sepgsqllà soi kèo bóng đá truoctran mô-đun có thể tải hỗ trợ điều khiển truy cập bắt buộc dựa trên nhãn (MAC) dựa trênSelinuxChính sách bảo mật.
Việc triển khai hiện tại có những hạn chế đáng kể và không thực thi kiểm soát truy cập bắt buộc cho tất cả soi kèo bóng đá truoctran hành động. Nhìn thấyPhần F.40.7.
Mô -đun này tích hợp vớiSelinuxĐể cung cấp thêm soi kèo bóng đá truoctran lớp kiểm tra bảo mật ở trên và ngoài những gì thường được cung cấp bởiPostgreSQL. Từ quan điểm soi kèo bóng đá truoctranSelinux, Mô -đun này cho phépPostgreSQLĐể hoạt động như soi kèo bóng đá truoctran trình quản lý đối tượng không gian người dùng. Mỗi bảng hoặc quyền truy cập chức năng được bắt đầu bởi truy vấn DML sẽ được kiểm tra đối với chính sách bảo mật hệ thống. Kiểm tra này ngoài việc kiểm tra quyền SQL thông thường được thực hiện bởiPostgreSQL.
SelinuxQuyết định kiểm soát truy cập được thực hiện bằng cách sử dụng soi kèo bóng đá truoctran nhãn bảo mật, được biểu thị bằng soi kèo bóng đá truoctran chuỗi nhưSystem_u: Object_r: sepgsql_table_t: S011125_11711
TheNhãn bảo mậtCâu lệnh cho phép gán nhãn bảo mật cho đối tượng cơ sở dữ liệu.
sepgsqlChỉ có thể được sử dụng trênLinux2.6.28 trở lên vớiSelinuxĐã bật. Nó không có sẵn trên bất kỳ nền tảng nào khác. Bạn cũng sẽ cầnlibselinux2.1.10 trở lên vàSelinux-Policy3.9.13 trở lên (mặc dù một số phân phối có thể đặt lại soi kèo bóng đá truoctran quy tắc cần thiết vào soi kèo bóng đá truoctran phiên bản chính sách cũ hơn).
ThesestatusLệnh cho phép bạn kiểm tra trạng thái soi kèo bóng đá truoctranSelinux. soi kèo bóng đá truoctran màn hình điển hình là:
$ sestatus Trạng thái Selinux: Đã bật Selinuxfs gắn kết: /selinux Chế độ hiện tại: Thực thi Chế độ từ tệp cấu hình: Thực thi Phiên bản chính sách: 24 Chính sách từ tệp cấu hình: được nhắm mục tiêu
nếuSelinuxbị vô hiệu hóa hoặc không được cài đặt, bạn phải đặt sản phẩm đó lên trước khi cài đặt mô -đun này.
Để xây dựng mô -đun này, bao gồm tùy chọn--with-selinuxTrong PostgreSQL soi kèo bóng đá truoctran bạnCấu hìnhlệnh. Hãy chắc chắn rằngLibselinux-develRPM được cài đặt tại thời điểm xây dựng.
Để sử dụng mô -đun này, bạn phải bao gồmsepgsqltrongshared_preload_l Libriestham số trongPostgreSql.conf13696_13816sepgsql.sqlTrong mỗi cơ sở dữ liệu. Điều này sẽ cài đặt soi kèo bóng đá truoctran chức năng cần thiết để quản lý nhãn bảo mật và gán nhãn bảo mật ban đầu.
Đây là soi kèo bóng đá truoctran ví dụ cho thấy cách khởi tạo cụm cơ sở dữ liệu mới vớisepgsqlsoi kèo bóng đá truoctran chức năng và nhãn bảo mật được cài đặt. Điều chỉnh soi kèo bóng đá truoctran đường dẫn hiển thị khi thích hợp cho cài đặt của bạn:
14230_14661
Xin lưu ý rằng bạn có thể thấy một số hoặc tất cả soi kèo bóng đá truoctran thông báo sau tùy thuộc vào soi kèo bóng đá truoctran phiên bản cụ thể mà bạn có củalibselinuxvàSelinux-Policy:
/etc /etc /etc /etc/selinux/targeted/bối cảnh/sepgsql_contexts: dòng 38 có loại đối tượng không hợp lệ db_langage /etc /etc/selinux/targeted/bối cảnh/sepgsql_contexts: dòng 40 có loại đối tượng không hợp lệ db_langage
Những tin nhắn này vô hại và nên bị bỏ qua.
Nếu quá trình cài đặt hoàn thành mà không có lỗi, bây giờ bạn có thể khởi động máy chủ bình thường.
Do bản chất soi kèo bóng đá truoctranSelinux, Chạy soi kèo bóng đá truoctran bài kiểm tra hồi quy chosepgsqlYêu cầu một số bước cấu hình bổ sung, một số trong đó phải được thực hiện dưới dạng gốc. soi kèo bóng đá truoctran bài kiểm tra hồi quy sẽ không được chạy bởi một thông thườngLàm cho kiểm trahoặcTạo Installcheck16226_16343PRINT/SEPGSQLThư mục của cây xây dựng PostgreSQL được cấu hình. Mặc dù chúng yêu cầu một cây xây dựng, soi kèo bóng đá truoctran thử nghiệm được thiết kế để thực hiện đối với máy chủ được cài đặt, đó là chúng có thể so sánh vớiTạo InstallcheckkhôngLàm cho kiểm tra.
Đầu tiên, thiết lậpsepgsqlTrong cơ sở dữ liệu làm việc theo hướng dẫn trongPhần F.40.2. Lưu ý rằng người dùng hệ điều hành hiện tại phải có thể kết nối với cơ sở dữ liệu dưới dạng Superuser mà không cần xác thực mật khẩu.
Thứ hai, xây dựng và cài đặt gói chính sách để kiểm tra hồi quy. Thesepgsql-regtest17156_17322sepgsql-regtest.te17368_17392làmVới Makefile do Selinux cung cấp. Bạn sẽ cần phải xác định vị trí makefile thích hợp trên hệ thống của bạn; Đường dẫn hiển thị dưới đây chỉ là soi kèo bóng đá truoctran ví dụ. (Makefile này thường được cung cấp bởiSelinux-Policy-DevelhoặcSelinux-PolicyRPM.) Sau khi được xây dựng, hãy cài đặt gói chính sách này bằng cách sử dụngsemoduleLệnh, tải soi kèo bóng đá truoctran gói chính sách được cung cấp vào kernel. Nếu gói được cài đặt chính xác,semodule-Lsepgsql-regtestLà soi kèo bóng đá truoctran gói chính sách có sẵn:
$ cd .../prong/sepgsql $ make -f/usr/share/selinux/devel/makefile $ sudo semodule -u sepgsql -regtest.pp $ sudo semodule -L | GREP SEPGSQL sepgsql-regtest 1.07
thứ ba, bậtsepgsql_regression_test_mode. Vì lý do bảo mật, soi kèo bóng đá truoctran quy tắc trongsepgsql-regtestkhông được bật theo mặc định; Thesepgsql_regression_test_mode18512_18612Setseboollệnh:
$ sudo setsebool sepgsql_regression_test_mode trên $ getsebool sepgsql_regression_test_mode sepgsql_regression_test_mode - trên
Thứ tư, xác minh vỏ soi kèo bóng đá truoctran bạn đang hoạt động trongUnconfined_tmiền:
$ id -z Unconfined_u: Unconed_r: Unconed_t: S0-S0: C0.C1023
xem19129_19150Để biết chi tiết về việc điều chỉnh miền làm việc soi kèo bóng đá truoctran bạn, nếu cần thiết.
Cuối cùng, chạy tập lệnh kiểm tra hồi quy:
$ ./test_sepgsql
Tập lệnh này sẽ cố gắng xác minh rằng bạn đã thực hiện tất cả soi kèo bóng đá truoctran bước cấu hình một cách chính xác và sau đó nó sẽ chạy soi kèo bóng đá truoctran thử nghiệm hồi quy chosepgsqlMô -đun.
Sau khi hoàn thành soi kèo bóng đá truoctran bài kiểm tra, bạn khuyên bạn nên vô hiệu hóasepgsql_regression_test_modetham số:
$ sudo setsebool sepgsql_regression_test_mode tắt
Bạn có thể thích xóasepgsql-regtestChính sách hoàn toàn:
19870_19908
sepgsql.permissive(Boolean)Tham số này cho phépsepgsqlhoạt động trong chế độ cho phép, bất kể cài đặt hệ thống. Mặc định là tắt. Tham số này chỉ có thể được đặt trongPostgreSql.confTệp hoặc trên dòng lệnh máy chủ.
Khi tham số này,sepgsqlsoi kèo bóng đá truoctran chức năng ở chế độ cho phép, ngay cả khi Selinux nói chung đang làm việc trong chế độ thực thi. Tham số này chủ yếu hữu ích cho mục đích thử nghiệm.
sepgsql.debug_audit(Boolean)21228_21421
Chính sách bảo mật soi kèo bóng đá truoctranSelinuxCũng có soi kèo bóng đá truoctran quy tắc để kiểm soát xem soi kèo bóng đá truoctran truy cập cụ thể có được ghi lại hay không. Theo mặc định, vi phạm truy cập được ghi lại, nhưng không được phép truy cập.
Tham số này buộc tất cả soi kèo bóng đá truoctran đăng nhập có thể được bật, bất kể chính sách hệ thống.
Mô hình bảo mật soi kèo bóng đá truoctranSelinuxMô tả tất cả soi kèo bóng đá truoctran quy tắc kiểm soát truy cập là mối quan hệ giữa một thực thể chủ thể (thông thường là máy khách của cơ sở dữ liệu) và một thực thể đối tượng (như đối tượng cơ sở dữ liệu), mỗi đối tượng được xác định bởi nhãn bảo mật. Nếu quyền truy cập vào một đối tượng không được dán nhãn, đối tượng được xử lý như thể nó được gán nhãnUnlabeled_t.
Hiện tại,sepgsqlCho phép soi kèo bóng đá truoctran nhãn bảo mật được gán cho soi kèo bóng đá truoctran lược đồ, bảng, cột, trình tự, chế độ xem và chức năng. Khisepgsqlđang được sử dụng, soi kèo bóng đá truoctran nhãn bảo mật được tự động được gán cho soi kèo bóng đá truoctran đối tượng cơ sở dữ liệu được hỗ trợ tại thời điểm tạo. Nhãn này được gọi là nhãn bảo mật mặc định và được quyết định theo Chính sách bảo mật hệ thống, lấy làm nhãn của người tạo, nhãn được gán cho đối tượng cha mẹ của đối tượng mới và tên tùy chọn của đối tượng được xây dựng.
23224_23608
cho soi kèo bóng đá truoctran bảng,db_table: select, db_table: chèn, DB_TABLE: Cập nhậthoặcdb_table: xóađược kiểm tra tất cả soi kèo bóng đá truoctran bảng mục tiêu được tham chiếu tùy thuộc vào loại câu lệnh; Ngoài ra,db_table: selectcũng được kiểm tra tất cả soi kèo bóng đá truoctran bảng có chứa soi kèo bóng đá truoctran cột được tham chiếu trongWHEREhoặcTrở vềmệnh đề, như soi kèo bóng đá truoctran nguồn dữ liệu choCập nhật, v.v.
Quyền cấp độ cột cũng sẽ được kiểm tra cho mỗi cột được tham chiếu.db_column: chọnđược kiểm tra không chỉ soi kèo bóng đá truoctran cột được đọc bằngChọn, nhưng những người được tham chiếu trong soi kèo bóng đá truoctran câu lệnh DML khác;DB_Column: Cập nhậthoặcdb_column: chèncũng sẽ được kiểm tra soi kèo bóng đá truoctran cột được sửa đổi bởiCập nhậthoặcChèn.
Ví dụ: xem xét:
Cập nhật T1 Set x = 2, y = func1 (y) trong đó z = 100;
ở đây,DB_Column: Cập nhậtSẽ được kiểm traT1.x, vì nó đang được cập nhật,db_column: chọn cập nhậtsẽ được kiểm traT1.Y, vì nó được cập nhật vừa được tham chiếu vàdb_column: chọnsẽ được kiểm tra25423_25429, vì nó chỉ được tham chiếu.db_table: chọn cập nhậtcũng sẽ được kiểm tra ở cấp độ bảng.
cho soi kèo bóng đá truoctran chuỗi,DB_Sequence: get_valueđược kiểm tra khi chúng tôi tham chiếu soi kèo bóng đá truoctran đối tượng chuỗi bằng cách sử dụngChọn; Tuy nhiên, lưu ý rằng chúng tôi hiện không kiểm tra quyền khi thực hiện soi kèo bóng đá truoctran chức năng tương ứng nhưlastVal ().
để xem,db_view: mở rộngSẽ được kiểm tra, sau đó mọi quyền bắt buộc khác sẽ được kiểm tra trên soi kèo bóng đá truoctran đối tượng được mở rộng từ chế độ xem, riêng lẻ.
cho soi kèo bóng đá truoctran chức năng,db_procedure: execsẽ được kiểm tra khi người dùng cố gắng thực thi chức năng như soi kèo bóng đá truoctran phần của truy vấn hoặc sử dụng lời mời đường dẫn nhanh. Nếu chức năng này là soi kèo bóng đá truoctran thủ tục đáng tin cậy, nó cũng kiểm traDB_Procedure: EntryPoint26365_26447
Để truy cập bất kỳ đối tượng lược đồ nào,db_schema: tìm kiếmQuyền được yêu cầu trên lược đồ chứa. Khi một đối tượng được tham chiếu mà không có trình độ lược đồ, soi kèo bóng đá truoctran lược đồ mà quyền này không có mặt sẽ không được tìm kiếm (như thể người dùng không cósử dụngĐặc quyền trên lược đồ). Nếu có trình độ lược đồ rõ ràng có mặt, sẽ xảy ra lỗi nếu người dùng không có quyền cần thiết trên lược đồ có tên.
Khách hàng phải được phép truy cập tất cả soi kèo bóng đá truoctran bảng và cột được tham chiếu, ngay cả khi chúng có nguồn gốc từ soi kèo bóng đá truoctran chế độ xem sau đó được mở rộng, để chúng tôi áp dụng soi kèo bóng đá truoctran quy tắc kiểm soát truy cập nhất quán độc lập với cách thức mà nội dung bảng được tham chiếu.
Hệ thống đặc quyền cơ sở dữ liệu mặc định cho phép soi kèo bóng đá truoctran siêu người dùng cơ sở dữ liệu sửa đổi danh mục hệ thống bằng soi kèo bóng đá truoctran lệnh DML và tham chiếu hoặc sửa đổi soi kèo bóng đá truoctran bảng bánh mì nướng. soi kèo bóng đá truoctran hoạt động này bị cấm khisepgsqlđược bật.
SelinuxXác định một số quyền để kiểm soát soi kèo bóng đá truoctran hoạt động chung cho từng loại đối tượng; chẳng hạn như sáng tạo, thay đổi, thả và relabel của nhãn bảo mật. Ngoài ra, một số loại đối tượng có quyền đặc biệt để kiểm soát soi kèo bóng đá truoctran hoạt động đặc trưng của chúng; chẳng hạn như bổ sung hoặc xóa soi kèo bóng đá truoctran mục tên trong một lược đồ cụ thể.
Tạo đối tượng cơ sở dữ liệu mới yêu cầuTạocho phép.Selinuxsẽ cấp hoặc từ chối quyền này dựa trên nhãn bảo mật của khách hàng và nhãn bảo mật được đề xuất cho đối tượng mới. Trong một số trường hợp, cần có soi kèo bóng đá truoctran đặc quyền bổ sung:
Tạo cơ sở dữ liệuNgoài ra yêu cầuGetAttrQuyền cho cơ sở dữ liệu nguồn hoặc mẫu.
Tạo soi kèo bóng đá truoctran đối tượng lược đồ yêu cầuadd_namequyền trên lược đồ cha.
Tạo soi kèo bóng đá truoctran bảng cũng yêu cầu quyền tạo từng cột bảng riêng lẻ, giống như mỗi cột bảng là soi kèo bóng đá truoctran đối tượng cấp cao nhất.
Tạo hàm được đánh dấu làLeakproofNgoài ra yêu cầuCài đặtquyền. (Quyền này cũng được kiểm tra khiLeakproofđược đặt cho soi kèo bóng đá truoctran chức năng hiện có.)
KhithảLệnh được thực thi,thảsẽ được kiểm tra trên đối tượng bị xóa. Quyền cũng sẽ được kiểm tra cho soi kèo bóng đá truoctran đối tượng bị rơi gián tiếp quaCascade. Xóa soi kèo bóng đá truoctran đối tượng có trong một lược đồ cụ thể (bảng, chế độ xem, trình tự và quy trình) Ngoài ra yêu cầuremove_nameTrên lược đồ.
Khithay đổilệnh được thực thi,30057_30066sẽ được kiểm tra trên đối tượng được sửa đổi cho từng loại đối tượng, ngoại trừ soi kèo bóng đá truoctran đối tượng công ty con như chỉ mục hoặc kích hoạt của bảng, trong đó thay vào đó, soi kèo bóng đá truoctran quyền được kiểm tra trên đối tượng cha. Trong một số trường hợp, cần có quyền bổ sung:
Chuyển soi kèo bóng đá truoctran đối tượng sang soi kèo bóng đá truoctran lược đồ mới cũng yêu cầuremove_namequyền trên lược đồ cũ vàadd_namequyền trên cái mới.
ĐặtLeakproofthuộc tính trên soi kèo bóng đá truoctran hàm yêu cầuCài đặtquyền.
Sử dụngNhãn bảo mậtTrên soi kèo bóng đá truoctran đối tượng cũng yêu cầuRelabelfromQuyền cho đối tượng kết hợp với nhãn bảo mật cũ soi kèo bóng đá truoctran nó vàrelabeltoQuyền cho đối tượng kết hợp với nhãn bảo mật mới soi kèo bóng đá truoctran nó. (Trong trường hợp nhiều nhà cung cấp nhãn được cài đặt và người dùng cố gắng đặt nhãn bảo mật, nhưng nó không được quản lý bởiSelinux, chỉSETATTRNên kiểm tra tại đây. Điều này hiện không được thực hiện do hạn chế thực hiện.)
Quy trình đáng tin cậy tương tự như soi kèo bóng đá truoctran chức năng xác định bảo mật hoặc soi kèo bóng đá truoctran lệnh setuid.Selinux32022_32440
32469_33134
soi kèo bóng đá truoctran hoạt động trên nên được thực hiện bởi người dùng quản trị.
Postgres =# Chọn * từ Khách hàng; Lỗi: Selinux: vi phạm chính sách bảo mật postgres =# Chọn CID, CNAME, SHOW_CREDIT (CID) từ Khách hàng; cid | cname | show_credit -----+--------+--------------------- 1 | Taro | 1111-2222-3333-XXXX 2 | Hanako | 5555-6666-7777-XXXX (2 hàng)
Trong trường hợp này, người dùng thông thường không thể tham chiếuKhách hàng.Credittrực tiếp, nhưng soi kèo bóng đá truoctran quy trình đáng tin cậyshow_creditCho phép người dùng in số thẻ tín dụng của khách hàng với soi kèo bóng đá truoctran số chữ số được che dấu.
Có thể sử dụng tính năng chuyển đổi miền động soi kèo bóng đá truoctran Selinux để chuyển nhãn bảo mật soi kèo bóng đá truoctran quy trình khách, miền máy khách, sang bối cảnh mới, nếu chính sách bảo mật cho phép. Miền máy khách cầnSetCiencho phép và cảDyntransitionTừ tên miền cũ đến miền mới.
Chuyển đổi miền động nên được xem xét cẩn thận, vì họ cho phép người dùng chuyển nhãn của họ, và do đó, soi kèo bóng đá truoctran đặc quyền của họ, theo tùy chọn của họ, thay vì (như trong trường hợp quy trình đáng tin cậy) theo hệ thống. Do đó,DyntransitionQuyền chỉ được coi là an toàn khi được sử dụng để chuyển sang soi kèo bóng đá truoctran miền có soi kèo bóng đá truoctran bộ đặc quyền nhỏ hơn so với bản gốc. Ví dụ:
34897_35364
Trong ví dụ này, chúng tôi được phép chuyển từ phạm vi MCS lớn hơnC1.C1023đến phạm vi nhỏ hơnC1.c4, nhưng chuyển đổi trở lại đã bị từ chối.
Sự kết hợp giữa chuyển đổi miền động và quy trình đáng tin cậy cho phép một trường hợp sử dụng thú vị phù hợp với vòng đời quy trình điển hình của phần mềm gộp kết nối. Ngay cả khi phần mềm gộp kết nối của bạn không được phép chạy hầu hết soi kèo bóng đá truoctran lệnh SQL, bạn có thể cho phép nó chuyển nhãn bảo mật của máy khách bằng cách sử dụngsepgsql_setcon ()Hàm từ trong soi kèo bóng đá truoctran thủ tục đáng tin cậy; Điều đó sẽ cần soi kèo bóng đá truoctran số thông tin xác thực để ủy quyền cho yêu cầu chuyển nhãn máy khách. Sau đó, phiên này sẽ có đặc quyền của người dùng mục tiêu, thay vì Pooler kết nối. Kết nối Pooler sau này có thể hoàn nguyên thay đổi nhãn bảo mật bằng cách sử dụngsepgsql_setcon ()vớinullĐối số, soi kèo bóng đá truoctran lần nữa được gọi từ trong soi kèo bóng đá truoctran thủ tục đáng tin cậy với kiểm tra quyền thích hợp. Vấn đề ở đây là chỉ có quy trình đáng tin cậy thực sự mới có quyền thay đổi nhãn bảo mật hiệu quả và chỉ làm như vậy khi được cung cấp thông tin phù hợp. Tất nhiên, để hoạt động an toàn, lưu trữ thông tin xác thực (bảng, định nghĩa thủ tục hoặc bất cứ điều gì) phải được bảo vệ khỏi truy cập trái phép.
Chúng tôi từ chốiloadLệnh trên bảng, vì bất kỳ mô -đun nào được tải đều có thể dễ dàng phá vỡ thực thi chính sách bảo mật.
Bảng F.29Hiển thị soi kèo bóng đá truoctran chức năng có sẵn.
Bảng F.29. Chức năng sepgsql
|
chức năng Mô tả |
|---|
|
Trả về miền máy khách, nhãn bảo mật hiện tại soi kèo bóng đá truoctran máy khách. |
|
Chuyển miền máy khách soi kèo bóng đá truoctran phiên hiện tại sang miền mới, nếu được chính sách bảo mật cho phép. Nó cũng chấp nhận |
|
Dịch phạm vi MLS/MCS đủ điều kiện thành định dạng RAW nếu trình nền McStrans đang chạy. |
|
Dịch phạm vi MLS/MCS đã cho thành định dạng đủ điều kiện nếu trình nền McStrans đang chạy. |
|
Đặt nhãn bảo mật ban đầu cho tất cả soi kèo bóng đá truoctran đối tượng trong cơ sở dữ liệu hiện tại. Đối số có thể là |
Do hạn chế thực hiện, soi kèo bóng đá truoctran số hoạt động DDL không kiểm tra quyền.
Do soi kèo bóng đá truoctran hạn chế thực hiện, soi kèo bóng đá truoctran hoạt động DCL không kiểm tra quyền.
PostgreSQLHỗ trợ truy cập cấp hàng, nhưngsepgsqlkhông.
sepgsqlKhông cố gắng che giấu sự tồn tại của một đối tượng nhất định, ngay cả khi người dùng không được phép tham khảo nó. Ví dụ, chúng ta có thể suy ra sự tồn tại của một đối tượng vô hình là kết quả của soi kèo bóng đá truoctran xung đột chính chính, vi phạm chính nước ngoài, v.v., ngay cả khi chúng ta không thể có được nội dung của đối tượng. Sự tồn tại của một bảng bí mật hàng đầu không thể được ẩn giấu; Chúng tôi chỉ hy vọng sẽ che giấu nội dung của nó.
Trang wiki này cung cấp một cái nhìn tổng quan ngắn gọn, thiết kế bảo mật, kiến trúc, quản trị và soi kèo bóng đá truoctran tính năng sắp tới.
Tài liệu này cung cấp soi kèo bóng đá truoctran loạt kiến thức để quản lýSelinuxTrên hệ thống của bạn. Nó tập trung chủ yếu vào soi kèo bóng đá truoctran hệ điều hành Red Hat, nhưng không giới hạn ở họ.
Tài liệu này trả lời soi kèo bóng đá truoctran câu hỏi thường gặp vềSelinux. Nó tập trung chủ yếu vào Fedora, nhưng không giới hạn ở Fedora.
Kaigai Kohei<kaigai@ak.jp.nec.com
Nếu bạn thấy bất cứ điều gì trong tài liệu không chính xác, không khớp Kinh nghiệm soi kèo bóng đá truoctran bạn với tính năng cụ thể hoặc yêu cầu làm rõ thêm, Vui lòng sử dụngMẫu nàyĐể báo cáo vấn đề tài liệu.