LỜI CẢM ƠN Sau gần 3 tháng tìm hiều và thực hiện, đề tài “tối ưu hóa hệ thống Linux” đã được hoàn thành, ngoài sự cố gắng của bản thân, chúng tôi còn nhận được nhiều sự động viên, khích lệ từ gia đình, thầy cô và bạn bè. Chúng em xin chân thành cảm ơn các thầy cô của trường Đại Học Giao Thông Vận Tải TP HCM đã truyền đạt nhiều kinh nghiệm và kiến thức quý báu cho chúng em trong suốt quá trình học tập. Đặc biệt chúng em xin tỏ lòng biết ơn sâu sắc tới thầy Lê Quốc Tuấn đã trực tiếp hướng dẫn chúng em làm đề tài và các thầy cô trong khoa công nghệ thông tin đã tận tình giúp đỡ chúng em trong suốt quá trình thực hiện đề tài. Thành quả đạt được ngày hôm nay là do thầy cô luôn sẵn sàng giúp đỡ và tạo mọi điều kiện tốt nhất cho chúng em. Chúng em sẽ mang theo kiến thức thầy cô đã dạy phục vụ trên con đường sự nghiệp và phát triển, mở rộng kiến thức thầy cô đã dạy. Mặc dù đã cố gắng hết sức để hoàn thành đề tài này, nhưng chắc chắn sẽ không tránh khỏi những sai sót. Chúng em rất mong nhận được sự thông cảm và đóng góp, chỉ bảo tận tình của quý thầy cô và bạn bè. TP Hồ Chí Minh, Ngày… Tháng… Năm 2012 Nhóm sinh viên thực hiện Lê Thái Dương–Vũ Văn Phong i MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH SÁCH CÁC HÌNH vi TỪ VIẾT TẮT vii TỔNG QUAN 1 CHƯƠNG 1: TỔNG QUAN VỀ TỐI ƯU VÀ BẢO MẬT LINUX 4 CHƯƠNG 2: TỐI ƯU DỊCH VỤ WEB SERVER 11 CHƯƠNG 3: TỐI ƯU HỆ THỐNG VỚI PROXY 22 CHƯƠNG 4: TỐI ƯU HỆ THỐNG VỚI FIREWALL 32 CHƯƠNG 5: LOAD BALANCING 43 KẾT LUẬN 56 HƯỚNG PHÁT TRIỂN 57 DANH MỤC TÀI LIỆU THAM KHẢO 58 PHỤ LỤC CÁCH TRIỂN KHAI MỘT SỐ DỊCH VỤ CẦN THIẾT 58 ii iii NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Tp. Hồ Chí Minh, ngày … tháng … năm 201… Giáo viên hướng dẫn ThS: Lê Quốc Tuấn iv NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN Tp. Hồ Chí Minh, ngày … tháng … năm 201… Giáo viên phản biện v DANH SÁCH CÁC HÌNH Hình 1.2: Cấu trúc Microkernels 5 Hình 1.3: Cấu trúc Hybrid Kernel 6 Hình 2.1: Quá trình xử lý các Request của apache với ModSecurity 14 Hình 3.1: Giới hạn truy cập trang web không cho phép 27 Hình 3.2: Host không bị giới hạn có thể truy cập vào những trang cấm 28 Hình 3.3: Download đã bị giới hạn 30 Hình 3.4: Chứng thực username và password khi truy cập web thông qua proxy 31 Hình 4.1 Quá trình xử lý của Iptables 32 Hình 4.2: Bảng mô tả quá trình NAT động 32 Hình 4.3: Bảng mô tả quá trình đóng giả IP Masquerade 33 Hình 4.4: Kết nối telnet đến Server Linux 38 Hình 4.5: Không thể kết nối đến server linux thông qua telnet 39 Hình 4.6: Cho phép Packet đi qua interface eth0 và eth1 40 Hình 5.1: Cấu trúc hệ thống cân bằng tải 44 Hình 5.2: Mô hình cân bằng tải trong thực tế 45 Hình 5.3: Lập thông số cho Server Load Blancer 2 thông qua tab Redundancy 49 Hình 5.4: Thiết lập tên Server, giao thức cũng như kiểu phân tải phù hợp 49 Hình 5.5: Cấu hình cho các WebServer trong Piranha 50 Hình 5.6: Thiết lập thông số cho từng WebServer 50 Hình 5.7: Active trạng thái cho các WebServer 50 vi TỪ VIẾT TẮT Từ viết tắt Tiếng Anh Nghĩa tiếng việt I/O Input/Output Thiết bị nhập/xuất. CPU Central Processing Unit Đơn vị xử lí trung tâm. RAM Random Access Memory Bộ nhớ truy xuất ngẫu nhiên. URL Uniform Resource Locator Tham chiếu tài nguyên SQL Structured Query Language Ngôn ngữ truy vấn mang tính cấu trúc MPMs Multi-Processing Modules Xử lý nhiều mô-đun HTTP HyperText Transfer Protocol Giao thức truyền tải văn bản. HTTPS Hypertext Transfer Protocol Secure Giao thức truyền tải văn bản an toàn. XSS Cross-Site Scripting Một kỹ thuật tấn công. XML eXtensible Markup Language Ngôn ngữ đánh dấu mở rộng. HTML HyperText Markup Language Ngôn ngữ đánh dấu siêu văn bản. URI Uniform Resource Identifier Định danh tài nguyên đồng dạng. ID Identification Xác định. IP Internet Protocol Giao thức liên mạng. FTP File Transfer Protocol Giao thức truyền tập tin. SSL Secure Sockets Layer Là 1 tiêu chuẩn an ninh công nghệ. CARP Common Address Redundancy Protocol Địa chỉ chung dư giao thức ICP International Center of Photograph WCCP Web Cache Communication Protocol Giao thức bộ nhớ Web SNMP Simple Network Management Protocol Tập hợp các giao thức. DNS Domain Name System Hệ thống tên miền. ACL Access Control List Điều khiển danh sách truy cập. NCSA National Center for Supercomputing Applications Trung tâm ứng dụng siêu máy tính quốc gia. NAT Network Address Translation Chuyển đổi địa chỉ mạng. TCP Transmission Control Protocol Giao thức điều khiển truyền vận. UDP User Datagram Protocol Là 1 giao thức cốt lõi của TCP/IP. ICMP Internet Control Message Là 1 giao thức hoạt động trên layer 2 vii Protocol viii TỔNG QUAN A. Lý do chọn đề tài Ngày nay, xu hướng sử dụng Open Source ngày càng gia tăng. Với những ưu điểm như sự ổn định, miễn phí, cập nhật bản vá lỗi nhanh… Do vậy Linux ngày càng được sử dụng rộng rãi. Ngày càng có nhiều doanh nghiệp và các tổ chức chính phủ sử dụng các phần mềm mã nguồn mở như Linux… Điều này chứng minh rõ ràng giá cả không phải là lợi thế duy nhất mà các phần mềm này mang lại cho người sử dụng. Trong giai đoạn suy thoái của nền kinh tế, việc sử dụng các phần mềm mã nguồn mở sẽ giúp doanh nghiệp tiết kiệm một khoảng chi phí không nhỏ .Không chỉ có thế, các phần mềm mã nguồn mở miễn phí còn mang rất nhiều lợi ích khác cho công việc kinh doanh, một số lợi ích thậm chí còn lớn hơn cả các phần mềm giá rẻ. Đối với các doanh nghiệp ở Việt Nam, ý thức chú trọng áp dụng CNTT vào trong doanh nghiệp chưa được cao, đặc biệt là vấn đề bản quyền chưa được chú trọng đầu tư thì phần mềm mã nguồn mở sẽ là biện pháp thay thế hoàn hảo. Chính xu hướng đó mà chúng em đã đăng ký đềtài “Tối ưu hóa hệ thống mạng Linux”,Chúng em nhận thấy với những ưu điểm kể trên và xu hướng phát triển, thì việc áp dụng đề tài này vào trong doanh nghiệp là tất yếu ở hiện tại và tương lai. B. Nhiệm vụ đồ án Tối ưu hóa hệ thống Linux đòi hỏi phải có những thay đổi trên hệ thống. Một hệ thống sau khi được tối ưu phải có những ưu điểm khác biệt so với hệ thống khi chưa được tối ưu. Vì thế nhiệm vụ đồ án đặt ra là: o Tối ưu hóa hệ điều hành linux. o Tối ưu hóa bảo mật hệ thống linux o Tối ưu hóa dịch vụ triển khai Những triển khai tối ưu đòi hỏi phải được ứng dụng thức tế trong các mô hình mạng. Giải quyết được các vấn đề về tối ưu và mở ra những giải pháp mới phù hợp, đáp ứng được từng mô hình mạng. 1 C. Cấu trúc đồ án o Chương 1: Tổng quan về tối ưu và bảo mật linux. Trong chương này chúng em sẽ giới thiệu về linux, tối ưu và bảo mật. Những tối ưu cơ bản ảnh hưởng đến hệ thống được trình bày ở chương này. o Chương 2: Tối ưu dịch vụ Web server. Chương này chúng em trình bày và triển khai yêu cầu tối ưu hóa dịch vụ linux. Và dịch vụ Web server chúng em triển khai trước tiên. o Chương 3: Tối ưu hệ thống với Proxy. Trình bày về dịch vụ Proxy và những ràng buộc để tối ưu theo từng yêu cầu của dịch vụ. Cấu hình proxy quản lý mô hình mạng tùy chỉnh. o Chương 4: Thiết lập Firewall IPtables. Trình bày bảo mật hệ thống và những yêu cầu cần phải làm trong Firewall o Chương 5: Load Balancing. Tối ưu với phương pháp cân bằng tải. Những vấn đề về cân bằng tải như tính năng, cách thiết lập và kiểm tra được chúng em giới thiệu trong chương này. Ngoài ra, phụ lục có cài đặt, triển khai những dịch vụ đi kèm hoặc cần làm trước khi triển khai những chương trên. 2 [...]... của hệ thống ở mức độ cao nhất Kenerl Linux: Linux Kernel là 1 hệ thống điểu hành hạt nhân được phát triển và sử dụng bởi cộng đồng người dùng Linux. Với hơn 13 triệu dòng lệnh, Linux Kernel đang là ví dụ nổi bật nhất về phần mềm mã nguồn mở, miễn phí.Hầu hết các bản phân phối linux đều chấp nhận kiến trúc monolithic kernel để giải quyết mọi lời gọi hệ thống và phần cứng Biên dịch Kernel: Kernel Linux. ..D Mô hình triển khai 3 CHƯƠNG 1: TỔNG QUAN VỀ TỐI ƯU VÀ BẢO MẬT LINUX 1.1Cơ bản về tối ưu và bảo mật hệ thống linux 1.1.1 Giới thiệu Linux kernel Kernel – hạt nhân: là một thành phần trung tâm của một hệ thống điều hành Nó hoạt động như một cổng kết nối giữa người sử dụng các ứng dụng và phần cứng Mục đích của hạt nhân chính... mã nguồn kernel mà bạn dự định sẽ biên dịch 10 CHƯƠNG 2: TỐI ƯU DỊCH VỤ WEB SERVER 2.1 Cơ bản về tối ưu Web Server Việc tối ưu ứng dụng Web không chỉ mang lại hiệu suất cao cho Web Server mà còn làm tăng khả năng bảo mật cho dịch vụ có thể coi là một trong những phần không thể thiếu trong hệ thống Linux Phần này sẽ tập trung nghiên cứu việc tối ưu dịch vụ Web Server - Thiết lập một số directive default... kết thúc Ưu điểm lớn đó cũng khiến Monolithic gặp một khó khăn lớn đó là sự phụ thuộc giữa các thành phần hệ thống, khi một trình điều khiển bị lỗi nó có thể dẫn tới sự sụp đổ toàn bộ hệ thống Microkernels Microkernel (còn được viết tắt μK hoặc uK) là một thuật ngữ mô tả một cách tiếp cận để thiết kế hệ điều hành mà theo đó các chức năng của hệ thống được di chuyển ra khỏi "hạt nhân" truyền thống vào... việc sao lại dữ liệu đã lưu Dó đó dung lượng đĩa cứng dành cho việc lưu trữ cache sẽ giảm 3.1.4 Hệ thống file và thư mục của Squid Proxy: - /usr/sbin: Lưu những thư viện của squid - /etc/squid: Lưu các tập tin cấu hình chính squid - /usr/local/squid: thư mục cài đặt squid - /usr/local/squid/bin: thư mục lưu binary squid và những tool được hỗ trợ - /usr/local/squid/cache: thư mục lưu những dữ liệu được... tiếp I/O - Hệ thống tập tin … Ví dụ: như Process được tạo trong quá trình, kernel sẽ quản lý các Process này sử dụng RAM như thế nào cho tối ưu nhất, không bị xung đột với nhau Nói đến Kernel là nói đến những phần mềm, ứng dụng ở mức thấp (low level) trong hệ thống, có khả năng thay đổi linh hoạt để phù hợp với phần cứng Monolithic kernels: Trong một Monolithic kernels, tất cả các dịch vụ trên hệ điều... cập file bao gồm own, group> Sau khi tạo xong thư mục cache, khởi động squid bằng lệnh: /usr/local/squid/squid –D& Đối với môi trường linux ta cần khai báo #chkconfig squid on #service squid start/restart/stop 25 3.3 Chính Sách tối ưu hệ thống với Proxy: Access Control list và Access control Operator dùng ngăn chặn, giới hạn việc truy xuất dựa vào tên miền, địa chỉ IP... "phase:1,deny" 21 CHƯƠNG 3: TỐI ƯU HỆ THỐNG VỚI PROXY 3.1 Cơ bản về dịch vụ Squid Proxy 3.1.1 Giới thiệu về Squid Proxy Squid là một chương trình internet proxy-caching có vai trò tiếp nhận các yêu cầu từ các client và chuyển cho internet server thích hợp Đồng thời, nó sẽ lưu lên đĩa những dữ liệu được trả về từ internet server- gọi caching Chương trình này dùng để cấu hình proxy server.Vì vậy ưu điểm của squid... chuyển ra khỏi "hạt nhân" truyền thống vào một tập hợp các "máy chủ" mà giao tiếp thông qua một hạt nhân "nhỏ nhất", để lại càng ít càng tốt trong "không gian hệ thống" và càng nhiều càng tốt trong "không gian người dùng" Với cách tiếp cận hệ thống như trên giúp cho người dùng rất dễ dàng để nhìn thấy, tiếp xúc với nhiều thứ khác nhau trong máy tính Hình 1.2: Cấu trúc Microkernels Microkenels có tính... lớn - Phải có bộ công cụ cần thiết và đúng phiên bản Điều này rất quan trọng vì phiên bản công cụ cho mỗi phiên bản nhân là khác nhau Ví dụ công cụ Gnu C trên kernel 2.4 tối thiểu phải là Gnu C 2.91.66 1.1.2 Cấu hình thiết lập tối ưu kernel Trước khi sử dụng các công cụ để cấu hình lại Kernel ta nên sử dụng lệnhmake mrproper 7 Lệnh này làm cho mã nguồn được sạch sẽ trước khi biên dịch Để biên dịch . vụ đồ án Tối ưu hóa hệ thống Linux đòi hỏi phải có những thay đổi trên hệ thống. Một hệ thống sau khi được tối ưu phải có những ưu điểm khác biệt so với hệ thống khi chưa được tối ưu. Vì thế. Vì thế nhiệm vụ đồ án đặt ra là: o Tối ưu hóa hệ điều hành linux. o Tối ưu hóa bảo mật hệ thống linux o Tối ưu hóa dịch vụ triển khai Những triển khai tối ưu đòi hỏi phải được ứng dụng thức tế. vii TỔNG QUAN 1 CHƯƠNG 1: TỔNG QUAN VỀ TỐI ƯU VÀ BẢO MẬT LINUX 4 CHƯƠNG 2: TỐI ƯU DỊCH VỤ WEB SERVER 11 CHƯƠNG 3: TỐI ƯU HỆ THỐNG VỚI PROXY 22 CHƯƠNG 4: TỐI ƯU HỆ THỐNG VỚI FIREWALL 32 CHƯƠNG 5: LOAD