|
|
Bài viết của anh Trần Văn Minh đã được bao lâu rồi??? Có thể link đã thay đổi (404 Not Found ), nếu là mình mình sẽ google với từ khóa "qmail-smtp-relay-reject" là sẽ ra thôi. Bạn google thử đi không được thì hãy hỏi tiếp.
PS: Tài liệu hướng dẫn chỉ là cái sườn để mình bám theo, nhưng khi triển khai cụ thể phải linh hoạt chút không nên i sì theo tài liệu cả từng câu, chữ. VD: qmail-smtp-relay-reject thì nay thành qmail-smtpd-relay-reject chẳng hạn.
Thân
|
|
|
Đọc cả 2 bài của H3x4 và các reply mới thấy sự nhiệt tình của mấy anh trong 4rum.
@H3x4: Không dám nói gì nhiều, chỉ xin nói là khi bạn cần góp ý hoặc xin ý kiến gì đó thì xin hãy bình tĩnh và chấp nhận những lời chói tai. Đó mới là góp ý, chứ góp ý mà toàn những lời dễ nghe thì góp ý làm gì. Trong đây mấy anh đa phần lớn tuổi và đã đi làm, nếu không nhiệt tình thì không ai rãnh để mà ngồi "nắn gân" mấy bạn cả, nên mừng vì điều này.
|
|
|
Trích từ bài viết của redtomato168 ở vntelecom.org
Nguyên tắc chung của việc xác thực và tính cước trong dịch vụ ADSL/ADSL2+ như sau:
modem-------->DSLAM------BRAS-------ISP
hiện nay tất cả các nhà cung cấp dịch vụ tại Việt Nam khi cung cấp dịch vụ ADSL đều dùng cơ chế PPPoE để tạo kết nối PPP (layer 2) tunnel từ BRAS đến modem.
1-khi một user muốn vào mạng nó sẽ gởi một bản tin yêu cầu được kết nối đến BRAS
2-bản tin này đi ngang qua DSLAM sẽ được DSLAM forward tiếp mà không can thiệp vào hoặc có can thiệp vào thay đổi một số thông số tuỳ theo yêu cầu cấu hình (ví dụ thay đổi địa chỉ MAC của modem, thêm tag option 82 vào)//cái vụ này các bác cứ từ từ nghiên cứu tiếp đi nó cũng giống như DHCP option 82 vậy!
3-khi đến BRAS, BRAS là một PPPoE sever còn modem là PPPoE client, các bác cứ vào cấu hình con modem đều thấy PPPoE và yêu cầu nhập username và password. Tại đây (BRAS) sẽ đọc bản tin yêu cầu thiết lập kết nối mà modem đã gởi lên (bản tin ở bước 1 đó), nói sẽ lấy nhiều tham số trong đó có 2 tham số chính dùng để xác thực là username và password.
3'- Các thông số này (username & PW) sẽ được BRAS chuyển đến RADIUS sever để làm nhiệm vụ AAA (xác thực, phân quyền, tính cước). Lúc này BRAS đóng vai trò là RADIUS client để nói chuyện với RADIUS sever nhé.
4- RADIUS sever sẽ kiểm tra trong CSDL của mình (tức là các thông số liên quan đến khách hàng khi đăng kí dịch vụ), CSDL thường dùng là Oracle:
+ nếu xác thực username và PW sai, hoặc nợ cước chẳng hạn thì không vào được mạng đâu nhé. Các bác sẽ thấy đèn PPP trên modem tối thui.
+ nếu xác thực OK thì RADIUS server sẽ báo cho BRAS biết là cho phép thiết lập PPP section, đồng thời sẽ cấp phát cho modem một địa chỉ IP public để ra internet
5- BRAS sẽ gởi bản tin thiết lập PPP tunnel xuống modem có kèm theo địa chỉ IP, đồng thời nó cũng sẽ gởi các trường start time, stop time, ...cho RADIUS để bắt đầu đếm lưu lượng của user nhé. Một cái nữa không thể thiếu đó là BRAS sẽ làm việc như một router biên (Edge router) để định tuyến địa chỉ này ra internet theo chính sách của ISP.
6-Bước này là bước tính tiền nè, RADIUS server sẽ được kết nối với Billing server để tính cước từ lưu lượng ra thành tiền VND.
Tóm lại khi tham gia vào quá trình xác thực user chức năng của các phần tử là:
-modem: PPPoE client
-DSLAM: PPPoE forwarding
-BRAS:
+ PPPoE sever
+ RADIUS client
+ Router
+ DHCP sever (nếu dùng BRAS để phát địa chỉ cho modem) : option
- RADIUS server: AAA
- Billing server: traffic -> money
Tất cả mới chỉ là nguyên lý chung.
Theo mình nghĩ, vấn đề bạn thắc mắc nằm ở phần màu đỏ.
Thân
|
|
|
Hi,
Mình đã có giải pháp cho vấn đề này, nhưng không thuộc về kĩ thuật mà về con người. Tạm thời sẽ thành lập 1 ban gọi là ban "an toàn thông tin". Thành viên của ban này được chọn từ thành viên của tất cả các bộ phận còn lại. Nhiệm vụ là sẽ tuyên truyền, giám sát, cập nhật ... các policy của công ty về "an toàn thông tin".
@vik: Mình xin giải thích rõ hơn
1. Authentication: Để truy cập vào bất kỳ nguồn tài nguyên mạng nào, điều đầu tiên user phải xác nhận được mình là ai thông qua username và password.
2. Authorization: Sau khi user đã được xác thực. Tùy theo ACL đã được thiết lập, user chỉ có quyền truy cập vào 1 số nguồn tài nguyên nhất định.
3. Audit: Cái này mình chưa rõ. Có phải ý bạn muốn nói là audit file/folder access? Nếu vậy mình cũng đã triển khai.
@Mr.Bí: Mình đang chuyển hướng theo gợi ý của bạn.
BTW, thanks các bạn đã góp ý.
|
|
|
- Bạn (và công ty) cần đề ra các quy định (policies) về an toàn thông tin cho công ty. Các trường hợp mang laptop cá nhân vào và truy câp trái phép ... nếu bị phát hiện sẽ chịu trách nhiệm nào đó.
- nếu thực sự cần an toàn thông tin mà vẫn để mang latop vào thì không được. Người nào đó muốn lấy dữ liệu thì cách tốt nhất vân4 là đừng mang đồ hitech vào cty
Vấn đề này mình đã nghĩ tới nhưng nó sẽ gây ra cảm giác ức chế cho nhân viên. Không lẽ mỗi khi vào công ty thì security phải khám xét từng người một? Policy thì đã có, nhưng làm cách nào để user tuân thủ nghiêm ngặt policy đó thì lại là chuyện khác. Thời buổi mà các thiết bị công nghệ ngày càng tinh vi thì việc kiểm tra như thế này sẽ rất khó.
- Tuy nhiên triển khai access control dựa trên MAC và IP không phải là giải pháp vững chắc. Bạn nên xem xét tới một số cơ chế khác như resource sharing (Samba, AD), authentication proxy, firewall...
- Cái mà bạn quản lý ở đây là computer hay là data. Tớ thấy cậu chỉ quản lý computer chứ chưa thấy đề cập tới data. Họ có quyền làm chủ máy họ nhưng đối với hệ thống cty,dữ liệu cong ty thì ta lam chủ.
Nếu data chứa tại file server thì ta cấu hình tại thằng này,két hợp group policy trong AD ... quản lý user.Và phải có tờ A4 của sếp bự.
Mình cần quản lý cả 2. Dữ liệu được lưu trữ trên NAS hỗ trợ cả Unix File permission (UFS) và PC File permission (NTFS). Vấn đề gán quyền truy cập dữ liệu cho từng user/group đã được áp dụng và không có vấn đề gì, ở đây môi trường bao gồm cả Windows và *Nix OS. Tuy nhiên, như mình đã nói, nếu user đã có thể qua được bước ban đầu (bằng cách fake MAC) sau đó gán đúng IP (user có thể biết được thông tin này). Từ đó, họ có thể truy cập vào các nguồn tài nguyên được cho phép để chép dữ liệu về. Nguồn tài nguyên cho phép ở đây chủ yếu là nơi chứa dữ liệu về project mà user đó đang thực hiện.
vậy ở cty bạn IP được cấp thế nào static or dynamic, sao không thử gán IP bằng MAC xem thế nào.
Ở chỗ mình dùng cả 2. Bạn nói rõ thêm về vụ "gán IP bằng MAC được không" ?
Cảm ơn cậu cái feenac nhé,trước kia tớ cũng có post lên cái yêu cầu ni nhưng chưa có dịp triển khai. Sẵn tiện cậu làm cái tut về cái nì luôn
Mình setup chủ yếu bám vào hướng dẫn trên trang chủ và diễn đàn thôi. Nếu có thời gian sẽ làm cái tut như bạn nói
PS: Có vẻ mình hơi cầu toàn. Nhưng vì thấy giải pháp mình đưa ra chưa được vẹn toàn cái cảm giác khó chịu sao đó.
|
|
|
Chào mọi người,
Hiện tại mình vừa triển khai hệ thống Lan access control, hệ thống này (kết hợp với các switch) sẽ cho phép người quản trị phát hiện được các Mac address bất hợp pháp (Mac address chưa được biết đến trong hệ thống) để từ đó có đưa ra các hành vi tương ứng như cho phép, chặn (block) hoặc chỉ cho phép truy nhập vào 1 vùng giới hạn. Ứng dụng mình dùng là FreeNac (website: freenac.net) + mysql + apache và các switch cisco (2950 và 45xx). Hệ thống hiện đang hoạt động ổn định. Tuy nhiên, vấn đề phát sinh hiện nay là có 1 số user mang theo laptop cá nhân vào công ty, họ có toàn quyền trên máy tính đó vì thế hoàn toàn có thể thay đổi được Mac address và IP để từ đó hoàn toàn có thể truy cập vào các nguồn tài nguyên của công ty và chép các dữ liệu mang ra ngoài. Mình nghĩ user chỉ cần có chút kiến thức thì hoàn toàn có thể làm được điều này và xem như đã vô hiệu hóa được hệ thống trên.
Mình xin hỏi liệu có giải pháp nào để có thể nhận biết được Mac address giả mạo và cách phòng chống. Mình đã xem qua về S-ARP, port-security... nhưng có vẻ không thích hợp với trường hợp này (hoặc có thể mình hiểu chưa tường tận). Xin mấy bạn/ mấy anh tư vấn dùm.
Thanks,
|
|
|
không cho vào internet nhưng vẫn check mail được bình thường
Bạn dùng ứng dụng gì để check mail, và check mail có cần truy xuất ra Internet hay không?
|
|
|
Hi centos,
Mình không biết hiểu đúng ý bạn không nhưng theo mình bạn có thể thử cài công cụ fileschanged (bạn có thể google với từ khóa này). Công cụ này sẽ giúp bạn giám sát sự thay đổi trên các tập tin hoặc thư mục được chỉ định từ đó sẽ có các hành động tương ứng.
Như trường hợp của bạn. Mình sẽ dùng fileschanged để giám sát tập tin root. Khi có sự thay đổi trên tập tin này (Hệ thống nhận được mail mới và chèn nội dung mail vào tập tin này) thì sẽ thực thi 1 script để cắt phần nội dung đó ra. Ví dụ như script của bạn quanta chẳng hạn.
Thân
|
|
|
nbthanh wrote:
Swap không bắt buộc (must) phải có nhưng nên có. Vì nếu không có swap space, khi system bị run out of physical memory thì nó sẽ crash hoặc treo ==> ai muốn điều này xảy ra nhỉ
Trong công ty mình cũng gặp 1 vấn đề mà nếu như theo bạn nói thật tình mình cũng không biết swap để làm gì luôn. Số là con server chạy RHEL5 với 4GB ram và được set 4GB cho swap, server chạy Veritas Netbackup dùng để backup mail. Khi restore mail cho client và monitor thử thì thấy ram bị ngốn dần và khi đến gần ngưỡng 4gb physical memory thì treo cứng ngắc luôn. Khi gần treo, ngoài thông tin lượng ram đang bị chiếm dụng gần hết thì thông tin swap usage vẫn cứ là < 1000 Kb??? Vậy có phải tại swap vô dụng hay do kernel hay vì lý do nào khác? Đến giờ vẫn mình chưa biết swap được dùng vào mục đích gì nữa.
|
|
|
Theo những gì mà bạn PhanPhungTien trích lược thì có vẻ mọi người đang so sánh 2 vấn đề không liên quan đến nhau. Theo kiến thức mình biết thì khi nói tới Linux nghĩa là chúng ta đang nói tới tên kernel và theo bạn PhanPhungTien trích dẫn thì Unix chính là nói tới OS. Có chăng khi so sánh, chúng ta nên nói chính xác là GNU/Linux hay 1 distro cụ thể nào so với Unix. Theo như mình tham khảo trên gnu.org thì cũng có rất nhiều người đang hiểu nhầm về vấn đề này. Bạn có thể tham khảo thêm tại http://www.gnu.org/gnu/linux-and-gnu.html
Thân
|
|
|
Trường hợp của bạn do máy in được gắn trực tiếp vào server và share cho client nên client khi muốn in sẽ phải connect vào server mới có thể in được. Nếu bạn muốn client in được mà không cần thông qua server bạn có thể mua thêm 1 thiết bị gọi là "print server", bạn có thể google với từ khóa trên để biết thêm. Khi đó bạn có thể in bất cứ lúc nào bạn muốn mà không cần phải thông qua server nữa.
Thân
|
|
|
|
|
|
|