tranhuuphuoc at /home - chamsocmaychu dot com

TetCon 2012 (Hội thảo Tết) 13/01 - HVA

2012-01-12T08:55:00.004+07:00

Nguyên ngày 13/01/2012 ở TPHCM có diễn ra hội thảo TetCon do HVA và VNSecurity tổ chức, đây là 1 dịp tốt, hiếm để bạn có thể đặt câu hỏi , thảo luận với các diễn giả (chuyên gia an ninh mạng, hệ thống, ứng dụng làm việc trong các tập đoàn, công ty lớn trong và ngoài nước)

Ngay cả bản thân của mình khi lần đầu tiên nhận được thông báo này , mình rất vui và thu xếp toàn bộ thời gian để về TPHCM trong thời gian ngắn và sớm nhất để tham dự hội thảo , lắng nghe những bài thuyết trình của các diễn giả, những thành viên tham dự, khách mời để học hỏi thêm được nhiều kiến thức bổ ích, bổ sung thêm những kiến thức còn thiếu...bao la của mình.

Ngày mai 13/01/2012 anh em có điều kiện tham dự thì có thể đến ngay hội trường Lầu 6 Tòa nhà Trung tâm Thông tin Hợp tác Quốc Tế Thông Tấn tại TPHCM số 116-118 Nguyễn Thị Minh Khai Phường 6 Quận 3 để tham dự hội thảo TetCon 2012.

Chúc hội thảo thành công tốt đẹp

slowhttptest - Application Layer DoS attack simulator

2012-01-09T08:27:00.005+07:00

SlowHTTPTest is a highly configurable tool that simulates some Application Layer Denial of Service attacks.

It implements most common low-bandwidth Application Layer DoS attacks, such as slowloris, Slow HTTP POST, Slow Read attack (based on TCP persist timer exploit) by draining concurrent connections pool, as well as Apache Range Header attack by causing very significant memory and CPU usage on the server.

Slowloris and Slow HTTP POST DoS attacks rely on the fact that the HTTP protocol, by design, requires requests to be completely received by the server before they are processed. If an HTTP request is not complete, or if the transfer rate is very low, the server keeps its resources busy waiting for the rest of the data. If the server keeps too many resources busy, this creates a denial of service. This tool is sending partial HTTP requests, trying to get denial of service from target HTTP server.

Slow Read DoS attack aims the same resources as slowloris and slow POST, but instead of prolonging the request, it sends legitimate HTTP request and reads the response slowly.

Demo thử đoạn tấn công bằng slowhttptest

Homepage
http://code.google.com/p/slowhttptest/

How to use Google Authenticator for sshd/OSX

2012-01-09T07:35:00.004+07:00

Tóm tắt:

Hướng dẫn cách tích hợp Google Authenticator vào sshd trên môi trường OSX. Mục đích ngoài password thường dùng ra thì phải có one-time-password trên điện thoại mới có thể đăng nhập được vào hệ thống.

I was interested in Google Authenticator one month ago, if you don't know what Google Authenticator is, check this description (1):

The Google Authenticator project includes implementations of one-time passcode generators for several mobile platforms, as well as a pluggable authentication module (PAM). One-time passcodes are generated using open standards developed by the Initiative for Open Authentication (OATH) (which is unrelated to OAuth).

Google Authenticate can turn your mobile phone to an one-time-password (OTP) token. That means, beside your own password, you must provide a number from your phone to login to your system.

Some applications have integrated Google Authenticator like Google Apps, LastPass, WordPress... So, I asked myself if i could use it for my Macbook ssh daemon?

After some searches, I understood that Google Authenticator has not supported OSX officially. That's why it can not work with OSX although you can build it successfully. To have some funs, I decided to modify it. You can follow my steps to apply your Linux systems also because it's similar. Let's go:

1. Download source code (2):
You can use hg to grab the source code (3). Type the following command in console:

hg clone --insecure https://code.google.com/p/google-authenticator/

If you get a certificate problem, try press R to ignore it (to fix this error, please contact Google Security Team :-P). The local source folder will be similar Google lastest repository (4).

2. Edit and compile:
Because of unofficially OSX supported, you can build the source code but you can't use it to login. You will always have this error:
in _openpam_check_error_code(): pam_sm_authenticate(): unexpected return value 19

A little modification for OSX required (Linux maybe not), edit pam_google_authenticator.c, insert those lines:

static int drop_privileges(pam_handle_t *pamh, const char *username, int uid,
int *old_uid, int *old_gid) {
// Try to become the new user. This might be necessary for NFS mounted home
// directories.

int old_uid1 = setuser(uid);
if (old_uid1 < 0) {
log_message(LOG_ERR, pamh, "Failed to change user id to \"%s\"", username);
return -1;
}
return old_uid1;

Exit and execute "make && make install" in console. *Please keep in mind that this is my dirty hack to make it works, it is unsupported and I take no responsibles for this modification*.

As a result, pam_google_authenticator_testing.so is complied.

3. Install:
Copy pam_google_authenticator.so module to PAM folder:
sudo cp pam_google_authenticator.so /usr/lib/pam/

Add this line to /etc/pam.d/sshd:
auth required pam_google_authenticator.so

Add this line to /etc/sshd_config:
ChallengeResponseAuthentication yes

Finally, restart sshd (5) by:
sudo launchctl unload /System/Library/LaunchDaemons/ssh.plist
sudo launchctl load -w /System/Library/LaunchDaemons/ssh.plist

To here, you finished the installation process, we can move to next step: Setup.

4. Setup:
You must install Google Authenticator for your mobile phone, in my case, i used App Store to download and install.

Run the following command in your server console:
./google-authenticator

Answer "y" for its questions.

That's all for server settings, now, you should look at information Google Authenticator provided, there is a link likes:
https://www.google.com/chart?chs=200x200&chld=

Copy this link and paste it to your browser, a barcode image will appear.

Open Google Authenticator on your phone, press Plus (+) button and move your mobile's camera to capture the barcode image, it will automatically display your own OTP.

It's ok for mobile settings also.

5. Testing:
Try to login to your system via ssh, you will be required for password and verification code.

This is the result:

Two-factors authentication is now enabled.

References:
(1) http://code.google.com/p/google-authenticator/
(2) http://code.google.com/p/google-authenticator/source/checkout
(3) hg client: http://mercurial.selenic.com/downloads/
(4) http://code.google.com/p/google-authenticator/source/browse/
(5) Enable sshd for OSX: go to Apple > System Preferences > Sharing, check Remote Login

Bài viết này của "pa" LeVuHoang

Firmware Modification Kit

2012-01-06T10:34:00.000+07:00

This kit gives the user the ability to make changes to a firmware image without recompiling the firmware sources. It works by extracting the firmware into its component parts, then extracting the file system image. The user can then make modifications to the extracted file system, then rebuild the firmware image.

It is most useful for quick debugging of problems without having to rebuild the entire firmware image. It can even be deployed 'on the road'. A variety of formats are supported, mainly linux based GPL images known to be around; additionally, it can be used to customize DD-WRT web GUIs.

We've written a few custom utilities (i.e. untrx, wrt_vx_imgtool, spliter3) to support various devices. We've also made modifications to squashfs-tools and added known variants of squashfs-tools.

Recently, Binwalk was also integrated, to help identify and support even more firmware types and segment/filesystem types.

NO GUARANTEE IS PROVIDED. WITH EVERY REBUILT IMAGE YOU STAND THE CHANCE OF BRICKING YOUR DEVICE (EITHER A SOFT OR HARD BRICK). DO NOT USE THIS TOOL IF YOU CAN NOT RECOVER FROM SUCH A BRICK. BY USING THIS TOOL YOU ASSUME LIABILITY OF ALL DAMAGES, TANGIBLE AND INTANGIBLE, RESULTING FROM THE USE OR MIS-USE OF THIS SOFTWARE.

Un-guaranteed support fir firmware image formats for the following devices:

WRT54G v1 - v6
WRT54GS v1 - v6
WRTSL54G v?
M10 (Cisco Valet)
ASUS WL-330g
ASUS WL-500g/p
ASUS WL-520g
ASUS WL-530g
Belkin 7230-4 (some versions)
Belkin 7231-4 (?)
Buffalo WHR-G54S
Buffalo WHR-HP-G54
Siemens SE505
Trendnet TEW-632BRP
D-Link DIR615 (maybe, untested)
many others..

Some specific firmware types:

OpenWrt
Tomato
X-Wrt
DD-WRT v23 for all models
DD-WRT v24 SP1+ (for some models ONLY)

The following filesystems can be extracted and assembled:

squashfs 2.x (zlib)
squashfs 2.x (lzma)
squashfs 3.x (zlib)
squashfs 3.x (lzma)
squashfs 3.x (lzma with prepended encoding params)
squashfs 3.x (lzma with other variations)
JFFS2
cramfs (zlib)

This utility has recently taken on a new contributor who wrote his own new rendition of the extraction and rebuild scripts and inclusion (or creation) of related tools. His are superior at identifying more types of firmwares. His scripts have the -ng.sh filename.

The original scripts are still necessary and could work on some firmware images that the newer scripts may not work on. Therefore, they are being kept around, at least for now.

Homepage

http://code.google.com/p/firmware-mod-kit/

Thay thế router "cùi" bằng các giải pháp DD-WRT, Tomato, Sveasoft

2012-01-03T22:09:00.008+07:00

Bài viết này tôi xin giới thiệu 3 site dùng để thay thế router... cùi trong gia đình của bạn (thiếu một số tính năng mà bạn cần) về việc hướng dẫn sử dụng, tinh chỉnh theo ý muốn, thao tác các giải pháp này đầy rẫy ở trên mạng Internet-ngay cả cộng đồng mạng còn quay video clip hình ảnh để làm. Cho nên với 1 người chẳng biết tí về công nghệ, làm theo cũng làm được chuyện nâng cấp firmware cho router nên tôi không nhắc đến trong bài viết này.

Tôi thử nghiệm với dòng Linksys thì theo nhận xét của tôi, các giải pháp này làm việc khá tốt, hỗ trợ khá tốt với dòng sản phẩm Linksys tuy nhiên với các dòng China, Taiwan (Hồng Kông bên hông...Chợ lớn như Huawei thì có cái được cái không được) .

Ví dụ như bạn có 1 con router mà trong các trang này không có hỗ trợ thì bạn không nên...liều mạng mà cập nhật firmware (có 3 cách để bạn chọn lựa cập nhật : Qua Web GUI, qua SSH , qua TFTP) .

Nên lựa chọn danh sách các router mà các site cung cấp giải pháp, nó hỗ trợ cho router của gia đình bạn. Nếu muốn thử nghiệm thì nên dùng các router bị chập chờn, sóng lúc có lúc không,router quá hạn bảo hàng ... và theo tôi được biết thì khi cập nhật firmware có sai xót thì hầu như tụi cung cấp sản phẩm nó sẽ không bảo hành, nếu như router của bạn vẫn còn thời hạn bảo hành (giống như trường hợp cháy , chập, nổ)

Lý do vì sao tôi cần cập nhật Firmware của hãng khác mà không phải hãng của mình
- Do các modem hỗ trợ đầy đủ các tính năng mà bạn cần thì đồng nghĩa với việc bạn cần chi trả thêm tiền để trang bị cho việc mua router mới.
- Các router mà bạn mua trên thị trường hầu như là các router thông dụng chẳng hạn thiếu VPN, Radius, ...

1. DD-WRT
Tụi DD-WRT cung cấp danh sách các router mà nó hỗ trợ khá nhiều so với 2 anh còn lại .

Homepage :
http://www.dd-wrt.com/site/support/router-database

2. Tomato (nghe giống như ....cà chua)
Homepage : http://www.polarcloud.com/tomato
3. Sveasoft
Homepage : http://sveasoft.com/talisman-basic-firmare-beta

Tôi có con Microsens và con TP-Link TD-W8901G mà cho đến nay tôi vẫn chưa liều để thử nghiệm cũng vì những lý do trên .

Hướng dẫn cập nhật Kernel tránh lỗi Kernel Panic trên Centos 5.7

2012-01-02T07:47:00.009+07:00

Kernel Linux là nòng cốt của "hệ điều hành" Linux, để cho hệ thống hoạt động mạnh mẽ, hiệu quả , an toàn, bảo mật thì thường người quản trị hệ thống nên cập nhật phiên bản Kernel mới. Kernel mới nhất bạn có thể tìm, tải tại đây http://www.kernel.org/ khuyến cáo nên dùng các phiên bản ổn định (Stable) thay vì dùng các phiên bản Mainline, Beta.

Tuy nhiên đám phát triển các dòng Centos thường ít cập nhật phiên bản mới nhất, nếu có thì trong kernel nó "gom" một đống những thứ không cần thiết vào làm cho máy chủ bị đình trệ hoặc dư thừa những module không cần thiết, giống như tronòg 1 công ty "tôi cần anh A nhưng không cần anh B".

Những lý do nên cập nhật kernel

- Đương nhiên 1 nhà lập trình nào đó , khi viết ra 1 sản phẩm phần mềm nếu thêm nhiều đoạn code vào thì đoạn code đó dung lượng , thời gian sẽ chậm hơn so với 1 đoạn code khá ngắn .

- Thử hình dung kernel có nhiều tính năng "hữu ích" trong đó thì khi module này có lỗi thì bạn sẽ trở thành nạn nhân của hacker như các cuộc tấn công tràn bộ đệm là 1 ví dụ.

- Lựa chọn cài đặt khá đơn giản chỉ Yes (Y) hay No (N)

Những lý do không nên cập nhật kernel (cẩn thận với người dùng đăng nhập SSH từ xa)

- Việc cập nhật kernel thường xuyên đối với 1 người lam việc thành thạo trên Linux và có kinh nghiệm nhiều năm trong kernel thì việc cập nhật kernel có thể đơn giản hơn bao giờ hết tuy nhiên với những người theo mạng...cộng đồng, ai nói cập nhật kernel là tốt sau đó thử nghiệm trên hệ thống của mình mà "kéo" theo nguyên đám không cần thiết thì có thể làm hệ thống trì trệ hơn nữa.

- Hệ thống dễ chết bất cứ lúc nào khi cập nhật kernel phiên bản mới nhất bị lỗi như Kernel Panic thường xãy ra là 1 ví dụ điển hình, nếu điều chỉnh grub không đúng cũng có thể làm bạn tự "khóa" mình lại.

Kernel cũ trên máy tính của tôi

# uname -a

Linux localhost.localdomain 2.6.18-274.el5

Chuẩn bị mọi thứ cần thiết

# wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.39.4.tar.bz2

# tar jxvf linux-2.6.39.4.tar.bz2 -C /usr/src

# cd /usr/src

# ln -sf linux-2.6.39.4 linux

Thêm 1 số gói cài đặt bổ sung cho việc nâng cấp kernel mới

# yum install gcc make bison ncurses-devel rpm-build

Bắt đầu cài đặt

# cd /usr/src/linux

# make clean && make mrproper

# cp /boot/config-`uname -r` .config

# make menuconfig

Trong phần này bạn cần bật

General setup->

[*] enable deprecated sysfs features to support old userspace tools

[*] enabled deprecated sysfs features by default

Nếu bạn config trực tiếp thì mở .config , điều chỉnh 2 dòng sau thành

CONFIG_SYSFS_DEPRECATED=y

CONFIG_SYSFS_DEPRECATED_V2=y

Thường thì khi tôi cập nhật, nâng cấp kernel thì các tính năng mà nó hỗ trợ iptables tôi đều bật nó cả (nếu bạn không biết về các tính năng này thì chọn hết)

Tôi ví dụ như conntract

Tìm dòng Networking support chọn tiếp Networking option , kéo xuống phía dưới thấy dòng này Network packet filtering framework (Netfilter) chọn mục Core Netfilter Configuration và chọn mục Netfilter connection tracking support

Bạn tìm mục General Setup chọn dòng Local version – append to kernel release sau đó nhập vào ví dụ như -hvaonline hay -default , -config tùy bạn

Sau đó xong mọi thứ thì bạn vào Exit để thoát ra

# make rpm

# ls -alh /usr/src/redhat/RPMS/i386/

total 217M

drwxr-xr-x 2 root root 4.0K Jan 1 11:04 .

drwxr-xr-x 9 root root 4.0K Oct 3 17:14 ..

-rw-r--r-- 1 root root 217M Jan 1 11:04 kernel-2.6.39.4hvaonline-1.i386.rpm

# rpm -ivh /usr/src/redhat/RPMS/i386/kernel-2.6.39.4hvaonline-1.i386.rpm

Preparing... ########################################### [100%]

1:kernel ########################################### [100%]

# ls /boot

config-2.6.18-274.el5 symvers-2.6.18-274.el5.gz

config-2.6.39.4-hvaonline System.map-2.6.18-274.el5

grub System.map-2.6.39.4-hvaonline

initrd-2.6.18-274.el5.img vmlinux-2.6.39.4-hvaonline.bz2

lost+found vmlinuz-2.6.18-274.el5

message vmlinuz-2.6.39.4-hvaonline

# cd /boot

# depmod 2.6.39.4-hvaonline

# mkinitrd -v /boot/initrd-2.6.39.4-hvaonline.img 2.6.39.4-hvaonline

Ta xem qua cấu hình mặc định của tập tin grub

# cat /boot/grub/grub.conf

# grub.conf generated by anaconda

# Note that you do not have to rerun grub after making changes to this file

# NOTICE: You have a /boot partition. This means that

# all kernel and initrd paths are relative to /boot/, eg.

# root (hd0,0)

# kernel /vmlinuz-version ro root=/dev/VolGroup00/LogVol00

# initrd /initrd-version.img

#boot=/dev/sda

default=0

timeout=5

splashimage=(hd0,0)/grub/splash.xpm.gz

hiddenmenu

title CentOS (2.6.18-274.el5)

root (hd0,0)

kernel /vmlinuz-2.6.18-274.el5 ro root=/dev/VolGroup00/LogVol00

initrd /initrd-2.6.18-274.el5.img

Bây giờ ta điều chỉnh thêm vào 1 đoạn như sau

title CentOS (2.6.39.4-hvaonline)

root (hd0,0)

kernel /vmlinuz-2.6.39.4-hvaonline ro root=/dev/VolGroup00/LogVol00

initrd /initrd-2.6.39.4-hvaonline.img

Kết thúc

Compile kernel IPFW (FreeBSD 8.2)

2011-12-29T22:31:00.008+07:00

Kiểm tra xem ipfw có compilte vào kernel hay không

# ipfw list

Nếu xuất hiện thông báo như sau ipfw: getsockopt(IP_FW_GET): Protocol not available thì bạn cần làm những bước sau

- Sử dụng sysinstall để cài đặt src (chọn Configure chọn mục Distributions chọn src trong phần src chọn All)

- Sau khi đợi nó cài đặt xong, kiểm tra xem thư mục /usr/src xem có tập tin binary xuất hiện ở trong đường dẫn này hay không

master# grep IPFIREWALL /usr/src/sys/i386/conf (tùy thuộc vào kiến trúc mà bạn chọn loại thích hợp có thể là i386, amd64, ia64, powerpc, sparc64 hoặc pc98)

master# cd /usr/src/sys/i386/conf

master# cp GENERIC IPFWKERNEL

master# vi IPFWKERNEL

Thêm vào các dòng sau

options IPFIREWALL # required for IPFW

options IPFIREWALL_VERBOSE # optional; logging

options IPFIREWALL_VERBOSE_LIMIT=10 # optional; don't get too many log entries

options IPDIVERT # needed for natd

Bắt đầu thực thi

master# cd /usr/src

master# make buildkernel KERNCONF=IPFWKERNEL

Sau khi đợi nó compile xong , bạn

master # vi /etc/rc.conf

Thêm vào các dòng sau :

firewall_enable="YES"

firewall_script="/usr/local/etc/ipfw.rules"

Bgây iờ bắt đầu viết rule Firewall đầu tiên trên FreeBSD

# vi /usr/local/etc/ipfw.rules
IPF="ipfw -q add"
ipfw -q -f flush
#loopback
$IPF 10 allow all from any to any via lo0
$IPF 20 deny all from any to 127.0.0.0/8
$IPF 30 deny all from 127.0.0.0/8 to any
$IPF 40 deny tcp from any to any frag
# statefull
$IPF 50 check-state
$IPF 60 allow tcp from any to any established
$IPF 70 allow all from any to any out keep-state
$IPF 80 allow icmp from any to any
# open port ftp (20,21), ssh (22), mail (25)
# http (80), dns (53) etc
$IPF 110 allow tcp from any to any 21 in
$IPF 120 allow tcp from any to any 21 out
$IPF 130 allow tcp from any to any 22 in
$IPF 140 allow tcp from any to any 22 out
$IPF 150 allow tcp from any to any 25 in
$IPF 160 allow tcp from any to any 25 out
$IPF 170 allow udp from any to any 53 in
$IPF 175 allow tcp from any to any 53 in
$IPF 180 allow udp from any to any 53 out
$IPF 185 allow tcp from any to any 53 out
$IPF 200 allow tcp from any to any 80 in
$IPF 210 allow tcp from any to any 80 out
# deny and log everything
$IPF 500 deny log all from any to any

# sh /usr/local/etc/ipfw.rules

Để kiểm tra các rules chạy

# ipfw list

Tham khảo từ

http://www.cyberciti.biz/faq/howto-setup-freebsd-ipfw-firewall/

Happy New Year 2012

2011-12-29T21:30:00.004+07:00

Chia tay năm củ 2011, chỉ còn vài ngày là bước sang năm mới 2012, xin kính chúc bà con cô bác, anh em và gia đình, những anh em viếng thăm blog cá nhân này của tôi có nhiều sức khỏe, may mắn, bình an, gia đình êm ấm hạnh phúc, gặt hái được nhiều thành công trong cuộc sống và công việc .

Nhìn đến năm 2012 bất chợt suy nghĩ trong lòng ta sắp "già" mất rồi.

Một số bài viết về VPN dùng thiết bị Cisco

2011-12-29T10:35:00.008+07:00

VPN (Virtual Private Network) hay Mạng riêng ảo là sự mở rộng của mạng riêng thông qua mạng công cộng. VPN được dùng để kết nối các văn phòng chi nhánh, người dùng lưu động từ xa kết nối về văn phòng chính

Tên gọi "Mạng riêng ảo” có ý nghĩa như sau: "Mạng Riêng” vì nó mang ý nghĩa chỉ có công ty thiết lập nên nó thì mới sử dụng được nó. Nên việc phân chia địa chỉ và định tuyến cũng độc lập với các mạng khác. Còn “ảo” ở đây là muốn nói đến môi trường mà VPN hoạt động là dựa vào mạng công cộng.

Lợi ích của VPN
- Chi phí thấp: chi phí thiết lập mạng VPN thấp hơn so với các mạng WAN truyền thống như Frame Relay, ATM, Leased Line

- Tăng cường tính bảo mật cho hệ thống: sử dụng các giao thức đóng gói, các thuật toán mã hóa và các phương pháp chứng thực để bảo mật dữ liệu trong quá trình truyền.

- Tính mở rộng và linh động: VPN đã xóa bỏ rào cảng về mặt địa lý cho hệ thống mạng, sẵn sàng kết nối các mạng riêng lại với nhau một cách dễ dàng thông qua môi trường Internet.

Các mode hoạt động của VPN:
Mode hoạt động của VPN là khái niệm dùng để chỉ sự qui định các đóng gói dữ liệu trong quá trình truyền giữa các thiết bị. VPN có hai mode hoạt động là Transport và Tunnel
- Transports mode: Dữ liệu (Layer4 Payload) được mã hóa sẽ nằm trong ESP header và ESP sẽ chèn vào giữa Layer 2 header và layer 3 header
- Tunnel mode: Dữ liệu sẽ được mã hóa và đóng gói thành 1 IP Header mới với source và des IP mới.

Hình 2.2: so sánh IP header của Tunnel mode và Transport mode

Phân loại VPN:

VPN là khái niệm chung cho việc thiết lập kênh truyền ảo, nhưng còn tùy thuộc vào mô hình mạng và nhu cầu sử dụng mà chọn loại thiết kế cho phù hợp. Công nghệ VPN có thể được phân thành 2 loại cơ bản: Site-to-Site VPN và Remote Access VPN

- Site-to-Site VPN: là mô hình dùng để kết nối các hệ thống mạng ở các nơi khác nhau tạo thành một hệ thống mạng thống nhất. Ở loại kết nối này thì việc chứng thực ban đầu phụ thuộc vào thiết bị đầu cuối ở các Site, các thiết bị này hoạt động như Gateway và đây là nơi đặt nhiều chính sách bảo mật nhằm truyền dữ liệu một cách an toàn giữa các Site.

Site-to-Site VPN hay còn gọi là LAN-to-LAN VPN sử dụng kết nối dạng tunnel mode giữa các Gateway. Gateway có thể là các Router hay Firewall router hỗ trợ VPN.

- Remote Access VPN: Loại này thường áp dụng cho nhân viên làm việc lưu động hay làm việc ở nhà muốn kết nối vào mạng công ty một cách an toàn. Cũng có thể áp dụng cho văn phòng nhỏ ở xa kết nối vào Văn phòng trung tâm của công ty.

Remote Access VPN còn được xem như là dạng User-to-LAN, cho phép người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server.

VPN là giải pháp thiết kế mạng khá hay, VPN hoạt động nhờ vào sự kết hợp với các giao thức đóng gói: PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS

Khái quát về IPSEC
IPSec – Internet Protocol security: là giao thức cung cấp những kỹ thuật để bảo vệ dữ liệu, sao cho dữ liệu được truyền đi an toàn từ nơi này sang nơi khác. IPSec VPN là sự kết hợp để tạo ra một mạng riêng an toàn phục vụ cho việc truyền dữ liệu bảo mật

IPSec hoạt động ở lớp Network, nó không phụ thuộc vào lớp Data-Link như các giao thức dùng trong VPN khác như L2TP, PPTP.

Hình 2.3: IPSEC hoạt động lớp network

IPSec hỗ trợ nhiều thuật toán dùng để để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán,tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng . Những kỹ thuật mà IPSec dùng cung cấp 4 tính năng phổ biến sau:

- Tính bảo mật dữ liệu – Data confidentiality
- Tính toàn vẹn dữ liệu – Data Integrity
- Tính chứng thực nguồn dữ liệu – Data origin authentication
- Tính tránh trùng lặp gói tin – Anti-replay

Các giao thức của IPSec

Để trao đổi và thỏa thuận các thông số để tạo nên một môi trường bảo mật giữa 2 đầu cuối, IPSec dùng 3 giao thức:

- IKE (Internet Key Exchange)
- ESP (Encapsulation Security Payload)
- AH (Authentication Header)

IKE là giao thức thực hiện quá trình trao đổi khóa và thỏa thuận các thông số bảo mật với nhau như: mã hóa thế nào, mã hóa bằng thuật toán gì, bau lâu trao đổi khóa 1 lần. Sau khi trao đổi xong thì sẽ có được một “hợp đồng” giữa 2 đầu cuối, khi đó IPSec SA (Security Association) được tạo ra.

SA là những thông số bảo mật đã được thỏa thuận thành công, các thông số SA này sẽ được lưu trong cơ sở dữ liệu của SA

Trong quá trình trao đổi khóa thì IKE dùng thuật toán mã hóa đối xứng, những khóa này sẽ được thay đổi theo thời gian. Đây là đặc tính rất hay của IKE, giúp hạn chế trình trạng bẻ khóa của các attacker.

IKE còn dùng 2 giao thức khác để chứng thực đầu cuối và tạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) và Oakley.
- ISAKMP: là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính sách bảo mật SA
- Oakley: là giao thức làm nhiệm vụ chứng thực khóa, bản chất là dùng thuật toán Diffie-Hellman để trao đổi khóa bí mật thông qua môi trường chưa bảo mật.
Giao thức IKE dùng UDP port 500.

Các giai đoạn (phase) hoạt động của IKE

Giai đoạn hoạt động của IKE cũng được xem tương tự như là quá trình bắt tay trong TCP/IP. Quá trình hoạt động của IKE được chia ra làm 2 phase chính: Phase 1 và Phase 2, cả hai phase này nhằm thiết lập kênh truyền an toàn giữa 2 điểm. Ngoài phase 1 và phase 2 còn có phase 1,5 tùy chọn.

Hình 2.4: Các phase hoạt động của IKE

IKE phase 1:

Đây là giai đoạn bắt buộc phải có. Pha này thực hiện việc chứng thực và thỏa thuận các thông số bảo mật, nhằm cung cấp một kênh truyền bảo mật giữa hai đầu cuối. Các thông số sau khi đồng ý giữa 2 bên gọi là SA, SA trong pha này gọi là ISAKMP SA hay IKE SA.

Pha này sử dụng một trong 2 mode để thiết lập SA: Main mode và Aggressive mode.

Các thông số bảo mật bắt buộc phải thỏa thuận trong phase 1 này là:

- Thuật toán mã hóa: DES, 3DES, AES
- Thuật toán hash: MD5, SHA
- Phương pháp chứng thực: Preshare-key, RSA
- Nhóm khóa Diffie-Hellman (version của Diffie-Hellman)

Main mode sử dụng 6 message để trao đổi thỏa thuận các thông số với nhau:
- 2 message đầu dùng để thỏa thuận các thộng số của chính sách bảo mật
- 2 message tiếp theo trao đổi khóa Diffire-Hellman
- 2 message cuối cùng thực hiện chứng thực giữa các thiết bị

Aggressive mode: sử dụng 3 message
- Message đầu tiên gồm các thông số của chính sách bảo mật, khóa Diffie-Hellman
- Message thứ 2 sẽ phản hồi lại thông số của chính sách bảo mật được chấp nhận, khóa được chấp nhận và chứng thực bên nhận
- Message cuối cùng sẽ chứng thực bên vửa gửi.

Phase 1.5

Đây là phase không bắt buộc (optional). Phase 1 cung cấp cơ chế chứng thực giữa 2 đầu cuối tạo nên một kênh truyền bảo mật.

Phase 1.5 sử dụng giao thức Extended Authentication (Xauth). Phase này thường sử dụng trong Remote Access VPN

IKE phase 2
Đây là phase bắt buộc, đến phase này thì thiết bị đầu cuối đã có đầy đủ các thông số cần thiết cho kênh truyền an toàn. Qua trình thỏa thuận các thông số ở phase 2 là để thiết lập IPSec SA dựa trên những thông số của phase 1. Quick mode là phương thức được sử dụng trong phase 2.

Các thông số mà Quick mode thỏa thuận trong phase 2:

- Giao thức IPSec: ESP hoặc AH
- IPSec mode: Tunnel hoặc transport
- IPSec SA lifetime: dùng để thỏa thuận lại IPSec SA sau một khoảng thời gian mặc định hoặc được chỉ định.
- Trao đổi khóa Diffie-Hellman

IPSec SA của phase 2 hoàn toàn khác với IKE SA ở phase 1, IKE SA chứa các thông số để tạo nên kênh truyền bảo mật, còn IPSec SA chứa các thông số để đóng gói dữ liệu theo ESP hay AH, hoạt động theo tunnel mode hay transport mode

Các chức năng khác của IKE giúp cho IKE hoạt động tối ưu hơn bao gồm:

- Dead peer detection ( DPD ) and Cisco IOS keepalives là những chức năng bộ đếm thời gian. Nghĩa là sau khi 2 thiết bị đã tạo được VPN IPsec với nhau rồi thì nó sẽ thường xuyên gửi cho nhau gói keepalives để kiểm tra tình trạng của đối tác. Mục đích chính để phát hiện hỏng hóc của các thiết bị. Thông thường các gói keepalives sẽ gửi mỗi 10s

- Hỗ trợ chức năng NAT-Traversal: Chức năng này có ý nghĩa là nếu trên đường truyền từ A tới B nếu có những thiết bị NAT or PAT đứng giữa thì lúc này IPSec nếu hoạt động ở chế độ tunel mode và enable chức năng NAT- Trasersal sẽ vẫn chuyển gói tin đi được bình thường.

Lưu ý : Chức năng NAT-T bắt đầu được Cisco hỗ trợ tự phiên bản IOS Release 122.2(13)T

Nguyên nhân tại sao phải hỗ trợ chức năng NAT-T thì các packet mới tiếp tục đi được?

Khi thực hiện quá trình mã hóa bằng ESP thì lúc này các source IP, port và destination IP, port đều đã được mã hóa và nằm gọn tron ESP Header. Như vậy khi tất cả các thông tin IP và Port bị mã hóa thì kênh truyền IPSec không thể diễn ra quá trình NAT.

Hình 2.5: PAT lỗi do tầng 4 bị mã hoá trong gói ESP
Do đó NAT Traversal ra đời trong quá trình hoạt động của IKE nhằm phát hiện và hỗ trợ NAT cho Ipsec.
Các dữ liệu sẽ không bị đóng gói trực tiếp bởi giao thức IP mà nó sẽ đóng gói thông qua giao thức UDP. Và lúc này các thông tin về IP và Port sẽ nằm trong gói UDP này.

Hình 2.6: NAT Travesal giúp hỗ trợ các gói tin đã được mã hoá có thể đi qua các thiết bị PAT

Giao thức GRE
GRE - Generic Routing Encapsulation là giao thức được phát triển đầu tiên bởi Cisco, với mục đích chính tạo ra kênh truyền ảo (tunnel) để mang các giao thức lớp 3 thông qua mạng IP.

Cơ chế hoạt động của GRE

Để tạo ra các kênh truyền, GRE cũng thực hiện việc đóng gói gói tin tương tự như giao thức IPSec hoạt động ở Tunnel mode. Trong quá trình đóng gói, GRE sẽ thêm các header mới vào gói tin, và header mới này cung cấp các thông số cần thiết dùng để truyền các gói tin thông qua môi trường trung gian.

GRE chèn ít nhất 24 byte vào đầu gói tin, trong đó 20 byte là IP header mới dùng để định tuyến, còn 4 byte là GRE header. Ngoài ra GRE còn có thể tùy chọn thêm 12 byte mở rộng để cung cấp tính năng tin cậy như: checksum, key chứng thực, sequence number.

Hình 2.7: Cấu trúc gói tin được đóng gói thêm GRE header

Hai byte đầu tiên trong phần GRE header là GRE flag 2-byte. Phần bày chứa các cờ dùng để chỉ định những tính năng tùy chọn của GRE

- Bit 0 (checksum): Nếu bit này được bật lên (giá trị bằng 1) thỉ phần checksum được thêm vào sau trường Protocol type của GRE header.

- Bit 2 (key): Nếu bit này được bật lên thì phần Key tính năng chứng thực sẽ được áp dụng, đây như dạng password ở dạng clear text. Khi một thiết bị tạo nhiều tunnel đến nhiều thiết bị đích thì key này được dùng để xác định các thiết bị đích.

- Bit 3 (Sequence number): Khi bit này được bật thì phần sequence number được thêm vào GRE header.

Hai byte tiếp theo là phần Protocol Type chỉ ra giao thức lớp 3 của gói tin ban đầu được GRE đóng gói và truyền qua kênh truyền.

Khi gói tin đi qua tunnel nó sẽ được thêm GRE header như trên và sau khi tới đầu bên kia của kênh truyền, gói tin sẽ được loại bỏ GRE header để trả lại gói tin ban đầu.

GRE over IPSec

GRE là giao thức không bảo mật, việc kết hợp với IPSec sẽ giúp tăng cường tính năng bảo mật cho kênh truyền.

Khi IPSec kết hợp với GRE sẽ cung cấp khả năng định tuyến động trên kênh truyền, do đó tạo ra khả năng mở rộng hệ thống mạng rất lớn.

Cơ chế hoạt động của GRE over IPSec

GRE over IPSec là sự kết hợp giữa GRE và IPSec. Lúc này các gói tin GRE sẽ được truyền thông qua kênh truyền bảo mật do IPSec thiết lập. Điều này được thực hiện thông qua việc IPSec sẽ đóng gói gói tin GRE bởi các thông tin bảo mật của mình.

GRE over IPSec cũng có hai mode hoạt động; Tunnel mode và Transport mode

Hình 2.8: Cấu trúc gói tin GRE trong Tunnel và Transport mode

Như hình trên phần IP packet ban đầu sẽ được bao bọc bởi GRE header, sau đó IPSec sẽ thêm thông tin IPSec header để cung cấp những tính năng bảo mật cho gói tin GRE rồi truyền đi. Khi gói tin đến đầu bên kia của kênh truyền, nó sẽ được thao tác ngược lại để phục hồi gói tin ban đầu.

Cấu hình GRE over IPSec

Cấu hình kênh truyền GRE

Mỗi interface tunnel bao gồm các thông số
+ IP address
+ Tunnel source address
+ Tunnel destination address
+ Tunnel mode

Hình 2.9: Cấu hình GRE trên thiết bị router Cisco

I. IPSec VPN Site-to-Site

Hình 3.1: Mô hình IPSEC hai site SAIGON và VUNGTAU

5.2. Yêu cầu:
Thực hiện IPSec- VPN giữa hai chi nhánh (hai site) đảm bảo hai site phải giao tiếp được với nhau qua IPSec Tunnel.

5.3. Các bước cấu hình:
- Cấu hình chính sách ISAKMP/IKE phase 1
- Cấu hình IPSec Transform-set( ISAKMP/IKE phase 2)
- Tạo Access control list ACL
- Cấu hình crypto map
- Đưa crypto map lên interface

5.4. Triển khai chi tiết:
Bước 1: Cấu hình cơ bản trên từng Router:
-Router ISP: chỉ cấu hình hostname và IP của các interface như mô hình trên
R2(config)#hostname ISP
ISP(config)#interface s0/0
ISP(config-if)#ip address 150.1.1.2 255.255.255.0
ISP(config-if)#no shutdown
ISP(config)#interface s0/1
ISP(config-if)#ip address 151.1.1.2 255.255.255.0
ISP(config-if)#no shutdown

Hình 5.3 – Cấu hình các interface trên router ISP

-Router SAIGON và VUNGTAU, cấu hình hostname và ip theo mô hình, sau đó cấu hình default route.
R1(config)#hostname SAIGON
SAIGON(config)#interface s0/0
SAIGON(config-if)#ip address 150.1.1.1 255.255.255.0
SAIGON(config-if)#no shutdown
SAIGON(config)#interface loopback 1
SAIGON(config-if)#ip address 192.168.1.1 255.255.255.0
SAIGON(config)#ip route 0.0.0.0 0.0.0.0 150.1.1.2

Hình 5.4 – Cấu hình các interface trên router SAIGON

R3(config)#hostname VUNGTAU
VUNGTAU(config)#interface s0/0
VUNGTAU(config-if)#ip address 151.1.1.1 255.255.255.0
VUNGTAU(config-if)#no shutdown
VUNGTAU(config)#interface loopback 2
VUNGTAU(config-if)#ip address 192.168.2.1 255.255.255.0
VUNGTAU(config)#ip route 0.0.0.0 0.0.0.0 151.1.1.2

Hình 5.5 – Cấu hình Các interface trên router VUNGTAU

Bước 2: Cấu hình ISAKMP/IKE phase 1
Ở bước này ta quy định các thông số bảo mật của ISAKMP SA gồm:
- Phương pháp chứng thực
- Thuật toán hash
- Thuật toán mã hóa
- Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)

Trên router SAIGON:
SAIGON(config)#crypto isakmp policy 10
SAIGON(config-isakmp)#hash md5 // thuật toán hash
SAIGON(config-isakmp)#encryption des // thuật toán mã hoá
SAIGON(config-isakmp)#group 2 // số nhóm (version) Diffie-Hellman
SAIGON(config-isakmp)#authentication pre-share // Phương thức chứng thực
SAIGON(config)#crypto isakmp key 0 VPN123 address 151.1.1.1 // Xác định thông tin key và peer

Kết quả khi “ show crypto isakmp policy”:

Hình 5.6 – Cấu hình IKE policy trên router SAIGON

Trên router VUNGTAU:
VUNGTAU(config)#crypto isakmp policy 10
VUNGTAU(config-isakmp)#hash md5
VUNGTAU(config-isakmp)#encryption des
VUNGTAU(config-isakmp)#group 2
VUNGTAU(config-isakmp)#authentication pre-share
VUNGTAU(config)#crypto isakmp key 0 VPN123 address 150.1.1.1

Kết quả khi “ show crypto isakmp policy”:
Hình 5.7- Cấu hình IKE policy trên router VUNGTAU

Bước 3: Cấu hình chính sách IPSec (IKE phase 2)
Thiết lập IPSec SA dựa trên những thông số của phase 1
SAIGON(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des //chọn giao thức ESP để đóng gói dữ liệu
SAIGON(config)#crypto ipsec security-association lifetime seconds 1800 //thời gian tồn tại của IPSec SA

VUNGTAU(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des
VUNGTAU(config)#crypto ipsec security-association lifetime seconds 1800

Bước 4: Tạo Access control list ACL
Xác định luồng dữ liệu nào sẽ được mã hoá bảo vệ
SAIGON(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

VUNGTAU(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

Bước 5: Cấu hình Crypto map
SAIGON(config)#crypto map MYMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
SAIGON(config-crypto-map)#set peer 151.1.1.1
SAIGON(config-crypto-map)#set transform-set MYSET
SAIGON(config-crypto-map)#match address 100

VUNGTAU(config)#crypto map MYMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
VUNGTAU(config-crypto-map)#set peer 150.1.1.1
VUNGTAU(config-crypto-map)#set transform-set MYSET
VUNGTAU(config-crypto-map)#match address 100

Bước 6: Đưa crypto map vào interface
SAIGON(config)#interface s0/0
SAIGON(config-if)#crypto map MYMAP

VUNGTAU(config)#interface s0/0
VUNGTAU(config-if)#crypto map MYMAP

5.5. Kiểm tra:
1. Kiểm tra kết nối giữa 2 LAN 192.168.1.0/24 và 192.168.2.0/24

Hình 5.16- Kiểm tra kết nối giữa 2 LAN thành công 1/2

Như vậy 2 LAN .168.1.0/24 và 192.168.2.0/24 đã có thể giao tiếp được với nhau.

Hình 5.17 - Kiểm tra kết nối giữa 2 LAN thành công 2/2

2. Kiểm tra crypto map:
3. Kiểm tra ISAKMP SA:

4. Kiểm tra IPSec SA:

SSL VPN (WEB VPN)

Định nghĩa:
SSL VPN, hay còn gọi là Web VPN cung cấp một sự hỗ trợ về phần mềm cisco cho việc truy cập từ xa tới mạng công ty từ bất cứ nơi đâu trên internet. Truy cập từ xa được cung cấp thông qua SSL (Secure Socket Layer) được enable trên VPN Gateway.Cho phép user thiết lập kết nối thông qua trình duyệt web do đó những user từ bất cứ hệ điều hành nào như Unix, Window, MAC hay tới những user từ quán Internet cũng có thể truy cập đến công ty mà không phải cài bất cứ soft nào như Cisco-vpn-client chẳng hạn. Ứng dụng sẽ được cài thẳng vào router, khi người dùng dù ở bất kì nơi đâu miễn có một đường truyền Internet thì khi người dùng truy cập vào địa chỉ bên ngoài của Gateway VPN [outside interface], router này sẽ đổ soft VPN-client xuống cho người dùng cài đặt. Hầu hết cống việc của người dùng chỉ nhấn yes, hay ok.

SSL-VPN của CISCO có 3 mode:
+ Clientless: người dùng chỉ có thể truy cập HTTP, Share file, tất cả truy cập đều thông qua giao diện web.
Vd: Người dùng sẽ truy cập tới http://192.1.1.2 [IP của router hoặc firewall]

+ Thin client: người dùng có thể remote desktop, telnet, POP3, SMTP, SSH, IMAP, các ứng dụng port tĩnh.
Dùng cơ chế TCP port forwarding, nhưng nhớ client phải cài java. Port forwarding java applet.

+ Tunnel mode: Truy cập tất cả các tài nguyên qua kết nối nhưng ta cũng có thể hạn chế quyền của người dùng, vd: FTP mode passive, active, SQLnet, voice, …
Khi đăng nhập web VPN, client sẽ tải về soft, gói cài đặt nằm trong flash hoặc disk của router. Quá trình cài đặt hầu như dễ dàng, chỉ yes và OK.
Phải cài Java hoặc ActiveX

Default mã hóa của trình duyệt là 3DES hoặc RC4.

Các IOS nào hỗ trợ SSL VPN:
Các router hỗ trợ: 877, 1811, 1841, 2801, 2811, 2821, 2851, 3725, 3745, 3825, 3845, 7200 7301.
Nói chung là IOS 1800, 2800, 3700, 3800, 7200, and 7301

IOS: Advantage Security image- 12.4(6)T hoặc lớn hơn.
Nếu cấu hình bằng SDM thì dùng bản 2.3 trở lên.

Cisco IOS SSL VPN có các bản licence cho 10, 25, 100 user kết nối đồng thời. Đối với ASA là 2 mặc định. Nếu router thì không hạn chế, chỉ phụ thuộc vào performance nhưng thiếu các tính năng cao cấp hơn.
SSL- VPN của ASA nếu có liscence thì có thêm chức năng CSD (Cisco Secure Desktop). User logon vào sẽ kiểm tra trojan, virus, service pack. Nếu thỏa thì cho vào, còn không thì Drop.
Ngoài ra nó còn tạo profile làm việc mới cho user. Do đó khi người dùng đăng nhập bị lấy pass thì cũng không xem được vì thông tin của người dùng đã được mã hóa. Sau khi disconnect thì file cache sẽ được xóa hết, thông tin xóa hết.

Cấu Hình SSL VPN Tunnel mode.

Bài này mình sẽ cấu hình với IOS 7200.
Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(11)T, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.

Bước 1: format disk0:
GatewayVPN#format disk0:
Format operation may take a while. Continue? [confirm]
Format operation will destroy all data in "disk0:". Continue? [confirm]
Format: Drive communication & 1st Sector Write OK...
Writing Monlib sectors.
.................................................. .................................................. .................................................
Monlib write complete

Format: All system sectors written. OK...

Format: Total sectors in formatted partition: 130883
Format: Total bytes in formatted partition: 67012096
Format: Operation completed successfully.

Format of disk0 complete
Bước 2: Bỏ phần mềm client vào Disk0: hoặc vào flash

GatewayVPN#ping 192.168.10.50

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.50, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 4/14/36 ms

Nếu dùng Flash để lưu SSL-client
GatewayVPN#copy tftp: flash:
Address or name of remote host []? 192.168.10.50
Source filename []? sslclient-win-1.1.4.176.pkg
Destination filename [sslclient-win-1.1.4.176.pkg]? sslclient-win-1.1.4.176.pkg
Accessing tftp://192.168.10.50/sslclient-win-1.1.4.176.pkg...
Loading sslclient-win-1.1.4.176.pkg from 192.168.10.50 (via FastEthernet0/0): !

Nếu dùng Disk0: để lưu SSL-client, trong bài này mình sẽ dùng disk0: lưu SSL-client.
GatewayVPN#copy tftp: disk0:
Address or name of remote host [192.168.10.50]?
Source filename [sslclient-win-1.1.4.176.pkg]?
Destination filename [sslclient-win-1.1.4.176.pkg]?
Accessing tftp://192.168.10.50/sslclient-win-1.1.4.176.pkg...
Loading sslclient-win-1.1.4.176.pkg from 192.168.10.50 (via FastEthernet0/0): !!
[OK - 415956 bytes]

415956 bytes copied in 4.052 secs (102654 bytes/sec)

Bước 3:cài đặt soft SSL-Client vào Flash hoặc Disk của router.
Đối với Disk0:
GatewayVPN(config)#webvpn install svc disk0:/sslclient-win-1.1.4.176.pkg
SSLVPN Package SSL-VPN-Client : installed successfully
Đối với Flash.
GatewayVPN(config)#webvpn install svc flash:sslclient-win-1.1.4.176.pkg
SSLVPN Package SSL-VPN-Client : installed successfully

Bước 4: Cấu hình SSL VPN (Web VPN)
1. Cấu hình cơ bản:
GatewayVPN(config)#ip http server
GatewayVPN(config)#ip http secure-server
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

GatewayVPN(config)#aaa new-model
GatewayVPN(config)#aaa authentication login default local #Tránh việc console timeout dẫn đến thiếu quyền truy cập đến Exec.
GatewayVPN(config)#aaa authentication login webvpn local # tạo danh sách chứng thực bằng local cho client, ở đây ta có thể dùng chứng thực bằng RADIUS.
GatewayVPN(config)#ip local pool pool-ssl 10.1.1.50 10.1.1.254 # Pool cung cấp IP cho WEB-VPN-client
GatewayVPN(config)#username tuan password 123456 # định nghĩa webvpn chứng thực username, password.

2. Cấu hình SSL.
a. Cấu hình gateway
GatewayVPN(config)#webvpn gateway gateway-vpn # định nghĩa interface mà WEBVPN theo dõi, khi này IOS sẽ sinh tự động certificate từ chính bản thân nó.
GatewayVPN(config-webvpn-gateway)#ip address 192.1.1.2 port 443 # Virtual Gateway Ipaddr, địa chỉ client sẽ kết nối tới web VPN server
GatewayVPN(config-webvpn-gateway)#inservice # Enable webvpn gateway

b.Cấu hình webcontext và policy:
GatewayVPN(config)#webvpn ?
context Specify webvpn context

GatewayVPN(config)#webvpn context ssl-client # định nghĩa những cấu hình liên quan tới webvpn, tương đương với tunnel group của ASA.
GatewayVPN(config-webvpn-context)#gateway gateway-vpn # kết hợp context và gateway.
GatewayVPN(config-webvpn-context)#aaa authentication list webvpn # chứng thực aaa, local đã tạo ở trên.
GatewayVPN(config-webvpn-context)#inservice #Bring context to inservice
*Apr 27 11:22:55.523: %SSLVPN-5-UPDOWN: sslvpn context : ssl-client changed state to UP

c.Cấu hình chính sách nhóm:
GatewayVPN(config-webvpn-context)#policy group CLIENT
#svc-enabled Enabled to run tunnel-mode
GatewayVPN(config-webvpn-group)#functions svc-enabled #Kích hoạt chức năng SVC
GatewayVPN(config-webvpn-group)#svc address-pool pool-ssl # Phân phối địa chỉ của pool-ssl để sử dụng SVC
GatewayVPN(config-webvpn-group)#svc split ?
#dns Domain resolved via the tunnel
#include Traffic to be sent over SSLVPN tunnel
GatewayVPN(config-webvpn-group)#svc split include 192.168.20.0 255.255.255.0 # định nghĩa mạng cần được bảo vệ, nếu không cấu hình mặc định là 0.0.0.0, đồng nghĩa với việc tất cả các mạng đều được bảo vệ.
GatewayVPN(config-webvpn-context)#default-group-policy CLIENT # áp policy này vào context.

Chú ý:
Tạo một connected vào router cho pool-ssl cung cấp cho Client. Nếu không có connected nào cho pool-sll thì client kết nối đến sẽ GatewayVPN sẽ không đẩy soft xuống cho client được. Ở đây ta dùng loopback.
GatewayVPN(config)#int loopback 10
GatewayVPN(config-if)#ip add 10.1.1.1 255.255.255.0

SSL-client và show run.
http://www.4shared.com/file/101972984/9aaa8f2a/SSL-Client_va_show_run.html

Soft SSL-VPN.
http://www.4shared.com/file/101973206/894ec8a/Soft-SSL-VPN.html

Tài liệu đọc thêm và cấu hình SSL-VPN bằng SDM.
http://www.4shared.com/file/101973735/bc7b2c18/WebVPN.html

IOS 7200
http://rapidshare.com/files/17035078/c7200-advsecurityk9-mz.124-11.T.bin

Nhiều tác giả-Nguồn từ VNPRO dot ORG

Một vài nhận xét việc dùng giải pháp OpenVPN ALS

2011-12-28T21:57:00.005+07:00

Cách đây mấy hôm, tôi có thử dùng giải pháp OpenVPN ALS trên Linux distro Centos Enterprise 5.7 , tôi có nhận xét nó như sau (tôi không có thời gian để ghi lại quy trình, anh em đọc tài liệu về nó 1 tí là thành công ngay-nếu cần trợ giúp thì cứ việc đặt câu hỏi tôi sẽ hướng dẫn sớm trong điều kiện thời gian cho phép)

Về phần cài đặt thì yêu cầu cài đặt của nó gồm những "món" sau:
- Cài đặt JDK
- Cài đặt Apache Ant
- Cài đặt OpenVPN ALS

Một điều là phiên bản mà tôi download từ sourceforge.net nó release vào năm 2008 và dường như những người phát triển nó không còn "hứng thú" , tạm ngừng với việc phát triển phiên bản kế tiếp cho nên dường như chỉ xuất hiện bản cuối cùng vào năm 2008 .

Khi cài đặt xong truy cập vào cổng http://ip-của-máy-chủ-vpn:28080 để mở cửa sổ web admin , nó hỗ trợ khá nhiều món như :
- Nhóm người dùng, người dùng
- Web Forward , SSL Tunnel

Ví dụ như khi người có tài khoản là admin , sẽ tạo ra các nhóm người dùng, gán người dùng này vào nhóm đó, sau đó dùng chức năng Web Forward để truy xuất đến máy chủ nằm phía sau Router thông qua giao diện web front-end của từng người dùng đã được ấn định, khai báo.

Giải pháp này không thể so sánh với các giải pháp của Cisco, Juniper và các giải pháp "cứng" khác tuy nhiên nó phù hợp với doanh nghiệp nhỏ , không cần thiết phải trang bị hàng Cisco, Juniper hoặc dùng các router như Draytek hoặc các dòng sản phẩm khác.

OpenVPN ALS (project Adito)

2011-12-25T18:46:00.003+07:00

OpenVPN ALS (project Adito) is a web-based VPN server written in Java.

In other words, it's a webapp that lets you go into your network over a web browser, in a secure manner (if you configure it to use https) as if it were via VPN.

OpenVPN ALS has a browser-based AJAX UI which allows easy access to intranet services. Once installed (and with SSL configured) you will be able to access all your server files and the HDA (to include most applications) using https://user.yourhda.com (tested with Firefox and Internet Explorer).

Homepage

http://www.amahi.org/apps/openvpn-als

GNS3 trên Ubuntu 11.10

2011-12-23T23:20:00.004+07:00

Tối hôm nay có 1 job nho nhỏ mà thằng em ở TPHCM nó gởi cho tôi, job này chỉ thiết lập SSL VPN trên router Cisco và thiết lập QoS cho VoIP . SSL VPN Cisco thì vẫn còn lưu cấu hình lại các bước làm, đọc qua trên mạng thì có rất nhiều bài viết hữu ích về vấn đề này.

Tuy nhiên QoS thì nói chung không nhớ nổi, phải ngồi đọc lại tài liệu về vấn đề này, lại phải ôn lại nào là policy condition , policy action và traffic classifier,...thầy giáo dạy xong đem sách vở, những gì ổng căn dặn, ổng nói,...tôi trả cho ổng hết.

Nhân tiện có cái máy tính Ubuntu ở đây thử nghiệm GNS3 , mô hình lab làm lại Cisco SSL VPN mà thôi , ông thầy dạy mình cái gì cũng quên mất tiêu nhưng trước hết phải cài đặt GNS3 cho xong thì mới làm các bước tiếp theo và ghi lại quy trình.

Ở đây tôi dùng phiên bản 0.7.4 (trên trang chủ có phiên bản mới nhất là 0.8.2 tuy nhiên phiên bản này là phiên bản thử nghiệm nên ý định của tôi cũng không muốn thử nghiệm phiên bản này)

$ sudo apt-get install dynagen python-qt4
$ cd /opt
$ sudo wget http://downloads.sourceforge.net/project/gns-3/GNS3/0.7.4/GNS3-0.7.4-src.tar.bz2

$ sudo tar -xjvf GNS3-0.7.4-src.tar.bz2
$ sudo rm GNS3-0.7.4-src.tar.bz2
$ sudo mv GNS3-0.7.4-src /opt/GNS3

$ cd /opt/GNS3
$ sudo mkdir Dynamips
$ sudo mkdir IOS
$ sudo mkdir Project
$ sudo mkdir Cache
$ sudo mkdir tmp
$ sudo chmod o+rw -R ./Project
$ sudo chmod o+rw -R ./tmp
$ sudo chmod o+rw -R ./IOS

$ cd Dynamips
$ sudo wget http://www.ipflow.utc.fr/dynamips/dynamips-0.2.8-RC2-x86.bin
$ sudo chmod +x ./dynamips-0.2.8-RC2-x86.bin

$ sudo apt-get install qemu

Bây giờ ta cần tạo shortcut cho nó ra màn hình Desktop
$ sudo apt-get install --no-install-recommends gnome-panel
$ gnome-desktop-item-edit ~/Desktop/ --create-new

Ở dòng command ta nhập vào python "/opt/GNS3/gns3"

Sử dụng webcam trên Yahoo Messenger trong Virtual Box (Ubuntu 11.10)

2011-12-22T21:44:00.006+07:00

Bất cứ người sử dụng Windows khi chuyển sang Linux như các distro thông dụng như Fedora, Ubuntu thì gặp những "lỗi" khó chịu như tìm kiếm những giải pháp, phần mềm để thay thế cho các phần mềm thường dùng trong Windows để phục vụ cho công việc hàng ngày, nhu cầu giải trí, học tập, làm việc của cá nhân mình.

Có nhiều giải pháp để xem webcam thông qua trên Ubuntu, Fedora ví dụ như gyachi trên Ubuntu
sudo add-apt-repository ppa:adilson/experimental sudo apt-get update sudo apt-get install gyachi

Hoặc
su -c "yum install gyachi" trên Fedora

Hoặc thông thích dùng Yahoo Messenger thì nghĩ ngay đến việc dùng các công cụ khác để thay thế như Skype , Google Talk

Tuy nhiên muốn quen "khẩu vị" của giao diện Yahoo Messenger và muốn tận mắt "nhìn" thấy giao diện đó trên Ubuntu thì chỉ còn 1 cách cài đặt Windows XP trong Virtual Box , dưới đây là 1 thủ thuật nhỏ dành cho người sử dụng Ubuntu muốn bật webcam của mình lên trong Yahoo Messenger .

Việc đầu tiên
sudo usermod -a -G vboxusers username

Sau đó cài đặt Extension cho VirtualBox

Tiếp tục bật Enable USB 2.0 (EHCI) Controller trong VirtualBox

Webcam của máy tính này hiệu Chicony làm việc khá tốt .

Fedora cũng tương tự, tôi dùng Fedora nhiều năm nay và hài lòng với Fedora và tuyệt đối trung thành với nó, bài viết này ghi lại theo cảm hứng dành cho máy tính của người bạn dùng Ubuntu.

Rsync + SSH

2011-12-19T23:32:00.002+07:00

- Sever có nguồn dữ liệu (A)

- Server cần được sync (B)

- Server A có: /home/cuti (do account cuti owns), /home/cuteo (do account cuteo owns) và /home/caihim (do acount caihim owns).

- Server B cũng có: /home/cuti (do account cuti owns), /home/cuteo (do account cuteo owns) và /home/caihim (do acount caihim owns).

Có 2 cách thực hiện để sync.

Cách 1: sync từ cronjob của mỗi account "cuti", "cuteo" và "caihim" từ /home/cuti đến /home/cuti, từ /home/cuteo đến /home/cuteo và từ /home/caihim đến /home/caihim.

$ rsync -avz --delete --exclude=**/stats --exclude=**/error --exclude=**/files/pictures -e "ssh -p 6567 -i /home/cuti/mirror-rsync-key" /home/cuti cuti@IP:/home/cuti/

$ rsync -avz --delete --exclude=**/stats --exclude=**/error --exclude=**/files/pictures -e "ssh -p 6567 -i /home/cuteo/mirror-rsync-key" /home/cuteo cuteo@IP:/home/cuteo/

$ rsync -avz --delete --exclude=**/stats --exclude=**/error --exclude=**/files/pictures -e "ssh -p 6567 -i /home/caihim/mirror-rsync-key" /home/caihim caihim@IP:/home/caihim/

Không cần chmod hay chown gì hết vì từ A sang B nếu thực thi đúng account thì nó sẽ viết data xuống được và giữ nguyên chủ quyền.

Cách 2: sync từ cronjon của root từ /home đến /home và áp dụng -o -g cho rsync command:
$ rsync -avzog --delete --exclude=**/stats --exclude=**/error --exclude=**/files/pictures -e "ssh -p 6567 -i /root/rsync/mirror-rsync-key" /home/ root@IP:/home/

Tránh chown, chgrp vì rất phiền nếu sub-directories có những thư mục và files do nhiều người làm chủ.

Cũng có thể thực hiện cách 1 ở trên bằng root account nhưng thay đổi một tí, ví dụ:

su - cuti -c "rsync -avz --delete --exclude=**/stats --exclude=**/error --exclude=**/files/pictures -e "ssh -p 6567 -i /home/cuti/mirror-rsync-key" /home/cuti cuti@IP:/home/cuti/"

Phần su - cuti -c "" là phần root thực thi rsync với user "cuti".

Đây là thảo luận của anh conmale về trường hợp của mình được đăng ở
http://www.hvaonline.net/hvaonline/posts/list/40819.hva

Đưa domain chamsocmaychu.com về Blogspot

2011-12-19T22:11:00.008+07:00

Cách thức thiết lập này còn dễ hơn ăn cháo....gà, anh em nào chưa biết thì có thể tham khảo qua vài hình sau .

Nhấn nút Cài đặt
Chọn phần Xuất Bản

Sau khi khai báo thông tin tương tự như hình trên thì cấu hình trong Domain Control Panel

Đợi từ 5 phút đến 24 giờ sau để có hiệu lực, thử truy cập vào chamsocmaychu.com

Thử dùng công cụ whois để kiểm tra domain

Blog nixmicrosoft.blogspot.com cuối cùng đã có số nhà để tui và bà con thân thích tìm đường vào cho ... dễ nhớ, chính thức mở dịch vụ chăm sóc máy chủ từ xa để nhận các dịch vụ làm việc tại nhà thông qua mạng Internet như cài đặt, thiết lập, xử lý sự cố,triển khai các vấn đề liên quan đến hệ thống dùng Linux/Unix cho bà con cô bác có nhu cầu (không chơi với máy chủ dùng Windows Server và các sản phẩm khác của Microsoft)

Anh em nào có jobs làm việc từ xa qua mạng Internet về máy chủ Linux/Unix thì có thể liên hệ với tôi qua Y!M nixmicrosoft cám ơn bà con theo dỏi

Script Backup MySQL Server trên Centos

2011-12-17T18:14:00.003+07:00

Đây là đoạn script backup MySQL database nhỏ gọn, đem về điều chỉnh cho phù hợp với mục đích nhu cầu sử dụng của mình.

Nếu bạn muốn test thử thì cài đặt MySQL trước tiên
## Remi Dependency on CentOS 5 and Red Hat (RHEL) 5 ##
rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-4.noarch.rpm

## CentOS 5 and Red Hat (RHEL) 5 ##
rpm -Uvh http://rpms.famillecollet.com/enterprise/remi-release-5.rpm

# yum --enablerepo=remi install mysql mysql-server

Sau khi cài đặt xong thì bật dịch vụ mysqld lên sau đó thì
# /usr/bin/mysql_secure_installation

Để cho nó "hỏi" bạn set mật khẩu root , cho phép người dùng ở xa truy cập vào MySQL server, xóa bỏ database tên là test,...

Sau đó bạn đăng nhập vào MySQL, thử tạo database như sau
mysql> create database ftpd;
Query OK, 1 row affected (0.00 sec)

mysql> create database ftp;
Query OK, 1 row affected (0.00 sec)

Nếu cần thiết thì tạo user sau đó gán quyền thích hợp
## CREATE USER ##
mysql> CREATE USER 'admin'@'10.0.15.25' IDENTIFIED BY 'password';

## GRANT PERMISSIONS ##
mysql> GRANT ALL ON admin.* TO admin@'10.0.15.25';

## FLUSH PRIVILEGES, Tell the server TO reload the GRANT TABLES ##
mysql> FLUSH PRIVILEGES;

#!/bin/bash

PATH=/usr/sbin:/sbin:/bin:/usr/bin

MyUSER="root"
MyPASS="admins"
MyHOST="127.0.0.1"

SUBFOLDER="$(date +"%Y-%m-%d")"
DEST="/home/backup"
MDB="$DEST/backup/$SUBFOLDER"

if [ ! -d $MDB ]
then
mkdir -p $MDB >/dev/null 2>&1 && echo "Directory $MDB created." || echo "Error: Failed to create $MDB directory."
else
echo "Error: $MDB directory exits!"
fi

NOW="$(date +"%Y-%m-%d_%H-%M-%S")"

FILE=""

DBS="$(mysql -u $MyUSER -h $MyHOST -p$MyPASS -Bse 'show databases')"

for db in $DBS
do
FILE="$MDB/$db.$NOW.sql.gz"
mysqldump --single-transaction -u $MyUSER -h $MyHOST -p$MyPASS --complete-insert $db | gzip -9 > $FILE
echo "Backup $FILE.....DONE"
done

Đây là thông tin output
Backup /home/backup/backup/2011-12-17/information_schema.2011-12-17_04-10-42.sql.gz.....DONE
Backup /home/backup/backup/2011-12-17/ftp.2011-12-17_04-10-42.sql.gz.....DONE
Backup /home/backup/backup/2011-12-17/ftpd.2011-12-17_04-10-42.sql.gz.....DONE
Backup /home/backup/backup/2011-12-17/mysql.2011-12-17_04-10-42.sql.gz.....DONE
Backup /home/backup/backup/2011-12-17/performance_schema.2011-12-17_04-10-42.sql.gz.....DONE

Trường hợp nếu chạy báo lỗi
mysqldump: Got error: 1142: SELECT,LOCK TABL command denied to user 'root'@'localhost' for table 'cond_instances' when using LOCK TABLES

Thì trong script bạn cần thêm --single-transaction

15 năm trôi qua vẫn không thay đổi "phong cách" nghe nhạc trữ tình

2011-12-08T01:50:00.001+07:00

Không biết tối nay trong lòng mình có tâm trạng, không biết diễn tả tâm trạng đó như thế nào, vừa lang thang trên mạng, nhân tiện cố gắng đăng nhập vào hệ thống từ xa để hoàn tất mọi việc mà sếp giao cho, vừa suy nghĩ vừa bật nhạc để nghe vào lúc gần 2 sáng...

Cũng như mọi hôm , trong danh sách bài bài hát được lưu trữ trong máy tính của tôi là những bài nhạc sến (có vùng, nơi gọi là nhạc vàng, nhạc trữ tình) , những bài nhạc bất hủ có thể đã theo tôi trên 15 năm qua từ khi tôi còn là học sinh phổ thông . Có lẽ tôi ở chung với cha mẹ cho nên lúc đó tôi bị ảnh hưỡng rất nhiều từ thể loại nhạc sến này cho đến nay và một điều đặc biệt tôi sinh ra ở miền Tây nhưng chẳng thích ca cổ, cải lương bao giờ-có thể tôi là 1 cư dân ngoại lệ ở miền Tây!!

Dù đường đời mổi đứa cách nhau một nơi ...ngày mai đây trên con đường xuôi ngược , bạn bè miền Trung tôi ở miền Tây , thế gian dù có đổi thay tình ta vẫn đẹp như ngày đầu tiên (3 tháng quân trường)

Rừng lá xanh xanh cây phủ đường đi ...sao không hát cho những người vừa mãi mê ....lá rừng che kín đường... (Rừng lá thấp)

Mình về thành phố đây rồi chốn ăn chốn vui là mặc người.... viết trăm lá thư để hẹn hò....mình trở lại với đơn vị ....hẹn ngày về ...vào nữa khuya nhung nhớ ngập lòng (Người xa thành phố)

Anh biết khi đi là cách biệt là người quen, mà nhớ nhiều là em (Thiệp hồng anh viết tên em)

Trở lại chuyện hai chúng mình...rồi thời gian qua lối này khi tay trắng tay, buồn vác lên vai hành trang đường dài...nghe buốt giá lúc nữa đêm...lúc gọi yêu gọi về tim (Con đường xưa em đi)

(Còn những bài hát hay nữa nhưng những bài hát này có thể có những bài hiện nay chưa được phép lưu hành nên không ....tuyên truyền)

Tôi thích nhất những bài hát của các nhạc sỹ như Trần Thiện Thanh-Nhật Trường, Hoài Nam, Lam Phương, Trúc Phương, Anh Bằng ,...có nhiều lúc không hiểu tại sao thời điểm đó những nhạc sỹ này sáng tác những bài hát thật không thể quên được, ca từ mổi bài hát thật sự khó làm cho người ta quên .

Còn những nhạc sỹ hiện đại thì dường như không chú tâm vào nhiều vì nghe xong hôm nay thì không hiểu nhạc sỹ đó nói lên ý gì và dường như nhiều nhạc sỹ hiện đại quan tâm đến phong cách ....mì ăn liền nên người nghe cũng "ăn xong" cũng dẹp tiệm luôn . Từ thời học cấp 3 đến khi đi làm việc nay cũng hơn 15 năm trôi qua vẫn nghe nhạc trữ tình thường xuyên, còn nhạc hiện đại như ca sỹ Đàm Vĩnh Hưng, Mỹ Tâm....họ hát thú thật tôi cố gắng tiếp thu nhạc của họ nhưng cuối cùng tôi vẫn không thể tiếp thu những bài hát của họ vào trong đầu mình nổi .

Có mấy anh em ở ngoài Bắc vào Nam công tác hay tôi có dịp ra ngoài Bắc, sau chầu ăn nhậu , anh em toàn "đực rựa" kéo nhau cùng đi karaoke đến khi chọn bài hát thì tôi trợn mắt khi thấy tụi nó chọn những bài hát toàn nhạc sến, tôi cứ tưởng ở miền Bắc, miền Trung họ không nghe những bài hát trữ tình này chứ, ai dè một số người họ cũng nghe tuốt luốt.

Khi còn ở trong KTX cùng với tụi bạn, đứa ở trong Nam ngoài Bắc miền Trung có đầy đủ chẳng thiếu đứa ở miền nào, có đứa ở tận trong vùng dân tộc sinh sống ....mổi lần nghe những bài nhạc sến là tụi nó kéo nhau đánh .... u đầu, hôm khi chia tay về nhà, tôi có 2 đứa bạn gái khá thân ở Bình Dương...nó cho tôi nghe bài Chuyến tàu hoàng hôn...đang buồn rầu vì biết sắp phải xa tụi nó, ít có dịp để gặp tụi nó thường xuyên vậy mà tụi nó còn đem bài hát này cho tôi nghe....thời điểm đó cho đến nay cũng được 11 năm trôi qua nhanh chóng thật và đó là kỹ niệm đẹp không bao giờ quên.

Có lẽ các nam ca sỹ như Trường Vũ , Tuấn Vũ là tôi thích nhất, tôi không thích ca sỹ Chế Linh trình bày những nhạc phẩm tiền chiến, trữ tình mặc dù ca sỹ Chế Linh ca hát rất hay nhưng phong cách biểu diễn trước đây ảnh hưởng nhiều đến người lính VNCH (chiến tranh, tuyên truyền tôi không thích). Nhiều khi nổi hứng lên mạng tìm địa chỉ liên lạc của 2 ca sỹ này để xin họ chữ ký, nếu bạn nào đọc được những dòng này, có biết thông tin địa chỉ liên lạc của họ thì cho tôi để thỏa lòng mong ước bấy lâu.

Tính viết nhiều cảm nghĩ nhưng chắc đến đây là đủ....tâm trạng.

Cisco 7609s + Alcatel Omni 6400 = MOBIPHONE VMS 3G

2011-12-07T19:43:00.011+07:00

Trên Cisco 7609s Active (HSRP-Hot Standby Router Protocol)

Trên cổng Interface kết nối với Router VMS 3G

service instance 2770 ethernet

description VMS_3G_SIDE A

encapsulation dot1q 2019,2055

rewrite ingress tag push dot1q 2770 symmetric

xconnect x.x.x.x y.y.y.y encapsulation mpls

Trong đó :

2770 = SVLAN

2019,2055 = CVLAN

service instance 2778 ethernet

description VMS_3G_SIDE B

encapsulation dot1q 2013,2015,2018,2020-2022,2079,2089

rewrite ingress tag push dot1q 2778 symmetric

xconnect x.x.x.x y.y.y.y encapsulation mpls

Trong đó :

2778 = SVLAN

2013,2015,2018,2020-2022,2079,2089 = CVLAN

Trên Cisco 7609s Standby (HSRP-Hot Standby Router Protocol)

service instance 2770 ethernet

description VMS_3G_SIDE A

encapsulation dot1q 2019,2055

rewrite ingress tag push dot1q 2770 symmetric

xconnect x.x.x.x y.y.y.y encapsulation mpls

service instance 2778 ethernet

description VMS_3G_SIDE B

encapsulation dot1q 2013,2015,2018,2020-2022,2079,2089

rewrite ingress tag push dot1q 2778 symmetric

xconnect x.x.x.x y.y.y.y encapsulation mpls

Trên Cisco 7606

service instance 3769 ethernet

description VMS 3G-KETNOI DEN SIDE A

encapsulation dot1q 1125

rewrite ingress tag push dot1q 2769 symmetric

xconnect x.x.x.x y.y.y.y encapsulation mpls

Trên cổng Uplink của Switch Alcatel Omni 6400

(Thời gian ngắn nhất sẽ bổ sung thêm)

Cài đặt máy in Brother MFC-7340 qua mạng

2011-12-06T10:31:00.006+07:00

Có 1 máy tính trên mạng dùng Windows XP, có kết nối trực tiếp với máy in Brother MFC-7340 bằng cổng UBS. Trong môi trường mạng ngang hàng, có 1 máy tính dùng Ubuntu, để máy tính Ubuntu in được qua mạng từ máy XP có kết nối đến máy in Brother MFC-7340 thì bạn làm những bước sau

Link ở dưới đây là các driver của máy in Brother hỗ trợ trên Linux (hỗ trợ phần mở rộng .rpm hay .deb)
http://welcome.solutions.brother.com/bsc/public_s/id/linux/en/download_prn.html#MFC-7340

- Cài đặt LPR và cupswrapper trước tiên
- Mở Printer tìm mục Network Printer sau đó chọn Windows Printer via Samba

Nhấn nút Browse để tìm máy in trên mạng ví dụ ở trên hình trên, tôi đã tìm được máy in mà tôi cần. Nhấn Forward để nó tìm driver, ở đây bạn chọn driver cho máy in hiệu Brother.

Nhấn Forward

Bài viết này ghi lại theo ghi nhớ dành cho gia đình tôi, còn tôi không quan tâm đến Ubuntu hay U bún tù điếc gì hết .

Kết nối VPN vào mạng công ty dùng Ubuntu

2011-12-05T22:39:00.012+07:00

Có nhiều cách để bạn thiết lập Cisco VPN Client trên *nix lắm, bạn có thể dùng chính phần mềm của Cisco tuy nhiên khi bạn dùng phần mềm này thì phiên bản này chỉ hỗ trợ 4.x và bạn cần phải patch vá lỗi cho nó nhiều bước, sau đây là 2 cách dùng Ubuntu rất nhanh chóng

Bên Fedora bạn cũng làm tương tự , quan trọng làm sao bạn cài đặt được vpnc qua YUM mà thôi .

sudo apt-get install vpnc network-manager-vpnc network-manager-vpnc-gnome

Sau khi cài đặt nó xong bạn tìm System Settings tìm chọn mục Network để bắt đầu khởi tạo 1 kết nối vào trong mạng công ty của mình . Nhấn Import , sau đó chọn tập tin .pcf , sau khi chọn tập tin .pcf thì nó xuất hiện dòng sau

Hoặc nếu không có tập tin .pcf thì bạn có thể khai báo bằng nhân công, các bước khai báo rất đơn giản .

Dòng Gateway bạn nhập vào địa chỉ IP của VPN server

Dòng Username bạn nhập tên người dùng VPN

Dòng User password bạn nhập vào mật khẩu của người dùng VPN nên chọn Always Ask thay vì Save

Dòng Group name : bạn nhập tên group

Dòng Group password : nhập mật khẩu của group

Nhấn nút Advanced điều chỉnh cho thích hợp

Cách 2 : Tạo tập tin dieuhanh.conf vào /etc/vpnc

Nội dung của tập tin này như sau

IPSec gateway IP của máy chủ

IPSec ID ID của IPSEC

IPSec secret Password/Key của IPSEC

Xauth username tên người dùng

Xauth password mật khẩu người dùng

Sau đó ta tạo tập tin .sh ở ngoài màn hình Desktop và chmod cho nó

Nội dung tập tin này như sau

#!/bin/bash

echo “You Sure you want to connect to VPN? Press ENTER”

read var_1

sudo vpnc-connect --enable-1des dieuhanh

echo -n “Please ENTER again to disconnect”

read var_2

clear

sudo vpnc-disconnect

echo “VPN has been disconnected”

read var_3

Bây giờ để kết nối vào mạng công ty thì chỉ cần chạy tập tin này là xong.
Việc tiếp theo bạn chỉ cần nhấn phím Enter để connect và nhấn phím Enter để disconnect mà thôi .

[Tips] Cho phép máy tính từ xa kết nối đến MySQL Server

2011-12-01T08:24:00.002+07:00

Muốn cho phép máy tính từ xa kết nối đến MySQL Server (khuyến khích không nên dùng vì khá nguy hiểm, dùng xong thì nên tắt nó)

use mysql;
GRANT ALL ON *.* to root@'cms.cmu.vn' IDENTIFIED BY 'admins';
FLUSH PRIVILEGES;

Nếu muốn máy tính nào đó truy xuất vào
GRANT ALL ON *.* to root@'10.96.36.250' IDENTIFIED BY 'admins';
FLUSH PRIVILEGES;

10.96.36.250 chính là địa chỉ IP của máy tầm xa, bạn có thể dùng chức năng này để thao tác với MySQL sử dụng MySQL Query Browser , HeidiSQL, Navicat để thao tác dễ dàng với database được lưu trữ trong MySQL Server nếu như bạn "làm biếng" dùng console hoặc phpmyadmin thì có lẽ nó là tính năng hữu ích mà bạn cần.

Chức năng này chỉ đáp ứng trong trường hợp khẩn cấp, không nên dùng nó , nếu có dùng thì cũng không nên dùng tài khoản root mà dùng 1 tài khoản mysql nào đó.

Tan tành giấc mơ vàng - Lại phải chờ 2 năm nữa

2011-11-19T22:13:00.007+07:00

Tối nay tôi dự đoán trận Việt Nam-Indonesia sẽ có tỉ số là 1-3 nhưng cuối cùng lại là 0-2, không phải tôi không chọn Việt Nam, không yêu thích đội nhà mà là vì theo nhận xét của tôi , Việt Nam đá quá dở kể từ bắt đầu SeaGames 26 đến nay, chỉ toàn gặp mấy đội bóng yếu như Đông Timo, Lào, ..có 1 trận duy nhất là gặp Myanmar 1 đối thủ ngang ngữa nhưng trận đó cũng chẳng để lại dấu ấn gì trong lòng người hâm mộ nước nhà nên trận này nằm "kèo dưới" và có khả năng thua trận .

Tối nay Việt Nam chơi rất xuất sắc nhưng lực bất tòng tâm, lại tan tành giấc mơ vàng...2 năm trước khi đang tập huấn Cisco ở TPHCM tụi tôi đứng ở trên tầng 4 của khách sạn Gosship trên đường Trần Hưng Đạo bên Q1 thì ngoài đường vắng lặng ít có tiếng reo hò Việt Nam vô địch vì năm đó thua Malaysia nên không khí bóng đá ở ngoài đường cũng không còn nữa, tâm trạng buồn rầu, thất vọng của cổ động viên...vỉa hè trước trình diễn, lối chơi của đội nhà.

Nhớ cách đây không lâu có ông làm lớn bên VFF nói rằng, tuyên bố với giới báo chí rằng 10 năm nữa VN vào vòng Worldcup!! Nghe xong đúng là nằm mơ, khu vực Đông Nam Á còn chưa xong, chưa khẳng định mình là 1 nhà vô địch như Thái Lan và chưa bao giờ VN chứng minh mình là 1 đội bóng mạnh trong khu vực, đá nhiều lúc thất thường, thể lực bây giờ có phần "ngon" hơn trước nhưng đến khi gặp đội như Thái Lan, Malaysia, Singapore thì ...lắc đầu, tung chiêu "đổ bê tông" và chưa kể ra gặp mấy đội ở vùng Tây Á như Iran, I Rắc hay mấy quốc gia có "anh em, bà con" với BinLaden còn Đông Á thì có "binh hùng tướng mạnh" như Nhật Bản, Hàn Quốc khi gặp bị tụi nó , nó đánh bầm dập, te tua không thấy đường về chứ World với Cup.

Trận này Indonesia thắng hoàn toàn xứng đáng, Việt Nam phòng ngự rất hay, có nhiều pha bóng lăn xã cứu thua cho đội nhà, toàn đội thực hiện quyết tâm rất cao và không thể trách 2 bàn thua vào lưới đội nhà vì sức người có phải ...sứt môi đâu :D người hâm mộ bóng đá Việt Nam lại phải chờ thêm 2 năm nữa....để có giấc mơ vàng ở khu vực Đông Nam Á .

Nếu có cơ hội thì cho phép các cầu thủ ngoại nhập tịch chất lượng giống như Singapore, Indonesia họ đang làm để cải thiện bóng đá và mang lại vinh quanh cho nước nhà.Không khéo 2 năm nữa người hâm mộ bóng đá Việt Nam vẫn chờ đợi thêm 2 năm trắng tay nữa mất....

FreeBSD - Bắt đầu lại từ đầu

2011-11-15T08:43:00.005+07:00

Không phải tự dưng hiện tại đang trung thành với các dòng sản phẩm Redhat Enterprise/Centos/Fedora mà lại tự động chuyển sang FreeBSD theo hướng "sáng sớm nắng chiều mưa, tối thức dậy trời sáng", làm chuyện gì cũng vậy phải có niềm đam mê, động lực để phấn đấu để làm, đạt được mục đích gì đó. Nhưng nếu mình có niềm đam mê, tâm huyết mà mình lại không có kiến thức chút nào về "món ăn" mà mình đang sắp thực hiện thì việc này gây ra thảm họa cho mình.

Chẳng qua là có người nhờ tôi giúp đỡ nhưng trong thời gian đó, tôi vừa bận hướng dẫn tập huấn nội bộ cho các anh em khác vừa liên hoan cùng anh em (ngày nào cũng có "show nhậu") nên cũng không ngó ngàng gì đến và điều thứ 2 là tôi không thật sự thành thạo FreeBSD hay các dòng liên quan đến BSD chẳng hạn OpenBSD nên gần như kế hoạch "chìm xuồng", người này yêu cầu tôi cấu hình quá đơn giản MySQL Master-Slave Replication , nếu đây là Redhat,Centos thì tôi sẽ nhận lời và giúp nhiệt tình mặc dù rất bận trong thời điểm đó vì Redhat/Centos tôi làm việc với nó khá lâu và triển khai cũng nhiều điểm nhưng với FreeBSD thì kiến thức chỉ hoàn toàn ...nhớ nhớ theo trí nhớ cũ của mình . Chẳng còn đường nào khác, ngoài con đường phải bắt đầu lại từ đầu mà thôi

Người này lại yêu cầu rất gấp dường như hôm đó là chủ nhật thì yêu cầu thứ 3 phải xong toàn bộ , cuối cùng tôi quyết định không nên "chơi" theo hướng tự mò thay vì bắt buộc mình phải làm quen, tiếp cận với nó trước rồi sau đó hãy quyết định vấn đề khác sau. Không biết có "độc giả" nào đang đọc vấn đề này có đồng suy nghĩ và cảm nhận chung với tôi ko vậy nhĩ ?

Đến hôm nay tôi thong thả, thư giản được 1 chút thì tôi mới bắt đầu cài đặt FreeBSD để tìm hiểu, nghiên cứu phục vụ cho việc học tập của tôi, tôi cố gắng ghi lại, thu thập những kiến thức xung quanh về nó càng nhiều càng tốt.

My Nokia Tool

2011-11-14T08:56:00.004+07:00

Nếu bạn lở quên mất mật khẩu trên dòng điện thoại Nokia thì có thể dùng công cụ sau My Nokia Tool để tìm lại mật khẩu đã quên, tuy không thể thực hiện được việc dò tìm mật khẩu của các dòng máy điện thoại Nokia một cách chính xác nhưng vẫn thực hiện 1 số loại máy điện thoại Nokia

Cần cài đặt Nokia Suite trước, sau khi cài đặt nó xong trên thanh system tray của bên Windows tắt bỏ biểu tượng của nó đi.
Chỉ cần nhấn nút Connect

How to stop and reset/clear MySQL replication

2011-11-13T20:32:00.001+07:00

This is a quick article that describes how to reset/delete/disable/clear MySQL replication in master-master or master-slave replication.

For each server that you wish to reset/clear MySQL replication on, do the following:

1. Enter MySQL prompt and run the following commands:

mysql> STOP SLAVE; CHANGE MASTER TO MASTER_HOST=''; RESET SLAVE;

2. Remove replication user(s). In this example, we remove replication user “replicator”:

 mysql> use mysql;  mysql> delete from user where User="replicator";  mysql> flush privileges;

3. Exit MySQL prompt and open up /etc/my.cnf – remove any reference to replication (eg: replicate-* master-* etc)

# vim /etc/my.cnf

4. Lastly, restart your MySQL instance:

# /etc/init.d/mysqld restart

How To Setup MySQL Replication On CentOS/RHEL/Fedora Linux

2011-11-13T20:24:00.003+07:00

MySQL is a open source relational database management system (RDBMS). It allows user to create a relational database structure on a web-server in order to store data or automate procedures. MySQL is free and released under GNU (General Public License).

MySQL Replication enables data from one MySQL database server (the master) to be replicated to one or more MySQL database servers (the slaves). Replication is asynchronous - slaves need not be connected permanently to receive updates from the master. This means that updates can occur over long-distance connections and even over temporary.

This tutorial will guide you on how to set up database replication in MySQL. MySQL replication allows you to have an exact copy of a database from a master server on a second slave server, and all updates to the master server database are immediately replicated to the slave server databases so both servers databases are in sync. This is not a backup policy because an accidentally issued DELETE command will also be carried out on the slave, but replication will help protect against loss of data due to hardware failures.

How To Setup MySQL Replication On CentOS/RHEL/Fedora Linux

First we required following things to setup MySQL Replication:

Master MySQL Server IP: 192.168.1.25
Slave MySQL Server IP: 192.168.1.24
MySQL Data Path: /var/lib/mysql
MySQL Slave User Name: slave_user

MySQL Master Setup

1. On Master MySQL Server open file called my.cnf file.

[root@ravisaive]# vi /etc/my.cnf

2. Add below lines to your my.cnf file and save.
[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
user=mysql
server-id = 1
relay-log = /var/lib/mysql/mysql-relay-bin
relay-log-index = /var/lib/mysql/var/mysql-relay-bin.index
log-error = /var/lib/mysql/mysql.err
master-info-file = /var/lib/mysql/mysql-master.info
relay-log-info-file = /var/lib/mysql/mysql-relay-log.info
log-bin = /var/lib/mysql/mysql-bin

3. Restart MySQL server with below command to load changes.

[root@ravisaive ~]# service mysqld restart Stopping mysqld:                                           [  OK  ] Starting mysqld:                                           [  OK  ]

MySQL Slave Setup

1. On Slave MySQL Server open file called my.cnf file.

[root@ravisaive]# vi /etc/my.cnf

2. Add below lines to your my.cnf file and save.

[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
user=mysql
server-id = 2
relay-log = /var/lib/mysql/mysql-relay-bin
relay-log-index = /var/lib/mysql/var/mysql-relay-bin.index
log-error = /var/lib/mysql/mysql.err
master-info-file = /var/lib/mysql/mysql-master.info
relay-log-info-file = /var/lib/mysql/mysql-relay-log.info
log-bin = /var/lib/mysql/mysql-bin

3. Restart MySQL server with below command to load changes.

[root@ravisaive ~]# service mysqld restart Stopping mysqld:                                           [  OK  ] Starting mysqld:                                           [  OK  ]

MySQL Master Setup

1. Create slave user and grant permission for the MySQL Replication.

mysql -u root -p

2. Now stop slave with below command.

mysql> STOP SLAVE;

3. Grant privileges to Slave User.

mysql> GRANT REPLICATION SLAVE ON *.* TO 'slave_user'@'192.168.1.24' IDENTIFIED BY 'slave_password';

4. Flush privileges to load changes.

mysql> FLUSH PRIVILEGES;

5. Dump all databases to import on Slave MySQL.

mysqldump -u root --all-databases --single-transaction --master-data=1 > masterdump.sql

6. Now upload dump file to slave server. Replace ravisaive with your login name and IP of your slave server.

[root@ravisaive]# scp masterdump.sql ravisaive@192.168.1.24:/path-location/

MySQL Slave Setup

1. Import all databases on Slave MySQl Server.

mysql -u root -p < masterdump.sql

2. Now we will set the slave to read from the master server.

mysql> CHANGE MASTER TO MASTER_HOST='192.168.1.24', MASTER_USER='slaveuser', MASTER_PASSWORD='slavepw';

3. Start the slave.

mysql> start slave;

4. Now check the status of the slave.

mysql> show slave status\G

5. You are Done!

Note: The last line shows you how many seconds its behind the master. Don’t worry if it doesn’t say 0, the number should be going down over time until it catches up with master. If it shows NULL value. then it could be that slave is not started.

CentOS MySQL 5 Database Replication with SSL Encryption

2011-11-13T20:14:00.000+07:00

Here we go:
Step 1. Install MySQL 5 on master server (server A) and slave server (server B)
# yum install mysql mysql-devel mysql-server

Step 2. Create system startup
# chkconfig –levels 235 mysqld on
# /etc/init.d/mysqld start

Step 3. Create MySQL root password on master server (server A)
# mysqladmin –u root password
# mysqladmin –h server-a.domain –u root password

Step 4. Create MySQL root password on slave server (server B)
# mysqladmin –u root password
# mysqladmin –h server-b.domain –u root password

Step 5. Login to MySQL server on master server (server A) and slave server (server B) to check if both server
SSL support
# mysql –u root –p
mysql> show variables like ‘%ssl%’;

Step 6. If you see have_openssl, have ssl, ssl_ca, ssl_capath, ssl_cert, ssl_cipher, ssl_key then the MySQL is SSL support but value is disabled

Step 7. So we are going to enable SSL (on both server)
# vi /etc/my.cnf

Add a line with “ssl” under [mysqld] section (Just add, leave other as it is)

[mysqld]
ssl

Step 8. Restart MySQL service (on both server)
# /etc/init.d/mysqld restart

Step 9. Check again using step 5 and now value should show enabled (on both server)

Step 10. Now, we focus on master server (server A) only
# mkdir /var/log/mysql
# chown mysql:mysql /var/log/mysql

Step 11. Create certificates

# mkdir -p /etc/mysql/certs && cd /etc/mysql/certs

# openssl genrsa 2048 > ca-key.pem

# openssl req -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem

# openssl req -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem

# openssl x509 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -
set_serial 01 > server-cert.pem

# openssl req -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem > client-req.pem

# openssl x509 -req -in client-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial
01 > client-cert.pem

Step 12. Transfer ca-cert.pem, client-cert.pem and client-key.pem to slave server (server B) in directory
/etc/mysql/certs (via SCP or any method you prefer)

Step 13. Configure my.cnf in master server (server A)
# vi /etc/my.cnf
Add the line under [mysqld] section (Just add)
ssl-ca=/etc/mysql/certs/ca-cert.pem
ssl-cert=/etc/mysql/certs/server-cert.pem
ssl-key=/etc/mysq/certs/server-key.pem

Step 14. Restart MySQL service
# /etc/init.d/mysqld restart

Step 15. Create user for replication
# mysql –u root –p
mysql> GRANT REPLICATION SLAVE ON *.* TO 'slave_user'@'%' IDENTIFIED BY 'slave_password'
REQUIRE SSL;
mysql> FLUSH PRIVILEGES;
mysql> quit;

Step 16. Configure master server A my.cnf (this example we will replicate database: testdb)
# vi /etc/my.cnf
Add the following under [mysqld] section
server-id = 1
log-bin = /var/log/mysql/mysql-bin.log
expire_logs_days = 10
max_binlog_size = 100M
binlog_do_db = testdb

Restart MySQL service
# /etc/init.d/mysqld restart

Now we want to lock testdb on master server (server A)
# mysql –u root –p
mysql> USE testdb;
mysql> FLUSH TABLES WITH READ LOCK;
mysql> SHOW MASTER STATUS;

Please write down the output as we will need them later

Step 17. Don’t leave the MySQL shell and open second command line window to create a database dumb for
master server (server A) and transfer it to slave server (server B) (via SCP or any method you prefer)

Step 18. Create a database dump in master server (server A)
# cd /tmp
# mysqldump –u root –p --opt testdb > testdb_dump.sql

Step 19. Transfer the testdb_dump.sql to slave server (server B) /tmp

Step 20. Close the second command line windows and back to first one
mysql> UNLOCK TABLES;
mysql> quit;

Step 21. Now we focus on slave server (server B) only

Step 22. Configure slave server my.cnf
# vi /etc/my.cnf
Add the following under [mysqld] section
server-id = 2
master-connect-retry = 60
replicate-do-db = testdb

Step 23. Restart MySQL service
# /etc/init.d/mysqld restart

Step 24. Create empty database: testdb on slave server (server B)
# mysql –u root –p
mysql> CREATE DATABASE testdb;
mysql> quit;

Step 25. Import the SQL dump testdb_dump.sql
# /usr/bin/mysqladmin –user=root –password= stop-slave
# cd /tmp
# mysql –u root –p testdb < testdb_dump.sql

Step 26. Connect to MySQL shell. We need the value that we wrote down on step 15 and 16
# mysql –u root –p
mysql> CHANGE MASTER TO MASTER_HOST=’’, MASTER_USER='slave_user',
MASTER_PASSWORD='slave_password', MASTER_LOG_FILE='mysql-bin.000001',
MASTER_LOG_POS=3096416, MASTER_SSL=1, MASTER_SSL_CA = '/etc/mysql/certs/ca-cert.pem',
MASTER_SSL_CERT = '/etc/mysql/certs/client-cert.pem', MASTER_SSL_KEY = '/etc/mysql/certs/client-
key.pem';

mysql> START SLAVE;
Check slave status

mysql> SHOW SLAVE STATUS \G

Step 27. It is important both Slave_IO_Running and Slave_SQL_Running have value Yes.

Step 28. That’s it. Done

Step 29. Whenever or whatever testdb is update on master server (server A), all changes will replicate to
slave server (server B)

Mysql Master Master Replication on CentOS 5

2011-11-13T20:11:00.001+07:00

This tutorial describes how to set up a MySQL master-master replication. This is usefull is one of the servers drops down, the other can take over without any data loss, it will also be used as slave for the live one.

Step 1:
Install mysql on master 1 (slave 2) and slave 1 (master2).
#yum install mysql-server mysql

Master 1 (slave 2) ip: 10.0.0.1
Slave 1 (master 2) ip: 10.0.0.2

Step 2:
On Master 1, change /etc/my.cnf as follow:

[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
old_passwords=1
user=mysql
log-bin=mysql-bin
server-id=1

[mysqld_safe]
log-error=/var/log/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid

Step 3:
Logon to mysql on master 1 (in our case the server with ip 10.0.0.1):
mysql> grant replication slave on *.* to ‘repl‘@’%’ identified by ‘WhatYouwant‘;

After this restart the mysql on master 1

We used the % but you can set here also 10.0.0.2 for a more secure server!

Step 4:
On slave 1 (in our case the server with ip 10.0.0.2) edit /etc/my.cnf as follow:

[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
user=mysql
old_passwords=1
server-id=2

[mysqld_safe]
log-error=/var/log/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid

Step 6:

Logon to mysql on slave 1 and use the infomation from step 5:
mysql>CHANGE MASTER TO MASTER_HOST=’10.0.0.1′, MASTER_USER=’repl‘, MASTER_PASSWORD=’WhatYouWant‘, MASTER_LOG_FILE=’mysql-bin.000007‘, MASTER_LOG_POS=2013;
mysql>start slave;
mysql>show slave status\G

*************************** 1. row ***************************
Slave_IO_State: Waiting for master to send event
Master_Host: 10.0.0.1
Master_User: repl
Master_Port: 3306
Connect_Retry: 60
Master_Log_File: mysql-bin.000007
Read_Master_Log_Pos: 2013
Relay_Log_File: mysqld-relay-bin.000003
Relay_Log_Pos: 2150
Relay_Master_Log_File: mysql-bin.000007
Slave_IO_Running: Yes
Slave_SQL_Running: Yes
Replicate_Do_DB:
Replicate_Ignore_DB:
Replicate_Do_Table:
Replicate_Ignore_Table:
Replicate_Wild_Do_Table:
Replicate_Wild_Ignore_Table:
Last_Errno: 0
Last_Error:
Skip_Counter: 0
Exec_Master_Log_Pos: 2013
Relay_Log_Space: 2150
Until_Condition: None
Until_Log_File:
Until_Log_Pos: 0
Master_SSL_Allowed: No
Master_SSL_CA_File:
Master_SSL_CA_Path:
Master_SSL_Cert:
Master_SSL_Cipher:
Master_SSL_Key:
Seconds_Behind_Master: 0
1 row in set (0.00 sec)

Step 7:
Now we going to make slave 1 -> master 2 and master 1 -> slave 2 so the master-master replication will work!
On slave 1 (ip 10.0.0.2) we add a rule to /etc/my.cnf:
[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
user=mysql
old_passwords=1
server-id=2
log-bin

[mysqld_safe]
log-error=/var/log/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid

Step 8:
On slave 1 (ip 10.0.0.2 in our example) create the replication in mysql:
mysql> grant replication slave on *.* to ‘repl’@'%’ identified by ‘WhatYouWant‘;

You can change the % to be more safe in 10.0.0.1!

Step 9:
On master 1 (ip 10.0.0.1 in our example) add the user to mysql (use information from step 8):

mysql>CHANGE MASTER TO MASTER_HOST=’10.0.0.2′, MASTER_USER=’repl’, MASTER_PASSWORD=’WhatYouWant‘, MASTER_LOG_FILE=’mysqld-bin.000005‘, MASTER_LOG_POS=314;

Step 10:
Restart both mysql services on master 1 (slave 2) and slave 1 (master 2).

On master 1:
mysql> start slave;

On slave 1:
mysql> show master status;

On master 1:
mysql> show slave status\G

Configure MySQL Replication in FreeBSD

2011-11-13T16:56:00.001+07:00

This tutorial shows you step by step configuration process for a Master/Slave MySQL Replication.

We will install FreeBSD and MySQL on two machines.
Let's say one of them is 10.0.0.76 and the other 10.0.0.77.

Step 1. Install FreeBSD and MySQL
---------------------------------------
We will install on both machines FreeBSD and MySQL. We'll also install Midnight commander, for ease of configuration which will install Perl that might be needed later.

After installing FreeBSD we will build from ports MySQL:

cd /usr/ports/databases/mysql51-server
make install clean

We will repeat this process for second server.

Step 2. Configure MySQL Master
---------------------------------------
On 10.0.0.76 (our master) we add in /etc/rc.conf the following line:

mysql_enable="YES"

Then we start mysql server:

/usr/local/etc/rc.d/mysql-server start

We add a root password for our MySQL server (please note that this password is different from FreeBSD's system root account, and is specific only to mysql):

mysqladmin password mypass

(where mypass is our password)

To change root password on a mysql server use:

mysqladmin -u root -p password newpass

If you get an error when issuing previous command: mysqladmin: Command not found. then probably you forgot to run rehash after you've installed mysql.

Now we will grant replicate mysql account to use replication on master:

mysql -u root -p
(we input mypass)

and then at mysql client command prompt we run:

mysql> grant replication slave, replication client on *.* to 'replicate'@'%' identified by 'mypass';

If we want the grant to work only for systems from our subnet, lets's say 10.0.0.0/24 we could issue instead:

mysql> grant replication slave, replication client on *.* to 'replicate'@'10.0.0.0/255.255.255.0' identified by 'mypass';

Then we check if we have that grant with:

mysql> show grants for replicate;

We now must copy a my.cnf file to /usr/local/etc:

cp /usr/local/share/mysql/my-medium.cnf /usr/local/etc/my.cnf

We will edit /usr/local/etc/my.cnf file and add there at section [mysqld] the following 2 lines:

# [mysqld]
log-bin
server-id=1

Then we restart MySQL Server:

/usr/local/etc/rc.d/mysql-server restart

After that master is configured. To check the status of master we use mysql client and we run:

mysql> show master status;

We will get something like this:
+------------------+----------+--------------+------------------+
| File | Position | Binlog_Do_DB | Binlog_Ignore_DB |
+------------------+----------+--------------+------------------+
| mysql-bin.000001 | 106 | | |
+------------------+----------+--------------+------------------+
1 row in set (0.00 sec)

Step 3. Configure MySQL Slave
-----------------------------------
We repeat commands from Step 2 until the part where we edit my.cnf file.

So we will also add here the same grant rights:

grant replication slave, replication client on *.* to 'replicate'@'%' identified by 'mypass';

Then we edit /etc/my.cnf file:

cp /usr/local/share/mysql/my-medium.cnf /etc/my.cnf

We edit /etc/my.cnf file and add at section [mysqld]:

# [mysqld]
server-id=2
master-host=10.0.0.76
master-user=replicate
master-password=mypass
master-port=3306

Then we restart MySQL server on Slave:

/usr/local/etc/rc.d/mysql-server restart

Step 4. Copy databases from master to slave
----------------------------------------------------
Dump databases with mysqldump on master and import them on slave. Then start the slave.

Problems that might appear
--------------------------------
a. Changing IP of master
If you change master or slave ip from my.cnf you might notice that when you start mysql on both master and slave systems slave will try to connect to the old IP of master. To solve this problem you must stop mysql on slave and then:
- delete master.info file
- delete relay-log.info
- delete any binary relay log *relay-bin*

b. Solve an master/slave error
If for some reason slave is not in sync with master and querries are not executed on slave because of an error it is easy to solve the problem by skipping querries with error on slave:

mysql> stop slave;
mysql> set global sql_slave_skip_counter = 1;
mysql> start slave;

If you have multiple errors you can use bigger values for counter depending on the number of querry with errors you have.

Replicating only some databases
-------------------------------------
It is possible to replicate only some databases from master. To do that you have to add in my.cnf the following lines that will ignore mysql database and will only replicate database1 and database2.

On master:
binlog-to-db = database1
binlog-to-db = database2
binlog-ignore-db = mysql

On Slave:
replicate-to-db = database1
replicate-to-db = database2

MySQL Replication Tips
------------------------
If replication is not working look for a .err file usualy located in /var/db/mysql and you will probably identify the problem.

To check if replication is working on slave use:
mysql> show slave status;

or(better formatted):
mysql> show slave status\G;

If you use mysql in jail edit /etc/hosts and add there:
127.0.0.1 sqlhostname
so the mysql server will use hostname instead of 127.0.0.1 which is not working in jail environment.

If you put show-slave-auth-info in my.cnf file from master you will be able to see auth info from slaves.

Use command master reset; from mysql client shell to reset the master.

To clear log run flush master.

To see querries and other commands from mysql console use: show processlist;

To see InnoDB status run from mysql console: show innodb status; This is useful for benchmark/optimisation.

EVC : Flexible VLAN Tag Rewrite

2011-09-04T23:04:00.003+07:00

Each service instance can change the existing VLAN tag to be a new VLAN tag by adding, removing, or translating one or two VLAN tags. Flexible VLAN tag rewrite includes 3 main operations :

1) pop (remove an existing tag)
2) push (add a new tag)
3) translate (change one or two tags to another one or two tags) - this can be seen as a combination of pop and push operations

Theoretically, any existing combination of one or two VLAN tags can be changed to any new combination of one or two VLAN tags by just using a simple (as soon as you get the idea) line of configuration. Practically, there are some limitations what you'll see below.

These are the relevant CLI options under the service instance (you need first to have configured flexible frame matching for these to appear) :

7600(config-if-srv)#rewrite ingress tag ?
pop Pop the tag
push Rewrite Operation of push
translate Translate Tag

Pop operation
7600(config-if-srv)#rewrite ingress tag pop ?
1 Pop the outermost tag
2 Pop two outermost tags

! remove one tag
7600(config-if-srv)#rewrite ingress tag pop 1 ?
symmetric Tag egress packets as specified in encapsulation

! remove two tags
7600(config-if-srv)#rewrite ingress tag pop 2 ?
symmetric Tag egress packets as specified in encapsulation

Push operation
7600(config-if-srv)#rewrite ingress tag push ?
dot1q Push dot1q tag

! add one tag
7600(config-if-srv)#rewrite ingress tag push dot1q ?
<1-4094> VLAN id

7600(config-if-srv)#rewrite ingress tag push dot1q 20 ?
second-dot1q Push second dot1q tag
symmetric Tag egress packets as specified in encapsulation

! add two tags
7600(config-if-srv)#rewrite ingress tag push dot1q 20 second-dot1q ?
<1-4094> VLAN id

7600(config-if-srv)#rewrite ingress tag push dot1q 20 second-dot1q 30 ?
symmetric Tag egress packets as specified in encapsulation

Translate operation
7600(config-if-srv)#rewrite ingress tag translate ?
1-to-1 Translate 1-to-1
1-to-2 Translate 1-to-2
2-to-1 Translate 2-to-1
2-to-2 Translate 2-to-2

! remove one tag and add one new tag
7600(config-if-srv)#rewrite ingress tag translate 1-to-1 dot1q 20 ?
symmetric Tag egress packets as specified in encapsulation

! remove one tag and add two new tags
7600(config-if-srv)#rewrite ingress tag translate 1-to-2 dot1q 20 second-dot1q 30 ?
symmetric Tag egress packets as specified in encapsulation

! remove two tags and add one new tag
7600(config-if-srv)#rewrite ingress tag translate 2-to-1 dot1q 20 ?
symmetric Tag egress packets as specified in encapsulation

! remove two tags and add two new tags
7600(config-if-srv)#rewrite ingress tag translate 2-to-2 dot1q 20 second-dot1q 30 ?
symmetric Tag egress packets as specified in encapsulation

Examples
interface GigabitEthernet1/2
!
service instance 10 ethernet
encapsulation dot1q 10
! remove one tag (10) on ingress
! add one tag (10) on egress
rewrite ingress tag pop 1 symmetric
!
service instance 20 ethernet
encapsulation dot1q 10 second-dot1q 20
! remove two tags (10/20) on ingress
! add two tags (10/20) on egress
rewrite ingress tag pop 2 symmetric
!
service instance 30 ethernet
encapsulation dot1q 30
! add one tag (300) on ingress
! remove one tag (300) on egress (if the resulting frame doesn't match tag 30, it's dropped)
rewrite ingress tag push dot1q 300 symmetric
!
service instance 40 ethernet
encapsulation dot1q 40
! add two tags (400/410) on ingress
! remove two tags (400/410) on egress (if the resulting frame doesn't match tag 40, it's dropped)
rewrite ingress tag push dot1q 400 second-dot1q 410 symmetric
!
service instance 50 ethernet
encapsulation dot1q 50 second-dot1q 1-4094
! remove one tag (50) and add one new tag (500) on ingress
! remove one tag (500) and add one new tag (50) on egress
! the inner tags (1-4094) remain unchanged
rewrite ingress tag translate 1-to-1 dot1q 500 symmetric
!
service instance 60 ethernet
encapsulation dot1q 60
! remove one tag (60) and add two new tags (600/610) on ingress
! remove two tags (600/610) and add one new tag (60) on egress
rewrite ingress tag translate 1-to-2 dot1q 600 second-dot1q 610 symmetric
!
service instance 70 ethernet
encapsulation dot1q 70 second-dot1q 100
! remove two tags (70/100) and add one new tag (700) on ingress
! remove one tag (700) and add two new tags (70/100) on egress
rewrite ingress tag translate 2-to-1 dot1q 700 symmetric
!
service instance 80 ethernet
encapsulation dot1q 80 second-dot1q 200
! remove two tags (80/200) and add two new tags (800/810) on ingress
! remove two tags (800/810) and add two new tags (80/200) on egress
rewrite ingress tag translate 2-to-2 dot1q 800 second-dot1q 810 symmetric

There are some important things to keep in mind when configuring Flexible VLAN Tag Rewrite.

1) You have to use the "symmetric" keyword, although the CLI might not give you this impression:
7600(config-if-srv)#rewrite ingress tag pop 1 ?
symmetric Tag egress packets as specified in encapsulation

7600(config-if-srv)#rewrite ingress tag pop 1
Configuration not accepted by the platform
7600(config-if-srv)#rewrite ingress tag pop 1 symmetric
7600(config-if-srv)#

Generally rewrite configurations should always be symmetric. Whatever rewrites are on the ingress direction, you should have the reverse rewrites on the egress direction for the same service instance configuration. So, if you pop the outer VLAN tag on ingress direction, then you need to push the original outer VLAN tag back on the egress direction for that same service instance. All this is done automatically by the system when using the "symmetric" keyword. Have a look at the examples included above and check the comments to see what operations are happening on ingress and egress.

2) Due to the mandatory symmetry, some operations can only be applied to a unique tag matching service instance (so they are not supported for VLAN range configurations) or cannot be applied at all.

i.e.
You cannot translate a range of vlans
7600(config-if-srv)#encapsulation dot1q 10 - 20
7600(config-if-srv)#rewrite ingress tag translate 1-to-1 dot1q 30 symmetric
Encapsulation change is not logically valid.

You cannot pop a range of vlans
7600(config-if-srv)#encapsulation dot1q 10 second-dot1q 20,30
7600(config-if-srv)#rewrite ingress tag pop 2 symmetric
Encapsulation change is not logically valid.

If supposedly you could do the above, how could the opposite be done? i.e. if the system removed the tags from frames matching inner vlans 20,30 on the ingress, how would the system know on which frames to add 20 and on which to add 30 on the egress?

Of course you can push a new vlan over a range of vlans.
7600(config-if-srv)#encapsulation dot1q 10-20
7600(config-if-srv)#rewrite ingress tag push dot1q 30 symmetric

You can only push one or two tags for "encapsulation untagged" and "encapsulation default". No pop or translate operations are supported.

As a rule you can think of "you cannot pop or translate something that is not specifically defined as a single unit". Just imagine what would happen in the opposite direction and everything should become clear.

Keep in mind that some configurations might be accepted, but they won't work.

3) You cannot have more than one VLAN tag rewrite configuration under a single service instance. That means you can have either none or one. If there is no VLAN tag rewrite configuration, the existing VLAN tag(s) will be kept unchanged. If you need more than one, you might want to try to create more service instances using more specific frame matching criteria on each one. The translate operation might also seem useful in such conditions.

4) You need to be extra careful when using Flexible VLAN Tag Rewrite and Bridge Domains. Flooded (broadcast/multicast/unknown unicast) packets will get dropped by the service instances that do not agree on the egress tag. Although all service instances under a common bridge domain will get the flooded frame, there is an internal validation mechanism that checks whether the result of egress rewrite (based on the opposite of ingress rewrite) will allow the flooded frame to pass. The push operations under the examples show this behavior.

5) To have an EVC based port act like a L2 802.1q trunk port, you need to remove the outer tag manually and then put it under a bridge domain. On normal L2 switchports this is done automatically by the system.

So this
interface Gi1/1
switchport
switchport mode trunk
switchport trunk allowed vlan 10

is equivalent to this
interface Gi1/1
service instance 10 ethernet
encapsulation dot1q 10
rewrite ingress tag pop 1 symmetric
bridge-domain 10

Note: The above examples were done on a 7600 with ES+ cards running 12.2(33)SRB IOS.

Source
http://ccie-in-3-months.blogspot.com/2009/06/evc-flexible-frame-matching.html

Điều chỉnh trang thông báo lỗi như HVA bằng ngnix

2011-08-12T12:50:00.006+07:00

Tôi rất thích nều màu đen của HVA forum nhân tiện đang làm trang thông báo lỗi cho phần mềm CMS (Customer Management System) được viết bằng PHP nên tranh thủ copy trang thông báo lỗi của HVA làm lại cho mình.

Trong tập tin cấu hình của Nginx ta thêm
error_page 500 502 503 504 /50x.html;
location = /50x.html {

Sau đó ta upload tập tin thongbaoloi.html này lên server.

Tác phẩm hoàn chỉnh
Anh Diêu xem qua vui lòng bỏ qua cho thằng em mang tội "chôm sản phẩm" của anh vậy :D

Apache + nginx + mod_rpaf trên Centos

2011-08-12T10:46:00.004+07:00

Đang thử nghiệm và làm quen với Varnish Cache thay thế cho Squid để hệ thống chạy nhanh...như gió hơn so với chỉ sử dụng Apache trên 1 hệ thống :D ý tưởng ban đầu , dự định của tôi sẽ kết hợp giữa Varnish cache, Nginx và Apache trên cùng 1 máy chủ phục vụ cho phần mềm CMS sắp đến.

Qua bài viết trên blog cũng chưa thấy có bài viết này,kiểm tra trong một đống tài liệu còn lưu trữ trên máy tính của tôi cũng lôi ra được bản tip này để gởi cùng "bạn đọc". Apache làm backend còn nginx làm front end vậy.

# rpm -ivh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-4.noarch.rpm
# vi /etc/yum.repos.d/epel.repo
Thay đổi dòng enable=0 thành enable=1 sau đó thì yum install nginx

Sau khi cài đặt nginx xong thì thay đổi tập tin cấu hình của nginx mặc định nó nằm ở
/etc/nginx/nginx.conf

user nginx;

worker_processes 1;
pid /var/run/nginx.pid;
worker_rlimit_nofile 80000;
events {
worker_connections 2048;
use epoll;
}

http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';

access_log /var/log/nginx/access.log main;
sendfile on;
tcp_nopush on;
tcp_nodelay on;

server {
listen 192.168.254.200:80;
server_name server.centos.hva;
server_name_in_redirect off;
access_log /var/log/nginx/host.access.log main;
location / {
proxy_pass http://127.0.0.1:8080/;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 10m;
}

location ~* ^.+\.(jpg|jpeg|gif|png|ico|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|txt|tar|wav|bmp|rtf|js)$ {
root /home/www/centos.hva;
}

location ~ /\.ht {
deny all;
}
}

}

Sau đó ta cài đặt mod_rpaf
# rpm -ihv http://centos.alt.ru/repository/centos/5/i386/centalt-release-5-3.noarch.rpm

# yum install mod_rpaf

# vi /etc/httpd/conf/httpd.conf

NameVirtualHost 127.0.0.1:8080

ServerAdmin tranhuuphuoc@example.com
DocumentRoot /home/www/centos.hva/
ServerName server.centos.hva
ErrorLog logs/server.centos.hva-error_log
CustomLog logs/server.centos.hva-access_log common

RPAFenable On
RPAFsethostname Off
RPAFproxy_ips 127.0.0.1 192.168.254.200
RPAFheader X-Real-IP

Tìm mấy dòng LoadModule để thêm vào dòng sau
LoadModule rpaf_module modules/mod_rpaf-2.0.so

Tạm thời là như vậy, sẽ điều chỉnh bài viết này thật sớm và "nhúng" thêm varnish vào.

Introduction to Varnish

2011-08-10T23:15:00.003+07:00

Varnish works as a high-performance and heavily threaded HTTP accelerator using
virtual memory to cache dynamic and content-heavy web-sites. It was designed to
reduce number of system calls and competition between threads to a minimum.

* Packages
- varnish
- varnish-libs
- gcc

* Varnish configuration - backend and inbound request configuration.

Varnish configuration mechanism is VCL - Varnish Configuration Language.
Loaded VCL script is translated into C, compiled as a shared object, and linked
directly into the accelerator. The VCL files are divided into subroutines that
are executed at different times of processed request.

File: /etc/varnish/default.vcl
backend default {
.host = "127.0.0.1";
.port = "8080";
}

# Subroutine called at the beginning of a request that decides whether or not
# to serve the request.
sub vcl_recv {
# Grace period.
set req.grace = 5m;

# Add ping url to test Varnish status.
if (req.request == "GET" && req.url ~ "/ping") {
error 200 "OK";
}

# Exclude Munin from the cache.
if (req.url ~ "^/munin/") {
return (pass);
}

# Send request to the specific backend.
if (req.url ~ "^/bb2/") {
set req.backend = default;
}

# Look for images in the cache and unset cookies - if the client sends
# a Cookie header, Varnish will bypass the cache and go directly to the
# backend.
if (req.url ~ "\.(png|gif|jpg|ico|jpeg|swf|css|js)$") {
unset req.http.cookie;
return (lookup);
}

return (lookup);
}

File: /etc/sysconfig/varnish
DAEMON_OPTS="-a :80 \
-T localhost:6082 \
-f /etc/varnish/default.vcl \
-u varnish -g varnish \
-s file,/var/lib/varnish/varnish_storage.bin,128M"

* Testing Varnish from the command line.

shell> varnishd -f /etc/varnish/default.vcl -u varnish -g varnish \
-s malloc,128M -T 127.0.0.1:6082 -a 0.0.0.0:6081

- Display HTTP Headers
shell> curl -I http://127.0.0.1:6081/
HTTP/1.1 200 OK
Server: Apache/2.2.3 (CentOS)
X-Powered-By: PHP/5.1.6
X-Pingback: http://173.203.217.6/xmlrpc.php
Content-Type: text/html; charset=UTF-8
Content-Length: 7652
Date: Mon, 26 Jul 2010 21:18:12 GMT
X-Varnish: 1666635219
Age: 3
Via: 1.1 varnish
Connection: keep-alive

- Display generated C code
shell> varnishd -C -f /etc/varnish/default.vcl

* Apache HTTP server configuration.

File: /etc/httpd/conf/httpd.conf
Listen 127.0.0.1:8080

* Starting Varnish as a daemon.

shell> chkconfig varnish on
shell> service varnish start

* Monitoring.

- Display and write Varnish logs to a file.
shell> service varnishlog start

Log file: /var/log/varnish/varnish.log

- Display and write Varnish logs to a file in Apache / NCSA combined log
format.
shell> service varnishncsa start

Log file: /var/log/varnish/varnishncsa.log

Note: All log data is stored in shared memory that allows to reduce number
of system calls to minimum. All logging tasks are delegated to a separate
application.

- Display Varnish logs.
shell> varnishlog

- Display traffic between Varnish and the backend servers - optimize cache hit
rates.
shell> varnishlog -b

- Display traffic between Varnish and clients.
shell> varnishlog -c

- Display Varnish log entry ranking.
shell> varnishtop
shell> varnishtop -i rxurl

- Display Varnish request histogram.
shell> varnishhist

- Display Varnish statistics.
shell> varnishstat

- Connect to the management interface - control running Varnish instance.
shell> telnet 127.0.0.1 6082
shell> varnishadm -T 127.0.0.1:6082 help

shell> varnishadm -T 127.0.0.1:6082 vcl.load vcl_recv /etc/varnish/default.vcl

* Configuring Munin a network monitoring tool.

Munin is a networked resource monitoring tool that can regularly poll
information from the varnishstat tool and create Varnish web accelerator graphs.

Directory: /etc/munin/plugins

varnish_backend_traffic symlink to /usr/share/munin/plugins/varnish_
varnish_expunge symlink to /usr/share/munin/plugins/varnish_
varnish_hit_rate symlink to /usr/share/munin/plugins/varnish_
varnish_memory_usage symlink to /usr/share/munin/plugins/varnish_
varnish_objects symlink to /usr/share/munin/plugins/varnish_
varnish_request_rate symlink to /usr/share/munin/plugins/varnish_
varnish_threads symlink to /usr/share/munin/plugins/varnish_
varnish_transfer_rates symlink to /usr/share/munin/plugins/varnish_
varnish_uptime symlink to /usr/share/munin/plugins/varnish_

* Testing performance.

- Apache

shell> ab -n 32 -c 16 http://127.0.0.1:8080/
This is ApacheBench, Version 2.0.40-dev <$Revision: 1.146 $> apache-2.0
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Copyright 2006 The Apache Software Foundation, http://www.apache.org/

Benchmarking 127.0.0.1 (be patient).....done

Server Software: Apache/2.2.3
Server Hostname: 127.0.0.1
Server Port: 8080

Document Path: /
Document Length: 0 bytes

Concurrency Level: 16
Time taken for tests: 4.476072 seconds
Complete requests: 32
Failed requests: 0
Write errors: 0
Non-2xx responses: 32
Total transferred: 8928 bytes
HTML transferred: 0 bytes
Requests per second: 7.15 [#/sec] (mean)
Time per request: 2238.036 [ms] (mean)
Time per request: 139.877 [ms] (mean, across all concurrent requests)
Transfer rate: 1.79 [Kbytes/sec] received

Connection Times (ms)
min mean[+/-sd] median max
Connect: 0 0 0.7 0 1
Processing: 394 1142 615.2 1177 2936
Waiting: 394 1141 615.5 1177 2935
Total: 394 1143 615.4 1178 2936

Percentage of the requests served within a certain time (ms)
50% 1178
66% 1237
75% 1495
80% 1538
90% 1666
95% 2935
98% 2936
99% 2936
100% 2936 (longest request)

- Varnish

shell> ab -n 32 -c 16 http://127.0.0.1:80/
This is ApacheBench, Version 2.0.40-dev <$Revision: 1.146 $> apache-2.0
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Copyright 2006 The Apache Software Foundation, http://www.apache.org/

Benchmarking 127.0.0.1 (be patient).....done

Server Software: Apache/2.2.3
Server Hostname: 127.0.0.1
Server Port: 80

Document Path: /
Document Length: 358 bytes

Concurrency Level: 16
Time taken for tests: 0.160520 seconds
Complete requests: 32
Failed requests: 0
Write errors: 0
Non-2xx responses: 32
Total transferred: 24800 bytes
HTML transferred: 11456 bytes
Requests per second: 199.35 [#/sec] (mean)
Time per request: 80.260 [ms] (mean)
Time per request: 5.016 [ms] (mean, across all concurrent requests)
Transfer rate: 149.51 [Kbytes/sec] received

Connection Times (ms)
min mean[+/-sd] median max
Connect: 0 8 12.5 0 32
Processing: 20 59 21.2 59 99
Waiting: 19 57 22.3 58 99
Total: 33 67 19.0 69 106

Percentage of the requests served within a certain time (ms)
50% 69
66% 76
75% 82
80% 83
90% 88
95% 99
98% 106
99% 106
100% 106 (longest request)

* Optimizing and tuning Varnish configuration.

- Identify the most popular URLs.
shell> varnishtop -i txurl

- Write log entires including communication with a client.
shell> varnishlog -c -o /foo/bar

- Analyzing request headers.
shell> curl -I http://localhost/

- Review VCL configuration file.

File: /etc/varnish/default.vcl
sub vcl_recv {
# Drop all cookies send to Wordpress
unset req.http.cookie;
return (lookup);
}

# Subroutine called after a document has been retrieved from the backend.
sub vcl_fetch {
# Drop all cookies send to client
unset obj.http.set-cookie;
return (deliver);
}

- Testing new configuration.

shell> ab -n 32 -c 16 http://127.0.0.1:80/
This is ApacheBench, Version 2.0.40-dev <$Revision: 1.146 $> apache-2.0
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Copyright 2006 The Apache Software Foundation, http://www.apache.org/

Benchmarking 127.0.0.1 (be patient).....done

Server Software: Apache/2.2.3
Server Hostname: 127.0.0.1
Server Port: 80

Document Path: /
Document Length: 7652 bytes

Concurrency Level: 16
Time taken for tests: 0.4938 seconds
Complete requests: 32
Failed requests: 0
Write errors: 0
Total transferred: 254368 bytes
HTML transferred: 244864 bytes
Requests per second: 6480.36 [#/sec] (mean)
Time per request: 2.469 [ms] (mean)
Time per request: 0.154 [ms] (mean, across all concurrent requests)
Transfer rate: 50222.76 [Kbytes/sec] received

Connection Times (ms)
min mean[+/-sd] median max
Connect: 0 0 0.7 0 1
Processing: 0 1 0.8 1 2
Waiting: 0 0 0.3 0 1
Total: 1 1 0.9 2 2
WARNING: The median and mean for the total time are not within a normal
deviation
These results are probably not that reliable.

Percentage of the requests served within a certain time (ms)
50% 2
66% 2
75% 2
80% 2
90% 2
95% 2
98% 2
99% 2
100% 2 (longest request)

* References
- Wikipedia, Varnish, http://en.wikipedia.org/wiki/Varnish_%28software%29
- Varnish, http://varnish-cache.org/
- Varnish features explained, http://varnish-cache.org/wiki/VarnishFeatures
- Varnish Tutorial, http://varnish-cache.org/docs/tutorial/
- Varnish Configuration Language - VCL,
http://varnish-cache.org/docs/tutorial/vcl/
- Frequently asked questions about Varnish, http://varnish-cache.org/wiki/FAQ
- Varnish Software, http://www.varnish-software.com/

- VCL Examples, http://varnish-cache.org/wiki/VCLExamples
- Load balancing with Varnish, http://varnish-cache.org/wiki/LoadBalancing
- Compression support in Varnish,
http://varnish-cache.org/wiki/FAQ/Compression
- Preparing Varnish/Wordpress for a Slashdotting in 60 seconds or less,
http://varnish-cache.org/wiki/VarnishAndWordpress

- Planet Varnish, http://planet.varnish-cache.org/
- Varnish http accelerator, http://phk.freebsd.dk/pubs/varnish_tech.pdf
- Varnish - A State of the Art High-Performance Reverse Proxy,
http://www.oscon.com/oscon2009/public/schedule/detail/10433
- Using Varnish or VCL for webmasters,
http://varnish-cache.org/raw-attachment/wiki/VCLExamples/varnish_vcl.pdf
- Varnish performance tips on linux,
http://lists.varnish-cache.org/pipermail/varnish-misc/2008-April/001763.html
- Varnish Performance, http://varnish-cache.org/wiki/Performance
- Varnish VCL for UrbanMinistry.org - Tips and Tricks,
http://groups.drupal.org/node/63203
- Nginx, Varnish, HAProxy, and Thin/Lighttpd,
http://blog.hamzahkhan.com/?p=82
- Magento performance optimization with Varnish cache,
http://www.kalenyuk.com.ua/magento-performance-optimization-with-varnish-cache-47.html
- server setup with nginx, php5, fastcgi, varnish,
http://faruk.akgul.org/blog/entry/server-setup-with-nginx-php5-fastcgi-varnish
- Kristian Lyngstol's Blog, http://kristianlyng.wordpress.com/

- Varnish, Notes from the Architect,
http://varnish-cache.org/wiki/ArchitectNotes
- You're doing it wrong, http://queue.acm.org/detail.cfm?id=1814327

- EPEL software repository,
http://download.fedora.redhat.com/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm

Source :
http://www.c50k.com/varnish-cache.html

Linux kernel map

2011-08-10T07:29:00.001+07:00

Linux kernel map

Hòn Khoai ký sự

2011-08-08T19:30:00.015+07:00

Hòn Khoai là một hòn đảo nhỏ (bao gồm 5 hòn : Hòn Khoai, Hòn Sao, Hòn Đồi Mồi, Hòn Tương (có người gọi là Hòn rùa) , Hòn Đá lẽ trong đó Hòn Khoai là hòn lớn nhất) nằm cách cửa biển Khai Long hơn 10km, nằm cách cửa biển Ngọc Hiển hơn 20km. Có rất nhiều cửa biển để đi đến Hòn Khoai tuy nhiên đi từ cửa Khai Long là gần nhất vì ở ngay Khai Long bạn có thể thấy được Hòn Khoai.

Hôm qua tôi có dịp đi cùng anh em trong công ty, bảo dưỡng thiết bị bình, máy nổ của BTS Vinaphone đến Hòn Khoai, anh em chúng tôi đi từ cửa biển Ngọc Hiển bằng tàu của bộ đội Biên phòng, đoạn đường đi chỉ hơn 20km tuy nhiên mất gần 5h sau chúng tôi mới đến nơi vì chúng tôi "đi ké" tàu vận chuyển lương thực của hải quân nên phải chờ đợi việc khuân vác hàng lên đảo tuy nhiên đường về thì toát mồ hôi phần vì sợ ...vì khi về tụi tôi đi bằng xuồng máy , trên xuồng chẳng có chiếc áo phao nào hết, gương mặt, tâm trạng của 9 người "thủy thủ đoàn" đều thể hiện sự lo lắng, trong đó có tôi.

Hòn Khoai là một hòn có bề bài lịch sử khá lâu đời, nơi đây vẫn còn tồn tại rừng nguyên sinh và dường như không có dân cư ở, chỉ có vài căn nhà của bộ đội biên phòng và một vài người dân sinh sống trên đảo-nghe đồn, chính quyền không cho phép dân cư sinh sống trên hòn cũng vì mục đích chính trị vì nếu muốn qua Thái lan thì bạn phải đi qua cửa ngõ này, ngoài ra hòn còn có bề dài lịch sữ kháng chiến, đấu tranh chống Pháp của thầy giáo Phan Ngọc Hiển, ngoài ra còn có biểu tương ngọn đèn hải đăng từ thời Pháp thuộc.

Một vài hình ảnh về Hòn Khoai

Anh bộ đội biên phòng (sếp) có xin 2 tàu đánh cá mang biển số Kiên Giang đang neo đậu ở gần đó để anh em lai rai...

Ngọn đèn Hải đăng trên đảo Hòn khoai, ngọn hải đăng này được xây từ thời Pháp

Hòn khoai đứng nhìn trên cao (nhìn từ ngọn hải đăng) đứng xa xa là hòn lớn nhất là Hòn sao, hòn đồi mồi và phía xa xa nữa là hòn đá lẽ (chỉ 1 vài nhóm đá nhỏ)

Dạ, em đây (khi đi bị 1 đợt sóng, không quen và đi bộ gần 4km đường đèo nên lên đến ngọn hải đăng muốn ngu người)

Tấm bảng Hải đăng Hòn Khoai

Anh em ở hải đăng họ đang thay thế bảng hiệu mới

Di tích lịch sử hào hùng

Cảng Hòn khoai buổi sáng sớm

Tạm biệt hòn Khoai

Dành 1 tí thời gian với OpenLDAP + SamBa

2011-08-06T16:13:00.006+07:00

Mấy ngày nay do bận đi công tác liên tục ở huyện, xã trong tỉnh, tiếp khách liên tục dẫn đến ăn nhậu cũng liên tục, thường xuyên do vậy không có thời gian để "chăm sóc" cái blog này.

Đang "ở" trên mạng thì có người nhờ giúp config mấy cái Domain Controller (OpenLDAP + SamBa) nên tranh thủ làm từ xa cho cho kịp trong buổi chiều nay để còn sáng mai đi ra đảo Hòn Khoai du hí .

Nếu bạn từng sử dụng, cài đặt qua Domain Controller như Active Directory của Microsoft thì quy trình các bước cài đặt cũng gần giống nhau.
- Tạo DNS server (tạo các bản ghi cần thiết)
- Cài đặt OpenLDAP sau đó cấu hình các tập tin cấu hình của OpenLDAP
- Cài đặt thêm anh SAMBA sau đó cứ hí hoái cấu hình 1 tí

workgroup = centos.local

netbios name = CENTOS

enable privileges = yes

ldap admin dn = cn=Manager,dc=centos,dc=local

ldap suffix = dc=centos,dc=local

ldap group suffix = ou=Groups

ldap user suffix = ou=Users

ldap machine suffix = ou=Computers

ldap idmap suffix = ou=Users

idmap backend = ldap://127.0.0.1

idmap uid = 10000-20000

idmap gid = 10000-20000

add user script = /usr/sbin/smbldap-useradd -a '%u'

delete user script = /usr/sbin/smbldap-userdel '%u'

add group script = /usr/sbin/smbldap-groupadd -p '%g'

delete group script = /usr/sbin/smbldap-groupdel '%g'

add user to group script = /usr/sbin/smbldap-groupmod -m '%u''%g'

delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'

set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'

add machine script = /usr/sbin/smbldap-useradd -w '%u'

- Ở máy client chẳng hạn như Windows XP (ở đây dùng Windows XP SP3 còn Windows 7 thì bạn cần làm thêm 1 bước nhỏ) trỏ Preferred DNS Server về địa chỉ của máy DNS server để tiện việc kiểm tra, khai báo thông tin tôi dùng Full Computer name của nó là winxp .

Access Control List

# users can authenticate and change their password
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange
by dn="cn=samba,ou=DSA,dc=centos,dc=hva" write
by dn="cn=smbldap-tools,ou=DSA,dc=centos,dc=hva" write
by dn="cn=nssldap,ou=DSA,dc=centos,dc=hva" write
by self write
by anonymous auth
by * none
# some attributes need to be readable anonymously so that 'id user' can answer correctly
access to attrs=objectClass,entry,gecos,homeDirectory,uid,uidNumber,gidNumber,cn,memberUid
by dn="cn=samba,ou=DSA,dc=centos,dc=hva" write
by dn="cn=smbldap-tools,ou=DSA,dc=centos,dc=hva" write
by * read
# somme attributes can be writable by users themselves
access to attrs=description,telephoneNumber
by dn="cn=samba,ou=DSA,dc=centos,dc=hva" write
by dn="cn=smbldap-tools,ou=DSA,dc=centos,dc=hva" write
by self write
by * read
# some attributes need to be writable for samba, sambaPrivilegeList missing?
access to attrs=cn,sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaLogonTime,sambaLogoffTime,sambaKickoffTime,sambaPwdCanChange,sambaPwdMustChange,sambaAcctFlags,displayName,sambaHomePath,sambaHomeDrive,sambaLogonScript,sambaProfilePath,description,sambaUserWorkstations,sambaPrimaryGroupSID,sambaDomainName,sambaMungedDial,sambaBadPasswordCount,sambaBadPasswordTime,sambaPasswordHistory,sambaLogonHours,sambaSID,sambaSIDList,sambaTrustFlags,sambaGroupType,sambaNextRid,sambaNextGroupRid,sambaNextUserRid,sambaAlgorithmicRidBase,sambaShareName,sambaOptionName,sambaBoolOption,sambaIntegerOption,sambaStringOption,sambaStringListoption,loginShell
by dn="cn=samba,ou=DSA,dc=centos,dc=hva" write
by dn="cn=smbldap-tools,ou=DSA,dc=centos,dc=hva" write
by self read
by * none
# samba need to be able to create the samba domain account
access to dn.base="dc=centos,dc=hva"
by dn="cn=samba,ou=DSA,dc=centos,dc=hva" write
by dn="cn=smbldap-tools,ou=DSA,dc=centos,dc=hva" write
by * none
# samba need to be able to create new users account
access to dn="ou=Users,dc=centos,dc=hva"
by dn="cn=samba,ou=DSA,dc=centos,dc=hva" write
by dn="cn=smbldap-tools,ou=DSA,dc=centos,dc=hva" write
by * none
# samba need to be able to create new groups account
access to dn="ou=Groups,dc=centos,dc=hva"
by dn="cn=samba,ou=DSA,dc=centos,dc=hva" write
by dn="cn=smbldap-tools,ou=DSA,dc=centos,dc=hva" write
by * none
# samba need to be able to create new computers account
access to dn="ou=Computers,dc=centos,dc=hva"
by dn="cn=samba,ou=DSA,dc=centos,dc=hva" write
by dn="cn=smbldap-tools,ou=DSA,dc=centos,dc=hva" write
by * none
# this can be omitted but we leave it: there could be other branch
# in the directory
access to *
by self read
by * none

# smbldap-usershow phuocth
dn: uid=phuocth,ou=kythuat,dc=centos,dc=local
objectClass: top,person,organizationalPerson,inetOrgPerson,posixAccount,shadowAccount,sambaSamAccount
cn: phuocth
sn: phuocth
givenName: phuocth
uid: phuocth
uidNumber: 1000
gidNumber: 513
homeDirectory: /home/phuocth
loginShell: /bin/bash
gecos: System User
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
displayName: phuocth
sambaSID: S-1-5-21-2181920010-959299174-1360243452-3000
sambaPrimaryGroupSID: S-1-5-21-2181920010-959299174-1360243452-513
sambaLogonScript: logon.bat
sambaProfilePath: \\PDC-SRV\profiles\phuocth
sambaHomePath: \\PDC-SRV\phuocth
sambaHomeDrive: H:
sambaLMPassword: C7F53732F89B35201D3DB117483DD22E
sambaAcctFlags: [U]
sambaNTPassword: 911E0D79DD968C9E22BC04C59127A682
sambaPwdLastSet: 1312641628
sambaPwdMustChange: 1316529628
userPassword: {SSHA}Ypj18HnIND29oxuQMiKonKMtgJ9jRjR1
shadowLastChange: 15192
shadowMax: 45

Thôi về nhà, chuẩn bị, thu xếp đồ đạc, quần áo,...để chuẩn bị lên đường .Khi về sẽ làm 1 bài ký sự Hòn Khoai để cho bà con biết danh lam thắng cảnh của quê tôi.

Đụng phải hàng cổ

2011-07-29T15:50:00.005+07:00

Từ hôm qua đến giờ tôi ngồi tìm, lục lại trên internet bản ghost dành cho Windows 2000 Pro để cài đặt 1 máy đo cáp quang (máy đo này được công ty tôi mua từ rất lâu rồi và phần mềm cài đặt đo cáp quang thì chỉ cài đặt được Windows 2000 mà thôi) . Nếu so sánh giá tiền so với thời điểm này thì đáng giá cả một gia tài ...lớn.

Điều khó khăn ở đây :
- Phần mềm cài đặt chỉ hỗ trợ hệ điều hành Windows 2000 Pro (XP hay bất cứ hệ điều hành khác điều không hỗ trợ, tôi có liên hệ với đám cung cấp thiết bị phần cứng qua email nhưng họ trả lời cho tôi biết là phần mềm chỉ dùng được Windows 2000 và Windows NT)
- Máy đo cáp quang chỉ có ổ đĩa mềm không có đĩa CD (thời buổi này mà tìm kiếm ổ đĩa mềm thì thật chua chát, may thay cũng còn có mấy đĩa củ chưa vứt bỏ nên tạm dùng làm đĩa boot).
- Không hỗ trợ việc boot từ USB.
- Ổ cứng thì ATA lại bị hư (máy này sử dụng ổ cứng giống như laptop), mua lại ổ cứng củ của người khác để thay thế nó, ổ cứng mới có cài đặt sẳn hệ điều hành WindowsXP. Download phiên bản Windows 2000 về máy tính, giải nén , copy và paste tất cả tập tin thư mục của nó để cài đặt từ MS-DOS.
- Lang thang trên mạng tìm phiên bản ghost cho Windows 2000 , biết đâu tạo HirenBoot trên ổ cứng sau đó cài đặt hệ điều hành nhưng tìm mãi cũng chỉ được phiên bản Windows 2000 bản tiếng Trung.

Tạo được đĩa mềm boot Windows 98 sau đó trên DOS chạy dòng I386/winnt.exe và ngồi đợi cho nó copy thư mục lên đĩa cứng và cho đến khi kết thúc, kết thúc quá trình khởi động xong nó đứng im ...làm đi làm lại quá trình này rất nhiều lần, cuối cùng cũng đảnh pó tay.

Hiện giờ chắc phải tìm jack chuyển từ ATA của laptop sang ATA của desktop hoặc jack chuyển từ ATA sang SATA dành cho laptop hoặc tìm 1 laptop "đồ cổ" nào đó thì chắc mới may ra.

[Fix] Error message file '/usr/share/mysql/english/errmsg.sys' had only 480 error messages,

2011-07-18T22:54:00.005+07:00

Khi cài đặt mysql bằng yum ở repo remi thì tôi gặp 1 lỗi như sau sau khi start dịch vụ mysql lên

# rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm

# rpm -Uvh http://rpms.famillecollet.com/enterprise/remi-release-5.rpm

# yum --enablerepo=remi -y install mysql mysql-server

Thông tin lỗi xuất hiện như sau
# /etc/init.d/mysqld start
Initializing MySQL database: Installing MySQL system tables...
110719 5:45:38 [ERROR] Error message file '/usr/share/mysql/english/errmsg.sys' had only 480 error messages,
but it should contain at least 710 error messages.
Check that the above file is the right version for this program!
110719 5:45:38 [ERROR] Aborting

110719 5:45:38 [Note]

Installation of system tables failed! Examine the logs in
/var/lib/mysql for more information.

You can try to start the mysqld daemon with:

shell> /usr/libexec/mysqld --skip-grant &

and use the command line tool /usr/bin/mysql
to connect to the mysql database and look at the grant tables:

shell> /usr/bin/mysql -u root mysql
mysql> show tables

Try 'mysqld --help' if you have problems with paths. Using --log
gives you a log in /var/lib/mysql that may be helpful.

Please consult the MySQL manual section
'Problems running mysql_install_db', and the manual section that
describes problems on your OS. Another information source are the
MySQL email archives available at http://lists.mysql.com/.

Please check all of the above before mailing us! And remember, if
you do mail us, you MUST use the /usr/bin/mysqlbug script!

[FAILED]

Qua Google tìm được cách fix như sau
# yum remove mysql-server*
# yum remove mysql-*
# yum install --enablerepo=remi mysql.x86_64 mysql-server.x86_64 php-mysql php-pdo

Nhưng sau khi start dịch vụ mysql lên vẫn xuất hiện thông báo trên
-Tiến hành backup tập tin này /usr/share/mysql/english/errmsg.sys
- Download mysql-5.5.14-linux2.6-x86_64.tar.gz từ
http://mysql.llarian.net/Downloads/MySQL-5.1/mysql-5.1.56-linux-x86_64-glibc23.tar.gz hoặc các mirror được liệt kê tại trang chủ của MySQL

- Giải nén nó ra và copy tập tin từ đường dẫn mysql-5.5.14-linux2.6-x86_64\share\englisherrmsg.sys đè vào tập tin errmsg.sys có đường dẫn /usr/share/mysql/english/errmsg.sys

Sau đó bạn chỉ cần chạy dòng
# mysql_install_db

# /etc/init.d/mysqld restart
Stopping mysqld: [ OK ]
Starting mysqld: [ OK ]

Ghi chú : Lỗi này chỉ xuất hiện với 64bit (32bit không ảnh hưỡng) đối với repo remi mà thôi, tôi thử nghiệm với 32bit nhưng không bị tình trạng trên

Virtual Hosting With PureFTPd And MySQL (Incl. Quota And Bandwidth Management)

2011-07-16T00:49:00.008+07:00

Cài đặt Phpmyadmin
# rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-4.noarch.rpm
# rpm -Uvh http://rpms.famillecollet.com/enterprise/remi-release-5.rpm

# yum --enablerepo=remi install phpmyadmin

# yum --enablerepo=remi install mysql mysql-server httpd php php-mysql php-mbstring

# cd /etc/yum.repos.d/
# wget http://centos.karan.org/kbsingh-CentOS-Extras.repo

[root@server yum.repos.d]# vi kbsingh-CentOS-Extras.repo
# pkgs in the -Testing repo are not gpg signed
[kbs-CentOS-Testing]
name=CentOS.Karan.Org-EL$releasever - Testing
gpgcheck=1
gpgkey=http://centos.karan.org/RPM-GPG-KEY-karan.org.txt
enabled=1
baseurl=http://centos.karan.org/el$releasever/extras/testing/$basearch/RPMS/

# rpm --import http://centos.karan.org/RPM-GPG-KEY-karan.org.txt

# yum install pure-ftpd

Nếu nó báo Package pure-ftpd-1.0.21-15.el5.kb.i386.rpm is not signed thì bạn cài đặt nó như sau
# wget http://centos.karan.org/el5/extras/testing/i386/RPMS/pure-ftpd-1.0.21-15.el5.kb.i386.rpm
# rpm -ivh pure-ftpd-1.0.21-15.el5.kb.i386.rpm

# groupadd -g 2001 ftpgroup
# useradd -u 2001 -s /bin/false -d /bin/null -c "pureftpd user" -g ftpgroup ftpuser

Start dịch vụ mysqld
# /etc/init.d/mysqld start

Đăng nhập vào mysql
# mysql -u root -p

mysql> CREATE DATABASE pureftpd;
Query OK, 1 row affected (0.00 sec)

mysql> GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON pureftpd.* TO 'pureftpd'@'localhost' IDENTIFIED BY 'ftpdpass';
Query OK, 0 rows affected (0.00 sec)

mysql> GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON pureftpd.* TO 'pureftpd'@'localhost.localdomain' IDENTIFIED BY 'ftpdpass';
Query OK, 0 rows affected (0.00 sec)

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.00 sec)

mysql> USE pureftpd;
Database changed
mysql> CREATE TABLE ftpd (
-> User varchar(16) NOT NULL default '',
-> status enum('0','1') NOT NULL default '0',
-> Password varchar(64) NOT NULL default '',
-> Uid varchar(11) NOT NULL default '-1',
-> Gid varchar(11) NOT NULL default '-1',
-> Dir varchar(128) NOT NULL default '',
-> ULBandwidth smallint(5) NOT NULL default '0',
-> DLBandwidth smallint(5) NOT NULL default '0',
-> comment tinytext NOT NULL,
-> ipaccess varchar(15) NOT NULL default '*',
-> QuotaSize smallint(5) NOT NULL default '0',
-> QuotaFiles int(11) NOT NULL default 0,
-> PRIMARY KEY (User),
-> UNIQUE KEY User (User)
-> ) TYPE=MyISAM;
Query OK, 0 rows affected, 1 warning (0.00 sec)

mysql> quit

Nếu không OK thì chạy (lỗi này là do phiên bản MySQL , phiên bản MySQL 5.5)
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'TYPE=MyISAM' at line 16

CREATE TABLE `ftpd` (
`User` varchar(255) NOT NULL,
`status` enum('0','1') NOT NULL default '1',
`Password` varchar(64) NOT NULL default '',
`Uid` varchar(11) NOT NULL default '2001',
`Gid` varchar(11) NOT NULL default '2001',
`Dir` varchar(128) NOT NULL default '',
`ULBandwidth` smallint(5) NOT NULL default '0',
`DLBandwidth` smallint(5) NOT NULL default '0',
`comment` tinytext NOT NULL,
`ipaccess` varchar(15) NOT NULL default '*',
`QuotaSize` smallint(5) NOT NULL default '0',
`QuotaFiles` int(11) NOT NULL default '0',
PRIMARY KEY (`User`),
UNIQUE KEY `User` (`User`),
KEY `User_2` (`User`,`status`,`Password`,`ipaccess`,`QuotaSize`,`QuotaFiles`)
) ENGINE=MyISAM ;

Bây giờ ta mở tập tin cấu hình của PureFTPD
# vi /etc/pure-ftpd/pure-ftpd.conf

Bạn sửa các phần sau
MySQLConfigFile /etc/pure-ftpd/pureftpd-mysql.conf

# Automatically create home directories if they are missing
CreateHomeDir yes

# Don't allow authenticated users - have a public anonymous FTP only.
AnonymousOnly yes

# Disallow anonymous connections. Only allow authenticated users.
NoAnonymous yes

# PureDB user database (see README.Virtual-Users)
PureDB /etc/pure-ftpd/pureftpd.pdb

# cp /etc/pure-ftpd/pureftpd-mysql.conf /etc/pure-ftpd/pureftpd-mysql.conf_orig
# cat /dev/null > /etc/pure-ftpd/pureftpd-mysql.conf
# vi /etc/pure-ftpd/pureftpd-mysql.conf
Thêm đoạn sau vào
MYSQLSocket /var/lib/mysql/mysql.sock
#MYSQLServer localhost
#MYSQLPort 3306
MYSQLUser pureftpd
MYSQLPassword ftpdpass
MYSQLDatabase pureftpd
#MYSQLCrypt md5, cleartext, crypt() or password() - md5 is VERY RECOMMENDABLE uppon cleartext
MYSQLCrypt md5
MYSQLGetPW SELECT Password FROM ftpd WHERE User="\L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetUID SELECT Uid FROM ftpd WHERE User="\L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetGID SELECT Gid FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetDir SELECT Dir FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetBandwidthUL SELECT ULBandwidth FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetBandwidthDL SELECT DLBandwidth FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetQTASZ SELECT QuotaSize FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetQTAFS SELECT QuotaFiles FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")

Chú ý : do đây là bài test, nên khi làm trên thiết bị "thật" bạn nên điều chỉnh lại mật khẩu người dùng, tên người dùng cho MySQL để bảo mật.

# chkconfig --levels 235 pure-ftpd on
# /etc/init.d/pure-ftpd start

Cấu hình phpmyadmin
# vi /etc/httpd/conf.d/phpMyAdmin.conf

order deny,allow
deny from all
allow from 127.0.0.1
allow from all

# vi /usr/share/phpMyAdmin/config.sample.inc.php
/* User for advanced features */
// $cfg['Servers'][$i]['controluser'] = 'root';
// $cfg['Servers'][$i]['controlpass'] = '';

Đăng nhập vào phpmyadmin

# mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 3
Server version: 5.0.77 Source distribution

Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql> USE pureftpd;

Thay thế như sau
mysql> INSERT INTO `ftpd` (`User`, `status`, `Password`, `Uid`, `Gid`, `Dir`, `ULBandwidth`, `DLBandwidth`, `comment`, `ipaccess`, `QuotaSize`, `QuotaFiles`) VALUES ('tranhuuphuoc', '1', MD5('5ebe2294ecd0e0f08eab7690d2a6ee69'), '2001', '2001', '/home/www', '1000', '3000', '', '*', '5000', '0');
Query OK, 1 row affected (0.00 sec)

Dòng này tạm hiểu như bạn tạo user mang tên là tranhuuphuoc mật khẩu là admin được mã hóa dưới dạng MD5, uid và groupid là 2001 với đường dẫn chứa thư mục /home/www (sau khi bạn thực thi INSERT TO thì tự động nó sẽ tạo ra đường dẫn này) , Tốc độ băng thông upload là 1000 kbps , tốc độ băng thông download là 3000 kbps và có dung lượng lưu trữ lên đến 5000M

# ls -l /home
total 4
drwxr-xr-x 2 ftpuser ftpgroup 4096 Jul 15 20:00 www

Tạo user 2
INSERT INTO `ftpd` (`User`, `status`, `Password`, `Uid`, `Gid`, `Dir`, `ULBandwidth`, `DLBandwidth`, `comment`, `ipaccess`, `QuotaSize`, `QuotaFiles`) VALUES ('phuocth', '1', MD5('admin'), '2001', '2001', '/home/phuoctran', '1000', '3000', '', '*', '15000', '0');

vsftpd = Berkeley DB + PAM

2011-07-15T19:00:00.007+07:00

Như ở trong bài viết trước, bài viết này tiếp tục với vsftpd tuy nhiên ở bài viết trước dùng system account như thế không ổn và không hợp lý, nếu như trong 1 hệ thống có nhiều account chẳng hạn như 1000 user, thì bạn tạo 1000 system account như thế thì không ổn tí nào cả (bạn có thể nghĩ đến mình viết 1 đoạn script sau đó thực hiện việc tạo username và password của người dùng) tuy nhiên bạn nghĩ, giải quyết vấn đề mà bạn quan tâm tùy thuộc vào bạn.

Sau bài viết này sẽ gặp lại trong 1 bài viết vsftpd sử dụng MySQL

Bài viết này hướng dẫn bạn dùng virtual users dùng Berkeley DB + PAM

[root@server ~]# yum install db4-utils db4
[root@server ~]# cd /etc/vsftpd
[root@server vsftpd]# vi vusers.txt
tranhuuphuoc ---> username của user1
123456 --->password của user1
phuocth --->username của user2
123456 ---> password của user2

[root@server vsftpd]# db_load -T -t hash -f vusers.txt vsftpd-virtual-user.db
[root@server vsftpd]# chmod 600 vsftpd-virtual-user.db

Ah, nếu sau này bạn thêm nhiều user nữa thì bạn xóa bỏ 2 tập tin vuser.txt và tập tin vsftpd-virtual-user.db bạn không xóa 2 tập tin này thì sẽ bị lỗi khi chạy dòng
[root@server vsftpd]# db_load -T -t hash -f vusers.txt vsftpd-virtual-user.db
db_load: unexpected end of input data or key/data pair
db_load: odd number of key/data pairs

Thêm vào tập tin cấu hình của vsftpd dòng sau
listen=YES
anonymous_enable=NO
local_enable=YES
virtual_use_local_privs=YES
write_enable=YES
pam_service_name=vsftpd.virtual
guest_enable=YES
user_sub_token=$USER
local_root=/home/vftp/$USER
chroot_local_user=YES
hide_ids=YES

[root@server vsftpd]# vi /etc/pam.d/vsftpd.virtual
auth required pam_userdb.so db=/etc/vsftpd/vsftpd-virtual-user crypt=hash
account required pam_userdb.so db=/etc/vsftpd/vsftpd-virtual-user crypt=hash
session required pam_loginuid.so

[root@server vsftpd]# mkdir /home/vftp
[root@server vsftpd]# mkdir -p /home/vftp/{tranhuuphuoc,phuocth}

[root@server vsftpd]# chown -R ftp:ftp /home/vftp
[root@server vsftpd]# service vsftpd restart

Kiểm tra
# tail -30 /var/log/secure
Jul 15 13:55:09 server vsftpd: pam_userdb(vsftpd.virtual:auth): user 'phuocth' granted access
Jul 15 13:56:39 server vsftpd: pam_userdb(vsftpd.virtual:auth): user 'phuocth' granted access

Có 1 bài viết
http://www.cyberciti.biz/tips/centos-redhat-vsftpd-ftp-with-virtual-users.html

Tuy nhiên bài viết này sai xót ở cấu hình PAM
#%PAM-1.0
auth required pam_userdb.so db=/etc/vsftpd/vsftpd-virtual-user
account required pam_userdb.so db=/etc/vsftpd/vsftpd-virtual-user
session required pam_loginuid.so

Điều chỉnh
auth required pam_userdb.so db=/etc/vsftpd/vsftpd-virtual-user crypt=hash
account required pam_userdb.so db=/etc/vsftpd/vsftpd-virtual-user crypt=hash
session required pam_loginuid.so

Log
Jul 15 13:23:57 server vsftpd: pam_unix(vsftpd:auth): authentication failure; logname= uid=0 euid=0 tty=ftp ruser=phuocth rhost=192.168.1.2
Jul 15 13:23:57 server vsftpd: pam_succeed_if(vsftpd:auth): error retrieving information about user phuocth
Jul 15 13:24:21 server vsftpd: pam_unix(vsftpd:auth): check pass; user unknown

vsftpd - FTP server trên Linux (cơ bản)

2011-07-14T14:56:00.004+07:00

Có rất nhiều giải pháp FTP server trên Linux như vsftpd , PureFTPd , theo tôi biết thì 2 anh này là 2 anh dùng để làm FTP server "ngon" nhất so với các phần mềm khác tôi thì hay chọn vsftpd để làm FTP server thì nó gọn, nhẹ, dễ dàng cấu hình và bảo mật (ít bị bug hơn so với PureFTPd)

[root@server ~]# yum install vsftpd

[root@server ~]# vi /etc/vsftpd/vsftpd.conf

# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=YES
Thay đổi thành

# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=NO

Cho phép ghi log
xferlog_enable=YES

Vị trí lưu trữ log
xferlog_file=/var/log/vsftpd.log

Tạo banner cho thêm tính "quan trọng"
# You may fully customise the login banner string:
ftpd_banner=Welcome to blah FTP service.

Phần này không kém phần quan trọng
chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list

[root@server ~]#vi /etc/vsftpd/chroot_list
Thêm vào user mà bạn cần muốn chroot
ví dụ :
có 2 user thì
hoathong
tommyteo

[root@server ~]# mkdir /home/hoathong
[root@server ~]# useradd -d /home/hoathong/hoathong hoathong

[root@server ~]# passwd hoathong
Changing password for user hoathong.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.

Bạn không nên tạo user như thế, nếu ít ra cũng phải như thế này
[root@server vsftpd]# useradd -s /sbin/nologin tommyteo
[root@server vsftpd]# passwd tommyteo
Changing password for user tommyteo.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.

Hoặc là như
[root@server ~]# adduser -d /var/ftp/ftpuser -g ftp -s /sbin/nologin ftpuser

[root@server ~]# /etc/init.d/vsftpd start

Dạo chơi với Selinux
[root@server /]# getsebool
getsebool: SELinux is disabled

Bây giờ ta bật nó lên xem

[root@server ~]# cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - SELinux is fully disabled.
SELINUX=enforcing
# SELINUXTYPE= type of policy in use. Possible values are:
# targeted - Only targeted network daemons are protected.
# strict - Full SELinux protection.
SELINUXTYPE=targeted

Kiểm tra
[root@server ~]# getsebool -a

Set Selinux cho FTP server dùng Vsftpd
[root@server ~]# setsebool -P ftp_home_dir=1

Đến đây xem như việc thiết lập cơ bản 1 FTP server sử dụng vsftpd hoàn tất, đến đây bạn thử nghiệm xong bạn nãy sinh ra vấn đề SSL, Quota, Change password thì bạn làm thế nào ?

CentOS 6 Releases

2011-07-12T09:32:00.000+07:00

The CentOS team is pleased to announce the immediate availability of CentOS-6.0 for i386 and x86_64 Architectures.

CentOS-6.0 is based on the upstream release EL 6.0 and includes
packages from all variants. All upstream repositories have been combined into one, to make it easier for end users to work with.

There are some important changes to this release compared with the previous versions of CentOS and we highly recommend reading this announcement along with the Release Notes.

There are no CD images being released with CentOS-6, however we have some CD variants in the pipeline.

Since upstream has a 6.1 version already released, we will be using a Continous Release repository for 6.0 to bring all 6.1 and post 6.1 security updates to all 6.0 users, till such time as CentOS-6.1 is released itself.

LiveCDs and LiveDVDs for i386 and x86_64 will be released the
next few days. These will bring in the ability to directly install from the live media.

There will also be a minimal install CD, that would bring up a base
machine with just enough content to have a usable platform.

In order to bring back the CentOS-4 Server CD style single iso image, an LWS variant of the main distro will be created.

Wiki
http://wiki.centos.org/Manuals/ReleaseNotes/CentOS6.0

Download
64bit http://mirror.centos.org/centos/6/isos/x86_64/
32bit http://mirror.centos.org/centos/6/isos/i386/

Đọc lại bộ "Đông Chu Liệt Quốc"

2011-07-12T08:59:00.004+07:00

Sáng nay tôi không có mặt ở công ty như mọi hôm, đi uống cafe với anh em ở huyện mới lên TP học khóa tập huấn, chuyện trò 1 lúc cho đến khi tàn cuộc mới trở về nhà, vô tình dọn dẹp lại nhà cửa phát hiện ra những bộ sách "gối đầu nằm" của mình được in từ những năm 1988 gồm có bộ Đông Chu Liệt Quốc , Tây Du Kí, Thủy Hử, Tam Quốc Diễn Nghĩa , Đại Việt Sử Ký Toàn Thư và những bộ sách của nhóm "Tự lực văn đoàn"

Nhìn những quyển sách này được in trên giấy rất xấu, màu đen, chữ được đánh bằng máy đánh chữ từ hồi xưa được xếp ngay ngắn trong 1 góc, qua thời gian , bụi bặm và dường như lâu ngày không đọc đến chúng nên dường như những kho sách này của riêng tôi dần bị mai một và dần dần bị "lão hóa" .

Thấy xót xa cho những quyển sách này, vội vàng thu xếp lại những quyển sách này cất vào trong hộc tủ để tránh bụi bặm, ẩm mốc qua thời gian, năm tháng. 3 ngày nay được nghĩ ở nhà, dẹp bỏ qua những quyển sách khác tạm thời nghĩ ngơi để bắt đầu "luyện công" sáu tập trong bộ "Đông Chu Liệt Quốc" . Quyển "Đông Chu Liệt Quốc" tuy không sánh bằng với "Tam Quốc Diễn Nghĩa" nhưng nó là 1 trong những bộ sách có trong "thư viện sách" của tôi.

Xem phim hay đọc những quyển sách này dưới định dạng .pdf thì có đầy ở trên mạng internet nhưng tôi thích đọc sách nhiều hơn đọc trên máy tính.

iRedmail -Works on Red Hat Enterprise Linux, CentOS, Scientific Linux, Debian, Ubuntu, openSUSE, FreeBSD

2011-07-12T08:11:00.006+07:00

Used major components and services:

Postfix: SMTP service
Dovecot: POP3, IMAP, Managesieve service
Apache: Web server
MySQL: Storing application data and/or mail accounts
OpenLDAP: Storing mail accounts
Amavisd, SpamAssassin, ClamAV: Anti-spam, anti-virus
Roundcube: Webmail
Awstats: Apache and Postfix log analyze

[root@server ~]# cat /etc/sysconfig/network
NETWORKING=yes
NETWORKING_IPV6=no
HOSTNAME=server.centos.hva
GATEWAY=192.168.254.254

[root@server ~]# hostname -f
server.centos.hva

[root@server ~]# cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1 server.centos.hva server localhost.localdomain localhost
::1 localhost6.localdomain6 localhost6

[root@server ~]# wget http://iredmail.googlecode.com/files/iRedMail-0.7.2.tar.bz2
[root@server ~]# tar jxvf iRedMail-0.7.2.tar.bz2
[root@server ~]# cd iRedMail-0.7.2
[root@server iRedMail-0.7.2]# cd pkgs/

[root@server pkgs]# chmod 755 get_all.sh
[root@server pkgs]# ./get_all.sh

More info http://www.iredmail.org/

Nhận xét cá nhân:
- Tay này cài đặt nhanh, gọn, lẹ phụ thuộc vào đường truyền internet rất lớn, thử nghiệm cho thấy 1 đường truyền 40Mbps , Về thông tin phần cứng RAM 2G , Core 2 Duo mất gần 20 phút để ngồi cài đặt xong mọi thứ .
- Thích hợp cho những ai muốn cài đặt mail server theo hướng "mì ăn liền" , phù hợp với loại hình doanh nghiệp vừa và nhỏ .

Vyatta - Giải pháp thay thế ipcops, Endian firewall

2011-07-03T11:35:00.020+07:00

Chán chê với các giải pháp IT dành cho doanh nghiệp vừa và nhỏ như Ipcops, Endian Firewall hoặc tự built 1 server để làm router , sáng chủ nhật vừa chơi game cho thư giản (Special Force in Singapore) vô tình tui lang thang trên mạng gặp được giải pháp Vyatta Core này, nên mang nó về thí nghiệm .

Trang chủ của nó
http://www.vyatta.org/downloads

Vừa download .iso của nó về, vừa download tài liệu trên trang chủ của nó để download về ngâm , sau đó mở VirtualBox lên và nhào vô.

Để boot vào nó chỉ cần nhấn phím Enter, để cài đặt nó vào ổ cứng của bạn , bạn đăng nhập vào CLI với tài khoản vyatta và mật khẩu vyatta , sau đó gõ dòng install-system để cho phép cài đặt vyatta lên ổ cứng của bạn.

Nhìn sơ qua cách cấu hình có phần "lai lai" giống như hàng Cisco , Telco Systems, trước khi nhãy vào thử nghiệm Vyatta bạn cần hiểu 2 "thuật ngữ"
- commit (dùng để xác nhận 1 hành động nào đó)
- save (dùng để lưu cấu hình) sau khi lưu cấu hình mặc định nó nằm ở vị trí /opt/vyatta/etc/config/config.boot

$ show version
Version: VC6.2-2011.02.09
Description: Vyatta Core 6.2 2011.02.09
Copyright: 2006-2011 Vyatta, Inc.
Built by: autobuild@vyatta.com
Built on: Wed Feb 9 20:04:26 UTC 2011
Build ID: 1102092009-7353197
Boot via: disk
Uptime: 13:54:32 up 19 min, 2 users, load average: 0.00, 0.00, 0.00

Cấu hình interface cho Ethernet eth0
$ configure
# set interfaces ethernet eth0 address 192.168.1.200/24
# commit
# exit

Default Gateway
vyatta@vyatta:~$ configure
vyatta@vyatta# set system gateway-address 192.168.1.1
vyatta@vyatta# commit

Nameserver
vyatta@vyatta# set system name-server 192.168.1.1
vyatta@vyatta# commit

Cấu hình DHCP cho interface
configure
set interfaces ethernet eth0 address dhcp
commit
save

Cấu hình SSH
vyatta@vyatta# set service ssh
vyatta@vyatta# set service ssh allow-root

vyatta@vyatta# commit
vyatta@vyatta# save

Web-based GUI
# set service https
# commit

PPPoE
Tùy thuộc vào nhà cung cấp dịch vụ khai báo trên DSLAM như thế nào, nếu dùng cáp đồng (xDSL) thì bạn không cần chú ý đến CVLAN mà nhà cung cấp dịch vụ gán CVLAN cho bạn. Tuy nhiên nếu bạn dùng cáp quang (FTTH) thì có 2 trường hợp
- Nếu nhà cung cấp dịch vụ không yêu cầu CVLAN thì bạn chỉ cần khai báo username , password
- Nếu nhà cung cấp dịch vụ yêu cầu CVLAN thì bạn khai báo username, password, CVLAN mà nhà cung cấp dịch vụ cung cấp cho bạn.

Trong ví dụ này là đoạn cấu hình khi dùng PPPoE không gán CVLAN ở CPE (eth1 là card mạng giao tiếp với nhà cung cấp dịch vụ)
vyatta@vyatta:~$ configure
vyatta@vyatta# set interfaces ethernet eth1 pppoe 0
vyatta@vyatta# set interfaces ethernet eth1 pppoe 0 user-id 'username'
vyatta@vyatta# set interfaces ethernet eth1 pppoe 0 password 'password'
vyatta@vyatta# set interfaces ethernet eth1 pppoe 0 default-route auto
vyatta@vyatta# set interfaces ethernet eth1 pppoe 0 name-server auto
vyatta@vyatta# commit
vyatta@vyatta# save

NAT

vyatta@vyatta:~$ configure

vyatta@vyatta# set service nat rule 1 source address 192.168.1.1/24

vyatta@vyatta# set service nat rule 1 outbound-interface eth1

vyatta@vyatta# set service nat rule 1 type masquerade

vyatta@vyatta# commit

vyatta@vyatta# save

Port Forwarding
Publish Webserver (HTTP, HTTPS)
set service nat rule 100
set service nat rule 100 description HTTP
set service nat rule 100 type destination
set service nat rule 100 inbound-interface eth0
set service nat rule 100 destination port http
set service nat rule 100 inside-address address 192.168.1.20
commit
save

set service nat rule 110
set service nat rule 110 description HTTPs
set service nat rule 110 type destination
set service nat rule 110 inbound-interface eth0
set service nat rule 110 destination port https
set service nat rule 110 inside-address address 192.168.1.20
commit
save

Enable Email Server (SMTP, POP3, IMAP, POP3s, IMAPs)
set service nat rule 200
set service nat rule 200 description SMTP
set service nat rule 200 type destination
set service nat rule 200 inbound-interface eth0
set service nat rule 200 destination port smtp
set service nat rule 200 inside-address address 192.168.1.20
commit
save

set service nat rule 210
set service nat rule 210 description IMAP
set service nat rule 210 type destination
set service nat rule 210 inbound-interface eth0
set service nat rule 210 destination port 143
set service nat rule 210 inside-address address 192.168.1.20
commit
save

set service nat rule 220
set service nat rule 220 description IMAPs
set service nat rule 220 type destination
set service nat rule 220 inbound-interface eth0
set service nat rule 220 destination port 993
set service nat rule 220 inside-address address 192.168.1.20
commit
save

set service nat rule 230
set service nat rule 230 description POP3
set service nat rule 230 type destination
set service nat rule 230 inbound-interface eth0
set service nat rule 230 destination port 110
set service nat rule 230 inside-address address 192.168.1.20
commit
save

set service nat rule 240
set service nat rule 240 description POP3s
set service nat rule 240 type destination
set service nat rule 240 inbound-interface eth0
set service nat rule 240 destination port 995
set service nat rule 240 inside-address address 192.168.1.20
commit
save

VPN
set service nat rule 500
set service nat rule 500 description PPTP
set service nat rule 500 type destination
set service nat rule 500 inbound-interface eth0
set service nat rule 500 destination port 1723
set service nat rule 500 inside-address address 192.168.1.20
commit
save

DHCP Server
vyatta@vyatta:~$ configure
vyatta@vyatta# set service dhcp-server
vyatta@vyatta# set interfaces ethernet eth0 address 192.168.1.1/24
vyatta@vyatta# set service dhcp-server shared-network-name POOL-KYTHUAT subnet 192.168.1.0/24 start 192.168.1.100 stop 192.168.1.199
vyatta@vyatta# set service dhcp-server shared–network-name POOL-KYTHUAT subnet 192.168.1.0/24 default-router 192.168.1.1
vyatta@vyatta# set service dhcp-server shared–network-name POOL-KYTHUAT subnet 192.168.1.0/24 dns-server 203.162.4.1
vyatta@vyatta# commit

vyatta@vyatta# show service dhcp-server
vyatta@vyatta# save

CMS - Customer Management System

2011-07-01T14:00:00.005+07:00

CMS (Customer Management System - Hệ Quản trị khách hàng tạm gọi tắt là phần mềm dùng để quản lý khách hàng sử dụng các dịch vụ như cáp quang FTTH, MegaWAN cho các cơ quan Đảng và nhà nước, các công ty tài chính, ngân hàng, xí nghiệp...).

Dùng để biết khách hàng đang thuê, sử dụng dịch vụ của nhà cung cấp dịch vụ đang sử dụng cáp quang hay cáp đồng, ADSL hay SHDSL , thông qua ODF, tủ ODF,.... cho biết khách hàng đó sử dụng ATM (VPI/VCI) hay trên hệ thống IPDSLAM (SVLAN/CLAN) nào để khi cần thiết có thể tra cứu thông tin để xử lý sự cố, tra cứu, thống kê thông tin trong thời gian ngắn nhất.

Những tính năng chính
- Làm việc tốt nhất với các trình duyệt Internet Explorer, Firefox và Google Chrome
- Mã nguồn chạy tốt nhất trên máy chủ dùng Centos Enterprise có sử dụng Reverse Proxy Nginx + Apache , PHP và MySQL
- Hỗ trợ tìm kiếm toàn văn, giao diện thân thiện, dễ dàng sử dụng, triển khai.
- Tra cứu thông tin khách hàng dễ dàng, tiện lợi và trực quan.

Fedora 15 một vài cảm nhận ban đầu

2011-06-21T09:13:00.018+07:00

Mặc dù Fedora đã ra lò phiên bản 15 này trong 1 thời gian khá dài nhưng cho đến hôm nay tôi mới chiêm ngưỡng vẻ đẹp của phiên bản này trên máy tính cá nhân của tôi.

- Phiên bản hiện tại của bộ gõ tiếng Việt scim-unikey không hoạt động được trên Fedora 15 do vậy tạm thời sử dụng ibus-unikey , bộ gõ này có sẳn trong repo của Fedora tuy nhiên khi sử dụng nó có lúc được có lúc không.

- Giao diện GNOME3 nhìn có vẽ lộng lẫy và có phần thiết kế như Mac

- Mấy cái icon PowerOff gì đó đâu mất rồi ta, search vài cái trên Google để tìm hiểu thì quá ra phải nhấn giữ phím Alt trong nút Suspend thì nó mới xuất hiện, còn nếu muốn nó xuất hiện ra trước mặt thì dùng
su -c 'yum install gnome-shell-extensions-alternative-status-menu'

- Từ điển thì nên dùng Goldendict thay thế cho Stardict vì Goldendict có hỗ trợ định dạng các tập tin .bgl của Babylon
yum install goldendict

- Add the Date to your Clock
gsettings set org.gnome.shell.clock show-date true

Open Terminal for Nautilus
su -c 'yum install nautilus-open-terminal nautilus-extensions'

- Riêng đối với card wireless của tôi có vấn đề (đèn nguồn hiển thị card wireless cứ chớp tắt liên tục mặc dù kiểm tra, kết nối mạng bình thường) . Có khả năng driver có vấn đề, kernel,...hay đại loại 1 vấn đề nào đó mà tôi chưa tìm hiểu.

- Cài đặt thêm mấy gói phục vụ cho công việc thường ngày của mình
yum install wireshark-gnome nmap tcpdump shutter gtkterm minicom putty filezilla gyachi

- Fedora 15 thay thế bộ OpenOffice thành LibreOffice

- VLC
$ su -c 'rpm -Uvh http://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-stable.noarch.rpm'
$ su -c "yum install vlc"

Unrar
$ su -c "yum install unrar"

Pidgin
$ su -c "yum install pidgin"

Office
# yum groupinstall "Office/Productivity"

Ibus-Unikey
# yum install ibus-unikey

# yum -y install rpm-build cabextract ttmkfdir
# rpm -ivh http://easylinux.info/uploads/msttcorefonts-1.3-4.noarch.rpm --nodeps

Flash 11
rpm -ivh http://linuxdownload.adobe.com/adobe-release/adobe-release-i386-1.0-1.noarch.rpm
rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-adobe-linux

Adobe Reader
yum install nspluginwrapper.i686 AdobeReader_enu

Google Chrome
/etc/yum.repos.d/google.repo

[google-chrome]
name=google-chrome - 32-bit
baseurl=http://dl.google.com/linux/chrome/rpm/stable/i386
enabled=1
gpgcheck=1
gpgkey=https://dl-ssl.google.com/linux/linux_signing_key.pub

yum install google-chrome-stable

VirtualBox
cd /etc/yum.repos.d/
## Fedora 16/15/14/13/12 users
wget http://download.virtualbox.org/virtualbox/rpm/fedora/virtualbox.repo

yum install binutils gcc make patch libgomp glibc-headers glibc-devel kernel-headers kernel-devel
dkms

yum install VirtualBox-4.1
yum install kernel-devel-3.1.0-7.fc16.i686

Nhìn chung nếu bạn mới bắt đầu làm quen với Linux mà bạn lại sử dụng máy tính laptop, desktop bạn nên trải nghiệm cùng Fedora 15 hoặc Ubuntu 11 , đó là 2 distro Linux dành cho home user "đỉnh, đình đám" nhất hiện nay tuy nhiên nếu bạn xác định gắn kết lâu dài với 1 distro nào đó hoặc một ngày nào đó mơ ước của bạn muốn tiếp xúc với 1 hệ thống cở lớn chẳng hạn như làm việc ở ISP thì bạn không nên dùng Ubuntu vì ở ISP ....chẳng có server nào mà dùng Ubuntu server cả !! hoặc sau này nếu có cơ hội đi cấu hình máy chủ cho các doanh nghiệp công ty thì chẳng có server Ubuntu nào để bạn dùng đâu thay vì vậy, ngay từ bây giờ bạn nên dùng Fedora hoặc Centos.

Việc chọn Ubuntu hay Fedora để làm bạn gắn bó với mình lâu dài cũng tùy thuộc vào sự cảm nhận của bạn, nói chung nhận xét của tôi chỉ là ý kiến cá nhân chứ tôi không thể bắt buộc bạn thực hiện ý định dùng Fedora cả.

Mà cũng không chắc rằng bạn dùng Linux là bạn có thể giỏi, thành thạo hơn người sử dụng Microsoft Windows!!!

Syslog là cái chi chi

2011-06-08T07:25:00.004+07:00

Tối hôm qua có đứa em làm giảng viên đào tạo CNTT cho 1 trung tâm mạng ở Sài Gòn có PM đến cho mình về việc "Dường như server của Trung tâm X mà em đang quản lý bị tấn công thì phải, truy cập chậm rì, server bị khùng khùng, có dấu hiệu DDoS" (lời thoại tôi có điều chỉnh lại 1 chút tuy nhiên về mặt nội dung thì chính xác). Tôi đọc PM của nó , tôi mới trả lời lại cho nó "Truy cập mạng chậm rì , thế là em phán nó DDoS hay sao, cũng có thể và cũng không thể vì phải kiểm tra lại network từ nhà cung cấp dịch vụ cho đến server của khách hàng mới biết chính xác được chuyện gì đang diễn ra".

Dạo quanh 1 hồi website của Trung tâm X (TT) đó tôi nhận thấy có khoãng vài chục mạng đang online còn đến hơn 500 mạng đang xem . Điều này cũng bình thường với 1 forum sử dụng mã nguồn VBB, tôi thầm nghĩ chắc thằng này nó câu khách hay sao mà để timeout quá lớn-vì năm 2003 tôi có quản lý 1 forum VBB để câu khách đến thăm site của mình cho bớt vắng lạnh như chùa bà đanh tôi đành nhắm mắt nâng thời gian timeout lâu 1 chút cho vui nhà, vui cửa.

Chat chit với nó một hồi, hỏi thăm nó tình hình nếu Microsoft thì tôi đành bó tay nhưng nghe đến máy chủ dùng *nix thì tôi rất khoái, tò mò vì mặc dù có thời gian học hành MCSE của Microsoft nhưng không có niềm đam mê với nó thì không thể phát huy được nó mặc dù Exchange, DC, DNS, Radius, SharePoint tôi sử dụng, cài đặt khá thành thạo nhưng về phần tối ưu, bảo mật cho nó thì dường như không quan tâm đến .

Sau đó nó đưa cho tôi quyền root để đăng nhập vào máy chủ của Trung tâm X, kiểm tra 1 vài thông tin về phần cứng, phiên bản linux distro, kernel, memory và các dịch vụ khác vẫn chưa thấy điều gì bất thường. Mở thêm 1 terminal dùng nmap để scan cổng của các ứng dụng trên máy chủ cũng thấy bình thường, SSH, HTTP, HTTPS, SMTP,...đều có đầy đủ.

Mở Pidgin trở lại nhắn tin cho nó, hỏi nó 1 vài thông tin , sau đó quay trở lại màn hình terminal trước đó , tcpdump sau đó tạm biệt nó để đi ngũ vì cũng đã hơn nữa đêm. Sáng sớm mới 6h sáng thức dậy, trong đầu vẫn còn đang mơ mộng, làm vệ sinh cá nhân xong, làm 1 ly cafe đầu đường cho tỉnh táo, vừa cafe mà còn nghĩ đến công việc hồi tối qua mà mình hứa với nó chưa giải quyết xong .

Làm vài ngụm sau đó về nhà, vội mở máy tính lên và log vào server của nó để tìm nguyên nhân và khắc phục, chợt nhớ đến tcpdump mà hôm qua mình có "cắm" trên server của nó , lấy nó về máy tính và dùng Wireshark để mở nó xem có chuyện gì bất thường vậy ta ? Cuối cùng phát hiện ra vấn đề

Thì ra thằng em nó có bật dịch vụ Syslog, rồi nó dùng 1 PC khác làm syslog client để đón nhận các syslog từ server gởi đến, trong trạng thái bình thường thì không sao cả tuy nhiên trong trạng thái khi bị tấn công thì làm cho ổ cứng trên máy chủ bị chiếm đầy dung lượng, làm cho server chạy cứ khùng khùng.

Cuối cùng điều chỉnh firewall cho UDP cổng 514 , điều chỉnh trong hệ thống chỉ cho phép IP client nào nhận syslog mà thôi , không nên public cái syslog đó ra ngoài môi trường internet vì nó rất dễ làm mồi nhữ cho kẻ tấn công, thay vì vậy nên để nó trong môi trường nội mạng, mã hóa traffic bằng giữa client và server bằng SSL là điều cũng nên làm.... Trước đây cũng rất lâu, có 1 thời điểm server của mình cũng bị tình trạng như trên, tổng cộng log lên đến vài chục GB dẫn đến server chạy điên điên, khùng khùng, làm vài giải pháp tinh chỉnh như trên thì từ đó đến nay không còn xuất hiện log có dung lượng lên đến vài chục GB trên máy chủ nữa.

Anh em nào còn gặp bị tình trạng , còn những giải pháp nào khác xin mời nhãy vào bàn luận, thảo luận để rộng đường tham khảo, hôm nào mình có dịp sẽ trình bày thêm về giải pháp dùng syslog-ng và splunk hoặc solr

Hy vọng 1 chút thủ thuật nhỏ trong vấn đề syslog sẽ giúp được vài anh em.

Lạm bàn về chính trị trong vụ việc Trường Sa và Hoàng Sa

2011-06-07T08:28:00.006+07:00

Gần 2 tuần trôi qua, một phần vì công việc, gia đình khá bận rộn nên cũng ít quan tâm đến thời sự tình hình hacker VN chơi với hacker TQ qua sự tranh chấp, đòi chủ quyền 2 quần đảo Hoàng Sa và Trường Sa . Sáng hôm nay công việc khá nhẹ nhàng hơn so với thời điểm cách đây 2 tuần nên viết 1 bài để gởi vài dòng "tâm sự" lang thang cá nhân của mình .

- Sự kiện lần này đa phần chỉ có hành động bộc phát của cả 2 phía bao gồm VN lẫn Trung Quốc,toàn những nhóm ..... nhưng nhìn chung đa phần các site chính phủ, tổ chức ở VN chịu thiệt hại nặng nề hơn. Tóm lại sau hành động tấn công vào nhau từ cả 2 phía như trên ta thu được lợi ích gì , theo tôi nghĩ nên kiềm chế thay vì có những hành động tấn công trả đủa lẫn nhau vì như thế chẳng khác nào "trứng chọi với đá" mặc dù tinh thần yêu nước, chủ nghĩa dân tộc ở mỗi con người đều có niềm tự hào riêng nhưng cũng không nên hành động bộc phát như vụ vừa qua.

- Thấy anh Diêu có viết 1 bài viết trong BQT , lượng traffic chưa đầy 6h có đến hơn 2,5Gbps thậm chí có ngày lên đến 10Gbps "đập" vào HVA có những IP có xuất xứ từ phía TQ , có những IP xuất xứ từ VN điều này cũng đáng buồn, đáng báo động cho những ai tò mò truy cập vào những trang web độc hại, dẫn đến làm mồi nhữ cho phía TQ. Sự việc rất nhiều site chính phủ bị tấn công, chiếm quyền điều khiển, thậm chí các máy tính của người dùng trở thành zombies của TQ cũng đáng báo động về việc phòng thủ hệ thống của các bộ, ban ngành, tổ chức, công ty, cá nhân ở VN.Bị đánh te tua thế mới biết....mình là ai, mình như thế nào, ta ra sao !?

- Đọc các tờ báo điện tử như VietNamNet, VNexpress, TuoiTre, ThanhNien và những tở báo ở nước ngoài như BBC thì thấy ông Đại tướng của VN Phùng Quang Thanh có những lời phát biểu giữa hội nghị Shangri-La thể hiện lập trường cứng rắng, mạnh mẽ, quyết không chịu nhường 1 tấc đất nào cho phía TQ cũng ấm lòng hàng triệu trái tim VN "Là một quốc gia biển, trải qua nhiều cuộc chiến tranh, chúng tôi thấu hiểu giá trị của hòa bình và ổn định cho xây dựng và phát triển đất nước. Chính vì vậy, chính sách quốc phòng của Việt Nam là hòa bình và tự vệ" . Lang thang qua trang BBC thấy có 2 cuộc biểu tình trong trạng thái ôn hòa ở TPHCM và Hà Nội , đọc bài trả lời của ông Thứ trưởng Nguyễn Chí Vịnh Việt Nam sẽ cố gắng hết sức để những sự việc như vừa rồi không leo thang, không tái diễn. Tuy nhiên, nếu như một bên nào đó muốn leo thang thì Việt Nam cũng sẽ có hành động để bảo vệ chủ quyền của mình, không thể ngồi im được. Nhận xét của ông Thứ trưởng càng tăng niềm tin của dân chúng với Đảng , nhà nước nhiều hơn.Theo tôi nghĩ rằng VN mình vừa theo chiến thuật cứng rắn, mạnh mẽ, ôn hòa tuy nhiên nếu có hành động gây hấn, xâm lược thì dù có "trứng chọi với đá" thì cũng chơi đến cùng.

- Hầu như ai cũng biết rằng VN bị ảnh hưỡng rất lớn từ phía TQ có thể hồi xa xưa ở mặt kinh tế, chính trị, ...vì VN là nước nhỏ hơn, kinh tế còn nghèo, chậm phát triển hơn phía TQ nhưng theo tôi thấy đường lối đổi mới, cải cách, không có chiến tranh, kinh tế dần dần phát triển cũng hay hơn so với nhiều quốc gia khác trên thế giới. VN theo chính sách vừa chơi, vừa học hỏi, vừa đề phòng giặc rất mạnh từ phương Bắc, nếu khơi đầu cho chiến tranh trên các mặt trận như kinh tế, Cyber war, thì đương nhiên bị thất thế, bất lợi hơn so với TQ.

- Bạn có dám chắc rằng linh kiện điện tử của bạn , thiết bị cá nhân trong gia đình của bạn không có hàng China ? Bạn đòi tẩy chay hàng hóa từ phía TQ, thiết bị TQ được xuất sang thị trường EU, Mỹ, Nhật đảm bảo nó tốt, bền, rẽ tiền nhưng nó tiêu tốn điện năng và tiếng ổn khá lớn so với các thiết bị khác. Thật tình mà nói chỉ vì cuộc sống người ta mới chọn hàng TQ ví dụ như bác xe ôm nghèo lấy đâu ra tiền để mua chiếc xe Japan để chạy kiếm sống hàng ngày, nếu bạn có tiền bạc, kinh tế kha khá 1 chút thì bạn đâu có ngu để mua hàng TQ thay vì đó bạn sẽ nghĩ ngay đến việc mua xe hơi của Mỹ, Nhật, EU hay xe máy SH, AirBlade cuối cùng tất cả cũng chỉ vì cuộc sống mà thôi tẩy chay hàng hóa để làm gì cơ chứ !?

- Phái đoàn của Việt Nam đã có những thành công lớn ở hội nghị Shangri-La lần này vì lần đầu tiên nói thẳng với quốc tế rằng TQ đang có hành động xâm chiếm lãnh thổ VN do cha ông xây dựng, khai phá những vùng đất mới và VN hoàn toàn có đầy đủ bằng chứng rõ ràng về cả 2 quần đảo Trường Sa và Hoàng Sa là của VN do vậy không nên tập trung, hô hào biểu tình ở trạng thái quá khích để cho các phần tử xấu có cơ hội lật đổ chính quyền . Ý trời, không lẽ bạn nghĩ rằng mấy vị lãnh đạo Đảng, nhà nước, tư vấn, cố vấn, các bộ, ban ngành,...nguyên cả một hệ thống chính trị to lớn họ chỉ biết đứng nhìn, họ không nhận ra rằng TQ đang có hành động gây hấn xâm chiếm VN hay sao,mà là họ biết mình, biết ta đó mà thôi .

Sáng nay sao có nhiều "cảm nghĩ" đến thế, anh em đọc qua có điều gì không phải, thiếu xót xin vui lòng bỏ qua giùm cho

Security:How To allow access to AIM,Yahoo,Gtalk and MSN Messenger through Squid Proxy ?

2011-05-26T22:24:00.001+07:00

How To allow access to AIM,Yahoo,Gtalk and MSN Messenger through Squid Proxy ?

To proxy and to allow AIM,MSN,Yahoo and GTalk Instant Messenger traffic via with Squid,change/add the following line in the Squid configuration file

# Allow AIM protocols
acl AIM_ports port 5190 9898 6667
acl AIM_domains dstdomain .oscar.aol.com .blue.aol.com .freenode.net
acl AIM_domains dstdomain .messaging.aol.com .aim.com
acl AIM_hosts dstdomain login.oscar.aol.com login.glogin.messaging.aol.com toc.oscar.aol.com irc.freenode.net
acl AIM_nets dst 64.12.0.0/255.255.0.0
acl AIM_methods method CONNECT
http_access allow AIM_methods AIM_ports AIM_nets
http_access allow AIM_methods AIM_ports AIM_hosts
http_access allow AIM_methods AIM_ports AIM_domains

# Allow Yahoo Messenger
acl YIM_ports port 5050
acl YIM_domains dstdomain .yahoo.com .yahoo.co.jp
acl YIM_hosts dstdomain scs.msg.yahoo.com cs.yahoo.co.jp
acl YIM_methods method CONNECT
http_access allow YIM_methods YIM_ports YIM_hosts
http_access allow YIM_methods YIM_ports YIM_domains

# Allow GTalk
acl GTALK_ports port 5222 5050
acl GTALK_domains dstdomain .google.com
acl GTALK_hosts dstdomain talk.google.com
acl GTALK_methods method CONNECT
http_access allow GTALK_methods GTALK_ports GTALK_hosts
http_access allow GTALK_methods GTALK_ports GTALK_domains

# Allow MSN
acl MSN_ports port 1863 443 1503
acl MSN_domains dstdomain .microsoft.com .hotmail.com .live.com .msft.net .msn.com .passport.com
acl MSN_hosts dstdomain messenger.hotmail.com
acl MSN_nets dst 207.46.111.0/255.255.255.0
acl MSN_methods method CONNECT
http_access allow MSN_methods MSN_ports MSN_hosts

Tập huấn VNPT An Giang

2011-05-23T07:53:00.003+07:00

Nhận được quyết định của Ban giám đốc về việc cử đi học tập huấn, địa điểm tập huấn tại VNPT An Giang do các chuyên gia Huawei giảng dạy từ ngày 30/05/2011 đến 16/06/2011 , đọc quyết định thấy lạ là ở điểm, từ xưa đến giờ thường xuyên chỉ đi học tập huấn ở TPHCM và Hà nội nhưng mà lần này lại cử mình đi học tập huấn địa điểm ở VNPT An Giang vậy cà !?

Ah thì ra là do họ gom 1 vài tỉnh gần nhau nhất lại để thuận lợi cho việc, mà trong thời gian mình cũng chẳng muốn đi học xa nhà hay đi bất cứ đâu nữa...Bắt đầu từ từ thu xếp mọi việc để đi tập huấn , nếu có thời gian rãnh sẽ làm 1 bài ký sự nho nhỏ về tình hình ăn nhậu tại Long Xuyên

Using Squid Proxy to Fight DDoS

2011-05-22T07:55:00.000+07:00

Complicated web applications are often difficult to scale, as a result they become easy DDoS targets. However, making them scale is easy with front-end proxy servers. The added scale gives an application more resiliency to DDoS attacks.

When setup correctly, the proxy “network” becomes the target of any malicious activity and can be placed globally while still keeping the original web application in same location for content.

This is by no means new, it’s been done all over the Internet and in some cases is the base of a bunch of different companies. This is just a simple tutorial that is meant to help people understand how this works.

Proxy servers can also be used with a dynamic caching function which can provide caching which will help increase the speed and functionality of the web site.

Positives:

Scales web server farms

Increases reach

Can accelerate a web site

Can provide additional security layers

Negatives:

Adds an additional layer of debugging

Slows down long dynamic pages if they are not cacheable

Expensive to operate

To start, I recommend using Squid Proxy version 2.7, it is available at http://www.squid-cache.org/

After downloading the package, the vanilla build will suffice for most needs. You can use FreeBSD as the operating system and simply make install on the /usr/ports/www/squid package or build the package with a ./configure –prefix=/usr/local ; make install

Often the prefix is /usr/local but determine what is appropriate for your OS.

After the build has finished you will need to configure Squid, attached below is a sample configuration file:

acl all src 0.0.0.0/0.0.0.0 acl DO_NOT_CACHE urlpath_regex -i cgi-bin \? asp php css js acl manager proto cache_object acl purge method PURGE # refresh_pattern .               0       20%     1440 # http_access allow all icp_access allow all # request_header_max_size 10 KB # cache_dir ufs /vol1/cachedir 512 16 256 # visible_hostname supersite.com pid_filename /var/run/squid.pid # cache_access_log /var/log/httpd/proxy-a_access.log # cache_mem 64 MB maximum_object_size_in_memory 64 MB # httpd_accel_host virtual httpd_accel_uses_host_header on # # connect_timeout 30 seconds # emulate_httpd_log on hierarchy_stoplist cgi-bin ? asp css js php http_port XX.YY.ZZ.AA:80 http_port XX.YY.ZZ.BB:80 negative_ttl 60 seconds no_cache deny NOCACHE

The configuration options are all explained in the default configuration file, the only major items to change are the http_port list, which should be the IP address it should respond on and the cache configuration. Some sites may have special items that should not cache. Often css and js should cache, but for this example they are dynamic.

The logs will be written to /var/log/httpd/proxy-a_access.log in a combined Apache style format.

When starting the squid, you will need to create a /cache directory on the server, simply run:

mkdir /vol1/cachedir
chown squid /vol1/cachedir

You will also need to Create swap directories so Squid can run:

/usr/local/bin/squid ‚Äìz

You will also need to teach squid how to communicate back to your ‚Äúreal‚Äù or ‚Äúbackend‚Äù web farm, often the DNS for www points to the IP address squid is answering requests for, this can be done using the /etc/hosts file:

XX.YY.AA.BB www.mysitedns.com

Replace the example above with the real IP address of the web farm and the host entry you want to be used to reach the IP address.

Once squid is running and answering requests (/usr/local/bin/squid -k reconfigure /usr/local/etc/squid.conf) and the cache is working, it tends to stay stable until the hardware fails or you become under DDoS attack, which may require some additional ACLs within the squid.conf or SYN cookies configurations on the OS itself.

Scaling squid is also not very difficult, it’s possible to load balance a farm of Squid servers with any standard load balancer, and have the requests still return to the same web farm, which may or may not work with any given user authentication / sessions setup.

Blocking a given attack in Squid is trivial, however, if there are hundreds of Squid servers to configure at the same time, this may require some special configuration management that could require some development effort.

Often most attacks have an empty or mal-formed User-Agent, this simple ACL will block 99% of invalid User-Agent attacks:

acl OK_BROWSER browser a b c d e f g h i j k l m n o p a r s t u v w x y z 1 2 3 4 5 6 7 8 9 0 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z acl DO_NOT_CACHE urlpath_regex -i cgi-bin \? asp php css js http_access allow OK_BROWSER http_access deny all http_access deny manager http_access deny purge icp_access allow all

You can also create a deny filter by creating an ACL that will deny rather than allow, the above ACL requires the user to have an VARCHAR in their User-Agent, which is pretty wide, so denying a specific item can be done like this:

acl BAD_BROWSER browser Attack-Bot

Add the deny line as the first line in the http_access ACL:

http_access deny BAD_BROWSER

Blocking a specific URL can look like this configuration line (which is designed to block most malicious requests):

acl BLOCK_URI urlpath_regex -i \.exe \.\./\.\. \.\.\. \.ida \.idq \.IDA \.cnf \.asp \.dll 333-3333 test999 passwd /etc \` boot \.exe cmd \./\./ filenumber \% \* \; SELECT \\\.\.\\ \/\.\.\/

Configuration of connection rate limiting looks like:

acl 8conn maxconn 8

And blocking a specific source address prefix:

acl ip_addr1 src 192.168.1.0/24

Just ensure that the ACL that is created is also configured in the http_access deny/allow list properly. Squid also needs to be told to re-read the configuration file, this is done by sending squid a ‚Äìk reconfigure flag which will simply reload the rules without impacting traffic.

To enable reverse proxy of SSL with the Squid cache owning the SSL certificate, you can use a pem cert and the following configuration line:

https_port IP:443 cert=/usr/local/etc/squid/certs/COMPANY/COMPANY.pem key=/usr/local/etc/squid/certs/COMPANY/COMPANY.key

Use Nginx as a reverse proxy for DirectAdmin

2011-05-19T23:04:00.003+07:00

1. You need to compile Nginx. Nginx version 0.8.54 is the lastest stable release as of today. So, just copy and paste below code into your SSH

wget http://sysoev.ru/nginx/nginx-0.8.54.tar.gz
tar xvfz nginx-0.8.54.tar.gz
cd nginx-0.8.54
./configure --with-http_stub_status_module --with-http_gzip_static_module
make
make install

After installed, path related to Nginx is shown below : (Note that since you compile Nginx, there is no nginx.pid file there. You need to write it.)

nginx path prefix: "/usr/local/nginx"
nginx binary file: "/usr/local/nginx/sbin/nginx"
nginx configuration prefix: "/usr/local/nginx/conf"
nginx configuration file: "/usr/local/nginx/conf/nginx.conf"
nginx pid file: "/usr/local/nginx/logs/nginx.pid"
nginx error log file: "/usr/local/nginx/logs/error.log"
nginx http access log file: "/usr/local/nginx/logs/access.log"
nginx http client request body temporary files: "client_body_temp"
nginx http proxy temporary files: "proxy_temp"
nginx http fastcgi temporary files: "fastcgi_temp"
nginx http uwsgi temporary files: "uwsgi_temp"
nginx http scgi temporary files: "scgi_temp"

2. Edit configuration file:

nano -w /usr/local/nginx/conf/nginx.conf

Code is like below :
user apache apache;

worker_processes 4; # Set it according to what your CPU have. 4 Cores = 4
worker_rlimit_nofile 8192;

pid /var/run/nginx.pid;

events {
worker_connections 1024;
}

http {
include mime.types;
default_type application/octet-stream;

log_format main '$remote_addr - $remote_user [$time_local] '
'"$request" $status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';

server_tokens off;
access_log /var/log/nginx_access.log main;
error_log /var/log/nginx_error.log debug;

server_names_hash_bucket_size 64;
sendfile on;
tcp_nopush on;
tcp_nodelay off;
keepalive_timeout 30;
gzip on;
gzip_comp_level 9;
gzip_proxied any;

proxy_buffering on;
proxy_cache_path /usr/local/nginx/proxy_temp levels=1:2 keys_zone=one:15m inactive=7d max_size=1000m;
proxy_buffer_size 16k;
proxy_buffers 100 8k;
proxy_connect_timeout 60;
proxy_send_timeout 60;
proxy_read_timeout 60;

server {
listen xxx.xxx.xxx.xxx:81 default rcvbuf=8192 sndbuf=16384 backlog=32000; # Real IP here
server_name domain.name _ ; # "_" is for handle all hosts that are not described by server_name
charset off;
access_log /var/log/nginx_host_general.access.log main;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://xxx.xxx.xxx.xxx; # Real IP here
client_max_body_size 16m;
client_body_buffer_size 128k;
proxy_buffering on;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 120;
proxy_buffer_size 16k;
proxy_buffers 32 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
}
}
# below is include so that you can have separate setting per vhost.
include /usr/local/nginx/vhosts/*.conf;
}

In the above config, it's general reverse proxy for all domain name on DirectAdmin server. If you need to have a separate configuration like domain A to really use Nginx as a web server, not reverse proxy, then, you can just create that configuration file inside "/usr/local/nginx/vhosts/". Or you may need to change something different from global setting. Just create a new configuration file for that specific Virtualhost.

Also, insert code below if you want to monitor Nginx from Munin or anything similar :

server {
listen 127.0.0.1:81;
server_name localhost;
location /nginx_status {
stub_status on;
access_log off;
allow xxx.xxx.xxx.xxx; # Real IP here
allow 127.0.0.1;
deny all;
}
}

Here, I have to set localport to use port 81 since it's the port that we use to monitor this Nginx setup.

3. Create init.d script to be able to start stop nginx service.

nano -w /etc/init.d/nginx

Copy and paste the code below :

#!/bin/sh
#
# nginx - this script starts and stops the nginx daemin
#
# chkconfig: - 85 15
# description: Nginx is an HTTP(S) server, HTTP(S) reverse \
# proxy and IMAP/POP3 proxy server
# processname: nginx
# config: /usr/local/nginx/conf/nginx.conf
# pidfile: /usr/local/nginx/logs/nginx.pid

# Source function library.
. /etc/rc.d/init.d/functions

# Source networking configuration.
. /etc/sysconfig/network

# Check that networking is up.
[ "$NETWORKING" = "no" ] && exit 0

nginx="/usr/local/nginx/sbin/nginx"
prog=$(basename $nginx)

NGINX_CONF_FILE="/usr/local/nginx/conf/nginx.conf"

lockfile=/var/lock/subsys/nginx

start() {
[ -x $nginx ] || exit 5
[ -f $NGINX_CONF_FILE ] || exit 6
echo -n $"Starting $prog: "
daemon $nginx -c $NGINX_CONF_FILE
retval=$?
echo
[ $retval -eq 0 ] && touch $lockfile
return $retval
}

stop() {
echo -n $"Stopping $prog: "
killproc $prog -QUIT
retval=$?
echo
[ $retval -eq 0 ] && rm -f $lockfile
return $retval
}

restart() {
configtest || return $?
stop
start
}

reload() {
configtest || return $?
echo -n $"Reloading $prog: "
killproc $nginx -HUP
RETVAL=$?
echo
}

force_reload() {
restart
}

configtest() {
$nginx -t -c $NGINX_CONF_FILE
}

rh_status() {
status $prog
}

rh_status_q() {
rh_status >/dev/null 2>&1
}

case "$1" in
start)
rh_status_q && exit 0
$1
;;
stop)
rh_status_q || exit 0
$1
;;
restart|configtest)
$1
;;
reload)
rh_status_q || exit 7
$1
;;
force-reload)
force_reload
;;
status)
rh_status
;;
condrestart|try-restart)
rh_status_q || exit 0
;;
*)
echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}"
exit 2
esac

As the init file is a shell script, it needs to have executable permissions.

chmod +x /etc/init.d/nginx

Now you can start, stop , reload Nginx through command below :
service nginx start
service nginx stop
service nginx restart
service nginx reload

Now we have the base script prepared, we need to add it to the default run levels:

/sbin/chkconfig nginx on

4. Once you're done, try to run the website with port 81. Type in your regular URL but end with :81 Such as ..

http://www.domainname.com:81/test/information

5. If your website loaded as usual, then, it's time to redirect all the traffic from port 80 to port 81. Just copy and paste the code below :

iptables -t nat -A PREROUTING -p tcp -s ! xxx.xxx.xxx.xxx --dport 80 -j REDIRECT --to-ports 81

Now, access your website normally, no need to add port 81. But if your website doesn't work as it should be. You may need to run command below to disable port forwarding so that you can check your configuration again.

iptables -t nat -D PREROUTING -p tcp -s ! xxx.xxx.xxx.xxx --dport 80 -j REDIRECT --to-ports 81

Actually, I also try to serve cache static file using code below :
location ~* ^.+.(jpg|jpeg|gif|png|ico|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|txt|tar|mid|midi|wav|bmp|rtf)$ {
root /home/admin/public_html;
expires 30m;
}

I don't know if I really need that code to make Nginx works properly or not. Still, I tried both configurations. Now.... how about load?? performance??? Is it worth to do it? ... Since I don't have any program to test it. I just base on my feeling alone. I feel that with Nginx as a reverse proxy doesn't really help much compare to Apache Worker MPM. The server load is quite the same. The only thing I found it's better is memory consumption. (~ 18 M for NginX vs ~ 200 M for Apache)

Note :
1. About nginx.pid, I found that when restart service, sometime it work, sometime it doesn't. So, check it carefully.
2. I also tested Reverse proxy cache and it seems to work pretty good. However, most of my websites are Drupal and with Reverse proxy cache, it doesn't play well together. When I update content with image, I usually end up with Repeating loop. This will only happen once I do the port forwarding. But if I work on the site with port 81, it works correctly.

Tested with below software :
1. CentOS 5.4 / 5.5 - 64 bits
2. DirectAdmin 1.37 - With Custombuild 1.2
3. Apache 2.2.17 - Worker MPM
4. Nginx 0.8.5
5. PHP 5.2.17 / 5.3.5
6. PHP-FPM in PHP 5.3.5
7. APC 3.1.7

Source :
- http://www.directadmin.com/forum/showthread.php?t=27344
- http://articles.slicehost.com/2009/2/2/centos-adding-an-nginx-init-script

Snort + barnyard2 + base trên Centos

2011-05-19T01:00:00.006+07:00

Chiều nay ở nhà nội có tổ chứ đám cúng cơm (đám giổ) ông nội mất vừa tròn 2 năm, vác đến nhà nội gần 30 lon bia 333 còn "cù" lại bửa hôm trước ăn nhậu ở nhà để chú cháu cùng nhau làm vài chai cho xôm tụ nhà cửa.

Tối nay đến công ty trực, nhân tiện không có chuyện gì để làm bắt đầu tiến hành setup lại Snort + barnyard2 + base trên Centos, do trong công ty có 1 máy tính để bàn "cùi bắp" Pentium 4 không còn ai sử dụng nó nên lấy nó làm lab thử nghiệm. Gắn thêm 1 card mạng rời để sniff interface và card mạng onboard còn lại thì dùng mục đích quản lý .

Mất gần 2h cài đặt Centos sau đó cài đặt snort và cài đặt những gói cài đặt liên quan như MySQL, PHP, Apache, pcre , libpcap,zlib, base,.. mới hoàn tất mọi thứ.

--== Initialization Complete ==--

,,_ -*> Snort! <*-
o" )~ Version 2.9.0.5 (Build 135)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2011 Sourcefire, Inc., et al.
Using libpcap version 1.0.0
Using PCRE version: 6.6 06-Feb-2006
Using ZLIB version: 1.2.3

Rules Engine: SF_SNORT_DETECTION_ENGINE Version 1.13
Preprocessor Object: SF_DCERPC2 Version 1.0
Preprocessor Object: SF_SMTP Version 1.1
Preprocessor Object: SF_SSH Version 1.1
Preprocessor Object: SF_DNS Version 1.1
Preprocessor Object: SF_FTPTELNET Version 1.2
Preprocessor Object: SF_SDF Version 1.1
Preprocessor Object: SF_SSLPP Version 1.1
Commencing packet processing (pid=11019)

*** Caught Int-Signal
===============================================================================
Run time for packet processing was 237.16707 seconds
Snort processed 52 packets.
Snort ran for 0 days 0 hours 3 minutes 57 seconds
Pkts/min: 17
Pkts/sec: 0

# yum -y install mysql mysql-server mysql-bench mysql-devel httpd php php-mbstring php-devel php-mysql php-pear gcc pcre-devel php-gd gd glib2-devel gcc-c++ libpcap-devel

# wget http://libdnet.googlecode.com/files/libdnet-1.12.tgz
# tar zxvf libdnet-1.12.tgz

[root@server ~]# cd libdnet-1.12
[root@server libdnet-1.12]# ./configure --prefix=/usr/local/snort --bindir=/usr/local/bin
[root@server libdnet-1.12]# make
[root@server libdnet-1.12]# make install

[root@server ~]# wget http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz
[root@server ~]# tar zxvf libpcap-1.0.0.tar.gz
[root@server ~]# cd libpcap-1.0.0
[root@server libpcap-1.0.0]# ./configure --prefix=/usr/local/snort --bindir=/usr/local/bin
[root@server libpcap-1.0.0]# make
[root@server libpcap-1.0.0]# make install

[root@server ~]# tar zxvf daq-0.5.tar.gz
[root@server ~]# cd daq-0.5
[root@server daq-0.5]# ./configure --prefix=/usr/local/snort --bindir=/usr/local/bin --with-libpcap-includes=/usr/local/snort/include --with-libpcap-libraries=/usr/local/snort/lib --enable-static
[root@server daq-0.5]# make
[root@server daq-0.5]# make install

[root@server ~]# groupadd snort
[root@server ~]# useradd -g snort -d /etc/snort -M -s /sbin/nologin snort
[root@server ~]# tar zxvf snort-2.9.0.5.tar.gz
[root@server ~]# cd snort-2.9.0.5
[root@server snort-2.9.0.5]# ./configure --with-mysql-libraries=/usr/lib/mysql --enable-targetbased --enable-dynamicplugin --enable-sourcefire --enable-reload --enable-zlib --enable-gre --enable-mpls --enable-ppm --enable-perfprofiling --with-dnet-includes=/usr/local/snort/include --with-dnet-libraries=/usr/local/snort/lib --with-daq-includes=/usr/local/snort/include --with-daq-libraries=/usr/local/snort/lib

Dùng 64x
./configure --with-mysql-libraries=/usr/lib64/mysql --enable-targetbased --enable-dynamicplugin --enable-sourcefire --enable-reload --enable-zlib --enable-gre --enable-mpls --enable-ppm --enable-perfprofiling --with-dnet-includes=/usr/local/snort/include --with-dnet-libraries=/usr/local/snort/lib --with-daq-includes=/usr/local/snort/include --with-daq-libraries=/usr/local/snort/lib

[root@server snort-2.9.0.5]# make
[root@server snort-2.9.0.5]# make install

[root@server snort-2.9.0.5]# ln -s /usr/local/bin/snort /usr/sbin/
[root@server snort-2.9.0.5]# cp rpm/snortd /etc/init.d/

[root@server snort-2.9.0.5]# chmod 755 /etc/init.d/snortd
[root@server snort-2.9.0.5]# cp rpm/snort.sysconfig /etc/sysconfig/snort

[root@server snort-2.9.0.5]# mkdir /etc/snort
[root@server snort-2.9.0.5]# mkdir /var/log/snort
[root@server snort-2.9.0.5]# chown snort:snort /var/log/snort/

[root@server snort-2.9.0.5]# cp etc/* /etc/snort/
[root@server snort-2.9.0.5]# rm -rf /etc/snort/Makefile*

[root@server ~]# mkdir -p /usr/local/lib/snort_dynamicrules

Nếu dùng x64 thì
mkdir -p /usr/local/lib64/snort_dynamicrules

[root@server ~]# cd /etc/snort
[root@server ~]# tar zxvf snortrules-snapshot-2905.tar.gz

[root@server ~]# cp /etc/snort/so_rules/precompiled/Centos-5-4/i386/2.9.0.5/*.so /usr/local/lib/snort_dynamicrules/

Nếu dùng x64 thì
[root@server ~]# cp /etc/snort/so_rules/precompiled/Centos-5-4/x86-64/2.9.0.5/*.so /usr/local/lib64/snort_dynamicrules/

[root@server snort]# cat /etc/snort/so_rules/*.rules >> /etc/snort/rules/so-rules.rules

[root@server snort]# cd /etc/snort/
[root@server snort]# vi snort.conf
Thay đổi các dòng sau
var RULE_PATH ../rules
var SO_RULE_PATH ../so_rules
var PREPROC_RULE_PATH ../preproc_rules

Thành
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules

Tìm dòng
# output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types

Thay thành
output alert_fast: alert

Tìm dòng
# output database: log, , user= password= test dbname= host=

Thay thành
output database: log, mysql, user=snort password=password dbname=snort host=localhost

[root@server snort]# vi /etc/sysconfig/snort
INTERFACE=eth0

ALERTMODE=fast
thành
#ALERTMODE=fast

DUMP_APP=1
thành
#DUMP_APP=1

BINARY_LOG=1
thành
#BINARY_LOG=1

[root@server snort]# /etc/rc.d/init.d/mysqld start
[root@server snort]# chkconfig mysqld on

[root@server snort]# chkconfig mysqld on
[root@server snort]# echo "set password for root@localhost=password('password');" | mysql -u root
[root@server snort]# echo "create database snort;" | mysql -u root -p

[root@server snort]# echo "grant all privileges on snort.* to snort@localhost with grant option;" | mysql -u root -p

[root@server snort]# echo "set password for snort@localhost=password('password');" | mysql -u root -p

[root@server ~]# cd snort-2.9.0.5/schemas/
[root@server schemas]# mysql -u root -p < create_mysql snort

[root@server ~]# unzip adodb511.zip
[root@server ~]# cp -rp adodb5 /var/www/adodb
[root@server ~]# chown apache:apache -R /var/www/adodb

[root@server ~]# tar zxvf base-1.4.5.tar.gz
[root@server ~]# cp -rp base-1.4.5 /var/www/html/base
[root@server ~]# chown apache:apache -R /var/www/html/base

[root@server ~]# cd /var/www/html/base/
[root@server base]# cp base_conf.php.dist base_conf.php
[root@server base]# vi base_conf.php

Tìm dòng
$BASE_urlpath = '';

thành
$BASE_urlpath = 'http://192.168.0.200/base';

Tìm dòng
$DBlib_path = '';

thành
$DBlib_path = '/var/www/adodb';

/* Alert DB connection parameters
* - $alert_dbname : MySQL database name of Snort alert DB
* - $alert_host : host on which the DB is stored
* - $alert_port : port on which to access the DB
* - $alert_user : login to the database with this user
* - $alert_password : password of the DB user
*
* This information can be gleaned from the Snort database
* output plugin configuration.
*/
$alert_dbname = 'snort';
$alert_host = 'localhost';
$alert_port = '';
$alert_user = 'snort';
$alert_password = 'password';

/* Archive DB connection parameters */
$archive_exists = 0; # Set this to 1 if you have an archive DB
$archive_dbname = 'snort';
$archive_host = 'localhost';
$archive_port = '';
$archive_user = 'snort';
$archive_password = 'password';

[root@server base]# vi /etc/php.ini
Tìm dòng
error_reporting = E_ALL

thành
error_reporting = E_ALL & ~E_NOTICE

[root@server base]# /etc/rc.d/init.d/httpd start
Starting httpd: [ OK ]
[root@server base]# chkconfig httpd on

[root@server ~]# wget http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-4.noarch.rpm
[root@server ~]# rpm -ivh epel-release-5-4.noarch.rpm

x64 thì
[root@server ~]# wget http://download.fedora.redhat.com/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm

[root@server ~]# yum install pcre pcre-devel php-pear-Numbers-Roman php-pear-Numbers-Words php-pear-Image-Color php-pear-Image-Canvas php-pear-Image-Graph

[root@server ~]# /etc/rc.d/init.d/snortd start

[root@server ~]# /usr/local/bin/snort -c /etc/snort/snort.conf -i eth0

Mantis Installation on Centos 5.5

2011-05-17T08:40:00.004+07:00

MantisBT is a open source web-based bugtracking and ticketing system. Mantis can be used like IT HelpDesk system. To know more about features visit : http://www.mantisbt.org/wiki/doku.php/mantisbt:features

[root@localhost ~]# yum update
[root@localhost ~]# yum install httpd php php-pdo php-mysql php-gd mysql mysql-server

[root@localhost ~]# chkconfig mysqld on
[root@localhost ~]# service mysqld restart
Stopping MySQL: [ OK ]
Starting MySQL: [ OK ]
[root@localhost ~]# chkconfig httpd on
[root@localhost ~]# service httpd restart
Stopping httpd: [ OK ]
Starting httpd: [ OK ]

[root@localhost ~]# cd /var/www/html/
[root@localhost html]#
[root@localhost html]# wget http://sourceforge.net/projects/mantisbt/files/mantis-stable/1.2.3/mantisbt-1.2.3.tar.gz/download
[root@localhost html]# tar xvf mantisbt-1.2.3.tar.gz
[root@localhost html]# mv mantisbt-1.2.3 mantis
[root@localhost html]# chown -R apache:apache mantis

Open following link in browser:
http://IPADDRESS/mantis
or
http://localhost/mantis
or
http://localhost/mantis/admin/install.php

Provide your mysql database basic configuration as shown in following image :

On succesful MYSQL authentication and database file creation, it will create the basic configuration file config_inc.php

On completion of installation Log on with:

Username: administrator
Password: root

Mantis Admin Console: