SU command

Home \| Webboard \| Chatroom \| Guestbook \| Tips and Tricks \| IRC helper\| Top Downloads\| Free Links \| Webmaster
รับทำ Homepage และ วิเคราะห์ข้อมูลงานวิจัยด้วย SPSS version 10.0.7 Tel: 06-1914469

บทที่1:เรียนLinux บทที่3:เรียนPerl บทที่4:บทเรียนPHP บทที่5:บทเรียนSQL บทที่8:หน้าที่ของแฟ้ม/ระบบDirectory บทที่9:คำสั่งบริหารระบบSuperUser

บทที่ 9 : คำสั่งสำหรับ บริหารระบบ โดย Super user 9.1 คำสั่ง su 9.2 คำสั่ง useradd 9.3 คำสั่ง userdel 9.4 คำสั่ง usermod 9.5 Shell script เพิ่มผู้ใช้ _crt 9.6 Shell script ลบผู้ใช้ 9.7 คำสั่ง mount 9.8 คำสั่ง rpm 9.9 แก้ไข aliases ของ user account 9.10 เพิ่ม IP ใน Server ตัวเดียวด้วย IFCONFIG 9.51 Server ถูก Hack 9.52 ปรับระบบให้แข็งแรง 9.59 วิธี Backup ระบบ 9.61 ลืมรหัสผ่านของ root 9.71 ติดตั้ง webbased mail ของ adjeweb.com 9.72 ติดตั้ง squid เป็น Proxy server ที่ 3128 9.73 เพิ่ม incoming ในบริการ ftp 9.74 การติดตั้ง apache+php+mysql 9.75 ติดตั้ง TCPWrapper เพื่อตรวจสอบ IP เครื่องต้นทาง 9.76 การติดตั้ง Radius 9.77 ติดตั้ง Modem สำหรับให้บริการเรียกเข้ามา 9.78 เปิดบริการ SSI (Server Side Include) 9.97 Server ตัวนี้ให้บริการอะไรได้บ้าง 9.98 ขั้นตอนการทำ server ตัวนี้ 9.99 การบำรุงรักษา และตรวจสอบ Mirror at http://www.thaiall.com/isinthai

9.1 คำสั่ง SU
:::::: ขอเปลี่ยนตนเองเป็น Super user เพื่อใช้สิทธิ์สูงสุดในการบริหารระบบ ที่ผู้ใช้ปกติทำไม่ได้

การจะใช้ su ได้จะต้องเป็นผู้ใช้ตามปกติ เมื่อพิมพ์ su แล้วระบบจะถามรหัสผ่าน หากพิมพ์รหัสผ่านถูกต้อง ท่านก็จะสามารถกระทำการใด ๆ ก็ได้ เพราะ super user คือผู้ที่มีอำนาจสูงสุดในระบบ เช่น เพิ่มผู้ใช้ท่านใหม่ ลบผู้ใช้คนเดิม เป็นต้น (เพียงแต่พิมพ์คำว่า su ท่านก็สามารถเปลี่ยนสิทธิ์ได้แล้ว ถ้ามีรหัสผ่านของ su)

ตัวอย่างคำสั่ง และการใช้งาน
su
:: เปลี่ยนตนเองเป็น super user เพื่อกระทำการใด ๆ ก็ได้กับตัวระบบ
su - webmail
:: ไม่ว่าขณะที่ login เป็น user ใด แล้วต้องการเปลี่ยนเป็นอีกคนหนึ่ง ก็ไม่ต้อง logout แล้ว login ใหม่ ใช้คำสั่งนี้ได้เลย

9.2 คำสั่ง useradd
:::::: เพิ่มผู้ใช้รายใหม่เข้าไปในระบบ

ตัวอย่างคำสั่ง และการใช้งาน
useradd theman
:: เพิ่มผู้ใช้รายใหม่เข้าไปในระบบชื่อ theman ในกลุ่ม theman และมี home directory เป็น /home/theman
useradd -g users -d /home/httpd/html/theman -c "user name here" theman
:: เพิ่มผู้ใช้รายใหม่เข้าไปในระบบชื่อ theman

9.3 คำสั่ง userdel
:::::: ลบผู้ใช้รายเดิม ออกจากระบบ

ตัวอย่างคำสั่ง และการใช้งาน
userdel -r theman
:: ลบ theman และ home directory ของ theman ออกหมด

home

9.4 คำสั่ง usermod
:::::: แก้ไขข้อมูลของผู้ใช้ได้

ตัวอย่างคำสั่ง และการใช้งาน
usermod -d /home/theman theman
:: กำหนดให้ theman มี homedirectory อยู่ที่ /home/theman
usermod -c "Mr.Suwit Somsupabrungyod" theman
:: กำหนดให้ comment หรือชื่อ เป็น Mr.Suwit Somsupabrungyod ซึ่ง comment จะไปแสดงผลให้เห็นชัดเจนตอนที่ใช้ pine เมื่อพิมพ์คำว่า theman ในช่อง to ขณะที่กำลัง compose จะแสดง comment หน้า email ให้ทันที

9.5 โปรแกรมเพิ่มผู้ใช้ /usr/bin/_crt
:::::: โปรแกรมนี้เป็น shell script สำหรับเพิ่มผู้ใช้อย่างง่าย สร้างด้วย pico และกำหนดให้ประมวลผลด้วย chmod

โปรแกรมนี้ชื่อ _crt ถูกเก็บไว้ในห้อง /usr/bin โดยกำหนดให้ chmod 700 เพื่อให้สั่งประมวลผล shell script ตัวนี้ได้ และการจะใช้โปรแกรมนี้ได้จะต้องกำหนด PATH ไว้ที่ห้อง /usr/bin และ /usr/sbin จึงต้องกำหนด PATH เพิ่มเติม

จากเดิม PATH=$PATH:$HOME/bin (ถ้า admin ไม่แก้ไขให้ก่อนนะครับ)

เป็นใหม่ PATH=$PATH:$HOME/bin:/sbin:/usr/bin:/usr/sbin

ตรวจสอบตัวแปร PATH ด้วยคำสั่ง echo $PATH

ปัญหานี้จะไม่เกิดขึ้น ถ้ากำหนดไว้ในแฟ้ม .bash_profile ในห้อง /etc/skel เพราะเป็นห้องที่เก็บค่าเริ่มต้น

ตัวอย่างโปรแกรมที่ใช้งานอยู่
#!/bin/bash
echo Username
read un
echo Realname
read cm
finger $un
echo ===============================
read sure
RESULT="Error - Try other username again .. "
EXIST=0
id $un >/dev/null 2>/dev/null && EXIST=1
if [ $EXIST = 0 ]; then
useradd -g users -d /home/httpd/cgi-bin/$un -c "$cm" $un
chown $un:users /home/httpd/cgi-bin/$un
chmod 705 /home/httpd/cgi-bin/$un
usermod -d /home/httpd/cgi-bin/$un $un
ln -s /home/httpd/cgi-bin/$un /home/httpd/html/$un
passwd $un
RESULT="Complete"
fi
echo "Add new user : $RESULT"

โปรแกรมข้างล่างนี้ใช้กับเครื่องที่ใช้งาน ssi ได้
#!/bin/bash
echo Username
read un
finger $un
echo ===============================
echo Are you ok?
RESULT="Error - Try other username again .. "
EXIST=0
id $un >/dev/null 2>/dev/null && EXIST=1
if [ $EXIST = 0 ]; then
read sure
useradd -g users -d /home/httpd/html/$un -c "$cm" $un
chmod 705 /home/httpd/html/$un
passwd $un
RESULT="Complete"
fi
echo "Add new user : $RESULT"

โปรแกรมข้างล่างนี้ใช้กับ isinthai.com ในช่วงปิด telnet เพื่อให้ upload ผ่านเว็บ
เหตุที่ใช้แฟ้มชื่อ password.pl เพราะป้องกันการแอบเปิดดูรหัสผ่าน แล้วแฟ้มนี้ใช้สำหรับบริการ upload (ซึ่งไม่ได้เข้ารหัสไว้)
#!/bin/bash
echo Username
read un
echo Real name
read cm
echo Password
read password
finger $un
echo ===============================
echo Are you ok?
RESULT="Error - Try other username again .. "
EXIST=0
id $un >/dev/null 2>/dev/null && EXIST=1
if [ $EXIST = 0 ]; then
read sure
useradd -g users -d /home/httpd/html/$un -c "$cm" $un
chmod 777 /home/httpd/html/$un
echo $password>/home/httpd/html/$un/password.pl
chown nobody:nobody /home/httpd/html/$un/password.pl
chmod 700 /home/httpd/html/$un/password.pl
passwd $un
RESULT="Complete"
fi
echo "Add new user : $RESULT"

เจอปัญหาใช้ useradd ไม่ได้เพราะ lock
มีเรื่องแปลกเกิดขึ้นครับ ทำให้ไม่สามารถเพิ่ม user ได้
useradd: error locking shadow group file หรืออะไรทำนองนี้
ไม่แน่ใจว่าเกิดขึ้นเพราะเหตุใด แต่แก้ไขด้วยการลบแฟ้มที่ ls -al *.lock
หรือที่มีนามสกุลเป็น .lock ในห้อง /etc เช่น passwd.lock group.lock เป็นต้น
และทุกแฟ้มก็มีค่าเป็น 741 เหมือนกันหมด สันนิฐฐานว่าเป็นเลข ps ที่ทำการ lock ไว้

home

9.6 โปรแกรมลบผู้ใช้ /usr/bin/_del
:::::: โปรแกรมนี้เป็น shell script สำหรับลบผู้ใช้อย่างง่าย สร้างด้วย pico และกำหนดให้ประมวลผลด้วย chmod

รายละเอียดอ้างอิงจากการเพิ่มผู้ใช้ได้เลย

โปรแกรมนี้ชื่อ _del ถูกเก็บไว้ในห้อง /usr/bin โดยกำหนดให้ chmod 700 เพื่อให้สั่งประมวลผล shell script ตัวนี้ได้

ตัวอย่างโปรแกรมที่ใช้งานอยู่
echo Username
read un
finger $un
echo =============================================
echo If already exist, you can delete this account.
echo If you are not sure, Please Ctrl-C
read sure
echo Ask you again and last time? Ctrl-C if you are not sure.
read sure
userdel -r $un
rm -r /home/httpd/html/$un
echo complete

9.7 คำสั่ง mount
:::::: ใช้เชื่อมต่ออุปกรณ์ เช่น CD-ROM หรือ Harddisk อีกตัวหนึ่ง

แฟ้มที่เกี่ยวกับการ mount
/etc/fstab : บอกว่ามีอะไร mount ไว้แล้วบ้าง
/etc/mtab : บอกว่ามีอะไร mount ไว้แล้วบ้าง
/proc/mounts : บอกว่ามีอะไร mount ไว้แล้วบ้าง
/proc/partitions : บอกชื่อและขนาดของแต่ละ partitions
/proc/filesystems : บอกประเภทของ filesystems ที่มีการสนับสนุน

วิธีใช้แผ่น floppy disk ใน linux
mkdir /floppy

mkfs -t ext2 /dev/fd0 1440

mount -t ext2 /dev/fd0 /floppy

หรือ
mkdir /floppy

mkfs -t msdos /dev/fd0 1440

mount -t msdos /dev/fd0 /floppy

ต่อไปในห้อง /floppy ก็คือแผ่น disk ใน drive A ส่วน /dev/fd1 ก็คือ drive B แต่ต้องเริ่มทำใหม่นะครับ

ตัวอย่างคำสั่ง และการใช้งาน
mount /dev/cdrom
:: ทำให้เครื่องมองเห็น CD-ROM อยู่ในห้อง /mnt/cdrom
umount /dev/cdrom
:: เพื่อยกเลิกการ mount CD-ROM
mount -t ext2
:: แสดงให้เห็นว่า partition แบบ ext2 มีอะไรถูก mount ไว้บ้าง
mount -t vfat
:: แสดงให้เห็นว่า partition แบบ vfat มีอะไรถูก mount ไว้บ้าง

home

9.8 คำสั่ง rpm
:::::: ใช้ตรวจสอบ เพิ่ม หรือลบ package ของระบบ linux เกือบทั้งหมด

ในกรณีที่ท่านมีโปรแกรมตัวใหม่มา สามารถที่จะลบโปรแกรมเพิ่มโดยใช้คำสั่ง rpm ได้ หรือต้องการตรวจสอบว่า มี package บางตัว install อยู่หรือไม่ หรือจะยกเลิกโปรแกรมบางตัวออกจากระบบก็ทำได้ หรือจะแสดงรายชื่อ package ทั้งหมดในระบบก็ทำได้อีก รวมทั้งการตรวจ version ของ package แต่ละตัว

จากประสบการณ์ ไม่แน่ใจว่าเกิดจากอะไร เมื่อลง Redhat 6.2 แล้ว แต่ระบบไม่บริการ pop3 จึงได้ทำการ mount /dev/cdrom จากนั้นก็ทำการ install package pop เพิ่มเข้าไป ที่รู้เพราะลองใช้คำสั่ง telnet www 110 แล้ว error จึงต้องทำการเพิ่ม package pop เข้าไปใหม่ โดยใช้คำสั่ง rpm -i imap-4.7-5.i386.rpm ที่รู้เพราะได้ใช้ cd เข้าไปในห้อง /mnt/cdrom/RedHat/RPMS จึงพบแฟ้มมากมายที่สามารถ install เพิ่มได้

ตัวอย่างคำสั่ง และการใช้งาน
rpm -i imap-4.7-5.i386.rpm
:: ใช้ install package pop เข้าไปใน linux ใหม่ เพราะไม่มี
rpm -qa|grep imap
:: ใช้ดูว่ามี package อะไรบ้างที่ขึ้นต้นด้วย imap
rpm -qa
:: ใช้ดูรายชื่อ package ทุกตัวที่ install ไว้แล้ว
rpm -q telnet
:: ใช้ตรวจว่ามี package ชื่อ telnet อยู่หรือไม่
rpm -qpl imap-4.7-5.i386.rpm
:: แสดงชื่อแฟ้มใน package แต่ต้องเข้าไปที่ /mnt/cdrom/RedHat/RPMS ก่อนนะครับ
rpm -qf /usr/sbin/imapd
:: จะแสดง vim-minimal-5.6-11 ซึ่งเป็นรุ่นของ vi นั้น
rpm -qf /usr/sbin/httpd
:: จะได้ apache-1.3.12-2 ซึ่งเป็นรุ่นที่ติดตั้งมาใน linux 6.2
rpm -e apache-1.3.12-2
:: ลบ หรือ erase โปรแกรม apache-1.3.12-2 ออกจากเครื่อง

9.9 แก้ไข aliases ของ user account
:::::: ช่วยกระจาย e-mail ของผู้ใช้ 1 คนไปหลายคน เช่น มีคนส่ง mail ถึง webmaster จะกระจายไปให้สมาชิกได้หลาย ๆ คน

สร้าง account ชื่อ webmaster แล้วแก้ไข /etc/aliases ด้วย pico สำหรับส่ง mail forward ไปยังบุคคลที่เป็น webmaster@www.isinthai.com หลังแก้ไขแล้วให้ใช้คำสั่ง newaliases เพื่อให้ผลการ update มีผล

หลังใช้ newaliases เมื่อมีคนส่ง mail ถึง webmaster@www.isinthai.com จะ forward mail ไปให้บุคคล 3 คน พร้อม ๆ กัน ถ้าหากเพิ่มก็เข้าไปแก้ไขแฟ้ม /etc/aliases ใหม่ ก็สามารถกระทำได้

ขั้นตอน
pico /etc/aliases
webmaster:suwit@yonok.ac.th,prasanya@yonok.ac.th,phimine@yonok.ac.th
newaliases

home

9.10 เพิ่ม IP ใน server ตัวเดียวด้วย IFCONFIG
:::::: เพื่อให้ server 1 ตัวมี ip ได้หลาย ๆ ตัว

เดิมที่ ไม่ทราบความสามารถนี้ และไม่เคยคิดจะใช้ แต่เมื่อวันที่ 11 เมษายน 2544 เครื่อง Web server และ Radius server เครื่องเดียวกัน เกิดล่าในระดับ Media error แถมเป็นเครื่อง sun ที่ผมไม่มี software สำหรับลงใหม่ จึงต้องใช้เครื่อง Redhat 6.2 อีกเครื่องหนึ่งมากู้สถานการณ์ โดยสมมติว่าเครื่องที่ล่มไป มี ip เป็น 203.146.9.2 ผมเพียงกำหนด ip ในเครื่อง Redhat ให้เพิ่ม ip สำหรับเครื่องขึ้นอีก 1 หมายเลข คำสั่งข้างล่างนี้จะทำให้มีผลทันที แต่เมื่อเปิดเครื่องใหม่จะไม่คงอยู่ จึงต้องแก้แฟ้ม /etc/rc.d/rc.local โดยเพิ่มบรรทัดข้างล่างนี้เข้าไป ก็เป็นอันเรียบร้อย

สำหรับ Web server ผมต้อง copy ข้อมูลทั้งหมดมาใส่ในเครื่องใหม่จึงจะใช้งานได้ ส่ง radius server ก็ต้อง copy config มาทับ ซึ่งมี 2 แฟ้มคือ users และ clients เพียงเท่านี้ ตัว Modem ก็สามารถติดต่อกับ Radius server ตัวใหม่ได้อย่างไม่มีปัญหา

/sbin/ifconfig eth0:1 203.146.9.2

9.51 Server ถูก Hack
:::::: ผลของการถูก hack มีลักษณะตามอาการที่ hacker ต้องการ ไม่ซ้ำแบบกัน

วันที่ 26 มีนาคม 2544 : เปิดระบบทดลอง install โปรแกรมต่าง ๆ ตั้งแต่ต้นเดือน วันนี้ถูก hacker เข้ามาเปลี่ยนรหัสของ root นั่งหาวิธีอยู่ 3 วันจึงรู้วิธีแก้ไขรหัสผ่าน ตามหัวข้อ 9.61 ซึ่งเลข ip 193.231.178.98 ที่เข้ามาโดยใช้คำสั่ง last พบว่ามาจาก Romania

วันที่ 29 มีนาคม 2544 : เมื่อแก้รหัสผ่านจาก hacker ในครั้งแรกได้ เข้าใจว่า hacker คนเดิม รู้ว่าผมรู้จักเขาได้อย่างไร เพราะผมใช้ hosts.deny ปิดเขา ตามหัวข้อ 9.75 ครั้งนี้ จึงเข้ามาก่อกวน รุ่นแรงกว่าเดิม เพราะครั้งแรกแค่ยึด super user ไป ครั้งนี้จึงปิดระบบ network ของเรา โดยเข้าไปแก้ไขแฟ้มต่าง ๆ เช่น resolv.conf hosts named.conf network static-routes ifcfg-eth0 เป็นต้น ซึ่ง hacker คนนี้ได้ทิ้งข้อความไว้หลายจุดว่า SnaK3.Is.The.Best.H4k3r.org 212.62.7.9 และเว็บที่เขาทิ้งไว้คือ www.snak3.co.uk เป็นเว็บ free email โดย another.com ซึ่งอาจไม่เกี่ยวข้อง โดยตรงกับ hacker ผู้นี้ก็ได้ ในครั้งนี้ ก็เกือบต้อง format หรือ reinstall เพื่อลง linux ใหม่ ดังนั้นก่อนเปิดระบบ จึงต้องใช้ NortonGhost เพื่อ clone HD ในระดับ partition ให้ได้ก่อน เพราะมีลูกศิษย์ที่ชื่อ วิรุฬห์ ยวงเอี่ยมใย แนะนำมา

วันที่ 20 เมษายน 2544 : วันนี้ hacker จาก UK เข้ามา แต่ผมหาไม่พบว่าเข้าเขามาทำอะไร นอกจากเพิ่ม user เข้าระบบ และยังพบคุณ nat (tanma2k@hotmail.com http://www.nat.f2s.com/phpnuke/index.php) ซึ่งแนะนำผมให้ chmod 700 /usr/bin/gcc เป็นการป้องกัน hacker นำ shell script มาแปลงตนเองเป็น root ทำให้ผมรู้ว่า แค่มีโปรแกรม shell ตัวหนึ่ง มา run ใน server ถ้า server ยอมให้ใช้ gcc ซึ่งเป็น C compiler ก็จะทำให้เกิด overflow จนเปลี่ยนสถานภาพปกติ กลายเป็น root ทันที และคุณ nat ยังแนะนำเว็บ www.rootshell.com และ www.technotronic.com เพื่อให้ผมมีความรู้ไว้ ปรับปรุงระบบ ซึ่งคุณ oak จาก loxinfo.co.th ก็เคยเล่าให้ผมฟังถึงวิธีการนี้ เพียงแต่ตอนนี้ ผมยังไม่ได้ shell script ตัวนั้นมาทดลอง และก่อนนี้ไม่กี่วัน AusCERT Probe Reporter [auscert@auscert.org.au] และ Phil Crooker [pcrooker@orix.com.au] ก็แจ้งมาว่า มี hacker พยายามเจาะระบบเขาจาก ip ของเรา

Apr 8 10:53:16 denied tcp 203.146.9.1(3744) -> 203.23.109.14(53), 1 packet
Apr 8 10:53:17 denied tcp 203.146.9.1(3793) -> 203.23.109.63(53), 1 packet
Apr 8 10:53:18 denied tcp 203.146.9.1(3806) -> 203.23.109.76(53), 1 packet
Apr 8 10:53:19 denied tcp 203.146.9.1(3745) -> 203.23.109.15(53), 1 packet
Apr 8 10:53:21 denied tcp 203.146.9.1(3796) -> 203.23.109.66(53), 1 packet
Apr 8 10:53:21 denied tcp 203.146.9.1(3811) -> 203.23.109.81(53), 1 packet
Apr 8 10:53:22 denied tcp 203.146.9.1(3834) -> 203.23.109.102(53), 1 packet
Apr 8 10:53:24 denied tcp 203.146.9.1(3988) -> 203.23.109.252(53), 1 packet
Apr 8 10:53:24 denied tcp 203.146.9.1(3950) -> 203.23.109.217(53), 1 packet
Apr 8 10:53:26 denied tcp 203.146.9.1(3967) -> 203.23.109.232(53), 1 packet
Apr 8 10:53:26 denied tcp 203.146.9.1(3989) -> 203.23.109.253(53), 1 packet

จริง ๆ ไม่ใช่ 203.146.9.1 นะครับ แต่จาก server อีกตัวที่ปิดมิดชิด เพราะถ้าเป็น เบอร์ 1 คือ isinthai.com จะไม่แปลกใจเพราะเปิดให้เข้ามาใช้แต่นี่เป็น server อีกตัวครับ แล้วเข้าก็แนะนำว่าเข้าเว็บต่อไปนี้ เพื่อศึกษาวิธีการปิดระบบ

http://www.linuxnewbie.org/nhf/intel/security/armorlin.html
http://securityfocus.com
http://bastille-linux.sourceforge.net/
http://www.auscert.org.au/Information/Auscert_info/papers.html
http://packetstorm.securify.com

วันที่ 26 เมษายน 2544 : ผมได้รับแจ้งจากคุณสุวิทย์ว่า last หาไปและมีข้อความว่า operator เป็นผู้ลบ แต่ผมจำได้ว่าเคยเปลี่ยนรหัสผ่านของ operator ไปแล้ว แต่ก็หาไม่พบว่า operator เข้ามาทำอะไรอีกนอกจากลบ last ไป ซึ่งผู้ที่เคยใช้ user นี้เข้ามาก็คือ hacker คนแรกที่มาจาก romania นั่นเอง

วันที่ 3 พฤษภาคม 2544 : วันนี้ผมเข้า Root โดยใช้ Su ไม่ได้ เมื่อเข้าแล้วกรอกรหัสผ่านแล้วจะขึ้นคำว่า su: cannot set groups: Operation not permitted พอไปตรวจใน /etc/passwd ก็พบว่า hacker เข้ามาเปลี่ยน adm ให้เป็น :3:0: จึงเปลี่ยนกลับไป จากนั้นก็เขาเป็น root โดยใช้ linux single แล้วไปสร้าง account ขึ้นมาอีก 1 account ให้เป็นประตูหลัง จึงจะเข้าไปเป็น root ได้ ขณะนี้คงปิดระบบให้ปลอดภัยไม่ได้แล้ว เพราะเป็นระบบเปิด ผมวางแผนว่าอีกสักพักจะ ลงระบบใหม่ แล้วเริ่มปิด gcc ตั้งแต่ต้น hacker อาจเข้ามาไม่ได้ก็ได้ .. ขณะนี้จะเป็น root ที ต้องไปนั่งหน้า server จึงจะใช้ได้

วันที่ 15 พฤษภาคม 2544 : isinthai.com เองถูก hack จนผมไม่สามารถเข้าเป็น superuser ได้ ต้องไปเข้าที่ตัว Server จึงจะได้เพราะใช้ su ไม่ได้นั่นเอง แต่วันนี้ Server ตัวหลักตัวหนึ่งถูก hack ซึ่งมีอาการที่ยอมรับไม่ได้คือ ใช้ pico ไม่ได้ Telnet ออกไป server ตัวอื่นไม่ได้ โดย Server ตัวนั้นมีการปิด Telnet ด้วย hosts.deny แล้ว ผมตรวจด้วย Last จึงทราบว่า เขา Hack เข้ามาด้วย Ftpd ซึ่งเข้าใจว่าเป็นการทำ Overflow ซึ่งผมยังไม่ทราบว่าทำอย่างไร ในแฟ้ม passwd เขาก็เพิ่ม user 0:0 เข้าไปได้ จึงจะลงระบบในเครื่องนี้ใหม่ทั้งหมด แต่จะปิดระบบให้หมด เหลือให้ใช้ได้เฉพาะในโยนกเท่านั้น ก็ต้องดูต่อไปว่าผมการปิดของผม ครั้งใหม่ จะสำเร็จหรือไม่ และที่แค้นใจคือ ผมพยายามใช้ Ghost copy HD ตัวนี้เพื่อ backup แต่ประเสริญพยายามา 2 วันก็ไม่สำเร็จไม่ในใจว่า Harddisk ตัวใดเสีย จึงทำให้ต้องมานั่งลงระบบใหม่ทั้งหมด นี่ถ้า Backup ไว้คงไม่ต้องลงระบบใหม่อย่างนี้ แต่ก็ถือเป็นประสบการณ์ เหล็กกำลังร้อนตีง่าย ซึ่ง Server ดังกล่างก็มีปัญหาหนึ่งที่ยังแก้ไม่ได้ คือเมื่อไฟตกแล้วจะดับไป ไม่ฟื้นขึ้นมาเอง แต่ถ้าเป็นเครื่อง Acer 133 จะพื้นเองได้ จึงตัดสินใจเปลี่ยนเครื่องด้วยเลย

วันที่ 18 พฤษภาคม 2544 : วันนี้ hacker กลุ่มน้ำล้น ได้เข้ามาสำแดงความสามารถว่าเขาทำได้ ด้วยการเปลี่ยนหน้าแรกของเว็บ และยังตั้งระเบิดเวลา เมื่อปิดเครื่องแล้วจะไม่สามารถ boot ระบบ ทำให้ Server 2 ตัวที่เป็น Redhat 6.2 ที่ผมมั่นใจว่าไม่น่ามีใครทำอะไรได้

เนื่องจากตัวหนึ่งแม้แต่ผมยังไม่สามารถเข้าเป็น Superuser และบริการหลายอย่างล่มไป จึงเข้าใจว่า hacker ไม่น่าทำอะไรได้อีก ส่วน Server อีกตัวหนึ่งได้ติดตั้งใหม่ ปิด gcc และ tcpwrapper แล้ว แต่ก็ยังถูก hack ได้ชั่วข้ามคืน และเขายังบอกว่าเป็น Hacker กลุ่มน้ำล้น และเป็นคนไทย ที่ผมเคยเข้าใจว่าเป็นฝรั่ง แต่นี่ก็คือประสบการณ์ที่ทำให้รู้ว่าระบบของผมยังมีรอยรั่ว แต่ Hacker กลุ่มน้ำล้น (Water overflow) ได้แนะนำว่าผมน่าจะหา Patch มาปิดรอยรั่วต่าง ๆ ทำให้ผมเริ่มหันไปสนใจเรื่องนี้มากขึ้น หลังจากที่เคยเข้าไปเห็น Patch กว่า 300 Patch ที่ Redhat ออกมาแก้ปัญหาระบบใน Redhat 6.2 สำหรับวันที่ hacker เจาะเข้ามาได้ ผมยังไม่ทันได้เห็นหน้าแรก เพราะก่อนผมเข้าที่ทำงาน ไฟฟ้าเกิดดับไปซะก่อน

วันที่ 24 พฤษภาคม 2544 : พบว่าใช้ useradd นึกว่าโดย hack อีกแล้วแต่คิดว่าไม่ใช่ เพียงแต่เกิดแฟ้ม group.lock ในห้อง /etc จึงทำให้ใช้คำสั่ง useradd ไม่ได้ เมื่อลบ group.lock ก็ใช้ได้ตามปกติ จึงถือโอกาสเข้าไปดูแล้ว /var/log/messages ซึ่งมีข้อมูลเยอะมาก จึงเลือกดูที่มีคำว่า portmap พบว่ามี log ที่แสดง ip ขึ้นมา โดยใช้คำสั่ง cat /var/log/message|grep portmap อ่านดูก็ไม่ได้คิดว่าต้องเป็น hacker อาจเป็นเพียงผู้ใช้ที่เคยได้บริการ telnet และเข้ามาใช้บริการอีกเท่านั้น

May 20 11:58:27 www portmap[13213]: connect from 211.223.208.103 to dump(): request from unauthorized host
May 20 17:33:42 www portmap[13318]: connect from 203.155.103.249 to dump(): request from unauthorized host
May 22 14:38:05 www portmap[816]: connect from 211.182.75.2 to getport(status): request from unauthorized host
May 22 16:28:57 www portmap[852]: connect from 211.182.75.2 to getport(status): request from unauthorized host
May 22 18:03:12 www portmap[885]: connect from 211.182.75.2 to getport(status): request from unauthorized host

วันที่ 25 พฤษภาคม 2544 : เย็นนี้ได้รับ mail จาก กลุ่มน้ำล้น ว่าจะเข้ามา hack วันพรุ่งนี้ ให้ป้องกันระบบให้ดี เป็นลักษณะจดหมายเตือน แต่ผมก็ป้องกันไปแล้วเต็มที่ คือการใช้ tcpwrapper ปิด ip ทั้งหมด แต่ไม่ได้เข้าไปปิด service ใน /etc/services พอเย็นวันเสาร์ผมเข้าใช้ isinthai.com ไม่ได้ ก็คิดว่า hacker เข้าไปแล้วเป็นแน่ จึงเข้าไปดูที่เครื่อง ปรากฤว่ามีคนปิดไฟ พอเปิดไฟก็ใช้ได้ จึงแน่ใจว่าที่ระบบหายไปในวันเสาร์ ไม่ใช่ฝีมือของ hacker เป็นแน่ จึงไปถาม รปภ. และทราบว่า ผมได้ย้าย server ทำให้หน้าจอตรงกับหน้าประตู เมื่อ รปภ. เดินไปเห็นว่าไฟเครื่องเปิด จึงใช้กุญแจไขเข้าไป ช่วยปิดให้ .. สรุปว่าผมได้ clear กับ รปภ. แล้วว่า ต่อไปห้ามยุ่งกับเครื่องเหล่านั้นอีก .. ก็เรียบร้อย

Please prevent www.isinthai.com now.. coz there're many hackers would
like to drill your system..
On 26 May at 10.00 am. if we can invade your system. we'll deface
your web.. Don't worry. we don't destroy your system.... and if we found
the hole .. we 'll reveal to you and how to protect.
I have a few time for drill your web ,because I can entrance and begin to
study engineering in university recently. So maybe I have no time for drilling
any more.
water overflow.

วันที่ 28 พฤษภาคม 2544 : เมื่อวาน hacker เข้ามาจัดการ hack server ตัวนี้ได้ โดยเปลี่ยนหน้าแรก ซึ่งเขาได้แนะนำว่าควรหา patch มา update และได้ฝากหน้าเว็บไว้ให้อ่าน [wateroverflow.htm เป็นแฟ้ม swf ขนาดตั้ง 2 แสนไบต์] หลังจาก hack แล้วเข้าไปตรวจด้วย last ไม่พบอะไร ดูใน /etc/log/secure ก็พบแต่ที่เข้ามาไม่ได้ แต่พอเข้าไปที่ /etc/log/message พบสิ่งที่ hacker ฝากสิ่งดี ๆ ไว้ เรียกว่า ถ้าผมไม่ใช้ more /etc/log/messages ก็ไม่เห็น ซึ่งมีข้อความดังนี้

May 27 10.05.11 login Water Overflow
To : Admin
Subject : upgrade your glibc now. your glibc have bug..

HOW TO HACK :
The hacker can make buffer overflow in glibc/locale. if you don't believe, go to /tmp
and see my own program named Xwater. When you run Xwater program.. after overflow you 'll get root
shell.

HOW TO PROTECT :
If you don't use /bin/mount ..please change permission to can't execute for protect hacker
using this hole in glibc(chmod 4700 /bin/mount). but if you upgrade glibc,you can change permission to
execute again.

nice a day.

Water Overflow

ในส่วนที่ hacker แนะนำให้ patch ซึ่งน่าจะหา download ได้จาก http://www.redhat.com/support/errata/index.html นั้น ผมพบนับได้เกือบ 100 โปรแกรม และในนั้นมีเรื่อง glibc ที่ ได้รับการแนะนำที่ http://www.redhat.com/support/errata/RHSA-2001-002.html ส่วนวิธี hack ที่ได้รับการแนะนำ ผมได้ลอง run โปรแกรมนี้ในห้อง /tmp ด้วย user ธรรมดา ปรากฎว่า overflow จนเป็น root จริงครับ เขาแนะนำว่าถ้าไม่ใช้ mount ก็ให้ใช้ chmod 4700 /bin/mount หรือไม่ก็ upgrade ซึ่งผมเลือกทั้ง 2 วิธีที่เขาแนะนำมาคือ
1. upgrade glibc จาก http://www.redhat.com/support/errata/RHSA-2001-002.html จะได้แฟ้มมาหลายแล้วแล้วใช้ rpm -Fvh [filename]
2. chmod 4700 /bin/mount

วันที่ 29 พฤษภาคม 2544 : ได้รับ mail จาก water_overflow แจ้งให้ผมทราบว่าเขา hack โดยการปลอม IP เข้ามา และส่งโปรแกรมภาษา C เข้ามาไว้ที่ห้อง /tmp เขา compile เครื่องผมไม่ได้เพราะปิด gcc ไว้ เมื่อ run program จะได้สถานะเป็น root ส่วนอีกโปรแกรมที่คิดว่าเขาไม่ได้บอกผมคือโปรแกรมชื่อ last.cgi ซึ่งอยู่ในห้อง /cgi-bin เป็นโปรแกรมที่เปิดผ่านเว็บ ไม่ได้ใช้วิธีเปิดด้วย telnet ที่ต้องตกใช้เพราะโปรแกรม last.cgi สามารถใช้คำสั่งของ shell ผ่าน browser ได้เลย และสามารถลบแฟ้มที่มีสถานะเป็น 700 ของ root ได้ ก็หมายความว่ากระทำการใด ๆ ได้หมด แต่ตอนนี้ผมยังหาวิธีแก้ปัญหากับแฟ้มนี้ไม่ได้ ที่จะทำให้โปรแกรมนี้หมดความสามารถของ root ผ่าน browser ไป ยกเว้นว่าจะปิดบริการ cgi ซึ่งไม่ต้องการทำอย่างนั้น (แม้จะทำตามขั้นตอนในข้อ 9.52 หรือปิด mount แต่โปรแกรมนี้ก็ยังมีฤทธิ์)

home

9.52 ปรับระบบให้แข็งแรง
:::::: ได้รับคำแนะนำดี ๆ จากผู้รู้ จึงนำมาเขียนไว้ที่นี่

apples@chek.com ซึ่งดูแลระบบของ http://academic.cmri.ac.th แนะนำมาหลายเรื่อง เช่นน่าจะใช้ slackware หรือ Mandrake เพราะระบบแข็งมาก สำหรับการป้องกันในเบื้องต้นมีดังนี้

chmod 700 /usr/lib/gcc-lib <-- ไม่ให้ใช้ library สำหรับ compile *ส่วนนี้สำคัญมาก*
chmod 700 /usr/bin/cc <-- cc compile
chmod 700 /usr/bin/c++ <-- c++ compile
chmod 700 /usr/bin/g++ <-- g++ compile
chmod 700 /usr/bin/make <-- ไม่ให้ make
chmod 700 /usr/bin/gmake <-- gmake อีกอัน
chmod 700 /etc/rc.d <-- ไม่ให้ไปยุ่งและสังเกตกะระบบ Network & initial
Process lpd rpc.* <-- ถ้าไม่ใช้ไม่ต้องรันครับ :)
- ไปพิมพ์คำว่า exit 0 ที่บรรทัดแรกของแฟ้ม /etc/rc.d/init.d/lpd
ส่วน rpc ผมยังหาวิธีไม่ run เมื่อ boot ไม่ได้ครับ ต้อง kill process โดยดูจาก ps -aux|grep rpc

FTP Server <-- เป็นไปได้เปลี่ยนจาก wu-ftpd เป็น proftpd นะครับ
IMAP <-- ถ้าเป็นไปได้ให้ใช้เฉพาะ Localhost เท่านั้นครับ **ต้องได้สิครับ**
/sbin/ipchains -A input -s 0/0 -i eth0 --proto tcp --destination-port 143 -j REJECT

water_overflow@hackermail.com ซึ่ง hack ระบบได้กลุ่มแรก แนะนำมาดังนี้

1. upgrade glibc จาก http://www.redhat.com/support/errata/RHSA-2001-002.html จะได้แฟ้มมาหลายแล้วแล้วใช้ rpm -Fvh [filename]
2. chmod 4700 /bin/mount

webmaster@www.isinthai.com ส่วนนี้ผมไปอ่านมาจาก thailinux.com

4 มิถุนายน 2544 : ตัดสินใจปิด telnet แต่เปิดบริการทั้งหมด โดย upgrade โปรแกรมจาก redhat.com

home

9.59 วิธี Backup ระบบ
:::::: เนื่องจากผมเป็นมือใหม่อยู่มาก จึงลอง backup ระบบไว้หลายวิธี

NortonGhost :

หลังโดน hacker ต่างประเทศเข้ามา จึงได้หาโปรแกรม ชื่อ NortonGhost มา copy harddisk แต่ปรากฏว่าคุณประเสริฐ prasanya@yonok.ac.th ซึ่งเป็นทีมงานของ isinthai.com แจ้งว่า ไม่สามารถ clone harddisk ที่มี partition ของ linux ที่เป็น ext2 ได้ ถ้าจะ clone ให้ได้ต้องใช้ NortonGhost 6.5 แต่ถึงวันนี้ก็ยังหาไม่ได้ (ใครมีส่งมาให้ด้วยครับ)

tar.gz เก็บไว้ :

วิธีนี้เป็น copy ทั้ง partiton เก็บเป็น file เดียว หากมีปัญหาก็คลายแฟ้มนี้เท่านั้น

tar zcf total.tar.gz / เพื่อบีบดันทั้ง root เป็นแฟ้ม total.tar.gz

tar zxf total.tar.gz คล้ายข้อมูลใน total.tar.gz ไว้ในห้องปัจจุบัน

cp เก็บเข้า partition ใน hd เดิม :

ดูว่าในเครื่องมี partition อะไรแบ่งไว้บ้างด้วย cat /proc/partitions จะเห็นขนาดของแต่ละ partitions ที่นี่

ดูว่า mount อะไรไปแล้วบ้างด้วย cat /proc/mounts

mkfs -t ext2 /dev/hda3 3076447 ใช้สำหรับจัดรูปแบบ ของ partitions /dev/hda3 ตามขนาดจริง ซึ่งเห็นใน cat /proc/partitions

mkdir /rest สร้างห้องชื่อ rest ในห้อง /

mount -t ext2 /dev/hda3 /rest ต่อไป /rest ก็คือ /dev/hda3 ซึ่งมีขนาด 3076447

df -a แสดงรายชื่อ และขนาดที่ mount สำเร็จ

cp /dev/hda2 /dev/hda3 จะ copy ทั้งหมดใน /dev/hda2 ไปเก็บใน /dev/hda3

/dev/hdb1 :

การต่อ harddisk อีก 1 ตัวตามหลักการในหนังสือ Redhat 6.0 ของอาหมัด เป็น primary slave แต่วิธีนี้ copy ได้ไม่มี ปัญหา โดยใช้การ mount และตามด้วย tar แต่ไปเจอปัญหาที่ไม่สามารถทำให้ harddisk ตัวลูก boot linux ขึ้นมาได้ เพราะไม่รู้จะนำ lilo loader เข้าไปใส่ใน harddisk อีกตัวได้อย่างไร

home

9.61 ลืมรหัสผ่านของ root
:::::: วิธีนี้ใช้ได้ใน Redhat version 6.2 แน่นอน แต่รุ่นอื่นก็มีวิธีต่างกันไปบ้างเล็กน้อย

ผมทราบวิธีนี้เพราะเข้าไปดูที่ redhat.com ในส่วนของ FAQ และที่ต้องเข้าไปดูก็เพราะมี hacker จาก 193.231.178.98 เข้ามาด้วย operator account แล้วเปลี่ยนรหัสผ่านของ root ไป ทำให้ผมไม่สามารถเข้าไปสร้างผู้ใช้ใหม่ได้ ถามหลาย ๆ ท่านก็บอกให้ใช้แผ่นบูต แบบ linux rescue ผมก็เข้าไป จะ mount จะอะไรก็ไม่ได้ อาจเป็นเพราะยังไม่ชำนาญ แต่วิธีการเรียกรหัสผ่านของ root คืนในแบบที่ผมได้มานี้ ง่ายกว่าวิธีใด ๆ แน่นอน และน่าจะทำได้ใน Redhat เวอร์ชัน 6.0 หรือ 6.2 ขึ้นไปครับ

ขั้นตอน

เมื่อ Restart เครื่องก่อนเข้าระบบขณะที่อยู่ที่ LILO prompt ให้พิมพ์ว่า linux single
เมื่อเข้าไปจะได้สถานะเป็น root ทันที ก็เพียงแต่ใช้คำสั่ง passwd root แล้ว reboot ก็เรียบร้อยแล้ว
สำหรับเครื่อง Sun ซึ่งเป็น Unix server ที่ดี จะใช้การ Reboot และกดปุ่ม stop a แล้วจึงใช้คำสั่ง boot -s

9.71 ติดตั้ง webbased mail ของ adjeweb.com
:::::: โปรแกรมนี่เป็นภาษา perl ใช้ติดตั้งใน server เพื่อทำให้เครื่องให้บริการ webbased mail ได้ แต่ต้องบริการ pop ก่อนนะครับ

ขั้นตอนการติดตั้ง ข้อ 1 และ 2 จะทำเมื่อใช้คำสั่ง rpm -qa|grep imap แล้วไม่พบว่ามีอยู่แล้ว จึงต้องติดตั้งเพิ่ม

หากยังไม่ได้ mount cd ต้องทำก่อนโดยใช้คำสั่ง mount /dev/cdrom ก็จะทำให้มีห้อง /mnt/cdrom ขึ้นมา ใช้คำสั่ง cd เข้าไปดูได้

ติดตั้ง imap ซึ่งก็คือ pop3 นั่นเองจาก CD ที่ใช้ลง linux ด้วยคำสั่ง rpm -i imap-4.7-5.i386.rpm และ rpm -i imap-devel-4.7-5.i386.rpm

ถ้าต้องการให้เครื่องนี้บริการ pop3 เอง สามารถเปิดบริการ โดยแก้แฟ้ม /etc/inetd.conf นำ # ออกหน้าคำว่า pop3 pop2 imap มิเช่นนั้นจะไม่สามารถบริการ pop ได้ แต่สามารถรับส่ง mail ด้วย telnet หรือจะใช้ adje ไปขอบริการจาก pop server ตัวอื่นก็ได้
สร้าง user ชื่อ webmail แล้วใช้ user นี้ทำงาน หรือใช้ su - webmail เพื่อเปลี่ยนตนเองอย่างง่าย ๆ ก็ได้
copy โปรแกรมสำหรับ install จาก adjeweb.com หรือ install.pl (ตัวนี้ต้อง rename ก่อน เพราะผม save เปลี่ยนชื่อไว้)
หมายความว่าเมื่อ copy adjewebmailinstall.pl.txt มาได้แล้วให้ใช้ mv adjewebmailinstall.pl.txt install.pl เพราะถ้าผมเก็นในสกุล .pl ท่านจะ copy มาไม่ได้
ก่อนลงโปรแกรมให้ chmod ห้อง /home/httpd/cgi-bin เป็น 777 ก่อนแล้วค่อยเปลี่ยนคืนเป็น 755 ด้วยคำสั่ง chmod 777 /home/httpd/cgi-bin
เมื่อได้โปรแกรมมา ให้ chmod 755 install.pl
Install ด้วยการพิมพ์ว่า ./install.pl ซึ่งแฟ้มนี้ควรอยู่ใน home directory ของท่าน
เมื่อถามว่า cgi อยู่ห้องใดก็มักจะเป็น /home/httpd/cgi-bin
เมื่อถามว่า pop server คืออะไร ก็ตอบว่า www.isinthai.com หรือ กดปุ่ม Enter หรือ จะใส่ ip ของเครื่องก็ OK เป็นต้น
เมื่อถามว่า pop server คืออะไร ก็ตอบว่า mail.loxinfo.co.th เป็นต้น
reboot สักหน่อย แล้วเปิดเว็บเรียก http://www.isinthai.com/cgi-bin/WebMail/inbox.cgi ก็เรียบร้อย
จะให้ดีเป็น su แล้วให้ ln -s /home/httpd/cgi-bin/WebMail /home/httpd/html/webmail จะทำให้เปิดเว็บด้วย http://www.isinthai.com/webmail ซึ่งสั้นกว่ากันเยอะ

home

9.72 ติดตั้ง squid เป็น Proxy server ที่ 3128
:::::: โปรแกรมนี่จะทำให้ความเร็วในการให้บริการ internet โดยรวมขององค์กรดีขึ้น ถ้าปฏิบัติตามระเบียบในการใช้ proxy

ระเบียบการใช้ proxy

เมื่อติดตั้ง squid ลงไปใน linux server ขององค์กรแล้ว ท่านก็จะได้เครื่อง proxy server ขึ้นมา 1 ตัว
ไปกำหนดในเครื่องทุกเครื่องให้มองมาที่ proxy server ตัวนี้ เช่น www.isinthai.com บน port 3128 อย่ากำหนดมาที่นี่นะครับ เพราะจะทำให้เครื่องท่าน เปิดเว็บช้าโดยใช่เหตุ แต่ถ้าเครื่องของท่านตั้งอยู่ในเครือข่ายของโยนก นั่นจะเป็นอะไรที่ถูกต้อง
หลังจากกำหนด proxy ให้ชี้ไปที่ www.isinthai.com อย่างถูกต้องแล้ว ทุกครั้งที่เปิดเว็บด้วย browser จะวิ่งไปที่เครื่องนั้นก่อน เพื่อตรวจว่า เว็บที่ขอเปิดเคยเปิดหรือไม่ ถ้าเคยเมื่อไม่นานนี้ ก็จะไม่ออกไปนอกเครือข่าย แต่จะเอาข้อมูลจาก proxy มาให้ท่าน ทำให้ไม่ต้องออกไปนอกเครือข่าย โดยไม่จำเป็น

ขั้นตอนข้างล่างนี้ อาจไม่จำเป็น ต้องทำทุกขั้นตอน ถ้าตอน install linux ได้เลือก squid หรือ everything ก็ไม่จำเป็นต้อง ลงโปรแกรมอีกรอบ เพียงแต่เข้าไป set up แฟ้ม squid.conf ใน /home/squid/etc/squid.conf หรือ /etc/squid/squid.conf แต่ถ้าเปลี่ยนใจต้องการ ลง squid ใหม่ แทนที่จะใช้ตัวที่ติดตั้งมาก็ลบตัวเดิมออกด้วยคำสั่ง
วิธีลบ squid เดิมออก ใช้คำสั่งว่า rpm -e squid-2.3.STABLE1-5 เพราะผมใช้คำสั่ง rpm -qa|grep squid แล้วพบว่า install มาตอนติดตั้ง linux ครับ (squid-2.3-200103110000-src.tar.gz ขนาด 971,877 byte)
ขั้นตอนทั้งหมดนี้คัดลอกมาจาก http://www.thailinux.com/1999/04/18/topic2.html

ขั้นตอนการติดตั้ง squid ให้เครื่องเป็น proxy server
su
adduser squid
passwd squid
su squid
cd /home/httpd/html/thaiall
tar xfvz squid-2.3-200103110000-src.tar.gz
cd squid-2.3-200103110000
./configure --prefix=/home/squid
make all
make install
cd /home/squid/etc
vi squid.conf

# Detail in file /home/squid/etc/squid.conf หรือ /etc/squid/squid.conf
http_port 3128
cache_peer www.isinthai.com parent 3128 3130
cache_mem 8 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB
minimum_object_size 0 KB
ipcache_size 1024
ipcache_low 90
ipcache_high 95
cache_dir ufs /home/squid/cache 100 16 256
cache_access_log /home/squid/logs/access.log
cache_log /home/squid/logs/cache.log
cache_store_log /home/squid/logs/store.log
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow all
icp_access allow all
miss_access allow all
cache_effective_user squid
cache_effective_group squid

ทดสอบการทำงานของ squid
cd /home/squid/bin หรือ /usr/sbin
squid -z สร้าง swap directory
squid สั่ง start manual
ps aux|grep squid ดูว่า squid ทำงานใน process หรือไม่
cd /home/squid/logs ห้องนี้เก็บ ผลการทำงานเมื่อใช้ squid
tail -f access.log เมื่อมีคนเปิดเว็บแล้วใช้บริการ squid จะมีผลต่อแฟ้มนี้

วิธีทำให้ทุกครั้งที่เปิดเครื่องแล้ว run squid อัตโนมัติ หรือปรับปรุง
# เพิ่มบรรทัดข้างล่างนี้ไปในแฟ้ม /etc/rc.d/rc.local
su -c "nohup /home/squid/bin/squid&" squid
หรือ
su -c "nohup /usr/sbin/squid&" squid

# เมื่อปรับค่า เช่นขนาดของ cache ใน /home/squid/etc/squid.conf หรือ /etc/squid/squid.conf
แล้วต้องทำบรรทัดข้างล่างนี้ เพื่อ update ค่าต่าง ๆ ใหม่
squid -k reconfigure

# แสดง option ของ squid ให้พิมพ์ว่า
squid -k

home

9.73 เพิ่ม incoming ในบริการ ftp
:::::: บริการ ftp ทำให้ท่านสามารถเข้ามา คัดลอกแฟ้ม หรือส่งแฟ้มไว้ได้ เช่น ftp://www.isinthai.com ftp://ftp.isinthai.com

พบว่าการปิด gcc นั้นสามารถป้องกัน hacker ในระดับ telnet ได้ระดับหนึ่ง แต่ถ้ามีการเปิด ftpd ด้วย ถึงไม่ telnet เข้ามา hacker ก็สามารถเจาะเข้ามาในระบบได้ .. เขาทำได้

รายชื่อห้องใน /home/ftp แต่เราได้เพิ่ม incoming เข้าไป เพื่อให้ส่งแฟ้มเข้ามาได้
d--x--x--x 2 root root 4096 Mar 9 20:51 bin
d--x--x--x 2 root root 4096 Mar 9 20:51 etc
drwxr-xr-x 2 root root 4096 Mar 9 20:51 lib
drwxrwxrwx 2 root root 4096 Mar 20 23:55 incoming
drwxr-sr-x 2 root ftp 4096 Mar 11 13:34 pub

วิธีสร้างห้อง incoming เพื่อให้ใคร ๆ ส่งแฟ้มเข้ามาได้
su
cd /home/ftp
mkdir incoming
chmod 777 incoming

9.74 การติดตั้ง Apache+php+mysql
:::::: ติดตั้ง apache และ php ใหม่ ถ้าติดตั้ง mysql แล้วก็ไม่ต้องทำอีกรอบ

โปรแกรมที่ใช้
1. apache_1_3_6_tar.gz ขนาด 1,372,280 byte
หรือ ftp://ftp.yonok.ac.th/pub/linux/apache_1_3_6_tar.gz 1.3 Mb
หรือ ftp://ftp.yonok.ac.th/pub/linux/apache_2.0a4.tar.Z 3.31 Mb
แต่สำหรับ apache2.0a4 ยังติดตั้งไม่ได้ เพราะมีปัญหาที่ make ในส่วนของ php ไม่ผ่าน
2. php-4.0.1.tar.gz ขนาด 1,957,859 byte

เดิมทีหลังจากลง mysql ไปแล้ว ไม่สามารถใช้ php3 ติดต่อกับ mysql ได้ จึงจำเป็นต้อง uninstall apache และ php3 ออก และลงใหม่ ครั้งนี้จึงลง php4 หรือ php นั่งเอง เพราะน่าจะดีกว่า php3

ขั้นตอนการ ลบ apacheเดิม และ php 3 ออก เพื่อติดตั้ง apache และ php ใหม่
rpm -e apache
error: removing these packages would break dependencies:
apache is needed by piranha-gui-0.4.12-1
webserver is needed by mod_perl-1.21-10
webserver is needed by php-3.0.15-2
webserver is needed by phpfi-2.0.1-12
rpm -e piranha-gui-0.4.12-1
rpm -e mod_perl-1.21-10
rpm -e php-3.0.15-2
error: removing these packages would break dependencies:
php is needed by php-ldap-3.0.15-2
php is needed by php-pgsql-3.0.15-2
php is needed by php-imap-3.0.15-2
rpm -e php-ldap-3.0.15-2
rpm -e php-pgsql-3.0.15-2
rpm -e php-imap-3.0.15-2
rpm -e php-3.0.15-2
rpm -e phpfi-2.0.1-12
rpm -e php-manual-3.0.15-2
rpm -e apache-devel-1.3.12-2
rpm -e apache-manual-1.3.12-2
rpm -e apache
cd /usr/local
tar xvfz /home/httpd/html/thaiall/apache_1_3_6_tar.gz

ถ้าใช้ apache2.0a4 ซึ่งใหม่กว่าเมื่อคลายด้วย tar แล้วต้อง
cd apache_2.0a4
cd src
./buildconf
./configure --prefix=/home/httpd

cd apache_1.3.6
./configure --prefix=/home/httpd
cd /usr/local
tar xvfz /home/httpd/html/thaiall/php-4.0.1.tar.gz
cd php-4.0.1
./configure --with-mysql --with-apache=../apache_1.3.6
./configure --with-mysql --with-apache=../apache_2.0a4
make
ถ้าใช้ apache_2.0a4 จะติดปัญหาที่บรรทัด make จึงกลับไปใช้ apache1.3.6 อีกครั้ง
ครั้งหน้าที่มีความรู้มากกว่านี้ คงได้กลับมาเจอ apache2.0a4 ใหม่อีกครั้ง
make install
cd ../apache_1.3.6
./configure --prefix=/home/httpd --activate-module=src/modules/php4/libphp4.a
make
make install
+--------------------------------------------------------+
| You now have successfully built and installed the |
| Apache 1.3 HTTP server. To verify that Apache actually |
| works correctly you now should first check the |
| (initially created or preserved) configuration files |
| |
| /home/httpd/conf/httpd.conf
| |
| and then you should be able to immediately fire up |
| Apache the first time by running: |
| |
| /home/httpd/bin/apachectl start
| |
| Thanks for using Apache. The Apache Group |
| http://www.apache.org/ |
+--------------------------------------------------------+
แก้ httpd.conf
#<Directory "/home/httpd/htdocs">
เป็น <Directory "/home/httpd/html">

#DocumentRoot "/home/httpd/htdocs"
เป็น DocumentRoot "/home/httpd/html"

#และเพิ่ม 3 บรรทัดข้างล่างนี้ลงไป จะทำให้บริการได้ทั้ง php และ php3
AddType application/x-httpd-php .php3
AddType application/x-httpd-php .php
AddType application/x-httpd-php .html

เดิมที่ติดตั้งระบบ แฟ้ม httpd.conf อยู่ที่ /etc/httpd/conf/httpd.conf แต่เมื่อติดตั้ง apache+php+mysql ใหม่ จะทำให้แฟ้มนี้ไปอยู่ที่ /home/httpd/conf/httpd.conf ซึ่งจะเก็บ config ต่าง ๆ ของ httpd แทนชุดเดิม

ที่สำคัญท่านต้องเพิ่มบรรทัด /home/httpd/bin/apachectl start ใน /etc/rc.d/rc.local มิเช่นนั้นหลัง restart เครื่อง จะไม่สามารถเปิดเว็บจาก server ของท่านได้

home

9.75 ติดตั้ง TCPWrapper เพื่อตรวจสอบ IP เครื่องต้นทาง
:::::: โปรแกรมเล็ก ๆ ที่ใช้ปฏิเสธ IP จากเครือข่ายที่กำหนด โดยแก้ที่ /etc/init.d

เรื่องนี้อ่านมาจาก - http://www.thailinux.com/1999/07/11/topic2.html

โปรแกรม tcpwrapper จะมีมากับเครื่องอยู่แล้ว เพียงแต่กำหนด config ในการป้องกัน ระบบป้องกันก็จะทำงานทันที หากต้องการทราบว่ามีบริการอะไรเปิดอยู่บ้าง สามารถเข้าไปดูที่ /etc/inetd.conf ส่วนเลข port ที่เปิดบริการดูได้จาก /etc/services

เพื่อไม่ให้ใคร telnet

CASE 1
ในแฟ้ม /etc/hosts.allow
ALL:localhost
in.telnetd:host1.isp.net
in.fingerd:ALL

ในแฟ้ม /etc/hosts.deny
All:All
หมายถึง ยอมให้ใน localhost ทำทุกอย่างได้
หมายถึง ยอมให้ telnet จากเครื่อง host1.isp.net ได้ และใช้ finger จากเครื่องใดก็ได้
หมายถึง ถ้าไม่อนุญาติตาม hosts.allow ก็ให้ปฏิเสธหมด

CASE ของ ISINTHAI.COM
ในแฟ้ม /etc/hosts.allow
in.telnetd in.ftpd: .th 202. 203.

ในแฟ้ม /etc/hosts.deny
All:ALL
in.telnetd:All

CASE ของ Host ที่ต้องการปิด คือไม่บริการภายนอก
ในแฟ้ม /etc/hosts.allow
All: 203.146.9. EXCEPT 203.146.9.1

ในแฟ้ม /etc/hosts.deny
All:ALL
in.telnetd:All

คำอธิบายเพิ่มเติม
ในแฟ้ม /etc/hosts.deny
in.fingerd:ALL EXCEPT .domain.com หมายถึง ยอมให้ finger หมดยกเว้น จาก domain.com
in.telnetd in.rlogind:host1.x.com .domain.com หมายถึง ไม่ให้ telnet หรือ login จาก host1.x.com และ domain.com
หลังจากแก้ไขแฟ้ม hosts.allow หรือ hosts.deny จะมีผลต่อการอนุญาติ หรือปฏิเสธในทันที .. ลองแล้วครับ

home

9.76 การติดตั้ง Radius
:::::: เพื่อทำเครื่อง Radius server รับบริการ Connect Internet ทางโทรศัพท์ผ่าน External modem

โปรแกรมที่ใช้ install คือ radius-1.16.tar.Z 27804 Byte
ขั้นตอนการลงโปรแกรม

su
tar xvfz radius-1.16.tar.Z
cd radius-1.16
cd src
make
จะเกิด error ว่า
radiusd.o: In function `unix_pass':
radiusd.o(.text+0x1c77): undefined reference to `crypt'
collect2: ld returned 1 exit status
make: *** [radiusd] Error 1

จะพบว่า make ไม่ผ่านให้
ให้แก้แฟ้ม Makefile ด้วยคำสั่ง pico Makefile
แล้วแก้บรรทัดหนึ่งใน Makefile
จาก LIBS=
เป็น LIBS= -lcrypt

make
cd ../raddb
su
pico /etc/services
radius 1645/udp radiusd
radacct 1646/udp
#radius 1812/tcp # Radius
#radius 1812/udp # Radius
#radacct 1813/tcp # Radius Accounting
#radacct 1813/udp # Radius Accounting
umask 22
mkdir /usr/adm
mkdir /etc/raddb /usr/adm/radacct
chmod 700 /etc/raddb /usr/adm/radacct
cp * /etc/raddb
cp ../src/radiusd /etc
cd /etc/raddb
cp clients.example clients
cp users.example users

เพิ่มคำว่า /etc/radiusd ในแฟ้ม /etc/rc.d/rc.local
เพื่อให้ทุกครั้งที่เปิดเครื่องจะสั่ง run radiusd ขึ้นมา
ให้แก้แฟ้ม users โดยลบ user อื่นออกให้หมด เพื่อต่อไปจะถาม user จาก /etc/passwd
ให้แฟ้ม /etc/raddb/users เหลือเฉพาะส่วนข้างล่างนี้

ให้แก้แฟ้ม /etc/raddb/users ให้เป็นไปดังข้างล่างนี้จะรับระบบโทรศัพท์ได้
DEFAULT Password = "UNIX"
User-Service-Type = Login-User,
Framed-Protocol = PPP,
Framed-Netmask = 255.255.255.0,
Framed-Routing = Broadcast-Listen,
Framed-Compression = Van-Jacobsen-TCP-IP,
Framed-MTU = 1500

แฟ้ม /etc/raddb/users สามารถเขียนได้อีกรูปแบบเพื่อบริการ Modem
ที่เข้ามาสอบถาม user แต่ตัว modem ไม่ได้ติดอยู่กับตัวเครื่อง
yonokadmin Password = "123"
User-Service-Type = Shell-User,
Login-Service = Telnet,
yonok Password = "456"
User-Service-Type = Shell-User,
Login-Service = Telnet,
student1 Password = "789"
User-Service-Type = Login-User,
Framed-Protocol = PPP,
Framed-Address = 255.255.255.254,
Framed-Netmask = 255.255.255.255,
Framed-Routing = None,
Framed-Filter-Id = "std.ppp.in",
Framed-MTU = 1500,
student2 Password = "17890"
User-Service-Type = Login-User,
Framed-Protocol = PPP,
Framed-Address = 255.255.255.254,
Framed-Netmask = 255.255.255.255,
Framed-Routing = None,
Framed-Filter-Id = "std.ppp.in",
Framed-MTU = 1500

home
เมื่อต้องการเก็บข้อมูลการ login เข้ามาใช้บริการ
ต้องสร้าง user ใหม่ด้วย useradd radius จะสร้างห้อง /home/radius ขึ้นมาให้ ดังข้างล่างนี้ก่อน
su
useradd radius
cd /home/radius
mkdir backup

สร้าง runacct เก็บในห้อง /home/radius
เขียน shell script สำหรับเก็บผลการ login ผ่านเข้ามาในระบบ
เมื่อเขียนเสร็จแล้วให้ใช้คำสั่ง chmod 700 เพื่อให้เป็นโปรแกรมประมวลผล
(ตอนแรกผมก็ไม่รู้ว่า detail นั้นอยู่ที่ไหน เจอเพราะใช้ find / -name detail ครับ)
#!/bin/sh
cp /usr/adm/radacct/door.yonok.ac.th/detail /home/radius
/bin/date +%d > /tmp/date
/bin/date +%m > /tmp/month
/bin/date +%y > /tmp/year
DATE=`cat /tmp/date`
MONTH=`cat /tmp/month`
YEAR=`cat /tmp/year`
TODAY="$DATE$MONTH$YEAR"
cd /home/radius
cp detail backup
mv detail $TODAY
cd /tmp
rm date month year
rm /usr/adm/radacct/door.yonok.ac.th/detail

ห้อง /etc/cron.daily
ให้เพิ่มแฟ้มอีก 1 แฟ้มในห้อง /etc/cron.daily โดยมีขั้นตอนดังนี้
su
pico radiusprocess
พิมพ์คำนี้ลงไป /home/radius/runacct แล้ว ctrl-x ออกมาเลย
chmod 755 radiusprocess

สรุปในเรื่องของ Radius ดังนี้

แฟ้ม /etc/rc.d/rc.loal อาจต้องเพิ่มไป 2 บรรทัด
เพราะแฟ้มนี้ทำหน้าที่เสมือน autoexec.bat ของ dos และคำสั่ง 2 บรรทัดนี้อาจไม่จำเป็นก็ได้ แล้วแต่กรณี
/etc/radiusd
/sbin/ifconfig eth0:1 203.146.9.15
ห้อง /home/radius มีแฟ้มชื่อ runacct ซึ่งเป็น script สำหรับเก็บข้อมูลการ login ไว้ทำสถิติ
ห้อง /etc/raddb มีแฟ้มชื่อ users ซึ่งเก็บ account สำหรับ connect เข้ามาทั้งหมด
ห้อง /etc/cron.daily มีแฟ้มชื่อ radiusprocess เพื่อสั่งให้ประมวลผลแฟ้ม /home/radius/runacct ทุกวัน
แก้แฟ้ม /etc/raddb/clients ให้มีคำว่า 203.146.9.254 YournameRadiuS แทนคำว่า postmaster1 testing123
จึงจะรับ connection จากชุด Router Modem แต่ถ้าเป็นการ Connect Modem ผ่าน Com port แฟ้มนี้ไม่แก้อะไรก็ใช้ได้

home

9.77 ติดตั้ง Modem สำหรับให้บริการเรียกเข้ามา
:::::: Radius server คือการทำให้เครื่องให้บริการในการสอบถาม user แต่การติดตั้ง Modem เข้าไปก็เป็นอีกเรื่องหนึ่ง

วิธีการติดตั้ง Modem แบบ x window http://www.thailinux.com/1999/03/14/topic1.html
สำหรับเรื่อง Modem ตอนนี้ผมยังไม่ได้ทำ เพราะหาเครื่องทดลองยังไม่ได้ แต่มอบหมายให้สุวิทย์ไปดูอยู่ครับ

การติดตั้ง Modem ที่ง่ายที่สุดคือใช้ Modem tool โดยการ startx แต่ถ้าจะทำแบบ text mode ต้องอ่านที่ http://www.thailinux.com/1999/03/21/topic1.html โดยติดตั้งที่ COM1 ทำ symbolic link ใน directory /dev จาก ttyS0 เป็น modem หรือถ้าติดตั้งบน COM2 ก็ ttyS1 แล้วก็ไล่เลขไปเรื่อย ๆ ถ้าคุณมี serial port มากกว่า 2 (ขอย้ำ วิธีที่ง่ายที่สุดคือ startx แล้วเรียก modemtool)

การต่อ modem โทรเข้า isp แบบ text mode
ตรวจว่า modem ต่อไหมด้วย #ls -l /dev/modem
ถ้าไม่ได้ต่อ แต่เอาโมเด็มเสียบเข้าเครื่องแล้วให้ใช้คำสั่ง
สำหรับต่อ modem จาก com1 #ln -sf /dev/cua0 /dev/modem
สำหรับต่อ modem จาก com2 #ln -sf /dev/cua1 /dev/modem
สร้าง Script testmodem เชื่อมต่อ 13 บรรทัดข้างล่างนี้
#!/bin/bash
TELEPHONE=188,125 # The telephone number for the connection
ACCOUNT=george # The account name for logon (as in 'George Burns')
PASSWORD=gracie # The password for this account (and 'Gracie Allen')
LOCAL_IP=0.0.0.0 # Local IP address if known. Dynamic = 0.0.0.0
REMOTE_IP=0.0.0.0 # Remote IP address if desired. Normally 0.0.0.0
NETMASK=255.255.255.0 # The proper netmask if needed
export TELEPHONE ACCOUNT PASSWORD
DIALER_SCRIPT=/etc/ppp/ppp-on-dialer
exec /usr/sbin/pppd debug lock modem crtscts /dev/ttyS1 115200 \
asyncmap 20A0000 escape FF kdebug 0 $LOCAL_IP:$REMOTE_IP \
noipdefault netmask $NETMASK defaultroute connect $DIALER_SCRIPT
# /usr/sbin/pppd debug lock /dev/modem 115200 defaultroute
จากนั้นก็ chmod 700 testmodem

คำสั่งที่สำหรับ disconnect
cp /usr/doc/ppp-2.3.11/scripts/ppp-off /root/ppp-off
chmod 700 /root/ppp-off

เพิ่มบรรทัดข้างล่างนี้เข้าไปในแฟ้ม /etc/mgetty+sendfax/login.conf
* - @ /usr/sbin/pppd auth -chap +pap login modem crtscts lock

home

9.78 เปิดบริการ SSI (Server Side Include)
:::::: บริการนี้ทำให้การเขียน CGI มีสีสรรขึ้นอีกมาก และเพิ่มลูกเล่นให้กับเว็บได้อีกเพียบ

SSI คือการทำให้สามารถเรียก CGI เช่น perl เข้าไปประมวลผลในเว็บ htm โดยทำการประมวลผล แล้วส่งค่าเข้าคืนให้กับผู้เรียกเว็บ การทำงานลักษณะนี้ จะเป็นการ run program ที่ server แล้วส่งผลให้กับผู้ร้องขอเช่นตัวอย่างข้างล่างนี้

ผลของการเปิดเว็บ test.htm จะแสดงตัวอักษร x บนจอภาพ ซึ่งเกิดจากบริการ ssi นั่นเอง แต่ถ้า server ไม่บริการ ssi บรรทัดคำสั่งก็จะแสดงผลอย่างนั้น แต่จะไม่เห็นผลอะไรบนจอภาพเลย เนื่องจากคำสั่งดังกล่างไม่ได้ถูกประมวลผล ตามหน้าที่ของ ssi

ถ้า SSI work นะครับ เวลาเปิด test.htm จะเห็น x ตัวเดียว เรียกว่า ssi สมบูรณ์ หรือเปิดเว็บ pro.pl แล้วต้องเห็น x ตัวเดียวเช่นกัน แต่ถ้าเปิดแล้วเห็น source code แสดงว่าไม่มีการประมวลผล .pl นั้น

สมมุติให้ test.htm เขียนดังข้างล่างนี้
<body>

</body>

สมมุติให้ pro.pl เขียนดังข้างล่างนี้
#!/usr/bin/perl
print "Content-type:text/html\n\n";
print "x";

การทำให้ Linux (Redhat 6.2)ให้บริการ SSI

บริการนี้มีอยู่แล้วไม่ต้องลงโปรแกรมเพิ่ม เพียงแต่แก้ไขข้อกำหนดในแฟ้ม /home/httpd/conf/httpd.conf เท่านั้น โดยผมได้ดูตัวอย่างพร้อมคำอธิบายจาก http://www.c2.net/support/sh3/admin_guide/chapter7.fm.html ซึ่ง Search เจอจาก redhat.com นั่นเอง

# <Directory "/home/httpd/html"> ของเดิม # Options Indexes FollowSymLinks ของเดิม <Directory "/home/httpd/html"> Options All # AddHandler cgi-script .cgi ของเดิม AddHandler cgi-script .cgi .pl # AddType text/html .shtml ของเดิม # AddHandler server-parsed .shtml ของเดิม AddType text/html .shtml .htm .html AddHandler server-parsed .shtml .htm .html

จากการ set up ครั้งนี้ทำให้การประมวลผล Perl ที่ต้อง Run จากห้อง cgi-bin เช่น http://www.isinthai.com/cgi-bin/thaiall/test.pl มาเป็น http://www.isinthai.com/thaiall/test.pl ทำให้สะดวกขึ้นมาก และที่ผมพบวิธีการ setup SSI ในครั้งนี้ต้องยกความดีความชอบให้ Redhat.com เพราะเขาเขียนอธิบายไว้พอเข้าใจ รู้สึกว่าเข้าที่นี่แล้วหาอะไร ก็เจอไปหมดครับ

9.79 ใช้ชื่อ php เป็น php3 ใน Server ที่ไม่ได้ลง php4
:::::: บางท่านอาจไม่ต้องการลง php4 แต่ต้องการใช้แฟ้มสกุล php ให้ได้

home

วิธีแก้แฟ้ม /etc/httpd/conf/httpd.conf
เดิม
<IfModule mod_php3.c>
AddType application/x-httpd-php3 .php3
AddType application/x-httpd-php3-source .phps
</IfModule>
ใหม่
<IfModule mod_php3.c>
AddType application/x-httpd-php3 .php
AddType application/x-httpd-php3 .php3
AddType application/x-httpd-php3-source .phps
</IfModule>

9.97 Server ตัวนี้ให้บริการอะไรได้บ้าง
:::::: บริการต่าง ๆ ที่ Redhat 6.2 มีให้ และที่ลงโปรแกรมเพิ่ม

บริการ เพื่อกรณีศึกษา โดยมือสมัครเล่น

Linux server : telnet
Web server : http, perl v.3, php3, java applet
Mail server : pine, pop3, imap, webbased
Proxy server : squid

9.98 ขั้นตอนการทำ server ตัวนี้
:::::: เพื่อให้ท่านหรือทีมงาน สามารถ setup server แบบนี้ได้ง่ายขึ้น จึงเขียนขึ้นตอนไว้ดังนี้

บริการ เพื่อกรณีศึกษา โดยมือสมัครเล่น
ขอแนะนำว่าถ้ายังไม่รู้อะไรเลย ให้ไปหาหนังสือสำหรับลง linux มากอดให้อุ่นใจสักเล่มหนึ่ง

ใช้โปรแกรมในแผ่น CD ทำแผ่น boot ด้วย diskette
Install ตามขั้นตอน ซึ่งใช้เวลาประมาณ 2 ชั่วโมง (เหมือน windows นั่นหละครับ)
กำหนดค่าต่าง ๆ ในแฟ้มกำหนดค่า (Config file) ด้วย pico เช่น
/etc/HOSTNNAME, /etc/hosts, /etc/resolv.conf /etc/security/limits.conf /etc/login.defs เป็นต้น (ท่านดูหน้าที่ของแฟ้มต่าง ๆ ได้จากหัวข้อที่ 8)
การแก้ไขค่า config ของระบบ เมื่อแก้แล้วควร reboot เพื่อให้การแก้ไขเกิดผล
ลองใช้คำสั่ง nslookup ดูว่ารู้จัก www.ibm.com หรือไม่ เพราะถ้าไม่ อาจเป็นที่ LAN card ไม่ ok กับโปรกรม กรณีแบบนี้ ผมก็ไม่รู้จะทำไง นอกจากเปลี่ยน card ของผมใช้ D-Link DE-220PCT ก็ใช้ได้ หรือได้ยินว่า 3com ISA bus รุ่น 3C509b ก็ ok แต่ที่แปลกคือ NE2000 ที่ใช้กับ Redhat 5.2 แต่มาใช้กับ Redhat 6.2 ไม่ได้ นี่ก็น่าแปลกครับ สำหรับผมแก้ด้วยการเปลี่ยน card เป็น D-Link DE-220PCT
ลง imap เพิ่ม เพื่อให้บริการ pop3 จากแผ่น cd linux นั่นหละ เพราะการ install ระบบ จะไม่ลงโปรแกรมทั้งหมดจากแผ่นให้ ต้องลงเพิ่มด้วย RPM
ไปแก้ /etc/inetd.conf โดย uncomment # หน้า pop2 pop3 และ imap ออก ไม่งั้น ไม่ work ครับ จากนั้นก็ reboot หรือ kill -1 inetd
หา ADJE webmail install.pl มาลง เพื่อให้บริการ Webbased mail จากเว็บ adjeweb.com เป็นต้น
แก้แฟ้ม /etc/skel/.bash_profile โดยเพิ่ม /usr/bin และ /usr/sbin เพื่อให้เรียกโปรแกรมต่าง ๆ ได้ง่ายขึ้น เพราะแฟ้มนี้จะถูก copy ไปให้กับผู้ใช้ทุกคนที่ มีการสร้าง account ใหม่
เขียน shell script ชื่อ _crt และ _del เพื่อให้สามารถเพิ่ม และลบ account ได้ง่ายขึ้น
กำหนด home directory เป็น 705 เพื่อป้องกันไม่ให้เพื่อน เข้าไปดูได้ว่าในห้องเรามีแฟ้มอะไรบ้าง
ทดสอบโดยรวม เช่น ใช้ pine, icq, maildrop, netscape, บริการ perl, บริการ php3 ว่า เรียบร้อยไหม ถ้าเป็น smtp ขอแนะนำให้ใช้กับ isp ของท่าน ของเราเป็น mail.loxinfo.co.th
สร้าง account ชื่อ webmaster แล้วแก้ไข /etc/aliases ด้วย pico สำหรับส่ง mail forward ไปยังบุคคลที่เป็น webmaster@www.isinthai.com หลังแก้ไขแล้วให้ใช้คำสั่ง newaliases เพื่อให้ผลการ update มีผล
ติดตั้ง squid เพื่อทำให้ server เป็น proxy สำหรับองค์กร ที่ต้องการลดปัญหาคอขวด มีบทความแนะนำที่ http://www.thailinux.com/1999/04/18/topic1.html คุณ new way เขียนได้ละเอียดดีมาก ต้องยกนิ้วให้ครับ ซึ่งแนะนำให้ Download squid ของ http://squid.nlanr.net/Squid/ เมื่อลง squid ตามขั้นตอนแล้ว มี จุดที่ต้องแก้ไขในแฟ้ม ~/etc/squid.conf คือ cache_effective_user squid และ cache_effective_group squid และ cache_peer www.isinthai.com parent 3128 3130 และ http_access allow all
ดู log file ของ squid ที่ห้อง ~/logs ในแฟ้ม cache.log (ต้องใช้ user squid ในการ set squid ตลอดนะครับ) โดยใช้คำสั่ง tail -f access.log และสามารถอ่านรายละเอียด การกำหนดเพิ่มเติม ได้ที่ http://www.squid-cache.org/Doc/Hierarchy-Tutorial/
ลง apache + php + mysql ใหม่ แต่ต้องลบ apache และ php3 ออกจากระบบทั้งชุด ถ้าไม่ทำอย่างนี้ ก็ใช้ mysql ไม่ได้
เพิ่ม incoming ให้บริการ ftp
ทดสอบใช้งาน html, web-based mail, pop3, imap, telnet, ftp, perl, php, php3, mysql, squid, proxy, radius ว่าใช้งานได้ หรือไม่

home

9.99 การบำรุงรักษา และตรวจสอบ
:::::: บริการให้ดีต้องหมั่นบำรุงรักษา ไม่งั้นอาจอยู่ได้ไม่นานเท่าที่ควร

สิ่งที่ควรกระทำมีดังนี้

ใช้ ps aux ตรวจสอบว่ามี process แปลก run อยู่บ้างไหม
เข้าห้อง /var/log ซึ่ง log file ขนาดใหญ่ ๆ ทั้งนั้น Clear บ้าง หรือจะเข้าไปดูร่องรอยของผู้ใช้ก็ได้
ใช้ last |more เพื่อดูรายชื่อผู้ใช้ล่าสุด ถ้าอยู่ๆ last เหลือนิดเดียว .. แสดงว่า hacker เข้ามาลบร่องรอย
ใน Redhat 6.2 ใช้ find / -size 619 เพื่อดูแฟ้มที่มีขนาดเท่ากับ /bin/bash เพราะอาจเป็นประตูหลังของ hacker
find / -cmin -600 | more แสดงชื่อแฟ้มที่มีการเปลี่ยนแปลงใน 10 ชั่วโมงที่ผ่านมา ในทุก Directory แต่จะออกมามากไปหน่อย ต้องค่อย ๆ ดู หรือตัด / แล้วทำเฉพาะในห้องที่สงสัยก็ได้
cat /var/log/messages |grep login|more ดูว่ามีคนแปลกหน้า Login หรือพยายามเข้ามาหรือไม่ แต่อาจไม่ได้ผล ถ้า hacker มืออาชีพเขาจะลบแฟ้มนี้ทิ้ง ก่อนออกไป

ตารางเปรียบเทียบแอพพลิเคชันชนิดเดียวกัน ระหว่าง Linux และ WindowsNT

ประเภท	ลีนุกซ์ - linux	วินโดวส์ เอ็นที - WindowsNT
ฐานข้อมูล	MySQL, Postgres, Informix SE, Oracle	Microsoft SQL server, Oracle, Sybase
พร็อกซีเซิร์ฟเวอร์	Squid	Microsoft Proxy server
ไฟล์เซิร็ฟเวอร์	Samba, NFS	Microsoft Network
เว็บเซิร์ฟเวอร์	Apache	IIS, Netscape Enterprise
ออฟฟิศ	StarOffice	Microsoft Office
กราฟิก	Gimp	Photoshop

[an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] home

ยังพัฒนาไม่เสร็จข้างล่างนี้เป็น บันทึกช่วยจำครับ

ทำอะไรกับ www.yonok.ac.th บ้าง
1. ติดตั้ง linux พร้อม Config ให้ใช้งานเครือข่ายได้
2. สร้าง _crt จะได้ดูแล user ได้ง่าย
3. แก้ /etc/httpd/conf/httpd.conf ทำให้บริการ ssi ได้
4. แก้ hosts.allow เติมคำว่า ALL: 203.146.9. EXCEPT 203.146.9.1
5. แก้ hosts.deny เติมคำว่า ALL:ALL
6. ติดตั้ง Webmail เพื่อเรียก pop3 มาเข้า Web based adjewebbasemail.pl
7. ติดตั้ง Radius server
8. ให้ chmod 700 /usr/bin/gcc เพื่อป้องกันไม่ให้ ใครเอา shell สำหรับ hack มา run
9. ดูว่าแฟ้ม sh หรือ bash มีขนาดและวันที่เท่าใด ให้จดไว้ว่าเริ่มต้นเป็นเท่าใด จะได้รู้ว่า มี hacker เข้ามาเปลี่ยนหรือไม่
สำหรับ Redhat 6.2 จะเป็นดังนี้
-rwx------ 3 root root 63376 Feb 18 2000 gcc ในห้อง /usr/bin
-rwxr-xr-x 1 root root 316848 Feb 28 2000 bash ในห้อง /bin
lrwxrwxrwx 1 root root 4 May 16 02:38 sh -> bash ในห้อง /bin
10. ส่งข้อมูลที่ Backup ทั้งหมดเข้าไป เช่นเว็บที่เก็บในห้อง /home/httpd/html