Tài liệu đào tạo quản trị mạng CMC Co.Ltd
Tài liệu hướng dẫn quản trị các dịch vụ
trong mạng Intranet trên nền HĐH Linux
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 1 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
Mục lục
2. Dịch vụ DNS 4
2.1. Các khái niệm cơ bản 4
2.2. Lựa chọn và đăng ký domain cho hệ thống 4
2.3. Mô hình thử nghiệm 5
2.4. Cấu hình dịch vụ DNS 7
2.4.1. Cấu hình cho máy chủ trung ương 7
2.4.2. Cấu hình cho máy chủ tỉnh 17
3. Dịch vụ DHCP 19
3.1. Các khái niệm cơ bản 19
3.2. Cấu hình dịch vụ sử dụng trong mô hình hiện tại 19
3.3. Các bước cấu hình dịch vụ DHCP cho máy chủ 20
4. Dịch vụ FTP 22
4.1. Các khái niệm cơ bản 22
4.2. Dịch vụ FTP trong mô hình hiện tại 23
4.2.1. Phân loại và cấp quyền cho user (User Classes) 24
4.2.2. Chỉ định các thư mục gốc cho user 25
4.2.3. Các luật bảo mật 26
4.2.4. Các thông điệp tới user 27
4.2.5. Nhật ký 28
4.2.6. Tỷ lệ Upload/Download 29
4.2.7. Máy ảo: 30
4.2.8. Một số luật bổ sung cho file cấu hình 31
5. DỊCH VỤ SQUID 33

5.1. Các khái niệm cơ bản 33
5.1.1. Những lựa chọn về mạng 33
5.1.2. Những lựa chọn về quá trình xử lý các yêu cầu của client 34
5.1.3. Những lựa chọn để đặt kích thước cache 34
5.1.4. Xác định vị trí đặt các file log và thư mục dành cho cache 35
5.1.5. Điều chỉnh cache 35
5.1.6. Điều khiển quá trình truy cập qua proxy 36
5.1.7. Các tham số quản trị 39
5.2. Mô hình thử nghiệm 39
5.2.1. Cấp Trung ương 40
5.2.2. Cấp tỉnh (Hà Nam) 41
5.2.3. Cấp huyện (Lý Nhân) 42
6. Dịch vụ cung cấp sổ địa chỉ dùng OpenLdap 42
6.1. Các khái niệm cơ bản 42
6.1.1. Dịch vụ thư mục (directory service) 42
6.1.2. LDAP 43
6.1.3. Cách thức LDAP làm việc 44
6.1.4. Giới thiệu về X.500 44
6.2. Mô hình hệ thống thử nghiệm 44
6.3. Cấu hình một hệ cung cấp dịch vụ sổ địa chỉ đơn giản 44
6.3.1. Cấu hình các tham số trong file /etc/openldap/slapd.conf 44
6.3.2. Cấu hình tham số trong file /etc/ldap.conf 44
6.3.3. Khởi động dịch vụ 45
6.3.4. Tạo các bản ghi địa chỉ 45
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 2 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
6.4. Các tác vụ thực hiện với sổ địa chỉ 46
6.4.1. Thêm/Cập nhật/Xoá/Liệt kê bản ghi địa chỉ 46

6.4.2. Nhân bản dữ liệu 46
7. Cấu hình dịch vụ sendmail 47
7.1. Cấu hình cơ bản – Basic Sendmail 47
7.1.1. Domain đại diện 48
7.1.2. Chấp nhận domain 48
7.1.3. Máy chủ thư chính – Mail server 48
7.1.4. Trạm chuyển tiếp thư – Mail gateway 48
7.1.5. Giao thức chuyển thư 48
7.1.6. Sử dụng kết hợp với DNS 49
7.1.7. Bí danh cho hệ thống 49
7.2. Cấu hình định tuyến thư (tài khoản) 49
7.2.1. Các ý tưởng 49
7.2.2. Xây dựng luật định tuyến 49
7.3. Thiết lập nâng cao (anti-spam) 50
7.3.1. Nguyên lý hoạt động 51
7.3.2. Sử dụng tên hay địa chỉ IP ? 51
7.3.3. Cấu hình gửi trả thư 51
7.3.4. Cho phép `Relay' (IP) 51
7.3.5. Cho phép `Relay' (Tên) 51
7.3.6. Chuyển tiếp tới 52
7.4. Thiết lập các tham số cấu hình cho hệ thống thư của VPTW 52
7.4.1. Máy chủ thư cấp trung ương 52
7.4.2. Máy chủ thư cấp tỉnh/TP 56
7.4.3. Máy chủ thư cấp quận/huyện 62
8. Xây dựng hệ Linux Firewall 62
8.1. Các khái niệm cơ bản 62
8.1.1. Firewall –tường lửa 62
8.1.2. Các công nghệ FW 62
8.1.3. Mô hình mạng dùng Linux FW 63
8.1.4. Các thế hệ Linux Firewall 63

8.1.5. Giới thiệu về Netfilter / iptables 63
8.2. Mô hình thử nghiệm 66
8.3. Cấu hình FW cho mô hình thử nghiệm 66
1.
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 3 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
2. Dịch vụ DNS
2.1. Các khái niệm cơ bản
Dịch vụ DNS (Domain Name Service) có thể hiểu là “Dịch vụ giải nghĩa tên miền”
cho một hệ thống mạng. Dịch vụ này làm nhiệm vụ chính là giải nghĩa địa chỉ tên miền
sang địa chỉ IP của máy chủ và ngược lại. Dịch vụ này liên quan đến rất nhiều các dịch vụ
quan trọng khác sử dụng trong mạng Intranet như Email, Web…ví dụ khi truy cập đến địa
chỉ trang Web: www.cmc.com.vn hay gửi thư đến địa chỉ mail: thì tên
miền cmc.com.vn sẽ được giải nghĩa và hướng đến các máy chủ có địa chỉ IP khai báo sắn
Dịch vụ DNS trong hệ điều hành Linux được xây dựng bởi Named trong đó người
quản trị có thể sử dụng các công cụ hỗ trợ của Linux hoặc tác động trực tiếp vào các file
cấu hình của dịch vụ.Trong khuôn khổ tài liệu này, hai phương pháp cấu hình dịch vụ DNS
được trình bày bao gồm: Phương pháp tác động trực tiếp vào file cấu hình và phương
pháp sử dụng trình Binconf trong chế độ đồ hoạ (GNOME hoặc KDE)
2.2. Lựa chọn và đăng ký domain cho hệ thống
Domain nên có tên ngắn gọn, gợi nhớ đến chức năng của cả tổ chức/cơ quan, đối
với hệ thống thông tin của Đảng, chúng ta có thể lựa chọn domain: vietpart.gov.vn.
Phù hợp theo mô hình tổ chức phân cấp (cả về hành chính, cũng như trao đổi
thông tin), domain vietpart.gov.vn sẽ được quản lý bởi máy chủ DNS tại cấp Trung ương.
Trong tương lai, khi đăng ký domain lên Internet (chẳng hạn ở Việt nam: các thủ
tục đăng ký sẽ được tiến hành với VNNIC) và đầu tư đường kết nối Internet trực tiếp
(leasedLine + các địa chỉ IP Internet cố định), mọi yêu cầu giải nghĩa tên máy (tên máy
-> địa chỉ IP) phục vụ truy nhập từ thế giới Internet bên ngoài tới các máy chủ cung cấp

các dịch vụ công cộng như Web, FTP, sẽ được máy chủ DNS của VNNIC chuyển tới máy
chủ DNS đặt tại trung tâm thông tin văn phòng Trung ương. Việc quản lý trực tiếp domain
(sử dụng máy chủ DNS riêng, KHÔNG đăng ký từng bản ghi riêng lẻ với VNNIC) đem lại
các thuận lợi:
 Thuận tiện, dễ dàng thêm/bớt, chỉnh sửa các bản ghi phục vụ các yêu cầu nội bộ.
Ví dụ: có thể thêm các bản ghi như: proxy.vietpart.gov.vn,
firewall.vietpart.gov.vn,
 Toàn bộ các domain con là do chính chúng ta quản lý. Chúng ta có thể thêm/bớt
domain con (tương ứng với một Tỉnh/Thành), thêm/bớt, chỉnh sửa bản ghi có trong
domain con. Ví dụ, đối với một Tỉnh/Thành -> có thể sử dụng tên viết tắt (03 chữ
cái) khi tạo mới domain con, và domain con sẽ có dạng: xxx.vietpart.gov.vn;
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 4 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
chẳng hạn hna.vietpart.gov.vn là domain đại diện cho Tỉnh Hà nam, và
mail.hna.vietpart.gov.vn là tên máy chủ eMail tại Hà nam.
Như đã mô tả trong phần trước, về mặt logic: đã có domain vietpart.gov.vn là domain đại
diện cho toàn hệ thống và được sử dụng trực tiếp tại văn phòng Trung ương, các domain
xxx.vietpart.gov.vn sẽ đại diện cho các Tỉnh/Thành tương ứng.
Về nguyên tắc: tất cả mọi bản ghi trực thuộc domain vietpart.gov.vn, cũng như các bản
ghi trực thuộc các domain con xxx.vietpart.gov.vn đều có thể được khai báo và quản lý
trên một máy chủ DNS duy nhất – máy chủ DNS cấp Trung ương. Tuy nhiên cách làm này
lại kéo theo những bất lợi sau:
 Không mềm dẻo trong quản lý bản ghi DNS. Ví dụ: một yêu cầu thêm/bớt, chỉnh
sửa bản ghi cho một Tỉnh/Thành nhằm phục vụ nhu cầu nội bộ tại một Tỉnh/Thành
luôn phải gửi lên Trung ương (đường eMail, đường thư tín, công văn) và sau đó là
chờ đợi cập nhật tại máy chủ DNS Trung ương.
 Tải trên mạng diện rộng, máy chủ DNS Trung ương sẽ tăng cao do mọi yêu cầu
giải nghĩa DNS đều được gửi tới máy chủ DNS Trung ương. Và trong thực tế, các

kết nối tới Trung ương phần lớn đều được thực hiện thông qua modem (quay số sử
dụng mạng thoại) cũng có thể sẽ kéo theo tình trạng nghẽn tổng đài tại TW (yêu
cầu quay số có thể xuất phát từ bất kỳ một đơn vị cấp Quận/Huyện, cấp
Tỉnh/Thành và đồng thời từ nhiều nơi trong cùng thời điểm), và phụ trội về cước
phí.
Do vậy hệ thống DNS của chúng ta sẽ được xây dựng với cách thức tổ chức sau:
 Hệ thống domain được phân cấp tới Tỉnh/Thành.
 Tại mỗi cấp, đều có một máy chủ DNS đảm bảo các yêu cầu giải nghĩa tên thiết
yếu, cần thiết cho truy nhập các dịch vụ có trên hệ thống nội bộ.
 Khi cần giải nghĩa các tên máy KHÔNG thuộc diện quản lý nội bộ, máy chủ DNS tại
một cấp sẽ chuyển yêu cầu tới máy chủ DNS cấp trên.
2.3. Mô hình thử nghiệm
Domain chính vietpart.gov.vn sẽ được quản lý bởi máy chủ DNS tại trung ương. Các bản
ghi thiết yếu được mô tả tại máy chủ DNS trung ương sẽ làm nhiệm vụ giải nghĩa tên cho
các máy chủ dịch vụ Web, FTP, Email, Proxy, Firewall.
Máy chủ DNS tại Trung ương
domain: vietpart.gov.vn
Máy chủ DNS cấp trên: 203.162.0.11 (ví dụ là máy chủ DNS có tại nhà cung cấp dịch vụ
ISP - VDC)
Bản ghi Kiểu Tên máy Địa chỉ IP Ghi chú
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 5 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
Các bản ghi tham chiếu tới domain vietpart.gov.vn (Trung ương)
vietpart.gov.vn MX mail.vietpart.gov.vn Bản ghi MX phục vụ eMail
domain vietpart.gov.vn
mail.vietpart.gov.vn A 192.168.1.1 Địa chỉ IP máy chủ eMail
www.vietpart.gov.vn A 192.168.1.1 Địa chỉ IP máy chủ WEB
ftp.vietpart.gov.vn A 192.168.1.1 Địa chỉ IP máy chủ FTP

Db.vietpart.gov.vn A 192.168.1.1 Địa chỉ IP máy chủ CSDL
Máy chủ DNS tại Tỉnh/Thành – lấy Hà nam làm ví dụ
domain: hna.vietpart.gov.vn
Máy chủ DNS cấp trên: dnsparent.han.vietpart.gov.vn
Bản ghi Kiểu Tên máy Địa chỉ
IP
Ghi chú
Các bản ghi tham chiếu tới domain hna.vietpart.gov.vn (Tỉnh Hà nam)
hna.vietpart.gov.vn MX mail.hna.vietpart.gov.v
n
Bản ghi MX phục vụ eMail
domain
hna.vietpart.gov.vn
mail.hna.vietpart.gov.vn A x.x.x.x Địa chỉ IP máy chủ eMail
www.hna.vietpart.gov.vn A x.x.x.x Địa chỉ IP máy chủ WEB
ftp.hna.vietpart.gov.vn A x.x.x.x Địa chỉ IP máy chủ FTP
db.hna.vietpart.gov.vn A x.x.x.x Địa chỉ IP máy chủ CSDL
Bản ghi tham chiếu tới cấp trên
dbparent.hna.vietpart.gov.vn A x.x.x.x Địa chỉ IP máy chủ CSDL
dnsparent.hna.vietpart.gov.v
n
A x.x.x.x Địa chỉ IP máy chủ CSDL
Ghi chú:
dbparent.hna.vietpart.gov.vn cần có địa chỉ IP phù hợp tham chiếu tới máy chủ
CSDL trên Trung ương.
dnsparent.hna.vietpart.gov.vn cần có địa chỉ IP phù hợp tham chiếu tới máy chủ
DNS trên Trung ương.
(Người quản trị tại cấp Tỉnh/Thành cần liên hệ tới người quản trị cấp Trung ương để
có thông tin về địa chỉ IP các máy chủ cấp Trung ương – các máy chủ cấp Tỉnh/Thành
muốn trao đổi thông tin với)

Kiểu bản ghi A (Address): Địa chỉ IP Internet thuần tuý.
Kiểu bản ghi MX (Mail Exchange): Bản ghi kiểu này định nghĩa một eMail Domain
sẽ được quản lý cụ thể bằng một máy chủ có tên là gì? Sau khi đã mô tả tên máy chủ
eMail, cũng cần mô tả tiếp địa chỉ IP tương ứng.
Chi tiết hơn về vai trò của bản ghi MX – trong gửi eMail sử dụng chuẩn
SMTP
Khi một máy chủ eMail cần gửi eMail tới một người dùng có địa chỉ không thuộc
diện quản lý nội bộ (khác eMail domain), nó sẽ tiến hành các thao tác:
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 6 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
 Nhờ dịch vụ DNS xác định: máy chủ eMail quản lý trực tiếp domain đích có tên là
gì?
 Với tên máy nhận được, lại hỏi tiếp dịch vụ DNS: địa chỉ IP tương ứng là gì?
 Thiết lập kết nối SMTP với máy chủ có địa chỉ IP vừa nhận được, và gửi thẳng,
trực tiếp eMail tới máy chủ đích.
Trong trao đổi eMail trên diện rộng, với hạ tầng truyền thông hiện tại của chúng ta
chủ yếu sử dụng kết nối quay số qua modem tỏ ra không phù hợp với phương thức gửi
thẳng/trực tiếp nêu trên (ví dụ: gửi eMail từ Huyện -> Huyện trong cùng Tỉnh, khi mà
tại Huyện, việc kết nối ra bên ngoài chủ yếu dựa vào kết nối gián tiếp thông qua Tỉnh).
Việc mô tả bản ghi MX chỉ mang tính chất giới thiệu, chuẩn bị trước cho hệ thống
khi được nâng cấp về hạ tầng truyền thông.
2.4. Cấu hình dịch vụ DNS
Trên Linux, việc cấu hình dịch vụ DNS (named) có thể được thực hiện bằng cách
thao tác trực tiếp với file cấu hình (‘/etc/named.conf’), với các file lưu giữ các bản ghi DNS
(có trong thư mục: ‘/var/named’), hoặc kết hợp với tiện ích có giao diện thân thiện:
bindconf.
Cấu hình dịch vụ DNS được thao tác với hai đối tượng chính là file cấu hình
(‘/etc/named.conf’), tại đây chỉ ra các thiết lập cho hệ thống dịch vụ Named và các tham

chiếu đến các file lưu giữ các bản ghi DNS (trong thư mục: ‘/var/named’).
2.4.1. Cấu hình cho máy chủ trung ương
Nội dung file cấu hình /etc/named.conf trong máy chủ trung ương:

options
{
forwarders
{
203.162.0.11;
};
directory "/var/named";
};
zone "." IN {
type hint;
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 7 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
file "named.ca";
};
zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};
zone "vietpart.gov.vn" IN {
type master;
file "vietpart.gov.vn.zone";
};
zone "0.0.127.in-addr.arpa" IN {

type master;
file "named.local";
allow-update { none; };
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "1.168.192.zone";
};
key "key" {
algorithm hmac-md5;
secret "OBUWNYCEqeixCGznWTwniduzFqKCEduqBaxJCPXVVlJkabYQfVBZpxBEDsZI";
};

Nội dung file cấu hình có thể hiểu một cách tường minh là các dòng lệnh với các tham số
xác định. Các tham số chính trong file sẽ chỉ ra các đường kết nối đến các bản ghi mà các
yêu cầu giải nghĩa tên sẽ tìm đến. Các bản ghi này được định vị tại thư mục ‘/var/named’
và nội dung các bản ghi chính là các thông tin đã nêu ở trên.
Dòng lệnh forwarders chỉ ra máy chủ giải nghĩa tên mức cao hơn vì máy chủ DNS
trung ương chỉ có nhiệm vụ giải nghĩa tên các máy chủ dịch vụ trong domain
vietpart.gov.vn. Khi có các yêu cầu giải nghĩa tên ngoài domain vietpart.gov.vn, máy chủ
DNS trung ương sẽ nhờ máy chủ của nhà cung cấp ISP (trong trường hợp này là máy chủ
của VDC) thực hiện các nhiệm vụ này.
Dòng lệnh zone chỉ ra các tên bản ghi, kiểu bản ghi và một số tham số kèm theo.
Các bản ghi này là bảng ánh xạ giữa địa chỉ IP và các máy chủ dịch vụ và được đặt trong
thư mục ‘/var/named’
Dòng lệnh: zone "." IN là mặc định, chỉ ra đây là domain root của hệ thống
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 8 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd

Dòng lệnh: zone “localhost” là mặc định, chỉ ra máy chủ hiện tại
Dòng lệnh: zone “vietpart.gov.vn” đáp ứng các yêu cầu giải nghĩa từ tên máy chủ
sang địa chỉ IP thuộc domain vietpart.gov.vn bằng cách tham chiếu đến file bản ghi
‘vietpart.gov.vn.zone’
Dòng lệnh: zone “0.0.127.in-addr.arpa” đáp ứng yêu cầu giải nghĩa ngược từ địa
chỉ IP sang tên máy chủ đối với địa chỉ IP loopback của máy chủ hiện tại( địa chỉ IP
loopbcack là 127.0.0.1).
Dòng lệnh: zone"1.168.192.in-addr.arpa" IN đáp ứng các yêu cầu giải nghĩa ngược
từ địa chỉ IP sang tên máy chủ đối với domain vietpart.gov.vn được quản lý bởi máy chủ
này (có địa chỉ IP là 192.168.1.1)
Dòng lệnh key "key" là mặc định.
Như vậy, nội dung file cấu hình named.conf có thể được cập nhật và sửa đổi theo các cú
pháp đã trình bày ở trên. Với một số dòng lệnh là mặc định, hai dòng lệnh cần quan tâm
chính là zone “vietpart.gov.vn” và zone "1.168.192.in-addr.arpa" tham chiếu đến domain
vietpart.gov.vn, do đó khi cần thêm một domain khác, ta có thể sử dụng cú pháp tương tự
để cấu hình cho domain đó.
Nội dung các file bản ghi trong thư mục ‘/var/named’: Các file trong thư mục trên
đã được chỉ ra trong file cấu hình trong đó một số file là mặc định trong hệ thống:
File named.ca là mặc định phục vụ cho thư mục root
File named.local và localhost.zone là mặc định và phục vụ cho máy chủ hiện tại
File vietpart.gov.vn.zone chứa các bản ghi tham chiếu đến domain vietpart.gov.vn được
chỉ ra trong file cấu hình. Nội dung của file:

$TTL 86400
vietpart.gov.vn. IN SOA dns1.vietpart.gov.vn. dns-master.vietpart.gov.vn. (
1 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum

vietpart.gov.vn. IN NS dns1.vietpart.gov.vn.
vietpart.gov.vn. IN MX 1 mail.vietpart.gov.vn.
mail.vietpart.gov.vn. IN A 192.168.1.1
www.vietpart.gov.vn. IN A 192.168.1.1
ftp.vietpart.gov.vn. IN A 192.168.1.1

/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 9 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
Bản ghi chỉ ra các thông số: Máy chủ quản trị DNS có tên dns1.vietpart.gov.vn, địa
chỉ mail của người quản trị là dns-master.vietpart.gov.vn quản lý domain vietpart.gov.vn
với các tham số như Serial, Refresh, Retry, Expire, Minimum được thiết lập với các giá trị
như trên.
Nhiệm vụ quản lý Email cho domain vietpart.gov.vn do máy chủ
mail.vietpart.gov.vn quản lý
Máy chủ quản trị mail, Web,FTP, Squid đều có địa chỉ IP là 192.168.1.1
Người quản trị hoàn toàn có khả năng thêm các bản ghi khác vào file với cú pháp tương
tự. Các bản ghi là các ánh xạ 1:1 giữa địa chỉ IP và tên máy chủ quản trị dịch vụ tương
ứng.
File 1.168.192.zone chứa các bản ghi tham chiếu ngược từ địa chỉ IP sang tên máy
chủ. Nội dung file:

$TTL 86400
1.168.192.IN-ADDR.ARPA. IN SOA dns1.vietpart.gov.vn. dns-
master.vietpart.gov.vn. (
1 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire

86400 ) ; Minimum
1.168.192.IN-ADDR.ARPA. IN NS dns1.vietpart.gov.vn.
1.1.168.192.IN-ADDR.ARPA. IN PTR mail.vietpart.gov.vn.
1.1.168.192.IN-ADDR.ARPA. IN PTR www.vietpart.gov.vn.

Trong file cấu hình giải nghĩa ngược, bản ghi SOA vẫn chỉ ra máy chủ làm nhiệm vụ
giải nghĩa ngược với các tham số thời gian tương tự, tuy nhiên ở đây có thêm một bản ghi
kiểu con trỏ PTR làm nhiệm vụ giải nghĩa ngược. Sử dụng cú pháp tương tự chúng ta có
thể thêm các bản ghi kiểu con trỏ để làm nhiệm vụ giải nghĩa ngược cho các địa chỉ IP
khác.
Cấu hình dịch vụ DNS như đã chỉ ra, chúng ta có thể sử dụng phương pháp tác
động trực tiếp vào file cấu hình với nội dung trên hoặc sử dụng một chương trình thông
dụng trong chế độ đồ hoạ có tên bindconf. Chương trình này có trong cả hai màn hình đồ
hoạ GNOME và KDE.
Khởi động bindconf: MainMenuButton=>Programs=>System=>bindconf.
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 10 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
Thông thường khi chưa có file cấu hình nào, ta có sẵn localhost.zone và 0.0.127.in-
addr.arpa.
Thêm file chứa bản ghi chính cho domain: Nhấn Add và chọn Forward Master
Zone.
Trên màn hình, điền tên domain vietpart.gov.vn, file cấu hình vietpart.gov.vn.zone và
tham số Primary Name Server có thể đặt là @.
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 11 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
Muốn đặt thêm các tham số, ta vào Time Setting, tại đây có các tham số Refresh,

Retry, Expire và Minimum TTL. Các giá trị được đặt như trong file cấu hình.
Tại ô Record, nhấn vào nút Edit để thêm máy chủ giải nghĩa tên là dns1.vietpart.gov.vn,
máy chủ quản lý mail là mail.vietpart.gov.vn và địa chỉ IP là 192.168.1.1.
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 12 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
Tại ô Record, nhấn vào nút Add để thêm các máy chủ WWW, máy chủ FTP và các máy
chủ cần thiết khác cùng địa chỉ IP của các máy.
Trong trường hợp chúng ta thêm vào domain vietpart.gov.vn theo phương pháp này, hệ
thống sẽ tự tạo ra file vietpart.gov.vn.zone chứa các bản ghi đồng thời thêm các dòng
lệnh như trên vào file cấu hình. Nếu muốn sửa đổi file cấu hình, chúng ta có thể chọn lựa
chế độ Edit thay cho Add và tiến hành các phép sửa đổi cần thiết.
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 13 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
Trong trường hợp muốn cấu hình file làm nhiệm vụ giải nghĩa ngược từ địa chỉ IP
-> Tên máy chủ, từ màn hình khởi động của bindconf, sau khi chon Add, ta chọn
Reverse Master Zone
Đưa 3 octet đầu tiên trong địa chỉ IP của máy chủ, hệ thống sẽ tự động tạo ra file
bản ghi (Đảo ngược 3 octet đầu của địa chỉ IP). Tên của file bản ghi sẽ được từ động đặt
theo qui định là 1.168.192addr-apra.zone (Địa chỉ IP máy chủ DNS trong trường hợp này
là 192.168.1.1)
Primary Name Server (SOA) được sử dụng mặc định là @
Các giá trị trong Time Setting nên đặt mặc định
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 14 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd

Trong ô Name Server, chúng ta sẽ trỏ vào tên của máy chủ dns1.vietpart.gov.vn
Trong ô Reserve Address Table, chúng ta sẽ thêm vào máy chủ mail.vietpart.gov.vn và
www.vietpart.gov.vn với các địa chỉ IP chính xác.
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 15 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
Sau các bước trên, hệ thống sẽ tạo ra file bản ghi 1.168.192.zone và thêm vào fille cấu
hình các dòng lệnh cần thiết.
Bước cuối cùng là vào menu File -> Apply để thực hiện các thay đổi.
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 16 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
Lưu ý : Khi cấu hình, chỉ nên sử dụng 1 trong hai phương pháp sửa trực tiếp vào file hoặc
gián tiếp qua bindconf, cũng có thể chấp nhận làm theo phương pháp gián tiếp bằng
bindconf và sau đó sửa đổi trực tiếp vào file mà không thể dùng trình bindconf để sửa
đổi các thông tin đã được tạo ra bởi cách làm trực tiếp vì trình bindconf chỉ đọc và quản
lý được các thông tin, dữ liệu do chính nó tạo ra mà không thể cập nhật các thông tin tạo
ra bằng phương pháp khác, do đó nó sẽ xoá tất cả các dữ liệu do các phương pháp khác
tạo ra. Đây là hạn chế của bindconf.

2.4.2. Cấu hình cho máy chủ tỉnh
Máy chủ tỉnh quản lý các domain cấp con của domain vietpart.gov.vn, trong mô
hình thử nghiệm chúng ta có tỉnh Hà Nam và domain tương ứng là hna.vietpart.gov.vn.
Máy chủ của tỉnh Hà Nam sẽ chịu trách nhiệm quản lý domain này và đáp ứng các nhu
cầu giải nghĩa tên liên quan đến domain này. Tương tự như việc quản lý domain trong
máy chủ trung ương, cấu hình máy chủ DNS của tỉnh sẽ bao gồm các file cấu hình
named.conf và các file chứa các bản ghi tham chiếu địa chỉ IP <-> Tên máy, vị trí các file
cũng tương tự như trước, tuy nhiên nội dung sẽ khác.

Nội dung file cấu hình ‘/etc/named.conf’

options
{
forwarders
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 17 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
{
192.168.101.1; #Địa chỉ lối vào máy chủ trung ương
};
directory "/var/named";
};
zone "." IN {
type hint;
file "named.ca";
};
zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};
zone "hna.vietpart.gov.vn" IN {
type master;
file "hna.vietpart.gov.vn.zone";
};
zone "2.168.192.in-addr.arpa" IN {
type master;
file "2.168.192.arpa.zone";

allow-update { none; };
};
zone "0.0.127.in-addr.arpa" IN {
type master;
file "named.local";
allow-update { none; };
};
key "key" {
algorithm hmac-md5;
secret "YfrhbVyhfnBqDLnkbGmMlMdbYPANIKyRLyBgBZGwTbtIkSw0SpdzWJNgggZh";
};

Cú pháp các lệnh trong file cấu hình không có gì thay đổi, tuy nhiên trong mô hình domain
tỉnh, máy chủ DNS của tỉnh Hà Nam có tên và địa chỉ IP khác tương ứng.
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 18 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
Việc cấu hình dịch vụ DNS bằng trình bindconf được làm tương tự như trong
trường hợp máy chủ của trung ương.
3. Dịch vụ DHCP
3.1. Các khái niệm cơ bản
Trong một mạng máy tính, mỗi máy đều được nhận biết bởi địa chỉ IP và địa chỉ IP
được thiết lập trong mỗi máy tính có thể là địa chỉ IP tĩnh hoặc động. Địa chỉ IP tĩnh được
cấp cố định cho các máy PC trong mạng trong khi địa chỉ IP động được cấp mỗi khi máy
PC đó kết nối vào mạng và được quản lý bởi một máy chủ cấp địa chỉ DHCP.
Dịch vụ DHCP (Dynamic Host Configuration Protocol) là dịch vụ máy chủ sử dụng
để quản lý địa chỉ IP của các máy trạm. Các máy trạm không được phép tự đặt địa chỉ IP
tĩnh cho riêng nó mà sẽ được cấp địa chỉ IP động bởi máy chủ DHCP. Bằng cách này, máy
chủ có thể quản lý nguồn tài nguyên địa chỉ IP một cách thống nhất và tránh tình trạng

xung đột địa chỉ IP do các user tự ý đặt riêng cho mình, tập trung sự quản lý về một
nguồn dễ dàng thêm bớt các máy trạm trong trường hợp mở rộng hệ thống mạng. Khi có
một máy trạm mới yêu cầu cung cấp địa chỉ IP, máy chủ DHCP sẽ tìm kiếm và gán cho
máy đó một địa chỉ IP chưa sử dụng trong nguồn tài nguyên của nó và không cho phép sử
dụng địa chỉ đó lần thứ 2 trong bất kỳ máy nào khác.
Nhiệm vụ cấu hình dịch vụ DHCP làm trên cả máy chủ và máy trạm trong hệ thống
mạng, tuy nhiên chúng ta chỉ quan trọng trong phần cấu hình cho máy chủ quản lý dich
vụ này. Cấu hình máy chủ DHCP trong Linux được thực hiện bởi ứng dụng DHCPD với toàn
bộ các lệnh cấu hình được đặt trong file ‘/etc/dhcpd.conf’ và các file thư viện cần thiết cho
file cấu hình được đặt trong ‘/var/lib/dhcpd’. Nội dung các file cấu hình và các file thư viện
đều có khả năng chỉnh sửa trực tiếp, và cấu hình hệ thống hoạt động với yêu cầu card
mạng của máy chủ DHCP phải thực hiện ở chế độ multicast.
3.2. Cấu hình dịch vụ sử dụng trong mô hình hiện tại
Trong mô hình thử nghiệm, dịch vụ DHCP chưa được sử dụng, tuy nhiên chúng ta có thể
giả định các thiết lập có thể sử dụng được trong thực tế. Các máy chủ Linux sử dụng dịch
vụ DHCP để cấp địa chỉ IP cho các máy trạm trong mạng LAN của nó.
• Giả sử các mạng LAN có địa chỉ 192.168.1.0/255.255.255.0 đều cấp địa chỉ IP cho
các máy trạm. Như vậy, các địa chỉ IP mà máy chủ cung cấp được xác định trong
khoảng 192.168.1.2 – 192.168.1.254 với mặc định địa chỉ IP của máy chủ ?DHCP
là 192.168.1.1
• Các máy trong mạng được ra ngoài Internet thông qua proxy hay router như một
gateway của mạng
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 19 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
• Các máy tính được đặt địa chỉ IP cố định sẽ có địa chỉ nằm ngoài khoảng địa chỉ
động(Từ 192.168.1.201 trở đi)
3.3. Các bước cấu hình dịch vụ DHCP cho máy chủ
1. Đặt địa chỉ IP cho máy chủ tại các card mạng (địa chỉ IP tĩnh)

2. Chế độ hoạt động của card mạng phải đặt là multicast. (Sử dụng lệnh /sbin/ifconfig -a
và xác nhận điều này)
3. Soạn thảo file cấu hình ‘/etc/dhcpd.conf’ cơ bản:

#Cấu hình cơ bản dịch vụ DHCP trong máy chủ
default-lease-time 600;
max-lease-time 7200;
#Máy chủ DHCP sẽ gán địa chỉ IP cho máy trạm 600 giây nêu như máy trạm #không yêu
cầu một khoảng thời gian quá hạn nào cụ thể. Trong trường hợp #máy trạm yêu cầu, thời
gian cho phép gán địa chỉ IP đó là 7200 giây.
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.1.255;
option routers 192.168.1.254;
option domain-name "vietpart.gov.vn";
option domain-name-servers 192.168.1.1;
option netbios-name-servers 192.168.1.1;
# Chỉ ra các địa chỉ broadscast, subnet-mask, địa chỉ router/gateway, tên của #domain,
địa chỉ IP của máy chủ DNS
subnet 192.168.1.0 netmask 255.255.255.0
{
range 192.168.1.2 192.168.1.200;
}
# Xác định khoảng địa chỉ máy chủ DHCP có thể cấp cho các máy trạm sẽ nằm #trong
khoảng từ 192.168.1.2 đến 192.168.1.200 và thuộc mạng 192.168.1.0
host lthang
{
hardware ethernet 08:00:12:23:4d:3f;
fixed-address 192.168.1.201;
}
# Dành địa chỉ IP cố định cho host lthang có địa chỉ MAC được chỉ ra ở trên, như vậy host

này sẽ luôn có địa chỉ IP xác định và không đổi.
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 20 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd

4. Tạo file log: Trong thực tế, các địa chỉ IP gán động cho các máy trạm sẽ được ghi lại
trong một file bản ghi có tên dhcpd.lease, tuy nhiên ban đầu chúng ta phải tự tạo ra
file bản ghi này trước khi dịch vụ DHCP khởi tạo. Lệnh tạo file:
touch /var/lib/dhcp/dhcpd.leases
5. Khởi tạo dịch vụ DHCP qua giao tiếp Ethernet 1
/etc/rc.d/init.d/dhcpd start eth0
6. Kiểm tra và xác nhận sự hoạt động của dịch vụ:
ps ax | grep dhcpd | grep -v grep
7. Nếu muốn dịch vụ hoạt động khi khởi động máy
chkconfig level 35 dhcpd on
8. Cấu hình dịch vụ DHCP trên máy trạm: Việc cấu hình trên máy trạm thực hiện bằng
các trình hỗ trợ như linuxconf, netconf hoặc Control Panel của màn hình đồ hoạ. Tất cả các
trình ứng dụng đó đều cho ta lựa chọn việc gán địa chỉ IP tĩnh hoặc DHCP trong Propertise
của Network card, và chúng ta sẽ chọn phương pháp cấp địa chỉ IP động bằng DHCP. Tuy
nhiên các phương pháp sử dụng các trình hỗ trợ đều không luôn luôn hoạt động tốt, do đó
phương pháp tốt nhất để cấu hình cho máy trạm sử dụng dịch vụ DHCP là soạn thảo trực
tiếp vào các file cấu hình card mạng
File cấu hình cho card mạng tại khe Ethernet0: /etc/sysconfig/network-
scrips/ifconf-eth0 có nội dung sau:

DEVICE=eth0
ONBOOT=yes
BOOTPROTO=dhcp


Trong trường hợp muốn sử dụng chế độ đánh địa chỉ IP tĩnh, ta có file cấu hình như sau:

DEVICE=eth0
ONBOOT=yes
BOOTPROTO=stati;
IPADDRESS=192.168.1.20
NETMASK=255.255.255.0
GATEWAY=192.168.1.254

Khởi động lại dịch vụ Network trên máy trạm:
service network restart
Sau khi khởi động lại dịch vụ máy trạm, nếu dịch vụ chưa hoạt động, chúng ta có thể sử
dụng các lệnh /sbin/ifup eth0 hoặc pump để yêu cầu máy chủ cung cấp địa chỉ IP cho nó.
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 21 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
9. Trong trường hợp bình thường khi máy trạm khởi động, nó yêu cầu máy chủ DHCP gửi
địa chỉ IP của nó bằng cách gửi một gói tin broadcast yêu cầu DHCP chuẩn tới máy chủ với
địa chỉ nguồn là 255.255.255.255. Trong trường hợp máy chủ không biết được phải gửi
địa chỉ IP thoe giao tiếp nào, chúng ta phải thêm vào đường định tuyến đến máy đó, giả
sử thông qua giao tiếp Ethenet0:
route add -host 255.255.255.255 dev eth0
Trong trường hợp xuất hiện thông báo lỗi “255.255.255.255: Unknown host” tại máy chủ,
chúng ta phải thêm vào trong file ‘/etc/hosts’ câu khai báo sau: 255.255.255.255 dhcp
Và sau đó thêm vào lệnh định tuyến lại:
route add -host dhcp dev eth0
4. Dịch vụ FTP
4.1. Các khái niệm cơ bản
Một trong những dịch vụ phổ biến nhất được sử dụng trên mạng Internet là dịch vụ truyền

tệp (file) qua các máy tính. Dịch vụ này được dùng để chuyển tải các file giữa các máy chủ
trên mạng, giữa máy chủ và máy khách (client). Các file có thể ở dạng văn bản, ảnh tĩnh,
ảnh video, các thư viện, đặc biệt là các phần mềm ứng dụng được cung cấp miễn phí hoặc
thử nghiệm.
Việc truyền file được thông qua một giao thức của Internet gọi là giao thức FTP (File
Transfer Protocol viết tắt là FTP). Giao thức này thực hiện việc truyền file giữa các máy
tính không phụ thuộc vào vị trí địa lý hay môi trường hệ điều hành. Điều cần thiết là 2
máy đều nối mạng Internet và đều có phần mềm có thể hiểu được giao thức FTP.
Trên mạng Internet có những loại tài liệu khi muốn dùng FTP để lấy, máy chủ đòi hỏi bạn
phải có tên truy nhập và mật khẩu. Tuy nhiên có những loại tài liệu hay các phần mềm
khác tác giả muốn cho mọi người cùng được chia sẻ. Loại này khi vào lấy chỉ cần khai báo
mật khẩu là địa chỉ Email của mình và gọi là FTP “vãng lai” (anonymous).
Dịch vụ FTP (File Transfer Protocol) xây dựng với mục đích quản lý các thao tác với các file
trong hệ thống. Các tác động đến hệ thống file bao gồm Đọc, Ghi, Sao chép, Dán, Di
chuyển, Xoá… sẽ được quản lý bởi không phải bất cứ người dùng nào cũng có toàn quyền
tác động đến các file trong hệ thống. Khi quản lý hệ thống file trong domain truy cập bởi
người dùng trên Internet, nhiệm vụ này càng trở nên quan trọng.
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 22 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
Nhiệm vụ quản lý hệ thống file trong Linux được thực hiện bởi WU-FTPD, dịch vụ này cung
cấp chức năng quản lý việc truyền file rất đảm bảo dựa trên cơ chế phân quyền hợp lý
cho những người dùng ở xa truy cập vào hệ thống. Hệ thống sẽ cho phép quản lý với mỗi
người dùng các quyền truy cập vào hệ thống file tuỳ theo user name và password đã phân
bổ.
4.2. Dịch vụ FTP trong mô hình hiện tại
Trong mô hình hệ thống mạng hiện tại, dịch vụ FTP được cấu hình ở mức đơn giản nhất
bởi tính chất và ứng dụng của dịch vụ này chưa được đặt mức quan trọng. Dịch vụ FTP
được xây dựng trong các máy chủ các cấp trung ương và tỉnh, riêng các máy ở dưới huyện

thì dịch vụ FTP sẽ được cấu hình bằng phần mềm hỗ trợ Netrunner.
Trong mô hình trung ương hay tỉnh thì hệ thống đều có 2 loại user chính là user nội bộ
trong LAN và user truy nhập thông qua Internet từ các cấp khác nhau. Các user trong
mạng LAN sẽ có các quyền truy cập mức cao hơn so với các user ở bên ngoài, do đó có
các luật sau đây được áp dụng trong hệ thống
Dịch vụ FTP cung cấp trong hệ thống có các tính chất sau:
• Người dùng bên ngoài chỉ được phép truy cập máy chủ với tư cách người dùng
“khách” (Guest) hoặc “vãng lai” (Anonymous)
• Người dùng trong hệ thống mạng nội bộ được truy cập với tư cách người dùng
“thực“ (Real) và cả tư cách người dùng “khách” và “vãng lai”
 Nếu máy trạm chỉ tải file về (download) từ máy chủ FTP: Máy chủ FTP KHÔNG
yêu cầu máy trạm phải đăng nhập (login) tới máy chủ.
 Máy chủ FTP chỉ yêu cầu máy trạm đăng nhập (login với tài khoản, mật khẩu phù
hợp), nếu máy trạm có nhu cầu tải file lên (upload) máy chủ. Thông thường, hệ
thống thư mục, hệ thống file trên một máy chủ FTP đã được gán quyền sao cho:
khi máy trạm truy nhập máy chủ FTP với mong muốn tải file lên, máy trạm sẽ chỉ
được phép ghi/chép file có trong thư mục riêng tương ứng với tài khoản mà máy
trạm đã sử dụng để đăng nhập. (Lưu ý: khi có quyền ghi/chép file trong thư mục
riêng -> cũng có nghĩa có thể xoá file khỏi thư mục riêng)
Tuỳ theo nhu cầu và tùy theo từng phân vùng khác nhau trên máy chủ FTP, chúng ta sẽ
quyết định: có cho phép cơ chế “tải file lên” hay không, và nếu cho phép cơ chế này –
chúng ta cũng phải tính đến phương án nâng cao tính an toàn dữ liệu có trong thư mục
riêng của mỗi tài khoản người dùng. Ví dụ: Nếu máy chủ FTP có kết nối Internet trực tiếp,
một người dùng từ Internet có thể thử mày mò với một số tổ hợp mật khẩu đơn giản và
truy nhập được tới một thư mục riêng trên máy chủ FTP, khi đó anh/chị ta sẽ có toàn
quyền thao tác và phá hoại dữ liệu có trong thư mục riêng đó. Cách thức đề phòng và
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 23 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd

ngăn chặn kiểu thâm nhập này được thực hiện bằng việc mô tả luật phù hợp trong file cấu
hình của dịch vụ FTP – wu-ftpd.
Cấu hình dịch vụ FTP sử dụng WU-FTPD thực hiện trên 4 file: ‘/etc/ftpaccess’,
‘/etc/ftpusers’, ‘/etc/ftpconversions’ và ‘/etc/ftphosts’, trong đó các luật chính được thực
hiện trong file ‘/etc/ftpaccess’ và ‘/etc/ftphost’ và các đối tượng user được đặt trong
‘/etc/ftpusers’.
File ‘/etc/ftpaccess’ điều khiển các hành vi của máy chủ FTPD. Cấu hình trong file cung
cấp các luật đặt lọc cho các user truy cập vào hệ thống file, các cơ chế và chương trình
nén file khi download, quản lý các lỗi truy cập và định hướng các message log. Trong khi
các file khác thường được tạo ra với các giá trị mặc định và ít thay đổi thì các luật đặt ra
trong file ‘/etc/ftpaccess’ là tuỳ chọn và theo chính sách chung của người quản trị hệ
thống. Do đó, việc cấu hình file ‘/etc/ftpaccess’ có thể thực hiện bằng cách soạn thảo trực
tiếp hoặc thông qua một trình hỗ trợ có tên kwuftpd có trong chế độ đồ hoạ của X-
Window. Trong phần tiếp theo, do tính chất của file cấu hình trong mối liên hệ với trình hỗ
trợ nên chúng tôi trình bày song song cách cấu hình bằng trình hỗ trợ và các luật tương
ứng tạo ra trong file cấu hình. Trình hỗ trợ có thể chạy từ:
MainMenuButton=>Programs=>System=>kwuftpd
Các luật trong file cấu hình có thể chia làm các mục chính tương ứng với các mục trong
trình hỗ trợ:
4.2.1. Phân loại và cấp quyền cho user (User Classes)
Ví dụ, đối với mạng có địa chỉ IP: 192.168.1.0 (mask: 255.255.255.0)
 class all guest, anonymous * : Luật này cho phép mọi máy trạm (có địa chỉ IP bất
kỳ - *) chỉ truy nhập máy chủ FTP với tư cách là người dùng vãng lai (guest,
anonymous), qua đó chỉ có thể tải file về.
 class local_users real, guest, anonymous 192.168.1.0/255.255.255.0 : Luật này
cho phép các máy tính trên mạng nội bộ (mạng IP: 192.168.1.0) được phép truy
nhập máy chủ FTP với tư cách là người dùng thực (real) và cả với tư cách người
dùng vãng lai (guest, anonymous).
Tương ứng với các lựa chọn trong kwuftpd như hình vẽ sau chỉ ra, các luật được mô tả
như sau trong file cấu hình:

• class all guest, anonymous *
• class local_users real, guest, anonymous 192.168.1.0/255.255.255.0
• autogroup root local-user
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 24 3/12/2015
Tài liệu đào tạo quản trị mạng CMC Co.Ltd
Giải nghĩa: Bên cạnh các phân lớp user như trên, hệ thống còn cho phép các user
trong local-user khi login sẽ tự động được gán vào nhóm root và có các quyền của
root. Ta có thể dùng để gán các lớp người dùng vào các nhóm khác nhau để có các
quyền khác nhau của dịch vụ FTP.
4.2.2. Chỉ định các thư mục gốc cho user
Đây là các chọn lựa thư mục cho các loại user khác nhau, tương ứng ta có:
• anonymous-root /home/ftp/pub
• guest-root /home/ftp/pub
Giải nghĩa: Định các thư mục gốc cho các user anonymous và guest, như vậy khi
login, đối với anonymous và guest thì thư mục /home/ftp/pub tại FTP server sẽ được coi
như là thư mục root (/) của các user. Với vai trò là người dùng thực -> từ một máy
trạm có thể tiến hành các thao tác đọc/ghi/xoá file có trong thư mục riêng của người
dùng, đồng thời vẫn có thể đọc file có trong thư mục của dịch vụ FTP (như trong
hình chỉ định là ‘/home/ftp/pub’).
Với vai trò người dùng vãng lai -> từ một máy trạm chỉ có thể đọc file có
trong thư mục của dịch vụ FTP (như trong hình chỉ định là ‘/home/ftp/pub’).
• passwd /etc/ftp-passwd
• shadow /etc/ftp-shadow
/storage1/vhost/convert.123doc.vn/data_temp/document/meh1426150866-873173-
14261508667438/meh1426150866.doc
Version 1.0 – Confidential Page 25 3/12/2015