7. Cấu hình dịch vụ sendmail
7.1.2. Chấp nhận domain
Khi cần cấu hình `sendmail' như là máy chủ thư điện tử trong toàn cơ quan, cần chú ý tới hiện tượng sau: Bình thường, `sendmail' chỉ chỉ chấp nhận các thư gửi tới địa chỉ đầy đủ (tên người nhận thư + tên đầy đủ máy tính; tên đầy đủ máy tính lại bao gồm: tên máy + domain giao dịch; Ví dụ: joe@mail.foo.com). Tuy nhiên, điều cần quan tâm nhất trong đánh địa chỉ thư điện tử là: tên domain giao dịch. Kích hoạt tính năng này cho phép `sendmail' chấp nhận cả 02 cách đánh địa chỉ.
Ví dụ, nếu domain giao dịch là foo.com và tên máy chủ thư `sendmail' là mail - khi đó các thư gửi tới joe@foo.com và joe@mail.foo.com đều được `sendmail' chấp nhận và lưu giữ trên máy chủ. (Oh tất nhiên với thêm điều kiện nữa: người dùng joe đã đưược định nghĩa)
7.1.3. Máy chủ thư chính – Mail server
Trong nhiều hệ thống thông tin, thông thường chỉ có một máy chủ duy nhất đảm nhiệm lưu giữ thư điện tử cho tất cả mọi người dùng.
(Unix nói chung và Linux nói riêng là môi trường đa người dùng. Nó cho phép một người dùng có thể gửi thư tới một người dùng khác được định nghĩa trên cùng một máy tính. Thư của mỗi người dùng sẽ được lưu trữ tại một thư mục - hộp thư riêng biệt)
Linux (Unix) không những là môi trường đa người dùng, mà còn là môi trường hướng mạng rất mạnh. Một người dùng có thể có nhiều tài khoản thư điện tử trên các máy Linux (Unix) khác nhau, hoặc trên tất cả các máy tính trong hệ thống. Như thế, trong sử dụng thực tế - người dùng cần phi mô tả rõ tài khoản được sử dụng trong mỗi lần đọc thư. Cơ chế lưu giữ thư của một người dùng trên nhiều máy tính khác nhau rõ ràng là bất hợp lý, gây khó khăn rất lớn trong công tác quản trị.
Phương án giải quyết: Mô t máy chủ thư chính (với tên đầy đủ), khi đó `sendmail' sẽ chuyển tiếp tất cả các thư nhận được tới một nơi (tập trung) duy nhất.
7.1.4. Trạm chuyển tiếp thư – Mail gateway
Nhiều máy chủ thư không có khả năng chuyển thư trực tiếp tới các người dùng không được định nghĩa ngay trên máy chủ đó (trường hợp gửi thư ra thế giới bên ngoài) - Khi đó cần mô tả rõ máy tính đóng vai trò chuyển tiếp thư (tất nhiên cần giả sử rằng: máy chủ thư nội bộ có thể thực hiện được kết nối mạng tới trạm chuyển tiếp)
7.1.5. Giao thức chuyển thư
Cho phép lựa chọn giao thức chuyển thư phù hợp khi trao đổi thư với trạm chuyển tiếp. Nếu sử dụng giao thức ESMTP, khi đó cần mô tả tên đầy đủ, còn với giao thức UUCP cần mô tả tên theo kiểu `UUCP' cho trạm chuyển tiếp.
7.1.6. Sử dụng kết hợp với DNS
Trong trao đổi thư điện tử trên mạng rộng (Internet) `sendmail' có mối liên kết chặt chẽ với dịch vụ DNS. Lượng thông tin trao đổi với máy chủ DNS là khá lớn, tần xuất trao đổi cũng tương đối cao. Vì vậy đối với các máy tính không có kết nối Internet trực tiếp, cố định - thậm chí đối với những nơi có kết nối Internet trực tiếp, nhưng máy chủ thư `sendmail' được đặt sau bức tường lửa bảo vệ, `sendmail' thường được cấu hình không sử dụng DNS. (Tất nhiên: DNS sẽ được sử dụng khi mạng của chúng ta thực sự tham gia và là một thành phần của Internet.)
7.1.7. Bí danh cho hệ thống
Th điện tử với địa chỉ người nhận thảo mãn: Hoặc là tên đầy đủ
(n_nhận@tên_máy.domain_giao_dịch; joe@mail.foo.com) Hoặc là tên rút gọn (n_nhận@domain_giao_dịch; joe@foo.com) sẽ được `sendmail' chấp nhận.
Những địa chỉ thư khác sẽ bị bỏ qua, hoặc chuyển tiếp tới một máy chủ thư khác (dựa theo các thông tin mô tả về định tuyến thư phù hợp).
Tuy nhiên, nếu có mong muốn thiết lập `sendmail' có khả năng tiếp nhận thư cho nhiều domain khác nhau. Khi đó có một cách làm là: Mô tả các bí danh domain thư mong muốn trên hệ thống. (Chọn [Thêm] để mở rộng vùng soạn thảo khi cần thiết.)
7.2. Cấu hình định tuyến thư (tài khoản)
`Sendmail' thực hiện việc chuyển thư dựa trên địa chỉ người nhận (tên domain). Nếu phát hiện ra domain đó là domain nội bộ, sendmail sẽ chuyển thư tới người dùng nội bộ (sử dụng tên tài khoản có trong địa chỉ thư).
7.2.1. Các ý tưởng
Một kỹ thuật ngày càng sử dụng rộng rãi trong thế giới Internet là: `máy ảo/domain ảo'. Một máy chủ duy nhất có thể được đại diện ra thế giới bên ngoài như là nhiều máy chủ khác nhau (máy ảo), mỗi máy chủ lại quản lý nhiều domain khác nhau (domain ảo). Kỹ thuật này đã tỏ ra rất hữu hiệu đối với trường hợp xây dựng dịch vụ WEB.
Trong xây dựng hệ thống thư điện tử, `sendmail' cung cấp kh năng quản lý thư cho các domain bí danh khác nhau. (Xem thêm trong phần `Dịch vụ thư điện tử -> Thông tin cơ bản').
Ví dụ, nếu mô tả các domain bí danh sau cho `sendmail': • domain1.com
• domain2.com
Khi đó các tài khoản user@domain1.com và user@domain2.com đều tham chiếu tới một tài khoản và hộp thư duy nhất trên hệ thống.
Khái niệm `định tuyến thư (tài khoản)' có thể được hiểu như sau: `Sendmail' nhận được thư gửi cho one_user@one_domain sẽ chuyển thư này tới người nhận mới -
another_user@another_domain, có tài khoản hộp thư trên một máy chủ khác.
7.2.2. Xây dựng luật định tuyến
7.2.2.1.áp dụng luật
Người dùng có thể cấm một luật mà không nhất thiết phải xoá bỏ luật đó. Sau khi cấm hoặc cho phép sử dụng luật, cần phải tạo lại file cấu hình `sendmail.cf' và khởi động lại `sendmail'. (Linuxconf sẽ có các hướng dẫn cần thiết -> thực hiện công việc này)
7.2.2.2. Người nhận
Trường này chứa đựng địa chỉ thư điện tử của người nhận ban đầu - là một địa chỉ thư đầy đủ có bao gồm tên domain.
Cũng có thể áp dụng lái thư cho toàn bộ một domain bằng việc chỉ mô tả tên domain với tiền tố @ (ví dụ: @domain.com). Tuy nhiên cần lưu ý: định tuyến thư áp dụng đối với các domain thông thường được thực hiện bởi tính năng đặc biệt - `định tuyến thư (domain)'.
`Định tuyến thư (tài khoản)' cho phép chuyển toàn bộ thư gửi từ một domain tới một địa chỉ thư duy nhất (có thể với một domain khác).
7.2.2.3. Địa chỉ mới - Chuyển tới người
Nếu chỉ thực hiện định tuyến, lái thư tới người dùng khác trên hệ thống nội bộ -> chỉ cần mô tả tên tài khoản của người sử dụng đó (không cần mô tả cùng với tên domain). Mô tả như vậy có vẻ gần giống với sử dụng các bí danh người dùng - tuy nhiên phép `định tuyến thư (tài khoản)' còn mang nhiều ý nghĩa hơn thế (mặc dù sử dụng các bí danh người dùng là tỏ ra rất hữu hiệu đối với các hệ thống lớn), nó được sử dụng trong các trường hợp mà `bí danh người dùng' không thể giải quyết được.
Ví dụ đối với phép định tuyến, lái thư sau: • info@vdomain1.com -> joe
• info@vdomain2.com -> jack
7.2.2.4. Chuyển tới máy chủ (*)
Thông thường, `sendmail' tự phát hiện máy chủ có chứa hộp thư tương ứng với địa chỉ thư người nhận mới.
Tuy nhiên, khi cần thiết: vẫn có thể mô tả tường minh máy chủ đó. (Lưu ý: cần vào tên đầy đủ)
7.2.2.5.Giao thức chuyển thư
Định nghĩa giao thức chuyển thư được sử dụng trong định tuyến thư tới địa chỉ người nhận mới. Giao thức thông dụng là ESMTP.
Đối với trường hợp chuyển thư tới máy chủ thư UUCP - cần chọn giao thức uucp-dom. Đây cũng là trường hợp duy nhất, luôn đòi hỏi phi mô tả máy chủ thư đích gần nhất (hoặc là trạm chuyển tiếp, hoặc là máy chủ có chứa hộp thư tương ứng với địa chỉ thư người nhận mới).
7.2.2.6.Ghi chú
Soạn thao các ghi chú theo ý muốn.
7.3. Thiết lập nâng cao (anti-spam)
Cùng với sự phát triển của Internet, những lá thư dụng ý xấu đã trở thành một vấn đề gây khó chịu cho người dùng. Người quản trị hệ thống thường có mong muốn: Ngăn chặn các thư loại này từ một số địa chỉ xác định cho trước. Bên cạnh đó cũng muốn thiết lập một cơ chế định nghĩa: chỉ những máy tính nhất định (thường là các máy tính có trong hệ thống nội bộ) được
phép sử dụng dịch vụ chuyển thư của hệ thống, qua đó ngăn chặn được những người dùng trộm, bất hợp pháp.
7.3.1. Nguyên lý hoạt động
Khi máy chủ nhận được một thông điệp email, có các khả năng sau có thể xảy ra:
1./ Thông điệp email được gửi tới một tài khoản có trên domain nội bộ -> được chấp nhận, và chuyển tới hộp thư tương ứng.
2./ Thông điệp email được gửi tới một tài khoản KHÔNG có trên domain nội bộ -> sendmail sẽ thử chuyển tiếp tới một máy chủ thư đích phù hợp.
3./ Cũng có thể: Thông điệp email được gửi tới một tài khoản nội bộ, nhưng lại có xuất xứ từ những địa chỉ (người gửi) dụng ý xấu, và chúng ta muốn xoá, loại bỏ hẳn những thông điệp email kiểu này.
7.3.2. Sử dụng tên hay địa chỉ IP ?
Các thông điệp email có thể được gửi từ các máy tính nhận dạng theo tên, và đôi khi theo địa chỉ IP. Phần tiếp theo sẽ giới thiệu cách thức sử dụng tên, địa chỉ IP, (hoặc kết hợp cả hai) khi phân loại máy tính trong thế giới `thư điện tử'.
7.3.2.1.Mô tả địa chỉ mạng (IP)
Có thể mô tả tường minh từng địa chỉ IP riêng biệt, ví dụ: 192.168.1.1; 192.168.1.5; 192.168.1.10
Cũng có thể mô tả cả lớp mạng, ví dụ: đối với mạng 192.168.1.0 (lớp C), chúng ta nhập: 192.168.1.
7.3.2.2.Mô tả máy, domain
Khi mô tả máy -> hãy nhập c tên đầy đủ (machine1.domain.com)
Khi mô tả domain -> hãy nhập tên domain (domain.com); khi đó tất cả các máy tính thuộc domain (thậm chí c domain com) sẽ được hệ thống đối xử theo một cách giống nhau.
7.3.3. Cấu hình gửi trả thư
Phần này cho phép mô tả danh sách các địa chỉ email, tên máy, tên domain, hoặc địa chỉ IP của những nguồn `không tin cậy'. Thư có nguồn gốc từ đó sẽ bị bỏ qua. Ví dụ:
• spammer@junk.domain • junk.domain • D.X.Y.Z • C.X.Y • B.X • A
Cũng nên soạn một thông báo ngắn, sẽ được gửi tr tới nguồn `không tin cậy'
7.3.4. Cho phép `Relay' (IP)
Mô tả danh sách địa chỉ IP (máy, hoặc mạng) của các máy tính sẽ được phép sử dụng dịch vụ chuyển thư trên máy Linux của chúng ta.
Giá trị thường được nhập tại đây là: các địa chỉ mạng IP sử dụng trong hệ thống nội bộ
7.3.5. Cho phép `Relay' (Tên)
Mô tả danh sách các tên máy, hoặc domain - các máy tính tương ứng sẽ được phép sử dụng dịch vụ chuyển thư trên máy Linux của chúng ta.
Giá trị thường được nhập tại đây là: các tên domain sử dụng trong hệ thống nội bộ
7.3.6. Chuyển tiếp tới
Mô t danh sách các máy chủ thư - mà máy chủ thư của chúng ta đóng vai trò `gateway' (Nhận thư từ thế giới bên ngoài, chuyển tiếp tới máy chủ phù hợp tương ứng)
7.4. Thiết lập các tham số cấu hình cho hệ thống thư của VPTW
Trước khi thực hiện việc cấu hình cho hệ thống email của Vietpart, cần phải đảm bảo các điều kiện sau:
- Dịch vụ giải nghĩa tên DNS hoạt động tốt
Sau đây là các bước tiến hành thiết lập các tham số cấu hình
7.4.1. Máy chủ thư cấp trung ương
7.4.1.1.Các thông tin cơ bản
- Chạy tiện ích mailconf (trong cửa sổ Terminal ở chế độ đồ họa hoặc text). Trong phần
Basic, chọn Configure basic information
- Nhập các thông tin sau: o Phần Base info:
Presenr your system as: vietpart.gov.vn
Mail server: mainsrv.vietpart.gov.vn
Chú ý: không chọn hộp kiểm Accept email for… o Phần Features
Chọn Enable relay control (spammers)
Alias your system as: vietpart.gov.vn
o Phần Delivery
Chọn hộp kiểm Don’t use DNS
7.4.1.2.Anti-spammer filters
o Nhập địa chỉ subnet của mạng cục bộ tại VPTW, ví dụ 192.168.1.0 thì chỉ cần gõ : 192.168.1.
o Nhập địa chỉ subnet của VPTW mà địa chỉ này được trình bày ra thế giới bên ngoài, ví dụ ở đây 192.168.101.0
- Nhấn các nút Accept hoặc OK, nếu có để thóat khỏi phần Configure base information
7.4.1.3.Thiết lập Luật định tuyến thư
- Sau đó vào phần Complex User routing, với mỗi tỉnh, TP tạo một luật định tuyến thư offline như sau, ví dụ cho tỉnh Hà nam
o Nhấn nút Accept và các nút khác phù hợp theo các thông báo chỉ dẫn của hệ thống. Khi hệ thống báo “Generate sendmail.cf”, chọn OK. Thoát khỏi mailconf o Khởi động lại dịch vụ sendmail bằng lệnh service sendmail restart
- Gọi tiện ích linuxconf, chọn tiếp phần User accountsSpecial accountsPOP
o Tạo tài khoản theo cú pháp xxxoffline, trong đó xxx là tên viết tắt của tỉnh (chữ thường), sau đó đặt và nhắc lại mật khẩu trùng với tên tài khoản là xxxoffline. o Chọn Accept và các nút khác tùy theo thông báo của hệ thống để ghi lại thay
đổi và thoát khỏi linuxconf
7.4.2. Máy chủ thư cấp tỉnh/TP
Sau đây là ví dụ cấu hình máy chủ thư cho VP Tỉnh Hà nam.
7.4.2.1.Thiết lập tham số thông tin cơ bản
- Vào mailconf và thiết lập các tham số Basic Information như trên
- Khởi động lại dịch vụ sendmail
7.4.2.2.Thiết lập tham số định tuyến thư offline cho huyện
- Với mỗi quận/huyện trực thuộc tỉnh/TP, tạo một POP user account, với tên và mật khẩu trùng nhau, dưới dạng yyyoffline, yyy là tên quận/huyện viết tắt.
- Dùng qui tắc sử dụng ký tự đại diện khi tạo luật định tuyến thư như trên hình
7.4.2.3.Cấu hình việc lấy thư dùng Fetchmail
- Chọn phần Basic:
o Đặt chu kỳ lấy thư (tính theo giây): Poll interval in seconds
- Khai báo các tham số để lấy thư với máy chủ thư ở xa, chọn phần Mail Servers
o Server: mailserver.xxx.vietpart.gov.vn
Trong đó xxx là tên viết tắt của tỉnh, đối với các tỉnh khác nhau tên đầy đủ + domain DNS của server là khác nhau nhưng cùng phải trỏ lên server thư ở VPTW o Protocol: chọn POP3
o Phần Domains:
- Phần Users: khai báo danh sách các user mà fetchmail sẽ lấy thư về o Remote user name: xxxoffline
o Remote user password: xxxoffline o Local user name: esr *
o FetchHow chọn hộp kiểm Fetch all message
o Remote mailbox name (s): xxxoffline
7.4.3. Máy chủ thư cấp quận/huyện
Dùng giao diện net runner để cấu hình
8. Xây dựng hệ Linux Firewall
8.1. Các khái niệm cơ bản
8.1.1. Firewall –tường lửa
FW là một hệ thống hoặc một nhóm các hệ thống quản lý các truy nhập giữa hai mạng
8.1.2. Các công nghệ FW
8.1.2.1.Packet filtering
Hạn chế thông tin đi vào mạng dựa trên thông tin tiêu để tĩnh của gói - static packet header information
i. Làm đông cứng luồng hoặc các thăm dò từ thế giới bên ngoài - Bằng cách dùng địa chỉ IP
- bằng cổng đích (cho phép chỉ một số dịch vụ cụ thể, nhưng ngoại trừ tất cả) - Bằng kiểu protocol
ii. Hạn chế truy nhập đến Internet từ các host cụ thể
iii. NAT: dùng chung một điạ chỉ Internet đơn với nhiều host từ trong mạng LAN iv. Lái (redirecting) các yêu cầu đi vào mạng đến host cụ thể bên trong
…
8.1.2.2.Proxy server
Thực hiện các yêu cầu kết nối giữa một client trong mạng sau FW và Internet
Một proxy server là một thiết bị tường lửa mà kiểm tra các gói tại các tầng cao trong mô hình OSI. Thiết bị này ẩn phần dữ liệu có giá trị bằng cách đòi hỏi người dùng kết nối đến một hệ an toàn bằng phương tiện đại diện. Người dùng có được sự truy nhập đến mạng bằng cách đi qua một tiến trình mà tiến trình này thiết lập trạng thái phiên làm việc (session state ), xác thực người dùng (user authentication), …Điều này có nghĩa là người dùng kết nối đến các dịch vụ bên ngoài qua các chương trình ứng dụng (proxies) chạy trên gateway đang kết nối đến các vùng chưa được bảo vệ bên ngoài
8.1.2.3. Stateful packet filtering
Hạn chế thông tin vào mạng dựa không chỉ dựa vào địa chỉ nguồn và đích, mà còn trên nội dung dữ liệu của gói.
Công nghệ này duy trì hoàn toàn trạng thái phiên làm việc (session state). Mỗi lần một kết nối TCP/UDP được thiết lập cho các kết nối inbound và outbound, thông tin được ghi nhật ký (log) vào bảng luồng các phiên đủ trạng thái (stateful session flow table)
Stateful session flow table chứa địa chỉ nguồn và đích, số hiệu cổng, thông tin TCP sequencing và các cờ (flag) bổ sung cho mỗi kết nối TCP/UDP liên quan đến phiên cụ thể đó. Thông tin