Tài liệu quản trị hệ thống Linux CMC

Dịch vụ này liên quan đến rất nhiều các dịch vụquan trọng khác sử dụng trong mạng Intranet như Email, Web…ví dụ khi truy cập đến địachỉ trang Web: www.cmc.com.vn hay gửi thư đến địa chỉ

Tài liệu hướng dẫn quản trị các dịch vụ trong mạng Intranet trên nền HĐH Linux

Mục lục

1 Dịch vụ DNS 4

1.1 Các khái niệm cơ bản 4

1.2 Lựa chọn và đăng ký domain cho hệ thống 4

1.3 Mô hình thử nghiệm 5

1.4 Cấu hình dịch vụ DNS 7

1.4.1 Cấu hình cho máy chủ trung ương 7

1.4.2 Cấu hình cho máy chủ tỉnh 17

2 Dịch vụ DHCP 19

2.1 Các khái niệm cơ bản 19

2.2 Cấu hình dịch vụ sử dụng trong mô hình hiện tại 19

2.3 Các bước cấu hình dịch vụ DHCP cho máy chủ 20

3 Dịch vụ FTP 22

3.1 Các khái niệm cơ bản 22

3.2 Dịch vụ FTP trong mô hình hiện tại 23

3.2.1 Phân loại và cấp quyền cho user (User Classes) 24

3.2.2 Chỉ định các thư mục gốc cho user 25

3.2.3 Các luật bảo mật 26

3.2.4 Các thông điệp tới user 27

3.2.5 Nhật ký 28

3.2.6 Tỷ lệ Upload/Download 29

3.2.7 Máy ảo: 30

3.2.8 Một số luật bổ sung cho file cấu hình 31

4 DỊCH VỤ SQUID 33

4.1 Các khái niệm cơ bản 33

4.1.1 Những lựa chọn về mạng 33

4.1.2 Những lựa chọn về quá trình xử lý các yêu cầu của client 34

4.1.3 Những lựa chọn để đặt kích thước cache 34

4.1.4 Xác định vị trí đặt các file log và thư mục dành cho cache 35

4.1.5 Điều chỉnh cache 35

4.1.6 Điều khiển quá trình truy cập qua proxy 36

4.1.7 Các tham số quản trị 39

4.2 Mô hình thử nghiệm 39

4.2.1 Cấp Trung ương 40

4.2.2 Cấp tỉnh (Hà Nam) 41

4.2.3 Cấp huyện (Lý Nhân) 42

5 Dịch vụ cung cấp sổ địa chỉ dùng OpenLdap 42

5.1 Các khái niệm cơ bản 42

5.1.1 Dịch vụ thư mục (directory service) 42

5.1.2 LDAP 43

5.1.3 Cách thức LDAP làm việc 44

5.1.4 Giới thiệu về X.500 44

5.2 Mô hình hệ thống thử nghiệm 44

5.3 Cấu hình một hệ cung cấp dịch vụ sổ địa chỉ đơn giản 44

5.3.1 Cấu hình các tham số trong file /etc/openldap/slapd.conf 44

5.3.2 Cấu hình tham số trong file /etc/ldap.conf 44

5.3.3 Khởi động dịch vụ 45

5.3.4 Tạo các bản ghi địa chỉ 45

5.4 Các tác vụ thực hiện với sổ địa chỉ 46

5.4.1 Thêm/Cập nhật/Xoá/Liệt kê bản ghi địa chỉ 46

5.4.2 Nhân bản dữ liệu 46

6 Cấu hình dịch vụ sendmail 47

6.1 Cấu hình cơ bản – Basic Sendmail 47

6.1.1 Domain đại diện 48

6.1.2 Chấp nhận domain 48

6.1.3 Máy chủ thư chính – Mail server 48

6.1.4 Trạm chuyển tiếp thư – Mail gateway 48

6.1.5 Giao thức chuyển thư 48

6.1.6 Sử dụng kết hợp với DNS 49

6.1.7 Bí danh cho hệ thống 49

6.2 Cấu hình định tuyến thư (tài khoản) 49

6.2.1 Các ý tưởng 49

6.2.2 Xây dựng luật định tuyến 49

6.3 Thiết lập nâng cao (anti-spam) 50

6.3.1 Nguyên lý hoạt động 51

6.3.2 Sử dụng tên hay địa chỉ IP ? 51

6.3.3 Cấu hình gửi trả thư 51

6.3.4 Cho phép `Relay' (IP) 51

6.3.5 Cho phép `Relay' (Tên) 51

6.3.6 Chuyển tiếp tới 52

6.4 Thiết lập các tham số cấu hình cho hệ thống thư của VPTW 52

6.4.1 Máy chủ thư cấp trung ương 52

6.4.2 Máy chủ thư cấp tỉnh/TP 56

6.4.3 Máy chủ thư cấp quận/huyện 62

7 Xây dựng hệ Linux Firewall 62

7.1 Các khái niệm cơ bản 62

7.1.1 Firewall –tường lửa 62

7.1.2 Các công nghệ FW 62

7.1.3 Mô hình mạng dùng Linux FW 63

7.1.4 Các thế hệ Linux Firewall 63

7.1.5 Giới thiệu về Netfilter / iptables 63

7.2 Mô hình thử nghiệm 66

7.3 Cấu hình FW cho mô hình thử nghiệm 66

1 Dịch vụ DNS

1.1 Các khái niệm cơ bản

Dịch vụ DNS (Domain Name Service) có thể hiểu là “Dịch vụ giải nghĩa tên miền”cho một hệ thống mạng Dịch vụ này làm nhiệm vụ chính là giải nghĩa địa chỉ tên miềnsang địa chỉ IP của máy chủ và ngược lại Dịch vụ này liên quan đến rất nhiều các dịch vụquan trọng khác sử dụng trong mạng Intranet như Email, Web…ví dụ khi truy cập đến địachỉ trang Web: www.cmc.com.vn hay gửi thư đến địa chỉ mail: lthang@cmc.com.vn thì tênmiền cmc.com.vn sẽ được giải nghĩa và hướng đến các máy chủ có địa chỉ IP khai báo sắn

Dịch vụ DNS trong hệ điều hành Linux được xây dựng bởi Named trong đó ngườiquản trị có thể sử dụng các công cụ hỗ trợ của Linux hoặc tác động trực tiếp vào các filecấu hình của dịch vụ.Trong khuôn khổ tài liệu này, hai phương pháp cấu hình dịch vụ DNSđược trình bày bao gồm: Phương pháp tác động trực tiếp vào file cấu hình và phươngpháp sử dụng trình Binconf trong chế độ đồ hoạ (GNOME hoặc KDE)

1.2 Lựa chọn và đăng ký domain cho hệ thống

Domain nên có tên ngắn gọn, gợi nhớ đến chức năng của cả tổ chức/cơ quan, đối

với hệ thống thông tin của Đảng, chúng ta có thể lựa chọn domain: vietpart.gov.vn

Phù hợp theo mô hình tổ chức phân cấp (cả về hành chính, cũng như trao đổi

thông tin), domain vietpart.gov.vn sẽ được quản lý bởi máy chủ DNS tại cấp Trung ương.

Trong tương lai, khi đăng ký domain lên Internet (chẳng hạn ở Việt nam: các thủtục đăng ký sẽ được tiến hành với VNNIC) và đầu tư đường kết nối Internet trực tiếp(leasedLine + các địa chỉ IP Internet cố định), mọi yêu cầu giải nghĩa tên máy (tên máy -

> địa chỉ IP) phục vụ truy nhập từ thế giới Internet bên ngoài tới các máy chủ cung cấpcác dịch vụ công cộng như Web, FTP, sẽ được máy chủ DNS của VNNIC chuyển tới máychủ DNS đặt tại trung tâm thông tin văn phòng Trung ương Việc quản lý trực tiếp domain(sử dụng máy chủ DNS riêng, KHÔNG đăng ký từng bản ghi riêng lẻ với VNNIC) đem lạicác thuận lợi:

 Thuận tiện, dễ dàng thêm/bớt, chỉnh sửa các bản ghi phục vụ các yêu cầu nội bộ

Ví dụ: có thể thêm các bản ghi như: proxy.vietpart.gov.vn,firewall.vietpart.gov.vn,

 Toàn bộ các domain con là do chính chúng ta quản lý Chúng ta có thể thêm/bớtdomain con (tương ứng với một Tỉnh/Thành), thêm/bớt, chỉnh sửa bản ghi có trongdomain con Ví dụ, đối với một Tỉnh/Thành -> có thể sử dụng tên viết tắt (03 chữcái) khi tạo mới domain con, và domain con sẽ có dạng: xxx.vietpart.gov.vn;

chẳng hạn hna.vietpart.gov.vn là domain đại diện cho Tỉnh Hà nam, vàmail.hna.vietpart.gov.vn là tên máy chủ eMail tại Hà nam.

Như đã mô tả trong phần trước, về mặt logic: đã có domain vietpart.gov.vn là domain đạidiện cho toàn hệ thống và được sử dụng trực tiếp tại văn phòng Trung ương, các domainxxx.vietpart.gov.vn sẽ đại diện cho các Tỉnh/Thành tương ứng

Về nguyên tắc: tất cả mọi bản ghi trực thuộc domain vietpart.gov.vn, cũng như các bảnghi trực thuộc các domain con xxx.vietpart.gov.vn đều có thể được khai báo và quản lýtrên một máy chủ DNS duy nhất – máy chủ DNS cấp Trung ương Tuy nhiên cách làm nàylại kéo theo những bất lợi sau:

 Không mềm dẻo trong quản lý bản ghi DNS Ví dụ: một yêu cầu thêm/bớt, chỉnhsửa bản ghi cho một Tỉnh/Thành nhằm phục vụ nhu cầu nội bộ tại một Tỉnh/Thànhluôn phải gửi lên Trung ương (đường eMail, đường thư tín, công văn) và sau đó làchờ đợi cập nhật tại máy chủ DNS Trung ương

 Tải trên mạng diện rộng, máy chủ DNS Trung ương sẽ tăng cao do mọi yêu cầugiải nghĩa DNS đều được gửi tới máy chủ DNS Trung ương Và trong thực tế, cáckết nối tới Trung ương phần lớn đều được thực hiện thông qua modem (quay số sử

dụng mạng thoại) cũng có thể sẽ kéo theo tình trạng nghẽn tổng đài tại TW (yêu

cầu quay số có thể xuất phát từ bất kỳ một đơn vị cấp Quận/Huyện, cấp

Tỉnh/Thành và đồng thời từ nhiều nơi trong cùng thời điểm), và phụ trội về cước

phí

Do vậy hệ thống DNS của chúng ta sẽ được xây dựng với cách thức tổ chức sau:

 Hệ thống domain được phân cấp tới Tỉnh/Thành

 Tại mỗi cấp, đều có một máy chủ DNS đảm bảo các yêu cầu giải nghĩa tên thiếtyếu, cần thiết cho truy nhập các dịch vụ có trên hệ thống nội bộ

 Khi cần giải nghĩa các tên máy KHÔNG thuộc diện quản lý nội bộ, máy chủ DNS tạimột cấp sẽ chuyển yêu cầu tới máy chủ DNS cấp trên

1.3 Mô hình thử nghiệm

Domain chính vietpart.gov.vn sẽ được quản lý bởi máy chủ DNS tại trung ương Các bảnghi thiết yếu được mô tả tại máy chủ DNS trung ương sẽ làm nhiệm vụ giải nghĩa tên chocác máy chủ dịch vụ Web, FTP, Email, Proxy, Firewall

Máy chủ DNS tại Trung ương

domain: vietpart.gov.vn

Máy chủ DNS cấp trên: 203.162.0.11 (ví dụ là máy chủ DNS có tại nhà cung cấp dịch vụ ISP VDC)

-Bản ghi Kiểu Tên máy Địa chỉ IP Ghi chú

Các bản ghi tham chiếu tới domain vietpart.gov.vn (Trung ương)

vietpart.gov.vn MX mail.vietpart.gov.vn Bản ghi MX phục vụ eMail

domain vietpart.gov.vn mail.vietpart.gov.vn A 192.168.1.1 Địa chỉ IP máy chủ eMail

www.vietpart.gov.vn A 192.168.1.1 Địa chỉ IP máy chủ WEB

ftp.vietpart.gov.vn A 192.168.1.1 Địa chỉ IP máy chủ FTP

Db.vietpart.gov.vn A 192.168.1.1 Địa chỉ IP máy chủ CSDL

Máy chủ DNS tại Tỉnh/Thành – lấy Hà nam làm ví dụ

domain: hna.vietpart.gov.vn

Máy chủ DNS cấp trên: dnsparent.han.vietpart.gov.vn

Bản ghi Kiểu Tên máy Địa chỉ

hna.vietpart.gov.vn mail.hna.vietpart.gov.vn A x.x.x.x Địa chỉ IP máy chủ eMail

www.hna.vietpart.gov.vn A x.x.x.x Địa chỉ IP máy chủ WEB

ftp.hna.vietpart.gov.vn A x.x.x.x Địa chỉ IP máy chủ FTP

db.hna.vietpart.gov.vn A x.x.x.x Địa chỉ IP máy chủ CSDL

Bản ghi tham chiếu tới cấp trên

dbparent.hna.vietpart.gov.vn A x.x.x.x Địa chỉ IP máy chủ CSDL

dnsparent.hna.vietpart.gov.vn A x.x.x.x Địa chỉ IP máy chủ CSDL

Ghi chú:

dbparent.hna.vietpart.gov.vn cần có địa chỉ IP phù hợp tham chiếu tới máy chủ

CSDL trên Trung ương

dnsparent.hna.vietpart.gov.vn cần có địa chỉ IP phù hợp tham chiếu tới máy chủ

DNS trên Trung ương

(Người quản trị tại cấp Tỉnh/Thành cần liên hệ tới người quản trị cấp Trung ương để

có thông tin về địa chỉ IP các máy chủ cấp Trung ương – các máy chủ cấp Tỉnh/Thànhmuốn trao đổi thông tin với)

Kiểu bản ghi A (Address): Địa chỉ IP Internet thuần tuý.

Kiểu bản ghi MX (Mail Exchange): Bản ghi kiểu này định nghĩa một eMail Domain

sẽ được quản lý cụ thể bằng một máy chủ có tên là gì? Sau khi đã mô tả tên máy chủeMail, cũng cần mô tả tiếp địa chỉ IP tương ứng

Chi tiết hơn về vai trò của bản ghi MX – trong gửi eMail sử dụng chuẩn SMTP

Khi một máy chủ eMail cần gửi eMail tới một người dùng có địa chỉ không thuộcdiện quản lý nội bộ (khác eMail domain), nó sẽ tiến hành các thao tác:

 Nhờ dịch vụ DNS xác định: máy chủ eMail quản lý trực tiếp domain đích có tên là

gì?

 Với tên máy nhận được, lại hỏi tiếp dịch vụ DNS: địa chỉ IP tương ứng là gì?

 Thiết lập kết nối SMTP với máy chủ có địa chỉ IP vừa nhận được, và gửi thẳng,

trực tiếp eMail tới máy chủ đích.

Trong trao đổi eMail trên diện rộng, với hạ tầng truyền thông hiện tại của chúng tachủ yếu sử dụng kết nối quay số qua modem tỏ ra không phù hợp với phương thức gửi

thẳng/trực tiếp nêu trên (ví dụ: gửi eMail từ Huyện -> Huyện trong cùng Tỉnh, khi mà

tại Huyện, việc kết nối ra bên ngoài chủ yếu dựa vào kết nối gián tiếp thông qua Tỉnh)

Việc mô tả bản ghi MX chỉ mang tính chất giới thiệu, chuẩn bị trước cho hệ thốngkhi được nâng cấp về hạ tầng truyền thông

1.4 Cấu hình dịch vụ DNS

Trên Linux, việc cấu hình dịch vụ DNS (named) có thể được thực hiện bằng cách

thao tác trực tiếp với file cấu hình (‘/etc/named.conf’), với các file lưu giữ các bản ghi DNS(có trong thư mục: ‘/var/named’), hoặc kết hợp với tiện ích có giao diện thân thiện:

bindconf.

Cấu hình dịch vụ DNS được thao tác với hai đối tượng chính là file cấu hình(‘/etc/named.conf’), tại đây chỉ ra các thiết lập cho hệ thống dịch vụ Named và các thamchiếu đến các file lưu giữ các bản ghi DNS (trong thư mục: ‘/var/named’)

1.4.1 Cấu hình cho máy chủ trung ương

Nội dung file cấu hình /etc/named.conf trong máy chủ trung ương:

Nội dung file cấu hình có thể hiểu một cách tường minh là các dòng lệnh với các tham sốxác định Các tham số chính trong file sẽ chỉ ra các đường kết nối đến các bản ghi mà cácyêu cầu giải nghĩa tên sẽ tìm đến Các bản ghi này được định vị tại thư mục ‘/var/named’

-và nội dung các bản ghi chính là các thông tin đã nêu ở trên

Dòng lệnh forwarders chỉ ra máy chủ giải nghĩa tên mức cao hơn vì máy chủ DNStrung ương chỉ có nhiệm vụ giải nghĩa tên các máy chủ dịch vụ trong domainvietpart.gov.vn Khi có các yêu cầu giải nghĩa tên ngoài domain vietpart.gov.vn, máy chủDNS trung ương sẽ nhờ máy chủ của nhà cung cấp ISP (trong trường hợp này là máy chủcủa VDC) thực hiện các nhiệm vụ này

Dòng lệnh zone chỉ ra các tên bản ghi, kiểu bản ghi và một số tham số kèm theo.Các bản ghi này là bảng ánh xạ giữa địa chỉ IP và các máy chủ dịch vụ và được đặt trongthư mục ‘/var/named’

Dòng lệnh: zone "." IN là mặc định, chỉ ra đây là domain root của hệ thống

Dòng lệnh: zone “localhost” là mặc định, chỉ ra máy chủ hiện tại

Dòng lệnh: zone “vietpart.gov.vn” đáp ứng các yêu cầu giải nghĩa từ tên máy chủsang địa chỉ IP thuộc domain vietpart.gov.vn bằng cách tham chiếu đến file bản ghi

‘vietpart.gov.vn.zone’

Dòng lệnh: zone “0.0.127.in-addr.arpa” đáp ứng yêu cầu giải nghĩa ngược từ địachỉ IP sang tên máy chủ đối với địa chỉ IP loopback của máy chủ hiện tại( địa chỉ IPloopbcack là 127.0.0.1)

Dòng lệnh: zone"1.168.192.in-addr.arpa" IN đáp ứng các yêu cầu giải nghĩa ngược

từ địa chỉ IP sang tên máy chủ đối với domain vietpart.gov.vn được quản lý bởi máy chủnày (có địa chỉ IP là 192.168.1.1)

Dòng lệnh key "key" là mặc định.

Như vậy, nội dung file cấu hình named.conf có thể được cập nhật và sửa đổi theo các cúpháp đã trình bày ở trên Với một số dòng lệnh là mặc định, hai dòng lệnh cần quan tâm

chính là zone “vietpart.gov.vn” và zone "1.168.192.in-addr.arpa" tham chiếu đến domain

vietpart.gov.vn, do đó khi cần thêm một domain khác, ta có thể sử dụng cú pháp tương tự

để cấu hình cho domain đó

Nội dung các file bản ghi trong thư mục ‘/var/named’: Các file trong thư mục trên

đã được chỉ ra trong file cấu hình trong đó một số file là mặc định trong hệ thống:

File named.ca là mặc định phục vụ cho thư mục root

File named.local và localhost.zone là mặc định và phục vụ cho máy chủ hiện tại

File vietpart.gov.vn.zone chứa các bản ghi tham chiếu đến domain vietpart.gov.vn đượcchỉ ra trong file cấu hình Nội dung của file:

-Bản ghi chỉ ra các thông số: Máy chủ quản trị DNS có tên dns1.vietpart.gov.vn, địa chỉ mail của người quản trị là dns-master.vietpart.gov.vn quản lý domain vietpart.gov.vn

với các tham số như Serial, Refresh, Retry, Expire, Minimum được thiết lập với các giá trịnhư trên

Nhiệm vụ quản lý Email cho domain vietpart.gov.vn do máy chủ

mail.vietpart.gov.vn quản lý

Máy chủ quản trị mail, Web,FTP, Squid đều có địa chỉ IP là 192.168.1.1

Người quản trị hoàn toàn có khả năng thêm các bản ghi khác vào file với cú pháp tương

tự Các bản ghi là các ánh xạ 1:1 giữa địa chỉ IP và tên máy chủ quản trị dịch vụ tươngứng

File 1.168.192.zone chứa các bản ghi tham chiếu ngược từ địa chỉ IP sang tên máychủ Nội dung file:

Cấu hình dịch vụ DNS như đã chỉ ra, chúng ta có thể sử dụng phương pháp tácđộng trực tiếp vào file cấu hình với nội dung trên hoặc sử dụng một chương trình thông

dụng trong chế độ đồ hoạ có tên bindconf Chương trình này có trong cả hai màn hình đồ

hoạ GNOME và KDE

Khởi động bindconf: MainMenuButton=>Programs=>System=>bindconf.

Thông thường khi chưa có file cấu hình nào, ta có sẵn localhost.zone và addr.arpa

0.0.127.in-Thêm file chứa bản ghi chính cho domain: Nhấn Add và chọn Forward Master

Zone

Trên màn hình, điền tên domain vietpart.gov.vn, file cấu hình vietpart.gov.vn.zone vàtham số Primary Name Server có thể đặt là @

Muốn đặt thêm các tham số, ta vào Time Setting, tại đây có các tham số Refresh,

Retry, Expire và Minimum TTL Các giá trị được đặt như trong file cấu hình.

Tại ô Record, nhấn vào nút Edit để thêm máy chủ giải nghĩa tên là dns1.vietpart.gov.vn,máy chủ quản lý mail là mail.vietpart.gov.vn và địa chỉ IP là 192.168.1.1

Tại ô Record, nhấn vào nút Add để thêm các máy chủ WWW, máy chủ FTP và các máychủ cần thiết khác cùng địa chỉ IP của các máy.

Trong trường hợp chúng ta thêm vào domain vietpart.gov.vn theo phương pháp này, hệthống sẽ tự tạo ra file vietpart.gov.vn.zone chứa các bản ghi đồng thời thêm các dònglệnh như trên vào file cấu hình Nếu muốn sửa đổi file cấu hình, chúng ta có thể chọn lựachế độ Edit thay cho Add và tiến hành các phép sửa đổi cần thiết

Trong trường hợp muốn cấu hình file làm nhiệm vụ giải nghĩa ngược từ địa chỉ IP

-> Tên máy chủ, từ màn hình khởi động của bindconf, sau khi chon Add, ta chọn Reverse

Master Zone

Đưa 3 octet đầu tiên trong địa chỉ IP của máy chủ, hệ thống sẽ tự động tạo ra filebản ghi (Đảo ngược 3 octet đầu của địa chỉ IP) Tên của file bản ghi sẽ được từ động đặttheo qui định là 1.168.192addr-apra.zone (Địa chỉ IP máy chủ DNS trong trường hợp này

là 192.168.1.1)

Primary Name Server (SOA) được sử dụng mặc định là @

Các giá trị trong Time Setting nên đặt mặc định

Trong ô Name Server, chúng ta sẽ trỏ vào tên của máy chủ dns1.vietpart.gov.vn

Trong ô Reserve Address Table, chúng ta sẽ thêm vào máy chủ mail.vietpart.gov.vn và

www.vietpart.gov.vn với các địa chỉ IP chính xác

Sau các bước trên, hệ thống sẽ tạo ra file bản ghi 1.168.192.zone và thêm vào fille cấu hình các dòng lệnh cần thiết

Bước cuối cùng là vào menu File -> Apply để thực hiện các thay đổi

Lưu ý : Khi cấu hình, chỉ nên sử dụng 1 trong hai phương pháp sửa trực tiếp vào file hoặc

gián tiếp qua bindconf, cũng có thể chấp nhận làm theo phương pháp gián tiếp bằng

bindconf và sau đó sửa đổi trực tiếp vào file mà không thể dùng trình bindconf để sửa

đổi các thông tin đã được tạo ra bởi cách làm trực tiếp vì trình bindconf chỉ đọc và quản

lý được các thông tin, dữ liệu do chính nó tạo ra mà không thể cập nhật các thông tin tạo

ra bằng phương pháp khác, do đó nó sẽ xoá tất cả các dữ liệu do các phương pháp khác

tạo ra Đây là hạn chế của bindconf.

1.4.2 Cấu hình cho máy chủ tỉnh

Máy chủ tỉnh quản lý các domain cấp con của domain vietpart.gov.vn, trong môhình thử nghiệm chúng ta có tỉnh Hà Nam và domain tương ứng là hna.vietpart.gov.vn.Máy chủ của tỉnh Hà Nam sẽ chịu trách nhiệm quản lý domain này và đáp ứng các nhucầu giải nghĩa tên liên quan đến domain này Tương tự như việc quản lý domain trongmáy chủ trung ương, cấu hình máy chủ DNS của tỉnh sẽ bao gồm các file cấu hìnhnamed.conf và các file chứa các bản ghi tham chiếu địa chỉ IP <-> Tên máy, vị trí các filecũng tương tự như trước, tuy nhiên nội dung sẽ khác

Nội dung file cấu hình ‘/etc/named.conf’

-options

{

forwarders

-Cú pháp các lệnh trong file cấu hình không có gì thay đổi, tuy nhiên trong mô hình domaintỉnh, máy chủ DNS của tỉnh Hà Nam có tên và địa chỉ IP khác tương ứng

Việc cấu hình dịch vụ DNS bằng trình bindconf được làm tương tự như trong

trường hợp máy chủ của trung ương

2 Dịch vụ DHCP

2.1 Các khái niệm cơ bản

Trong một mạng máy tính, mỗi máy đều được nhận biết bởi địa chỉ IP và địa chỉ IPđược thiết lập trong mỗi máy tính có thể là địa chỉ IP tĩnh hoặc động Địa chỉ IP tĩnh đượccấp cố định cho các máy PC trong mạng trong khi địa chỉ IP động được cấp mỗi khi máy

PC đó kết nối vào mạng và được quản lý bởi một máy chủ cấp địa chỉ DHCP

Dịch vụ DHCP (Dynamic Host Configuration Protocol) là dịch vụ máy chủ sử dụng

để quản lý địa chỉ IP của các máy trạm Các máy trạm không được phép tự đặt địa chỉ IPtĩnh cho riêng nó mà sẽ được cấp địa chỉ IP động bởi máy chủ DHCP Bằng cách này, máychủ có thể quản lý nguồn tài nguyên địa chỉ IP một cách thống nhất và tránh tình trạngxung đột địa chỉ IP do các user tự ý đặt riêng cho mình, tập trung sự quản lý về mộtnguồn dễ dàng thêm bớt các máy trạm trong trường hợp mở rộng hệ thống mạng Khi cómột máy trạm mới yêu cầu cung cấp địa chỉ IP, máy chủ DHCP sẽ tìm kiếm và gán chomáy đó một địa chỉ IP chưa sử dụng trong nguồn tài nguyên của nó và không cho phép sửdụng địa chỉ đó lần thứ 2 trong bất kỳ máy nào khác

Nhiệm vụ cấu hình dịch vụ DHCP làm trên cả máy chủ và máy trạm trong hệ thốngmạng, tuy nhiên chúng ta chỉ quan trọng trong phần cấu hình cho máy chủ quản lý dich

vụ này Cấu hình máy chủ DHCP trong Linux được thực hiện bởi ứng dụng DHCPD với toàn

bộ các lệnh cấu hình được đặt trong file ‘/etc/dhcpd.conf’ và các file thư viện cần thiết chofile cấu hình được đặt trong ‘/var/lib/dhcpd’ Nội dung các file cấu hình và các file thư việnđều có khả năng chỉnh sửa trực tiếp, và cấu hình hệ thống hoạt động với yêu cầu cardmạng của máy chủ DHCP phải thực hiện ở chế độ multicast

2.2 Cấu hình dịch vụ sử dụng trong mô hình hiện tại

Trong mô hình thử nghiệm, dịch vụ DHCP chưa được sử dụng, tuy nhiên chúng ta có thểgiả định các thiết lập có thể sử dụng được trong thực tế Các máy chủ Linux sử dụng dịch

vụ DHCP để cấp địa chỉ IP cho các máy trạm trong mạng LAN của nó

 Giả sử các mạng LAN có địa chỉ 192.168.1.0/255.255.255.0 đều cấp địa chỉ IP chocác máy trạm Như vậy, các địa chỉ IP mà máy chủ cung cấp được xác định trongkhoảng 192.168.1.2 – 192.168.1.254 với mặc định địa chỉ IP của máy chủ ?DHCP

là 192.168.1.1

 Các máy trong mạng được ra ngoài Internet thông qua proxy hay router như mộtgateway của mạng

 Các máy tính được đặt địa chỉ IP cố định sẽ có địa chỉ nằm ngoài khoảng địa chỉđộng(Từ 192.168.1.201 trở đi)

2.3 Các bước cấu hình dịch vụ DHCP cho máy chủ

1 Đặt địa chỉ IP cho máy chủ tại các card mạng (địa chỉ IP tĩnh)

2 Chế độ hoạt động của card mạng phải đặt là multicast (Sử dụng lệnh /sbin/ifconfig -a

-4 Tạo file log: Trong thực tế, các địa chỉ IP gán động cho các máy trạm sẽ được ghi lạitrong một file bản ghi có tên dhcpd.lease, tuy nhiên ban đầu chúng ta phải tự tạo rafile bản ghi này trước khi dịch vụ DHCP khởi tạo Lệnh tạo file:

touch /var/lib/dhcp/dhcpd.leases

5 Khởi tạo dịch vụ DHCP qua giao tiếp Ethernet 1

/etc/rc.d/init.d/dhcpd start eth0

6 Kiểm tra và xác nhận sự hoạt động của dịch vụ:

ps ax | grep dhcpd | grep -v grep

7 Nếu muốn dịch vụ hoạt động khi khởi động máy

chkconfig level 35 dhcpd on

8 Cấu hình dịch vụ DHCP trên máy trạm: Việc cấu hình trên máy trạm thực hiện bằngcác trình hỗ trợ như linuxconf, netconf hoặc Control Panel của màn hình đồ hoạ Tất cả cáctrình ứng dụng đó đều cho ta lựa chọn việc gán địa chỉ IP tĩnh hoặc DHCP trong Propertisecủa Network card, và chúng ta sẽ chọn phương pháp cấp địa chỉ IP động bằng DHCP Tuynhiên các phương pháp sử dụng các trình hỗ trợ đều không luôn luôn hoạt động tốt, do đóphương pháp tốt nhất để cấu hình cho máy trạm sử dụng dịch vụ DHCP là soạn thảo trựctiếp vào các file cấu hình card mạng

File cấu hình cho card mạng tại khe Ethernet0:/etc/sysconfig/network-scrips/ifconf-eth0 có nội dung sau:

-Khởi động lại dịch vụ Network trên máy trạm:

service network restart

Sau khi khởi động lại dịch vụ máy trạm, nếu dịch vụ chưa hoạt động, chúng ta có thể sử

dụng các lệnh /sbin/ifup eth0 hoặc pump để yêu cầu máy chủ cung cấp địa chỉ IP cho nó.

9 Trong trường hợp bình thường khi máy trạm khởi động, nó yêu cầu máy chủ DHCP gửiđịa chỉ IP của nó bằng cách gửi một gói tin broadcast yêu cầu DHCP chuẩn tới máy chủ vớiđịa chỉ nguồn là 255.255.255.255 Trong trường hợp máy chủ không biết được phải gửiđịa chỉ IP thoe giao tiếp nào, chúng ta phải thêm vào đường định tuyến đến máy đó, giả

sử thông qua giao tiếp Ethenet0:

route add -host 255.255.255.255 dev eth0

Trong trường hợp xuất hiện thông báo lỗi “255.255.255.255: Unknown host” tại máy chủ, chúng ta phải thêm vào trong file ‘/etc/hosts’ câu khai báo sau: 255.255.255.255 dhcp

Và sau đó thêm vào lệnh định tuyến lại:

route add -host dhcp dev eth0

3 Dịch vụ FTP

3.1 Các khái niệm cơ bản

Một trong những dịch vụ phổ biến nhất được sử dụng trên mạng Internet là dịch vụ truyềntệp (file) qua các máy tính Dịch vụ này được dùng để chuyển tải các file giữa các máy chủtrên mạng, giữa máy chủ và máy khách (client) Các file có thể ở dạng văn bản, ảnh tĩnh,ảnh video, các thư viện, đặc biệt là các phần mềm ứng dụng được cung cấp miễn phí hoặcthử nghiệm

Việc truyền file được thông qua một giao thức của Internet gọi là giao thức FTP (FileTransfer Protocol viết tắt là FTP) Giao thức này thực hiện việc truyền file giữa các máytính không phụ thuộc vào vị trí địa lý hay môi trường hệ điều hành Điều cần thiết là 2máy đều nối mạng Internet và đều có phần mềm có thể hiểu được giao thức FTP

Trên mạng Internet có những loại tài liệu khi muốn dùng FTP để lấy, máy chủ đòi hỏi bạnphải có tên truy nhập và mật khẩu Tuy nhiên có những loại tài liệu hay các phần mềmkhác tác giả muốn cho mọi người cùng được chia sẻ Loại này khi vào lấy chỉ cần khai báomật khẩu là địa chỉ Email của mình và gọi là FTP “vãng lai” (anonymous)

Dịch vụ FTP (File Transfer Protocol) xây dựng với mục đích quản lý các thao tác với các filetrong hệ thống Các tác động đến hệ thống file bao gồm Đọc, Ghi, Sao chép, Dán, Dichuyển, Xoá… sẽ được quản lý bởi không phải bất cứ người dùng nào cũng có toàn quyềntác động đến các file trong hệ thống Khi quản lý hệ thống file trong domain truy cập bởingười dùng trên Internet, nhiệm vụ này càng trở nên quan trọng

Nhiệm vụ quản lý hệ thống file trong Linux được thực hiện bởi WU-FTPD, dịch vụ này cungcấp chức năng quản lý việc truyền file rất đảm bảo dựa trên cơ chế phân quyền hợp lýcho những người dùng ở xa truy cập vào hệ thống Hệ thống sẽ cho phép quản lý với mỗingười dùng các quyền truy cập vào hệ thống file tuỳ theo user name và password đã phânbổ.

3.2 Dịch vụ FTP trong mô hình hiện tại

Trong mô hình hệ thống mạng hiện tại, dịch vụ FTP được cấu hình ở mức đơn giản nhấtbởi tính chất và ứng dụng của dịch vụ này chưa được đặt mức quan trọng Dịch vụ FTPđược xây dựng trong các máy chủ các cấp trung ương và tỉnh, riêng các máy ở dưới huyệnthì dịch vụ FTP sẽ được cấu hình bằng phần mềm hỗ trợ Netrunner

Trong mô hình trung ương hay tỉnh thì hệ thống đều có 2 loại user chính là user nội bộtrong LAN và user truy nhập thông qua Internet từ các cấp khác nhau Các user trongmạng LAN sẽ có các quyền truy cập mức cao hơn so với các user ở bên ngoài, do đó cócác luật sau đây được áp dụng trong hệ thống

Dịch vụ FTP cung cấp trong hệ thống có các tính chất sau:

 Người dùng bên ngoài chỉ được phép truy cập máy chủ với tư cách người dùng

“khách” (Guest) hoặc “vãng lai” (Anonymous)

 Người dùng trong hệ thống mạng nội bộ được truy cập với tư cách người dùng

“thực“ (Real) và cả tư cách người dùng “khách” và “vãng lai”

 Nếu máy trạm chỉ tải file về (download) từ máy chủ FTP: Máy chủ FTP KHÔNG

yêu cầu máy trạm phải đăng nhập (login) tới máy chủ

 Máy chủ FTP chỉ yêu cầu máy trạm đăng nhập (login với tài khoản, mật khẩu phù

hợp), nếu máy trạm có nhu cầu tải file lên (upload) máy chủ Thông thường, hệ

thống thư mục, hệ thống file trên một máy chủ FTP đã được gán quyền sao cho:

khi máy trạm truy nhập máy chủ FTP với mong muốn tải file lên, máy trạm sẽ chỉ

được phép ghi/chép file có trong thư mục riêng tương ứng với tài khoản mà máytrạm đã sử dụng để đăng nhập (Lưu ý: khi có quyền ghi/chép file trong thư mục

riêng -> cũng có nghĩa có thể xoá file khỏi thư mục riêng)

Tuỳ theo nhu cầu và tùy theo từng phân vùng khác nhau trên máy chủ FTP, chúng ta sẽ

quyết định: có cho phép cơ chế “tải file lên” hay không, và nếu cho phép cơ chế này –

chúng ta cũng phải tính đến phương án nâng cao tính an toàn dữ liệu có trong thư mụcriêng của mỗi tài khoản người dùng Ví dụ: Nếu máy chủ FTP có kết nối Internet trực tiếp,một người dùng từ Internet có thể thử mày mò với một số tổ hợp mật khẩu đơn giản vàtruy nhập được tới một thư mục riêng trên máy chủ FTP, khi đó anh/chị ta sẽ có toànquyền thao tác và phá hoại dữ liệu có trong thư mục riêng đó Cách thức đề phòng và

ngăn chặn kiểu thâm nhập này được thực hiện bằng việc mô tả luật phù hợp trong file cấuhình của dịch vụ FTP – wu-ftpd

Cấu hình dịch vụ FTP sử dụng WU-FTPD thực hiện trên 4 file: ‘/etc/ftpaccess’,

‘/etc/ftpusers’, ‘/etc/ftpconversions’ và ‘/etc/ftphosts’, trong đó các luật chính được thựchiện trong file ‘/etc/ftpaccess’ và ‘/etc/ftphost’ và các đối tượng user được đặt trong

‘/etc/ftpusers’

File ‘/etc/ftpaccess’ điều khiển các hành vi của máy chủ FTPD Cấu hình trong file cungcấp các luật đặt lọc cho các user truy cập vào hệ thống file, các cơ chế và chương trìnhnén file khi download, quản lý các lỗi truy cập và định hướng các message log Trong khicác file khác thường được tạo ra với các giá trị mặc định và ít thay đổi thì các luật đặt ratrong file ‘/etc/ftpaccess’ là tuỳ chọn và theo chính sách chung của người quản trị hệthống Do đó, việc cấu hình file ‘/etc/ftpaccess’ có thể thực hiện bằng cách soạn thảo trực

tiếp hoặc thông qua một trình hỗ trợ có tên kwuftpd có trong chế độ đồ hoạ của

X-Window Trong phần tiếp theo, do tính chất của file cấu hình trong mối liên hệ với trình hỗtrợ nên chúng tôi trình bày song song cách cấu hình bằng trình hỗ trợ và các luật tươngứng tạo ra trong file cấu hình Trình hỗ trợ có thể chạy từ:

MainMenuButton=>Programs=>System=>kwuftpd

Các luật trong file cấu hình có thể chia làm các mục chính tương ứng với các mục trongtrình hỗ trợ:

3.2.1 Phân loại và cấp quyền cho user (User Classes)

Ví dụ, đối với mạng có địa chỉ IP: 192.168.1.0 (mask: 255.255.255.0)

 class all guest, anonymous * : Luật này cho phép mọi máy trạm (có địa chỉ IP bất

kỳ - *) chỉ truy nhập máy chủ FTP với tư cách là người dùng vãng lai (guest,anonymous), qua đó chỉ có thể tải file về

 class local_users real, guest, anonymous 192.168.1.0/255.255.255.0 : Luật này

cho phép các máy tính trên mạng nội bộ (mạng IP: 192.168.1.0) được phép truynhập máy chủ FTP với tư cách là người dùng thực (real) và cả với tư cách ngườidùng vãng lai (guest, anonymous)

Tương ứng với các lựa chọn trong kwuftpd như hình vẽ sau chỉ ra, các luật được mô tả

như sau trong file cấu hình:

 class all guest, anonymous *

 class local_users real, guest, anonymous 192.168.1.0/255.255.255.0

 autogroup root local-user

Giải nghĩa: Bên cạnh các phân lớp user như trên, hệ thống còn cho phép các user

root Ta có thể dùng để gán các lớp người dùng vào các nhóm khác nhau để có cácquyền khác nhau của dịch vụ FTP.

3.2.2 Chỉ định các thư mục gốc cho user

Đây là các chọn lựa thư mục cho các loại user khác nhau, tương ứng ta có:

 anonymous-root /home/ftp/pub

 guest-root /home/ftp/pub

Giải nghĩa: Định các thư mục gốc cho các user anonymous và guest, như vậy khi

login, đối với anonymous và guest thì thư mục /home/ftp/pub tại FTP server sẽ được coi

như là thư mục root (/) của các user Với vai trò là người dùng thực -> từ một máytrạm có thể tiến hành các thao tác đọc/ghi/xoá file có trong thư mục riêng của ngườidùng, đồng thời vẫn có thể đọc file có trong thư mục của dịch vụ FTP (như tronghình chỉ định là ‘/home/ftp/pub’)

Với vai trò người dùng vãng lai -> từ một máy trạm chỉ có thể đọc file có trong thư mục của dịch vụ FTP (như trong hình chỉ định là ‘/home/ftp/pub’)

 passwd /etc/ftp-passwd

 shadow /etc/ftp-shadow

Giải nghĩa: Chỉ ra tường minh các file chứa password và shadow password, nếukhông có lệnh này thì hệ thống sẽ sử dụng các file mặc định

 private yes

Giải nghĩa: Cho phép user tự thay đổi và chuyển sang các nhóm truy cập khác(SITE GROUP) sau khi login, danh sách các nhóm truy cập trong ‘/etc/ftpgroups’

3.2.4 Các thông điệp tới user

 banner /etc/message

 Giải nghĩa: Cho phép hiển thị nội dung file ‘/etc/message’ trước khi user login

 email lthang@cmc.com.vn

Giải nghĩa: Địa chỉ Email của người quản trị mạng hiển thị cho user khi login

 readme README* login

 readme README* cwd=*

 show-everytime readme yes

Giải nghĩa: Hiển thị nội dụng file README khi user thực thi các tác vụ login và sửdụng các lệnh bất kỳ, file này thường nêu các luật lệ và qui định mà user phải chấpnhận

 message /welcome.msg login

 message message cwd=*

 show-everytime message yes

Giải nghĩa: Hiển thị nội dụng file welcome.msg khi user login và hiển thị nội dungfile message khi user thực thi các lệnh bất kỳ

3.2.5 Nhật ký

 log commands real

Giải nghĩa: Cho phép log đối với các lệnh của user real

 log security real

Giải nghĩa: Cho phép ghi lại các vi phạm chế độ bảo mật của user real

 log syslog

Giải nghĩa: Cho phép ghi lại nhật ký hệ thống

 log transfers anonymous,guest,real inbound,outbound

Giải nghĩa: Cho phép ghi lại các quá trình truyền nhận và gửi file của các ngườidùng anonymous,guest và real

3.2.7 Máy ảo:

 virtual 192.168.1.4 root /home/vitual/

 virtual 192.168.1.4 banner /etc/vitual/banner

 virtual 192.168.1.4 logfile /etc/logfile

 virtual 192.168.1.4 hostname Adminserver

 virtual 192.168.1.4 email nhviet@cmc.com.vn

 virtual 192.168.1.4 passwd /etc/vitual/pass

 virtual 192.168.1.4 shadow /etc/vitual/shadow

 virtual 192.168.1.4 allow root

Giải nghĩa: Đây là các luật để tạo máy chủ FTP ảo và cho phép các user kết nối đến,máy chủ ảo này có các tham số như trên Ý nghĩa của các tham số này cũng giống nhưcác luật ở trên của máy chủ thực

3.2.8 Một số luật bổ sung cho file cấu hình

Trình hỗ trợ chỉ hỗ trợ một số lệnh chính và quan trọng trong hệ thống, bên cạnh các

luật trên, chúng ta có thể thêm vào các luật khác mà trình kwuftpd không hỗ trợ:

 deny 192.168.2.0/255.255.255.0 /etc/msgs/msg.txt

Giải nghĩa: Từ chối các truy cập từ mạng 192.168.2.0 và hiển thị nội dung file /etc/msgs/msg.txt

 limit all 10 Any /etc/msgs/msg.dead

Giải nghĩa: Giới hạn cho tối đa 10 user truy cập trong 1 thời điểm, áp dụng đối vớimọi loại user, hiển thị thông báo nội dung file /etc/msgs/msg.dead

 compress yes all

 tar yes all

Giải nghĩa: Thực hiện nén bằng tar đối với tất cả các file, mục đích để tăng hiệusuất sử dụng không gian bộ nhớ lưu trữ

 shutdown /etc/shutmsg

Giải nghĩa: Khi có user đang download hay truy cập mà server tẳt máy, hệ thống

sẽ gửi thông báo tới user trước khi sự kiện đó xảy ra nhờ việc theo dõi thường

xuyên file /etc/shutmsg

Lưu ý: Giữa file cấu hình và trình hỗ trợ có sự liên hệ do đó chúng ta có thể nạp file cấuhình lên và save file cấu hình lại bằng trình hỗ trợ này, có thể sử dụng chính tên của file ‘/etc/ftpaccess’ hoặc dưới tên của một file khác Tuy nhiên trong trường hợp nào thì file cấuhình mà dịch vụ FTP sử dụng cũng vẫn là ‘/etc/ftpaccess’

File ‘/etc/ftphosts’ cung cấp quyền cho phép hay từ chối các truy cập của các host tới cácaccount xác định Trong mô hình hiện tại chưa có các cơ chế truy cập hay nói cách khác làchưa đặt ra qui định về vấn đề này Các lệnh có thể sử dụng:

allow lthang somehost.domain

deny ptdung otherhost.domain 131.211.32.*

Giải nghĩa: Cho phép các user trong somehost.domain truy cập với account làlthang, từ chối các user trong otherhost.domain và mạng 131.211.32.* truy cậpvới account ptdung

File ‘/etc/ftpusers’ liệt kê danh sách các nhóm user được quyền sử dụng dịch vụ FTP Nộidung file ‘/etc/ftpusers’:

4 DỊCH VỤ SQUID

Squid là tên của dịch vụ proxy trên hệ điều hành Linux Squid cho phép người quảntrị tối ưu hoá quá trình truy cập của các máy trạm trong mạng cục bộ của mình đồng thờicho phép mô hình phân cấp hoạt động ổn định, bảo mật Trong tài liệu này, để giới thiệuvới người sử dụng về dịch vụ này chúng tôi chia tài liệu thành 2 phần :

 Phần 1 : giới thiệu về phương pháp cấu hình dịch vụ, cách thiết lập các thông số

kỹ thuật

 Phần 2 : đưa ra một mô hình thử nghiệm (đã kiểm tra hoạt động tốt) kèm theocấu hình dịch vụ của từng máy chủ

4.1 Các khái niệm cơ bản

Việc cấu hình dịch vụ Squid được thực hiện bằng cách thao tác trực tiếp với file cấu

hình ‘/etc/squid/squid.conf’.

File squid.conf là một file dạng text và các hoạt động của dịch vụ được thực hiện

thông qua các tham số Ký tự # được đặt ở đầu của các tham số với mục đích chú giải vàtất cả những thông tin trên cùng 1 tham số sau ký tự # đều bị chương trình bỏ qua

Khi thao tác trên file squid.conf có rất nhiều lựa chọn (option) khác nhau dành

cho người quản trị mạng Theo mặc định file này sẽ mô tả các giá trị tham số mặc địnhdùng cho những lựa chọn khác nhau Nếu không cần thay đổi các giá trị mặc định thì cũngkhông cần bỏ ký tự # ở đầu dòng bởi vì chúng có thể gây ra các lỗi sau này cho bạn

Dưới đây mô tả quá trình thiết lập các tham số cho một file cấu hình squid và cuối

cùng là mô hình 3 cấp sẽ được áp dụng trong thực tế cùng với file cấu hình dịch vụ squid ở

ICP là tên viết tắt của cụm từ InterCache Protocol Đây là một giao thức mà mộtsquid server dùng để trao đổi thông tin về cache với các squid server khác Cổng ICP lànơi mà squid gửi và nhận các thông tin trao đổi Mặc định cổng này có giá trị 3130 Chúng

ta sẽ giữ nguyên giá trị mặc định này

4.1.2 Những lựa chọn về quá trình xử lý các yêu cầu của client

4.1.2.1 Mô tả cách thức sử dụng máy chủ cấp trên

Khi nhận 1 yêu cầu truy cập Web bất kỳ từ phía client, squid phải có khả năngphân giải địa chỉ trang Web thành điạ chỉ IP của máy chủ chứa trang Web đó hoặc phảixác định được điạ chỉ máy chủ Squid cấp trên để hướng yêu cầu tới đó Sử dụng câu lệnhtheo cấu trúc dưới đây :

Cache_peer hostname type http_port icp_port [option]

 Hostname : là tên của máy chủ Squid cấp trên Đây là tên đầy đủ của máy chủ ví

dụ như parent.vietpart.gov.vn và sẽ được phân giải thông qua dịch vụ DNS Hoặc ởđây chúng ta có thể đưa trực tiếp địa chỉ IP của máy chủ cấp trên

 Type : có 2 kiểu squid cho phép bạn lựa chọn ở đây : parent hoặc sibling

 Parent : có nghĩa là khi có một yêu cầu từ phía client gửi đến, Squid sẽ hướngyêu cầu đó lên máy chủ squid cấp trên Khi đó máy chủ squid cấp trên có thểhoặc sử dụng DNS của mình để phân giải hoặc lại hướng tiếp yêu cầu đó lênsquid cấp cao hơn (nếu có) rồi mới gửi phản hồi lại cho máy chủ squid cấp dưới

 Sibling : có nghĩa là máy chủ squid cấp trên sẽ sử dụng DNS để cố gắng phângiải, kết quả tìm kiếm sẽ được phản hồi ngược lại cho máy chủ squid cấp dưới Thông thường chúng ta sử dụng type = parent

 http_port : là số hiệu cổng mà cache dùng để “nghe” các yêu cầu của proxy Mặcđịnh nó có giá trị 3128 Thông thường chúng ta sử dụng giá trị 8080

 icp_port : là số hiệu cổng được sử dụng để trao đổi thông tin với các cache cấp trênhoặc cùng cấp về các object Mặc định nó có giá trị là 3130 Thông thường chúng

Một câu lệnh thông dụng được sử dụng có dạng như sau :

Cache_peer squidparent.hna.vietpart.gov.vn parent 8080 0 no-query default

4.1.3 Những lựa chọn để đặt kích thước cache

Cache trên squid được hiểu là vùng đệm mà ở đó sẽ lưu những thông tin đượcngười sử dụng thường xuyên truy cập với mục đích làm tăng tốc độ truy cập Web Tuỳthuộc vào chính sách của từng tổ chức mà người quản trị mạng sẽ đặt những thông số kỹthuật sao cho phù hợp với tổ chức của mình

4.1.3.1.Đặt kích thước cho phép lớn nhất được lưu lên cache của một object

Với các object có kích thước lớn hơn giá trị này thì sẽ không được lưu lên cache.Giá trị này được tính theo đơn vị là KB và mặc định là 4 MB

Tham số có dạng như sau :

Maximum_object_size 4096 KB

4.1.3.2.Đặt kích thước tối thiểu được lưu lên cache của một object

Với các object có kích thước nhỏ hơn giá trị này sẽ không được lưu lên cache Giátrị này được tính theo đơn vị là KB và mặc định là 0 KB Dĩ nhiên với tham số này chúng takhông cần thay đổi và chấp nhận giá trị mặc định của nó

4.1.4 Xác định vị trí đặt các file log và thư mục dành cho cache

4.1.4.1 Tổ chức thư mục dành cho cache

Cấu trúc câu lệnh có dạng như sau :

Cache_dir type dỉrectory-name MB level-1 level-2

Chúng ta có thể sử dụng nhiều tham số này để phân chia dung lượng cache ra nhiều cácpartition khác nhau trên đĩa

Type : xác định loại hệ thống lưu trữ sử dụng Thông thường chúng ta sử dụng loại ufs Directory-name : là thư mục cấp cao nhất dùng để chứa các file cache Thư mục phải

tồn tại và dịch vụ squid phải có khả năng ghi thông tin lên đó Chú ý rằng squid sẽ khôngtạo thư mục này cho bạn

MB : là không gian đĩa tính theo MB được sử dụng trên thư mục này Mặc định nó có giá

trị là 100 MB

Level -1 : là số lượng các thư mục con cấp 1 được tạo ra bên trong thư mục cấp cao nhất

nói trên.Mặc định nó có giá trị là 16

Level – 2 : là số lượng các thư mục con cấp 2 được tạo ra bên trong mỗi thư mục con cấp

1 Mặc định nó có giá trị là 256

Như vậy thông thường tham số có dạng như sau :

Cache_dir ufs /var/spool/squid 2000 16 2564.1.4.2.Thư mục lưu trữ các file log

Có nhiều loại file log để ghi lại trạng thái hoạt động của dịch vụ từ đó giúp chongười quản trị có thể quản lý hệ thống của mình chặt chẽ hơn Một trong những file log

cần chú ý đó là file access.log File này sẽ ghi lại tất cả những yêu cầu của client Nó

chứa một mục cho tất cả các yêu cầu HTTP và ICP mà nó nhận được Theo mặc định file

này sẽ được để trong thư mục : /var/log/squid/access.log Để thay đổi đường dẫn của

nó bạn có thể sử dụng tham số sau :

Cache_access_log (đường dẫn)

4.1.5 Điều chỉnh cache

4.1.5.1.Kích thước lớn nhất cho phép của một yêu cầu

Giá trị này cho phép xác định kích thước lớn nhất của một yêu cầu HTTP Khi mộtngười sử dụng cố gắng gửi một yêu cầu có kích thước lớn hơn giá trị này họ sẽ nhận đượcmột thông báo lỗi “Invalid Request” Nếu bạn đặt tham số này bằng 0 tức là sẽ không có

sự giới hạn về kích thước

Sử dụng câu lệnh request_body_max_size để đặt cho giới hạn này.

Ví dụ để cho phép kích thước tối đa của một yêu cầu là 2 MB chúng ta sử dụngtham số sau :