<![CDATA[Latest posts for the topic "5 câu hỏi liên quan đến dịch vụ trên Linux Fedora"]]> /hvaonline/posts/list/24.html JForum - http://www.jforum.net 5 câu hỏi liên quan đến dịch vụ trên Linux Fedora /hvaonline/posts/list/1450.html#6841 /hvaonline/posts/list/1450.html#6841 GMT Re: 5 câu hỏi liên quan đến dịch vụ trên Linux Fedora sudo). Nên nhớ thay đổi permission của ứng dụng ssh cho phù hợp (mặc định mọi user được cấp shell trong hệ thống đều có quyền chạy ssh) 2- bảo mật dịch vụ nào là tuỳ thuộc vào bạn. Nếu như bạn nói thì phải chú ý bảo mật cho webserver và database server 3- muốn user Trường chạy được các ứng dụng từ root như bạn nói thì lại tham khảo thêm sudo. 4- Apache 1.3.x hay 2.x đều được quan tâm như nhau và tuỳ theo sở thích của từng người. Bạn muốn biết thêm các tính năng của nó thì nên đọc thêm thông tin tren www.apache.org 5- Để thực hiện kểt nối từ host A với database trên host B từ xa thì bạn: +cho mysqld của B lằng nghe +thêm vào database cua mysql user, pasword và tên host cua A +cấp quyền truy cập database mà bạn muôn cho user vừa thêm ở trên PS: đọc thêm thông tin về permission trên linux, sudo, mysql, ssh]]> /hvaonline/posts/list/1450.html#6850 /hvaonline/posts/list/1450.html#6850 GMT Re: 5 câu hỏi liên quan đến dịch vụ trên Linux Fedora Mình có 3 user sau : user A ứng với tên là Phúc, B ứng với tên là Trường, C ứng với tên là An và 1 tài khoản root. - Bài toán đưa ra như sau mình là account root mình muốn thiết lập user A này được quyền truy cập, sử dụng SSH, 2 user còn lại không được quyền sử dụng, truy cập SSH .  Khi add user anh dùng lệnh như sau Case 1 : Cấp quyền sử dụng shell useradd -s /bin/bash Phuc Case 2 : Không cấp quyền sử dụng shell useradd -s /bin/false Truong
- Bài toán thứ 2 : khi cài đặt một server xong, những dịch vụ nào mình cần chú ý mục đích bảo mật cho các dịch vụ này bây giờ và về sau nhằm tránh bị khai thác . Server này dự định làm webserver chĩ chạy các ứng dụng như apache, mysql . 
Muốn thực hiện vấn đề này anh cần phải tắt hết tất cả những service không cần thiết . Ví dụ cụ thể - nếu như server của anh chỉ chạy MySQl và Apache thì chỉ cần turn on các service như sau là "đủ để chạy" . [minh@tech minh]$ chkconfig --list | grep 3:on syslog 0:off 1:off 2:on 3:on 4:on 5:on 6:off network 0:off 1:off 2:on 3:on 4:on 5:on 6:off random 0:off 1:off 2:on 3:on 4:on 5:on 6:off sshd 0:off 1:off 2:off 3:on 4:off 5:on 6:off anacron 0:off 1:off 2:on 3:on 4:on 5:on 6:off crond 0:off 1:off 2:on 3:on 4:on 5:on 6:off mysql 0:off 1:off 2:off 3:on 4:off 5:off 6:off Tham khảo về chkconfig tại đây . http://www.mediacollege.com/cgi-bin/man/page.cgi?topic=chkconfig sau khi hoàng tất việc này anh chỉ còn việc cấu hình apache và mysql cho hoàng chỉnh là xong . còn về việc cấu hình nó làm sao cho tốt thì phục thưộc vào anh service cái gì trên các application đó . cần nhất là phải đọc nát hết manual của nó :lol:
- Bài toán thứ 5 liên quan đến Mysql : Ví dụ mình có một hosting địa chĩ IP sau 10.1.32.4 (địa chĩ IP này cho đại, đừng quan tâm đến nó) chứa database của diễn đàn Invision Power Board và một hosting khác có địa chỉ IP sau 10.1.36.5 và ở hosting này chứa sourcecode của Invision (cả hai host này đều đặt không cùng server và không có CPANEL để quản lý) . Câu hỏi đặt ra, làm thế nào để sử dụng kết nối database từ xa, tức là IP 10.1.36.5 này kết nối với database của hosting 10.1.32.4 . Trong Invision thì mình biết chĩnh sửa cấu hình, nhưng còn trên hệ điều hành Linux thì việc cấu hình này ra sao (mình chĩ quan tâm đến cấu hình cho mysql ở server như thế nào, không quan tâm đến sourcecode của diễn đàn)  
# mysql -h 10.1.32.4 -u truong -p Enter pass : để thực hiện lệnh trên cần phải tạo user / pass / permission trước / (xem manual của mysql ) sau đó vào sửa file của diễn đàn thành . host : 10.1.32.4 user : truong pass : xxxx và thêm rule vào firewall để có thể access từ remote . ]]>
/hvaonline/posts/list/1450.html#6854 /hvaonline/posts/list/1450.html#6854 GMT
5 câu hỏi liên quan đến dịch vụ trên Linux Fedora Code:
... nhưng hình như trong file /etc/mỵcnf có option skip-networking na ná yêu càu của anh , nhưng nhớ là chỉ nằm trong local .
777 check lại docs của mysql thử nhé. 2. Trên server của bạn các services chỉ cần chạy ở init 3 là đủ. 3. Nếu các bài toán của G.A phải đồng thời thoả mãn thì cách giải quyết của 777 chưa hợp lý lắm vì sau bài toán 1, thì sẽ không thoả mãn bài toán 3 vì user Trường không được cấp shell 4. Đối với bài toán 5 rât đơn giản, như mình đã tóm gọn ở trên. Vấn đề đơn giản còn lại là dùng script gì (dĩ nhiên trong script phải chỉ rõ IP address mà mysqld trên B đang lắng nghe, user, password, host)để kết nối với database trên host B từ A mà thôi. PS: Chào mừng HVA trở lại]]>
/hvaonline/posts/list/1450.html#6865 /hvaonline/posts/list/1450.html#6865 GMT
Re: 5 câu hỏi liên quan đến dịch vụ trên Linux Fedora 3. Nếu các bài toán của G.A phải đồng thời thoả mãn thì cách giải quyết của 777 chưa hợp lý lắm vì sau bài toán 1, thì sẽ không thoả mãn bài toán 3 vì user Trường không được cấp shell  á !!! đau quá đừng chọt mà :lol: nhột ..... nhột ...... đúng là tôi không đọc kĩ bài 3 . mà đọc cũng không hiểu từ ứng dụng của apache chỉ định cái gì của apache nên không tiện trả lời ............ ok vậy thì xét lại đã :D
- Bài toán thứ 3 : Mình có các user ở trên, mình muốn thiết lập cho user Trường được phép chạy các ứng dụng từ root ví dụ như chạy ứng dụng của webserver và 2 user còn lại thì không được phép sử dụng ứng dụng webserver này .  
Miển cưỡng trả lời thì ..... nếu không cho Trường sài ssh mà có thể "chạy apache" thì không được rồi, vì lấy gì để chạy ứng dụng apache dưới quyền user Trường đây ? ps : Bài 5 củng không đọc kĩ nên trả lời sai bét may quá .. chưa ai nhìn ... edit thôi :lol: mà tôi thấy có vài điểm mâu thuẩn tại câu trả lời trên của bạn giti nhưng nói dài dòng sợ thầy "choáng" mất ...... đành đợi thầy ra bài vào chấm điểm và díp kịp xong rồi tính tiếp vậy :wink: ]]>
/hvaonline/posts/list/1450.html#6873 /hvaonline/posts/list/1450.html#6873 GMT
5 câu hỏi liên quan đến dịch vụ trên Linux Fedora /hvaonline/posts/list/1450.html#6875 /hvaonline/posts/list/1450.html#6875 GMT Re: 5 câu hỏi liên quan đến dịch vụ trên Linux Fedora 3. Nếu các bài toán của G.A phải đồng thời thoả mãn thì cách giải quyết của 777 chưa hợp lý lắm vì sau bài toán 1, thì sẽ không thoả mãn bài toán 3 vì user Trường không được cấp shell   Sorry, Xin nói thêm với anh em, các bài toán này nó không có liên hệ gì với nhau cả . Vì tớ sử dụng shared hosting cho nên tớ biết quyền user không thể thay đổi được bất kể cái gì trong Apache hay một số ứng dụng khác . Ở bài toán thứ 1 : Tớ giải quyết xong bài này theo giải thích của bạn 777. Ở bài toán thứ 2 : Mục tiêu của tớ nêu ra là server chĩ chạy ứng dụng web server mà thôi vì vậy tớ sử dụng chkconfig để stop lại một số dịch vụ không quan trọng, còn mysqld, httpd thì tớ sẽ bật On để chạy các ứng dụng cho webserver . Bài này cũng giải quyết được luôn . Ví tớ không hiễu ở điểm, có rất nhiều dịch vụ đang chạy trên hệ điều hành Linux nhưng không biết dịch vụ nào quan trọng và dịch vụ nào không quan trọng, chĩ biết mấy cái dịch vụ của webserver . Các dịch vụ này nếu bật lên mà các dịch vụ này có lỗ hỗng thì hacker họ khai thác như thế nào vào các dịch vụ này :wink: Vậy giả sử hacker họ dùng sniffer để nghe lén mạng chẳng hạn thì trên linux họ dùng công cụ gì để làm điều này, tớ đọc tài lệu họ bảo các dịch vụ này rsh, rcp, telnet và rlogin phải Off vì khi truyền nó không được mã hoá như ssh . Họ bảo mình off mà mình không biết tại sao nó off thì ... tức lắm . Xin cho tớ biết một công cụ sniffer mà anh em thường dùng (câu hỏi phụ :mrgreen:) . Bài toán thứ 3 : Do tớ không ghi các bài toán này hoàn toàn không liên hệ gì với nhau cả cho nên anh em hiểu nhầm . Ở bài này, theo yêu cầu của giti sử dụng sudo . OK , cái này cũng làm luôn . Bài toán thứ 4 : Cái này thì mình học hỏi anh em sau vậy, xét về mặt cấu hình cho nó thì tớ thấy 1.x nó cấu hình dễ dàng hơn 2.x còn các mặt khác thì học hỏi anh em sau vậy . Bài toán thứ 5 : Tớ tìm ra được tài liệu này, có thể nó cần cho tớ trong bài toán này . Code:
http://www.cyberciti.biz/nixcraft/vivek/blogger/2006/03/how-do-i-enable-remote-access-to-mysql.php
Sau khi cấu hình xong, gán quyền cho data này
GRANT ALL ON ga.* TO linux@localhost IDENTIFIED BY "123456" ga: tên database linux : tên account 123456 : password  
G.A nói "bừa" ra thôi. Tóm gọn lại 1 điều là để thoả mãn những "bài toán" tương lai của G.A thì G.A nên thử dùng RSBAC đi. Vài lời góp ý  
Càng đi vào linux càng bị mù :( cám ơn bạn nhiều, tớ sẽ thử RSBAC luôn . Cám ơn anh em rất nhiều và thông cảm cho dấu ?, dấu ~ cho tớ . ]]>
/hvaonline/posts/list/1450.html#6889 /hvaonline/posts/list/1450.html#6889 GMT
5 câu hỏi liên quan đến dịch vụ trên Linux Fedora /hvaonline/posts/list/1450.html#6907 /hvaonline/posts/list/1450.html#6907 GMT 5 câu hỏi liên quan đến dịch vụ trên Linux Fedora

mainhu wrote:
nếu là cấu hình remote DB, thì sao lại "TO linux@localhost" nhỉ? Phải là "TO linux@'p của webserver'" hoặc là "TO linux@'%'" chứ  
Oh cám ơn góp ý . 8) ]]>
/hvaonline/posts/list/1450.html#6908 /hvaonline/posts/list/1450.html#6908 GMT
Re: 5 câu hỏi liên quan đến dịch vụ trên Linux Fedora '%' để ấn định quyền truy cập mysql database. Ấn định host được access database càng cụ thể càng tốt. sshd_config cho phép ấn định các account được truy cập vào dịch vụ ssh.]]> /hvaonline/posts/list/1450.html#6929 /hvaonline/posts/list/1450.html#6929 GMT Re: 5 câu hỏi liên quan đến dịch vụ trên Linux Fedora Ví tớ không hiễu ở điểm, có rất nhiều dịch vụ đang chạy trên hệ điều hành Linux nhưng không biết dịch vụ nào quan trọng và dịch vụ nào không quan trọng, chĩ biết mấy cái dịch vụ của webserver . Các dịch vụ này nếu bật lên mà các dịch vụ này có lỗ hỗng thì hacker họ khai thác như thế nào vào các dịch vụ này Vậy giả sử hacker họ dùng sniffer để nghe lén mạng chẳng hạn thì trên linux họ dùng công cụ gì để làm điều này, tớ đọc tài lệu họ bảo các dịch vụ này rsh, rcp, telnet và rlogin phải Off vì khi truyền nó không được mã hoá như ssh . Họ bảo mình off mà mình không biết tại sao nó off thì ... tức lắm . Xin cho tớ biết một công cụ sniffer mà anh em thường dùng (câu hỏi phụ :mrgreen .  Anh dùng tcpdump xem ... cách dùng thì đọc bài ký sự của anh conmale xong là anh biết dùng ngay :D
Bài toán thứ 4 : Cái này thì mình học hỏi anh em sau vậy, xét về mặt cấu hình cho nó thì tớ thấy 1.x nó cấu hình dễ dàng hơn 2.x còn các mặt khác thì học hỏi anh em sau vậy .  
Nói 1 cách tổng quát thì em nhận định 1.x và 2.x mổi cái có điểm mạnh / điểm yếu của nó (về mặt tính năng ) cho nên khi anh chọn 1 trong 2 thì nên chọn version theo mục đích của anh thì sau này dể phát triển theo hướng của anh hơn . (dạo này không theo dõi tin nên không chắc nó có kết họp và mở rổng tính năng hay không , anh tham khảo thêm trong trang chủ của nó nha ) Hẹn gặp anh tại thread : Cấu hình Apache :lol: ]]>
/hvaonline/posts/list/1450.html#6934 /hvaonline/posts/list/1450.html#6934 GMT
Re: 5 câu hỏi liên quan đến dịch vụ trên Linux Fedora

conmale wrote:
Nên tránh dùng '%' để ấn định quyền truy cập mysql database. Ấn định host được access database càng cụ thể càng tốt
Tại sao nên tránh dùng '%' vậy anh, Em sử dụng Mysql 4.1, em đọc tài liệu về cú pháp của lệnh grant ở đây Code:
http://dev.mysql.com/doc/refman/4.1/en/grant.html
Nhưng em không thấy chổ nào giải thích cặn kẽ ở '%', anh cho em hỏi thêm, tại sao tránh dùng nó vậy anh .

conmale wrote:
sshd_config cho phép ấn định các account được truy cập vào dịch vụ ssh. 
Vâng, cám ơn anh về giải thích này

conmale wrote:
Nói 1 cách tổng quát thì em nhận định 1.x và 2.x mổi cái có điểm mạnh / điểm yếu của nó (về mặt tính năng ) cho nên khi anh chọn 1 trong 2 thì nên chọn version theo mục đích của anh thì sau này dể phát triển theo hướng của anh hơn . (dạo này không theo dõi tin nên không chắc nó có kết họp và mở rổng tính năng hay không , anh tham khảo thêm trong trang chủ của nó nha ) Hẹn gặp anh tại thread : Cấu hình Apache 
Cám ơn bạn 777 nhiều, tớ thường xuyên đọc các bài viết trên HVA và đón đọc bài viết của 777 . Anh em giúp tớ giải quyết nhiều vụ bị mù nặng trên linux . Cám ơn anh em rất nhiều . ]]>
/hvaonline/posts/list/1450.html#6968 /hvaonline/posts/list/1450.html#6968 GMT
5 câu hỏi liên quan đến dịch vụ trên Linux Fedora /hvaonline/posts/list/1450.html#7114 /hvaonline/posts/list/1450.html#7114 GMT Re: 5 câu hỏi liên quan đến dịch vụ trên Linux Fedora Cách anh dùng là chỉ cho database service lắng nghe trên localhost (127.0.0.1). Để truy cập trực tiếp vào database, anh dùng SSH và tạo tunnel đến cổng dịch vụ của database ở 127.0.0.1. Bên ngoài có muốn connect vào cũng không được vì database service không "LISTEN" trên IP nào khác ngoài loopback IP :)  Pó tay với anh luôn :shock: , khi nghĩ ra đến cách làm này Để truy cập trực tiếp vào database, anh dùng SSH và tạo tunnel đến cổng dịch vụ của database ở 127.0.0.1
@GA: có vài bài viết về apache+iptable hay đây. Anh tham khảo chưa http://diendantinhoc.net/?cat=tute_security 
Cái này đọc rồi em, nhưng lúc đó có server đâu để làm nó . Vấn đề này sẽ hỏi anh em tiếp mà :) Cám ơn anh conmale, hakuso và anh em khác nhiệt tình cứu chữa căn bệnh . ]]>
/hvaonline/posts/list/1450.html#7202 /hvaonline/posts/list/1450.html#7202 GMT
Re: 5 câu hỏi liên quan đến dịch vụ trên Linux Fedora
Cách anh dùng là chỉ cho database service lắng nghe trên localhost (127.0.0.1). Để truy cập trực tiếp vào database, anh dùng SSH và tạo tunnel đến cổng dịch vụ của database ở 127.0.0.1. Bên ngoài có muốn connect vào cũng không được vì database service không "LISTEN" trên IP nào khác ngoài loopback IP  
Pó tay với anh luôn , khi nghĩ ra đến cách làm này Để truy cập trực tiếp vào database, anh dùng SSH và tạo tunnel đến cổng dịch vụ của database ở 127.0.0.1   Thấy anh conmale và nhiều huynh nhắc vụ tunnel nhưng trên hva chưa có thảo luận gì về vụ này , thêm vào đó có vẻ anh thích vụ này nên em đã viết 1 bài về linux tunnel tại http://hvaonline.net/hvaonline/posts/list/1522.html để anh em có thêm đề tài bàn tán :wink: ]]>
/hvaonline/posts/list/1450.html#7235 /hvaonline/posts/list/1450.html#7235 GMT
5 câu hỏi liên quan đến dịch vụ trên Linux Fedora /hvaonline/posts/list/1450.html#7701 /hvaonline/posts/list/1450.html#7701 GMT Re: 5 câu hỏi liên quan đến dịch vụ trên Linux Fedora

777 wrote:
Bài toán thứ 4 : Cái này thì mình học hỏi anh em sau vậy, xét về mặt cấu hình cho nó thì tớ thấy 1.x nó cấu hình dễ dàng hơn 2.x còn các mặt khác thì học hỏi anh em sau vậy .  
Nói 1 cách tổng quát thì em nhận định 1.x và 2.x mổi cái có điểm mạnh / điểm yếu của nó (về mặt tính năng ) cho nên khi anh chọn 1 trong 2 thì nên chọn version theo mục đích của anh thì sau này dể phát triển theo hướng của anh hơn . (dạo này không theo dõi tin nên không chắc nó có kết họp và mở rổng tính năng hay không , anh tham khảo thêm trong trang chủ của nó nha ) Hẹn gặp anh tại thread : Cấu hình Apache :lol:  
Chào cả nhà, Thấy mọi người thảo luận sôi nổi quá, prof cũng xin được "ké" vài dòng về vấn đề phiên bản của Apache. Như mọi người đều đã biết, Apache có 2 series: 1.3.x và 2.0.x. 2 dòng Apache này hiện vẫn cùng tồn tại song song nhưng khác nhau cơ bản về kiến trúc và cơ chế làm việc. Trên các hệ thống Unix, Apache 1.3 đóng vai trò như một Process-based Web server. Theo đó, phiên bản này fork rất nhiều các tiến trình con ngay khi khởi động. Fork ở đây là quá trình tạo ra các tiến trình con giống hệt nhau từ một tiến trình cha. Mỗi tiến trình con đều có khả năng xử lý các yêu cầu một cách độc lập. Điều này làm tăng tính ổn định cho hệ thống. Một sự đổ vỡ của bất kỳ một trong số các tiến trình con nào đó đều không ảnh hưởng đến các tiến trình còn lại. Tuy nhiên, để có sự ổn định này, hệ thống phải "trả giá" về mặt hiệu năng. Đối với hầu hết các hệ thống Unix, việc tạo các tiến trình con và chuyển đổi ngữ cảnh giữa các tiến trình (cung cấp thời gian xử lý của processor cho mỗi tiến trình) đều bị coi là các thao tác gây tốn kém tài nguyên hệ thống. Lý do vì các tiến trình độc lập hoàn toàn với nhau, chúng không thể chia sẻ phần bộ nhớ dữ liệu và mã lệnh cho nhau, điều đó làm tiêu tốn nhiều tài nguyên của hệ thống. Apache 1.3 cũng là phiên bản đầu tiên có hỗ trợ cho các hệ thống sử dụng HĐH Windows mặc dù phiên bản này chưa đạt được sự ổn định cần thiết so với phiên bản chạy trên nền Unix. Apache 1.3 được thiết kế dưới dạng các module. Người dùng hoàn toàn có thể enable hoặc disable những module mà họ cảm thấy không thực sự cần thiết. Bên cạnh các module có sẵn, hiện nay có một số lượng lớn các 3rd-party modules, người dùng có thể sử dụng chúng vào các mục đích riêng nếu cần. Apache 2.0 được xem là dòng mới nhất tính tới thời điểm này. Về mặt kiến trúc, chúng có sự cải tiến đáng kể so với Apache 1.3 series. Theo đó, Apache 2.0 có thể tuỳ biến để chạy dưới chế độ process-based server, hoặc hoàn toàn là một thread-based server hoặc thậm chí là sự hỗn hợp giữa 2 chế độ trên. Các thread (tạm dịch: luồng, tuyến) chạy dưới nền các tiến trình và hoạt động đồng bộ với nhau. Không giống như process (tiến trình), thread có thể chia sẻ vùng nhớ dữ liệu (data) và vùng nhớ mã lệnh (code). Do đó, thread chiếm dụng ít tài nguyên hơn so với process và trong hầu hết các trường hợp, một thread-based server hoạt động mềm dẻo hơn so với một process-based server. Tuy nhiên, điểm yếu của nó là tính không ổn định bởi vì khi một thread nào đó bị sự cố, chúng sẽ làm ảnh hưởng tới phần code & data thuộc về các thread khác. Chi tiết hơn về tính tương thích, hiệu năng và bảo mật của Apache, mọi người có thể tham khảo thêm tại đây: http://www.tldp.org/HOWTO/Apache-Overview-HOWTO-2.html Mến.]]>
/hvaonline/posts/list/1450.html#7777 /hvaonline/posts/list/1450.html#7777 GMT
5 câu hỏi liên quan đến dịch vụ trên Linux Fedora /hvaonline/posts/list/1450.html#7783 /hvaonline/posts/list/1450.html#7783 GMT 5 câu hỏi liên quan đến dịch vụ trên Linux Fedora

bé xíu wrote:
cho em hỏi ké một câu, khi gọi DialUp bằng terminal thì dùng lệnh gì dạ? rùi lệnh tắt dial up luon nha 
Thắc mắc không liên quan thì phải tạo một chủ đề mới. Tránh "hỏi ké".]]>
/hvaonline/posts/list/1450.html#7811 /hvaonline/posts/list/1450.html#7811 GMT