1. GVHD : Thầy Võ Đỗ Thắng
SVTH : Phạm Văn An
XÂY DỰNG WEB HOSTING
TRÊN NỀN LINUX
2. 1 - Triển khai web hosting
2 - Triển khai mail server
3 - Cài đặt, cấu hình Webmin
4 - An ninh mạng
5 - Penetration Testing
2
3. 1. Cài đặt Apache
2. Cài đặt MySQL
3. Cài đặt PHP
4. Cài đặt phpMyAdmin
5. Cài đặt FTP
6. Cấu hình virtual host trong Apache
I - TRIỂN KHAI WEB HOSTING
3
4. a) Định nghĩa: Apache là ứng dụng Web server miễn
phí được hỗ trợ bởi Apache SoftwareFoundation.
b) Cài đặt, cấu hình và kiểm tra:
# rpm –qa | grep httpd
# yum install httpd
# nano /var/www/html/index.html
# service httpd start
# chkconfig httpd on
1. Cài đặt Apache
4
5. a) Định nghĩa: MySQL là phần mềm quản trị cơ sở
dữ liệu mã nguồn mở, miễn phí, ổn đinh và có tính an
toàn cao.
b) Cài đặt, cấu hình và kiểm tra:
# rpm –qa | grep mysql
# yum install mysql-server
# /usr/bin/mysqladmin –u root password „abcdef‟
# service mysqld start
# chkconfig mysqld on
# mysql -u root -p
2. Cài đặt MySQL
5
6. a) Định nghĩa: PHP là một ngôn ngữ lập trình kịch
bản hay một loại mã lệnh chủ yếu được dùng để phát
triển các ứng dụng viết cho máy chủ, mã nguồn mở,
dùng cho mục đích tổng quát.
b) Cài đặt, cấu hình và kiểm tra:
# rpm –qa | grep php
# yum install php
# nano /var/www/html/index.php
3. Cài đặt PHP
6
7. a) Định nghĩa: phpMyAdmin là một công cụ nguồn
mở miễn phí được viết bằng PHP, dùng để xử lý quản
trị của MySQL thông qua một trình duyệt web.
b) Cài đặt, cấu hình và kiểm tra:
# rpm –qa | grep phpmyadmin
# yum install phpmyadmin
# nano /etc/httpd/config.d/phpmyadmin.config
# nano /usr/share/phpmyadmin/config.inc.php
# service httpd restart
4. Cài đặt phpMyAdmin
7
8. 8
Truy cập vào phpmyadmin theo đường dẫn
http://<ip>/phpmyadmin
Gõ user root và password
4. Cài đặt phpMyAdmin
9. a) Định nghĩa: FTP là thủ tục mạng chuẩn cung cấp
cơ chế truyền file thông qua mạng TCP (như Internet).
b) Cài đặt, cấu hình và kiểm tra:
# rpm –qa | grep vsftpd
# yum install vsftpd
# nano /etc/vsftpd/vsftpd.config
# useradd (ftp_user)
# passwd (ftp_user_password)
# service vsftpd start
# chkconfig vsftpd on
5. Cài đặt FTP
9
10. a) Định nghĩa: Virtual hosting là phương pháp host
nhiều tên miền trên server.
b) Cài đặt, cấu hình và kiểm tra:
# mkdir /var/www/html/example1.com/
# mkdir /var/www/html/example2.com/
# nano /etc/httpd/conf/httpd.config
NameVirtualHost 192.168.0.100:80
<VirtualHost 192.168.0.100:80>
ServerAdmin webmaster@example1.com
DocumentRoot /var/www/html/example1
ServerName www.example1.com
ErrorLog logs/www.example1.com-error_log
CustomLog logs/www.example1.com-access_log common
</VirtualHost>
<VirtualHost 192.168.0.100:80>
ServerAdmin webmaster@example2.com
DocumentRoot /var/www/html/example2
ServerName www.example2.com
ErrorLog logs/www.example2.com-error_log
CustomLog logs/www.example2.com-access_log common
</VirtualHost>
# service httpd restart
6. Cài đặt virtual hosting
10
12. 1. Sơ lược các thành phần
2. Cài đặt, cấu hình
Postfix
Dovecot
SquirrelMail
II - TRIỂN KHAI MAIL SERVER
12
13. Postfix sẽ cung cấp các dịch vụ SMTP
Dovecot sẽ cung cấp các dịch vụ POP3 và IMAP
Apache và SquirrelMail sẽ cung cấp các dịch vụ
Webmail.
13
1. Sơ lược các thành phần
15. Dovecot
# rpm –qa | grep dovecot
# yum install dovecot
Chỉnh sửa các tập tin được liệt kê dưới đây và cập
nhật một số dòng của nó cho phù hợp.
/etc/dovecot/dovecot.conf
protocols = pop3 imap lmtp
/etc/dovecot/conf.d/10-mail.conf
mail_location = maildir:~/Maildir
# /etc/init.d/dovecot restart
2. Cài đặt, cấu hình
15
16. SquirrelMail
# rpm -Uvh
http://download.fedoraproject.org/pub/epel/6/i386/epel
-release-6-7.noarch.rpm
# yum install squirrelmail
Thực hiện script perl:
/usr/share/squirrelmail/config/conf.pl
+ Nhấp D sau đó Enter to select the Set pre-defined settings for specific
IMAP servers menu. Sau đó nhấp dovecot and ấn Enter.
+ Chọn 2 và ấn menu Enter to select the Server Settings .
+ Chọn 1 và ấn Enter to select the Domain menu. Nhập domain của bạn và
nhấn enter.
Lưu lại cấu hình và thoát.
# /etc/init.d/httpd start
2. Cài đặt, cấu hình
16
19. 1. Webmin là gì?
2. Cài đặt
B1: Kích hoạt webmin YUM Repository
B2: Cài đặt và khởi động Webmin
B3: Truy cập vào Webmin
III - CÀI ĐẶT, CẤU HÌNH WEBMIN
19
20. Webmin là một công cụ quản trị các hệ thống Linux với giao diện
web, đây là một ứng dụng nhẹ với nhiều tính năng cần thiết cho
những nhà quản trị server.
Với một trình duyệt web bất kỳ chúng ta có thể cài đặt các User
Accounts, DNS, Apache, Mail ,chia sẻ File, ….
1. Webmin là gì?
20
21. B1: Kích hoạt webmin YUM Repository
# nano /etc/yum.repos.d/webmin.repo
[Webmin]
name=Webmin Distribution Neutral
#baseurl=http://download.webmin.com/download/yum
mirrorlist=http://download.webmin.com/download/yum
/mirrorlist
enabled=1
# wget http://www.webmin.com/jcameron-key.asc
# rpm --import jcameron-key.asc
2. Cài đặt
21
22. B2: Cài đặt và khởi động Webmin
# yum install webmin
# /etc/init.d/webmin start
# /etc/init.d/webmin status
2. Cài đặt
22
23. B3: Truy cập vào Webmin
# iptables -A INPUT -p tcp -m tcp --dport 10000 -j
ACCEPT
# /etc/init.d/iptables restart
Bây giờ, ta có thể truy cập và login vào Webmin
Username: root
Password : (mật khẩu người dùng root)
2. Cài đặt
23
27. 1. AN TOÀN MẠNG LÀ GÌ?
2. KIỂU TẤN CÔNG
3. CÁC BIỆN PHÁP PHÁT HIỆN
4. CÁC GIẢI PHÁP AN NINH
IV – AN NINH MẠNG
27
28. Mục tiêu của việc kết nối mạng là để nhiều người
sử dụng, từ những vị trí địa lý khác nhau có thể sử
dụng chung tài nguyên, trao đổi thông tin với nhau.
Do đặc điểm nhiều người sử dụng lại phân tán về
mặt vật lý nên việc bảo vệ các tài nguyên thông tin
trên mạng tránh sự mất mát, xâm phạm là cần thiết
và cấp bách.
An toàn mạng có thể hiểu là cách bảo vệ, đảm bảo
an toàn cho tất cả các thành phần mạng bao gồm :
dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo
mọi tài nguyên mạng được sử dụng tương ứng với
một chính sách hoạt động được ấn định và với chỉ
những người có thẩm quyền tương ứng.
1. AN TOÀN MẠNG LÀ GÌ?
28
29. Tấn công trực tiếp
(dò tìm tên người sử dụng và mật khẩu, sử dụng các lỗi
của chương trình ứng dụng)
Nghe trộm
Giả mạo địa chỉ
Vô hiệu hóa các chức năng của hệ thống
Lỗi của người quản trị hệ thống
Tấn công vào yếu tố con người
2. CÁC KIỂU TẤN CÔNG
29
30. Không có một hệ thống nào có thể đảm bảo an toàn tuyệt
đối.
Người quản trị hệ thống không những nghiên cứu, xác định
các lỗ hổng bảo mật mà còn phải thực hiện các biện pháp
kiểm tra hệ thống có dấu hiệu tấn công hay không.
các dấu hiệu hệ thống bị tấn công
các tài khoản người dùng mới lạ
sự xuất hiện của các tập tin lạ
hiệu năng của hệ thống
hoạt động của các dịch vụ hệ thống cung cấp
các file liên quan đến cấu hình mạng và dịch vụ
chính sách về bảo mật đối với hệ thống
3. CÁC BIỆN PHÁP PHÁT HIỆN
30
31. Giải pháp firewall cho hệ thống mạng
Trong công nghệ thông tin, firewall là một kỹ thuật được tích hợp
vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ
các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào
hệ thống nhằm mục đích phá hoại, gây tổn thất cho tổ chức,
doanh nghiệp. Cũng có thể hiểu firewall là một cơ chế để bảo vệ
mạng tin tưởng (trusted network) khỏi các mạng không tin tưởng
(untrusted network).
4. CÁC GIẢI PHÁP AN NINH
31
32. Giải pháp IDS/IPS
Hệ thống phát hiện xâm nhập (IDS) là hệ thống có nhiệm vụ
theo dõi, phát hiện và (có thể) ngăn cản sự xâm nhập, cũng như
các hành vi khai thác trái phép tài nguyên của hệ thống được bảo
vệ mà có thể dẫn đến việc làm tổn hại đến tính bảo mật, tính toàn
vẹn và tính sẵn sàng của hệ thống.
Khi một hệ thống IDS có khả năng ngăn chặn các nguy cơ
xâm nhập mà nó phát hiện được thì nó được gọi là một hệ thống
phòng chống xâm nhập hay IPS.
32
4. CÁC GIẢI PHÁP AN NINH
33. Giải pháp IPSEC VPN VÀ SSL VPN
IPSec VPN (Internet Protocol Security) là giao thức mạng về
bảo mật (security) và thường được liên kết với VPN (tất nhiên
bạn hoàn toàn có thể dùng IPSec ở trong mạng cục bộ LAN).
IPSec VPN cho phép việc truyền tải dữ liệu được mã hóa an toàn
ở lớp mạng (Network Layer).
Sử dụng SSL VPN để kết nối giữa người dùng từ xa vào tài
nguyên mạng công ty thông qua kết nối HTTPS ở lớp ứng dụng
thay vì tạo “đường hầm” ở lớp mạng như giải pháp IPSec đã nói
ở trên.
33
4. CÁC GIẢI PHÁP AN NINH
34. Giải pháp AntiVirus Client and Server
Một doanh nghiệp lớn nhiều máy tính kết nối tới Internet luôn
cần một giải pháp chống Virus hiệu quả nhất. Ta có thể sử dụng
giải pháp Antivirus Client and Server - của Norton phiên bản
Antivirus Coporation.
Ở đây là mô hình sử dụng phần mềm Antivirus Server, với
giải pháp này hệ thống chỉ cần một máy tính nối ra Internet và
Update sau đó sẽ cung cấp bản update này cho Client một cách
tự động, giảm thời giản quản lý, đảm bảo tính bảo mật.
Bất kỳ máy tính nào trong hệ thống nhiễm virus lập tức thông
tin đó được gửi về cho Server, nhà quản trị biết được thông tin
đó sẽ có những hành động trực tiếp tới máy tính nhiễm virus đó.
34
4. CÁC GIẢI PHÁP AN NINH
36. 1. Penetration Testing là gì?
2. 6 bước trong kĩ thuật pen test
3. Giới thiệu một số công cụ
Công cụ đánh giá Bảo mật ứng dụng
Công cụ đánh giá an ninh mạng
Cộng cụ đánh giá truy cập không dây từ xa
Công cụ đánh giá an ninh hệ thống điện thoại
Kali Linux
V - KỸ THUẬT PEN TEST
36
37. Penetration Testing (kiểm tra thâm nhập) là
phương thức nhằm đánh giá, ước chừng độ an toàn
và tin cậy của hệ thống máy tính hay môi trường
mạng bằng cách giả lập (simulating) cuộc tấn công từ
hacker.
1. Penetration Testing là gì?
37
38. Enumeration (điều tra, liệt kê)
Tìm hiểu về hệ thống đích. Công cụ: Google, Whois,…
IP Scanning (quét IP)
Nhận diện các dịch vụ đang chạy trên hệ thống
Ước định các dịch vụ đã tìm được
Tìm ra các version của các dịch vụ
Tìm hoặc ghi lại các lỗ hổng
Khai thác những lỗ hổng trên hệ thống đích
Cung cấp tư liệu về những lỗ hổng có thể bị tấn công
và đưa ra giải pháp bảo mật cho hệ thống đích.
2. 6 bước trong Penetration Test
38
39. Công cụ đánh giá Bảo mật ứng dụng:
WebScarab, Acunetix, Wapiti, Netsparker,
Watcher,NStalker, Websecurify, Skipfish, x5s,…
3. Một số công cụ pen test
39
40. Công cụ đánh giá an ninh mạng:
Angry IP scanner, Cain and Abel, Nessus, John the
Ripper, Snort, Kismet, Tcpdump, Ntop, Wireshark,…
40
3. Một số công cụ pen test
41. Cộng cụ đánh giá truy cập không dây từ xa:
Kismet, Aircrack, Airsnort, Stumbler,…
41
3. Một số công cụ pen test
42. Công cụ đánh giá an ninh hệ thống điện
thoại:
Omnipeek
42
3. Một số công cụ pen test
Thêmngườidùngđểtiếnhànhthựchiện test hệthống ở bướctiếptheouseradd test1passwd test1useradd test2passwd test2Thựchiện test SMTP thông qua tiệních telnet client trênhệthống Linux.[root@mail ~]# telnet localhostsmtpTrying 127.0.0.1... Connected to localhost.localdomain (127.0.0.1). Escape character is '^]'. 220 mail.acme.local ESMTP Postfix ehlolocalhost250-mail.acme.local 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN mail from:test1@<ten mien>250 2.1.0 Ok rcpt to:test2@<ten mien>250 2.1.5 Ok data 354 End data with test .250 2.0.0 Ok: queued as 9729067C17 quit 221 2.0.0 Bye Connection closed by foreign host. [root@mail ~]#Nếubạngặpbấtkỳvấnđề, kiểmtracáctập tin log tại /var/log/maillog
Sửdụngtiệních telnet trênhệthống Linux đểtiếnhành test[root@mail ~]# telnet localhost pop3 +OK dovecot ready. user test2 +OK pass password +OK Logged in. list +OK 1 messages: 1 622 . retr 1 +OK 622 octets Return-Path: X-Original-To: test2 Delivered-To: test2@<ten mien>Received: from localhost.localdomain (localhost.localdomain [127.0.0.1]) by mail.acme.local (Postfix) with SMTP id 9729067C17 for ; Thu, 22 Feb 2007 09:06:37 -0500 (EST) Message-Id: <20070222140640.9729067C17@mail.acme.local> Date: Thu, 22 Feb 2007 09:06:37 -0500 (EST) From: test1@<ten mien>To: test2@thuonglt.com:; X-IMAPbase: 1172153557 1 Status: O X-UID: 1 Content-Length: 5 X-Keywords: test . quit +OK Logging out. Connection closed by foreign host. [root@mail ~]#
a) CôngcụđánhgiáBảomậtứngdụng: WebScarab : WebScarab là một công cụ kiểm tra bảo mật ứng dụng web. Nó hoạt động như một proxy, cho phép các nhà quản trị xem xét và sửa đổi các yêu cầu được tạo ra bởi các trình duyệt trước khi chúng được gửi đến máy chủ. WebScarab có khả năng đánh chặn cả HTTP và HTTPS. Acunetix: Acunetix Web Vulnerability Scanner là một chương trình ứng dụng quét lỗ hổng web. Acunetix kiểm tra các lỗ hổng khác nhau trong ứng dụng và tạo ra báo cáo theo các kết quả.
b) Côngcụđánhgiá an ninhmạng : Angry IP scanner: Phầnmềm Angry IP Scanner chophép quét địa chỉ IP cũng như cổng trong phạm vi bất kỳ.Cain and Abel: Cain và Abel (thường viết tắt là Cain) là một công cụ khôi phục mật khẩu cho Microsoft Windows. Nó có thể phục hồi nhiều loại mật khẩu bằng cách sử dụng các phương pháp như đánh hơi gói dữ liệu mạng, bẻ các mật khẩu hash khác nhau bằng cách sử dụng các phương pháp như tấn công từ điển, brute force và tấn công giải mã.
c) Cộngcụđánhgiátruycậpkhôngdâytừxa: Kismet : Đâylàchuẩn 802,11 lớp 2 mạngkhôngdây , sniffer, vàhệthốngpháthiệnxâmnhập. Xác định mạng lưới bằng cách thụ động thu thập các gói tin. Phát hiện mạng lưới ẩn và sự hiện diện của mạng nonbeaconing thông qua dữ liệu lưu lượng.
d) Côngcụ đánh giá an ninhhệthốngđiện thoại: OmnipeekOmnipeek là một mạng lưới cung cấp phân tích thời gian thực VoIP theo dõi và phân tích kết hợp với Ethernet, không dây , l0GbE , Gigabit , và WAN.
Kali Linux is a Debian-derived Linux distribution designed for digital forensics and penetration testing. It is maintained and funded by Offensive Security Ltd. It was developed by MatiAharoni and Devon Kearns of Offensive Security through the rewriting BackTrack, their previous forensics Linux distribution.[1]Kali Linux is preinstalled with numerous penetration-testing programs, including nmap (a port scanner), Wireshark (a packet analyzer), John the Ripper (a password cracker), and Aircrack-ng (a software suite for penetration-testing wireless LANs).[2] Users may run Kali Linux from a hard disk, live CD, or live USB. It is a supported platform of the Metasploit Project's Metasploit Framework, a tool for developing and executing security exploits.[2]
