Debian Book

Ethernet Bonding Fedora Linux

2009-01-07T19:02:00.000-08:00

พอร์ตแลน (Ethernet) ของเครื่องเซิร์ฟเวอร์ถือว่าเป็นสิ่งสำคัญอย่างยิ่ง เพราะเป็นส่วนที่จะรับส่งข้อมูลกับเคื่องอื่นๆ ถ้าเซิร์ฟเวอร์มีแค่พอร์ตเดียวเชื่อมต่อเข้าเน็ตเวิร์ก แล้วสายที่เชื่อมต่อหลุดไป หรือไม่สามารถรองรับปริมาณการรับส่งข้อมูลได้เพียงพอ ก็อาจทำให้เกิดปัญหาการใช้งานได้

ในบทความนี้ขอแนะนำการคอนฟิก Ethernet Bonding (หรือ Teaming) เพื่อแก้ปัญหาที่อาจเกิดขึ้น โดยจะมีการจัดกลุ่มพอร์ตแลนเข้าด้วยกัน เพื่อช่วยในการรับส่งข้อมูล รูปแบบการส่งจะมีสองแบบใหญ่ๆ คือ

Active-backup พอร์ตหนึ่งจะทำหน้าพอร์ตหลักเพื่อใช้รับส่งข้อมูล (Active) แต่อีกพอร์ตหนึ่งจะสำรอง (Backup) ไว้เฉยๆ ไม่มีการรับส่งข้อมูลใดๆ ผ่านทางพอร์ตสำรอง แต่เมื่อไรที่พอร์ตหลักมีปัญหาพอร์ตนี้จะรับส่งข้อมูลแทน สำหรับ Ethernet Bonding จะเป็นคอนฟิกใน mode 1
Load Balance พอร์ตทั้งหมดในกลุ่มจะช่วยกันรับส่งข้อมูล ส่วนเทคนิคในการรับส่งจะมีหลายแบบด้วยกันแล้วแต่ mode ที่คอนฟิก
ในตัวอย่างจะเป็นการคอนฟิกบน Fedora 9 ซึ่งน่าจะประยุกต์ใช้กับ Fedora เวอร์ชั่นอื่นๆ, CentOS, RedHat หรือลีนุกซ์ตัวอื่นๆ ได้

เตรียมพอร์ตแลนที่จะคอนฟิกเป็น Ethernet Bonding
ในตัวอย่างจะใช้พอร์ตแลน eth2 และ eth3 เพื่อคอนฟิกรวมเป็น bond0

เริ่มต้นสร้างไฟล์ /etc/sysconfig/network-scripts/ifcfg-bond0 ซึ่งจะเป็นไฟล์คอนฟิกของ bond0 เป็นพอร์ต bonding (ในเครื่องหนึ่งสามารถจัดกลุ่มทำได้หลาย bonding พอร์ตที่คอนฟิกก็จะเป็น bond1, bond2 เป็นต้น) ในไฟล์จะมีคอนฟิก IP Address, Netmask เหมือนที่คอนฟิกพอร์ต ethernet ทั่วไป

ตัวอย่างคอนฟิก ifcfg-bond0

[root@fc9-x1 ~]# cat /etc/sysconfig/network-scripts/ifcfg-bond0
DEVICE=bond0
IPADDR=10.1.0.1
NETMASK=255.255.255.0
BROADCAST=10.1.0.255
ONBOOT=yes
BOOTPROTO=none
USERCTL=noคอนฟิกพอร์ต (Physical) ให้อยู่ในกลุ่ม bond0 ตามตัวอย่าง

[root@fc9-x1 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth2
DEVICE=eth2
BOOTPROTO=none
ONBOOT=yes
MASTER=bond0
SLAVE=yes
USECTL=no[root@fc9-x1 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth3
DEVICE=eth3
BOOTPROTO=none
ONBOOT=yes
MASTER=bond0
SLAVE=yes
USECTL=noแก้ไขไฟล์ /etc/modprobe.conf เพื่อให้โหลด kernel module สำหรับการทำ bonding ตอนที่มีการโหลดคอนฟิก bond0

[root@fc9-x1 ~]# cat /etc/modprobe.conf
alias bond0 bonding
options bonding miimon=100 mode=1สามารถระบุว่าจะทำ bonding เพื่อรับส่งข้อมูลแบบไหนได้จากคอนฟิก mode ดังนี้

mode=0 (balance-rr) เป็นการส่งข้อมูลแบบ round-robin (load balancing, fault tolerance)
mode=1 (active-backup) สถานการณ์ปกติจะมีพอร์ตเดียวเท่านั้นที่ใช้รับส่งข้อมูล (fault tolerance)
mode=2 (balance-xor) เป็นการส่งข้อมูลแบบใช้ XOR เพื่อหาพอร์ตที่จะส่ง เช่นคำนวณจาก MAC Address ต้นทางปลายทางเป็นต้น (load balancing, fault tolerance)
mode=3 (broadcast)
mode=4 (802.3ad) เป็นส่งข้อมูลแบบ Link Aggregation Control Protocol (LACP) / 802.3ad
mode=5 (balance-tlb) ส่งข้อมูลแบบ Adaptive transmit load balancing
mode=6 (balance-alb) ส่งข้อมูลแบบ Adaptive load balancing
หมายเหตุ รายละเอียดเพิ่มเติมดูได้จากไฟล์ /usr/share/doc/kernel-doc-2.6.25/Documentation/networking/bonding.txt จาก kernel-doc-2.6.25-14.fc9.noarch.rpm

ในเริ่มต้นแนะนำให้ทดสอบกับ mode=1 เพื่อทดลอง active-backup ก่อน

หลังจากสร้างไฟล์คอนฟิกทั้งหมดแล้ว รีบูตเครื่องหนึ่งครั้ง เผื่อให้ bond0 ถูกโหลดขึ้นมา

ตรวจสอบสถานะของ Ethernet Bonding
เมื่อเครื่องบูตเสร็จเรียบร้อย ถ้าถูกต้องเมื่อรันคำสั่ง ifconfig จะมีพอร์ต bond0 เพิ่มขึ้นมาตามตัวอย่าง

[root@server ~]# ifconfig
bond0 Link encap:Ethernet HWaddr 00:0C:22:FF:11:55
inet addr:10.1.0.1 Bcast:10.1.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MASTER MULTICAST MTU:1500 Metric:1
RX packets:13 errors:0 dropped:0 overruns:0 frame:0
TX packets:19 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1160 (1.1 KiB) TX bytes:1574 (1.5 KiB)...eth2 Link encap:Ethernet HWaddr 00:0C:22:FF:11:55
UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1
RX packets:12 errors:0 dropped:0 overruns:0 frame:0
TX packets:19 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1100 (1.0 KiB) TX bytes:1574 (1.5 KiB)
Interrupt:16 Base address:0x1824eth3 Link encap:Ethernet HWaddr 00:0C:22:FF:11:55
UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1
RX packets:1 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:60 (60.0 b) TX bytes:0 (0.0 b)
Interrupt:17 Base address:0x18a4ข้อสังเกตจากคำสั่ง ifconfig

HWaddr หรือ MAC Address ของแต่ละพอร์ตที่ทำ bonding ด้วยกันจะเป็นค่าเดียวกันหมด ทั้งนี้เพื่อประโยชน์ในการทำ fail over
ในโหมด active-backup ปกติจะมีพอร์ตเดียวทำหน้าที่เป็นหลักใช้ในการรับส่งข้อมูล ซึ่งดูได้จากค่า RX, TX packets
หากต้องการรู้ว่าพอร์ตไหนถูกใช้เป็นหลัก (active) ในการส่งข้อมูล สามารถดูได้จากไฟล์ /proc/net/bonding/bond0

ตัวอย่างไฟล์ /proc/net/bonding/bond0

[root@fc9-x1 ~]# cat /proc/net/bonding/bond0
Ethernet Channel Bonding Driver: v3.2.5 (March 21, 2008)Bonding Mode: fault-tolerance (active-backup)
Primary Slave: None
Currently Active Slave: eth2
MII Status: up
MII Polling Interval (ms): 100
Up Delay (ms): 0
Down Delay (ms): 0Slave Interface: eth2
MII Status: up
Link Failure Count: 0
Permanent HW addr: 00:0c:22:ff:11:55Slave Interface: eth3
MII Status: up
Link Failure Count: 0
Permanent HW addr: 00:0c:22:ff:11:56จากตัวอย่างพอร์ตหลักที่ถูกใช้ในโหมด (active-backup) คือพอร์ต eth2 ดูได้จาก Currently Active Slave: eth2

ทดสอบการ fail over
แนะนำว่าก่อนที่จะดึงสายแลนให้รันคำสั่ง ping ทิ้งไว้ เพื่อดูว่าเวลาที่มีการ fail over จะยังส่งข้อมูลต่อไปได้เลยไหม

ทดลองดึงสายออกจากพอร์ต eth2 แล้วตรวจสอบไฟล์ /proc/net/bonding/bond0 อีกครั้ง จะเห็นว่าพอร์ต eth3 จะถูกนำมาใช้เป็นหลักในการรับส่งข้อมูลแทน แล้วคำสั่ง ping ก็ยังคงทำงานอยู่ อาจมีสะดุดไปบ้างเล็กน้อย

[root@fc9-x1 ~]# cat /proc/net/bonding/bond0
Ethernet Channel Bonding Driver: v3.2.5 (March 21, 2008)Bonding Mode: fault-tolerance (active-backup)
Primary Slave: None
Currently Active Slave: eth3
MII Status: up
MII Polling Interval (ms): 100
Up Delay (ms): 0
Down Delay (ms): 0Slave Interface: eth2
MII Status: down
Link Failure Count: 1
Permanent HW addr: 00:0c:22:ff:11:55Slave Interface: eth3
MII Status: up
Link Failure Count: 0
Permanent HW addr: 00:0c:22:ff:11:56จากผลลัพธ์จะแสดงสถานะของ bonding ต่างๆ ดังนี้

Currently Active Slave: eth3 พอร์ตหลักที่ใช้รับส่งข้อมูลตอนนี้
Slave Interface: eth2, MII Status: down สถานะของพอร์ต eth2 down
Link Failur Count: 1 แสดงตัวเลขจำนวนครั้งที่พอร์ตมีปัญหา
สุดท้ายทดสอบด้วยการเสียบสายกลับเข้าไปที่พอร์ตที่ 2 จะเห็นว่าไม่มีการ fail over กลับมาที่พอร์ต eth2 พอร์ต eth3 จะยังคงเป็นหลักในการรับส่งข้อมูลอยู่

ตั้งค่า IP. ที่การ์ดแลน

2008-12-26T09:24:00.000-08:00

** ตั้งค่า IP. ที่การ์ดแลน **

# alias ที่ไฟล์ /etc/rc.conf
ifconfig_rl0="inet 192.168.0.1 netmask 255.255.255.0"
ifconfig_rl0_alias0="inet 192.168.0.2 netmask 255.255.255.255"

เสร็จแล้วใช้คำสั่ง netstart ครับ

#/etc/netstart ; เพื่อ restart network configuration

ถ้าจะ set lan card ใบเดียวให้มี หลาย ๆ ip ให้ทำแบบนี้คับ
# ifconfig rl0 alias 192.168.1.1 netmask 255.255.255.0
# ifconfig
rl0: flags=8843 mtu 1500
inet 202.29.80.130 netmask 0xffffff80 broadcast 202.29.80.255
inet6 fe80::202:44ff:fe14:ba%rl0 prefixlen 64 scopeid 0x1
inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:02:44:14:00:ba
media: Ethernet autoselect (100baseTX )
status: active

เพียงแค่นี้ก็จะสามารถใช้ได้ 2 ip คับผม

หรือถ้าต้องการให้ ip ที่เพิ่มเข้าไปใหม่นั้นทำงานทุกครั้งที่มีการ boot เครื่องให้เพิ่มบรรทัดนี้ ในไฟล์ /etc/rc.conf นะคับ

ifconfig_rl0_alias0="192.168.1.1 netmask 255.255.255.0"

สามารถทำได้หลายแบบนะครับ
รู้สึกว่าใน Slackware จะใช้แบบนี้นะครับ

# ifconfig rl0:0 inet xxx.xxx.xxx.xxx netmask xxx.xxx.xxx.xxx
# ifconfig rl0:1 inet xxx.xxx.xxx.xxx netmask xxx.xxx.xxx.xxx

ถ้า rl0 คือชื่อ lan card ใบที่ 1 กำหนดเป็น ip address ตัวที่ 1
ส่วน :0 และ :1 ก็เป็นหมายเลข ip address ตัวที่ 2 และ 3 ตามลำดับ

ส่วน BSD น่าจะอย่างงี้นะคับ

# ifconfig_rl0="xxx.xxx.xxx.xxx netmask xxx.xxx.xxx.xxx"
# ifconfig_rl0_alias1="xxx.xxx.xxx.xxx netmask xxx.xxx.xxx.xxx"
# ifconfig_rl0_alias0="xxx.xxx.xxx.xxx netmask xxx.xxx.xxx.xxx"

ถ้าทำผ่าน sysinstall ก็ขั้นตอนนี้นะครับ
/stand/sysinstall -> เลือก configure -> เลือก networking -> เลือก interface -> เลือก ชื่อ lancard ที่จะใส่ค่าไอพี -> จะขึ้นหน้าจอถามค่า IPV6 ตอบ NO -> หน้าจอถามว่าจะรับค่า DHCP หรือไม่ ถ้าไม่ตอบ NO -> จากนั้นจะขึ้นหน้าจอใส่ค่า host , domain ,ip gateway , dns , ip การ์ด , subnetmask ก็ใส่ให้ถูกต้องแล้วก็ OK -> จากนั้นจะกลับมาหน้า interface ใหม่ ให้ทำตามเดิมเลือกอีกการ์ดนึงนะครับ
หรือจะสั่งที่ command line เลยก็ได้ เช่น
ifconfig <ชื่อ interface> inet <เลขไอพี> netmask <เลข netmask> up แล้ว enter ตัวอย่างนะครับ ifconfig bge0 inet 203.185.98.99 netmask 255.255.255.248 up แบบนี้อะคับ ต้อง boot ใหม่ด้วย
แล้วลอง ifconfig ดู

เอาแบบ command line เลยครับง่ายดี

# ifconfig rl0 inet xxx.xxx.xxx.xxx netmask xxx.xxx.xxx.xxx
# ifconfig rl1 inet xxx.xxx.xxx.xxx netmask xxx.xxx.xxx.xxx

# ifconfig rl0 down / up
# ifconfig rl1 down / up

rl0 คือ ชื่อการ์ดแลนใบที่ 1
rl1 คือ ชื่อการ์ดแลนใบที่ 2

http://www.thaibsd.com/webboard/search.php?Category=thaibsd

เพิ่ม HDD ใหม่ใน Linux

2008-12-25T04:43:00.000-08:00

http://9max.icspace.net/readarticle.php?article_id=25
1. Shutdown เครื่อง
2. ต่อ HDD 4 G เข้าไปเป็นแบบ IDE กว่าจะไปหามาได้

[root@mail root]#
[root@mail root]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda1 1.8G 1.7G 42M 98% /
none 62M 0 61M 0% /dev/shm
[root@mail root]#
[root@mail root]#
[root@mail root]# fdisk -l (ดูว่า HDD ที่ต่อไว้เห็นหรือเปล่า )

Disk /dev/sda: 255 heads, 63 sectors, 275 cylinders
Units = cylinders of 16065 * 512 bytes

Device Boot Start End Blocks Id System
/dev/sda1 * 1 242 1943833+ 83 Linux
/dev/sda2 243 275 265072+ 82 Linux swap
[root@mail root]#
[root@mail root]#

****** ทำไมไม่เห็น งั้น shutdown แล้ว ขยับสายใหม่อีกที

ลองอีกทีคำสั่งเดิม ....

[root@mail root]# fdisk -l

Disk /dev/sda: 255 heads, 63 sectors, 275 cylinders
Units = cylinders of 16065 * 512 bytes

Device Boot Start End Blocks Id System
/dev/sda1 * 1 242 1943833+ 83 Linux
/dev/sda2 243 275 265072+ 82 Linux swap

Disk /dev/hdc: 128 heads, 63 sectors, 1023 cylinders
Units = cylinders of 8064 * 512 bytes

Device Boot Start End Blocks Id System
/dev/hdc1 * 1 1022 4120672+ b Win95 FAT32
[root@mail root]#
[root@mail root]#

ว่าแล้ว สายหลวมจริงๆ ได้ แร๊ะ.... อิ..อิ...

[root@mail root]# fdisk (ลืมคำสั่ง เพื่อความชัวร์ ให้คำสั่งนี้)

Usage: fdisk [-l] [-b SSZ] [-u] device
E.g.: fdisk /dev/hda (for the first IDE disk)
or: fdisk /dev/sdc (for the third SCSI disk)
or: fdisk /dev/eda (for the first PS/2 ESDI drive)
or: fdisk /dev/rd/c0d0 or: fdisk /dev/ida/c0d0 (for RAID devices)
...
[root@mail root]#
ตามตัวอย่างเลย....
[root@mail root]# fdisk /dev/hdc (เข้าไปจัดการ HDD ตัวที่เอามาต่อได้เลย)

Command (m for help): m (ลืมอีกแร๊ะ)
Command action
a toggle a bootable flag
b edit bsd disklabel
c toggle the dos compatibility flag
d delete a partition
l list known partition types
m print this menu
n add a new partition
o create a new empty DOS partition table
p print the partition table
q quit without saving changes
s create a new empty Sun disklabel
t change a partition's system id
u change display/entry units
v verify the partition table
w write table to disk and exit
x extra functionality (experts only)

Command (m for help): p (ดูซิ ว่าเป็นอะไรอยู่)

Disk /dev/hdc: 128 heads, 63 sectors, 1023 cylinders
Units = cylinders of 8064 * 512 bytes

Device Boot Start End Blocks Id System
/dev/hdc1 * 1 1022 4120672+ b Win95 FAT32

Command (m for help): d (จัดการ ลบออกไปซะ)
Partition number (1-4): 1 (เลือกให้ถูก อันด้วยล่ะ)

Command (m for help): p (ดูอีกที ว่ายังอยู่อีก ป่ะ)

Disk /dev/hdc: 128 heads, 63 sectors, 1023 cylinders
Units = cylinders of 8064 * 512 bytes

Device Boot Start End Blocks Id System

Command (m for help): n (ถูกลบไปแร๊ะ สร้องใหม่ด้วย n )
Command action
e extended
p primary partition (1-4)
p (เลือก p)
Partition number (1-4): 1 (และ 1 )
First cylinder (1-1023, default 1): (Enter ได้เลย)
Using default value 1
Last cylinder or +size or +sizeM or +sizeK (1-1023, default 1023):
Using default value 1023

Command (m for help): p (ดูอีกที)

Disk /dev/hdc: 128 heads, 63 sectors, 1023 cylinders
Units = cylinders of 8064 * 512 bytes

Device Boot Start End Blocks Id System
/dev/hdc1 1 1023 4124704+ 83 Linux

Command (m for help): w (อย่าลืมตัวนี้ด้วยไม่งั้นที่ทำมาก็ไม่มีผล)
The partition table has been altered!

Calling ioctl() to re-read partition table.
Syncing disks.
[root@mail root]# fdisk -l (ออกมาแล้วก็ชอบดู อีกแร๊ะ ได้ยัง)

Disk /dev/sda: 255 heads, 63 sectors, 275 cylinders
Units = cylinders of 16065 * 512 bytes

Device Boot Start End Blocks Id System
/dev/sda1 * 1 242 1943833+ 83 Linux
/dev/sda2 243 275 265072+ 82 Linux swap

Disk /dev/hdc: 128 heads, 63 sectors, 1023 cylinders
Units = cylinders of 8064 * 512 bytes

Device Boot Start End Blocks Id System
/dev/hdc1 1 1023 4124704+ 83 Linux
[root@mail root]# (ก็ได้เป็น Linux แล้วสมใจ)
[root@mail root]# mkfs -t ext3 -c /dev/hdc1 (ต้อง format ด้วยคำสั่งนี้)
mke2fs 1.27 (8-Mar-2002)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
516096 inodes, 1031176 blocks
51558 blocks (5.00%) reserved for the super user
First data block=0
32 block groups
32768 blocks per group, 32768 fragments per group
16128 inodes per group
Superblock backups stored on blocks:
32768, 98304, 163840, 229376, 294912, 819200, 884736

Checking for bad blocks (read-only test): done
Writing inode tables: done
Creating journal (8192 blocks): done
Writing superblocks and filesystem accounting information: done (ช่วงนี้ตัวเลขวิ่งอยู่ ครู่ใหญ่ ตามขนาด HDD ล่ะ)

This filesystem will be automatically checked every 28 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.
[root@mail root]#
[root@mail root]#
[root@mail root]# mount (mount ดูยังไม่เห็น จะเอาไว้ไหนดีน้าาา)
/dev/sda1 on / type ext3 (rw)
none on /proc type proc (rw)
none on /dev/pts type devpts (rw,gid=5,mode=620)
none on /dev/shm type tmpfs (rw)
[root@mail root]# mkdir /data2 (สร้าง Folder ไว้ที่นี่ ก็แล้วกัน /data2)
[root@mail root]#
[root@mail root]# mount -t ext3 /dev/hdc1 /data2 (แล้วก็ mount มันไว้ที่นี่ล่ะ /data2)
[root@mail root]#
[root@mail root]# mount (ดู อีกแร๊ะ ได้ยัง)
/dev/sda1 on / type ext3 (rw)
none on /proc type proc (rw)
none on /dev/pts type devpts (rw,gid=5,mode=620)
none on /dev/shm type tmpfs (rw)
/dev/hdc1 on /data2 type ext3 (rw) <=== มาแย้ว นี่ไง
[root@mail root]#
[root@mail root]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda1 1.8G 1.7G 42M 98% /
none 62M 0 61M 0% /dev/shm
/dev/hdc1 3.9G 33M 3.6G 1% /data2
[root@mail root]#

เหมือนว่าจะเรียบร้อยแต่ยังไม่เรียบร้อยดี

ถ้า Reboot ใหม่ มันจะไม่ยอม Mount ให้ สามารถทำได้ 2 วิธีเท่าที่ผมรู้
1. เพิ่มที่ /etc/fstab (ไม่แน่ใจว่า รูปแบบการเพิ่มจะใส่ยังไงไม่กล้า เคยทำ ครั้งนึ่ง แล้ว Boot ไม่ได้เลย ใครพอแนะนำได้ก็เรียนเชิญครับ)
2. ตามด้านล่าง คล้าย Autoexec.bat ของ windows คนรุ่นเก่า

[root@mail root]#
[root@mail root]# vi /root/auto-mount-new-hdd
ข้างในใส่แต่นี้
mount -t ext3 /dev/hdc1 /data2

จากนั้น ต้อง chmod เพื่อให้มัน run ได้ด้วยโดย
[root@mail root]# chmod 755 auto-mount-new-hdd

ต่อไปก็เอาไปใส่ใน /etc/rc.local หรือ จริงๆ ก็มาเขียนไว้ที่นีเลยก็ได้นะ แล้วแต่
[root@mail root]#vi /etc/rc.local
เพิ่ม
/root/auto-mount-new-hdd

ก็ลอง reboot แล้วใช้คำสั่ง mount ดูว่า มัน mount ให้เราหรืเปล่า
โชคดีครับผม

เพิ่ม traffic ด้วย card lan 2 ใบ

2008-10-15T17:40:00.000-07:00

http://spalinux.com/2008/09/configure_ethernet_bonding_on_fedora_linux

คอนฟิก Ethernet Bonding บน Fedora Linux
Filed under: Networking — editor @ 12:42 am
พอร์ตแลน (Ethernet) ของเครื่องเซิร์ฟเวอร์ถือว่าเป็นสิ่งสำคัญอย่างยิ่ง เพราะเป็นส่วนที่จะรับส่งข้อมูลกับเคื่องอื่นๆ ถ้าเซิร์ฟเวอร์มีแค่พอร์ตเดียวเชื่อมต่อเข้าเน็ตเวิร์ก แล้วสายที่เชื่อมต่อหลุดไป หรือไม่สามารถรองรับปริมาณการรับส่งข้อมูลได้เพียงพอ ก็อาจทำให้เกิดปัญหาการใช้งานได้

ในบทความนี้ขอแนะนำการคอนฟิก Ethernet Bonding (หรือ Teaming) เพื่อแก้ปัญหาที่อาจเกิดขึ้น โดยจะมีการจัดกลุ่มพอร์ตแลนเข้าด้วยกัน เพื่อช่วยในการรับส่งข้อมูล รูปแบบการส่งจะมีสองแบบใหญ่ๆ คือ

Active-backup พอร์ตหนึ่งจะทำหน้าพอร์ตหลักเพื่อใช้รับส่งข้อมูล (Active) แต่อีกพอร์ตหนึ่งจะสำรอง (Backup) ไว้เฉยๆ ไม่มีการรับส่งข้อมูลใดๆ ผ่านทางพอร์ตสำรอง แต่เมื่อไรที่พอร์ตหลักมีปัญหาพอร์ตนี้จะรับส่งข้อมูลแทน สำหรับ Ethernet Bonding จะเป็นคอนฟิกใน mode 1
Load Balance พอร์ตทั้งหมดในกลุ่มจะช่วยกันรับส่งข้อมูล ส่วนเทคนิคในการรับส่งจะมีหลายแบบด้วยกันแล้วแต่ mode ที่คอนฟิก
ในตัวอย่างจะเป็นการคอนฟิกบน Fedora 9 ซึ่งน่าจะประยุกต์ใช้กับ Fedora เวอร์ชั่นอื่นๆ, CentOS, RedHat หรือลีนุกซ์ตัวอื่นๆ ได้

เตรียมพอร์ตแลนที่จะคอนฟิกเป็น Ethernet Bonding
ในตัวอย่างจะใช้พอร์ตแลน eth2 และ eth3 เพื่อคอนฟิกรวมเป็น bond0

เริ่มต้นสร้างไฟล์ /etc/sysconfig/network-scripts/ifcfg-bond0 ซึ่งจะเป็นไฟล์คอนฟิกของ bond0 เป็นพอร์ต bonding (ในเครื่องหนึ่งสามารถจัดกลุ่มทำได้หลาย bonding พอร์ตที่คอนฟิกก็จะเป็น bond1, bond2 เป็นต้น) ในไฟล์จะมีคอนฟิก IP Address, Netmask เหมือนที่คอนฟิกพอร์ต ethernet ทั่วไป

ตัวอย่างคอนฟิก ifcfg-bond0

[root@fc9-x1 ~]# cat /etc/sysconfig/network-scripts/ifcfg-bond0
DEVICE=bond0
IPADDR=10.1.0.1
NETMASK=255.255.255.0
BROADCAST=10.1.0.255
ONBOOT=yes
BOOTPROTO=none
USERCTL=noคอนฟิกพอร์ต (Physical) ให้อยู่ในกลุ่ม bond0 ตามตัวอย่าง

[root@fc9-x1 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth2
DEVICE=eth2
BOOTPROTO=none
ONBOOT=yes
MASTER=bond0
SLAVE=yes
USECTL=no[root@fc9-x1 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth3
DEVICE=eth3
BOOTPROTO=none
ONBOOT=yes
MASTER=bond0
SLAVE=yes
USECTL=noแก้ไขไฟล์ /etc/modprobe.conf เพื่อให้โหลด kernel module สำหรับการทำ bonding ตอนที่มีการโหลดคอนฟิก bond0

[root@fc9-x1 ~]# cat /etc/modprobe.conf
alias bond0 bonding
options bonding miimon=100 mode=1สามารถระบุว่าจะทำ bonding เพื่อรับส่งข้อมูลแบบไหนได้จากคอนฟิก mode ดังนี้

mode=0 (balance-rr) เป็นการส่งข้อมูลแบบ round-robin (load balancing, fault tolerance)
mode=1 (active-backup) สถานการณ์ปกติจะมีพอร์ตเดียวเท่านั้นที่ใช้รับส่งข้อมูล (fault tolerance)
mode=2 (balance-xor) เป็นการส่งข้อมูลแบบใช้ XOR เพื่อหาพอร์ตที่จะส่ง เช่นคำนวณจาก MAC Address ต้นทางปลายทางเป็นต้น (load balancing, fault tolerance)
mode=3 (broadcast)
mode=4 (802.3ad) เป็นส่งข้อมูลแบบ Link Aggregation Control Protocol (LACP) / 802.3ad
mode=5 (balance-tlb) ส่งข้อมูลแบบ Adaptive transmit load balancing
mode=6 (balance-alb) ส่งข้อมูลแบบ Adaptive load balancing
หมายเหตุ รายละเอียดเพิ่มเติมดูได้จากไฟล์ /usr/share/doc/kernel-doc-2.6.25/Documentation/networking/bonding.txt จาก kernel-doc-2.6.25-14.fc9.noarch.rpm

ในเริ่มต้นแนะนำให้ทดสอบกับ mode=1 เพื่อทดลอง active-backup ก่อน

หลังจากสร้างไฟล์คอนฟิกทั้งหมดแล้ว รีบูตเครื่องหนึ่งครั้ง เผื่อให้ bond0 ถูกโหลดขึ้นมา

ตรวจสอบสถานะของ Ethernet Bonding
เมื่อเครื่องบูตเสร็จเรียบร้อย ถ้าถูกต้องเมื่อรันคำสั่ง ifconfig จะมีพอร์ต bond0 เพิ่มขึ้นมาตามตัวอย่าง

[root@server ~]# ifconfig
bond0 Link encap:Ethernet HWaddr 00:0C:22:FF:11:55
inet addr:10.1.0.1 Bcast:10.1.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MASTER MULTICAST MTU:1500 Metric:1
RX packets:13 errors:0 dropped:0 overruns:0 frame:0
TX packets:19 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1160 (1.1 KiB) TX bytes:1574 (1.5 KiB)...eth2 Link encap:Ethernet HWaddr 00:0C:22:FF:11:55
UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1
RX packets:12 errors:0 dropped:0 overruns:0 frame:0
TX packets:19 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1100 (1.0 KiB) TX bytes:1574 (1.5 KiB)
Interrupt:16 Base address:0x1824eth3 Link encap:Ethernet HWaddr 00:0C:22:FF:11:55
UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1
RX packets:1 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:60 (60.0 b) TX bytes:0 (0.0 b)
Interrupt:17 Base address:0x18a4ข้อสังเกตจากคำสั่ง ifconfig

HWaddr หรือ MAC Address ของแต่ละพอร์ตที่ทำ bonding ด้วยกันจะเป็นค่าเดียวกันหมด ทั้งนี้เพื่อประโยชน์ในการทำ fail over
ในโหมด active-backup ปกติจะมีพอร์ตเดียวทำหน้าที่เป็นหลักใช้ในการรับส่งข้อมูล ซึ่งดูได้จากค่า RX, TX packets
หากต้องการรู้ว่าพอร์ตไหนถูกใช้เป็นหลัก (active) ในการส่งข้อมูล สามารถดูได้จากไฟล์ /proc/net/bonding/bond0

ตัวอย่างไฟล์ /proc/net/bonding/bond0

[root@fc9-x1 ~]# cat /proc/net/bonding/bond0
Ethernet Channel Bonding Driver: v3.2.5 (March 21, 2008)Bonding Mode: fault-tolerance (active-backup)
Primary Slave: None
Currently Active Slave: eth2
MII Status: up
MII Polling Interval (ms): 100
Up Delay (ms): 0
Down Delay (ms): 0Slave Interface: eth2
MII Status: up
Link Failure Count: 0
Permanent HW addr: 00:0c:22:ff:11:55Slave Interface: eth3
MII Status: up
Link Failure Count: 0
Permanent HW addr: 00:0c:22:ff:11:56จากตัวอย่างพอร์ตหลักที่ถูกใช้ในโหมด (active-backup) คือพอร์ต eth2 ดูได้จาก Currently Active Slave: eth2

ทดสอบการ fail over
แนะนำว่าก่อนที่จะดึงสายแลนให้รันคำสั่ง ping ทิ้งไว้ เพื่อดูว่าเวลาที่มีการ fail over จะยังส่งข้อมูลต่อไปได้เลยไหม

ทดลองดึงสายออกจากพอร์ต eth2 แล้วตรวจสอบไฟล์ /proc/net/bonding/bond0 อีกครั้ง จะเห็นว่าพอร์ต eth3 จะถูกนำมาใช้เป็นหลักในการรับส่งข้อมูลแทน แล้วคำสั่ง ping ก็ยังคงทำงานอยู่ อาจมีสะดุดไปบ้างเล็กน้อย

[root@fc9-x1 ~]# cat /proc/net/bonding/bond0
Ethernet Channel Bonding Driver: v3.2.5 (March 21, 2008)Bonding Mode: fault-tolerance (active-backup)
Primary Slave: None
Currently Active Slave: eth3
MII Status: up
MII Polling Interval (ms): 100
Up Delay (ms): 0
Down Delay (ms): 0Slave Interface: eth2
MII Status: down
Link Failure Count: 1
Permanent HW addr: 00:0c:22:ff:11:55Slave Interface: eth3
MII Status: up
Link Failure Count: 0
Permanent HW addr: 00:0c:22:ff:11:56จากผลลัพธ์จะแสดงสถานะของ bonding ต่างๆ ดังนี้

Currently Active Slave: eth3 พอร์ตหลักที่ใช้รับส่งข้อมูลตอนนี้
Slave Interface: eth2, MII Status: down สถานะของพอร์ต eth2 down
Link Failur Count: 1 แสดงตัวเลขจำนวนครั้งที่พอร์ตมีปัญหา
สุดท้ายทดสอบด้วยการเสียบสายกลับเข้าไปที่พอร์ตที่ 2 จะเห็นว่าไม่มีการ fail over กลับมาที่พอร์ต eth2 พอร์ต eth3 จะยังคงเป็นหลักในการรับส่งข้อมูลอยู่

*******************************************************************
Debian
Ethernet bonding on Debian
โดย: โสทร รอดคงที่ srk@hospital-os.com
วันที่: วันที่เขียน 22 สิงหาคม 2548
ปรังปรุงจาก: -
ปรับปรุงล่าสุด: -
แหล่งข้อมูล:
http://glasnost.beeznest.org/articles/179
http://www.jebus.ca/Linux/ethernet_bonding.php
http://lists.debian.org/debian-user-spanish/2004/05/msg00220.html

เกริ่นนำ:

หลังจากที่ได้ทำลองทำ Ethernet Bonding บน Red Hat สำเร็จ ก็ได้ทดลองทำ บน Debian บ้าง
ปรากฏว่ามีอะไรหลายอย่างที่ไม่เหมือน Red Hat เอกสารบางอย่างที่ค้นมาทำไม่สำเร็จก็มี
ที่ทดลองทำสำเร็จ มี 2 วิธีซึ่งไม่ทราบเหมือนกันว่าอันไหนจะดีกว่ากัน ที่เขียนไม่ได้หวัง ว่าจะให้ทำ bonding ได้นะครับ
คิดว่ามาเริ่มต้นเรียนรู้ Debian กันดีกว่า

สิ่งจำเป็น:
คอมพิวเตอร์ ใส่ Lan Card 2 อัน ติดตั้ง linux Debian

ขั้นตอนการทำ

ทั้งสองวิธีมีวิธีการทำที่เหมือนกันคือ

ติดตั้ง package ifenslave-2.4 (kernel 2.4) ifenslave-2.6 (kernel 2.6)
ใครใช้ kernel ไหนอยู่ก็ติดตั้ง ตาม Kernel นั้นนะครับ
การติดตั้ง เครื่องที่จะติดตั้งต้องสามารถใช้ งาน Internet ได้

แก้ไฟล์ /etc/apt/sources.list เพื่อระบุที่ที่เราจะไปดาวน์โหลดโปรแกรม
vi /etc/apt/sources.list
เพิ่ม
deb http://ftp.au.debian.org/debian/ stable main
deb-src http://ftp.au.debian.org/debian/ stable main

deb http://security.debian.org/ stable/updates main

#ผมชอบดาวน์โหลดจากออสเตรเลีย รู้สึกว่าเร็วกว่า

apt-get update

apt-get install ifenslave-2.4
หรือ
apt-get install ifenslave-2.6

แค่นี้ก็ติดตั้งเสร็จแล้ว
การใช้งาน apt-get ดูรายละเอียดจากของพี่อุทัยนะครับ

แก้ไฟล์ /etc/modules.conf
เพิ่มบรรทัดนี้เข้าไป
alias bond0 bonding
options bonding maxbonds=4 mode=6 miimon=100 หรือ
/etc/modprobe.d/arch/i386
alias bond0 bonding
options bonding mode=1 miimon=100 downdelay=200 updelay=200

option ต่างๆ ดูได้จาก

http://www.kernel.org/pub/linux/kernel/people/marcelo/linux-2.4/Documentation/networking/bonding.txt
ยังไม่ชำนาญ Debian นะครับ ไม่สามารถอะธิบายได้ว่า
/etc/modules.conf และ /etc/modprobe.d/arch/i386 มีหน้าที่ยังไง
ดูๆ แล้วก็เหมือน ๆ กัน ใครเซียน Debian ก็บอกมาหน่อยก็แล้วกันนะครับ

วิธีการทำ Bonding 2 วิธีนี้ อันนี้เป็นตัวอย่าง
ประยุกต์ใช้งานเอาเองนะครับ

วิธีที่ 1
สร้างไฟล์ rc.local ใน /etc/init.d
cd /etc/init.d
touch rc.local
แล้วก็ทำ link
ln -s /etc/init.d/rc.local /etc/rc2.d/S99rc.local
chmod 755 rc.local

แก้ไฟล์ /etc/init.d/rc.local
อาจจะใช้ VI หรือ Text Editor ที่ ท่านถนัด
vi rc.local

โดยเพิ่มข้อคความเหล่านี้

/etc/init.d/networking stop
modprobe bonding max_bonds=2
ifconfig bond0 192.168.1.1 netmask 255.255.255.0 broadcast 192.168.1.255 up
ifconfig eth0 up
ifconfig eth1 up
ifenslave bond0 eth0 eth1
route add default gw 192.168.1.254

วิธีที่ 2

แก้ไฟล์ /etc/network/interface

auto bond0
iface bond0 inet static
address 192.168.1.1
netmask 255.255.255.0
gateway 192.168.1.254
pre-up ifconfig eth0 up
pre-up ifconfig eth1 up
up ifenslave bond0 eth0 eth1
down ifenslave -d bond0 eth0 eth1
post-down ifconfig eth0 down
post-down ifconfig eth1 down

เสร็จแล้วครับทั้งสองวิธีนี้สามารถใช้งานได้
ตามที่ได้ทดลองมา วิธีไหนดีกว่า
หรือวิธีไหนถูกต้องที่สุดก็ไม่อาจทราบได้

ipset เบื้องต้น

2008-09-05T20:39:00.001-07:00

ตามที่มีคนถามเข้ามา ด้วยส่วนตัวใช้ ipset มาบ้างพอสมควร จึงจะลองเล่าให้ฟังละกันครับ

ipset เป็นชุดโปรแกรมที่ทำงานทั้งในส่วน kernelspace และ userspace และจากที่มีการทำงานในส่วน kernelspace จึงต้องมี module สำหรับ kernel ที่เรากำลังใช้งานอยู่ด้วย ดังนั้น การใช้งาน ipset จะต้องเตรียม 2 ส่วน ดังนี้

1. เตรียม kernel

# aptitude install netfilter-extensions module-assistant

เริ่ม build module ด้วยการเตรียมความพร้อมก่อน

# m-a prepare

build จริง

# m-a a-i netfilter-extensions

หลังจากทำการ build สำเร็จ ระบบจะติดตั้ง module ให้โดยอัตโนมัติ
2. เตรียม userspace

ขั้นตอนนี้ไม่มีอะไรมาก เนื่องจากมีคนเตรียมไว้ให้แล้วใน Debian

# aptitude install ipset

ต่อไปลองทดสอบ

# iptables -m set
iptables v1.4.1.1: You must specify `--set' with proper arguments
Try `iptables -h' or 'iptables --help' for more information.

ขึ้นลักษณะนี้ น่าจะใช้ได้แล้วครับ

วิธีใช้งาน

1. สร้าง set ก่อน ในที่นี้จะแนะนำการใช้ macipmap

# ipset -N [setnam] [settype] --from [ip1] --to [ip2]
# ipset -N myset macipmap --from 192.168.0.10 --to 192.168.0.250

2. ดู set

# ipset -nL
Name: myset
Type: macipmap
References: 0
Default binding:
Header: from: 192.168.0.10 to: 192.168.0.250
Members:
Bindings:

3. เพิ่ม ip+mac เข้าไปใน set

# ipset -A myset 192.168.0.11:AA:BB:CC:DD:EE:FF
# ipset -nL
Name: myset
Type: macipmap
References: 0
Default binding:
Header: from: 192.168.0.10 to: 192.168.0.250
Members:
192.168.0.11:AA:BB:CC:DD:EE:FF
Bindings:

จะเห็นว่ามี IP และ MAC เพิ่มเข้ามาใน set แล้ว :P
4. ใช้งานร่วมกับ iptables

# iptables -A FORWARD -m set --set myset src -j ACCEPT

ผลที่ได้คือ ถ้า packet ไหนที่ผ่านเข้ามา แล้วพบใน set ก็จะยอมให้ผ่านไปได้ครับ
5. ถ้าจะลบ ip+mac ออกจาก set ก็ทำได้ง่าย คือ

# ipset -D myset 192.168.0.11:AA:BB:CC:DD:EE:FF

เท่านี้ ก็ถูกลบออกจาก set แล้วครับ

ข้อดี ของ ipset คือ "ความเร็ว" เพราะในการตรวจสอบ ทำผ่าน iptables rule แค่ที่เดียว และอีกอย่างคือ สามารถ ควบคุม rule ได้แบบ dynamic โดยที่ไม่ต้องโหลด iptables rule ใหม่ แก้ ip+mac ผ่านทาง ipset ได้โดยตรง

ipset เป็นอีกหนึ่งชุดโปรแกรม ที่ผมใช้แล้วชอบ โดยขณะนี้ได้นำมาดัดแปลงทำเป็น NAS (Network Access Service) คือทำลักษณะเดียวกับ CoovaChilli ถ้าผ่านช่วง alpha เมื่อไร จะเปิดโปรเจกต์ให้ผู้ที่สนใจ นำไปทดสอบครับ

เก็บ IP Traffic Log ด้วย ulogd (Debian Admin Style)

2008-09-05T20:38:00.001-07:00

จริง ๆ ก็ครบกำหนดการเก็บข้อมูลการจราจร (IP Traffic) ตั้งแต่วันที่ 23 สิงหาคม 2551 (1 ปี ให้หลัง จากประกาศ) แต่ด้วยวุ่น ๆ กับหลายเรื่อง (ลูกสาวก็อายุ 3 เดือนแล้วครับ :P) ก็ลองหาการเก็บ log ในแบบที่เราคุ้นเคย และพยายามไม่ให้กระทบกับ performance ของระบบ ก็เลยได้ลงเอยกับ ulogd กับ ulogd-pcap (ตอนนี้ เป็น version 1.24 ส่วน version 2 ยังเป็นรุ่นทดสอบ ที่พยายาม build แล้ว ยังไม่สำเร็จ :P)

เริ่มเลยละกันครับ

1. ติดตั้ง packages ที่จำเป็น

# aptitude install ulogd ulogd-pcap tshark

2. เขียน script มาจัดการเกี่ยวกับ log

# vi /usr/local/bin/traffic-ulogd.sh

#!/bin/sh

ULOGD_CONF_TPL=/etc/ulogd.conf.tpl
ULOGD_CONF=/etc/ulogd.conf
LOG_DIR=/home/log/ip-traffic

PARENT_DIR=`date +%Y-%m`
PARENT_DIR="$LOG_DIR/$PARENT_DIR"

DAILY_LOG=`date +%Y-%m-%d`
DAILY_LOG="$PARENT_DIR/$DAILY_LOG.pcap"

# Copy original debian ulogd.conf file to be
# the future config template.
if [ ! -f $ULOGD_CONF_TPL ]; then
echo "Copying default $ULOGD_CONF to $ULOGD_CONF_TPL"
cp $ULOGD_CONF $ULOGD_CONF_TPL
fi

# Create the directory structure for logging
if [ ! -d $PARENT_DIR ]; then
echo "Make directory $PARENT_DIR"
mkdir -p $PARENT_DIR
fi

# Edit template config file
cat $ULOGD_CONF_TPL | \
sed -e 's:^#$plugin="/usr/lib/ulogd/ulogd_PCAP.so"$:\1:g' | \
sed -e "s:/var/log/ulog/pcap.log:$DAILY_LOG:g" > /tmp/ulogd.conf

mv /tmp/ulogd.conf $ULOGD_CONF

# Restarting to reload config file
/etc/init.d/ulogd restart

เป็น script ที่จะคอยจัดการเกี่ยวกับ directory สำหรับจัดเก็บ ในรูปแบบ 2008-08, 2008-09 และจัดเก็บ log file ในรูปแบบ 2008-08-26.pcap,...

# chmod u+x /usr/local/bin/traffic-ulogd.sh
# /usr/local/bin/traffic-ulogd.sh

สั่งให้ script จัด config ให้ และเริ่มรอการ log
3. กำหนด iptables rule ให้ทำการ log

# iptables -I FORWARD -j ULOG --ulog-cprange 100 --ulog-qthreshold 50

4. ลองดูคร่าว ๆ ว่ามี packet ผ่านเข้า log ไหม

# iptables -nvL FORWARD
Chain FORWARD (policy ACCEPT 211M packets, 106G bytes)
pkts bytes target prot opt in out source destination
14M 7502M ULOG all -- * * 0.0.0.0/0 0.0.0.0/0 ULOG copy_range 100 nlgroup 1 queue_threshold 50

จะเห็นว่ามี Packet วิ่งเข้า rule นี้ด้วย :P
5. ดูแฟ้มที่จัดเก็บ log (ผมเก็บไว้ที่ /home เพราะแบ่งพื้นที่ไว้เยอะที่นี่)

# cd /home/log/ip-traffic/2008-08
# ls
2008-08-26.pcap
# file 2008-08-26.pcap
2008-08-26.pcap: tcpdump capture file (little-endian) - version 2.4 (raw IP, capture length 65535)

อ้า... ใช่แล้วครับ เป็น ลักษณะ tcpdump capture file :P (binary ด้วย ... เห็นเขาบอกให้เก็บในรูปแบบที่น่าเชื่อถือได้ ไม่รู้ตัวนี้น่าเชื่อถือพอหรือเปล่า :P)
6. ลองดู log ข้างในแฟ้มนี้ดู

# tshark -r 2008-08-26.pcap -tad -c 5
Running as user "root" and group "root". This could be dangerous.
1 2008-08-26 03:31:34.464265 172.30.10.18 -> 80.252.110.146 TCP acter > kar2ouche [SYN] Seq=0 Win=16384 Len=0 MSS=1452
2 2008-08-26 03:31:34.537428 172.30.10.102 -> 64.71.134.246 TCP ft-role > https [SYN] Seq=0 Win=16384 Len=0 MSS=1452
3 2008-08-26 03:31:34.565095 172.30.10.18 -> 66.199.250.170 TCP appiq-mgmt > manyone-xml [SYN] Seq=0 Win=16384 Len=0 MSS=1452
4 2008-08-26 03:31:34.568396 172.30.10.18 -> 219.239.90.172 TCP rfa > 28221 [SYN] Seq=0 Win=16384 Len=0 MSS=1452
5 2008-08-26 03:31:34.571477 172.30.10.18 -> 72.51.37.237 TCP cxws > ospf-lite [SYN] Seq=0 Win=16384 Len=0 MSS=145

ขอดูแค่ 5 packets ก่อนละกัน

-r 2008-08-26.pcap (read from file)
-tad (Absolute date)
-c 5 (5 packets count and exit)

7. เป็นอันว่า เก็บได้ ก็น่าจะเรียบร้อย ตอนนี้ก็เหลือให้ script เราทำงานเป็นช่วง ๆ เพื่อจัดการเรื่องชื่อไฟล์ให้ถูกต้อง

# vi /etc/cron.d/traffic-log

0 */1 * * * root /usr/local/bin/traffic-ulogd.sh >/dev/null 2>&1

# /etc/init.d/cron restart

เป็นการกำหนดให้ระบบ run script นี้ ทุก ๆ ชั่วโมง (กันพลาด เดี๋ยว log ในแฟ้ม จะไม่ตรงกับวันเวลาจริง แต่ถ้าเครื่องเปิดตลอดเวลาไม่น่ามีปัญหา) เท่านี้ก็น่าจะเรียบร้อยแล้วครับผม ตอนนี้ก็เหลือดูผลว่าไฟล์ใหญ่แค่ไหน อาจจะต้องมีการมาทำ archive อีกที เดี๋ยวค่อยมาว่ากันต่อคราวหน้าละกันครับ

How to install Cacti in Debian Etch

2008-09-05T07:40:00.000-07:00

http://www.cahilig.org/how-install-cacti-debian-etch

Cacti has a nice user interface. It is easy to install and easy to setup, don't need too much customization.
Downloading Cacti

You can download the newest version of Cacti from its website http://cacti.net/.
wget http://www.cacti.net/downloads/cacti-0.8.7b.tar.gz
Installing Cacti

Install apache webserver with php support, mysql database server, snmp, some php modules and rrdtool.
apt-get install apache2 libapache2-mod-php5 php5 php5-cli php5-mysql php5-gd php5-snmp mysql-client mysql-server libmysqlclient15-dev snmp snmpd rrdtool

Add a user account for cacti.
groupadd cacti
useradd -g cacti cacti

Untar the cacti source file and move to /var/www.
tar -zxvf cacti-0.8.7b.tar.gz
mv cacti-0.8.7b /var/www

Login to your mysql database
mysql -u root

Create a password for your mysql root account and create cacti database and user.
SET PASSWORD FOR root@localhost = PASSWORD ('your_password_here');
CREATE DATABASE cacti;
GRANT ALL ON cacti.* TO cacti_user@localhost IDENTIFIED BY 'your_password';
quit

and import the database tables
cd /var/www/cacti-0.8.7b/
mysql -u root -p cacti < cacti.sql

Change the owner of rra and log directory to your cacti account.
chown -R cacti rra/ log/

Edit the config.php file located in include directory.
vi include/config.php

Enter your mysql host, user, password and database name.

/* make sure these values refect your actual database/host/user/password */
$database_type = "mysql";
$database_default = "cacti";
$database_hostname = "localhost";
$database_username = "cacti";
$database_password = "your_password";
$database_port = "3306";

As a cacti user
su - cacti
crontab -e

add this line to your crontab

*/5 * * * * /usr/bin/php /var/www/cacti-0.8.7b/poller.php > /dev/null 2>&1

Open up your web browser and point to http://localhost/cacti-0.8.7b/, this will start cacti installation. Click Next then select NEW INSTALL and accept the default installation value. If you don't see any errors, click Finish to install.

Login to cacti, the default username and password is admin. After login, it will prompt you change your password for security reasons.
Checking

Check your syslog if the cacti's poller is running every 5 minutes.
If you will see something like this in your syslog, your cacti should work perfectly.

Jul 5 06:50:01 server1 /USR/SBIN/CRON[6543]: (cacti) CMD (/usr/bin/php /var/www/cacti/poller.php > /dev/null 2>&1)

You can start monitoring your servers, routers and other networking devices with cacti

How to install PHP5,Apach2.2,MySQL5 by manual compile.

2008-09-02T08:57:00.000-07:00

How to install PHP5,Apach2.2,MySQL5 by manual compile.
ได้รับมอบหมายให้ Install OS พร้อม Software จำพวก Apache, PHP5 แล้วก็ MySQL5 เริ่มแรกเราก็ไปหา source file มาก่อน เตรียมๆ เอาไว้ ดังนี้
Apache 2.2
MySQL 5.0.37
PHP 5.2.1
ลำดับการติดตั้ง ก็ตามนี้ครับ
การติดตั้ง Apache 2.2
การติดตั้ง MySQL 5.0.37 : http://laffers.net/howtos/howto-install-mysql
การติดตั้ง PHP 5.2.1
*** ไอ้ Apache กะ MySQL เนี้ยจะอันไหนก่อนก็ได้นะครับ แต่ PHP ขอเป็นอันท้ายสุดละกัน..เวลา Compile มันต้องทำให้ PHP รู้จักกับ Apache&MySQL ด้วยอ่ะครับ (การ set prefix) มาเริ่มกันเลยดีกว่าครับ…
1. การติดตั้ง Apache 2.2# tar xvfj httpd-2.2.4.tar.bz2 -> อันนี้ถ้าเรา Download มาเป็น .tar.gz ก็ใช้ tar xvfz httpd-2.2.4.tar.gz ครับ# cd httpd-2.2.4# ./configure –prefix=/usr/local/apache2 -> prefix ตรงนี้เป็น option ที่ให้เรากำหนดว่าเราจะเอา ไฟล์ที่ จะ install ไปไว้ที่ path ไหน# make -> เริ่มทำการ Compile# make install -> install ครับ
เป็นอันเสร็จสิ้นในส่วนของ Apache
2. การติดตั้ง MySQL 5.0.37
อันนี้ก็คล้ายๆ กับ apache ครับ
# tar xvfz mysql-5.0.37.tar.gz# cd mysql-5.0.37# ./configure –prefix=/usr/local/mysql5 -> ถ้าอยากรู้ว่า default เป็นอะไร ก็ให้ลองพิมพ์ ./configure –help# make -> เริ่มทำการ Compile# make install -> install ครับ# cp support-files/my-medium.cnf /etc/my.cnfเมื่อถึงขั้นตอนนี้ให้คุณเข้าไปแก้ไขไฟล์ /etc/my.cnf โดยให้เพิ่ม user = mysql ไปที่บรรทัดใต้คำว่า [mysqld] อ่ะแล้วก็ Save# cd /usr/local/mysql5# bin/mysql_install_db –user=mysql# chown -R root .# chown -R mysql var# chgrp -R mysql .# bin/mysqld_safe –user=mysql & -> Start ครับผมทำการทดสอบว่า mysql ทำงานได้เปล่า ก็ ใช้คำสั่งนี้ดู# /usr/local/mysql5/bin/mysqladmin versionถ้าออกมาเป็น version ต่างๆของ mysql ก็ถือว่า ผ่าน ต่อไปก็เป็นการ set password ให้กับ user root โดยต้อง Login เข้าไปเป็น root ก่อนดังนี้# /usr/local/mysql5/bin/mysql -u rootเมื่อเข้าไปแล้วก็ใช้คำสั่งตามนี้DELETE FROM mysql.user WHERE User = ”;FLUSH PRIVILEGES;SELECT Host, User FROM mysql.user;SET PASSWORD FOR ‘root’@'localhost’ = PASSWORD(’new_password’);SET PASSWORD FOR ‘root’@'host_name’ = PASSWORD(’new_password’);quitหลังจากนั้นก็ ทำการ Restart Mysql อีกซักรอบ โดย# /usr/local/mysql5/bin/mysqladmin -u root -p shutdown# /usr/local/mysql5/bin/mysqld_safe –user=mysql &เป็นอันเสร็จสิ้น ในส่วนของ mysql
3. การติดตั้ง PHP 5.2.1
สำหรับ PHP เวลาติดตั้งคุณจำเป็นต้อง บอก path ของ apache กับ mysql ด้วยครับ โดยตอนที่คุณบอก ก็คือตอนใช้ คำสั่ง configure นั่นเอง ตามนี้ครับ# tar xvfz php-5.2.1.tar.gz# cd php-5.2.1# ./configure –prefix=/usr/local/php5 —-with-apxs2=/usr/local/apache2/bin/apxs –with-mysql=/usr/local/mysql5# make# make installเป็นอันเสร็จพิธีทั้งหมด..
หลังจากนี้เราก็มาดูวิธีการ Start Service แต่ละตัวกันครับมาเริ่มที่
apache : /usr/local/apache2/bin/apachectl start ** อันนีเราสามารถเปลี่ยนได้เป็น start/stop/restart ครับ
mysql : /usr/local/mysql5/bin/mysqld_safe –user=mysql &
php : อันนี้ไม่ต้อง start ครับมันจะถูกผูกให้โดยอัตโมมัติ ตอนที่เรา compile นั่นเอง
คราวนี้เราก็มาดูกันครับว่า..ไอ้ที่เรา ติดตั้งไป มันใช้ได้เปล่า…ก็ให้ลอง เขียน script php ขึ้นมาซักอันครับเช่นphpinfo();?>save เป็นชื่อไฟล์ว่า noi.php (noi เป็นชื่อสาวครับ..ผมจีบอยู่ อิๆ) แล้วก็เอาไปวางไว้ที่ path /usr/local/apache2/htdocs/ หลังจากนั้นก็ไปเครื่องอื่น..แล้วลองใช้โปรแกรม Web Browser เรียกหน้าดังกล่าวดู เช่น http://192.168.168.12/noi.php
ถ้าได้หน้าตาเว็บเป็นแบบนี้ก็แสดงว่า..โอเคครับ
จบ..ครับ เดี๋ยวคราวหน้าจะมาพูดถึงการติดตั้ง ProFTFD กันพร้อมกับ ตัวอย่างการ Config สำหรับคราวนี้เอาไว้แค่นี้ก่อนละกันครับพี่น้องงงงงงงง สวัสดี

การ mount Handy drive

2008-09-01T00:12:00.000-07:00

http://bluestulip.blogspot.com/2006/02/how-to-mount-usb-handy-drive-in-nix.html

mkdir /mnt/sdb1/
mount -t vfat /dev/sdb1/ /mnt/sdb/

การ mount Handy drive บน FreeBSD

บน FreeBSD 5.3 หรือสูงกว่านะครับ แต่คาดว่า 5.0 ก็น่าจะได้นะ

1. เสียบ handy drive ที่ server
2. ที่ command line พิมพ์ mount -t msdos /dev/da0s1 /mnt
2. cd /mnt เราก็จะเจอข้อมูลครับ

หมายเหตุ เมื่อ da0s1 คือ ชื่ออุปกรณ์ที่ freebsd รายงานออกมาให้เราทราบตอนทำขั้นตอนที่ 1
ส่วน /mnt คือไดเรกทรอรีที่เราต้องการชี้ไปยังข้อมูลที่ต้องการ

ผมคิดว่าก่อนดึง handy drive ออก สามารถใช้คำสั่ง

umount /dev/da0s1

หรือ

umount /mnt

ได้ครับ (ถ้าใช้คำสั่งเดียวกันกับ Linux นะครับ)

RH9 ก็ไม่ต่างกันนักครับ

mkdir /mnt/usbdisk
mount -t vfat /dev/sda1 /mnt/usbdisk

หรือจะเพิ่มออพชันด้วย เพื่อให้สามารถอ่านภาษาไทย และให้ผู้ใช้งานที่ไม่ใช่ root เขียนข้อมุลได้ด้วย

mount -t vfat /dev/sda1 /mnt/usbdisk -o iocharset=utf8,umask=000

mount /dev/da1st1 /mnt/hdd1 <<< hdd ตัวที่ ลง window 2k3 ไว้แล้วก็ แบ่ง เป็น c กะ d da1st1 = drive c da1st2 = drive d
แล้วก็ สร้าง /mnt/hdd1 ซะ
เสร็จแล้ว /chmod -R 777 /mnt/
หง่ะ แค่นั้น

Ref :: http://www.thaibsd.com/webboard/show.php?Category=thaibsd&No=1451&page=1

โปรแกรม portsentry

2008-08-22T10:12:00.000-07:00

พอดีมีประสบการณ์ในด้านนี้มาบ้างเลยอยากจะแนะนำให้เพื่อนๆพี่ๆน้องได้ลองทำ ดูกัน ก็เลยนำเอาการ config โปรแกรม Portsentry มาให้ดูกัน หวังว่าคงจะเป็นประโยชน์กันบ้างไม่มากไม่น้อย ซึ่งขึ้นอยู่กับการนำไปประยุกต์กับระบบของคุณเอง

โปรแกรม portsentry เป็นโปรแกรมที่สร้างขึ้นเพื่อตรวจสอบการ scan port แบบ real time สามารถตรวจจับการบุกรุกมายัง port ต่างๆที่ server เปิดให้บริการอยู่ บางคนตั้ง server แบบไม่ระมัดระวังพอติดตั้ง NOS เสร็จก็สนใจแต่เรื่องการ config ในส่วนที่จะให้บริการกับลูกข่ายเท่านั้น สามารถหา download โปรแกรมนี้ได้จาก www.psionic.com ปัจจุบันได้เปลี่ยนแปลงชื่อโปรแกรมไปเป็นชื่ออื่นแล้ว ลองศึกษาจากเวปไซต์ดังกล่าวดูนะคับ

สมมุตว่าผมไป download เจ้าโปรแกรมนี้มาแล้วที่มีชื่อว่า portsentry-1.1.tar.gz

# cd /tmp
# gzip -cd portsentry-1.1.tar.gz | tar xvf -
# cd portsentry-1.1
# pico Makefile (เข้าไปแก้ไขไฟล์ compile โดยแก้ไขตามนี้นะครับ)

CC = cc แก้ไขเป็น
CC = egcs
(ใน server ต้องติดตั้งโปรแกรม egcs ไว้ก่อน) หรือสามารถหาติดตั้งได้ใน /usr/ports

CFLAGS = -O -Wall แก้เป็น
CFLAGS = -O3 -march=i386 -mcpu=i386 -funroll-loops -fomit-frame-pointer -Wall

INSTALLDIR=/usr/local/psionic แก้ไขเป็น
INSTALLDIR=/etc

เสร็จแล้วทำการ save ไฟล์โดยการ Ctrl+X แล้วกด Y
หลังจากนั้นแก้ไขไฟล์ portserntry_config.h

#pico portsentry.h แล้วแก้ไขตามนี้นะครับ

define CONFIG_FILE "/usr/local/psionic/portsentry/portsentry.conf" แก้ไขเป็น
define CONFIG_FILE "/etc/portsentry/portserntry.conf"
เสร็จแล้วทำการ save ไฟล์โดยการ Ctrl+X แล้วกด Y

แล้วเริ่มต้นการ compile โดยใช้คำสั่งดังนี้
# make linux
# make install

ทำการลบไฟล์ต้นฉบับทิ้ง
# cd /tmp
# rm -rf portsentry*

หลังจากนั้นเข้าไปแก้ไขไฟล์ config ของ portsentry ใน path /etc/portsentry/

# pico portsentry.conf
เพิ่มคำสั่งพวกนี้เข้าไปในไฟล์ สามารถใส่ตรงบรรทัดไหนในไฟล์ก็ได้

# กำหนดหมายเลข port ที่ป้องกันการถูก scan
TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,31337,32771,32772,32774,40421,49724,54320"

#กำหนดหมายเลข Ports ว่างที่มักถูกผู้บุกรุก scan และใช้โจมตี
ADVANCED_PORTS_TCP="1023"
ADVANCED_PORTS_UDP="1023"

#กำหนด ports ต้องห้ามไม่ให้เข้าในระบบเพราะว่าเป็น port ที่ทำงานขณะที่เครื่อง boot คือบริการ ident(113) , NetBios(137-138) , RIP(520) , bootp broadcast(67)
ADVANCED_PORTS_TCP=”113,139”
ADVANCED_PORTS_UDP=”520,138,137,67”

#กำหนดตำแหน่งที่อยู่ของไฟล์ต่างๆ
IGNORE_FILE=”/etc/portsentry/portsentry.ignore”
HISTORY_FILE=”/var/log/portsentry/portsentry.history”
BLOCK_FILE=”/var/log/portsentry/portsentry.blocked”

#กำหนดค่าที่จะป้องกัน
#0=ไม่ block การ scan TCP/UDP
#1=block ทั้ง TCP_UDP
#2=block external command เท่านั้น
BLOCK_UDP=”1”
BLOCK_TCP=”1”

#คำสั่งนี้ไม่ให้ผู้อื่นส่งคำสั่งมาเพิ่ม route ใหม่ในระบบ
KILL_ROUTE=”/sbin/route add –host $TARGET$ reject”
KILL_HOSTS_DENY=”ALL: $TARGET$”

กำหนดจำนวน ports ที่ยอมให้ connect เข้ามาในระบบได้มีค่าตั้งแต่ 1-2 ถ้ากำหนดเป็น 0 จะเป็นการสั่งให้บันทึกค่าใน log file ทันทีเมื่อพบว่ามีการถูก scan port เพื่อให้ผู้ดูแลระบบทราบ
SCAN_TRIGGER=0

#กำหนดข้อความแจ้งเตือนว่ามีการบุกรุก อันนี้แล้วแต่นะครับตามความต้องการของผู้ดูแลระบบ
PORT_BANNER=”** UNAUTHORIZED ACCESS PROHIBITED ** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY”

หลังจากแก้ไขและทำการตรวจสอบความถูกต้องแล้ว ให้ทำการ save ไฟล์ แล้วทำการกำหนด Permission ให้ไฟล์ด้วย
#chmod 600 /etc/portsentry/portsentry.conf

ตรวจสอบไฟล์ portsentry.ignore ดูว่ามีค่า IP Address ตามตัวอย่างหรือไม่ ถ้าเป็น Version ใหม่โปรแกรมจะเพิ่มค่า IP Address ให้เองไม่ต้องเข้าไปแก้ไขอะไร
#pico /etc/portsentry/portsentry.ignore
127.0.0.1
0.0.0.0

จากนั้นกำหนด Permission เป็น 600
#chmod 600 /etc/portsentry/portsentry.ignore

สร้าง Scripts ไปไว้ใน /etc/rc.d/init.d ชื่อ portsentry
#pico /etc/rc.d/init.d/portsentry (path ตามที่คุณได้ติดตั้ง init เอาไว้นะครับ ลองหาดูอาจจะไม่เหมือนของผมก็ได้)

แก้ไขในไฟล์ portsentry ตามนี้นะครับ

#/bin/sh
#
#portsentry start the portsentry port scan detector
#
#source function library
./etc/rc.d/init.d/functions
#get config
./etc/sysconfig/network
#check that networking is up
if [${NETWORKING}=”no”]
then
exit 0
fi
[ -f /usr/sbin/portsentry] || exit 0

#see how we were called
case “$1” in
start)
echo –n “Starting Port Scan Detector: ”
if [ -s /etc/portsentry/portsentry.modes] ; then
modes=’cut –d “#” –f (ต่อบรรทัดล่างด้วย)1 /etc/portsentry/portsentry.modes’
else
modes=”tcp udp”
fi
for i in $modes ; do
portsentry -$i
echo –n “$i”
done
echo
touch /var/lock/subsys/portsentry
;;
stop)
echo –n “Stopping Port Scan Detector: ”
killproc portsentry
echo
rm –f /var/lock/subsys/portsentry
;;
status)
status portsentry
esac
exit 0

จากนั้นกำหนด permission ให้ไฟล์ scrips นี้
#chmod 700 /etc/rc.d/init.d/portsentry

ทำการเพิ่ม script ให้ระบบเพื่อสั่งให้ทำงานขณะที่เครื่อง reboot
#chkconfig --portsentry
#chkconfig --level 345 portsentry on

สั่งให้โปรแกรมทำงาน
#/etc/rc.d/init.d/portsentry restart

all-in-one 2 (portsentry+iptables+apt-proxy+squid3)

2008-08-21T11:14:00.000-07:00

http://www.thaitux.info/book/export/html/479

ปรับตั้ง interfaces
# vi /etc/network/interfaces

auto eth0
iface eth0 inet static
  address 192.168.1.3
  netmask 255.255.255.0
  network 192.168.1.0
  broadcast 192.168.1.255

auto eth1
iface eth1 inet static
  address 192.168.5.3
  netmask 255.255.255.0
  network 192.168.5.0
  broadcast 192.168.5.255
  gateway 192.168.5.1

เพื่อให้เครือข่ายภายในสามารถออกสู่ภายนอกได้ โดยใช้เซิร์ฟเวอร์ตัวนี้เป็นเกตเวย์ จะตั้งให้ฟอร์เวิร์ดไอพีได้
# vi /etc/sysctl.conf

...
net.ipv4.ip_forward=1

ทำให้มีผลทันที
# echo 1 > /proc/sys/net/ipv4/ip_forward

portsentry + iptables พื้นฐาน

ติดตั้ง
# aptitude install portsentry iptables

สำหรับ portsentry ใช้ค่าปริยายทั้งหมด

สำหรับ iptables จะทำเป็นแบบสคริปต์ ไว้รันเวลาเปิดเครื่อง (จริง ๆ คือ รันตอนอินเทอร์เฟส eth1 เปิดขึ้นมาใช้งาน)
มีการเพิ่มกฎในการบล๊อกไอพีนิดหน่อย ทำให้ลดภาระ web server ในการกรองไอพี

เตรียมไฟล์ข้อมูล
# mkdir -p /sys1/sysb/etc/iptables # ln -sf /sys1/sysb/etc/iptables /etc # echo "#BLOCKED IP LIST" >> /etc/iptables/block_ip

สร้างสคริปต์ไว้เรียกตอนเปิด eth1 คือ /usr/local/sbin/d.eth1-iptables
# vi /usr/local/sbin/d.eth1-iptables

#!/bin/bash
# SIMPLE IPTABLES
INTERFACE=eth1
INT_NET=192.168.0.0/16
BLOCK_FILE=/etc/iptables/block_ip

#DELETE OLD RULES
iptables -F > /dev/null
iptables -F -t nat > /dev/null

#NAT
iptables -t nat -A POSTROUTING -o $INTERFACE -j MASQUERADE

#BLOCK SPECIFIC IP
#SORT IP LIST IF DATA CHANGED
touch $BLOCK_FILE "$BLOCK_FILE.bak"
cmp -s "$BLOCK_FILE" "$BLOCK_FILE.bak"
if [ $? -ne 0 ]; then
  TEMP_FILE=/tmp/block_ip
  touch $TEMP_FILE
  mv $BLOCK_FILE "$BLOCK_FILE.bak"
  cat "$BLOCK_FILE.bak" | while read LINE; do
      if [ ${LINE:0:1} == "#" ]; then
          echo $LINE >> $BLOCK_FILE
      else
          echo $LINE >> $TEMP_FILE
      fi
  done
  cat $TEMP_FILE | sort >> $BLOCK_FILE
  rm $TEMP_FILE
fi
#DO BLOCK
cat $BLOCK_FILE | grep -v "#" | cut -d \  -f 1 | while read IP; do
  iptables -A INPUT -s $IP -j DROP
done

#BLOCK ssh INTRUDER BY RATE-LIMIT 4 FOR 600 SECONDS
#FROM http://www.debian-administration.org/articles/187
iptables -I INPUT -p tcp --dport 22 -i $INTERFACE -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i $INTERFACE -m state --state NEW -m recent --update --seconds 600 --hitcount 4 -j DROP

#FORWARD INTERNAL
iptables -A FORWARD -s $INT_NET -j ACCEPT
iptables -A FORWARD -d $INT_NET -j ACCEPT

#DROP REST
iptables -A FORWARD -s ! $INT_NET -j DROP

# chmod 755 /usr/local/sbin/d.eth1-iptables

สร้างไพล์ข้อมูลไอพีที่ต้องการบล๊อก ชื่อ block_ip เอาไว้ที่ /etc/iptables
# vi /etc/iptables/block_ip

#BLOCKED IP LIST
WWW.XXX.YYY.ZZZ    #COMMENT
...

เปลี่ยนตัวเลขเอาตามจริงนะครับ
เวลาเราจะเพิ่มไอพี ก็มาแก้ไขที่ไฟล์นี้

นำกฎมาใช้ตอนเปิดเครื่องใหม่ ผ่าน /etc/network/interfaces
# vi /etc/network/interfaces

...
auto eth1
iface eth1 inet static
  address 192.168.5.3
  netmask 255.255.255.0
  network 192.168.5.0
  broadcast 192.168.5.255
  gateway 192.168.5.1
  post-up /usr/local/sbin/d.eth1-iptables
  pre-down /sbin/iptables-save > /etc/iptables/rules-backup

(เวลาจะปรับปรุงสคริปต์ เอาเนื้อความจาก /etc/iptables/rules-backup มาใช้อ้างอิงดูในการปรับปรุงได้)

สำหรับครั้งแรก ต้องรัน 1 ครั้ง ครั้งต่อไปไม่ต้องแล้ว จะรันผ่านอินเทอร์เฟส eth1 เอง
# /usr/local/sbin/d.eth1-iptables

ทำเองได้ Centralized log แถมวิวได้ด้วย PHP SYSLOGVIEWER

2008-08-21T07:33:00.000-07:00

http://www.tpit.co.th/index.php?view=article&catid=7%3Ahowto&id=9%3A-centralized-log-php-syslogviewer&tmpl=component&print=1&page=&option=com_content&Itemid=10

ทำเองได้ centralized log แถมวิวได้ด้วย php syslogviewer

Written by Administrator
Thursday, 10 July 2008 02:35
ภาคแรก ทำเองได้ Centralized log แถมวิวได้ด้วย PHP SYSLOGVIEWER หลาย ๆ องค์กรเริ่มจะตื่นตัวกับพรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ ตามมาตรา ๒๖ บัญญัติให้ผู้ให้บริการต้องเก็บข้อมูลจราจรคอมพิวเตอร์ไว้ไม่ต่ำกว่า ๙๐ วัน แต่ไม่เกิน ๑ ปีไปแล้ว วันนี้จะแนะนำวิธีง่าย ๆ ที่จะทำ centralized log เซิร์ฟเวอร์ด้วยตนเอง ด้วยซอฟต์แวร์ open sourceดูสิว่าจะสู้ผลิตภัณฑ์ต่างประเทศราคาหลายแสนได้หรือไม่ นับเป็นข่าวดีมากที่ผู้เขียนได้ค้นพบซอฟต์แวร์ที่ใช้ทำการวิว ค้นหาข้อมูล เพื่อจะได้ทำรายงานเบื้องต้นได้ใหม่ ชื่อว่า “php syslogviewer” แถมเพิ่งจะอัพเดทล่าสุดเมื่อปีกลาย แจ่มทีเดียว ใครหลายคนอาจเคยได้ยินชื่อ phpsyslog-ng มาก่อน ลืมไปได้เลยครับขี้เหร่มาก ซอฟต์แวร์ที่ใช้งาน syslog-ng-2.0.0 phpsyslogviewer-7.2.1 speedupd-7.3.2 ผู้เขียนทดสอบโดยติดตั้งบนระบบปฏิบัติการ debian etch 4.0 รันในระบบเวอร์ชอลแมชชีน โดยซอฟต์แวร์ xen opensource ใช้เคอร์เนลเวอร์ชั่น 2.6.18-4-xen-686 นับว่ามีเสถียรภาพสูงมาก ๆ ครับ ขั้นตอนที่ 1 เริ่มกันเลยดีกว่า หลังจากติดตั้งโอเอสเรียบร้อยให้ทำการติดตั้งซอฟต์แวร์ syslog-ng-2.0.0 โดยใช้แพ็คเกจของโอเอสเองดังนี้ # apt-get install syslog-ng ขั้นตอนที่ 2 ดาวน์โหลดซอร์สโค๊ดจาก sourceforge ตามลิงค์ข้างล่างนี้ # wget http://jaist.dl.sourceforge.net/sourceforge/phpsyslogviewer/phpsyslogviewer-7.2.1.tar.bz2 # wget http://jaist.dl.sourceforge.net/sourceforge/phpsyslogviewer/speedupd-7.3.2.tar.bz2 ขั้นตอนที่ 3 แตกแพ็คเกจออกถ้าใครยังไม่ได้ลงโปรแกรม bzip2 ให้ทำการลงซะก่อนมิฉะนั้นจะแตกไฟล์ออกไม่ได้และทำการติดตั้งชุด lamp สำหรับเครื่องแม่ข่ายซะก่อน ขั้นตอนการติดตั้ง lamp อาจจะใช้เวลาสักนิดนึง หากใครมีประสบการณ์คงหาทางแก้ปัญหาได้จากเอกสารอื่น เนื้อหาในบทความนี้ผู้เขียนขอเล็งไปที่ซอฟต์แวร์หลัก ๆ ของระบบการจัดการข้อมูลการจราจรคอมพิวเตอร์ ตามพรบ.เป็นหลัก อาจจะทำให้มือใหม่หงุดหงิดบ้าง ดังนี้ # apt-get install bzip2 # tar xjvf phpsyslogviewer-7.2.1.tar.bz2 # cd phpsyslogviewer-7.2.1 # apt-get install mysql-client mysql-server apache2 php5 # apt-get install php5-mysql php5-ldap php5-cli libapache2-mod-php5 # apt-get install phpmyadmin ขั้นตอนที่ 4 ในโฟลเดอร์ install จะมีสคริปที่ใช้ติดตั้งตารางต่าง ๆ ให้กับฐานข้อมูล เราจะต้องทำการสร้างฐานข้อมูลเสียก่อน มิฉะนั้นจะพบกับข้อผิดพลาดและไม่สามารถรันสคริปดังกล่าวผ่านได้ # mysql -u root -p mysql > create database syslogng; mysql > exit; # mysql -u root -p syslogng <> ขั้นตอนที่ 5 ปรบมือให้กับตัวเองเราผ่านพ้นขั้นตอนที่ต้องระวังไปขั้นหนึ่ง จากนั้นกำหนดค่าเพื่อสร้างบัญชีรายชื่อผู้ใช้และรหัสผ่านง่าย ๆ ก็ใส่ค่าข้อมูลของผู้ใช้ รหัสผ่าน ชื่อโฮสต์ และ ฐานข้อมูล คิดว่าไม่น่ายาก ดังนี้ # vi install/newuser.sql.php # php install/newuser.sql.php # php install/newuser.sql.php \| mysql -u root -p syslogng ขั้นตอนที่ 6 จัดการเวบไดเรคทอรีเพื่อให้สามารถเรียกดูข้อมูลผ่านเวบบราวเซอร์ ใครที่มีประสบการณ์สร้างเวบไซต์มาก่อน งานนี้กินเรียบครับ ทำตามขั้นตอนได้เลย # cp -R htdocs /var/www/phpsyslogviewer # vi /var/www/phpsyslogviewer/config.php # chown root:www-data /var/www/phpsyslogviewer/config.php # chmod 440 /var/www/phpsyslogviewer/config.php ขั้นตอนที่ 7 ทดลองเปิดหน้าเวบไซต์ดูหน่อยว่าหน้าตาเป็นอย่างไร ไปที่ http://xxx.xxx.xxx.xxx/phpsyslogviewer จะเห็นว่าหน้าตาดูดีทีเดียว ขั้นตอนที่ 8 ติดตั้งแพ็คเกจ speedupd-7.3.2 เพื่อเร่งความเร็วให้เอนจิ้นป้อนข้อมูลสู่ฐานข้อมูล mysql ขั้นตอนนี้อาจยุ่งยากนิดหน่อย เพราะต้องทำการคอมไพล์แพ็คเกจด้วยตัวเองใหม่ แต่ไม่เกินความสามารถของเราหรอกครับ ขอย้ำว่าต้องทำนะครับขั้นตอนนี้ มิฉะนั้นใครที่เคยใช้ phpsyslog-ng จะรู้ซึ้งว่าอึดอัดเป็นอย่างไร # tar xjvf speedupd-7.3.2.tar.bz2 # cd speedup-7.3.2 # apt-get install debhelper cmake libdaemon-dev libconfuse-dev fakeroot # apt-get install build-essential libmysqlclient15-dev # dpkg-buildpackage -rfakeroot ขั้นตอนที่ 9 หลังจากผ่านขั้นตอนที่ 8 เราจะได้แพ็คเกจตระกูล debian ชื่อว่า speedupd_7.3.0_i386.debให้ติดตั้งแพ็คเกจและกำหนดค่าให้กับไฟล์ speedupd.confดังนี้ # cd .. # dpkg -i speedupd_7.3.0_i386.deb # vi /etc/speedupd.conf # /etc/init.d/speedupd start ขั้นตอนที่ 10 สบายใจไปอีกขั้นหนึ่งครับ ต่อไปเป็นการกำหนดค่าให้กับ syslog-ng ทำการส่งค่าไปเก็บยังฐานข้อมูลทำตามนี้เลยครับ ง่าย ๆ ผู้เขียนตัดวิธีการเก็บข้อมูลการจราจรคอมพิวเตอร์ส่วนอื่นออก เพื่อให้สามารถทำความเข้าใจได้ง่าย ๆ ครับ หากใครมีไฟล์คอนฟิคเก่าอยู่แล้วก็เพิ่มเติมเฉพาะส่วนที่ต้องการเก็บข้อมูลใน ฐานข้อมูลได้เลยครับ # cd /etc/syslog-ng # cp syslog-ng.conf syslog-ng.conf.org # vi syslog-ng.conf options { recv_time_zone (+07:00); send_time_zone (+07:00); sync (0); time_reopen (100); log_fifo_size (1000); long_hostnames (off); use_dns (no); use_fqdn (no); create_dirs (yes); chain_hostnames(yes); keep_hostname (yes); }; source s_sys { file ("/proc/kmsg" log_prefix("kernel: ")); unix-stream ("/dev/log"); internal(); udp(ip(0.0.0.0) port(514)); tcp(ip(0.0.0.0) port(514) keep-alive(yes)); }; destination d_mysql { \ pipe("/var/log/mysql.pipe" \ template("INSERT INTO logs \ (host, facility, priority, level, tag, datetime, program, msg) \ VALUES ( '$HOST', '$FACILITY', '$PRIORITY', '$LEVEL', '$TAG', '$YEAR-$MONTH-$DAY $HOUR:$MIN:$SEC', \ '$PROGRAM', '$MSG' );\n") template-escape(yes)); }; filter f_kernel { facility (kern); }; filter f_messages { level(info..emerg) and not (facility(mail) or \ facility(authpriv) or facility(cron)); }; log {source(s_sys); filter(f_messages); destination(d_mysql); }; log {source(s_sys); filter(f_kernel); destination(d_mysql); }; ขั้นตอนที่ 11 สร้างสคริปเพื่อทำไปน์สำหรับส่งค่าสตรีมจากไปน์สู่ฐานข้อมูล งานนี้เป็น bash สคริปครับทำเสร็จต้องเปลี่ยนสิทธิให้รันได้ด้วยอย่าลืม ฟังดูวุ่นวายแต่ทำจริงง่ายมากครับ #vi syslog2mysql.sh #!/bin/bash if [ ! -e /var/log/mysql.pipe ] then mkfifo /var/log/mysql.pipe fi while [ -e /var/log/mysql.pipe ] do mysql -u root --password=radius syslogng < /var/log/mysql.pipe >/dev/null done # chmod +x syslog2mysql.sh # ./syslog2mysql.sh & # /etc/init.d/syslog-ng start ทำครบแล้วก็ปรบมือให้ตัวเองครับ ลองมาดูผลงานสิว่าเป็นไงบ้าง เข้าไปหน้าล็อกอินครับ จากนั้นป้อนรหัสผู้ใช้พร้อมรหัสผ่านที่ทำไว้ในขั้นตอนที่ 5 ครับ ถ้าหากลืม จากนั้นจะได้หน้าจอต่อไปครับ ดูต่อ อยากเห็นเรียลไทม์วิวเวอร์ครับ ลองค้นหาดูสิ ได้คำตอบตามนี้ครับ ดูดีทีเดียวครับ เป็นไงครับ php syslogviewerสู้ซอฟต์แวร์แพง ๆ จากต่างประเทศได้ไหมอันนี้ต้องพิสูจน์ด้วยตนเองแหละครับ ในส่วนตัวของผู้เขียนทะเลาะได้กับ kiwi syslog service manager ของวินโดร์ได้เชียวครับ หรือจะใช้สำหรับมอนิเตอร์โปรแกรมจัดส่งข้อมูลการจราจรคอมพิวเตอร์จากอุปกรณ์ อื่น ๆ เช่น สวิตช์ เร้าเตอร์ หรือ อุปกรณ์แอคเซสพอยท์ในระบบก็ทำได้ดีครับ ใช้จริงก็ได้ครับ ผู้เขียนว่าคนไทยเก่งครับ สามารถสร้างเครื่องแม่ข่ายเก็บข้อมูลการจราจรคอมพิวเตอร์ ตาม พรบ.ว่าด้วยการกระทำผิดเกียวกับคอมพิวเตอร์ พ.ศ.2550 ได้ด้วยตนเองครับ ก็มันกฎหมายบ้านเรา ก็ทำมันซะเองสิครับ แค่นี้ก็รอดตัวจากมาตรา 26 ตามพรบ.คอมพิวเตอร์ปรับตั้งห้าแสนบาทแล้วครับ ที่สำคัญช่วยลดปัญหาการนำเข้าฮาร์ดแวร์ราคาแพงจากต่างประเทศได้ครับ สงสารพี่น้องเกษตรกรไทยครับไม่รู้จะขายข้าวสารกี่เกวียนจะพอจ่ายเงินภาษี ให้คนรัฐบาลซื้อ centralized log จากต่างประเทศสักตัว ภาคสอง ทำเองได้ Centralized log แถมวิวได้ด้วย PHP SYSLOGVIEWER หมายเหตุ เฉพาะเครื่องแม่ข่าย centralized log ตัวเดียวยังไม่เพียงพอต่อการคอมไพล์พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับ คอมพิวเตอร์ พ.ศ. ๒๕๕๐ หน่วยงานต้องทำอินเทอร์เน็ตเกตเวย์เพื่อทำการตรวจสอบสิทธิการเข้าใช้ งานระบบ (authentication gateway) และต้องตั้งฐานเวลาเทียบกับเวลามาตรฐานของประเทศไทย (stratum 0)ผิดพลาดไม่เกิน 10 ms ด้วย และหากหน่วยงานใดให้บริการเวป หรือ เมลล์เซิร์ฟเวอร์ต้องจัดเก็บข้อมูลการให้บริการดังกล่าวด้วย แต่ยังไงก็ตามเราก็ประหยัดเงินไปได้หนึ่งกล่องล่ะครับ ผู้เขียนขอจบบทความทำเองได้ Centralized log แถมวิวได้ด้วย PHP SYSLOGVIEWER เพียงแค่นี้ครับ หากติดขัดในขั้นตอนใด ถามมาได้ครับที่ supakitd at yahoo dot com บริษัท ไทยพรอสเพอรัสไอที จำกัด 42/1 ถ.พิทักษ์ชาติ ต.ประจวบคีรีขันธ์ อ.เมืองประจวบคีรีขันธ์ จ.ประจวบคีรีขันธ์ 77000
Last Updated ( Friday, 15 August 2008 03:48 )

เวอร์ชั่นเต็ม: การติดตั้ง Centralized log ตาม พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

2008-08-21T07:19:00.001-07:00

http://www.thaishadow.com/archiver/?tid-589.html

การติดตั้ง Centralized log ตาม พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

หลาย ๆ องค์กรเริ่มจะตื่นตัวกับพรบ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ ตามมาตรา ๒๖ บัญญัติให้ผู้ให้บริการต้องเก็บข้อมูลจราจรคอมพิวเตอร์ไว้ไม่ต่ำกว่า ๙๐ วัน แต่ไม่เกิน ๑ ปีไปแล้ว วันนี้จะแนะนำวิธีง่าย ๆ ที่จะทำ centralized log เซิร์ฟเวอร์ด้วยตนเอง ด้วยซอฟต์แวร์ open sourceดูสิว่าจะสู้ผลิตภัณฑ์ต่างประเทศราคาหลายแสนได้หรือไม่

นับเป็นข่าวดีมากที่ผู้เขียนได้ค้นพบซอฟต์แวร์ที่ใช้ทำการวิว ค้นหาข้อมูล เพื่อจะได้ทำรายงานเบื้องต้นได้ใหม่ ชื่อว่า “php syslogviewer” แถมเพิ่งจะอัพเดทล่าสุดเมื่อปีกลาย แจ่มทีเดียว ใครหลายคนอาจเคยได้ยินชื่อ phpsyslog-ng มาก่อน ลืมไปได้เลยครับขี้เหร่มาก

ซอฟต์แวร์ที่ใช้งาน

syslog-ng-2.0.0

phpsyslogviewer-7.2.1

speedupd-7.3.2

ผู้เขียนทดสอบโดยติดตั้งบนระบบปฏิบัติการ debian etch 4.0 รันในระบบเวอร์ชอลแมชชีน โดยซอฟต์แวร์ xen opensource ใช้เคอร์เนลเวอร์ชั่น 2.6.18-4-xen-686 นับว่ามีเสถียรภาพสูงมาก ๆ ครับ

ขั้นตอนที่ 1 เริ่มกันเลยดีกว่า หลังจากติดตั้งโอเอสเรียบร้อยให้ทำการติดตั้งซอฟต์แวร์ syslog-ng-2.0.0 โดยใช้แพ็คเกจของโอเอสเองดังนี้

# apt-get install syslog-ng

ขั้นตอนที่ 2 ดาวน์โหลดซอร์สโค๊ดจาก sourceforge ตามลิงค์ข้างล่างนี้

# wget [url]http://jaist.dl.sourceforge.net/sourceforg...r-7.2.1.tar.bz2[/url]

# wget [url]http://jaist.dl.sourceforge.net/sourceforg...d-7.3.2.tar.bz2[/url]

ขั้นตอนที่ 3 แตกแพ็คเกจออกถ้าใครยังไม่ได้ลงโปรแกรม bzip2 ให้ทำการลงซะก่อนมิฉะนั้นจะแตกไฟล์ออกไม่ได้และทำการติดตั้งชุด lamp สำหรับเครื่องแม่ข่ายซะก่อน ขั้นตอนการติดตั้ง lamp อาจจะใช้เวลาสักนิดนึง หากใครมีประสบการ์ณคงหาทางแก้ปัญหาได้จากเอกสารอื่น เนื้อหาในบทความนี้ผู้เขียนขอเล็งไปที่ซอฟต์แวร์หลัก ๆ ของระบบการจัดการข้อมูลการจราจรคอมพิวเตอร์ ตามพรบ.เป็นหลัก อาจจะทำให้มือใหม่งุดหงิดบ้าง ดังนี้

# apt-get install bzip2

# tar xjvf phpsyslogviewer-7.2.1.tar.bz2

# cd phpsyslogviewer-7.2.1

# apt-get install mysql-client mysql-server apache2 php5

# apt-get install php5-mysql php5-ldap php5-cli libapache2-mod-php5

ขั้นตอนที่ 4 ในโฟลเดอร์ install จะมีสคริปที่ใช้ติดตั้งตารางต่าง ๆ ให้กับฐานข้อมูล เราจะต้องทำการสร้างฐานข้อมูลเสียก่อน มิฉะนั้นจะพบกับข้อผิดพลาดและไม่สามารถรันสคริปดังกล่าวผ่านได้

# mysql -u root -p

mysql > create database syslogng;

mysql > exit;

# mysql -u root -p syslogng < install/phpsyslogviewer.sql

ขั้นตอนที่ 5 ปรบมือให้กับตัวเองเราผ่านพ้นขั้นตอนที่ต้องระวังไปขั้นหนึ่ง จากนั้นกำหนดค่าเพื่อสร้างบัญชีรายชื่อผู้ใช้และรหัสผ่านง่าย ๆ ก็ใส่ค่าข้อมูลของผู้ใช้ รหัสผ่าน ชื่อโฮสต์ และ ฐานข้อมูล คิดว่าไม่น่ายาก ดังนี้

# vi install/newuser.sql.php

# php install/newuser.sql.php

# php install/newuser.sql.php | mysql -u root -p syslogng

ขั้นตอนที่ 6 จัดการเวบไดเรคทอรีเพื่อให้สามารถเรียกดูข้อมูลผ่านเวบบราวเซอร์ ใครที่มีประสบการณ์สร้างเวบไซต์มาก่อน งานนี้กินเรียบครับ ทำตามขั้นตอนได้เลย

# cp -R htdocs /var/www/phpsyslogviewer

# vi /var/www/phpsyslogviewer/config.php

# chown root:www-data /var/www/phpsyslogviewer/config.php

# chmod 440 /var/www/phpsyslogviewer/config.php

ขั้นตอนที่ 7 ทดลองเปิดหน้าเวบไซต์ดูหน่อยว่าหน้าตาเป็นอย่างไร ไปที่ [url]http://xxx.xxx.xxx.xxx/phpsyslogviewer[/url]

[img]http://pic.citec.us/out.php/i4335_syslogviewer1.JPG[/img]

จะเห็นว่าหน้าตาดูดีทีเดียว

ขั้นตอนที่ 8 ติดตั้งแพ็คเกจ speedupd-7.3.2 เพื่อเร่งความเร็วให้เอนจิ้นป้อนข้อมูลสู่ฐานข้อมูล mysql ขั้นตอนนี้อาจยุ่งยากนิดหน่อย เพราะต้องทำการคอมไพล์แพ็คเกจด้วยตัวเองใหม่ แต่ไม่เกินความสามารถของเราหรอกครับ ขอย้ำว่าต้องทำนะครับขั้นตอนนี้ มิฉะนั้นใครที่เคยใช้ phpsyslog-ng จะรู้ซึ้งว่าอึดอัดเป็นอย่างไร

# tar xjvf speedupd-7.3.2.tar.bz2

# cd speedup-7.3.2

# apt-get install debhelper cmake libdaemon-dev libconfuse-dev fakeroot

# dpkg-buildpackage -rfakeroot

ขั้นตอนที่ 9 หลังจากผ่านขั้นตอนที่ 8 เราจะได้แพ็คเกจตระกูล debian ชื่อว่า speedupd_7.3.0_i386.debให้ติดตั้งแพ็คเกจและกำหนดค่าให้กับไฟล์ speedupd.confดังนี้

# cd ..

# dpkg -i speedupd_7.3.0_i386.deb

# vi /etc/speedupd.conf

# /etc/init.d/speedupd start

ต่อข้างล่างนะครับ ยาวเกิน

Edkung 10-7-2008 17:52

ขั้น ตอนที่ 10 สบายใจไปอีกขั้นหนึ่งครับ ต่อไปเป็นการกำหนดค่าให้กับ syslog-ng ทำการส่งค่าไปเก็บยังฐานข้อมูลทำตามนี้เลยครับ ง่าย ๆ ผู้เขียนตัดวิธีการเก็บข้อมูลการจราจรคอมพิวเตอร์ส่วนอื่นออก เพื่อให้สามารถทำความเข้าใจได้ง่าย ๆ ครับ หากใครมีไฟล์คอนฟิคเก่าอยู่แล้วก็เพิ่มเติมเฉพาะส่วนที่ต้องการเก็บข้อมูลใน ฐานข้อมู
ลได้เลยครับ

# cd /etc/syslog-ng

# cp syslog-ng.conf syslog-ng.conf.org

# vi syslog-ng.conf

options {

recv_time_zone (+07:00);

send_time_zone (+07:00);

sync (0);

time_reopen (100);

log_fifo_size (1000);

long_hostnames (off);

use_dns (no);

use_fqdn (no);

create_dirs (yes);

chain_hostnames(yes);

keep_hostname (yes);

};

source s_sys {

file ("/proc/kmsg" log_prefix("kernel: "));

unix-stream ("/dev/log");

internal();

udp(ip(0.0.0.0) port(514));

tcp(ip(0.0.0.0) port(514) keep-alive(yes));

};

destination d_mysql { \

pipe("/var/log/mysql.pipe" \

template("INSERT INTO logs \

(host, facility, priority, level, tag, datetime, program, msg) \

VALUES ( '$HOST', '$FACILITY', '$PRIORITY', '$LEVEL', '$TAG', '$YEAR-$MONTH-$DAY $HOUR:$MIN:$SEC', \

'$PROGRAM', '$MSG' );\n") template-escape(yes));

};

filter f_kernel { facility (kern); };

filter f_messages { level(info..emerg) and not (facility(mail) or \

facility(authpriv) or facility(cron)); };

log {source(s_sys); filter(f_messages); destination(d_mysql); };

log {source(s_sys); filter(f_kernel); destination(d_mysql); };

ขั้นตอนที่ 11 สร้างสคริปเพื่อทำไปน์สำหรับส่งค่าสตรีมจากไปน์สู่ฐานข้อมูล งานนี้เป็น bash สคริปครับทำเสร็จต้องเปลี่ยนสิทธิให้รันได้ด้วยอย่าลืม ฟังดูวุ่นวายแต่ทำจริงง่ายมากครับ

#vi syslog2mysql.sh

#!/bin/bash

if [ ! -e /var/log/mysql.pipe ]

then

mkfifo /var/log/mysql.pipe

fi

while [ -e /var/log/mysql.pipe ]

do

mysql -u root --password=radius syslogng < /var/log/mysql.pipe >/dev/null

done

# chmod +x syslog2mysql.sh

# ./syslog2mysql.sh &

# /etc/init.d/syslog-ng start

ทำครบแล้วก็ปรบมือให้ตัวเองครับ ลองมาดูผลงานสิว่าเป็นไงบ้าง เข้าไปหน้าล็อกอินครับ

[img]http://pic.citec.us/out.php/i4336_syslogviewer2.JPG[/img]

จากนั้นป้อนรหัสผู้ใช้พร้อมรหัสผ่านที่ทำไว้ในขั้นตอนที่ 5 ครับ ถ้าหากลืม จากนั้นจะได้หน้าจอต่อไปครับ

[img]http://pic.citec.us/out.php/i4337_syslogviewer3.JPG[/img]

ดูต่อ อยากเห็นเรียลไทม์วิวเวอร์ครับ

[img]http://pic.citec.us/out.php/i4338_syslogviewer4.JPG[/img]

ลองค้นหาดูสิ

[img]http://pic.citec.us/out.php/i4339_syslogviewer5.JPG[/img]

ได้คำตอบตามนี้ครับ

[img]http://pic.citec.us/out.php/i4340_syslogviewer6.JPG[/img]

ดูดีทีเดียวครับ เป็นไงครับ php syslogviewerสู้ซอต์ฟแวร์แพง ๆ จากต่างประเทศได้ไหมอันนี้ต้องพิสูจน์ด้วยตนเองแหละครับ ในส่วนตัวของผู้เขียนดูดีทีเดียวทะเลาะได้กับ kiwi syslog service manager ของวินโดร์ได้ดีเชียวครับ หรือจะใช้สำหรับมอนิเตอร์โปรแกรมจัดส่งข้อมูลการจราจรคอมพิวเตอร์จากอุปกรณ์ อื่น ๆ เช่น สวิตช์ เร้าเตอร์ หรือ อุปกรณ์แอคเซสพอยท์ในระบบก็ทำได้ดีครับ ใช้จริงก็ได้ครับ ผู้เขียนว่าคนไทยเก่งครับ สามารถสร้างเครื่องแม่ข่ายเก็บข้อมูลการจราจรคอมพิวเตอร์ ตาม พรบ.ว่าด้วยการกระทำผิดเกียวกับคอมพิวเตอร์ พ.ศ.2550 ได้ด้วยตนเองครับ ก็มันกฎหมายบ้านเรา ก็ทำมันซะเองสิครับ แค่นี้ก็รอดตัวจากมาตรา 26 ปรับตั้งห้าแสนบาทแล้วครับ ที่สำคัญช่วยลดปัญหาการนำเข้าฮาร์ดแวร์ราคาแพงจากต่างประเทศได้ครับ สงสารพี่น้องเกษตรกรไทยครับไม่รู้จะขายข้าวสารกี่เกวียนจะพอจ่ายเงินซื้อ centralized log จากต่างประเทศสักตัว

[b]ที่มา[/b] [url]http://www.tpit.co.th/[/url]

supakitd at yahoo dot com

บริษัท ไทยพรอสเพอรัสไอที จำกัด

42/1 ถ.พิทักษ์ชาติ ต.ประจวบคีรีขันธ์

อ.เมืองประจวบคีรีขันธ์ จ.ประจวบคีรีขันธ์ 77000

Champ 11-7-2008 11:22

อยากรู้ว่า มันมีแบบที่เป็น เครื่อง พอเราเอาเครื่องนี้ไปเข้ากับ router แล้วใช้ได้เลย อะมีป่าวครับ

Edkung 11-7-2008 12:21

อันนี้ผมก็ไม่แน่ใจเท่าไรในรายละเอียด แต่เห็นว่าแพงมากๆๆๆ เฮ้อ รัฐออก พรบ. ฉบับนี้มา เปิดโอกาสให้พวก 3rd party มีช่องทางหากิน ...

debian: iptables

2008-08-21T06:40:00.000-07:00

แบบใช้ iptables-save + iptables-restore
รันคำสั่งเพื่อสร้างกฎต่าง ๆ
# iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE # iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT # iptables -A FORWARD -d 192.168.0.0/16 -j ACCEPT # iptables -A FORWARD -s ! 192.168.0.0/16 -j DROP
เก็บกฎไว้ที่ไฟล์ /etc/iptables/rules
# mkdir -p /etc/iptables # iptables-save > /etc/iptables

นำกฎมาใช้ตอนเปิดเครื่องใหม่ ผ่าน /etc/network/interfaces
# vi /etc/network/interfaces
```
...
auto eth1
iface eth1 inet static
   address 192.168.5.3
   netmask 255.255.255.0
   network 192.168.5.0
   broadcast 192.168.5.255
   gateway 192.168.5.1
   post-up /sbin/iptables-restore < /etc/iptables/rules
   pre-down /sbin/iptables-save > /etc/iptables/rules
...
```
แบบใช้สคริปต์
สร้างสคริปต์เก็บไว้คือ /usr/local/bin/d.iptables
# vi /usr/local/bin/d.iptables
```
#!/bin/sh
INTERFACE=eth1
INT_NET=192.168.0.0/16
/sbin/iptables -F > /dev/null
/sbin/iptables -t nat -A POSTROUTING -o $PPP_INT -j MASQUERADE
/sbin/iptables -A FORWARD -s $INT_NET -j ACCEPT
/sbin/iptables -A FORWARD -d $INT_NET -j ACCEPT
/sbin/iptables -A FORWARD -s ! $INT_NET -j DROP
```
# chmod 755 /usr/local/bin/d.iptables

นำกฎมาใช้ตอนเปิดเครื่องใหม่ ผ่าน /etc/network/interfaces
# mkdir -p /etc/iptables/ # vi /etc/network/interfaces
```
...
auto eth1
iface eth1 inet static
   address 192.168.5.3
   netmask 255.255.255.0
   network 192.168.5.0
   broadcast 192.168.5.255
   gateway 192.168.5.1
   post-up /usr/local/bin/d.iptables
   pre-down /sbin/iptables-save > /etc/iptables/rules
```
(เวลาจะปรับปรุงสคริปต์ เอาเนื้อความจาก /etc/iptables/rules มาใช้ในการปรับปรุงได้
อ้างอิง - http://debianclub.org/node/156

สคริปท์ บล็อค keyword โดยใช้ Squid คับ เห็นมีคน ถาม

2008-08-21T06:25:00.000-07:00

acl bad url_regex "/var/www/member/block_site.php"
http_access deny bad

ในไฟล์ /var/www/member/block_site.php

ก็จะประกอบไป ด้วยคำหรือเว็บไซต์ที่เราต้องการบล็อคคับ

เช่น
passkey
porn
xxx
bittorrent
torrent
passkey

compile ipp2p บน debian etch ไม่ผ่าน ช่วยทีครับ

2008-08-21T05:55:00.000-07:00

apt-get install linux-headers-2.6.18-4-686 iptables-dev

http://www.thaiadmin.org/board/index.php?topic=58657.new

compile debian lenny support l7

2008-08-19T15:49:00.001-07:00

http://forum.systemnetworkcare.com/index.php?topic=98.0
#ref & Big thank
# http://www.elessar.one.pl/article_kernel2.6.php
# http://suchart.wordpress.com/2008/02/02/kernel-2624-iptables-140-l7-filter-217-ipp2p-082-on-debian-40/
# http://kung1401.hi5.com/friend/profile/displayJournalDetail.do?ownerId=204560961&journalId=41474051
# http://hadyaiinternet.com
# http://siambox.com

#SiamVision Computer & network
#sncvision@hotmail.com

apt-get update
apt-get install build-essential
apt-get install kernel-package
apt-get install libncurses5-dev

cd /usr/src

apt-get install linux-source-2.6.24
wget http://iptables.org/projects/iptables/files/iptables-1.4.0.tar.bz2
wget http://nchc.dl.sourceforge.net/sourceforge/l7-filter/netfilter-layer7-v2.18.tar.gz
wget http://jaist.dl.sourceforge.net/sourceforge/l7-filter/l7-protocols-2008-04-23.tar.gz
wget ftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/patch-o-matic-ng-20080517.tar.bz2

echo "***download complete***"
echo "***Extract archive***"
tar xvzf l7-protocols-2008-04-23.tar.gz
tar xvzf netfilter-layer7-v2.18.tar.gz
tar xvjf patch-o-matic-ng-20080517.tar.bz2
tar xvjf linux-source-2.6.24.tar.bz2
tar xvjf iptables-1.4.0.tar.bz2
echo " done"

echo -n "Start Symbolic link >>>"
ln -s linux-source-2.6.24 linux
ln -s iptables-1.4.0 iptables
echo " done"

echo -n "Patch linux kernel & iptables with l7-filter >>>"
cd /usr/src/linux
patch -p1 < ../netfilter-layer7-v2.18/for_older_kernels/kernel-2.6.22-2.6.24-layer7-2.18.patch  echo -n "Patch iptables" cd ../iptables patch -p1 < ../netfilter-layer7-v2.18/iptables-1.4-for-kernel-2.6.20forward-layer7-2.18.patch chmod +x extensions/.layer7-test echo " done"  echo -n "Patch-o-magic ipp2p&l7&&connlimit" cd ../patch-o-matic-ng-20080517 echo " done" ./runme --download ./runme ipp2p  echo -n "config and compile kernel" cd /usr/src/linux cp /boot/config-2.6.24-1-686 ./.config make menuconfig   make-kpkg clean make-kpkg --initrd --append-to-version=-siamvision kernel_image kernel_headers  dpkg -i linux-image+tab dpkg -i linux-headers+tab  mv /usr/src/l7-protocols-2008-04-23 /etc/l7-protocols  cd /usr/src/iptables make KERNEL_DIR=/usr/src/linux make install  Reboot  Test iptables -m ipp2p --help iptables -m layer7 --help  iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP iptables -A FORWARD -m ipp2p --ipp2p -j DROP    echo -n "bittorent" echo '# Bittorrent announce (tracker)' > /etc/l7-protocols/protocols/bittorrent-announce.pat
echo 'bittorrent-announce' >> /etc/l7-protocols/protocols/bittorrent-announce.pat
echo '^get.+announce.+info_hash=' >> /etc/l7-protocols/protocols/bittorrent-announce.pat
echo " done"

echo " * iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP"
echo " * iptables -A FORWARD -m layer7 --l7proto bittorrent-announce -j DROP"

http://www.opentle.org/th/node/7854

2008-08-19T15:39:00.001-07:00

http://www.opentle.org/th/node/7854

ลองติดตั้ง dns แบบเปลี่ยนค่าได้

2008-08-19T15:19:00.001-07:00

http://www.thaitux.info/node/133

http://download.grisoft.cz/softw/70/update/

2008-08-19T04:48:00.001-07:00

http://download.grisoft.cz/softw/70/update/

การติดตั้ง Samba Server

2008-08-18T17:57:00.000-07:00

ในบทความนี้เป็นการสาธิต การติดตั้ง Samba Server ในแบบพื้นฐานครับ เป็นการ share ข้อมูล

ก่อนอื่นก็ต้องมาตรวจสอบ Package ก่อนครับ

[root@station10 ~]# rpm -qa|grep samba

samba-client-3.0.10-1.4E.6

samba-3.0.10-1.4E.6

system-config-samba-1.2.21-1

samba-common-3.0.10-1.4E.6

[root@station10 ~]# vi /etc/samba/smb.conf

Section [ global ]

Netbios name = MONTREE-SAMBA

Workgroup = Linuxgray

[TESTSHARE]

path = /share

guest ok = yes

writable = yes

comment = My First Share Folder

[root@station10 ~]# mkdir /share

[root@station10 ~]# chmod 777 /share/

[root@station10 ~]# service smb restart

Shutting down SMB services: [FAILED]

Shutting down NMB services: [FAILED]

Starting SMB services: [ OK ]

Starting NMB services: [ OK ]

smbclient –L localhost

แค่นี้ก็เป็นอันเสร็จพิธีครับสำหรับ samba server ลองทำดูครับ

My sources.list for Debian Lenny/Sid

2008-08-18T10:50:00.000-07:00

deb http://ftp.debianclub.org/debian lenny main contrib
deb-src http://ftp.debianclub.org/debian lenny main contrib

###########################################
#Debian Lenny
deb http://ftp.nl.debian.org/debian/ lenny main contrib non-free
deb http://security.debian.org/ lenny/updates main contrib non-free

########################################
#Multimedia support (latest ffmpeg, mplayer, and more)
#http://debian.video.free.fr/index.html
#get the apt GPG key from here : http://www.debian-multimedia.org/faq.php

#testing (Lenny)
deb ftp://ftp.uni-kl.de/debian-multimedia/ testing main
#unstable (Sid)
deb ftp://ftp.uni-kl.de/debian-multimedia/ unstable main
##################################################
#Debian Sid:
deb http://ftp.nl.debian.org/debian/ unstable main contrib non-free
##############################################
#to use unstable repositories (Sid) of Debian to get some of the latest packages
#make an “apt.conf”
#as root:
#nano -w /etc/apt/apt.conf
#Insert this line:
#APT::Default-Release “testing”;
#after an apt-get update you can now do apt-get install -t unstable
#to get a package from the unstable(Sid) repo.
#Of course you can also use this trick for Etch > Lenny
###########################################################

NTPDate: เวลานั้นสำคัญไฉน .

2008-08-18T10:42:00.001-07:00

ที่ ตั้งหัวเรื่องอย่างนี้ก็เพราะสิ่งที่เรากำลังจะมาดูกันก็คือเรื่อง "เวลา" และเจ้าเวลานี่เองที่เป็นต้นเหตุของการเรียนรู้ในครั้งนี้ เรื่องก็มีอยู่ว่า หากเราใช้งานเครื่องคอมพิวเตอร์เราคนเดียว ไม่ต้องติดต่อกับใคร ไม่ต้องส่งข้อมูลให้ใคร เรื่องเวลาเราจะตั้งเป็นเท่าไรก็ได้ ช้าหรือเร็วก็แล้วแต่ชอบใจ แต่เมื่อใดก็ตามที่เราต้องส่งข้อมูลไปยังเครื่องอื่น ๆ และต้องมีการเปรียบเทียบกันว่าข้อมูลตัวไหนเป็นตัวใหม่หรือเก่าแล้วหละก็ ....เกิดปัญหาแล้วสิ.... เพราะการจะเปรียบเทียบกันต้องตั้งอยู่บนฐานเวลาที่ตรงกัน หากช้า หรือเร็วกว่ากัน ก็ส่งผลให้การเปรียบเทียบผิดพลาด

วิธีแก้ปัญหา ... ก็ตั้งเองให้มันตรงกันสิ นั่นมันก็ได้อยู่หรอก แต่มีวิธีที่ดีกว่านั้น เราคงเคยได้ยินเรื่องการตั้งเวลา โดยการรับค่าเวลาจากเซิร์ฟเวอร์เวลา (Time Server) ซึ่งเครื่องที่ขอเวลาจากเซิร์ฟเวอร์ ก็จะได้เวลาที่ตรงกันเอง โดยไม่ต้องออกแรงมากมาย งั้นก็เริ่มลงโปรแกรมเลยละกันครับ

# aptitude install ntpdate

ได้โปรแกรมมาแล้ว ก็เหลือแต่ต้องตั้งค่าต่าง ๆ ให้โปรแกรม แต่ว่าไปแล้วค่าที่ระบบตั้งมาให้ก็ใช้ได้แล้ว อาจจะไม่ต้องแก้อะไรเลย

ลองขอเวลาดู

# ntpdate-debian

31 Jan 00:24:55 ntpdate[10301]: adjust time server 216.162.200.152 offset -0.000195 sec

อาฮ่า.... ได้เวลามาแล้ว แต่ค่อนข้างช้าแฮะ ... ทำไหมเหรอครับ ก็เจ้าเซิร์ฟเวอร์เวลา ที่ตั้งค่ามากับแพ็คเกจ เขาไม่ได้ตั้งสำหรับเราคนไทยใช่ไหมครับ งั้นก็มาใช้ตัวที่อยู่ใกล้ ๆ หน่อยละกันจะได้เร็วหน่อย

# echo "server th.pool.ntp.org" > /etc/ntp.conf

คราวนี้ลองดูใหม่

# ntpdate-debian

31 Jan 00:29:51 ntpdate[10329]: adjust time server 61.19.242.42 offset 0.001380 sec

รอบนี้ได้มาเหมือนกัน เร็วกว่าด้วย

แต่ทว่า โดยพื้นฐานของระบบแล้ว จะเกิดการคลาดเคลื่อนของเวลาตลอดเวลาทีละเล็กทีละน้อย เนื่องจากพื้นฐานความแตกต่างทางด้านฮาร์ดแวร์ ซึ่งมีความแม่นยำต่างกัน ดังนั้นการขอเวลาจากเซิร์ฟเวอร์เวลาตามช่วงเวลาที่กำหนด อาจจะเป็น 1-2 ชั่วโมงต่อครั้ง จึงเป็นความคิดที่ดี

งั้นก็กำหนด
/etc/crond.hourly/updatetime

#!/bin/bash
/usr/sbin/ntpdate-debian > /dev/null
/sbin/hwclock --adjust   # ปรับค่าความแตกต่างเวลาระหว่าง System Time กับ Hardware Clock (RTC)
/sbin/hwclock --systohc # ตั้งค่าเวลา Hardware Clock ตาม System Time

# /etc/init.d/cron restart

ตอนนี้เครื่องของเราก็จะทำการขอเวลาทุก ๆ ชั่วโมงแล้ว

System Time คือเวลาที่ระบบใช้ในขณะที่ลินุกซ์ยังทำงาน โดยจะเป็นคนละส่วนกันกับ Hardware Clock (RTC - Real Time Clock) นั่นหมายความว่า ค่าเวลาที่อานได้จากคำสั่ง date จะมาจาก System Time ไม่ได้มาจาก Hardware Clock โดยหน้าที่ของ Hardware Clock ก็คือจะคอยให้เวลากับลินุกซ์ในขณะเริ่มทำงาน รวมไปถึงขณะที่ลินุกซ์ไม่ได้ทำงานด้วย(ปิดเครื่อง) ดังนั้น การตั้งเวลา Hardware Clock ตาม System Time จึงทำให้เรามั่นใจได้ว่า หากปิดเครื่องไปแล้ว เวลาที่เปิดเครื่องมาใหม่ เรายังมีเวลาของระบบที่ถูกต้องอยู่

มาถึงตอนนี้เราก็ได้เวลาที่ถูกต้องและค่อนข้างแม่นยำมาแล้ว ก็ทำอย่างเดียวกันกับเครื่องแม่ข่ายที่เราจะต้องส่งข้อมูลไปเก็บ และอาจจะต้องมีการเปรียบเทียบเรื่องเวลาของการใช้งาน แก้ไข ไฟล์ คราวนี้ก็ไม่มีปัญหาแล้ว :)

บทความ debian เยอะมากๆ

2008-08-18T10:32:00.000-07:00

http://www.thaitux.info/book/export/html/472

set php บน debian

2008-08-18T03:51:00.000-07:00

apt-get update

You can use either Apache 1.3 or the newer Apache 2. If you are using Apache 1.3, make sure you have the following packages installed

apache
php4
libapache-mod-php4
php4-gd
php4-imagick
php4-mysql
mysql-server

apt-get install apache php4 libapache-mod-php4 php4-gd php4-imagick php4-mysql mysql-server

If you are using Apache 2, you need the following packages instead

apache2-mpm-prefork
libapache2-mod-php4
php4-gd
php4-imagick
php4-mysql
mysql-server

apt-get install apache2-mpm-prefork libapache2-mod-php4 php4-gd php4-imagick php4-mysql mysql-server

การเก็บ log

2008-08-16T07:37:00.000-07:00

การเก็บ log ต้องแบ่งเป็น 2 ส่วน

1. traffic log

2. data log

traffic log จะเป็น log จาก internal ไปยัง external หมายความว่า user ในหน่วยงานเราไปทำอะไรที่ไหนเราต้องมีการจัดเก็บ log ครับ

data log จะเป็น log ของเครื่อง server ภายในหน่วยงานเราที่เราเปิด public ให้คนภายนอกเข้าถึงได้ เช่น mail server , ftp server , web server เพราะเครื่องพวกนี้มีโอกาสที่จะเกิดการกระทำความผิด เช่น มีคนมา post รูปภาพไม่เหมาะสม , ส่ง mail หมิ่นประมาท , อีกหลายกรณี

การจัดเก็บ

data log แค่เอาตัวโปรแกรม agent ที่ใช้ในการยิง log ไฟล์ ไป install ที่เครื่อง server ต่างๆแล้วทำการ point destination ในการจัดเก็บ log file ไปยังเครื่อง centralized log server เป็นอันใช้ได้ครับ ดังนั้น software ที่ต้องติดตั้งที่เครื่อง server ของเราก็ คือ syslog หรือ syslog-ng(syslog new generation) แต่ถ้าเป็น syslog จะมีมาให้กับ ubuntu หรือ linux ค่ายอื่นๆอยู่แล้วนะครับไม่ต้องติดตั้งเพิ่ม แต่ผมแนะนำให้ใช้เป็น syslog-ng มากกว่านะครับ เพราะ syslog-ng สามารถ filter log ได้ว่าต้องการจะจัดเก็บ log อะไรบ้าง , เก็บแค่ไหน , กรองเอาเฉพาะ log ที่ alert เรื่องใด แถมยังสามารถจัดเก็บได้ทั้งแบบ tcp และ udp ซึ่งจะต่างกับ syslog ที่เก็บได้แต่ udp พอร์ต 514 นะครับ

traffic log กรณีเป็นปัญหาหน่อยนะครับ เพราะต้อง implement เยอะมาก(ต้องทำระบบ login)

1. proxy ของโปรโตคอลต่างๆ เช่น squid (web proxy) , frox(ftp proxy) , imspector(im proxy)
* แต่ถ้าจะ implement ตัว imspector ต้องระวังปัญหาเรื่องละเมิดสิทธิส่วนบุคคลนะครับ เพราะมันจัดเก็บข้อความของ user ที่กำลัง chat กันลงไปใน log ด้วยครับ ไม่ได้เก็บแต่ข้อมูลการ connect ถ้าไม่อยากมีปัญหาให้ใช้ iptables ในการ monitor ตัว IM เอง วิธีไปหาเอาจาก net ละกันครับ คงไม่สอน ณ ที่นี้อาจจะยาวไปหน่อย

ประโยชน์: จัดเก็บข้อมูลได้ว่า ใคร ไปทำอะไร ที่ไหน เมื่อไหร่ (แต่ใครใน log ของ proxy ดันระบุเป็น ip address ที่ปลอมได้ง่ายมากถึงมากที่สุด)

2. สืบเนื่องจากข้อ 1 นะครับ ในเมื่อ ip address ไม่มีความน่าเชื่อถือในการระบุตัวตนผู้กระทำความผิด ดังนั้น เราต้องทำระบบ authentication แบบ hotspot ให้ user ในระบบ log in ก่อนเข้าใช้งาน internet ครับ ด้วยเหตุนี้เองทาง admin ต้อง implement ระบบ authentication นะครับ โดย log ของระบบ authentication มันจะเก็บในรูปแบบ

ip address username ที่ login เวลาที่ใช้งาน

ดัง นั้นเมื่อเราเอา log จากข้อ 2 ไป map กับ log จากข้อ 1 เราก็จะทราบผู้กระทำความผิดครับ(จริงๆไปอ่าน พรบ. ให้ละเอียดจะเห็นว่า พรบ.ระบุว่าเราต้องระบุตัวตนผู้ใช้งานได้นะครับ แต่คนมักคิดว่า proxy อย่างเดียวก็พอ )

3. ต่อมา เรื่องที่สำคัญมากจนไม่อาจข้ามไปได้ คือ time server ครับ เพราะนึกเล่นๆนะครับ พนักงานเจ้าหน้าที่มาขอ log เราโดยแจ้งมาว่า ip address ของหน่วยงานเรากระทำความผิดเมื่อวันที่ 25 สิงหาคม ช่วงเช้าๆ แต่เวลาในเครื่อง log เราดันเป็นวันที่ 11 มกราคม 2499 ยังงี้ท่านอาจซวยได้นะครับ เพราะไม่ยอม sync เวลาให้ตรงกับเครื่อง time server ดังนั้นเราต้องติดตั้งโปรแกรม ntp ที่เครื่องจัดเก็บ log และเครื่อง server ต่างๆนะครับ

ถาม: ต้อง sync เวลาเครื่อง server ของเราทุกเครื่องไปยังเครื่อง time server ที่เป็น stratum0 บน internet เลยหรือเปล่าครับ

ตอบ: ไม่ครับ ทำงั้นเดี๋ยวเวลามันจะ delay เกิน 10 ms เพราะต้อง วิ่งไป sync กับเครื่อง time server บน net หมดยังงี้ไม่ไหว ให้แก้ไขโดยตั้งเครื่อง server ในหน่วยงานมา 1 เครื่องเอาไป sync เวลาไปยัง time server ที่เป็น stratum 0 (หรืออาจจะ sync ไปยังเครื่องของ กรมอุทกศาสตร์ , สถาบันมาตรวิทยา ที่เป็น stratum1 ก็ได้ครับ ถือว่าหยวนๆ) แล้วเราค่อยให้เครื่อง server เครื่องอื่นๆ sync time กับเครื่อง internal time server อีกทีนึงเวลาจะได้ ไม่ delay

Centralized log เครื่องนี้ควรจะต้องมี harddisk ใหญ่หน่อยนะครับเอาไว้จัดเก็บ log

software:

1. syslog-ng ---> เอาไว้รับ log จากเครื่อง server (ตาม พรบ. ถือว่าเป็น data archive)

2. openssl ---> เอาไว้ encrypt log ไม่ให้ใครเข้ามาแก้ไข (ตาม พรบ. คือป้องกันการแก้ไข)

3. md5 ---> เอาไว้ hashing ตาม พรบ.

สรุป: ต้องใช้ software ดังนี้

1. squid(web proxy)

2. frox(ftp proxy)

3. iptables(ตั้งค่าให้เก็บ log IM ซึ่งหารายละเอียดเองนะครับว่าทำไง)

4. radius server(เก็บ user account ในระบบ)

5. ระบบ authentication (มีเพียบเลย ซึ่ง 1 ในหลายๆตัวและเป็นที่นิยมใช้งาน คือ chillispot)

6. syslog-ng (เอาไว้ทำ centralized log server และเอาไว้ติดตั้งที่เครื่องลูกเพื่อยิง log)
*เอ้อ! ลืมไป ถ้าเป็นเครื่อง windows ใช้ snare หรือ kiwi syslog ในการทำ syslog server และ syslog agent ได้นะครับ

7. ntp เอาไว้ sync เวลา

เอาแค่นี้ก่อนนะครับ ลง detail มากกว่านี้จะเยอะไป ลองไปศึกษาดูก่อนค่อยว่ากันอีกที

โชคดีครับ

โครงการเก็บข้อมูลจราจร (Traffic Data) ด้วยซอฟต์แวร์โอเพนซอร์สโดย SIPA และ ATSI

2008-08-16T07:31:00.000-07:00

โครงการเก็บข้อมูลจราจร (Traffic Data)ด้วยซอฟต์แวร์โอเพนซอร์สโดย SIPA และ ATSI

สำนักงานส่งเสริมอุตสาหกรรมซอฟต์แวร์แห่งชาติ(องค์การมหาชน) หรือ SIPA ได้ร่วมมือกับสมาคมซอฟต์แวร์ไทย
หรือ ATSI ดำเนินการจัดฝึกอบรมผู้ประกอบการในการติดตั้งและให้บริการคำปรึกษาระบบเก็บข้อมูลจราจร(Traffic Data)
ตามพรบ.การกระทำผิดด้วยคอมพิวเตอร์ พ.ศ. 2550 ด้วยซอฟต์แวร์โอเพนซอร์สโดยจัดการอบรมรุ่นละ 5 วัน
(วันพุธ-วันอาทิตย์)ตั้งแต่เวลา 8.30-16.30 น. กำหนดจัดอบรมจำนวน 6 รอบ รอบละ 30 คน โดยไม่มีค่าใช้จ่ายใดๆ
ทั้งสิ้น พร้อมอาหารว่างและอาหารกลางวัน

สามารถติดต่อจองการอบรมและส่งใบสมัครหรือสอบถามรายละเอียดได้ที่
คุณธัญฐิวา โตตณากานต์ ปุ้ย)
โทรศัพท์: 08 9051 3756
e-mail: thantiwa [-AT-] gmail.com

ดาวน์โหลดรายละเอียดโครงการและใบสมัคร

ดาวน์โหลดคู่มือการติดตั้ง

ดาวน์โหลด CD Image

การเก็บข้อมูลจราจรด้วย Syslog-NG,NTP
MD5SUMS : 1a9c3861dc5e4c1194e7184146930a11 Log Server 2.0.iso
การติดตั้งระบบยืนยันตัวตน(Authentication) ด้วย Chillispot
MD5SUMS : 2bfd9970ade6a35ed5c138634461f720 Debian 8.iso

ดาวน์โหลด Configuration Files

การเก็บข้อมูลจราจรด้วย Syslog-NG

ดาวน์โหลด Slides

ดาวน์โหลดเอกสารอื่นๆ

การแก้ปัญหา Ubuntu/Debian ไม่ Boot บน Dell Optiplex 320

Squid + Radius authentication

2008-08-16T03:37:00.000-07:00

ดาวน์โหลด squid_radius_auth จาก

http://www.squid-cache.org/contrib/squid_radius_auth/squid_radius_auth-1.09.tgz

เมื่อได้แล้วก็

# tar -zxvf squid_radius_auth-1.09.tgz
# cd squid_radius_auth-1.09
# make clean
# make install

แก้ไข /usr/local/squid/etc/squid_radius_auth.conf

server xx.xx.xx.xx
secret yoursecret

แก้ไข /etc/services เพราะ Radius server ของเราใช้พอร์ท 1645/1646
เอาคอมเมนต์ออกหน้า

radius 1645/udp #RADIUS authentication protocol (old)
radacct 1646/udp #RADIUS accounting protocol (old)

พร้อมทั้งใส่คอมเมนต์ที่

#radius 1812/udp #RADIUS authentication protocol (IANA sanctioned)
#radacct 1813/udp #RADIUS accounting protocol (IANA sanctioned)

แก้ไข /usr/local/squid/etc/squid.conf

auth_param basic program /usr/local/squid/libxec/squid_rad_auth -f /usr/local/squid/etc/squid_rad_auth.conf
auth_param basic children 5
auth_param basic realm KBU.NET Web Authentication
auth_param basic credentialsttl 2 hours
acl AuthorizedUsers proxy_auth REQUIRED
.
.
# Allow authorized users
# ==========================
http_access allow all AuthorizedUsers

ntop โปรแกรม monitor network

2008-08-15T09:01:00.001-07:00

วิธีติดตั้งและใช้งานก็ตามนี้เลย...

# apt-get install ntop
# ntop --set-admin-password เพื่อกำหนด password เวลาเข้าใช้งานในส่วนของ admin ของ program
# เปิด browser พิมพ์ http://localhost:3000 เพื่อเรียกใช้โปรแกรม ntop ก็จะปรากฎว่าเข้าใช้ไม่ได้ ผ่างงง.....ง!!!! ก็มันยังไม่ได้ start service นี่เฟ้ย(ปั๊ดโธ่!)
# /etc/init.d/ntop start เพื่อเป็นการstart service
เปิด browser แล้วก็พิมพ์งี้ http://localhost:3000
ว่ะ ฮะ ฮ่ะๆๆ! สำเร็จ
- ถ้า จะเข้าใช้งานบางส่วนของ program (ส่วนadmin) จะมีการถาม password ให้กรอก password ตามที่ได้ตั้งไว้ตั้งแต่ต้น ส่วน username ให้กรอกว่า admin
- ถ้า จะให้ work ควรลง program นี้ที่ gateway จะทำให้ดู traffic การใช้งานเครือข่ายของเราได้ทั้งหมด ว่าเครื่องไหนมีพฤติกรรมการใช้งานเครือข่ายยังไงบ้าง เช่น เครื่อง 192.168.20.11 มีพฤติกรรม ยิง packet ออก internet เป็นจำนวนมากอย่างต่อเนื่อง ในฐานะ admin ก็ block ซะ หมั่นไส้!!! เวลาเรียกใช้งานก็ไม่ต้องไปนั่งหน้า gatewayนะ ใช้comเครื่องไหนก็ได้ แล้วก็พิมพ์ http://192.168.20.254:3000 (สมมติว่า ip นี้เป็น ip ของ gateway)

ติดตั้ง Shorewall บน Ubuntu

2008-08-13T17:50:00.001-07:00

อ้างอิง http://www.ubuntuclub.com/node/529

ติดตั้ง Firewall - อันนี้เป็นสิ่งจำเป็นเช่นเดียวกัน คุณสามารถบล๊อกการติดต่อทั้งหมดจากภายนอกได้ ยกเว้นพอร์ตที่คุณต้องการจะเปิดไว้ เวปเซิฟเวอร์จะใช้พอร์ต 80 และ ssh ใช้ พอร์ต อะไรก็ได้ที่คุณตั้งใน /etc/ssh/sshd_config (ค่าปกติอคือ 22 )

สำหรับ firewall ใน Ubuntu จะมีให้เลือกอยู่ 2 ตัว ถ้าคุณยังคงใช้เครื่องนี้เป็น desktop ต่อไปด้วย คุณอาจใช้ FireStarter เป็น graphical firewall manager แต่ถ้าคุณใช้เครื่องนี้เป็นเซิฟเวอร์อย่างเดียว คุณอาจเลือก Shorewall เพราะคุณสามารถแก้ไขจาก command line (ไม่แน่ใจว่า Firestarter จะสามารถใช้ command line ได้หรือเปล่าไม่เคยลอง) ในการติดตั้ง Shorewall ให้พิมพ์บันทัดต่อไปนี้:

sudo apt-get install shorewall

จากนั้นพิมพ์คำสั่งต่อไปนี้:

cd /usr/share/doc/shorewall/default-config
sudo cp interfaces /etc/shorewall/
sudo cp policy /etc/shorewall/
sudo cp rules /etc/shorewall/
sudo cp zones /etc/shorewall/

โดยการใช้คำสั่งในการแก้ไข (เช่น sudo nano หรือ sudo gedit) คุณต้องแก้ไขไฟล์ 4 ไฟล์ ให้เพิ่มบันทัดนี้ก่อนบันทัดสุดท้ายของ /etc/shorewall/interfaces:

net eth0 detect

เพิ่มบันทัดนี้ก่อนบันทัดสุดท้ายของ /etc/shorewall/zones:

net ipv4

คุณจะต้องมีบันทัดที่เขียนว่า "fw firewall" อยู่ใน zones file ให้ใส่บันทัดต่อไปนี้ก่อนบันทัดสุดท้ายของ /etc/shorewall/policy:

fw net ACCEPT net all DROP info all all REJECT info

และเพิ่มบันทัดเหล่านี้ไปยังไฟล์ /etc/shorewall/rules ของคุณหลังจาก SECTION NEW line:

#change "22" to the port you used for ssh if not the default one: ACCEPT net fw tcp 22 ACCEPT net fw tcp www,https

เปลี่ยนจาก 22 ไปเป็นพอร์ตที่คุณจะใช้สำหรับ ssh ให้เอาคำว่า ",https" ออก ถ้าคุณไม่คิดว่าจะติดตั้ง ssh module ใดๆ สำหรับ apache
webserver (เพื่อความปลอดภัยในการทำธุรกรรมซื้อขาย) สุดท้ายแก้ไขไฟล์ /etc/default/shorewall โดยเปลี่ยนบันทัดที่มีคำว่า startup=0 เป็น:

startup=1

คุณสามารถเปิด firewall โดยใช้คำสั่ง:

sudo invoke-rc.d shorewall start

ส่วนตัวเลือกอื่นๆ คุณสามารถผ่านไปยัง invoke-rc.d รวมถึงการ start, stop, และ restart

หมวดหมู่: วิทยาศาสตร์ เทคโนโลยี

ผมจะทำ Server สำหรับให้บาง user สามารถเข้าอินเตอร์เน็ตได้

2008-08-13T09:59:00.000-07:00

# iptables -A FORWARD -m mac --mac-source A1:B1:C1:D1:E1:F1 -s 192.168.0.11 -j ACCEPT
# iptables -A FORWARD -m mac --mac-source A2:B2:C2:D2:E2:F2 -s 192.168.0.12 -j ACCEPT
# iptables -A FORWARD -j DROP

คำสั่งเฝ้ามองระบบ Linux

2008-08-13T08:34:00.001-07:00

vmstat เช่น vmstat -d
lsof เช่น lsof /bin/bash
ps เช่น ps -aF , ps -ef
คำสั่ง top
คำสั่ง htop ให้ติดตั้งโปรแกรม htop ก่อนด้วยคำสั่ง apt-get htop จากนั้นเรียกใช้งาน htop ผ่าน command line ได้เลย
คำสั่ง fuser
คำสั่ง w และ who
คำสั่ง last
คำสั่ง iptables -L -v
คำสั่ง netstat เช่น netstat -lnup
คำสั่ง iptraf ต้องติดตั้งโปรแกรม iptraf ก่อนด้วยคำสั่ง
apt-get install iptraf จากนั้นเรียกใช้งานด้วยคำว่า iptraf
คำสั่ง watch เช่น watch arp -e

สงสัยเรื่อง ไฟล์วอล

2008-08-13T08:12:00.000-07:00

# iptables -L

หรือจะถามถึงพอร์ตที่เปิดรับ service ทั้งหมด ณ ปัจจุบัน?
$ apt-get install nmap
$ nmap 127.0.0.1
$ nmap your ip

IPTABLES เป็น Firewall พื้นฐานของ Linux เกือบทุก Distro

2008-08-12T09:34:00.001-07:00

IPTABLES เป็น Firewall พื้นฐานของ Linux เกือบทุก Distro และให้ประสิทธิภาพที่สูงมากในการ Filtering Traffic และ การป้องกันการ Attack ต่างๆ โดยที่จะมีตัวอย่างพอสังเขป ดังนี้

เปิดการใช้งาน IP Forward ป้องกัน Syn Flood และ อนุญาติให้มีการใช้งานแบบ Dynamic IP (ต่อเนต DSL ทั่วไป)
[root@localhost]#echo 1 > /proc/sys/net/ipv4/ip_forward
[root@localhost]#echo 1 > /proc/sys/net/ipv4/tcp_syncookies
[root@localhost]#echo 1 > /proc/sys/net/ipv4/ip_dynaddr

Drop Packet ก่อนหน้านี้ทั้งหมด
[root@localhost]#iptables -F INPUT
[root@localhost]#iptables -F FORWARD
[root@localhost]#iptables -F OUTPUT
[root@localhost]#iptables -P INPUT DROP
[root@localhost]#iptables -P FORWARD DROP
[root@localhost]#iptables -P OUTPUT ACCEPT
[root@localhost]#iptables -A INPUT -i lo -j ACCEPT

อนุญาติเฉพาะ SSH, SMTP, DNS, Web Services, SSL และ POP3 ให้ผ่านเข้าออก
[root@localhost]#iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@localhost]#iptables -A INPUT -p tcp --dport 22 --syn -j ACCEPT
[root@localhost]#iptables -A INPUT -p tcp --dport 25 --syn -j ACCEPT
[root@localhost]#iptables -A INPUT -p tcp --dport 53 --syn -j ACCEPT
[root@localhost]#iptables -A INPUT -p udp --dport 53 --syn -j ACCEPT
[root@localhost]#iptables -A INPUT -p tcp --dport 80 --syn -j ACCEPT
[root@localhost]#iptables -A INPUT -p tcp --dport 443 --syn -j ACCEPT
[root@localhost]#iptables -A INPUT -p tcp --dport 110 --syn -j ACCEPT

ป้องกันการ scan ports
[root@localhost]#iptables -N check-flags
[root@localhost]#iptables -F check-flags
[root@localhost]#iptables -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level alert --log-prefix "NMAP:"
[root@localhost]#iptables -A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
[root@localhost]#iptables -A check-flags -p tcp --tcp-flags ALL ALL -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS:"
[root@localhost]#iptables -A check-flags -p tcp --tcp-flags ALL ALL -j DROP
[root@localhost]#iptables -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS-PSH:"
[root@localhost]#iptables -A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
[root@localhost]#iptables -A check-flags -p tcp --tcp-flags ALL NONE -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "NULL_SCAN:"
[root@localhost]#iptables -A check-flags -p tcp --tcp-flags ALL NONE -j DROP
[root@localhost]#iptables -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/RST:"
[root@localhost]#iptables -A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
[root@localhost]#iptables -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/FIN:"
[root@localhost]#iptables -A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

ป้องกันการ flood SSH (SSH Brute Force)
[root@localhost]#iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
[root@localhost]#iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 600 --hitcount 2 -j DROP

ห้าม ping
[root@localhost]#iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j DROP

ห้าม traceroute
[root@localhost]#iptables -A INPUT -p ICMP -i eth0 --icmp-type 11 -j DROP

Protect Syn Flood
[root@localhost]#iptables-N syn-flood
[root@localhost]#iptables -A syn-flood -i ppp0 -m limit --limit 75/s --limit-burst 100 -j RETURN
[root@localhost]#iptables -A syn-flood -j LOG --log-prefix "SYN-FLOOD: "
[root@localhost]#iptables -A syn-flood -j DROP

REDIRECT PORT 10080 to 80
[root@localhost]#iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.xxx.xxx:10080
[root@localhost]#iptables -A FORWARD -p tcp -i ppp0 -d 192.168.xxx.xxx --dport 80 -j ACCEPT (192.168.xxx.xxx = ip ของเรา)
[root@localhost]#iptables -A FORWARD -p tcp -i ppp0 -d 192.168.xxx.xxx --sport 80 -j ACCEPT

Transparent Proxy
[root@localhost]#iptables -t nat -A PREROUTING -p TCP --dport 80 -j REDIRECT -to-ports 3128

ดูข้อมูลของ CPU

2008-08-12T09:16:00.000-07:00

cat /proc/cpuinfo

Ubuntu : iptables rule

2008-08-12T08:59:00.001-07:00

เป็นความรู้ที่ได้รับจากพี่ต๊อกถ่ายทอดมาให้อีกที เป็นเรื่องเกี่ยวกับการตั้งกฏของโปรแกรม iptables ใน Ubuntu

ซึ่งโดยปรกตินั้นเจ้า Ubuntu มันก็จะมีโปรแกรม iptables ติดตั้งมาให้เลยตอนที่ลงโปรแกรม แต่ว่ามันไม่ได้สร้างกฏเกณฑ์อะไรมาให้ทั้งนั้น ซึ่งก็คือมันไม่สามารถป้องกันอะไรได้เลย (แล้วมันจะติดมาให้ทำไมหว่า)

เมื่อก่อนเคยใช้ linux ตระกูลพวก Red hat ซึ่งถ้าหากต้องการเขียนกฏเกณฑ์อะไรของ Firewall ก็เข้าไป edit กฏเอาตรงเลยที่ /etc/sysconfig แล้วเปิดไฟล์ iptables edit กฏกันตรงๆ เลย

แต่พอมาใช้ Ubuntu มันกลับไม่มีเจ้าไฟล์นี้มาให้ คราวนี้ก็ไปไม่ถูกเลยสิครับท่าน เลยไม่ได้ทำอะไรกับ firewall ทั้งนั้น

แล้วความซวยก็มาถึง เหมือนนิยายนำ้เน่าเลย

เหมือนโดนล้วงคอ

คุมเครื่่อง Server อยู่มาเป็นปีเป็นชาติ

สุดท้ายโดนจนได้ เจอมือดีมันเข้ามาล้วงข้อมูลในเครื่อง Server เลยแถมมันยังลบข้อมูลเราด้วย

สุดท้ายจับไม่ได้ไล่ไม่ทัน ก็ต้องยอมมันไป ต้องเสียเวลามากู้ระบบอีก เอาข้อมูลกลับมาอีก เหนื่อยเลย

แล้วสุดท้ายก็ถึงบางอ้อว่า นี่เองความสำคัญอย่างหนึ่งของ Firewall ก็เลยต้องหันมาให้ความสำคัญกับมันแบบจริงๆ จังๆ อย่างมากๆ เลย สุดท้ายก็ได้พี่ต๊อกมาสอนเรื่องการสร้างกฏเพื่อป้องกันขึ้นพื้นฐานเอาไว้ให้ พออุ่นใจได้บ้างก็ดีว่าไม่มีเลย

สำหรับ Ubuntu มันไม่มีไฟล์ /etc/sysconfig/iptables ก็ไม่เป็นไร ก็สร้างไฟล์ขึ้นมาเองเลย สร้างไว้ที่ไหนก็ได้ยกตัวอย่างเช่น สร้างไว้ที่ home ของ user ก็ได้ ตั้งชื่อว่า iptables.firewall ก็แล้วกัน โดยการสร้างไฟล์นี้ทำได้โดย

# sudo iptables-save >  iptables.firewall

เราก็จะได้ไฟล์ iptables.firewall ซึ่งจะบรรจุ pattern ของกฏเปล่าๆ ขึ้นมา จากนั้นก็ทำการแก้ไฟล์โดยใสกฏป้องกันเบื้องต้นดังนี้

# pico /home/phisan/iptables.firewall

จากนั้นทำการ edit file นี้โดยใส่ pattern ต่างๆ ดังนี้เช่น


# Generated by iptables-save v1.3.5 on Mon Feb 19 21:47:01 2007
*filter
:INPUT ACCEPT [1665:126682]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [911:121420]
# Completed on Mon Feb 19 21:47:01 2007

#@Allow httpd service ------------------------------------------------
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT

#@Allow admin computer to remote login -----------------------------
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -s xx.xx.xx.xx -j ACCEPT

#@Allow ftp service from any where -----------------------------------
-A INPUT -i eth0 -p tcp -m tcp --dport 21 -s 0/0 -j ACCEPT

-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j DROP
-A INPUT -i eth0 -p icmp -j DROP
-A INPUT -i eth0 -j DROP
COMMIT

อธิบายกฏอย่างคร่าว คือ

-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT

คือบริการให้เครื่องต่างๆ สามารถเรียกใช้บริการ ผ่าน port 80 ได้ซึ่งก็คือ port ของ web

-A INPUT -i eth0 -p tcp -m tcp --dport 22 -s xx.xx.xx.xx -j ACCEPT

คือเปิดบริการให้เฉพาะเครื่องที่มีหมายเลย ip xx.xx.xx.xx สามารถทำการ ssh เข้ามาได้เท่านั้น

-A INPUT -i eth0 -p tcp -m tcp --dport 21 -s 0/0 -j ACCEPT

คือเปิดบริการ ftp ได้จากทุกที่ และทุกเครื่อง สามารถเรียกใช้บริการนี้ได้

-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j DROP

คือการปิดให้บริการ ssh ในกรณีที่มี request ที่นอกเหนือจากการอนุญาติโดยกฏข้างบน

-A INPUT -i eth0 -p icmp -j DROP

คือการปิดการให้บริการ ping ไม่ว่าเครื่องใดๆ ที่ทำการ ping เข้ามาจะไม่มีการตอบรับจากเครื่องนี้

-A INPUT -i eth0 -j DROP

คือส่วนที่ใช้สำหรับเก็บตกจากฏต่างๆ ข้างบน คือถ้านอกเหนือจากกฏข้างบนแล้วจะทำการ Drop package ที่วิ่งเข้ามาทั้งหมดทิ้งไป

ความจริงยังมีกฏอีก แต่เอาแค่นี้ก่อนแล้วกัน เดี๋ยวชาวบ้านรู้ไต๋หมดไม่ได้

แต่แค่นี้ยังไม่จบ ต้องทำให้เจ้าตัว iptables รับรู้กฏที่เราสร้างขึ้นโดยการใช้คำสั่ง

# sudo iptables-restore <>

หรือว่าจะคำสั่งนี้ไปใส่ใน rc.local ก็ได้จะได้ทำการ load rule นี้ให้กับ iptables แบบอัตโนมัติ ทุกครั้งที่ boot เครื่องเลย

Iptables : SSH Brute force attack

2008-08-12T08:55:00.001-07:00

สำหรับคนที่ใช้ iptables นะครับ กรณีที่ยังไม่ได้ใช้ความสามารถ ของ recent module ใน iptables การป้องกันในอีกวิธีหนึ่งคือ นับจำนวน connection ในช่วงเวลาหนึ่งและ block ซึ่งก็เป็นวิธีที่ใช้การได้ดีในระดับหนึ่ง
ลองเอาไปใช้ดูนะครับวิธีการมีมากมาย ขึ้นอยู่กับความเหมาะสม และ การนำไปใช้นะครับ แต่ไม่ได้หมายความว่าจะดีที่สุด เราก้ต้องศึกษาหาข้อมูลกันต่อไป

iptables -A INPUT -m tcp -p tcp --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m tcp -p tcp -s My.local.Lan.0/24 --dport 22 -j ACCEPT iptables -A INPUT -m tcp -p tcp -s Trusted.Internet.Machine --dport 22 -j ACCEPT iptables -A INPUT -m tcp -p tcp --dport 22 -m state --state NEW -m limit --limit 1/min --limit-burst 2 -j ACCEPT iptables -A INPUT -m tcp -p tcp --dport 22 -j LOG --log-prefix SSHBRUTE iptables -A INPUT -m tcp -p tcp --dport 22 -j DROP

ความหมายคร่าวๆ
The effect is that the firewall will only admit two (for example) incoming new SSH connections per minute (it will reset the “burst” counter every minute).

My Firewall Config:

2008-08-12T05:30:00.000-07:00

################################
iptables -A INPUT -p tcp --dport 80 -j ACCEPT    //apache
iptables -A INPUT -p tcp --dport 443 -j ACCEPT    //apache ssl
iptables -A INPUT -p tcp --dport 53 -j ACCEPT    //dns - udp for large queries
iptables -A INPUT -p udp --dport 53 -j ACCEPT    //dns - udp for small queries
iptables -A INPUT -p tcp --dport 953 -j ACCEPT    //dns internal
iptables -A INPUT -p tcp --dport 1080 -j ACCEPT    //dante socks server
iptables -A INPUT -d 136.201.1.250 -p tcp --dport 22 -j ACCEPT      //sshd
iptables -A INPUT -d 136.201.1.250 -p tcp --dport 3306 -j ACCEPT    //mysql
iptables -A INPUT -d 136.201.1.250 -p tcp --dport 8000 -j ACCEPT    //apache on phi
iptables -A INPUT -s 136.201.1.250 -p tcp --dport 8080 -j ACCEPT   //jboss for ejc
iptables -A INPUT -d 136.201.1.250 -p tcp --dport 993 -j ACCEPT    //imaps
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 111 -j ACCEPT       //to speed up mail via courier. Identified via logging
iptables -A INPUT -d 136.201.1.250 -p tcp --dport 139 -j ACCEPT   //samba
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 143 -j ACCEPT    //squirrelmail
iptables -A INPUT -p tcp --dport 4949 -j ACCEPT   //munin stats
iptables -A INPUT -p tcp --dport 25 -j ACCEPT    //incoming mail
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT  //squid
iptables -A INPUT -p udp --dport 161 -j ACCEPT  //snmpd
iptables -A INPUT -p icmp -j ACCEPT  //Allow ICMP Ping packets.
iptables -A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED -j ACCEPT
iptables -A INPUT -j REJECT
#################################
iptables-save > rules-saved
iptables-restore rules-saved

เอาคำสั่ง iptables-restore <>

ตัวอย่างประมาณนี้ครับ โดยจะมี keyword 4 อันครับคือ pre-up post-up pre-down post-down
รายละเอียด ลอง $ man interfaces ดูครับ

auto eth0
iface eth0 inet static
address blablabla
netmask blablabla
gateway blablabla
post-up iptables-restore < rulesfile
pre-down iptables-save > rulesfile

debian: iptables

2008-08-12T05:29:00.001-07:00

iptables บนเดเบียน มี 2 วิธี (จริง ๆ มีหลายวิธีมาก)

แบบใช้ iptables-save + iptables-restore
รันคำสั่งเพื่อสร้างกฎต่าง ๆ
# iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE # iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT # iptables -A FORWARD -d 192.168.0.0/16 -j ACCEPT # iptables -A FORWARD -s ! 192.168.0.0/16 -j DROP
เก็บกฎไว้ที่ไฟล์ /etc/iptables/rules
# mkdir -p /etc/iptables # iptables-save > /etc/iptables

นำกฎมาใช้ตอนเปิดเครื่องใหม่ ผ่าน /etc/network/interfaces
# vi /etc/network/interfaces
```
...
auto eth1
iface eth1 inet static
   address 192.168.5.3
   netmask 255.255.255.0
   network 192.168.5.0
   broadcast 192.168.5.255
   gateway 192.168.5.1
   post-up /sbin/iptables-restore < /etc/iptables/rules
   pre-down /sbin/iptables-save > /etc/iptables/rules
...
```
แบบใช้สคริปต์
สร้างสคริปต์เก็บไว้คือ /usr/local/bin/d.iptables
# vi /usr/local/bin/d.iptables
```
#!/bin/sh
INTERFACE=eth1
INT_NET=192.168.0.0/16
/sbin/iptables -F > /dev/null
/sbin/iptables -t nat -A POSTROUTING -o $PPP_INT -j MASQUERADE
/sbin/iptables -A FORWARD -s $INT_NET -j ACCEPT
/sbin/iptables -A FORWARD -d $INT_NET -j ACCEPT
/sbin/iptables -A FORWARD -s ! $INT_NET -j DROP
```
# chmod 755 /usr/local/bin/d.iptables

นำกฎมาใช้ตอนเปิดเครื่องใหม่ ผ่าน /etc/network/interfaces
# mkdir -p /etc/iptables/ # vi /etc/network/interfaces
```
...
auto eth1
iface eth1 inet static
   address 192.168.5.3
   netmask 255.255.255.0
   network 192.168.5.0
   broadcast 192.168.5.255
   gateway 192.168.5.1
   post-up /usr/local/bin/d.iptables
   pre-down /sbin/iptables-save > /etc/iptables/rules
```
(เวลาจะปรับปรุงสคริปต์ เอาเนื้อความจาก /etc/iptables/rules มาใช้ในการปรับปรุงได้)

ICMP iptables

2008-08-12T05:09:00.000-07:00

หลังจากลงเสร็จ เราก็มาเริ่มกันเลยดีกว่า
ก่อนอื่น สมมุติว่าเราอยากจะปิดเครื่องเราโดยสมบูรณ์แบบ แบบว่าชาตินี้ข้าไม่ต้องการคุยกะชาวบ้าน ชาวช่องอีกเลย ก็ให้สั่งว่า
> iptables -A INPUT -i eth0 -j DROP
ถ้าสั่งแบบนี้ แปลว่าเราไม่รับ package ใดๆ ที่เข้ามาทาง eth0 เลย (ก็ไม่ฟังชาวบ้านหน่ะละ)

note: eth0 ก็คือ LAN Card ตัวที่ 1 ของเรา ถ้ามีตัวอื่นๆ อีกก็ไล่ไปเรื่อย
note2: ถ้าไม่ได้อยู่หน้า console อย่าไปสั่ง command นี้เชียว เดี๋ยวจะเป็นเรื่อง

ที นี้มันเป็นไปได้หรือ? ที่จะไม่คุยกะชาวบ้านชาวช่องเลย คำตอบคือ เป็นไปไม่ได้ครับ แล้วทีนี้จะทำไงละ? ก็ต้องปิดเป็นจุดๆ ไป เช่น สมมุติว่า เราไม่อยากให้ชาวบ้านเค้า ping เราเจอ เราก็จะสั่งว่า

> iptables -A INPUT -p icmp -j DROP
มัน แปลว่า ถ้ามีอะไรก็ตามที่เป็น icmp เข้ามา ก็ให้ drop ทิ้งไป ไม่ต้องสนใจ ที่นี้ ถ้าสมมุติว่าเรามี LAN Card หลายตัว เกิดอยากปิดแค่บางตัวจะทำยังไง เราก็ต้องผสมคำสั่งเข้าไปซิครับ ย้อนกลับไปดูอันบนกันหน่อย ผมมี -i eth0 อยู่ใช่ม่ะ? เราก็เอาไอ้ -i eth0 นี่ละ มาใส่เข้าไปเลย กลายเป็น

> iptables -A INPUT -i eth0 -p icmp -j DROP
คราวนี้มันก็จะแปลได้ว่า ถ้ามี icmp เข้ามาทาง eth0 เมื่อไหรให้ drop ทิ้งไป แต่ถ้ามาทางอื่นๆ ก็ไม่ต้องทำอะไร (คือปล่อยไปตามปกติ)

คราวนี้มาดูความหมายกันมั่งว่าไอ้ parameter แต่ละตัวเนี่ย มันคืออะไรกันบ้าง? เริ่มจาก

: -A INPUT ไอ้เข้า -A INPUT เนี่ย มันหมายถึงขาเข้า ทีนี้มีขาเข้ามันก็ต้องมีขาออก ก็เปลี่ยนจาก -A INPUT เป็น -A OUTPUT เท่านั้นเองครับ ถ้าเราใช้ -A ต่อๆ กันหลายๆ คำสั่ง มันก็จะเอา rule ไปต่อท้ายเรื่อยๆ ถ้าหากต้องการแทรก ให้ใช้ -I INPUT 1 แทน ซึ่งถ้าใส่ 1 มันจะเติมเข้าไปเป็นตัวแรกสุดเลย

: -i eth0 ใช้ได้กะ -A INPUT เท่านั้น เอาไว้ระบุว่าจะให้ดู package ที่ LAN Card ตัวไหน อีกตัวที่เป็นไปได้คือ -o eth0 ก็จะใช้ได้กะ -A OUTPUT เท่านั้นเหมือนกัน

: -p icmp ไอ้ตัวนี้ละที่จะเป็นตัวกำหนดเลยว่าเราจะ monitor protocal ประเภทไหน เช่น icmp (ping), tcp, udp หรือว่าอื่นๆ ถ้าเป็น tcp หรือว่า udp เราสามารถกำหนด port เพิ่มเติมได้ด้วย parameter -dport 80 หรือ -sport 80 สองตัวนี้ต่างกันตรงที่ว่า ตัวนึงไว้ใช้กะ -A INPUT (-dport 80) ส่วนอีกตัวไว้ใช้กะ -A OUTPUT (-sport 80)

: -J DROP ไอ้เจ้าตัวนี้ละสำคัญที่สุด มันจะเป็นตัวที่บอกว่า ถ้ามี package เข้ามาตามเงื่อนไขที่ระบุไว้ในบรรทัดนี้แล้ว จะให้ทำยังไง เป็นไปได้คือ DROP, ACCEPT, REJECT, REDIRECT ซึ่งที่เราสนใจจะมีสองตัวคือ DROP กะ ACCEPT ความหมายก็ตามชื่อมันเลย DROP ก็ช่างหัวมัน ทิ้งไปโล้ด ส่วน ACCEPT ก็รับมาเข้ามาแล้วจะจัดการยังไงต่อเป็นอีกเรื่องนึง

: -F อันนี้รุนแรงสุดละ มันคือคำสั่งที่จะลบ rule ทั้งหมดที่เคยทำไว้ ถ้าเกิดทำๆ ไปแล้วเจ๊งก็สามารถ reset ได้ด้วยวิธีนี้ครับ

วิธี set iptables บน linux แบบง่ายๆ

2008-08-12T03:46:00.000-07:00

ACCEPT = ยอมให้ผ่าน

DROP = ไม่สนใจแพ็กเกต

REJECT = ไม่สนใจเหมือนกัน แต่ จะแจ้งให้ เราทราบ

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j ACCEPT

iptables -A OUTPUT -p tcp -s 192.168.0.0/24 -j DROP

iptables -A OUTPUT -p tcp -d 192.168.0.0/24 -j DROP

#### ถ้าต้อง การให้ firwall ปล่อยให้ port ไหน ผ่าน ให้ เปลี่ยน ตัวเลขของ port

iptables -A FORWARD -p tcp -s 192.168.0.0/24 --destination-port 80 -j ACCEPT

iptables -A FORWARD -p tcp -d 192.168.0.0/24 --destination-port 80 -j ACCEPT

#### Block MSN

iptables -A INPUT -p tcp -s 192.168.0.0/24 --destination-port 1836 -j DROP

iptables -A INPUT -p tcp -d 192.168.0.0/24 --destination-port 1836 -j DROP

iptables -A FORWARD -p tcp -s 192.168.0.0/24 --destination-port 1836 -j DROP

iptables -A FORWARD -p tcp -d 192.168.0.0/24 --destination-port 1836 -j DROP

ปัญหาเรื่อง function บน MySQL 5.x

2008-08-11T17:29:00.000-07:00

shell> mysql_upgrade -u root -p
shell> mysql_fix_privilege_tables --password=root_password
mysql> SET GLOBAL log_bin_trust_function_creators = 1;

สำเร็จครับ error ที่เจอหายเป็นปลิดทิ้ง ดังตัวอย่าง

################
[root@mysqlserver ~]# ps -aux |grep mysql
mysql   690  0.0  0.1  3456  1408 con- I     7:45AM   0:00.01 /bin/sh /usr/local/bin/mysqld_safe --defaults-extra
mysql   791  0.0  1.2 57904 23896 con- S     7:45AM   0:00.29 [mysqld]
root   1391  0.0  0.1  3308  1108  p0  S+    8:14AM   0:00.00 grep mysql
[root@mysqlserver ~]# mysqladmin -u root password 'xxxxxxxx'
[root@mysqlserver ~]# mysql_upgrade -u root -p
Enter password:
Looking for 'mysql' in: mysql
Looking for 'mysqlcheck' in: mysqlcheck
Running 'mysqlcheck'...
mysql.columns_priv                                 OK
mysql.db                                           OK
mysql.event                                        OK
mysql.func                                         OK
mysql.general_log
Error    : You can't use locks with log tables.
status   : OK
mysql.help_category                                OK
mysql.help_keyword                                 OK
mysql.help_relation                                OK
mysql.help_topic                                   OK
mysql.host                                         OK
mysql.ndb_binlog_index                             OK
mysql.plugin                                       OK
mysql.proc                                         OK
mysql.procs_priv                                   OK
mysql.servers                                      OK
mysql.slow_log
Error    : You can't use locks with log tables.
status   : OK
mysql.tables_priv                                  OK
mysql.time_zone                                    OK
mysql.time_zone_leap_second                        OK
mysql.time_zone_name                               OK
mysql.time_zone_transition                         OK
mysql.time_zone_transition_type                    OK
mysql.user                                         OK
Running 'mysql_fix_privilege_tables'...
OK
[root@mysqlserver ~]# mysql_fix_privilege_tables --password=xxxxxxxx
This script updates all the mysql privilege tables to be usable by
the current version of MySQL

done
[root@mysqlserver ~]# mysql -u root -p
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 16
Server version: 5.1.22-rc-log FreeBSD port: mysql-server-5.1.22

Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql> SET GLOBAL log_bin_trust_function_creators = 1;
Query OK, 0 rows affected (0.00 sec)

mysql>

NTPDate: เวลานั้นสำคัญไฉน ....

2008-08-10T09:03:00.000-07:00

# aptitude install ntpdate

ลองขอเวลาดู

# ntpdate-debian

31 Jan 00:24:55 ntpdate[10301]: adjust time server 216.162.200.152 offset -0.000195 sec

# echo "server th.pool.ntp.org" > /etc/ntp.conf

คราวนี้ลองดูใหม่

# ntpdate-debian

31 Jan 00:29:51 ntpdate[10329]: adjust time server 61.19.242.42 offset 0.001380 sec

รอบนี้ได้มาเหมือนกัน เร็วกว่าด้วย

งั้นก็กำหนด
/etc/crond.hourly/updatetime

#!/bin/bash
/usr/sbin/ntpdate-debian > /dev/null
/sbin/hwclock --adjust   # ปรับค่าความแตกต่างเวลาระหว่าง System Time กับ Hardware Clock (RTC)
/sbin/hwclock --systohc # ตั้งค่าเวลา Hardware Clock ตาม System Time

# /etc/init.d/cron restart

ตอนนี้เครื่องของเราก็จะทำการขอเวลาทุก ๆ ชั่วโมงแล้ว

ตั้งเวลาด้วย at

2008-08-10T08:59:00.000-07:00

คำสั่ง at เป็นคำสั่งที่เอาไว้สั่งให้ โปรแกรม อื่นๆทำงานตามเวลา ที่กำหนด ซึ่งบางทีเรายังไม่อยากให้มันทำ ณ. เวลาปัจจุบัน เช่น จำเป็นจะต้องโหลดโปรแกรมขนาดใหญ่ แต่ก็ยังเป็นช่วงเวลาทำงานอยู่ เกรงว่าคนอื่นจะได้รับผลกระทบ ก็เลยต้องเลื่อนเวลาออกไปโหลดตอน ห้าทุ่ม แต่ก็กลัวลืม และคงรอไม่ไหว คำสั่งนี้ช่วยได้

การใช้คำสั่งนี้ก็ง่ายนิดเดียว โดยเรียกคำสั่งแล้วตามด้วยเวลา แล้ว enter หน้าจอจะขึ้นบรรทัดใหม่ ตรงนี้ให้ใส่คำสั่งที่ต้องการจะให้ทำงาน เสร็จแล้วจะออกจากโปรแกรม at ก็ให้กด Ctrl+d ก็จะออกจากโปรแกรม at พร้อมแจ้ง job และเวลาที่จะทำงาน ดังตัวอย่าง
wutthiphan@enigma:~$ at 23:00 warning: commands will be executed using /bin/sh at> wget -b -c ftp://ftp.au.debian.org/pub/debian-cd/4.0_r0/debian-40r0-i386-DVD-2.iso (กด CTRL+D) job 4 at Fri Apr 20 23:00:00 2007

เราสามารถตรวจสอบ job ที่ยังค้างอยู่ด้วยคำสั่ง atq และหากต้องการลบ job ทิ้งก็สามารถใช้คำสั่ง atrm ได้
ใช้คำสั่ง atq ดู job ที่ยังไม่ได้ทำ
wutthiphan@enigma:~$ atq 4 Fri Apr 20 23:00:00 2007 a wutthiphan
จากด้านบนมี job หมายเลข 4 รอการทำงานที่เวลา 23:00 น. หากต้องการลบก็สามารถสั่ง atrm และตามด้วย job id เช่น
wutthiphan@enigma:~$ atrm 4

การตั้งเวลาแบบต่างๆ เพื่อความยืดหยุ่นในการใช้งานขอยกตัวอย่างสักเล็กน้อยดังนี้

ตั้งให้ทำงานเวลา หกโมงเช้า วันจันทร์
at 6am monday

ตั้งให้ทำงานในอีก 30 นาทีข้างหน้า
at now + 30 minutes

ตั้งให้ทำงานเวลา ตีสี่ ในอีก 3 วันข้างหน้า
at 4am + 3 days

ตั้งให้ทำงานเวลา 8 โมงเช้า ของวันที่ 27 เมษายน
at 8am April 27

ที่สำคัญเพื่อให้คำสั่ง at ทำงานได้ service atd นั้นต้องทำงานอยู่ด้วย start service atd โดยสั่งดังนี้
# /etc/init.d/atd start

การ dump ข้อมูลใน MySQL ให้ถูกต้องตาม Character-set

2008-08-10T08:12:00.000-07:00

ธีการใช้คำสั่งก็ คือ

mysqldump --default-character-set=latin1 -h MySQLserver -u username -p DBName >DBName.sql

ใช้คำสั่ง sed s/latin1/tis-620/g db_name_tbl.sql > db_name_tbl1.sql

สร้าง databases ให้เป็น tis620

นำ db_name_tbl1.sql มา dump เข้าฐานข้อมูล

การติดตั้ง shoutcast เป็น video streaming

2008-08-10T06:45:00.000-07:00

แบ่งเป็น 2 ฝั่ง
1. ฝั่ง server
เริ่มต้นให้ทำการ fetch เอาไฟล์ shoutcast-1-9-5-freebsd5-elf.tar.gz มา เอาจากที่นี่ก็ได้ครับ
#fetchhttp://bsd.psru.ac.th/book2/shoutcast/shoutcast-1-9-5-freebsd5-elf.tar.gz
จริง ๆ แล้วมีใน ports นะครับ จะอยู่ที่ /usr/ports/audio/shoutcast แต่เท่าที่ลองดูมะแจ่มครับ มะรู้ว่าเพราะผม set ไม่เป็นหรือเปล่า - -"
จากนั้นก็ทำการแตกไฟล์ออกครับ
#tar zxvf shoutcast-1-9-5-freebsd5-elf.tar.gz
เข้าไปใน folder ที่แตกออกมา
#cd shoutcast-1-9-5-freebsd5-elf
จากนั้นให้ทำการแก้ไขไฟล์ sc_serv.conf โดยมีรายละเอียดหลัก ๆ ดังนี้
ตรง password=changme ให้เปลี่ยน changme เป็น password ของเราครับ จะเป็น password ที่เครื่องลูกจะใช้ตอน stream ส่งข้อมูลเข้ามาครับ
ตรง ;AdminPassword=adminpass ให้เอาเครื่องหมาย ; ออก แล้วตรง adminpass ให้เปลี่ยน password ของผู้ดูแลครับ
เสร็จเรียบร้อยการ config เบื่องต้น จากนั้นสั่งให้ shoutcast server ทำงานโดยสั่ง
#./sc_serv
เรียบร้อยครับฝั่ง server

2. ฝั่ง stream client
ก่อนอื่น download โปรแกรม nsvtools ลงมาก่อน จาก url นี้ครับ
http://www.nullsoft.com/nsv/nsvtools-setup.exe
พอ download มาแล้วก็ทำการติดตั้งเลยครับ แนะว่าที่เก็บโปรแกรมให้เปลี่ยนจากของเดิมที่จะเอาไปเก็บใน c:\Program Files\NSVtools เป็น C:\NSVtools เฉย ๆ ดีกว่าครับเวลาเข้าไปสั่งให้ทำงานหรือ config จะง่ายกว่าครับ
หลังจากติดตั้งเสร็จแล้วก็เริ่ม config กันเลยครับไปที่ dos promtp (windows ที่สูงกว่า me ไปที่ start --> run ---> พิมพ์ cmd กด ok, windows ตั้งแต่ me ลงมา ไปที่ start --> run ---> พิมพ์ command --> กด ok) จากนั้นไปยัง directory ที่เราติดตั้งโปรแกรมลงไป (ของผมติดตั้งใน C:\NSVtools)
ที่ command line
#cd \
#cd NSVtools
#nsvenc /config
จะปรากฏหน้าตาแบบนี้ครับ ให้เรากำหนดค่าตามใจชอบได้เลยครับ (แล้วแต่มั่ก) จากนั้นคลิ๊กที่ NSV Encoder Configuration จะปรากฏหน้าจอประมาณนี้ขึ้นมา ให้เราตั้งค่าประมาณนี้ครับ ส่วนสำคัญจะอยู่ที่ Audio Format กับ Video แนะนำว่าให้ตั้งตามนี้ครับ
เสร็จแล้วครบการ config นั้นทำการ encoder ไฟล์ media ของเราได้เลยครับ ทำการ copy ไฟล์ที่เราจะ encoder ไปเก็บไว้ที่ที่เราติดตั้งโปรแกรมไว้ ผมเก็บไว้ที่ C:\NSVtools ครับ ซึ่งการ encoder รูปแบบมาตรฐานจะมีรุปแบบดังนี้้ครับ
#nsvenc input.นามสกุล output.nsv
สมมติว่าผมมีไฟล์ชื่อ video.mpg ผมก็จะสั่งดังนี้
#nsvenc video.mpg video.nsv
มันก็จะทำการ encoder ไฟลืให้เรา หาก error ให้ทำการ config ค่า encoder ใหม่ครับ
หลังจากเสร็จเรียบร้อยให้ทำการสร้าง folder ขึ้นมา 1 folder และทำการ ย้ายไฟล์ video.nsv ไปเก็บไว้ที่ folder นั้น เช่นผมเก็บไฟล์ video เกี่ยวกับกิจกรรมผมก็จะตั้งชื่อว่า activity (จะอยู่ที่ C:\NSVtools\activity)
จากนั้นให้เราทำการสร้างไฟล์ headers.txt ขึ้นมาโดยมีรายละเอียดในไฟล์ดังนี้
###### รายละเอียดในไฟล์ headers.txt #############
changeme <-== รหัสผ่านที่จะ connect ไปที่ shoutcast server ที่เรากำหนดไว้ตั้งแต่ตอนแรกอ่ะครับ (ฝั่ง server)
content-type:video/nsv
icy-metadata:0
icy-name:My NSV Stream <-== ใส่รายละเอียด อันนี้แล้วแต่มัก
icy-genre:Video
icy-pub:0
icy-br:128
icy-url:http://www.shoutcast.com <-== ใส่ url ของ web เรา อันนี้แล้วแต่มัก
icy-irc:#chan
icy-icq:1234567
icy-aim:SomeUser
icy-reset:1
#### จบ #####
จากนั้นทำการ save และนำไปเก็บไว้ที่ C:\NSVtools เรียบร้อยแล้วเราก็เริ่มบรรเลงเพลงยุทธิ์ได้เลยครับ โดยสั่งดังนี้
#nsvscsrc 192.168.1.1:8001:headers.txt activity
เมื่อ 192.168.1.1 คือ ip เครื่อง shoutcast server และ 8001 คือ port ของ shoutcast ที่เราตั้งไว้ 8000 (ให้เพิ่มขึ้นอีก 1) และ activity คือ directory ที่เราเอาไฟล์ media ที่เรา encode เสร็จแล้วไปเก็บไว้ครับ
เรียบร้อยครับ โอย เสร็จซะที่ - -" หลัก ๆ ก็ตามนี้ถ้าติดปัญหาค่อยมา Post ถามอีกทีครับ ตอนนี้ผมขอตัวเอาเครื่องคอมพ์ไปติดให้ User ก่อน โอยเหนื่อย เมื่อไหร่หลวงพี่จะสึกเนี่ย

ทำเองได้ centralized log แถมวิวได้ด้วย php syslogviewer

2008-08-10T06:05:00.001-07:00

http://www.tpit.co.th/

backup mysql database ด้วย mysqldump

2008-08-10T05:18:00.000-07:00

สำหรับ database เล็กๆ ใช้ phpmyadmin ก็สะดวกดี แต่ถ้า database ขนาดใหญ่ หลายล้าน records ล่ะ ก็คงไม่สะดวก ยิ่ง Server config ให้ PHP เป็น safe mode ก็จะมีปัญหากับ time-out ซึ่งทำให้ใช้ phpMyAdmin ไม่ได้

เขียน PHP scripts ให้ backup database โดยการ generate เป็น ไฟล์ SQL เก็บเอาไว้
มันก็ใช้งานได้ดีอยู่.. แต่มันทำงานได้ช้ามาก (เกือบ 1 ชั่วโมง สำหรับ database ขนาด 300 MB)

สำหรับการ backup database ขนาดใหญ่แล้ว ผมคิดว่า mysqldump นั้นมีประสิทธิภาพมากที่สุดแล้ว
ทั้งๆที่มากับ mysql อยู่แล้ว ทำไมจึงมองข้ามก็ไม่รู้ :) วันนี้ก็เลยมาลองใช้สิ่งที่ MySQL จัดเตรียมมาให้แล้ว

การ backup
คำสั่งสำหรับ backup ฐานข้อมูล ของ mysql คือ mysqldump รูปแบบการใช้งานมีดังต่อไปนี้

shell> mysqldump [options] db_name [tables]
shell> mysqldump [options] --databases db_name1 [db_name2 db_name3...]
shell> mysqldump [options] --all-databases

สำหรับรายละเอียดของ options ต่างๆ ดูที่ http://dev.mysql.com/doc/refman/5.0/en/mysqldump.html

ตัวอย่างการใช้งาน

#mysqldump -u root -p mydatabase > db.sql

สำหรับบน Linux และ NetWare จะมี mysqlhotcopy ให้ใช้ด้วย พัฒนาโดยคุณ Tim Bunce เขียนด้วย PERL เพราะท่านเล่น lock และ flush จากนั้นก็ copy file มาซะงั้น

การ restore

#mysql -u root -p database <>

ง่ายๆ และรวดเร็วดี :)

Links
How to backup a MySQL database with mysqldump แนะนำ
mysqldump man page
8.12. mysqldump — A Database Backup Program

Comodo Firewall

2008-08-10T02:54:00.000-07:00

http://ninkungz.exteen.com/20080527/defense-comodo-firewall

ป้องกันการโจมตีด้วย SSH

2008-08-08T06:29:00.000-07:00

เปลี่ยน port ที่ใข้ใน /etc/ssh/sshd_config

# aptitude install fail2ban
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
# vi /etc/fail2ban/jail.local
...
[DEFAULT]
ignoreip = 127.0.0.1  # เป็น ip ที่จะไม่มีการ Ban โดยเด็ดขาด
bantime = 1440        # เป็นเวลาที่จะ Ban IP ครับ ค่าเริ่มต้น 600 วินาที = 10 นาที
                    # น้อยไปก็เปลี่ยนได้ครับ 1440 วินาที = 1 วัน
                    # หรือ -1 สำหรับการ Ban IP ตลอดไป จนกว่าจะ Reboot
maxretry = 3          # ให้ผู้ไม่ประสงค์ดี หรือแม้แต่เราเอง ลองได้กี่ครั้ง
...
[ssh-ddos]
enabled = true       # ผมเปลี่ยนจาก false เป็น true เพื่อเพิ่มการตรวจสอบ SSH DoS
port     = ssh, sftp
filter     = sshd-ddos
...

แก้ไขเสร็จ สั่งเริ่ม Service ใหม่

# /etc/init.d/fail2ban restart

ผลคือ

# cat /var/log/fail2ban.log ... 2007-09-17 18:33:15,860 fail2ban.actions: WARNING [ssh] Ban 125.24.142.28 2007-09-17 18:34:25,008 fail2ban.actions: WARNING [ssh] Ban 60.191.41.108 ...

ความสามารถของ fail2ban ยังไม่หมดแค่การตรวจสอบ และปิดกั้นสำหรับ SSH เท่านั้น ยังมีอีกหลาย Service ที่ fail2ban สามารถเฝ้ายามให้ได้ ไม่ว่าจะเป็น apache, vsftpd, proftpd, postfix, couriersmtp, named (DNS) เป็นต้น

หลังจากวันนี้ไป... ใครจะมาโจมตีก็ทำได้ยากซักหน่อยละครับผม :)

#####################################################################

ตัวโปรแกรม fail2ban
มันจะเป็นโปรแกรมจำพวกป้องกันการพยายาม login
เข้าใช้งานระบบจากผู้ไม่ประสงค์ดี หลักการง่ายๆสมมติเครื่อง server
ของเราเปิดให้มีการ secure shell เข้ามาใช้งานจากภายนอกได้
ถ้าเราไม่ลงโปรแกรมจำพวก fail2ban สิ่งที่อาจจะเกิดขึ้น คือ
วันดีคืนดีอาจจะโดน hack เข้ามาใช้งาน server ได้ โดย hacker
มันอาจจะใช้โปรแกรมสุ่ม username,password ช่วยในการเจาะระบบ
ถ้าเผอิญดวงตก hacker มันสามารถได้ username,password เราไป
ก็เป็นอันว่าได้อุทาน "เอ้า! ซวยล่ะสิ" แน่ๆเลย
ก็เพราะยังงี้แหละเลยมีคนคิดโปรแกรมแบน ip ขึ้นมา

หลักการทำงานของตัวโปรแกรม คือ มันจะไปอ่าน log ไฟล์ของระบบอยู่เป็นระยะๆ ว่ามีคนที่พยายาม login เข้าระบบแล้ว fail ติดๆกันมั๊ย เช่น ถ้าเราตั้งค่าคอนฟิคของตัวโปรแกรมหลังจากที่ได้ติดตั้งไว้ว่า ถ้า login แล้ว fail ครบ 3 ครั้งก็ให้แบน ip เบอร์นั้นแ_ร่งไปเลยสักปีนึง ถ้ามีคน login แล้ว fail เข้าให้จริงๆ ทุกๆครั้งที่ fail ข้อมูลการ fail จะถูกเก็บเป็น log ไฟล์เอาไว้ และโปรแกรม fail2ban มันก็จะคอยอ่าน log ไฟล์อยู่เป็นระยะๆ ถ้าเจอ host ไหนปรากฎอยู่ใน log ว่า login แล้ว fail ครบตามจำนวน มันก็จะไปแก้ iptables ให้ block ipaddress นั้นไปเลย ซึ่งพอ ban ครบตามกำหนดเวลาที่ได้ตั้งไว้ในไฟล์ configure ตัว fail2ban ก็จะไปแก้ค่า iptables ให้ ip นั้นสามารถ access เข้ามาใช้งานได้ตามเดิม

วิธีใช้งาน

step1: $sudo aptitude install fail2ban ---> ติดตั้ง fail2ban

step2: $sudo gedit /etc/fail2ban.conf ---> เปิดไฟล์ configure ขึ้นมาแก้ไข

* option ในส่วนต่างๆที่สำคัญมีดังนี้

maxfailures = 5 ---> ในส่วนนี้หมายถึง connect แล้ว fail ครบ 5 ครั้งแล้วให้แบน ip(ของผมตั้งไว้ 2)

bantime = 600 ---> หมายถึงให้แบนเป็นเวลา 600 วินาที (ของผมกรอกเป็นหมื่นเลย)

ignoreip = 192.168.20.0/24 ---> หมายถึง ip ในวงนี้ไม่ต้องไปสนใจแบนเพราะว่าอยู่ใน lan วงเดียวกัน(ช่างมันละกันฟะ หยวนๆ)

** ถ้าต้องการให้มันส่ง mail มาแจ้งเตือนด้วยก็ให้ไปที่หัวข้อ [mail] แล้วแก้ดังนี้

enable = true

host = mail.sipa.or.th ---> เครื่องที่จะใช้ส่ง mail(อันนี้ตามสะดวกครับ ใครใช้อันไหน)

port = 25 ---> port ของ mail

#####################special option add by rooney##################

AUTHREQUIRED = true

smtpuser = rooney@sipa.or.th ---> กรอก email address ของเราลงไป

smtppassword = abcd ---> กรอก password ของ email address เราลงไปครับ

###########################################################

from = rooney@sipa.or.th ---> mail ถูกส่งมาจาก rooney@sipa.or.th

to = rooney@hotmail.com ---> ให่ส่ง mail แจ้งเตือนไปที่ rooney@hotmail.com

step3 : $sudo /etc/init.d/fail2ban restart ---> restart สักรอบก่อนใช้งาน

*ส่วนข้างล่างนี้ คือ เนื้อหาใน mail ที่ fail2ban ส่งมาถึงผมเวลาเจออะไรไม่ชอบมาพากลครับ

Hi,

The IP 125.18.166.180 has just been banned by Fail2Ban after
3 attempts against ssh.

Here are more information about 125.18.166.180:

% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 125.18.166.0 - 125.18.166.255
netname: ANARFIN2187-srt
descr: ANAR FIN ENGINEERS PVT. LTD
descr: 905,World Trade Center
descr: Ring Road
descr: Surat
descr: Gujarat
descr: India
descr: Contact Person: Mr. Umesh
descr: Email: urn@yahoo.co.in
descr: Phone:null
country: IN
admin-c: NA40-AP
tech-c: NA40-AP
mnt-by: MAINT-IN-BBIL
status: ASSIGNED NON-PORTABLE
changed: techsupport@bharti.com 20060405
source: APNIC

route: 125.18.166.0/24
descr: BHARTI-IN
descr: Bharti Tele-Ventures Limited
descr: Class A ISP in INDIA .
descr: 234 , OKHLA PHASE III ,
descr: NEW DELHI
descr: INDIA
country: IN
origin: AS9498
mnt-by: MAINT-IN-BBIL
changed: techsupport@bharti.com 20050812
source: APNIC

person: Network Administrator
nic-hdl: NA40-AP
e-mail: techsupport@bharti.com
address: Bharti Infotel Ltd.
address: ISP Division - Long Distance - Telesonic
address: 234 ,
address: Okhla Ind. Area,
address: Phase III
address: New Delhi,
address: INDIA-110020
phone: +91-11- 5171 0131
fax-no: +91-11- 5171 1050
country: IN
changed: techsupport@bharti.com 20040911
mnt-by: MAINT-IN-BBIL
source: APNIC

Regards,

Fail2Ban

* นี่ก็เนื้อหาใน email อีกฉบับที่ส่งมาถึงผมครับ

Hi,

The jail apache-noscript has been started successfuly.

Regards,

Fail2Ban

เนื่องด้วย fail2ban นอกจากจะมอนิเตอร์ดูการ access เข้ามายังเครื่องได้แล้ว มันยังสามารถมอนิเตอร์ดู process ของโปรแกรมได้อีกด้วยนะครับ
แต่ว่ามอนิเตอร์ได้เป็นบางโปรแกรมนะครับ ถ้าอยากจะให้มันมอนิเตอร์โปรแกรมใดก็ให้ไปตั้งค่า enable = true ตรงโปรแกรมนั้นเป็นอันใช้ได้

***เรื่องเล่าจากการใช้งานจริง***

จากการที่ได้ทดลองใช้งานดูนะครับ(ผมตั้งค่า maxfailures = 2)

1. กรณีเครื่องที่เราใช้เป็น client เป็น linux ถ้าเกิดเราทำการ ssh ไปยังเครื่องอื่นแล้วกรอก password ผิดครบ 3 ครั้ง(3 ครั้งถ้วนๆไม่ขาดไม่เกิน) จะโดนเตะออกจากระบบ ไม่ว่าเครื่องที่เปิดให้ login จะลง fail2ban หรือเปล่า

rooney@rooney:~$ ssh root@192.168.20.182
root@192.168.20.182's password:
Permission denied, please try again.
root@192.168.20.182's password:
Permission denied, please try again.
root@192.168.20.182's password:
Permission denied (publickey,password).
rooney@rooney:~$

* ปัญหาอยู่ตรงนี้ครับ คือ ผมตั้งค่า maxfailures ไว้ที่ 2 ครั้ง ซึ่งที่ผมเข้าใจผมคิดว่าพอกรอกรหัสผิดครบ 2 ครั้งแล้ว จะโดนแบนทันทีไม่มีการขึ้น prompt มาให้กรอก password ใดๆทั้งสิ้น แต่พอเอาเข้าจริงพอกรอกผิดไป 2 ครั้งมันก็ยังดันขึ้น prompt มาให้กรอก password อีก ไอ้เราก็คิดต่อว่า "อ๋อ มันคงขึ้นprompt มาให้กรอกเฉยๆแต่คงเข้าไม่ได้เพราะน่าจะโดนแบนไม่ให้เข้าตั้งกะผิดครั้งที่ 2 แล้วแหงมๆ" แต่พอเอาเข้าจริง พอกรอก 2 ครั้งแรกผิด แต่ว่ากรอกครั้งที่ 3 ถูก ก็ดัน login เข้าเครื่องได้ซะงั้น เล่นเอาอึ้งกิมกี่ไปชั่วขณะ พอหลังจากมีเวลาทำใจสักพักก็เลยรู้ว่า "ฮั่นแน่! login ได้แต่ว่ามันใช้งานไม่ได้นี่หว่า"

สรุปก็คือ โดย default ของโปรแกรม ssh ใน linux มันจะให้กรอก password ผิดได้ 3 ครั้ง ดังนั้นถึงเราจะกรอกผิดไป 2 ครั้งมันก็จะยังขึ้น prompt มาให้กรอกอีก และถ้ากรอกครั้งที่ 3 ถูกก็ยังจะสามารถ login ได้ด้วย แต่จะทำอะไรกับระบบไม่ได้เลยเพราะโดนแบนโดย fail2ban ตั้งกะกรอก password ผิดครั้งที่ 2 ครับ และถ้าโดนแบนแล้ว ถ้าพยายาม ssh อีกรอบคราวนี้จะโดนแบนตั้งกะตอนแรกเลย คือ จะไม่มี prompt ขึ้นมาให้ถาม password สักกะแว๊ปนึงเลย

2. กรณีเครื่องที่เราใช้เป็น client เป็น windows แล้วใช้โปรแกรม putty เป็นโปรแกรมในการ ssh มันจะสามารถกรอก password ได้ถึง 7 ครั้งครับ แต่ก็จะโดนแบนตั้งกะกรอกผิด 2 ครั้งเหมือนกันครับ ถึง login ได้ก็ใช้งานไม่ได้

***จบแล้วจ้า***

Debian:Install eBox package on Debian

2008-08-07T12:31:00.001-07:00

 การติดตั้ง eBox on Debian แบบปกติ วิธีนี้มีความเสี่ยงตรงที่ว่า หาก Connect ของ Net หลุดเมื่อไหรก็จะต้องเริ่มใหม่ หรือไม่ อาจโชคร้ายกว่านั้นต้องลง Debian ใหม่ด้วย สิ่งที่จะต้องทำมีดังนี้
 1. ติดตั้ง debian เอาเฉพาะ Kernel
 2. Initial Source List กระทำโดย ใช้ VI Editor ก็ได้ โดยหากจะใช้ VI ก็กระทำโดย

       vi  /etc/apt/sources.list   ไม่แนะนำให้ใช้ nano Editor เพราะอาจเปิดปัญหาที่ ตัว Debian อาจหาตัว Server
ของ eBox ไม่เจอได้

  เมืื่อเปิด VI ขึ้นมาแล้วก็ให้เพิ่มข้อความไป 3 บรรทัด ให้กด ESC แล้วตามด้วยตัว I เพื่อเข้าสู่โหมด Editor

        deb http://ebox-platform.com/debian/stable/ ebox/
       deb http://ebox-platform.com/debian/stable/ extra/
       deb http://ebox-platform.com/debian/sarge/stable/ security/

  เมื่อพิมพ์เสร็จ ก็ให้กด ESC แล้วพิมพ์ :wq เพื่อทำการบรรทึกแล้วออกจากหน้านั้น

  3. ทำการติดตั้ง Package โดย  พิมพ์
             $ apt-get update
             $ apt-get install ebox libebox ebox-network ebox-objects ebox-mail ebox-firewall
ebox-trafficshaping ebox-samba ebox-dns ebox-dhcp ebox-squid ebox-usersandgroups ebox-software
ebox-ntp ebox-printers ebox-jabber ebox-ca ebox-openvpn

  4. รอจนกว่าจะติดตั้งเสร็จ
 5. เราสามารถทดสอบได้ว่า Package ที่ลงไปนั้นใช้ได้หรือไม่นั้นได้  โดย https://localhost:443/

การเปิดปิด Service ตอนที่บูทเครื่องขึ้นมา

2008-08-07T12:13:00.000-07:00

Debian มีเครื่องมือมาให้ครับ rcconf ติดตั้ง ใช้คำสั่ง
# apt-get install rcconf

สอน linux

http://linux.sothorn.org/node/235

http://61.7.157.250/debian/html/

ทดลองติดตั้ง apache2 mysql5 phpmyadmin

2008-08-07T12:04:00.000-07:00

ผมติดตั้ง Debian จากแผ่น cd รุ่น stable
โดยเลือก ติดตั้ง webserver และ desktop เพิ่มเติม
การติดตั้งผ่านไปเรียบร้อย ต่อมาได้ติดตั้งเพิ่มเติม ดังนี้

# apt-get install apache2 php5 libapache2-mod-php5 mysql-server mysql-client php5-mysql phpmyadmin

แต่พอเรียกใช้งาน http://ip-address/phpmyadmin
กลับพบหน้าต่างให้เลือก download หรือ save แทนที่จะแสดงหน้าโปรแกรม

แก้ไขตามที่หาเจอใน google แล้วแต่ยังเหมือนเดิม
ผมคงพลาดหรือข้ามขั้นตอนอะไรไปแน่ๆ
รบกวนแนะนำด้วยครับ ขอบคุณครับ

ปรกติหากลงผ่านระบบ apt มันจะ config ให้แล้วครับ แต่ที่ทำไม่ได้เพราะว่าเรายังไม่ได้ทำ link ไปยังที่อยู่ของ phpmyadmin ครับ ลองเข้าไปตามนี้ดูนะครับ

# cd /var/www
# ls

ดูว่ามี directory phpmyadmin อยู่หรือเปล่าครับ ถ้าไม่มีก็ลองหาไดเร็กทอรีที่เก็บ phpmyadmin ไว้ครับโดยปรกติจะอยู่ที่ /usr/share/phpmyadmin เราก็ใช้คำสั่งนี้ครับ

file:///usr/share/ubuntu-artwork/home/index.html

มี directory phpmyadmin อยู่ครับ และมีlink เรียบร้อย


# ls -al
total 16
drwxr-xr-x  3 root root 4096 2007-10-02 15:03 .
drwxr-xr-x 15 root root 4096 2007-10-02 13:14 ..
lrwxrwxrwx  1 root root   24 2007-10-02 13:05 analog -> /usr/share/analog/images
drwxr-xr-x  2 root root 4096 2007-10-02 14:57 apache2-default
lrwxrwxrwx  1 root root   21 2007-10-02 14:38 phpmyadmin -> /usr/share/phpmyadmin
-rw-r--r--  1 root root   22 2007-10-02 15:03 test.php

ผมจึงลองทำตามคุณ wd แล้วลองเรียกใหม่สามารถเรียกได้แล้วครับ
ขอบคุณครับ


# ln -s /usr/share/phpmyadmin /var/www/phpmyadmin

คราวนี้เราก็ทดสอบเรียกดูใหม่อีกครั้งหนึ่งครับ
http://{ip address}/phpmyadmin ถ้าไม่มีอะไรผิดพลาดก็จะขึ้นให้ใส่ username และ password โดยหากเรายังไม่แก้ไข password ของ root ก็ใส่ username เป็น root และไม่ต้องใส่ password ก็สามารเข้าไปใช้งานได้ครับ

Note : อย่าลืมเปลี่ยน password ของ root นะครับ เดี๋ยวโดนขโมย database
ได้ผลอย่างไรก็บอกด้วยแล้วกันครับ
ไม่ทราบตอบตรงคำถามหรือเปล่านะครับ

เดเบียน ๑๐๑

2008-08-07T12:00:00.000-07:00

http://linux.thai.net/~thep/docs/debian/debian-01.pdf

Intro to Debian Process (ตอนจบ)

2008-08-07T11:59:00.002-07:00

เอาละ พูดถึงกระบวนการทั่วไปมาแล้ว ถ้าคุณสนใจจะ build debian package สำหรับซอฟต์แวร์โปรดของคุณ ก็อาจจะเริ่มจากฝึก build จาก New Maintainers' Guide แต่ถ้าคุณ build คล่องถึงระดับหนึ่งแล้ว การจะเริ่มอัปโหลดแพกเกจเข้า debian จะมีประเด็นต่างๆ ที่จะถูกตรวจสอบเยอะแยะ เพื่อให้เป็นไปตาม Debian Policy เครื่องมือหลักที่จะช่วยคุณได้ก็คือ lintian และ linda ซึ่งเป็นเครื่องมือตรวจสอบความถูกต้องของ debian package คล้ายๆ กับ lint สำหรับโปรแกรมภาษา C น่ะแหละ

ต่อไปนี้เป็นประเด็นที่พบบ่อย พึงระวังขณะสร้าง debian package:

CVS directories ควรลบไดเรกทอรี CVS ทั้งหลายที่ยังตกค้างอยู่ โดยเฉพาะถ้าคุณ maintain debian script ใน CVS เรื่องนี้เป็นเรื่องที่พบบ่อยมาก ถ้าไม่อยากถูกตรวจพบด้วยข้อหาตื้นๆ ก็ควรเตือนตัวเองเสมอๆ ให้ลบ CVS ก่อน build ซึ่งหมายความว่า คุณไม่ควร build debian package ภายใน CVS working copy แต่ควรคัดลอกออกมา build ข้างนอก จะสะดวกกว่า
native/non-native ถ้าแพกเกจที่คุณ build มี upstream source ไม่ใช่เป็นแพกเกจเฉพาะใช้ใน debian ก็ควรจะ build เป็นแบบ non-native โดยใช้ upstream tarball ที่เปลี่ยนนามสกุลจาก .tar.gz เป็น .orig.tar.gz และ ห้ามแตะต้อง ข้อมูลใดๆ ใน upstream tarball ปล่อยให้เป็น pristine source ไว้ แล้ว dpkg-buildpackage จะสร้าง .diff.gz เพื่อใช้เพิ่ม debian script ให้ ถ้ามันไม่ gen แบบนี้ให้ ก็ควรตรวจสอบ ว่าคุณได้เปลี่ยนชื่อ upstream tarball (หรือทำ symlink ในอีกชื่อ) ก่อน build หรือไม่ มีเหตุผลดีๆ มากมายในการทำให้แน่ใจว่ามีการแยก .orig.tar.gz กับ .diff.gz เช่น ทุก release จะใช้ pristine source ร่วมกัน ต่างกันแค่ .diff.gz ที่ใช้เพิ่ม debian script ทำให้ประหยัดเนื้อที่และ bandwidth ในการ upload/download รวมทั้งสะดวกในการตรวจสอบความเปลี่ยนแปลงเทียบกับ upstream และระหว่าง release ต่างๆ เป็นต้น
copyright เรื่องนี้จะถูกตรวจสอบเป็นเรื่องแรกๆ เลย คุณควรแน่ใจว่ากรอกข้อมูลเกี่ยวกับแหล่งต้นตอของ upstream source, ข้อมูลลิขสิทธิ์ของ upstream และไฟล์ต่างๆ ที่ใช้ประกอบการสร้าง debian package ต้องให้ครบ และที่สำคัญ อย่าลืมใส่ข้อความ disclaimer ที่มีมากับข้อความลิขสิทธิ์เสมอ และถ้าแพกเกจนั้นใช้ license ที่เป็นที่รู้จัก เช่น GPL, LGPL, BSD, Artistic ก็ไม่ต้องใส่ไฟล์ COPYING มา แต่เขียนข้อข้อความสั้นๆ ที่ท้าย disclaimer ว่าใน debian ให้อ่านข้อความเต็มของ license ดังกล่าวได้ที่ /usr/share/common-licenses/ มีการพูดถึงรายละเอียดเรื่องนี้ใน กระทู้ ใน debian-legal
debhelper comment ชาว debian เขาค่อนข้างเนี้ยบกับแฟ้ม debian/rules ว่าควรจะสะอาด คุณอาจใช้ debhelper ช่วยสร้างสคริปต์ต่างๆ โดยอัตโนมัติ รวมทั้ง debian/rules นี้ด้วย แต่คำสั่ง dh_* ที่คุณไม่ใช้ คุณอาจเสียดายที่จะลบทิ้ง โดยใส่คอมเมนต์ไว้ ขอบอกว่าอย่าทำ ควรลบทิ้งไปเลย ถ้าไม่อยากถูก sponsor ตีมือ
debian/rules พยายามให้ debian/rules สะอาดที่สุดเท่าที่จะทำได้ แฟ้มนี้โดยเนื้อหาก็คือ Makefile นั่นเอง แต่พยายามอย่าใช้ script เฉพาะกิจมากเกินไป เช่น สั่ง cp ตรงโน้น rm ตรงนี้ แต่ควรพยายามใช้คำสั่ง dh_* ของ debhelper ถ้าเป็นไปได้ ซึ่งถ้าตรวจสอบดีๆ จะพบว่ามีคำสั่งครอบคลุมหลายๆ งานที่ไม่คิดว่าจะมีใน distro อื่น (ทุกคำสั่งมี man page ให้อ่าน!) ซึ่งการใช้คำสั่งเหล่านี้ นอกจากจะง่ายแล้ว ยังมีผลดีตรงที่ไม่เสี่ยงต่อการละเมิด debian policy ด้วย โดยเฉพาะเวลามี transition ใหญ่ๆ ของระบบ (เช่น Xorg 7 ที่ผ่านมาหมาดๆ) จะเห็นประโยชน์ชัดมาก โดยแค่ build แพกเกจใหม่ด้วย debhelper ตัวใหม่ โดยแทบไม่ต้องแก้อะไรเลย ก็ transition ไปกับหมู่คณะได้แล้ว
NMU ตรงนี้เป็นประเด็นปลีกย่อย สำหรับกรณีที่คุณ build package ของคนอื่น เพื่อแก้ปัญหาอะไรบางอย่าง พยายามทำตาม policy เรื่อง Non-maintainer upload กล่าวคือ ใช้เลข release แบบทศนิยม และระบุ * NMU หรือ * Non-Maintainer Upload ใน debian/changelog ด้วย

โดยส่วนใหญ่แล้ว หลายประเด็นสามารถถูกตรวจสอบได้ด้วย lintian/linda ดังนั้น คุณจะพบว่า สำหรับ debian แล้ว tool ตรวจสอบดังกล่าว ไม่ได้เป็นแค่เครื่องมือประกอบ แต่กลายเป็นส่วนหนึ่งของ build process เลยทีเดียว (ผมจึงใช้ debuild แทน dpkg-buildpackage และถ้าจะให้ดี ควรใช้ pbuilder สำหรับแพกเกจที่เสี่ยงต่อการลิงก์ไลบรารีผิดที่) ถึงจะเป็นแค่ warning ก็ไม่ควรเพิกเฉย

ฟู่.. ปาดเหงื่อหน่อย ในที่สุดก็เขียนจบ ขอขอบคุณที่ติดตามครับ ทั้งหมดนี้คงยังครอบคลุมไม่หมด แต่คงพอให้เห็นภาพของกระบวนการทั้งหมด ความละเอียดลออของ debian ทำให้ยังรักษาคุณภาพไว้ได้ แม้จะเป็นการทำงานร่วมกันของคนเรือนพันทั่วโลก มี package จำนวนมโหฬาร และ architecture ต่างๆ ให้ดูแลมากมาย เข้ามาในโลกของ debian แล้ว จะรู้สึกถึงการใช้คอมพิวเตอร์ให้เป็นประโยชน์มากมาย ความเป็นอัตโนมัติของ apt ยังเป็นแค่มุมมองสำหรับผู้ใช้เท่านั้น แต่สำหรับนักพัฒนา ก็จะพบความเป็นอัตโนมัติอีกหลายอย่าง เช่น build daemon ที่ช่วยการ port และ transition ต่างๆ โดยอัตโนมัติ หรือการเคลื่อนของแพกเกจจาก unstable มา tesing โดยอัตโนมัติ พร้อมกันนั้น ความเข้มแข็งของระเบียบปฏิบัติต่างๆ สำหรับมนุษย์ ก็ทำให้คนที่กระจายอยู่ในส่วนต่างๆ ของโลก สามารถทำงานร่วมกันได้อย่างแน่นแฟ้น

Intro to Debian Process (3)

2008-08-07T11:59:00.001-07:00

ก่อนจะพูดเรื่องประเด็นปลีกย่อยของการสร้างแพกเกจ คิดว่าพูดถึงกระบวนการต่อให้จบก่อนดีกว่า

Debian Developer

ก่อนอื่น พูดถึงสภาเจไดก่อน ผู้ที่จะมีสิทธิ์อัปโหลดแพกเกจเข้า debian pool ได้ จะต้องเป็นผู้ที่มี OpenPGP public key อยู่ใน debian keyring ซึ่งกว่าจะได้เอากุญแจไปคล้องได้ ก็ต้องผ่านกระบวนการทำงานต่างๆ เพื่อเป็นการรับประกันว่า คนคนนั้นมีคุณสมบัติเพียงพอที่จะร่วมพัฒนา debian อย่างมีคุณภาพได้ ซึ่งผมก็ได้รับการบอกเล่ามาว่า ต้องใช้เวลาเป็นปีๆ จนหลายคนถอดใจไปก่อน ดังนั้น เวลาที่ได้พบ Debian Developer ผมจึงรู้สึกเหมือน apprentice ได้พบเจได หรือสาวกได้พบนักบุญถ้าเปรียบเทียบกับประชากรในศาสนา ปานนั้นเลย

ตอนนี้ มี Debian Developer (DD) ร่วมๆ สองพันคน จากทั่วโลก นี่ถ้านับ maintainer ทั้งหลายที่ยังไม่ได้ตำแหน่ง DD อีกเยอะแยะ รวมกับ user community ที่คึกคัก ก็นับได้ว่า debian เป็นโครงการที่ใหญ่และเป็นสากลมากโครงการหนึ่ง

ผู้ที่จะเข้าเป็น DD ได้ จะต้องผ่าน New Maintainer Process หรือเรียกย่อๆ ว่า NM (อย่าเพิ่งแปลกใจครับ debian เขายังมีตัวย่ออีกเยอะให้ใช้ เป็นการเจาะจงศัพท์เทคนิคว่าไม่ใช่หมายถึงคำทั่วไป) ซึ่งถ้าดูจาก Checklist แล้ว จะเห็นว่าผู้สมัคร NM จะต้องมีประสบการณ์ทำงานกับ debian มาระยะหนึ่งแล้ว จนมี DD ไว้วางใจ สามารถ advocate ผู้สมัครคนนั้นได้ แล้วก็จะมีการสอบสัมภาษณ์ความเข้าใจในปรัชญาต่างๆ ของ debian ทดสอบความชำนาญต่างๆ จนผ่านทุกขั้นตอนแล้ว จึงจะได้เป็น DD

Web of Trust

ใน NM checklist จะมีขั้นตอนแรกๆ ขั้นตอนหนึ่งที่สำคัญที่ควรกล่าวถึง คือการยืนยันตัวตนด้วย OpenPGP key ที่มี Web of Trust ที่แน่นหนา กล่าวคือ มีผู้เซ็นยืนยันตัวตนของเจ้าของกุญแจเยอะพอ ว่ากุญแจนี้เป็นของคนคนนี้จริงๆ (เพราะในอินเทอร์เน็ต ใครๆ ก็สร้างกุญแจได้ โดยอาจจะแอบอ้างว่าเป็นของธนาคารก็ได้ ถ้าไม่มีการตรวจสอบตัวตนดังกล่าว เป็นต้น แต่กรณีของธนาคาร อาจใช้การตรวจสอบผ่าน Certificate Authorities (CA) มากกว่าแบบกระจายด้วย Web of Trust) และกุญแจนี้ จะใช้ในการเซ็นรับรอง debian package ในวันข้างหน้าเมื่อได้ทำหน้าที่ DD ว่าแพกเกจมาจาก maintainer ตัวจริง หรือมาจากแหล่งที่เชื่อถือได้ โดยตรวจสอบกับ public key ที่ไปคล้องไว้ใน debian keyring เพื่อกันแพกเกจปลอมปนที่จะเข้ามาใน debian pool

เพื่อรับประกัน web of trust นี้ เวลาคน debian มีการพบปะกัน จึงมักถือโอกาสจัด Key Signing Party เสมอๆ เพราะเป็นโอกาสที่จะได้เซ็นยืนยันเจ้าของกุญแจเมื่อได้พบตัวจริง โดยในการเซ็นนั้น จะมีขั้นตอนการตรวจสอบพอควร เช่น ต้องมีบัตรประจำตัวประชาชน หรือหนังสือเดินทาง มายืนยัน (เพื่อไม่ให้มีใครมาแอบอ้างง่ายๆ ว่าตนคือบิล เกตส์ หรือ RMS อะไรทำนองนี้) รวมทั้งคอมพิวเตอร์ที่ใช้ในการเซ็นก็จะต้องแน่ใจว่าปราศจากการปลอมแปลงคำสั่งด้วย

Package Sponsoring

แล้วก็มาถึงคำถามยอดฮิตที่ผมถูกผู้อ่าน blog ถาม และผมเองก็เคยสงสัยเป็นอันดับต้นๆ เหมือนกัน ว่าการ sponsor แพกเกจมันหมายถึงอะไร

จากขั้นตอนการกลั่นกรอง DD สุดหินที่ได้กล่าวไป ความจริงเป็นการรับประกันคุณภาพของ debian เอง แต่ขณะเดียวกัน ก็เปิดโอกาสให้ผู้ที่ไม่ได้เป็น DD ได้ร่วมพัฒนาได้ด้วย โดยอาจจะแสดงความจำนงขอดูแลแพกเกจได้ แต่เมื่อจะอัปโหลดเข้า debian pool ซึ่งจำเป็นต้องมีลายเซ็น DD กำกับ ก็สามารถร้องขอให้ DD คนใดคนหนึ่งช่วยเซ็นและอัปโหลดให้ได้ ซึ่งการเซ็นและอัปโหลดให้ดังกล่าวนี่แหละ ที่เรียกว่าการ sponsor แพกเกจ

แน่นอนว่าลายเซ็นนั้น หมายถึงการร่วมรับผิดชอบกับ maintainer ด้วยส่วนหนึ่ง แม้ข้อมูลในแพกเกจจะแสดงชื่อของ maintainer ว่าเป็นเจ้าของ ไม่ใช่ DD เจ้าของลายเซ็น แต่ในคิวสำหรับอัปโหลดก็จะมีการบันทึกไว้ ว่า DD คนไหนอัปโหลดให้ ดังนั้น กว่าจะเซ็นให้ได้ DD จะต้องตรวจสอบคุณภาพของแพกเกจเสียก่อน โดยปกติจึงมีการตรวจแก้ก่อนอัปโหลด

มีหลายวิธีที่ maintainer จะหา sponsor อาจจะด้วยการทำงานร่วมกันอย่างใดอย่างหนึ่งมาก่อน เช่น คุยงานผ่าน mailing list หรือคุยกันในงานประชุม แต่กรณีอย่างนั้นคงครอบคลุมแพกเกจทั้งหมดได้ยาก โดยทั่วไปจึงมักใช้ debian-mentors mailing list หรือ IRC ห้อง #debian-mentors ที่ irc.debian.org รายละเอียดต่างๆ อ่านได้จาก debian-mentors FAQ

เนื่องจากความยากลำบากในการหา sponsor เมื่อได้ sponsor แล้ว จึงควรถือโอกาสแก้ปัญหาต่างๆ ในแพกเกจตามที่ sponsor ชี้ให้ได้มากที่สุด ด้านหนึ่ง เป็นโอกาสที่จะได้ปรับปรุงคุณภาพแพกเกจ และอีกด้านหนึ่ง เป็นการลดภาระที่ต้องรบกวน sponsor อีกบ่อยๆ ในอนาคต

NEW Queue

สำหรับการอัปโหลดที่มีไฟล์ซอร์สใหม่ที่ไม่เคยอยู่ใน debian pool มาก่อน (ไม่นับ debian diff ที่เป็นเพียงการออก release ใหม่) แพกเกจที่อัปโหลดจะเข้าไปอยู่ในคิว NEW เพื่อรอตรวจรับโดยทีม ftp-master โดยเป็นการตรวจสอบทั่วไปเพื่อกันความเสี่ยงเรื่องการฝังม้าโทรจันหรืออะไรทำนองนี้ โดยปกติจะใช้เวลาเฉลี่ยไม่เกินหนึ่งเดือน

แพกเกจใหม่ที่ผ่านการตรวจรับในคิว NEW แล้ว หรือแพกเกจที่เพียงออกรุ่นใหม่โดยไม่ได้มีซอร์สที่ไม่เคยอัปโหลดมาก่อน ก็จะตรงเข้าสู่ incoming เพื่อรอเข้าสู่ unstable หรือ experimental pool ต่อไป แล้วแต่กรณี

เมื่อแพกเกจสถิตอยู่ใน unstable ครบกำหนด 10 วันโดยไม่มี bug ร้ายแรง แพกเกจนั้นก็จะเคลื่อนเข้าสู่ testing โดยอัตโนมัติ

วันนี้ยาวหน่อย เพราะจะเก็บรายละเอียดที่สำคัญให้ครบ ตอนหน้าน่าจะเขียนถึงประเด็นที่พบบ่อยในการ build debian package ได้

Intro to Debian Process (2)

2008-08-07T11:58:00.000-07:00

ว่ากันด้วยเรื่อง debian process ต่อ มาดูเรื่องการเป็นเจ้าของแพกเกจกันบ้าง

ความเป็นเจ้าของในแพกเกจ

ความเป็นเจ้าของในแพกเกจ หมายถึงสิทธิ์ในการอัปโหลดแพกเกจนั้นๆ โดยเป็นผู้ดูแล bug ต่างๆ ในแพกเกจด้วย (คือมีสิทธิ์ปิด bug และได้รับรายงาน bug ทางเมล)

การเปลี่ยนแปลงความเป็นเจ้าของแพกเกจเกิดได้หลายแบบ โดยส่วนใหญ่จะทำผ่าน bug ใน wnpp (Work-Needing and Prospective Packages) ดังนี้:

request for package หรือ RFP เป็น bug wnpp ที่ผู้ใช้เสนอแพกเกจใหม่ที่ยังไม่มีใน debian รอคอย maintainer ที่สนใจมาทำให้
new package เป็นการเปิด bug wnpp ชนิด ITP (Intent To Package) หรือเปลี่ยนสถานะ bug ชนิด RFP เป็น ITP และปิด bug ด้วยการอัปโหลดแพกเกจตัวแรก
orphan เมื่อผู้ดูแลไม่สามารถดูแลแพกเกจต่อ ก็อาจสละแพกเกจโดยเปิด bug wnpp ชนิด O (Orphaned) รอจนกระทั่งมีผู้สนใจมารับช่วงต่อ มิฉะนั้น Debian QA Team จะรับดูแลให้ชั่วคราว แพกเกจไหนที่ orphan นานๆ อาจถูกตัดออกจาก debian ในที่สุด
adopt คือการรับช่วงดูแลแพกเกจกำพร้าต่อ โดยเปลี่ยนสถานะ bug wnpp ชนิด O เป็น ITA (Intent To Adopt) แล้วปิด bug ด้วยการอัปโหลดแพกเกจรุ่นใหม่ โดยเขียน changelog ว่า * New Maintainer (Closes: #xxxxx)

สำหรับผู้ดูแลแพกเกจที่เริ่มไม่มีเวลา อาจประกาศหาผู้ดูแลต่อแทนการ orphan ได้ โดยเปิด bug wnpp ชนิด RFA (Request For Adoption) หรือ RFH (Request For Help) แทนก็ได้ โดย RFH จะอ่อนกว่า เป็นการขอความช่วยเหลือโดยยังเจตนาจะดูแลแพกเกจต่อไป ส่วน RFA เป็นการประกาศหาผู้ดูแลต่อ โดยในระหว่างนี้ จะยังคงดูแลบ้างถ้ามีโอกาส และ O เป็นการประกาศชัดว่าจะไม่ดูแลต่ออีกเลย

นอกจากนี้ ยังมีความเป็นเจ้าของร่วมแบบไม่ใช่ maintainer คือเป็น uploader โดยมีสิทธิ์เทียบเท่า maintainer ในแง่การอัปโหลดและการดูแล bug อีกด้วย มีหลายแพกเกจที่ช่วยกันดูแลหลายคน ก็อาศัย uploader หลายๆ คนช่วยกันทำผ่าน alioth svn

แต่ก็ไม่ใช่เฉพาะ maintainer และ uploader เท่านั้นที่สามารถอัปโหลดได้ ในบางครั้ง maintainer อาจยื่นมือช่วยแก้แพกเกจอื่นได้ อาจจะเพราะ bug มันเกี่ยวเนื่องกับแพกเกจของตัวเอง หรือเป็นการแก้ไขในเชิงนโยบายภาพรวม หรือด้วยเหตุผลใดก็แล้วแต่ การอัปโหลดดังกล่าวเรียกว่า Non-Maintainer Upload (NMU) โดยในกรณีเช่นนี้ เลข debian release จะใช้จุดทศนิยม เช่น จาก 0.3.3-4 เป็น 0.3.3-4.1 และ bug ต่างๆ ที่ NMU แก้ จะยังไม่ปิด จนกว่า maintainer จะอัปโหลดแพกเกจตัวใหม่เป็น 0.3.3-5 โดย Acknowledge NMU และปิด bug ที่ NMU แก้ ถ้าพิจารณาแล้วว่ายอมรับการแก้นั้น หรืออาจจะใช้วิธีอื่นก็อธิบายใน changelog

ดังนั้น สำหรับผู้มาใหม่ และสนใจจะช่วยทำแพกเกจ อาจจะมองหา bug wnpp ชนิด O, RFA หรือ RFP โดยถ้าเจอแพกเกจที่สนใจ และแน่ใจในวรยุทธ์การ build package ของตนแล้ว ก็อาจจะอาสาโดยเปลี่ยนสถานะ bug ชนิด O หรือ RFA เป็น ITA หรือ bug ชนิด RFP เป็น ITP แล้วเตรียมอัปโหลดแพกเกจ

คราวหน้ามาต่อเรื่องประเด็นปลีกย่อยที่จะพบขณะทำแพกเกจ

Intro to Debian Process (1)

2008-08-07T11:57:00.000-07:00

เพื่อส่งเสริมให้ผู้สนใจจะเข้าร่วมพัฒนากับเดเบียน ได้มีแนวทางในการเข้าร่วม หรืออย่างน้อย ก็เพื่อประกอบความเข้าใจสำหรับผู้อ่าน blog ของผม ว่าที่ผ่านๆ มา ที่เขียนเรื่องเกี่ยวกับเดเบียนเนี่ย ผมทำอะไรกันแน่ เพราะเดเบียนเขามีศัพท์เฉพาะหลายคำเอาไว้ใช้

เอกสารแนะนำ

ก่อนอื่น แนะนำเอกสารที่ควรอ่านเสียก่อน สำหรับผู้สนใจเข้าร่วมพัฒนาเดเบียน:

New Maintainers' Guide ให้ข้อมูลเบื้องต้น สำหรับผู้ที่สนใจจะเริ่มทำแพกเกจสำหรับเดเบียน โดยเริ่มตั้งแต่สอนวิธีเริ่มสร้าง debian package จาก source ตั้งต้น, การตรวจสอบแพกเกจด้วย lintian, การอัปโหลด, การออกแพกเกจรุ่นใหม่
Developer's Reference เป็นเอกสารอ้างอิงสำหรับนักพัฒนาเดเบียนทุกคน มีเรื่องต่างๆ ที่จำเป็น ตั้งแต่ขั้นตอนการสมัครเป็น maintainer, หน้าที่ของ debian developer, การจัดการ key, การจัดการแพกเกจ, การ sponsor แพกเกจ, internationalization
Debian Policy Manual เป็นเอกสารที่จำเป็นต้องอ่าน ถ้าจะ build package เพราะ policy เป็นแนวทางการทำงานร่วมกันของนักพัฒนาเดเบียนเรือนพันทั่วโลก โดยไม่เกิดปัญหาความเข้ากันไม่ได้ระหว่างแพกเกจต่างๆ เริ่มตั้งแต่ filesystem hierarchy standard, ระบบเมนู, นโยบายสำหรับระบบย่อยต่างๆ ที่มีองค์ประกอบหลายชิ้น เช่น Emacs, Java, Perl, Python ฯลฯ

ยังมีเอกสารน่าสนใจอื่นๆ อีก ที่ Debian Developers' Corner

สายการพัฒนา

ทีนี้ สำหรับผู้อ่านที่ยังไม่ทราบวิธีนับรุ่นและสายการพัฒนาต่างๆ ของเดเบียน ขอเกริ่นคร่าวๆ ว่าเดเบียนขณะใดๆ มีสายการพัฒนาหลักๆ 3 สาย คือ stable, testing และ unstable โดย stable คือรุ่นที่คงตัว ไม่ค่อยมีการเปลี่ยนแปลง ยกเว้น security update หรือการแก้ bug ที่ร้ายแรง, testing คือรุ่นทดสอบที่รอปล่อยตัวเป็น stable รุ่นถัดไป มีการเปลี่ยนแปลงค่อนข้างบ่อย แต่ผ่านการทดสอบใน unstable มาระยะหนึ่งแล้ว ส่วน unstable คือรุ่นใหม่สุดที่เปลี่ยนแปลงบ่อยสุด แพกเกจต่่างๆ จะเริ่มอัปโหลดเข้าที่นี่ เพื่อรอ bug report ระยะหนึ่งก่อนย้ายเข้า testing แต่ทั้งนี้ ยังมีแหล่งอัปโหลดที่ใช้ทดสอบในหมู่นักพัฒนากันเองที่ experimental ที่มักใช้เป็นที่พักของแพกเกจที่มีองค์ประกอบหลายส่วน เช่น GNOME ที่ต้องรอย้ายเข้า unstable พร้อมกันเป็นชุด และรุ่นต่างๆ ที่เคลื่อนผ่านสายการพัฒนาเหล่านี้ จะมีชื่อรหัส (codename) ซึ่งได้มาจากชื่อตัวละครใน Toy Story โดยมี sid (เด็กที่ชอบทำลายของเล่น) เป็น unstable เสมอ รายละเอียดอ่านได้จาก FAQ

สำหรับผู้ดูแลแพกเกจ การอัปโหลดแพกเกจโดยปกติจึงมีสองที่ คือ unstable และ experimental แต่โดยทั่วไป ถ้าแพกเกจนั้นไม่ได้เกาะเกี่ยวกับใครมาก หรือไม่ใช่การเปลี่ยนแปลงขนานใหญ่ในโครงสร้างภายใน ก็มักจะอัปโหลดเข้า unstable และเมื่อแพกเกจสถิตอยู่ใน unstable ได้ระยะหนึ่งโดยไม่มี release-critical bug ก็จะย้าย (migrate) เข้า testing โดยอัตโนมัติ

คำที่เกี่ยวกับแพกเกจ

มีคำศัพท์เบื้องต้นที่ควรรู้เกี่ยวกับแพกเกจคือ:

upstream หมายถึงผู้พัฒนาต้นน้ำ ได้แก่เจ้าของโครงการต่างๆ ที่พัฒนาและเผยแพร่ซอร์สโค้ดต้นฉบับ เช่น GNOME, KDE, X.org
maintainer หมายถึงผู้ดูแล debian package โดยเอาซอร์สจาก upstream มาเพิ่มสคริปต์สำหรับสร้างเป็น debian package และคอยปรับรุ่นใหม่ๆ ใน debian ตามการออกรุ่นของ upstream
debian-native หมายถึงแพกเกจที่ไม่มี upstream source แต่เป็นแพกเกจที่พัฒนาภายใน debian เอง เช่น debhelper ซึ่งเป็นเครื่องมือช่วยสร้าง debian package ซึ่งแพกเกจเหล่านี้ จะนับรุ่นเสมือนเป็น upstream โดยไม่มีเลข debian release ต่อท้าย ในขณะที่แพกเกจที่เป็น non-native จะนับรุ่นโดยใช้รุ่นของ upstream ประกอบกับเลข debian release เช่น 0.3.3-4 หมายถึง upstream เป็นรุ่น 0.3.3 และเป็นการทำ debian package รุ่นที่ 4 ใน debian โดยอ้างอิง upstream รุ่นเดียวกันนี้
pristine source หมายถึง source tarball ของ upstream ซึ่งใน debian จะแยกออกจากสคริปต์ต่างๆ ที่ใช้สร้างแพกเกจ (ต่างจาก .src.rpm ของ redhat ที่จะรวมทั้ง source ทั้ง RPM spec มาในก้อนเดียวกัน) โดยมี suffix เป็น ".orig.tar.gz" เช่น จาก upstream source thaibrowser-0.3.3.tar.gz ก็จะเปลี่ยนชื่อเป็น thaibrowser-0.3.3.orig.tar.gz เพื่อแยกให้รู้ความแตกต่างจาก tarball อื่นๆ และที่เรียกว่า pristine source (ซอร์สบริสุทธิ์) ก็เพราะ debian จะไม่แตะต้องข้อมูลใน .orig.tar.gz นี้เลย ถ้าจะ patch ก็จะแยก patch ต่างหาก แม้แต่ script ที่ใช้ build package ก็จะอยู่ในรูป patch สำหรับสร้าง debian/ directory ภายใน upstream source tree

ยาวละ ไว้คราวหน้ามาต่อ

ที่มา : http://thep.blogspot.com/2006/05/intro-to-debian-process-1.html

เอกสารเกี่ยวกับ Linux

2008-08-07T11:56:00.000-07:00

http://linux.thai.net/~thep/docs/

เกี่ยวกับ rc.statd จำเป็นไหม จะ disable ได้ไหม

2008-08-07T11:40:00.000-07:00

netstat -tap
พอร์ต 43195

Proto Recv-Q Send-Q Local Address    Foreign Address         State       PID/Program name
tcp        0      0 localhost:mysql   *:*            LISTEN     15531/mysqld
tcp        0      0 *:pop3            *:*            LISTEN     27547/tcpserver
tcp        0      0 localhost:spamd   *:*            LISTEN     10606/perl
tcp        0      0 *:sunrpc          *:*            LISTEN     2124/portmap
tcp        0      0 *:auth            *:*            LISTEN     2705/inetd
tcp        0      0 *:smtp            *:*            LISTEN     27532/tcpserver
tcp        0      0 *:43195           *:*            LISTEN     2740/rpc.statd
tcp6       0      0 *:imap2           *:*            LISTEN     2767/couriertcpd
tcp6       0      0 *:www             *:*            LISTEN     18390/apache2
tcp6       0      0 *:8822            *:*            LISTEN     2715/sshd

ต้องการปิด port 43195

NFS(Network File System) ช่วยให้เราสามารถ mount ระบบไฟล์จากเครื่องในเครือข่ายได้นะครับ คล้ายๆการ map drive ใน win นะครับ ถ้าแน่ใจว่าไม่ใช้ก็ให้ปิด service เหล่านี้(ถ้ามี)นะครับ

portmap nfs-common nfs-kernel-server

วิธีลบ
# update-rc.d -f ชื่อserviceข้างบน remove

ถ้าเถื่อนๆหน่อยก็เข้าไปลบใน /etc/rc2.d/ ไฟล์ที่ขึ้นต้นด้วย S ตามด้วยตัวเลขและชื่อ service ลบทิ้งได้เลยไม่ต้องเสียดายมันเป็นแค่ symbolic link ตัวจริงๆจะเก็บไว้ใน /etc/init.d/

CoovaChilli Documentation

2008-08-07T11:30:00.000-07:00

http://coova.org/wiki/index.php/CoovaChilli/Documentation

Hot spot

shorewall on Debian

2008-08-07T11:29:00.000-07:00

shorewall เป็นโปรแกรมประเภท firewall เอาไว้สำหรับกรอง packet ต่างๆที่เข้ามาในเครื่องเรา เป็นเครื่องมือสำหรับป้องกันเครื่องของเราจากผู้บุกได้พอสมควร
ตัวอย่างนี้เป็นการติดตั้ง shorewall กับ debian etch

ถ้าหากติดตั้ง ipchains ให้ remove ipchains ออกก่อน
#apt-get remove ipchains

หลังจากนั้นก็ติดตั้ง shorewall
#apt-get install shorewall

หลังจากติดตั้ง shorewall เสร็จแล้วต่อไปก็เป็นการตั้ค่าให้กับ shorewall ให้เข้าไปแก้ไขที่ไฟล์ /etc/default/shorewall
#nano /etc/default/shorewall
ให้เปลี่ยน
startup=0
เป็น
startup=1

สำหรับการติดตั้งโปรแกรม shorewall ครั้งแรก จะไม่มีไฟล์ configuration ใน directory /etc/shorewall/ ต้องคัดลอกไฟล์จาก /usr/share/doc/shorewall-common/default-config มาก่อน
cp /usr/share/doc/shorewall-common/default-config/* /etc/shorewall/

การตั้งค่า zones
ให้เพิ่มข้อความต่อไปนี้ในไฟล์ /etc/shorewall/zones
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4 #
loc ipv4 #
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE

การตั้งค่า interfaces
ให้เพิ่มข้อความต่อไปนี้ในไฟล์ /etc/shorewall/interfaces
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect
#LAST LINE — ADD YOUR ENTRIES BEFORE THIS ONE — DO NOT REMOVE

การตั้งค่า policy
ให้เพิ่มข้อความต่อไปนี้ในไฟล์ /etc/shorewall/policy
#SOURCE DEST POLICY LOG LIMIT:BURST
# LEVEL
fw net ACCEPT
fw loc ACCEPT
net all DROP info
all all REJECT info
#LAST LINE — DO NOT REMOVE

การตั้งค่า rules เป็นการกำหนดกฎต่างๆที่ใช้ในการกรอง packet ที่เข้ามาภายในเครื่องว่าจะให้ผ่านไปได้หรือไม่ให้ผ่าน
ให้เพิ่มข้อความต่อไปนี้ในไฟล์ /etc/shorewall/rules
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/
# PORT(S) PORT(S) DEST LIMIT GROUP
#SECTION ESTABLISHED
#SECTION RELATED
SECTION NEW
ACCEPT net fw tcp 22
ACCEPT net fw tcp 3306
#LAST LINE — ADD YOUR ENTRIES BEFORE THIS ONE — DO NOT REMOVE
ตัวอย่างด้านบนเป็นการ อนุญาติให้ packet จาก zone net ผ่านเข้าได้สองพอร์ทคือพอร์ท 80 กับ พอร์ท 10000 และโปรโตคอลต้องเป็นโปรโตคอล tcp
สำหรับใครที่ต้องการจะเพิ่มพอร์ทอื่นๆ สำหรับโปรแกรมแต่ละโปรแกรม ก็ทำได้ตามความต้องการครับ

หลังจากที่ตั้งค่าให้กับ shorewall แล้ว ให้ทำการเริ่มต้นการทำงานของ shorewall โดย
#/etc/init.d/shorewall start
ถ้าหากมีข้อผิดพลาดเกิดขึ้น สามารถดูรายละเอียดได้ในไฟล์ /var/log/shorewall-init.log

ที่มา : http://debianclub.org/node/241

คำสั่ง Firewall

2008-08-07T11:27:00.000-07:00

ไฟล์วอล

# iptables -L

หรือจะถามถึงพอร์ตที่เปิดรับ service ทั้งหมด ณ ปัจจุบัน?

# netstat -a

$ apt-get install nmap

$ nmap 127.0.0.1

$ nmap your ip

Firewall บน Debian

2008-08-07T11:24:00.000-07:00

หลาย ๆ คนในที่นี้ ที่ต้องดูแลเครื่อง server และการ remote เข้าไปควบคุมเครื่อง ผ่านทาง Secure Shell (SSH) เป็นเรื่องที่สร้างความสุขให้แก่เราอย่างมาก เนื่องจากไม่ต้องเข้าไปดูหน้าเครื่องก็ได้ แต่ไม่ใช่เราเพียงผู้เดียวที่อยากเข้าไปใช้งาน ผู้ไม่ประสงค์ดี ก็อยากเข้าไปใช้เหมือนกัน โดยความพยายามที่จะเดาชื่อ username และ password (Dictionary Attacks - Brute Force) แต่โชคยังดีที่ server ส่วนใหญ่ที่ดูแลอยู่ มี user ไม่มาก แถม password ก็ไม่ต้องห่วงให้เดาก็ต้องเดานานมาก ๆ หากอยากตรวจสอบความยากง่ายของ password ที่ใช้อยู่ สามารถทดสอบได้ที่ http://www.securitystats.com/tools/password.php

คำถาม ที่ตามมาคือ ก็ password ก็ยากมาก ๆ แล้วนี่ ทำไมต้องกังวลอีก .....

คำตอบ ก็คือ เพราะมันยากนี่แหละ พี่แกเลยพยายามทุกวิถีทาง เพื่อจะเข้ามาให้ได้ โจมตีด้วยการกระหน่ำคำต่าง ๆ ใน dictionary ที่แกมีอยู่ ผลที่ตามมาคือ bandwidth ที่มีค่าของเรา ถูกเอาไปใช้เพื่อการโจมตี โดยที่เราไม่ได้ประโยชน์ใด ๆ ทั้งสิ้น ตังค์เราก็ต้องจ่าย จะมาใช้แบบไม่ขออนุญาตง่าย ๆ ได้ไงฟะ (ถึงขอ...ก็ไม่ให้เฟ้ย) แล้วทำไงดี...... ???

มีโปรแกรมหลาย ๆ ตัวที่ทำหน้าที่ตรวจสอบ และปิดกั้น (block) การเข้ามาของผู้ไม่ประสงค์ดี แต่ด้วยการที่เราเป็นสาวก Debian ต้องมองหาอะไรที่ง่ายต่อชีวิต และทรัพย์สินก่อนเป็นอันดับแรก .... และก็เจอ ....

Fail2Ban

ชื่อก็บอกยี่ห้ออยู่แล้วว่า "ผิดมา ตู แบน" เป็นโปรแกรมที่มีอยู่ใน Debian repository (ทั้งใน etch, lenny และ sid แต่เวอร์ชันอาจจะต่างกัน เพราะต่างกรรม ต่างวาระ) การติดตั้งก็แสนจะสะดวก ตามสไตล์ Debian

# aptitude install fail2ban

ติดตั้งเสร็จแล้วครับ เท่านี้ก็ใช้งานได้แล้ว :P ...

คำถาม อ้าวไม่ต้องตั้งค่าอะไรเลยเหรอ....

คำตอบ ไม่ต้องก็ใช้งานได้แล้วครับ แต่จะให้ดีก็สำรวจกันหน่อยดีกว่า ว่ามีอะไรให้เราตั้งได้บ้าง

เข้าไปดูการตั้งค่ากันต่อละกันครับ

/etc/fail2ban/jail.conf เป็นไฟล์ config ที่มากับระบบ หากต้องการแก้ไข

# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

นี่คือข้อดีที่ Debian ทำให้ เนื่องจากหากมีการ update ในอนาคต config อาจถูกเปลี่ยนโดย maintainer ได้ เราก็แก้ที่ local จะได้ไม่ไปยุ่งยากกับ maintainer เขาครับ

# vi /etc/fail2ban/jail.local

...
[DEFAULT]
ignoreip = 127.0.0.1  # เป็น ip ที่จะไม่มีการ Ban โดยเด็ดขาด
bantime = 1440        # เป็นเวลาที่จะ Ban IP ครับ ค่าเริ่มต้น 600 วินาที = 10 นาที
                     # น้อยไปก็เปลี่ยนได้ครับ 1440 วินาที = 1 วัน
                     # หรือ -1 สำหรับการ Ban IP ตลอดไป จนกว่าจะ Reboot
maxretry = 3          # ให้ผู้ไม่ประสงค์ดี หรือแม้แต่เราเอง ลองได้กี่ครั้ง
...
[ssh-ddos]
enabled = true       # ผมเปลี่ยนจาก false เป็น true เพื่อเพิ่มการตรวจสอบ SSH DoS
port     = ssh, sftp
filter     = sshd-ddos
...

แก้ไขเสร็จ สั่งเริ่ม Service ใหม่

# /etc/init.d/fail2ban restart

ผลคือ

# cat /var/log/fail2ban.log
...
2007-09-17 18:33:15,860 fail2ban.actions: WARNING [ssh] Ban 125.24.142.28
2007-09-17 18:34:25,008 fail2ban.actions: WARNING [ssh] Ban 60.191.41.108
...

หลังจากวันนี้ไป... ใครจะมาโจมตีก็ทำได้ยากซักหน่อยละครับผม :)

ที่มา : http://debianclub.org/node/61

เพิ่มความปลอดภัยให้กับ Linux

2008-08-07T11:18:00.001-07:00

Trick 1: Unmounting the unresponsive DVD drive
Trick 2: Getting your screen back when it's hosed
Trick 3: Collaboration with screen
Trick 4: Getting back the root password
Trick 5: SSH back door
Trick 6: Remote VNC session through an SSH tunnel
Trick 7: Checking your bandwidth
Trick 8: Command-line scripting and utilities
Trick 9: Spying on the console
Trick 10: Random system information collection
http://www.ibm.com/developerworks/linux/library/l-10sysadtips/

Debian+ Inno DB Myisam

2008-08-07T11:08:00.000-07:00

มุมมอง debian ของฉัน + Inno DB Myisam
เท่าที่รู้คือ ( ไม่แน่ใจถูกหรือเปล่า )
-ISAM (MyISAM) คือ รูปแบบการเก็บ ข้อมูลตามปกติ ( default )ของ MYSQL
- ทำงาน เร็วกว่า InnoDB แต่ ผิดพลาดได้ง่ายกว่า table เสียหายได้ง่าย
-InnoDB ข้อดีคือ
-รองรับการทำ Transaction รองรับการอ่านและเขียน พร้อมๆ กันได้ดี
-มีระบบ Auto Data Recovery หากมีการ shutdown โดยไม่เหมาะสม
คือ
1. ช่วย บอกความแตกต่างให้หน่อยครับ เอาขอดีข้อเสีย
2. Transaction = รองรับการอ่านและเขียน พร้อมๆ กันได้ดี คือ การลองรับการเข้าถึงฐานข้อมูล
ที่มีทั้งการอ่านและเขียน จากหลายคนพร้อมกันหรือไม่ใช่ครับ
3. InnoDB มีอยู่ใน Mysql เปล่าครับ แล้วจะเปิดใช้ได้ยังไรครับ

รื่องของขนาดไฟล์เท่าที่ใช้มา MyISAM ใช้กับไฟล์ขนาดไม่ใหญ่มากนะครับ 3GB - 4GB ก็รอดยากแล้ว และจะอืดมากถ้าไฟล์ขนาดใหญ่ ๆ แต่ InnoDB นั้นตอนนี้ผมใช้เกิน 10GB ยังไม่มีปัญหาเลยครับ แต่ถ้าจะใช้ InnoDB กับระบบใหญ่ ๆ ควรศึกษาการ tunning ให้ดีด้วยนะครับ จะมีผลต่อ performance ของระบบโดยตรง

InnoDB นั้นมีให้ใช้ใน MySQL 5.0 ขึ้นไป (จริงๆแล้วตั้งแต่ 4 กว่าๆด้วยซ้ำ) แต่ บน windows ต้องบอกให้ Active ก่อนใช้งาน โดยทำอย่างนี้

1. แก้ไข c:\windows\my.ini
2. ตอนแรกจะถูก Comment ไว้ ให้ Uncomment บรรทัดที่ว่า
default-storage-engine=INNODB
3. และ มีการ Skip ไม่ให้ใช้ InnoDB เราต้อง Comment ซะ
#skip-innodb
4. จากนั้นให้ Save แล้วก็ Restart MySQL Server

แล้ว InnoDB ดียังไง ใช้ทำอะไร ก็เอาว่า เรื่องนึงคือ การทำ Foreign Key ซึ่งจะทำการ Reference Index แต่ละ Table ก็จะสามารถทำการ Cascade Delete, Update ได้ว่างั้น ถ้าไม่ Enable ก็จะได้เป็น MyISAM เราจะใช้ Foreign Key ไม่ได้ครับ
ขอบคุณล่วงหน้าสำหรับทุกความเห็นและทุกคำตอบครับ

Debian Book

Ethernet Bonding Fedora Linux

** ตั้งค่า IP. ที่การ์ดแลน **

เพิ่ม HDD ใหม่ใน Linux

เพิ่ม traffic ด้วย card lan 2 ใบ

ipset เบื้องต้น

เก็บ IP Traffic Log ด้วย ulogd (Debian Admin Style)

How to install Cacti in Debian Etch

How to install PHP5,Apach2.2,MySQL5 by manual compile.

การ mount Handy drive

โปรแกรม portsentry

all-in-one 2 (portsentry+iptables+apt-proxy+squid3)

portsentry + iptables พื้นฐาน

ทำเองได้ Centralized log แถมวิวได้ด้วย PHP SYSLOGVIEWER

ภาคแรก ทำเองได้ Centralized log แถมวิวได้ด้วย PHP SYSLOGVIEWER

ซอฟต์แวร์ที่ใช้งาน

เวอร์ชั่นเต็ม: การติดตั้ง Centralized log ตาม พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

การติดตั้ง Centralized log ตาม พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

debian: iptables

สคริปท์ บล็อค keyword โดยใช้ Squid คับ เห็นมีคน ถาม

compile ipp2p บน debian etch ไม่ผ่าน ช่วยทีครับ

compile debian lenny support l7

http://www.opentle.org/th/node/7854

ลองติดตั้ง dns แบบเปลี่ยนค่าได้

http://download.grisoft.cz/softw/70/update/

การติดตั้ง Samba Server

My sources.list for Debian Lenny/Sid

NTPDate: เวลานั้นสำคัญไฉน .

บทความ debian เยอะมากๆ

set php บน debian

การเก็บ log

โครงการเก็บข้อมูลจราจร (Traffic Data) ด้วยซอฟต์แวร์โอเพนซอร์สโดย SIPA และ ATSI

โครงการเก็บข้อมูลจราจร (Traffic Data)ด้วยซอฟต์แวร์โอเพนซอร์สโดย SIPA และ ATSI

ดาวน์โหลดรายละเอียดโครงการและใบสมัคร

ดาวน์โหลดคู่มือการติดตั้ง

ดาวน์โหลด CD Image

ดาวน์โหลด Configuration Files

ดาวน์โหลด Slides

ดาวน์โหลดเอกสารอื่นๆ

Squid + Radius authentication

ntop โปรแกรม monitor network

ติดตั้ง Shorewall บน Ubuntu

ผมจะทำ Server สำหรับให้บาง user สามารถเข้าอินเตอร์เน็ตได้

คำสั่งเฝ้ามองระบบ Linux

สงสัยเรื่อง ไฟล์วอล

IPTABLES เป็น Firewall พื้นฐานของ Linux เกือบทุก Distro

ดูข้อมูลของ CPU

Ubuntu : iptables rule

Iptables : SSH Brute force attack

My Firewall Config:

debian: iptables

ICMP iptables

วิธี set iptables บน linux แบบง่ายๆ

ปัญหาเรื่อง function บน MySQL 5.x

NTPDate: เวลานั้นสำคัญไฉน ....

ตั้งเวลาด้วย at

การ dump ข้อมูลใน MySQL ให้ถูกต้องตาม Character-set

การติดตั้ง shoutcast เป็น video streaming

ทำเองได้ centralized log แถมวิวได้ด้วย php syslogviewer

backup mysql database ด้วย mysqldump

Comodo Firewall

ป้องกันการโจมตีด้วย SSH

Debian:Install eBox package on Debian

การเปิดปิด Service ตอนที่บูทเครื่องขึ้นมา

ทดลองติดตั้ง apache2 mysql5 phpmyadmin

เดเบียน ๑๐๑

Intro to Debian Process (ตอนจบ)

Intro to Debian Process (3)

Debian Developer

Web of Trust

Package Sponsoring

NEW Queue

Intro to Debian Process (2)

ความเป็นเจ้าของในแพกเกจ

Intro to Debian Process (1)

เอกสารแนะนำ

สายการพัฒนา

คำที่เกี่ยวกับแพกเกจ

เอกสารเกี่ยวกับ Linux

เกี่ยวกับ rc.statd จำเป็นไหม จะ disable ได้ไหม

ตั้งค่า IP. ที่การ์ดแลน