primary Name Server). Nếu mạng của chúng ta có nhiều máy chủ tên miền, chúng ta hãy điền giá trị của các server này vào nơi thích hợp.
Ghi chú: Nên thận trọng khi đặt tên host, bởi vì tên này sẽ xuất hiện ở câu
Ngay cả khi máy chúng ta không thực sự nối vào mạng, chúng ta cũng có thể đặt tên cho máy của mình. Còn không thì máy của chúng ta sẽ được coi như có tên là localhost.
2.2. Cấu hình bức tường lửa
Việc tích hợp bức tường lửa là một tính chất mới của các phiên bản RedHat 7.x và cho phép ta bảo vệ hệ thống (xem minh hoạ 3.18). Chúng ta có thể chọn các mức bảo mật sau đây tuỳ theo yêu cầu của mình:
- High: hệ thống chúng ta sẽ không chấp nhận các kết nối mà chúng ta chưa khai báo tường minh. Một cách mặc định, chỉ có các kết nối hồi âm DNS (DNS replies) và DHCP là được cho phép (tất nhiên các kết nối sau đây sẽ không được phép: FTP, IRC, RealAudioTM, Remote X Window client, v.v.).
- Medium: bức tường lửa của chúng ta sẽ cấm các cuộc truy cập từ xa đến tài nguyên trên máy chúng ta. Một cách mặc định, mọi kết nối đến các cổng TCP có số hiệu nhỏ hơn 1023 và các cổng NFS server (2049), cổng X Font server, v.v. đều sẽ bị cấm.
- No Firewall: chế độ bảo mật không được đặt ra, bất cứ kết nối nào đến máy chúng ta cũng sẽ không bị cấm. Chúng ta chỉ nên sử dụng tuỳ chọn này khi chúng ta đang ở trong một mạng đáng tin cậy. Tuy nhiên nếu chúng ta mới tìm hiểu về Linux, chúng ta nên chọn chế độ này để có thể sử dụng ngay một số dịch vụ. Sau đó ta sẽ xem xét lại chế độ Bức tường lửa.
- Customize: tuỳ chọn này cho phép chúng ta chủ động hơn trong việc xác định các thiết bị, kết nối, dịch vụ nào là đáng tin cậy. Thí dụ: chúng ta nối vào mạng riêng qua NIC (Ethernet bìa – eth0) và dùng modem qua giao thức PPP để kết nối với mạng Internet (ppp0). Khi đó, chúng ta có thể xem các kết nối qua eth0 là đáng tin (Trusted devices = eth0) còn giao tiếp pp0 là cần kiểm soát.
Chúng ta cũng có thể thông qua tuỳ chọn “Allow Incoming” để quyết định có nên giới hạn hay không giới hạn các dịch vụ.
Chú ý rằng nếu ở RedHat 6.x, sau khi cài tự động, chúng ta có thể sử dụng ngay máy của mình làm một máy chủ Mail, Web,... Còn ở RedHat 7.x, do có Bức tường lửa cho nên các kết nối từ bên ngoài sẽ bị cấm và chúng ta cần cấu hình lại Bức tường lửa.
2.3. Các thiết lập khác 2.3.1. Hỗ trợ ngôn ngữ 2.3.1. Hỗ trợ ngôn ngữ
RedHat Linux cho phép cài đặt và hỗ trợ nhiều ngôn ngữ trong hệ thống của chúng ta. Chúng ta có quyền chọn cùng lúc nhiều ngôn ngữ nhưng phải quy định một trong số đó làm ngôn ngữ mặc định. Thông thường ngôn ngữ mặc định là ngôn ngữ chúng ta chọn lúc bắt đầu cài đặt, tuy nhiên khi chọn thêm nhiều ngôn ngữ thì chúng ta vẫn sẽ có khả năng thay đổi ngôn ngữ mặc định sau khi cài đặt (minh hoạ 3.19).
Việc chỉ cài một ngôn ngữ sẽ tiết kiệm một lượng đáng kể khoảng trống của đĩa cứng, nhưng chúng ta cũng chỉ có thể dùng duy nhất ngôn ngữ đó mà thôi.
2.3.2. Thiết lập cấu hình thời gian
Qua hộp thoại “Time Zone Configuration” (minh hoạ 3.20), chúng ta có thể tự quy định sẽ sử dụng giờ địa phương hay giờ GMT. Chúng ta sẽ chọn múi giờ bằng cách dùng chuột di chuyển con chạy trên bản đồ đến thành phố thích hợp và sau khi kích hoạt, một chữ X đỏ sẽ đánh dấu vị trí được chọn đó. Chúng ta cũng có thể chọn bằng cách cuộn thanh cuốn (scroll bar).
Chúng ta vẫn sẽ có thể quy định lại Time Zone sau khi cài đặt bằng cách thực hiện lệnh /usr/sbin/timeconfig.
Minh hoạ 3.20: Lựa chọn múi giờ
2.4. Thiết lập trương khoản người dùng
Các hệ điều hành Linux/UNIX quy định một user có quyền hạn tối cao, do đó mang tên Superuser hay còn gọi là root. Vì nắm trong tay những quyền hạn như của quản trị viên hệ thống, superuser có thể thực hiện nhiều việc hay hoặc dở.
Mục “Account Configuration” trước hết cho phép chúng ta thiết lập mật khẩu cho trương khoản root. Mật khẩu của root là chìa khoá cuối cùng cho hệ thống của chúng ta, do đó hãy chọn một mật khẩu dễ nhớ nhưng đảm bảo sự an toàn. Hộp thoại Root Password sẽ mời chúng ta gõ vào hai lần để xác nhận mật khẩu.
Minh hoạ 3.21: Thiết lập trương khoản người dùng + Chúng ta có thể tạo tiếp nhiều user theo cửa sổ sau:
Nếu các user quên mật khẩu của họ thì chúng ta còn giúp được bằng quyền hạn của root. Trong đa số trường hợp quên mật khẩu root thì chúng ta buộc phải cài đặt lại toàn bộ hệ thống ; tuy nhiên chúng ta vẫn có khả năng khởi động lại từ đĩa mềm và chỉnh sửa tệp mật khẩu để phục hồi, hoặc khởi động Linux để vào chế độ Single, sau đó sẽ đặt lại mật khẩu mới cho root.
+ Màn hình thiết lập mật khẩu root :
Hộp thoại Root Password buộc bạn phải thiết lập một mật khẩu root cho hệ thống của bạn. Bạn sẽ sử dụng mật khẩu này để log vào hệ thống và thực hiện các chức năng quản trị hệ thống của mình.
Cũng trong màn hình này, chúng ta có thể tạo các trương khoản khác cho các user cần thiết, bằng cách bấm vào ô <Add>. Một hộp thoại (minh hoạ 3.22) sẽ hiện ra cho phép nhập tên user (User name – 8 ký tự) mật khẩu (password) và nhắc chúng ta khẳng định lại mật khẩu (Confirm).
Chúng ta cũng có thể bỏ qua, không tạo thêm user ngay mà để sau khi cài đặt xong sẽ thực hiện.
2.5. Thiết lập cấu hình xác thực
Màn hình “Authentication Configuration” (cấu hình xác thực) sẽ giúp chúng ta thiết lập quy tắc xác thực trên máy của mình. Nhưng nếu chúng ta đã quy định từ khi cài đặt rằng máy của mình là máy trạm hay máy chủ thì màn hình nói trên sẽ không hiện ra.
Chúng ta có thể chọn sử dụng các tiêu chuẩn chứng thực trên mạng như NIS, LDAP, Kerberos, hay SMB, bằng cách đánh dấu vào ô tương ứng và mở thẻ (tag) liên quan để điền những thông tin thích hợp.
Minh hoạ 3.23: Thiết lập cấu hình xác thực
- Enable MD5 password: cho phép chúng ta tạo các mật khẩu dài (tối đa 256 ký tự) thay cho mật khẩu chuẩn chỉ có 8 ký tự.
- Enable shadow password: cung cấp cho chúng ta một phương pháp lưu trữ mật khẩu an toàn. Mật khẩu thật sẽ không lưu trữ trong tệp /etc/password như các hệ thống chuẩn, mà lưu trữ trong tệp /etc/shadow để chỉ có root mới đọc được.
- Enable NIS: cho phép chúng ta sử dụng chung một mật khẩu trên một nhóm máy tính trong cùng một vùng NIS (Network Information Service). Chúng ta cần cung cấp thêm các thông tin về tên của vùng NIS và tên của một máy chủ NIS cụ thể. Chúng ta cũng có thể chọn để kích hoạt khả năng phổ biến thông điệp đến mọi máy trong mạng cục bộ hầu tìm một máy chủ NIS thích hợp.
- Enable LDAP (Lightweight Directory Access Protocol): cho phép sử dụng LDAP cho một vài hay toàn bộ giao dịch chứng thực. LDAP là một giao thức truy cập thông tin danh bạ điện tử trong hệ thống mạng. Chúng ta cần cung cấp địa chỉ IP của máy chủ LDAP (LDAP server) trong hệ thống, chọn cách nhận biết thông tin về user qua tên riêng DN (LDAP Base DN – Distinguished Name) và cho phép chúng ta gửi thông tin mật khẩu của user đã được mã hoá đến một máy chủ LDAP trước khi xác thực thông qua TLS (Transfer Layer Security).
- Enable Kerberos: Kerberos là một hệ thống bảo mật cung cấp các dịch vụ chứng thực qua mạng. Có 3 tuỳ chọn để chúng ta lựa, bao gồm: Realm, KDC, Admin Server.
- Enable SMB Authentication: cài đặt PAM để sử dụng một máy chủ SMB cho việc xác nhận các user. Cần cung cấp các thông tin về máy chủ SMB và về Nhóm SMB.