Triển khai hệ thống mail, server postfix trên hệ điều hành ubuntu server 9 10
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.62 MB, 51 trang )
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
tr-ờng Đại học Vinh
KHOA công nghệ thông tin
===== =====
Đồ án tốt nghiệp
Triển khai hệ thống mail server postfix
trên hệ điều hành ubuntu server 9.10
Giáo viên h-ớng dẫn : Th.s Trần Văn Cảnh
Sinh viên thực hiện : Nguyễn Trung Phong
Lớp
: 46 K3 CNTT
Vinh, tháng 05 năm 2010
GVHD: Th.s Trần Văn Cảnh
Trang 1
SVTH: Nguyễn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
MụC LụC
Lời nói đầu .............................................................................................................................................4
CHƯƠNG I ..................................................................................................................................................5
Giới thiệu và Cài đặt .......................................................................................................................5
I.1 Giới thiệu về hệ điều hành Ubuntu Server ..............................................................5
I.2 Cài đặt.............................................................................................................................................5
I.2.1 Yêu cầu phần cứng .....................................................................................................................5
I.2.2 Cài đặt Ubuntu server ...............................................................................................................5
CHƯƠNG II ...............................................................................................................................................17
BắT ĐầU VớI UBUNTU SERVER .......................................................................................................17
II.1 Quản lý các gói .....................................................................................................................17
II.1.1 DPKG .......................................................................................................................................17
II.1.2 Quản lý gói với APT ................................................................................................................17
II.2 Lập trình C/C++ trên Ubuntu .........................................................................................18
II.2.1 kiểm tra sự tồn tại của các công cụ phát triển ......................................................................18
II.2.2 Viết ch-ơng trình đầu tiên ......................................................................................................19
II.3 Cấu hình mạng ........................................................................................................................19
II.3.1 Cấu hình Card mạng...............................................................................................................19
II.3.2 Quản trị máy chủ.....................................................................................................................20
II.4 Bảo mật .......................................................................................................................................20
II.4.1 Quản lý ng-ời dùng .................................................................................................................20
II.4.2 Console Security ......................................................................................................................24
II.4.3 T-ờng lửa .................................................................................................................................25
CHƯƠNG III .............................................................................................................................................26
XÂY DựNG Hệ THốNG MAIL SERVER VớI POSTFIX .................................................................26
GVHD: Th.s Trần Văn Cảnh
Trang 2
SVTH: NguyÔn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
III.1 Một hệ thống Mail cơ bản ............................................................................................26
III.1.1 Các giao thức Mail .................................................................................................................26
III.1.2 Các thành phần trong hệ thống Mail ...................................................................................30
III.1.3 Các ch-ơng trình Mail...........................................................................................................31
III.2 Giới Thiệu Chung Thành Phần Mail Server Với Postfix .............................32
III.2.1 Mô Hình Mail Server Với Postfix .........................................................................................32
III.2.2 Các thành phần của Mail Server sẽ triển khai ....................................................................33
III.2.3 Yêu Cầu Hệ Thống ................................................................................................................34
III.3 Vấn đề Bảo Mật Cho Hệ Thống E-Mail....................................................................34
III.3.1 AntiSpam 1. Giíi thiƯu DNS-Base Blocklist ........................................................................34
III.3.2 AntiVirus ................................................................................................................................35
III.4 TRIĨN KHAI CµI ĐặT .............................................................................................................36
III.4.1 Cài đặt và cấu hình DNS Server ...........................................................................................36
III.4.2 Cài Đặt Postfix và Dovecot....................................................................................................38
III.4.3 Cài Đặt Webmail....................................................................................................................42
III.4.4 Cài Đặt Bé Läc Spam vµ AntiVirus ....................................................................................43
III.5 HOµN THIƯN HƯ THèNG MAIL SERVER CHO POSTFIX .............................................47
III.5.1 Më réng hÖ thèng Mail Store ................................................................................................47
III.5.2 Mở rộng mô hình hoạt động theo mô hình Front-End/Back-End .....................................47
III.5.3 Kiện Toàn Bảo Mật Cho Các Thành Phần Trong Hệ Thống ............................................48
Tổng kết ................................................................................................................................................49
Lời cảm ơn ............................................................................................................................................50
Tài liệu tham khảo ........................................................................................................................51
GVHD: Th.s Trần Văn Cảnh
Trang 3
SVTH: Nguyễn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
Lời nói đầu
Trong xu thế của thời đại hiện nay, ứng dụng Công Nghệ Thông Tin vào thùc
tÕ rÊt quan träng vµ cã ý nghÜa thiÕt thùc. Hầu hết mỗi cơ quan tổ chức đều tìm ra
cho mình một giải pháp cần thiết và hợp lý. Sự trao đổi thông tin liên lạc giữa các
cá nhân và tập thể không thể bị gián đoạn, có nhiều ph-ơng án để thực hiện việc
liên lạc nh-ng điều đó đà đ-ợc đơn giản hóa bằng việc gửi th- điện tử (E-mail).
Nhận thấy tầm quan trọng của việc gửi th- điện tử và những lợi ích từ các
ứng dụng mà nguồn mở mang lại tôi đà chọn đề tài Triển khai hệ thống Mail
Server Postfix trên hệ điều hành Ubuntu Server 9.10 . Đề tài đà nêu ra ph-ơng án
triển khai một hệ thống máy chủ Mail hoàn chỉnh cho các doanh nghiệp vừa và
nhỏ, với chi phí không cao nh-ng đáp ứng đầy đủ tỉnh ổn định và bảo mật. Hệ
thống triển khai trên hệ điều hành Ubuntu Server, SMTP Postfix, POP Dovecot, läc
Spam víi Spamassassin vµ qt virus với ClamAV.
Đề tài gồm các nội dung chủ yếu sau:
- Ch-ơng I: Giới thiệu và cách cài đặt hệ điều hành mà nguồn mở Ubuntu
Server 9.10.
- Ch-ơng II: Trình bày các vấn đề: cách sử dụng, quản lý tài nguyên, quản lý
ng-ời dùng và bảo mật trên hệ thống Ubuntu Server.
- Ch-ơng III: Trình bày mô hình máy chủ Mail sẽ triển khai, các giao thức
Mail, cách cài đặt và cấu hình các ứng dụng cần thiết trên hệ thống máy chủ
Mail.
GVHD: Th.s Trần Văn Cảnh
Trang 4
SVTH: Nguyễn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
CHƯƠNG I
Giới thiệu và Cài đặt
I.1 Giới thiệu về hệ điều hành Ubuntu Server
Ubuntu Server là một hệ điều hành mà nguồn mở họ Linux. Đây là một hệ
điều hành dành cho máy chủ trong các cơ quan tổ chức, dành cho các cá nhân yêu
thích nghiên cøu vỊ m· ngn më vµ mn trë thµnh ng-êi quản trị hệ thống. Theo
ý kiến của tôi và đa số ng-ời tìm hiểu về Linux thì trong t-ơng lai, Ubuntu Server
sẽ chiếm lĩnh hầu hết trong các cơ quan, doanh nghiệp, các tổ chức bởi các tiện lợi
mà nó mang lại:
- Là hệ điều hành dành cho máy chủ.
- Miễn phí hoàn toàn: không chỉ đơn thuần là miễn phí để có đ-ợc Ubuntu
Server, mà còn miễn phí cả về bản quyền bởi đây là một hệ điều hành mÃ
nguồn mở. Có đầy đủ các phần mềm ứng dụng ®i kÌm miƠn phÝ.
- TÝnh b¶o mËt cao: So víi Windows thì Linux nói chung có tính bảo mật cao
hơn, ít virus nên an toàn cho ng-ời sử dụng.
- Dễ sử dụng: Hiện nay Ubuntu cung cấp đầy đủ giao diƯn ®å häa cho ng-êi
sư dơng chän lùa.
- CËp nhËt th-ờng xuyên và dễ dàng: Cứ sáu tháng thì có một bản Ubuntu mới
đ-ợc phát hành.
I.2 Cài đặt
I.2.1 Yêu cầu phần cứng
Để Ubuntu server có thể hoạt động đ-ợc, cấu hình phần cứng tối thiểu của
máy tính mà chúng ta cần trang bị là: CPU: x86 300 MHz Bộ nhớ RAM: 64 MB
Dung l-ợng đĩa cứng: 500 MB . Với máy tính trên thị tr-ờng hiện nay hoàn toàn
đáp ứng đ-ợc về vấn đề phần cứng cho Ubuntu Server.
I.2.2 Cài đặt Ubuntu server
Địa chỉ download Ubuntu-9.10, phiên bản d nh cho máy chủ:
/>
Ghi ra đĩa CD và thực hiện theo các b-ớc nh- sau để cài đặt:
GVHD: Th.s Trần Văn C¶nh
Trang 5
SVTH: Ngun Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
1. Khởi động từ đĩa CD Ubuntu-9.10 server. Sau một vài phút, màn hình lựa chọn
ngôn ngữ sÏ hiƯn ra, h·y bÊm nót ESC.
H×nh 1-1: Lùa chän ngôn ngữ cài đặt
2. Trong danh sách các tùy chọn, hÃy chọn Install Ubuntu Server để bắt đầu tiến
trình cài đặt
Hình 1-2: Chọn Install Ubuntu Server
GVHD: Th.s Trần Văn Cảnh
Trang 6
SVTH: NguyÔn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
3. Trong màn hình Choose language, chọn một ngôn ngữ phù hợp để sử trong tiến
trình cài đặt Ubuntu server. Đây cũng chính là ngôn ngữ mặc định của hệ thống
sau khi tiến trình cài đặt hoàn thành. Sau khi chọn xong hÃy bấm phím Enter.
Hình 1-3
4. Bên cạnh ngôn ngữ, b-ớc tiếp theo là chọn lựa qc gia cđa m×nh.
H×nh 1-4: Lùa chän qc gia
GVHD: Th.s Trần Văn Cảnh
Trang 7
SVTH: Nguyễn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
Nếu tên quốc gia của mình ch-a đ-ợc liệt kê trong danh sách, di chuyển xuống
chọn mục other, sau đó chọn Viet Nam trong ở danh sách xuất hiện ngay sau đó.
Sau khi hoàn thành, bấm phím Enter để sang b-ớc tiếp theo.
5. Trong màn hình tiếp theo, chọn Yes để dò tìm thiết bị bàn phím.
Hình 1-5: Dò tìm bàn phím
6. Tiếp theo, hệ thống kiểm tra ổ đĩa CD-ROM và nạp (load) các thành phần liên
quan.
Hình 1-6
7. Trong màn hình Configure the netwok, cấu hình các thông số mạng bằng cách
chọn một trong ba tùy chọn trong mục Network configuration method.
GVHD: Th.s Trần Văn Cảnh
Trang 8
SVTH: NguyÔn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
Hình 1-7
Nếu muốn cấu hình các thông số mạng sau khi tiến trình cài đặt hoàn thành,
hÃy chän Do not configure the network at this time vµ bấm phím Enter.
8. Trong màn hình tiếp theo, hÃy nhập tên máy tính của mình vào mục Hostname.
Hình 1-8
Sau đó, bấm phím Enter hoặc chọn <Continue> để tiếp tục.
9. Trong màn hình Configure the clock, hÃy lựa chọn một múi giờ (time zone) phù
hợp với mình và bấm phím Enter.
GVHD: Th.s Trần Văn Cảnh
Trang 9
SVTH: Nguyễn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
Hình 1-9
10. Trong màn hình Partition disks, ë môc Partitioning method, nÕu chän môc
Guided - use entire disk thì hệ thống tự động thực hiện cách phân vïng tèt nhÊt.
H×nh 1-10
Sau khi chän xong, bÊm phÝm Enter để sang b-ớc tiếp theo.
GVHD: Th.s Trần Văn Cảnh
Trang 10
SVTH: NguyÔn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
11. Trong màn hình tiếp theo, hệ thống tự động chọn ổ đĩa để tiến hành phân vùng.
Hình 1-11
Sau khi đảm bảo ổ đĩa của mình đà đ-ợc chọn lựa chính xác, hÃy bấm phím
Enter.
12. Trong hộp cảnh báo xuất hiện ngay sau đó, nên xem lại một lần nữa những thay
đổi vừa thực hiện. Sau khi chắc chắn, hÃy chọn Yes để những thay đổi về partition
ở trên có hiệu lực.
Hình 1-12
13. Sau ngay đó, các phân vùng mới sẽ đ-ợc tạo ra. Đồng thời, những gói dữ liệu
nền tảng của Ubuntu server sẽ đ-ợc cài đặt vào hệ thống
GVHD: Th.s Trần Văn Cảnh
Trang 11
SVTH: Nguyễn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
Hình 1-13
14. Trong màn hình Set up users and passwords, cần nhập tên đầy đủ của mình vào
mục Full name for the new user. Tên này t-ơng ứng với tài khoản thay thế cho tài
khoản quản trị hệ thống root .
Hình 1-14
Sau khi hoàn thành, chọn <Continue> để tiếp tục.
15. Trong màn hình tiếp theo, hÃy nhập username cho tài khoản mới của mình ở
mục Username for your account. Username bắt đầu với một ký tự th-ờng, theo sau
là sự kết hợp của số và các ký tự th-ờng khác.
Hình 1-15
GVHD: Th.s Trần Văn Cảnh
Trang 12
SVTH: NguyÔn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
Sau khi hoàn thành, chọn <Continue> để tiếp tục.
16. Trong hai màn hình tiếp theo, hÃy nhập password cho tài khoản mới của mình.
Hình 1-16
Hình 1-17
Sau khi hoàn thành, chọn <Continue> để tiếp tục.
17. Trong màn hình Software selection, có thể chọn một hoặc nhiều dịch vụ máy
chủ sẵn có trên Ubuntu server bằng cách bấm phím SpaceBar.
GVHD: Th.s Trần Văn Cảnh
Trang 13
SVTH: Nguyễn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
Hình 1-18
Sau khi hoàn thành, chọn <Continue> để tiếp tục. Ngay sau đó, tiến trình cài
đặt sẽ diễn ra.
Hình 1-19
18. Nếu chọn mục Mail server trong màn hình Software selection ở trên, cần phải
cấu hình cho hệ thống Mail của mình trong màn hình Postfix Configuration.
GVHD: Th.s Trần Văn Cảnh
Trang 14
SVTH: Nguyễn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
Hình 1-20
Sau khi chọn một trong các mơc ë phÇn General type of mail configuration,
bÊm phÝm Enter để tiếp tục.
19. Khi màn hình Finish the installation xuất hiện, hÃy đ-a đĩa cài đặt là khỏi ổ đĩa
CD-ROM và chọn <Continue> để khởi động lại hệ thống và hoàn thành tiến trình
cài đặt Ubuntu Server.
Hình 1-21 Kết thúc cài đặt
L-u ý: Qua kinh nghiệm thực tế, để tránh mất hết dữ liệu cũ trên máy thì
chúng ta nên dùng đĩa Hirens Boot CD phân vùng một ổ khoảng 20 GB định dạng
ETX3, một phân vùng 2GB định dạng Area Swap, sau ®ã ®Õn b-íc 10 chän chÕ ®é
Manual, sau đó lựa chọn để cài đặt Ubuntu server lên đó.
GVHD: Th.s Trần Văn Cảnh
Trang 15
SVTH: Nguyễn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
Mặc định, Ubuntu server không đ-ợc cài sẵn giao diện đồ họa, chúng ta
muốn cài đặt thì dïng mét trong c¸c lƯnh:
Sudo apt-get install kubuntu-desktop
Sudo apt-get install ubuntu-desktop
Sudo apt-get install Xubuntu-desktop
Trong phần triển khai tôi chọn cài đặt giao diện đồ họa KDE.
GVHD: Th.s Trần Văn Cảnh
Trang 16
SVTH: NguyÔn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
CHƯƠNG II
BắT ĐầU VớI UBUNTU SERVER
II.1 Quản lý các gói
II.1.1 DPKG
dpkg là một trình quản lý gói cơ bản và đơn giản nhất cho các hệ thống
Debian, nó có thể cài đặt, gỡ bỏ, và xây dựng các gói.
Cú pháp Mô tả:
dpkg -i {.deb package} Cài đặt gói hoặc nâng cấp nếu đà cài rồi
dpkg -r {package} Gỡ bỏ gói
dpkg -l Liệt kê các gói đà cài đặt, phiên bản và mô tả ngắn
dpkg -s {package} | grep Status Tìm xem gói đà đ-ợc cài hay ch-a
II.1.2 Quản lý gói với APT
Quản lý gói bằng apt-get chạy đồng thời với tệp /ect/apt/sources.list.
1. Các lệnh
Tất cả các lệnh đ-ợc nói đến đều phải chạy với tài khoản root hoặc với quyền
siêu ng-ời dùng, Thay tên-gói trong các lệnh bằng tên của gói bạn muốn cài đặt.
2. Lệnh cài đặt
Lệnh này sẽ cài đặt một gói mới
sudo apt-get install packet-name
Lệnh này sẽ tìm kiếm trên kho và cài đặt những gói phụ thuộc cần thiết để có thể
cài đặt gãi tõ m· nguån. NÕu gãi kh«ng cã trong kho, lệnh sẽ trả về một lỗi.
sudo apt-get build-dep packet-name
apt-get chấp nhận một danh sách các gói làm tham số cài ®Ỉt, vÝ dơ:
sudo apt-get install packet-1 packet-2 packet-3 ...
3. LƯnh tìm gói
Lệnh này sẽ giúp chúng ta tìm 1 gói, hoặc 1 ch-ơng trình nào đó trong ubuntu.
Ví dụ tôi không nhớ chính xác tên gói cài đặt của ch-ơng trình amarok làm sao để
cài đặt bằng lệnh, việc này thực hiện rất đơn giản.
GVHD: Th.s Trần Văn Cảnh
Trang 17
SVTH: NguyÔn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
sudo apt-cache search tham_s
4. Lệnh bảo quản
Chạy lệnh sau th-ờng xuyên giúp danh sách nguồn (/etc/apt/sources.list) của
bạn đ-ợc cập nhật:
sudo apt-get update
Lệnh sau nâng cấp tất cả các gói đà cài đặt:
sudo apt-get upgrade
Lệnh sau nâng cấp toàn hệ thống tới một phiên bản mới hơn:
sudo apt-get dist-upgrade
Lệnh sau là một công cụ để chuẩn đoán. Nó không cập nhật danh sách nguồn, mà
chỉ kiểm tra lỗi phụ thuộc:
sudo apt-get check
Chạy lệnh sau nếu gặp phải lỗi phơ thc cđa c¸c gãi:
sudo apt-get -f install
LƯnh sau gì bỏ các tệp cài đặt .deb đà cũ trong hệ thống. Phụ thuộc vào thói quen
cài đặt của bạn, xóa bỏ các tệp trong /var/cache/apt/archives có thể thu hồi một
l-ợng không gian đĩa đáng kể.
sudo apt-get autoclean
Lệnh sau t-ơng tự nh- trên nh-ng nó sẽ xóa bỏ tất cả các gói trong nơi l-u trữ:
sudo apt-get clean
II.2 Lập trình C/C++ trên Ubuntu
II.2.1 kiểm tra sự tồn tại của các công cụ phát triển
Gõ lệnh sau:
which gcc
Nếu công cụ đà đ-ợc cài đặt thì xuất hiện:
/usr/bin/gcc
Gõ lệnh sau:
which g++
Nếu công cụ đà đ-ợc cài đặt thì xuất hiện:
GVHD: Th.s Trần Văn C¶nh
Trang 18
SVTH: Ngun Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
/usr/bin/g++
Gõ lệnh sau:
which make
Nếu công cụ đà đ-ợc cài đặt thì xuất hiện:
/usr/bin/make
II.2.2 Viết ch-ơng trình đầu tiên
Mở trình soạn thảo pico ra:
pico
Viết code ch-ơng trình vào, vÝ dô:
#include <stdio.h>
int main(void)
{
printf("Chao cac ban den voi Ubuntu Server! \n");
return(0);
}
L-u lại với tên chao.c.
Dịch ch-ơng trình:
gcc -o chao chao.c
Nếu ko có lỗi gì thì sẽ ra file chao. Chạy thử bằng lệnh:
./chao
II.3 Cấu hình mạng
II.3.1 Cấu hình Card mạng
Mặc định thì Ubuntu Server cấu hình cho card mạng là cấp phát địa chỉ IP
động:
auto eth0
iface eth0 inet dhcp
Nếu chúng ta muốn cấu hình địa chỉ IP tĩnh thì mở file /etc/network/interfaces vµ
lµm b»ng tay:
iface eth0 inet static
address 192.168.1.10
GVHD: Th.s Trần Văn Cảnh
Trang 19
SVTH: Nguyễn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
Trong tr-ờng hợp này, bạn sẽ cần phải xác định máy chủ DNS cđa b¹n b»ng tay
trong / resolv.conf / etc:
search mydomain.example
nameserver 192.168.1.10
nameserver 192.168.1.100
II.3.2 Quản trị máy chủ
Để quản lý máy chủ, bạn có thể thêm, chỉnh sửa hoặc loại bỏ các host từ file
/etc/hosts. Các tập tin có chứa địa chỉ IP và IP t-ơng ứng. Khi hệ thống của bạn
truy nhập một hostname, một địa chỉ IP hoặc xác định tên máy cho một địa chỉ IP,
nó truy cập đến /etc /hosts tr-ớc khi sử dụng tên máy chủ. Nếu địa chỉ IP đ-ợc liệt
kê trong file /etc /hosts, máy tên chủ không đ-ợc sử dụng. Hành vi này có thể đ-ợc
sửa đổi bằng cách chỉnh sửa / etc /nsswitch.conf lúc cần thiết.
Nếu mạng của bạn có địa chỉ IP máy tính nào không đ-ợc liệt kê trong DNS,
chúng ta nên thêm chúng vào file / etc / hosts.
II.4 Bảo mật
II.4.1 Quản lý ng-ời dùng
Quản lý ng-ời dùng là một phần quan trọng của việc duy trì một hệ thống an
toàn. Ng-ời sử dụng không hiệu quả và quản lý hệ thống đặc quyền th-ờng dẫn đến
tổn hại cho hệ thống. Vì vậy, là một ng-ời quản trị hệ thống chúng ta quản lý tài
khoản cho hợp lý.
1. Thêm và xoá ng-ời dùng
Thêm ng-ời dùng:
Sudo adduser username
Xóa ng-ời dùng:
Sudo deluser username
Đặt mật khẩu:
GVHD: Th.s Trần Văn Cảnh
Trang 20
SVTH: Nguyễn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hµnh Ubuntu Server 9.10
Sudo passwd –l username
Xãa mËt khÈu:
Sudo passwd u username
Tạo nhóm mới:
Sudo addgroup groupname
Xóa nhóm:
Sudo delgroup groupname
áp dụng ng-ời dùng vào nhóm:
Sudo adduser username groupname
2. Sơ l-ợc về b¶o mËt cho ng-êi dïng
Khi mét ng-êi sư dơng míi đ-ợc tạo ra, tiện ích adduser tạo ra một nhÃn
hiệu mới có tên th- mục / home / username t-ơng ứng. Các hồ sơ mặc định đ-ợc
cấu hình trong các th- mục của /etc/skel, trong đó bao gồm tất cả các vấn đề cơ bản
profile.
Nếu máy chủ của bạn có nhiỊu th- mơc username cho nhiỊu ng-êi dïng
trong th- mơc home, bạn nên chú ý tới các quyền cho ng-ời sử dụng th- mục chính
để đảm bảo bí mật. Theo mặc định, ng-ời sử dụng th- mục home trong Ubuntu
đ-ợc tạo ra với tất cả quyền đọc / thực thi. Điều này có nghĩa rằng tất cả ng-ời
dùng có thể duyệt và truy cập các nội dung của th- mục home những ng-ời dùng
khác. Điều này là không thích hợp, cho nên cần phải quản lý.
Để xác thực ng-ời dùng đ-ợc phép sử dụng th- mục hiện hành, sử dụng cú
pháp sau:
ls -ld /home/username
Kết quả sau cho thấy user có quyền đọc:
drwxr-xr-x 2 username username
4096 2007-10-02 20:03 username
Có thể loại bỏ quyền đọc đ-ợc bằng cách sử dụng cú pháp sau:
sudo chmod 0750 /home/username
Chỉnh sửa và cấp quyền bằng cách sửa tập tin /etc/adduser.conf và sửa đổi các biến
DIR_MOD cho thích hợp, ví dụ:
DIR_MODE = 0750
GVHD: Th.s Trần Văn Cảnh
Trang 21
SVTH: NguyÔn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
Dùng lệnh sau để kiểm tra kết qu¶ chØnh sưa qun:
ls -ld /home/username
KÕt qu¶ sau cho thÊy quyền đọc đà đ-ợc loại bỏ với username:
drwxr-x--- 2 username username
4096 2007-10-02 20:03 username
3.ChÝnh s¸ch mËt khÈu
ChÝnh s¸ch mËt khÈu mạnh là một khía cạnh quan trọng nhất trong vấn đề
bảo mật cho máy chủ. Nếu không ng-ời quản trị sẽ phải trả giá cho những tấn công
cục bộ và từ xa. Nên dùng những mật khẩu có độ mạnh cao và thay đổi th-ờng
xuyên.
4.Chiều dài tối thiểu mật khẩu
Theo mặc định, Ubuntu yêu cầu một chiều dài mật khẩu tèi thiĨu lµ 4 ký tù,
cịng nh- kiĨm tra entropy một số cơ bản. Những giá trị này đ-ợc kiểm soát trong
tập tin /etc/pam.d/common-password, đ-ợc nêu d-ới đây:
password required pam_unix.so nullok obscure min=4 max=8 md5
Nếu muốn điều chỉnh độ dài tối thiểu đến 6 ký tự, thay đổi các biến thích hợp để
min = 6. sửa đổi đ-ợc nêu d-ới đây:
password required pam_unix.so nullok obscure min=6 max=8 md5
(max=8 không phải là độ dài tối đa của mật khẩu).
5. Hết hạn mật khẩu
Khi tài khoản ng-ời dùng tạo ra, nên làm cho nó một chính sách để có một
độ tuổi tối thiểu và tối đa mật khẩu buộc ng-ời dùng thay đổi mật khẩu của họ khi
hết hạn.
Để dễ dàng xem trạng thái hiện tại của một tài khoản ng-ời dùng, sử dụng cú
pháp sau đây:
sudo chage -l username
Kết quả sau cho thấy không có chính sách áp dụng cho mật khÈu:
Last password change
: Jan 20, 2010
Password expires
: never
Password inactive
: never
Account expires
: never
Minimum number of days between password change
GVHD: Th.s TrÇn Văn Cảnh
Trang 22
:0
SVTH: Nguyễn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hµnh Ubuntu Server 9.10
Maximum number of days between password change
Number of days of warning before password expires
: 99999
:7
§Ĩ thiÕt lËp bất kỳ của các giá trị này, chỉ cần sử dụng cú pháp sau đây:
sudo chage username
Sau đây là một ví dụ về cách thay đổi ngày hết hạn: (-E) lµ ngµy 05/30/2010, ti
mËt khÈu tèi thiĨu (-m) lµ 5 ngày, tối đa mật khẩu tuổi (-M) là 90 ngày, không hoạt
động thời kỳ (-I) trong 5 ngày kể từ ngày hết hạn mật khẩu, và một khoảng thời
gian cảnh báo (-W) là 14 ngày tr-ớc khi hết hạn mật khÈu.
sudo chage -E 05/30/2010 -m 5 -M 90 -I 30 -W 14 username
Để kiểm tra sự thay đổi dùng lệnh:
sudo chage -l username
Kết quả d-ới đây cho thấy các chính sách mới đà đ-ợc thiết lập cho tài khoản:
Last password change
: Jan 20, 2010
Password expires
: Apr 19, 2010
Password inactive
: May 19, 2010
Account expires
: May 30, 2010
Minimum number of days between password change
:5
Maximum number of days between password change
: 90
Number of days of warning before password expires
: 14
6. Các đảm bảo an toàn khác
Nhiều ứng dụng sử dụng cơ chế xác thực khác có thể dễ dàng bỏ qua bởi
ngay cả các quản trị viên hệ thống có kinh nghiệm. Vì vậy, điều quan trọng là phải
hiểu và kiểm soát cách ng-ời dùng xác thực và đ-ợc truy cập vào dịch vụ và ứng
dụng trên máy chủ của bạn.
7. Truy cập SSH trái phép bởi ng-ời sử dụng đà bị vô hiệu hóa
Đơn giản chỉ cần vô hiệu hóa / khóa một tài khoản ng-ời dùng sẽ không
ngăn chặn ng-ời dùng đăng nhập vào máy chủ của bạn từ xa nếu họ đà từng thiết
lập xác thực khoá công khai RSA. Họ vẫn sẽ có thể đ-ợc truy cập vào hệ vỏ máy
chủ, mà không cần bất kỳ mật khẩu. HÃy nhí kiĨm tra c¸c th- mơc chÝnh ng-êi sư
dơng cho các tập tin này sẽ cho phép cho loại bỏ chøng thùc quyÒn truy cËp SSH.
e.g. /Home / username / .ssh / authorized_keys.
GVHD: Th.s Trần Văn Cảnh
Trang 23
SVTH: Nguyễn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
Hủy bỏ hoặc thay đổi tên của th- mơc. Ssh / vµo th- mơc nhµ cđa ng-êi
dïng để ngăn chặn khả năng xác thực hơn nữa với SSH.
HÃy kiểm tra kết nối SSH đ-ợc thành lập bởi ng-ời dùng đà bị vô hiệu hóa,
vì họ có thể tạo các kết nối hiện tại nội địa hoặc ngoài n-ớc. Ví dụ, bạn có thể tạo
một nhóm gọi là "sshlogin và thêm tên nhóm làm giá trị gắn liền víi biÕn
AllowGroups n»m trong tËp tin / etc / ssh / sshd_config.
AllowGroups sshlogin
Sau đó, thêm ng-ời sử dụng SSH cho phép vào nhóm "sshlogin", và khởi động lại
dịch vụ SSH.
sudo adduser username sshlogin
sudo /etc/init.d/ssh restart
8. Cơ sở dữ liệu của ng-ời dùng bên ngoài
Hầu hết các mạng doanh nghiệp yêu cầu xác thực tập trung và kiểm soát truy
cập cho tất cả tài nguyên hệ thống. Nếu bạn đà cấu hình máy chủ của bạn để xác
thực ng-ời sử dụng chống lại các cơ sở dữ liệu bên ngoài, hÃy chắc chắn đà vô hiệu
hóa tài khoản ng-ời dùng cả hai từ bên ngoài và địa ph-ơng, bằng cách này bạn
đảm bảo rằng không có các truy nhập trái phép.
II.4.2 Console Security
1. Vô hiệu hoá Ctrl + Alt + Delete
Tr-ớc hÕt, bÊt cø ai mµ cã qun truy cËp vËt lý vµo bµn phÝm lµ cã thĨ sư dơng
Ctrl + Alt + Delete hợp phím để khởi động lại máy chủ mà không cần phải đăng
nhập vào.
Mở file /etc/event.d/control-alt-delete và thêm dấu vào dòng:
exec /sbin/shutdown -r now "Control-Alt-Delete pressed "
Để lệnh Control-Alt-Delete pressed thành dòng chú thích.
2. Mật khẩu bảo vệ Grub
Để thêm một mật khẩu để sử dụng với grub, đầu tiên bạn phải tạo một mật khẩu
md5 hash bằng cách sử dụng tiện ích grub-md5-crypt:
grub-md5-crypt
Lệnh này sẽ yêu cầu nhập một mật khẩu và cung cấp một giá trị hash kết quả nhhình d-ới đây:
GVHD: Th.s Trần Văn Cảnh
Trang 24
SVTH: Nguyễn Trung Phong
Triển khai hệ thống Mail Server Postfix trên hệ điều hành Ubuntu Server 9.10
Password: (enter new password)
Retype password: (repeat password)
$1$s3YiK$M3lxAbqA6JLm2FbDWnClQ0
Thêm giá trị hash kết quả vào tập tin /boot /grub/grub.conf định dạng sau:
password --md5 $1$s3YiK$M3lxAbqA6JLm2FbDWnClQ0
Để yêu cầu sử dụng mật khẩu để vào chế độ ng-ời sử dụng duy nhất, thay đổi giá
trị của biến lockalternative trong tập tin /boot/grub/grub.conf:
lockalternative=true
II.4.3 T-ờng lửa
Công cụ t-ờng lửa mặc định cho Ubuntu là ufw, ufw cấu hình t-ờng lửa dạng
iptables dựa trên máy chủ IPv4 hoặc IPv6.
Đầu tiên, phải kích hoạt ufw:
sudo ufw enable
Để mở một cổng:
sudo ufw allow 22
Thêm vào một quy tắc nhờ định dạng số:
sudo ufw insert 1 allow 80
T-ơng tự, để đóng một cổng đang mở:
sudo ufw deny 22
Để loại bỏ một quy tắc:
sudo ufw delete deny 22
Cũng có thĨ cho phÐp truy cËp tõ c¸c host cơ thĨ hoặc các mạng đến một cổng. Ví
dụ sau cho phép truy cập ssh từ host 192.168.0.2 đến bất kỳ địa chỉ IP trên máy chủ
này:
sudo ufw allow proto tcp from 192.168.0.2 to any port 22
GVHD: Th.s Trần Văn Cảnh
Trang 25
SVTH: NguyÔn Trung Phong
