Upload
nha
View
220
Download
5
Embed Size (px)
DESCRIPTION
Bao Cao Linux
Citation preview
Phần 1: Triển khai DNS
1. Giới thiệu
DNS là từ viết tắt trong tiếng anh của Domain Name System, là Hệ thống tên miền được phát minh vào năm 1984 cho Internet, chỉ một hệ thống cho phép thiết lập tương ứng giữa địa chỉ IP và tên miền. Hệ thống tên miền (DNS) là một hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ, hoặc bất kì nguồn lực tham gia vào Internet. Nó liên kết nhiều thông tin đa dạng với tên miền được gán cho những người tham gia. Quan trọng nhất là, nó chuyển tên miền có ý nghĩa cho con người vào số định danh (nhị phân), liên kết với các trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa các thiết bị khắp thế giới.
2.Các bước cài đặt
+ update
sudo apt-get update
+ cài bind9
sudo apt-get install bind9
+ mở file: gedit /etc/bind/named.conf.options
Và chỉnh nội dung thành
forwarders {
8.8.8.8;
8.8.4.4;
};
+ restart server
sudo service bind9 restart
+ mở file : gedit /etc/resolv.conf
Và chỉnh nameserver 127.0.0.1
+ tạo file db.nhom4175.com bằng cách
sudo cp /etc/bind/db.local /etc/bind/db.nhom4175.com
+ mở file: gedit /etc/bind/db.nhom4175.com
Và chỉnh nội dung:
; BIND data file for local loopback interface
;
$TTL 604800
@ IN SOA ns. nhom4175.com. root.ns. nhom4175.com. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.nhom4175.com.
@ IN A 192.168.6.5
@ IN AAAA ::1
ns IN A 192.168.6.5
www IN A 192.168.6.10
và tạo file db.192 bằng cách copy từ file db.127
sudo cp /etc/bind/db.127 /etc/bind/db.192
+ mở file : gedit /etc/bind/db.192
Và chỉnh nội dung
; BIND reverse data file for local loopback interface
;
$TTL 604800
@ IN SOA ns. nhom4175.com. root.ns. nhom4175.com. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.
5 IN PTR ns. nhom4175.com.
10 IN PTR www. nhom4175.com.
+ mở file : gedit /etc/bind/named.conf.local
Và chỉnh nội dung
// Forward zone
zone " nhom4175.com" {
type master;
file "/etc/bind/db. nhom4175.com";
};
//reverse zone
zone "6.168.192.in-addr.arpa" {
type master;
file "/etc/bind/db.192";
};
+ restart service
sudo service bind9 restart
+kiểm tra bằng lệnh
Nslookup www.nhom4175.com
Kết quả trả về server và adress…là được
Và nslookup 192.168.6.5
Kết quả trả về name=www.nhom4175.com là được
sudo a2enmod ssl
sudo service apache2 restart
sudo mkdir /etc/apache2/ssl
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt
sudo nano /etc/apache2/sites-available/default-ssl.conf
sudo a2ensite default-ssl.conf
sudo service apache2 restart
Phần 2: Triển khai Web server
1. Giới thiệuHTTP là một giao thức cho phép tr.nh duyệt Web Browser và servers có thể giao tiếp với nhau. Nó chuẩn hoá các thao tác cơ bản mà một Web Server phải làm được. HTTP bắt đầu là 1 giao thức đơn giản giống như với các giao thức chuẩn khác trên Internet, thông tin điều khiển được truyền dưới dạng văn bản thô thông qua kết nối TCP. Do đó, kết nối HTTP có thể thay thế bằng cách dùng lệnh “telnet” chuẩn.Apache là một phần mềm có nhiều tính năng mạnh và linh hoạt dùng để làm Web Server .
2. Các bước cài đặt
+Root máy bằng:
Sudo –i
+Cài apache2 :
sudo apt-get install apache2
+khởi apache2 :
sudo /etc/init.d/apache2 start
+cài tên host
gedit /etc/hosts và thêm vào dòng khai báo servername nhom4175.com
+tạo 1 file index.html trong var/www/html/
gedit /var/www/html/index.html
+với nội dung:
<html>
<head>
<title>nhom4175.com</title>
</head>
<body>
<h1>
xin chao cac ban den voi website nhom4175.com.
<h1>
<body>
<html>
+lưu lại rồi restart
sudo apache2ctl restart
+cài php
sudo apt-get install php5 libapache2-mod-php5
+restart lại
sudo a2enmod php5
tạo 1 file index.php
gedit /var/www/html/index.php
+với nội dung
<?php
phpinfo();
?>
+và chạy thử bằng cách vào firefox gõ đường link nhom4175.com/index.php
Phần 3: Triển khai dịch vụ mail
+ Cài postfix , dovecot, squirrelmail, php (cấu hình postfix ở bước sau, chưa cấu hình khi cài đặt)
sudo apt-get install php postfix dovecot-common dovecot-imapd dovecot –pop3d squirrelmail
+ Dùng dns ở phần trên nhưng ở file thuận thêm dòng
IN MX 10 mail.nhom4175.com.
+ Reset lại bind9
service bind9 restart
+ Dùng nslookup để kiểm tra
Nslookup mail.nhom4175.com
+ Vào sites-available vào tạo tập tin mail.conf
cd /etc/apache2/sites-available/
nano mail.conf
nội dung trong mail.conf
<VirtualHost *:80>
ServerAdmin webmaster@localhost
ServerName mail.nhom4175.com
DocumentRoot /usr/share/squirrelmail
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /usr/share/squirrelmail/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>
ErrorLog /var/log/apache2/error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
CustomLog /var/log/apache2/access.log combined
Alias /doc/ "/usr/share/doc/"
<Directory "/usr/share/doc/">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0 ::1/128
</Directory>
</VirtualHost>
+ restart lại apache2
invoke-rc.d apache2 restart
+ cấu hình postfix
dpkg-reconfigure postfix
OK -> Local only -> mail.nhom4175.com -> OK -> thêm nhom4175.com và mail.nhom4175.com-> No -> thêm địa chỉ IP -> OK -> OK.
+ chỉnh squirrelmail theo hình
nano /etc/squirrelmail/apache.conf
+ chỉnh file dovecot.conf theo hình
+ restart lại bind9 apache2 postfix dovecot
+ tạo thêm 1 số user để test gửi mail
+đăng nhập vào như hình là thành công
+ test gửi mail như hình là thành công
Ph n 4 C u hình firewall:ầ ấ
a. Xây d ng mô hình 3 n i (trong, gi a, ngoài)ự ơ ữ Mô hình 3 nơi Cài 4 máy ảo(3 máy CentOS, 1 máy ubuntu) trên VMware. Trong đó 1 máy
đại diện cho máy ngoài (có thể dùng máy thật để đại diện cho máy ngoài),
Firewall đại diện cho máy trung gian, bên trong mạng nội bộ có một máy
client và 1 máy đóng vai trò là DNS-server và Web-server
Các máy được cấu hình đỉa chỉ IP giống như hình vẽ trên(các máy đều cấu hình như nình thường).Máy chủ Fiwall cần cẩn thận hơn vì cần 2 card mạng
Máy Firewall : có 2 card mạng.- Card trong là eth1 có địa chỉ 192.168.2.1 kết nối với mạng nội bộ thông
qua VMnet8- Card ngoài eth0 có địa chỉ 192.168.45.1 kết nối với mạng Internet ( sử
dụng PC làm đại diện) Máy Firewall sử dụng cơ chế NAT để chuyển tiếp gói tin. Khi gói tin tới cổng eth1 sẽ được chuyển tiếp qua cổng eth0 và ngược lại.
- Mạng nội bộ (máy client và DNS-server) được kết nối với Firewall qua cổng eth0
Cấu hình địa chỉ mạng cho các máy: Cấu hình ip cho từng card mạng: sử dụng nano,gedit, vi… để cấu hình trong
file interfaces (cũng có thể cấu hình cho máy bằng giao diện đồ họa)
Khởi động lại network bằng lệnh: #service network restart
Làm tương tự với các máy khác
a. Demo firewall iptables1) Cài đặt ssh, telnet giữa các máy (yêu cầu máy cài có kết nối mạng internet )
Cài đặt: #yum install telnet-server #yum install sshdKhi hỏi có đồng ý hay không (y,n) chon y để cài đặt.
Thực hiện telnet và ssh giữa các máy: SSH từ máy client đến firewall:
#ssh 192.168.2.1
Khi chương trình hỏi password thì chúng ta nhập password của root.Sau
khi nhập xong thì ssh từ client đến firewall được thực hiện
Kết luận: Như vậy là chúng ta đã cấu hình và cài đặt thành công mô hình 3 nơi (trong, giữa, ngoài) và cài đặt cũng như sử dụng các dịch vụ như ping, telnet, ssh, truy cập web… một các bình thường. Bây giờ chúng ta sẽ bắt tay vào cấu hình firewall iptables để chặn ping, telnet, ssh, web, chặn cổng, chặn giao thức…
2) Demo một số rules trong iptables
Chặn ping từ máy client đến firewalliptables -A INPUT -s 192.168.2.5 -d 192.168.2.1 -p icmp -j REJECT
Cấm ping trong trường hợp tường lửa iptables đang cho phép request gửi tới máy chủ(cấm lệnh ping từ ngoài tới máy chủ)==>làm cho máy chủ có vẻ như là đang ofline
# iptables –A INPUT –p icmp –j DROPHoặc # iptables –A INPUT –p icmp –j REJECT
Chặn telnet từ máy client đến máy firewalliptables -A INPUT –s 192.168.0.9 –d 192.168.0.8 –p tcp -- dport 23 -j REJECT
Chặn ssh từ máy client đến máy firewallIptables –A INPUT –s 10.0.0.15 –d 10.0.0.2 –p tcp -- dport 22 –j REJECT
Cho phép ping từ máy client đến máy PC (thuộc mạng ngoài)
-Bật cơ chế chuyển tiếp gói tin trong bảng iptables :Echo ‘1’ >/proc/sys/net/ipv4/ip_forward
-Cho phép gói tin icmp được chuyển tiếp từ máy client đến máy PC thông qua cổng input là eth1 và cổng output là eth0Iptables –A FORWARD –s 192.168.2.5 –d 192.168.45.5 -i eth1 –o eth0 –p icmp – j ACCEPT
- Từ chối telnet từ máy PC đến mày firewallIptables –A INPUT –s 10.0.0.3 –d 192.168.0.8 –p tcp --dport 23 –j REJECT
-Từ chối ping từ máy PC đến máy firewallIptables –A INPUT –s 192.168.45.5 –d 192.168.45.1 –p icmp –j REJECT
-Từ chối chuyển tiếp gói tin từ PC đến máy clientIptables –A FORWARD –s 192.168.45.5 –d 192.168.2.5 –p icmp –j REJECT
-Từ chối chuyển tiếp gói tin từ máy PC đến DNS-serverIptables –A FORWARD –s 192.168.45.5 –d 192.168.2.6 –p icmp –j REJECT
-Cho phép máy PC truy cập web (qua cổng 80) đến máy DNS-server thông qua cơ chế nat Iptables –t nat –A PREROUTING –d 192.168.45.5 –I eth0 –p tcp --dport 80 –j DNAT --to-destination 192.168.2.6:80