- Nhận đường liên kết
- Ứng dụng khác
- Nhận đường liên kết
- Ứng dụng khác
GIAO THỨC FTP
FTP
là 1 giao thức tầng Application, dùng cho việc chuyển file qua lại giữa
server - client. Đây là giao thức khá đặc biệt vì chạy trên 2 cổng.Khi client khởi tạo kết nối đến server, server sẽ mở port 21 lắng nghe - đây là cổng lệnh (command port). Port này được dùng để nhận tất cả các lệnh gửi tới server. Bất kỳ dữ liệu từ server gửi về client đều qua port dữ liệu (data port). Số cổng cho các kết nối dữ liệu, và cách kết nối dữ liệu được khởi tạo, thay đổi tùy thuộc vào cho dù khách hàng yêu cầu dữ liệu trong chế độ chủ động (active) hoặc thụ động (passive):
- Chế độ Active:
Đây là phương thức ban đầu của FTP khi truyền nhận dữ liệu. Khi chế độ active được khởi tạo bởi client, server sẽ mở port 20, phía client sẽ mở port > 1024 (ngẫu nhiên) và 2 bên bắt đầu kết nối, tuy nhiên, sự sắp xếp này đồng nghĩa với việc client phải cho phép các kết nối tới port > 1024 của mình, điều mà firewall ở client sẽ không cho phép (mặc định). Do vậy, chế độ Passive ra đời.
- Chế độ Passive:
Chế độ này cũng được khởi tạo bởi client. Lần này thì ngược lại, server sau khi nghe client bảo chạy passive thì nó mở port > 1024, Client sau đó kết nối với cổng trên máy chủ để tải về các thông tin được yêu cầu. Passive giải quyết vấn đề firewall đầu client nhưng nó làm phát sinh vấn đề khó khăn hơn cho người quản trị firewall đầu server, nói chung nên hạn chế range port của server để giản thiểu số port mở ở server.
CÀI ĐẶT
- Gói vsftpd.i686- Nếu SELinux=enforcing (/etc/sysconfig/selinux) cần chỉnh biến ftp_home_dir thành on
Kiểm tra: getsebool ftp_home_dir
Gán on: setsebool -P ftp_home_dir 1
- Tạo thư mục chủ cho FTP. Thư mục FTP của mỗi user chính là home directory của user đó.- Mở port 20, sau đó service vsftpd start.
Truy cập từ Client:
- Command line: ftp [FTP server]
- Windows, truy cập bằng trình duyệt: ftp://[user]@[FTP server]
CẤU HÌNH
Cấu hình:File cấu hình chính /etc/vsftpd/vsftpd.conf
- Sau khi cài xong, 1 số file cần để chạy / cấu hình vsftpd như sau:
- /etc/rc.d/init.d/vsftpd — Script khởi tạo (initialization script)) được dùng bởi /sbin/service để start, stop, or reload vsftpd.
- /etc/pam.d/vsftpd — File cấu hình "Pluggable Authentication Modules" (PAM) của vsftpd.
- /etc/vsftpd/vsftpd.conf — File cấu hình chính của vsftpd.
- /etc/vsftpd.ftpusers — Danh sách các users không được phép login vào vsftpd. Mặc định, nó bao gồm root, bin, và các daemon users,...
- /etc/vsftpd.user_list — File này chứa danh sách cấm hoặc cho phép login vào vsftpd, việc nó là "cấm" hay "cho phép" phụ thuộc vào dòng userlist_deny được set YES (default) hay NO ở /etc/vsftpd/vsftpd.conf. Nếu /etc/vsftpd.user_list là danh sách "cho phép", các usernames đấy không được có ở /etc/vsftpd.ftpusers.
- /var/ftp/ — Thư mục chứa tập tin phục vụ của vsftpd. Nó còn chứa /var/ftp/pub/ là thư mục dành cho anonymous user.
Mặc định, thư mục chủ của FTP (với anonymous) là /var/ftp/pub.
Thư mục chủ FTP của user nào chính là thư mục <home> của user đó. Nếu thay đổi, điều chỉnh chỉ thị local_root đến thư mục FTP mặc định của user.
Thiết đặt lại thư mục chủ của anonymous, ta thêm: anon_root=[thư mục] vào vsftpd.conf
Chỉ cho phép user truy cập thư mục <home> của mình, thêm: chroot_local_user=YES vào vsftpd.conf
Log:
Mặc định file log vsftpd: /var/log/xferlog
Thiết lập nhiều FTP server trên 1 máy (multihoming):
Nhiều trường hợp bạn muốn cài nhiều domain FTP trên 1 máy, lúc này bạn làm theo cách bước:
1 - Gán các địa chỉ IP cần thiết cho các thiết bị hoặc tạo alias cho card mạng nếu chỉ có 1 card mạng
2 - Cấu hình DNS trỏ về đúng các IP.
3 - Copy file cấu hình thành vsftpd1.conf
Thêm vào 2 file dòng: listen_address=[IP]
Sửa các thông tin về anon_root, các thông tin về user truy cập...
Các chỉ thị - directive trong vsftpd.conf
Tùy chọn Daemon
Sau đây là một danh sách các chỉ thị kiểm soát hành vi tổng thể của các daemon vsftpd.listen - Khi đã được kích hoạt, vsftpd chạy trong chế độ độc lập. Red Hat Enterprise Linux thiết lập giá trị này để YES. Chỉ thị này không thể được sử dụng kết hợp với các chỉ thị listen_ipv6.
Giá trị mặc định là KHÔNG.
listen_ipv6 - Khi đã được kích hoạt, vsftpd chạy trong chế độ độc lập, nhưng lắng nghe ổ cắm IPv6. Chỉ thị này không thể được sử dụng kết hợp với các chỉ thị Nghe.
Giá trị mặc định là KHÔNG.
session_support - Khi kích hoạt, vsftpd nỗ lực để duy trì phiên đăng nhập cho mỗi người dùng thông qua các Pluggable Authentication Modules (PAM). Tham khảo Phần 42,4, "Pluggable Authentication Modules (PAM)" để biết thêm thông tin. Nếu phiên giao dịch đăng nhập là không cần thiết, vô hiệu hóa tùy chọn này cho phép vsftpd chạy với các quá trình ít hơn và đặc quyền thấp hơn.
Giá trị mặc định là CÓ.
Đăng nhập và Kiểm soát Truy cập
Sau đây là một danh sách các chỉ thị kiểm soát hành vi đăng nhập và cơ chế kiểm soát truy cập.
anonymous_enable - Khi đã được kích hoạt, người dùng ẩn danh được phép đăng nhập. tên người dùng ẩn danh và ftp được chấp nhận.
Giá trị mặc định là CÓ.
banned_email_file - Nếu chỉ thị deny_email_enable được thiết lập là YES, chỉ thị này xác định tập tin có chứa một danh sách các mật khẩu email nặc danh không được phép truy cập vào máy chủ.
Giá trị mặc định là /etc/vsftpd.banned_emails.
banner_file - Chỉ định tập tin có chứa văn bản hiển thị khi kết nối được thiết lập để máy chủ. Tùy chọn này sẽ ghi đè bất kỳ văn bản quy định trong chỉ thị ftpd_banner.
Không có giá trị mặc định cho các chỉ thị này.
cmds_allowed - Chỉ định một danh sách các lệnh FTP cho phép máy chủ. phân cách bởi dấu phẩy Tất cả các lệnh khác bị từ chối.
Không có giá trị mặc định cho các chỉ thị này.
deny_email_enable - Khi đã được kích hoạt, bất kỳ người sử dụng nặc danh sử dụng mật khẩu email được chỉ định trong /etc/vsftpd.banned_emails bị từ chối truy cập đến máy chủ. Tên của các tập tin tham chiếu của chỉ thị này có thể được xác định bằng cách sử dụng các chỉ thị banned_email_file.
Giá trị mặc định là KHÔNG.
ftpd_banner - Khi đã được kích hoạt, các chuỗi quy định trong chỉ thị này được hiển thị khi kết nối được thiết lập để máy chủ. Tùy chọn này có thể được ghi đè bởi các chỉ thị banner_file.
Theo mặc định vsftpd hiển thị biểu ngữ tiêu chuẩn của nó.
local_enable - Khi đã được kích hoạt, người dùng local được phép để đăng nhập vào hệ thống.
Giá trị mặc định là CÓ.
pam_service_name - Chỉ định tên dịch vụ PAM cho vsftpd.
Giá trị mặc định là ftp.
userlist_deny - Khi được sử dụng kết hợp với các chỉ thị userlist_enable và thiết lập để NO, tất cả người dùng địa phương bị từ chối truy cập trừ khi tên người dùng được liệt kê trong các tập tin được chỉ định bởi các chỉ thị userlist_file. Vì truy cập bị từ chối trước khi khách hàng được yêu cầu nhập mật khẩu, thiết lập này chỉ thị cho NO ngăn chặn người dùng local từ trình mật khẩu không được mã hóa qua mạng.
Giá trị mặc định là CÓ.
userlist_enable - Khi đã được kích hoạt, người sử dụng được liệt kê trong các tập tin được chỉ định bởi các chỉ thị userlist_file từ chối truy cập. Vì truy cập bị từ chối trước khi khách hàng được yêu cầu nhập mật khẩu, người dùng được ngăn chặn từ trình mật khẩu không được mã hóa qua mạng.
Giá trị mặc định là KHÔNG, tuy nhiên theo Red Hat Enterprise Linux giá trị được thiết lập là YES.
userlist_file - Chỉ định các tập tin được tham chiếu bởi vsftpd khi chỉ thị userlist_enable được kích hoạt.
Giá trị mặc định là / etc / vsftpd.user_list và được tạo ra trong quá trình cài đặt.
cmds_allowed - Chỉ định một danh sách cách nhau bằng dấu phẩy lệnh FTP mà máy chủ cho phép. Bất kỳ các lệnh khác bị từ chối.
Không có giá trị mặc định cho các chỉ thị này.
Tùy chọn người dùng nặc danh
Sau đây liệt kê các chỉ thị kiểm soát truy cập của người dùng vô danh đến máy chủ. Để sử dụng các tùy chọn này, chỉ thị anonymous_enable phải được thiết lập để YES.
anon_mkdir_write_enable - Khi được kích hoạt trong kết hợp với chỉ thị write_enable, người sử dụng nặc danh được cho phép để tạo thư mục mới trong thư mục cha có quyền ghi.
Giá trị mặc định là KHÔNG.
anon_root - Chỉ định thư mục vsftpd thay đổi sau khi một người dùng vô danh đăng nhập.
Không có giá trị mặc định cho các chỉ thị này.
anon_upload_enable - Khi kích hoạt kết hợp với chỉ thị write_enable, người dùng ẩn danh được phép tải lên các tập tin trong một thư mục cha có quyền ghi.
Giá trị mặc định là KHÔNG.
anon_world_readable_only - Khi đã được kích hoạt, người dùng vô danh chỉ được phép tải về các tập tin có thể đọc được.
Giá trị mặc định là CÓ.
ftp_username - Chỉ định tài khoản người dùng local (được liệt kê trong / etc / passwd) được sử dụng cho người sử dụng FTP ẩn danh. Các thư mục chính được quy định trong / etc / passwd cho người sử dụng là thư mục gốc của user sử dụng FTP.
Giá trị mặc định là ftp.
no_anon_password - Khi đã được kích hoạt, người sử dụng nặc danh không được hỏi mật khẩu.
Giá trị mặc định là KHÔNG.
secure_email_list_enable - Khi kích hoạt, chỉ có một danh mục quy định các mật khẩu email đăng nhập vô danh được chấp nhận. Đây là một cách thuận tiện để cung cấp bảo mật giới hạn dung công cộng mà không có sự cần thiết cho người sử dụng ảo.
Đăng nhập vô danh được ngăn chặn, trừ khi mật khẩu được cung cấp được liệt kê trong / etc / vsftpd.email_passwords. Các định dạng tập tin là một mật khẩu cho mỗi dòng, không được có khoảng không gian màu trắng.
Giá trị mặc định là KHÔNG.
Tùy chọn Local
Sau đây liệt kê chỉ thị đặc trưng cho các người dùng cục bộ truy cập vào máy chủ. Để sử dụng các tùy chọn này, chỉ thị local_enable phải được thiết lập để YES.
chmod_enable - Khi đã được kích hoạt, lệnh FTP SITE CHMOD cho phép người dùng local. Lệnh này cho phép người dùng thay đổi các điều khoản trên tập tin.
Giá trị mặc định là CÓ.
chroot_list_enable - Khi đã được kích hoạt, người dùng local được liệt kê trong tập tin nhất định trong chỉ thị chroot_list_file được đặt trong một giới hạn chroot khi đăng nhập
Giá trị mặc định là KHÔNG.
chroot_list_file - Chỉ định tập tin có chứa một danh sách các người dùng địa phương tham chiếu khi các chỉ thị chroot_list_enable được thiết lập để YES.
Giá trị mặc định là / etc / vsftpd.chroot_list.
chroot_local_user - Khi được kích hoạt, người dùng local thay đổi bắt nguồn từ thư mục nhà của họ sau khi đăng nhập.
Giá trị mặc định là KHÔNG.
guest_enable - Khi đã được kích hoạt, tất cả người dùng vô danh không được đăng nhập như là khách sử dụng, đó là người dùng local quy định trong chỉ thị guest_username.
Giá trị mặc định là KHÔNG.
guest_username - Chỉ định tên người dùng người dùng được xem như khách.
Giá trị mặc định là ftp.
local_root - Chỉ định thư mục vsftpd mặc định sau khi một người dùng local đăng nhập.
Không có giá trị mặc định cho các chỉ thị này.
local_umask - Chỉ định giá trị umask để tạo tập tin. Lưu ý rằng giá trị mặc định là trong hình thức bát phân (một hệ thống số với một cơ sở tám), trong đó bao gồm một tiền tố "0". Nếu không, giá trị được điều trị như là một số nguyên cơ sở-10.
Giá trị mặc định là 022.
Tùy chọn Thư mục
Các danh mục sau chỉ thị có ảnh hưởng đến các thư mục.
dirlist_enable - Khi đã được kích hoạt, người dùng được phép xem danh sách thư mục.
Giá trị mặc định là CÓ.
dirmessage_enable - Khi đã được kích hoạt, một tin nhắn sẽ được hiển thị bất cứ khi nào người dùng nhập vào một thư mục với một tập tin nhắn. Tin này nằm trong thư mục hiện hành. Tên của tập tin này được quy định cụ thể trong chỉ thị message_file và tin nhắn mặc định.
Giá trị mặc định là KHÔNG. Lưu ý, trong Red Hat Enterprise Linux, giá trị được thiết lập là YES.
message_file - Chỉ định tên của các tập tin nhắn khi sử dụng các chỉ thị dirmessage_enable.
Giá trị mặc định là tin nhắn.
use_localtime - Khi kích hoạt, danh sách thư mục cho thấy thời gian địa phương cho các máy tính thay vì GMT.
Giá trị mặc định là KHÔNG.
File Transfer:
Các danh mục sau chỉ thị có ảnh hưởng đến các thư mục.
download_enable - Khi kích hoạt, tập tin tải về được cho phép.
Giá trị mặc định là CÓ.
chown_uploads - Khi đã được kích hoạt, tất cả các tập tin được tải lên bởi người dùng vô danh thuộc sở hữu của người sử dụng quy định trong chỉ thị chown_username.
Giá trị mặc định là KHÔNG.
chown_username - Chỉ định quyền sở hữu của các tập tin tải lên nặc danh nếu chỉ thị chown_uploads được kích hoạt.
Giá trị mặc định là root.
write_enable - Khi đã được kích hoạt, các lệnh FTP có thể thay đổi hệ thống tập tin được phép, chẳng hạn như Dele, RNFR, và STOR.
Giá trị mặc định là CÓ.
Tùy chọn Log - Nhật ký
Sau đây liệt kê các chỉ thị mà ảnh hưởng đến log vsftpd.
dual_log_enable - Khi kích hoạt, nếu kết hợp với xferlog_enable, vsftpd sẽ ghi log lên cả 2 file tại xferlog_file và vsftpd_log_file
log_ftp_protocol - Khi kích hoạt kết hợp với xferlog_enable và với xferlog_std_format thiết lập để NO, tất cả các lệnh FTP và đáp ứng được log lại. Chỉ thị này rất hữu ích để gỡ lỗi.
Giá trị mặc định là KHÔNG.
syslog_enable - Khi kích hoạt trong kết hợp với xferlog_enable, tất cả các log ghi bởi tập tin nhật ký chuẩn vsftpd quy định trong chỉ thị vsftpd_log_file (/ var / log / vsftpd.log theo mặc định) được gửi đến system log thay vì theo cơ sở ftpd.
Giá trị mặc định là KHÔNG.
vsftpd_log_file - Chỉ định các tập tin nhật ký vsftpd. Cho tập tin này sẽ được sử dụng, xferlog_enable phải được kích hoạt và xferlog_std_format hoặc phải được thiết lập để NO hoặc, nếu xferlog_std_format được thiết lập là YES, dual_log_enable phải được kích hoạt. Điều quan trọng cần lưu ý rằng nếu syslog_enable được thiết lập là YES, nhật ký hệ thống được sử dụng thay vì tập tin quy định tại Chỉ thị này.
Giá trị mặc định là / var / log / vsftpd.log.
xferlog_enable - Khi kích hoạt, vsftpd bản ghi kết nối (vsftpd định dạng duy nhất) và thông tin chuyển tập tin vào file log quy định trong chỉ thị vsftpd_log_file (/ var / log / vsftpd.log theo mặc định). Nếu xferlog_std_format được thiết lập là YES, thông tin chuyển nhượng được đăng nhập nhưng kết nối được không, và các file log quy định tại xferlog_file (/ var / log / xferlog theo mặc định) được sử dụng để thay thế. Điều quan trọng cần lưu ý là cả hai tập tin đăng nhập và các định dạng đăng nhập được sử dụng nếu dual_log_enable được thiết lập là YES.
Giá trị mặc định là KHÔNG. Lưu ý, trong Red Hat Enterprise Linux, giá trị được thiết lập là YES.
xferlog_file - Chỉ định các file log wu-ftpd tương thích. Cho tập tin này sẽ được sử dụng, xferlog_enable phải được kích hoạt và xferlog_std_format phải được thiết lập để YES. Nó cũng được sử dụng nếu dual_log_enable được thiết lập là YES.
Giá trị mặc định là / var / log / xferlog.
xferlog_std_format - Khi được kích hoạt kết hợp với xferlog_enable, chỉ có một chuyển wu-ftpd tương thích với file log được ghi vào tập tin quy định trong chỉ thị xferlog_file (/ var / log / xferlog theo mặc định). Điều quan trọng cần lưu ý rằng tập tin này chỉ đăng nhập truyền tải file và không đăng nhập kết nối đến máy chủ.
Giá trị mặc định là KHÔNG. Lưu ý, trong Red Hat Enterprise Linux, giá trị được thiết lập là YES.
Quan trọng
Để duy trì khả năng tương thích với các file log được viết bởi wu-ftpd , chỉ thị xferlog_std_format được thiết lập YES theo Red Hat Enterprise Linux. Tuy nhiên, thiết lập này có nghĩa rằng các kết nối đến máy chủ chưa đăng nhập.
Để cả hai kết nối đăng nhập ở định dạng vsftpd và duy trì một bản ghi wu-ftpd tương thích với chuyển tập tin, thiết lập dual_log_enable để YES.
Nếu duy trì một bản ghi wu-ftpd tương thích với truyền tập tin không phải là quan trọng, được thiết lập ở xferlog_std_format NO, bình luận các dòng với một dấu thăng (#), hoặc xóa toàn bộ dòng.
Tùy chọn Mạng
Sau đây liệt kê các chỉ thị mà ảnh hưởng đến cách vsftpd tương tác với mạng.
accept_timeout - Chỉ định số lượng thời gian cho một client sử dụng chế độ passive để thiết lập một kết nối.
Giá trị mặc định là 60.
anon_max_rate - Chỉ định tốc độ truyền dữ liệu tối đa cho người dùng vô danh trong byte mỗi giây.
Giá trị mặc định là 0, không hạn chế tốc độ truyền tải.
connect_from_port_20 - Khi được kích hoạt, vsftpd chạy với các đặc quyền đủ để mở cổng 20 trên máy chủ trong chế độ active truyền dữ liệu. Vô hiệu hóa tùy chọn này cho phép vsftpd để chạy với các đặc quyền ít hơn, nhưng có thể không tương thích với một số FTP client.
Giá trị mặc định là KHÔNG. Lưu ý, trong Red Hat Enterprise Linux, giá trị được thiết lập là YES.
connect_timeout - Chỉ định tối đa thời gian một client bằng cách sử dụng chế độ active để đáp ứng với một kết nối dữ liệu, trong vài giây.
Giá trị mặc định là 60.
data_connection_timeout - Chỉ định số tiền tối đa thời gian truyền dữ liệu được phép đứng trong vài giây. Sau khi kích hoạt, kết nối với khách hàng từ xa được đóng lại.
Giá trị mặc định là 300.
ftp_data_port - Chỉ định cổng được sử dụng cho các kết nối dữ liệu active khi connect_from_port_20 được thiết lập để YES.
Giá trị mặc định là 20.
idle_session_timeout - Chỉ định số tối đa thời gian giữa các lệnh từ một khách hàng từ xa. Sau khi kích hoạt, kết nối với khách hàng từ xa được đóng lại.
Giá trị mặc định là 300.
listen_address - Chỉ định địa chỉ IP mà vsftpd lắng nghe cho các kết nối mạng.
Không có giá trị mặc định cho các chỉ thị này.
listen_address6 - Chỉ định địa chỉ IPv6 mà vsftpd lắng nghe cho các kết nối mạng khi listen_ipv6 được thiết lập là YES.
Không có giá trị mặc định cho các chỉ thị này.
listen_port - Chỉ định cổng mà trên đó vsftpd lắng nghe cho các kết nối mạng.
Giá trị mặc định là 21.
local_max_rate - Chỉ định tốc độ dữ liệu tối đa được chuyển giao cho người dùng local đăng nhập vào máy chủ trong byte mỗi giây.
Giá trị mặc định là 0, mà không hạn chế tốc độ truyền tải.
max_clients - Chỉ định số lượng tối đa client đồng thời cho phép kết nối đến máy chủ khi nó đang chạy trong chế độ độc. Bất kỳ kết nối client bổ sung sẽ cho kết quả trong một thông báo lỗi.
Giá trị mặc định là 0, mà không giới hạn kết nối.
max_per_ip - Chỉ định tối đa cho phép của khách hàng để kết nối từ địa chỉ IP cùng một nguồn.
Giá trị mặc định là 0, mà không giới hạn kết nối.
pasv_address - Chỉ định địa chỉ IP cho địa chỉ IP công cộng phải đối mặt với của máy chủ cho các máy chủ đằng sau Network Address Translation (NAT) bức tường lửa. Điều này cho phép vsftpd để tay ra địa chỉ trở lại chính xác cho các kết nối chế độ thụ động.
Không có giá trị mặc định cho các chỉ thị này.
pasv_enable - Khi kích hoạt, chế độ thụ động kết nối được cho phép.
Giá trị mặc định là CÓ.
pasv_max_port - Chỉ định cổng cao nhất có thể được gửi đến các client FTP cho các kết nối chế độ thụ động. Thiết lập này được sử dụng để giới hạn phạm vi cảng để quy tắc tường lửa dễ dàng hơn để tạo ra.
Giá trị mặc định là 0, mà không hạn chế phạm vi cổng thụ động cao nhất. Giá trị này không vượt quá 65535.
pasv_min_port - Chỉ định cổng thấp nhất có thể được gửi đến các client FTP cho các kết nối chế độ thụ động. Thiết lập này được sử dụng để giới hạn phạm vi cảng để quy tắc tường lửa dễ dàng hơn để tạo ra.
Giá trị mặc định là 0, mà không hạn chế phạm vi cổng thấp nhất thụ động. Giá trị không được thấp 1024.
pasv_promiscuous - Khi kích hoạt, kết nối dữ liệu không được kiểm tra để chắc chắn rằng họ đang có nguồn gốc từ cùng một địa chỉ IP. Cài đặt này chỉ hữu ích cho một số loại của đường hầm.
Cảnh báo
Không cho phép tùy chọn này, trừ khi thật cần thiết vì nó vô hiệu hóa một tính năng bảo mật quan trọng xác minh rằng các kết nối chế độ thụ động có nguồn gốc từ địa chỉ IP tương tự như các kết nối điều khiển bắt đầu truyền dữ liệu.
Giá trị mặc định là KHÔNG.
port_enable - Khi kích hoạt, chế độ active kết nối được cho phép.
Giá trị mặc định là CÓ.
Tham khảo:
1. Thư mục: /usr/share/doc/vsftpd-<version-number>/
2. man vsftpd.conf
3. http://vsftpd.beasts.org/
Nhận xét
Đăng nhận xét