Posts

Showing posts from January, 2010

Raid

Hôm trước có nhóm làm về Raid. Ko hài lòng lắm, nhất về phần so sánh các loại Raid.
Khái niệm đầu tiên khi nhắc đến Raid đó chính là: parity và mirroring.
Mirroring liên quan tới việc tạo ra một bản sao của ổ đĩa cứng. Mirroring là một kỹ thuật viết dữ liệu trên một cặp ổ đĩa. Hệ thống đĩa này cho độ tin cậy cao và có các kết quả xử lý giao dịch rất tốt vì công việc được thực hiện bởi ổ này hay ổ kia trong cặp. Khuyết điểm là phải mua hai ổ đĩa mà dung lượng chỉ bằng một ổ duy nhất. Chi phí của mirroring là 100% hay nói cách khác là nó phải có không gian đĩa gấp đôi. Khi một ổ đĩa hỏng thì ổ đĩa đã làm mirror với nó được dùng thay thế.
Parity đem lại sự bảo vệ dữ liệu nói chung giống như mirror, nhưng nó ít tốn kém hơn. Nếu một người dùng có một hệ thống 5 đĩa thì 4 đĩa được sử dụng cho dữ liệu và 1 đĩa được dùng cho parity. Chi phí chỉ có 20%. Đây là một ưu điểm khi xét tới phí tổn.
Vậy Mirror là lưu bản sao của ổ đĩa. Còn Parity thực sự như là checksum.
Mirror sinh bằng cách sao ché…

Postfix MailServer + Dovecot + MySql

Có tìm trên mạng, trên trang chủ của Postfix cũng có tut hướng dẫn chi tiết vấn đề này. Tuy nhiên đó là nền Debian leny. Mình lại dùng CentOS. :(.
Nhưng nói chung giống nhau. Hn viết lại theo chuẩn CentOS :))
Chuẩn bị
Đảm bảo hostname + DNS chuẩn nhé
yum instal -y db4 db4-devel Cái này để lấy file db.h. hix.
yum -y install mysql mysql-devel dovecot cyrus-sasl Cấu hình mysqlserver nhé.
Tiếp theo là postfix. Mặc định postfix trên CentOS ko hỗ trợ mysql, do đó cần cài từ source. Đây là đoạn code configure của mình:
make -f Makefile.init makefiles \
CCARGS='-DUSE_SASL_AUTH -I/usr/include/sasl \
-DHAS_MYSQL -I/usr/include/mysql' \
AUXLIBS='-L/usr/lib -lsasl2 \
-L/usr/lib/mysql -lmysqlclient -lz -lm'
make
make install Trước đó:
groupadd -g 1001 postfix
groupadd -g 1002 postdrop
useradd -g 1001 postfix
useradd -g 1002 postdrop Cài xong type:
postfix start
postconf -m Để ý sẽ thấy module mysql
Cái này vì postfix yêu cầu tên 2 user đó độc lập.
Bước vào cấu hình.
Đăng nhập vào …

Postfix Fastfood

Đầu tiên cần nói Pro thì không dùng Postfix mà dùng Qmail. Qmail luôn xứng danh với danh hiệu Mail Gateway của mình. Chẳng thế mà Yahoo cũng dùng Qmail.
Postfix cấu hình khá đơn giản, lại dễ kết hợp với các cái khác.
Gửi lời cám ơn tới a.Hạnh, a cũng là tác giả luôn:
Cấu hình Postfix + Dovecot:

Cài đặt mail server – dùng user hệ thống: Cài đặt các file cần thiết: yum install cyrus-sasl cyrus-sasl-devel cyrus-sasl-gssapi cyrus-sasl-md5 cyrus-sasl-plain postfix dovecot Thiết lập các cấu hình cơ bản: postconf -e 'smtpd_sasl_local_domain ='
postconf -e 'smtpd_sasl_auth_enable = yes'
postconf -e 'smtpd_sasl_security_options = noanonymous'
postconf -e 'broken_sasl_auth_clients = yes'
postconf -e 'smtpd_sasl_authenticated_header = yes'
postconf -e 'smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'
postconf -e 'inet_interfaces = all'
postconf -e 'mynetworks = 127.0.0.0/8' Thêm cách thức xác …

Smooth Wall - VPN

Hôm trước có nói về Endian, cần phải ngưỡng mộ khả năng  filter của product này. Ấn tượg nhất là khả năng filter virus khá là chuẩn.
Tuy nhiên mình lại không ưa gì cái VPN của nó, dù có support IpSec.
Hơn nữa cơ chế quá nặng nề của nó cũng không phải lựa chọn tốt để triển khai làm VPN GateWay
Vì thế cái này mình vote cho SmoothWall
http://www.mediafire.com/?t1ijqztx42d
Với add-on này có chức năng tương đối đầy đủ của VPN
Mệt quá. Đi ngủ đã. Hi

FireWall Endian

Hôm nay khá rảnh, ngồi dịch tý tài liệu rồi nổi hứng quay cái video về Endian
Mình thích thằng này vì nó đẹp, dễ dùng, thân thiện, support nhiều cái.
Nhược điểm là chậm do ôm nhiều cái quá. Tuy nhiên vs công ty nhỏ thì mình nghĩ nó hoàn toàn thay thế được ISA
Phần cài đặt thì không có gì dễ hơn.
Lưu ý cart eth0 sẽ là card GREEN ( internal network). Ngoài ra còn có RED ( external). ORANGE ( DMZ), BLUE ( wireless).
Pass mặc định là endian.
Nếu bạn dùng web proxy để filter ( k0 có authen ) thì trong phần cấu hình nên để GREEN là transparent. Còn nếu bạn Authen thì nên để not transparent. Sau đó tại Client bạn cấu hình cho dùng proxy là máy endian port 8080 ( mặc định của Endian). Nếu trong M$ domain có thể dùng GPO để làm tự động.
Khi đó hãy add rule deny all destination port 80 để tránh bypass proxy.
Endian có 4 loại authen là: Local user, OpenLDAP, Radius, AD user.
Mình đã test local và AD, khá tốt, tuy nhiên nếu ko cần thiết thì local là nhanh nhất. AD hơi rắc rối, yêu cầu là Endian p…

Virus

Image
Một ngày đẹp trời. Bạn mở email, và nhận được email với nội dung về báo cáo một tổ chức. Trong ấy có một file .ppt đính kèm. Bạn download và mở file ấy, đương nhiên. Và sau đó, máy tính của bạn có vấn đề. Đó là gì?
Hình thức tấn công bằng mã độc nói chung, virus nói riêng từ khi ra đời đã phát triển rất nhanh. Và cũng tỷ lệ thuận với sức tàn phá mà chúng gây ra cho hệ thống của khổ chủ. Biến thể của chúng cũng đc sản sinh ra nhanh chóng, sớm đưa virus trở thành mũi nhọn tấn công phổ biến của attacker. Ngày ngay, cùng với botnet, zoombie, đã sánh bước đưa malicious code thành vũ khí lợi hại nhất. Malicious code – Mã độc: Được hiểu là những đoạn mã được viết ra nhằm gây hại cho hệ thống máy tính. Trên cơ sở cách thức phát tán, gây hại, tồn tại, ta chia ra làm các loại: Virus Worm Trojan hores Logic boom Trong đó nổi bật hơn cả là Virus. Được định nghĩa là những chương trình được thiết kế để làm hại máy tính của bạn, có khả năng tự nhân bản và sao chép chính bản thân nó. Một số đặc điểm của Vir…

FireWall - part 2

Hôm nay sẽ nói tiếp về các loại FireWall. Phần này mình sẽ nói về 1 số sp tiêu biểu.
Như ở bài trước, chúng ta đã phân loại FW. Tuy nhiên dễ nhận đó chỉ mang tính trừu trượng, vì hầu hết FW hiện nay, ở thời đại này, hầu hết đều là statefull FW.
Bây giờ chúng ta sẽ phân chia mang tính tượng hình, tính thị trường nhé. Nghĩa là theo những tiêu chí: Nhìn đc, cảm nhận đc . Đầu tiên là về cấu tạo. Dễ nhất là Hardware FW và Software FW.
Ta xem Hardware FW trước nhé: Đương nhiên là nó đặt ở giữa mạng ngòai và mạng trong :| Và đại đa số đó là thiết bị layer 3, do đó, đa phân HD FW sẽ sử dụng packet filtering. Bởi vì nó thường dùng trong mạng lớn, lưu cache sẽ là không thể. Rule của nó chỉ có 2 cái: allow và drop.
Đại diện dễ thấy và khá nổi là Cisco với sản phẩm PIX. Hiện giờ thì ASA đã dần thay thế cho PIX với những tính năng thời thượng hơn. Đồ chơi của Cisco có một số đặc điểm khá hay là:

Hỗ trợ SNMPWeb base xài java applet. Vác từ SDM sang ASDMTính bảo mật cao đến lằng nhằng ( cho người que…

FireWall - part 1

HN quyết định viết tut về Firewall, đầu tiên, xem nào, định nghĩa, phân loại, so sánh một số loại, rồi sau đó là nghiên cứu về IpTables.
Đầu tiên là định nghĩa FireWall, mà tiếng Việt ta gọi là tường lửa. Được coi là thiết bị an ninh đầu tiên, đơn giản nhất của các thiết bị phòng thủ trong mạng. Có nhiều loại FireWall, bạn có thể sử dụng nó như là 1 stand-alone server hoặc là một thiết bị mạng khác như router hoặc server. Sở dĩ vậy vì hiện nay ngoài những FW tích hợp sẵn trong OS hoặc tồn tại như một dạng phần mềm thì cũng có những sản phẩm là FW chuyên biệt. FW cũng có thể là thiết bị phần cứng hoặc là phần mềm. Do đó, có thể thấy FW rất đa dạng.
Để hiểu về mục đích FW, ta làm một ví dụ có phần sinh động thế này. Một ngày trước đây, chỗ nhà bạn xây tường đóng tất cả các cửa vào, và khi có hỏa hoạn, cách dễ nhất để thoát ra là phá một trong các cửa. Cái này mô tả những hiểm họa có thể xảy ra với hệ thống của bạn, những bức tường xây dựng giữa những tòa nhà, là những bức tường xây bằn…

Http Load Balance

Hôm trước có học về Ha Proxy, Bình bảo làm video nhưng ngại nên hn viết tut ( tutorial)
Chuẩn bị topo
-------------------192.168.1.34---------------
-------------------Ha proxy-------------------
-------------------10.0.0.1-------------------
---10.0.0.2----------------------10.0.0.3-----
----web1---------------------------web2-------
---172.16.0.2------------------172.16.0.3-----
--------------172.16.0.1----------------------
------file, DB proxy--------------------------

Ở đây làm 1 máy File, DB chung, nếu nâng cấp thì đây sẽ là proxy file và DB
Máy HaProxy, web1 web2 có 2 card mạng, thiết lập ip như trên
Máy HaProxy cài base, web1 web2 cài httpd
file, DB yêu cầu có NFS server và MySQL Server
Bắt đầu: Tại HaProxy:
Dùng gói: haproxy-1.3.14.6-1.el5.i386.rpm
rpm -Uvh haproxy-1.3.14.6-1.el5.i386.rpm H cấu hình cho haproxy, file cấu hình ở: /etc/haproxy/haproxy.cfg. Trong ấy có sẵn nhưng mình chỉ dùngn những tham số sau:
global
        log 127.0.0.1   local0
        log 127.0.0.1   local…