บทนี้จะแนะนำการใช้โปรแกรม pscp รันบน Windows เพื่อใช้ถ่ายโอนไฟล์ (transfer) กับเครื่องที่รันลีนุกซ์ ผ่านทาง Secure Shell ได้

ดาวน์โหลดโปรแกรม pscp

โปรแกรม pscp เป็นส่วนหนึ่งของชุดโปรแกรม PuTTY แต่สามารถใช้งานได้โดยลำพัง ไม่จำเป็นต้องติดตั้งโปรแกรมทั้งชุด เพียงแค่ดาวน์โหลดไฟล์ pscp.exe

ในหน้า PuTTY Download Page ภายใต้หัวข้อ For Windows on Intel x86 คลิ้กดาวน์โหลดไฟล์ pscp.exe เซฟลงบน Desktop ของ Windows

สร้างไฟล์ทดสอบบน Windows ชื่อไฟล์ “win-data.txt” เซฟไว้บน Desktop

คลิ้กปุ่ม start เลือก Run

หน้าจอ Run เราสามารถพิมพ์คำสั่งบน Windows ที่ต้องการจะรันในช่อง Open ได้

พิมพ์ cmd แล้วกดปุ่ม [OK] หรือ [Enter] เพื่อเข้าสู่ command prompt ของ Windows

หน้าจอ command prompt ของ Windows

พิมพ์คำสั่ง cd Desktop เข้าสู่ Desktop ของผู้ใช้งานบน Windows

พิมพ์คำสั่ง dir เพื่อแสดงไฟล์ จะมีไฟล์ pscp.exe, putty.exe และ win-data.txt

ถ่ายโอนไฟล์จาก Windows ไปยังลีนุกซ์

รูปแบบการใช้คำสั่ง pscp เหมือนกับคำสั่ง cp คือ ตามด้วยไฟล์ต้นทางที่ต้องการจะถ่ายโอน เว้นวรรค ตามด้วยปลายทางที่ต้องการส่งไฟล์ไป

ตัวอย่าง ถ้าต้องการถ่ายโอนไฟล์จาก Windows เช่นในตัวอย่างนี้คือไฟล์ win-data.txt ไปยังลีนุกซ์ IP Address  192.168.5.62 ล็อกอินด้วย root สามารถทำได้โดย

pscp win-data.txt root@192.168.5.62:

สังเกตการระบุปลายทาง เป็นชื่อ user ตามด้วยเครื่องหมาย @ ตามด้วย IP ของปลายทาง ปิดท้ายด้วยเครื่องหมาย :  โดยพิมพ์ติดกันหมด ไม่มีเว้นวรรค

หากเป็นการล็อกอินเข้าไป IP นั้นเป็นครั้งแรก จะมีข้อความเตือนเกี่ยวกับ key เหมือนกับตอนใช้ putty

ไฟล์จะถูกถ่ายโอนไปไว้ใน HOME ของ root สามารถตรวจสอบได้โดยการใช้ PuTTY ล็อกอินเข้าไป ใช้คำสั่ง ls แสดงไฟล์ที่ถูกส่งไป

โหลดจากลีนุกซ์ ลง Windows

หากไฟล์อยู่บนลีนุกซ์ เช่นอยู่ใน HOME ของ root ก็สามารถใช้คำสั่ง pscp เพื่อถ่ายโอนไฟล์มาใส่ใน Windows ได้

โดยระบุต้นทางเป็นไฟล์ที่อยู่บนลีนุกซ์ เว้นวรรคตามด้วยปลายทางคือไดเร็คทอรีบน Windows หากต้องการโหลดไฟล์มาใส่ในไดเร็คทอรีที่พิมพ์คำสั่ง (Desktop) ก็ระบุเป็นเครื่องหมายจุด .

เช่นต้องการโหลดไฟล์ชื่อ linux-file.txt ใน HOME ของ root บนลีนุกซ์ มายังไดเร็คทอรีปัจจุบัน พิมพ์คำสั่ง

pscp root@192.168.5.62:linux-file.txt .

หากไฟล์อยู่ในพาธอื่นเช่นต้องการโหลดไฟล์ /etc/passwd จากลีนุกซ์ สามารถระบุต้นทางเป็นพาธเต็ม เช่น root@192.168.5.62:/etc/passwd

ตัวอย่าง และผลลัพท์ที่ได้

ข้อมูลอ้างอิง

• PuTTY Download Page
• ล็อกอินเข้าลีนุกซ์จาก Windows ด้วย PuTTY

การคอนฟิกที่เหลือ สามารถล็อกอินจากเครื่องอื่นมาทำงานได้โดยผ่านทาง SSH (Secure shell)

ในบทนี้จะแนะนำโปรแกรม PuTTY  ซึ่งเป็นโปรแกรมที่สามารถใช้งานได้ฟรี รันบน Windows ให้สามารถล็อกอินเข้าลีนุกซ์เครื่องที่เราติดตั้งได้

ดาวน์โหลดโปรแกรม PuTTY

ค้นหาคำว่า “PuTTY” จาก google หรือไม่ก็เข้าเว็บไซต์ PuTTY Download Page โดยตรงที่

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

การใช้งาน PuTTY สามารถทำได้สองแบบคือดาวน์โหลดไฟล์ putty.exe มาไฟล์เดียว ก็สามารถใช้งานได้แล้ว หรือจะเลือกแบบ Windows installer เพื่อติดตั้งเป็นชุดโปรแกรม โดยจะมีโปรแกรมย่อยอื่นๆ ด้วย

เพื่อความง่าย แนะนำให้ดาวน์โหลดแค่ putty.exe ไฟล์เดียว

ด้านล่างหัวข้อ “For Windows on Intel x86″ คลิ้กที่ลิ้งค์ “putty.exe” เพื่อดาวน์โหลดไฟล์ สมมติว่าเซฟลง Desktop

เพียงแค่นี้ก็สามารถใช้โปรแกรม putty เพื่อล็อกอินเข้าเครื่องลีนุกซ์ได้แล้ว

ดับเบิ้ลคลิ้กที่ไอคอนไฟล์ putty.exe เพื่อรันโปรแกรม

หน้าจอของ PuTTY แสดงขึ้นมา เพื่อให้กรอกข้อมูล

• Host Name (or IP Address) ใส่ IP Address ของเครื่องลีนุกซ์ เช่น 192.168.5.62
• Port ใส่ 22
• Connection type: เลือก [x] SSH

แล้วกด [Open] หรือกดปุ่ม [Enter]

หากเป็นการล็อกอินด้วย SSH เข้าไปลีนุกซ์เครื่องที่ระบุ เป็นครั้งแรก หน้าจอจะแสดงเตือน “PuTTY Security Alert” เป็นข้อมูลเกี่ยวกับ key ต่างๆ ที่ใช้ใน  Secure Shell

กด [Yes] เพื่อยืนยันว่าถูกต้อง

หมายเหตุ หากต้องการยืนยันความถูกต้องกับข้อมูลที่เตือนขึ้นมา สามารถตรวจสอบได้โดยเปรียบเทียบ fingerprint บนหน้าจอที่แสดง กับ Secure Shell ที่รันบนเซิร์ฟเวอร์

เช่นข้อมูลเกี่ยวกับ fingerprint ที่เตือนขึ้นมาแสดง

The server’s rsa2 key fingerprint is:
ssh-rsa 2048 42:b2:98:95:57:14:aa:0a:6c:fa:e8:3a:7b:d8:0b:63

เปรียบเทียบกับ Secure Shell ที่รันบนเซิรฟ์เวอร์ ใช้คำสั่ง ssh-keygen -lf เพื่อดู fingerprint

[root@cent6 ~]# ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 42:b2:98:95:57:14:aa:0a:6c:fa:e8:3a:7b:d8:0b:63 /etc/ssh/ssh_host_rsa_key.pub (RSA)

ผลที่ได้ต้องออกมาตรงกัน เป็นการยืนยันว่า เราล็อกอินเข้าไปในเครื่องที่เราต้องการจริง

หน้าจอให้ใส่ login as: ใส่ root และพิมพ์รหัสผ่านของ root ให้ถูกต้อง ก็จะสามารถล็อกอินเข้าสู่เครื่องลีนุกซ์ได้ เปรียบเสมือนเรานั่งทำงานอยู่ที่หน้าจอคอนโซลของเครื่องลีนุกซ์เลย

ข้อมูลอ้างอิง

• PuTTY Download Page

คำแนะนำอย่างหนึ่งสำหรับผู้ใช้ลีนุกซ์ ไม่ว่าจะเพิ่งเริ่มต้นหัดใช้งาน หรือใช้งานมานานแล้ว คือล็อกอินเป็นผู้ใช้ธรรมดาที่ไม่ใช่ root ให้เป็นนิสัย เพราะผู้ใช้งานธรรมดา ก็สามารถทำอะไรได้หลายอย่างแล้ว เช่นดูคอนฟิกของเครื่อง แก้ไขไฟล์เท่าที่มีสิทธิ์ และหากทำอะไรผิดพลาดไป ความเสียหายที่เกิดขึ้น ก็จะกระทบในระดับหนึ่ง เท่าที่ผู้ใช้คนนั้นจะทำได้ ไม่กระทบทั้งเครื่อง

จนกว่าจำเป็นต้องมีการแก้ไขคอนฟิกหรือทำอะไรบางอย่างกับลีนุกซ์ที่จำเป็นต้องทำด้วย root ค่อยใช้คำสั่ง su เปลี่ยนผู้ใช้ root (หรือใช้ sudo) และเมื่อหลังจากแก้ไขเสร็จสิ้นแล้ว ก็เปลี่ยนกลับมาเป็น user ธรรมดาอีกครั้ง

ในบทนี้จะอธิบายคำสั่งที่ใช้ในการ เพิ่ม แก้ไข ลบ ผู้ใช้งาน โดยต้องใช้ root เป็นคนรันคำสั่ง

การเพิ่มผู้ใช้งาน (useradd)

ใช้คำสั่ง useradd ตามด้วยชื่อ user ที่ต้องการเพิ่ม เช่นต้องการเพิ่มผู้ใช้งานชื่อ alice

[root@cent6 ~]# useradd alice

คำสั่ง id ตามด้วยชื่อผู้ใช้งาน สามารถใช้ตรวจสอบข้อมูลของผู้ใช้ได้ เช่น uid, gid ของผู้ใช้

[root@cent6 ~]# id alice
uid=500(alice) gid=500(alice) groups=500(alice)

หากพิมพ์คำสั่ง id เฉยๆ จะเป็นการดูข้อมูลของตัวเอง เช่นถ้า root พิมพ์คำสั่ง id ไม่ได้ระบุชื่อผู้ใช้ ผลลัพธ์จะแสดงข้อมูลของ root

[root@cent6 ~]# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

เปลี่ยนรหัสผ่านผู้ใช้งาน (passwd)

ใช้คำสั่ง passwd ตามด้วยชื่อผู้ใช้งาน เพื่อเปลี่ยนรหัสผ่านของผู้ใช้งาน พิมพ์ password สองครั้งให้เหมือนกัน หน้าจอจะไม่แสดงรหัสผ่านที่พิมพ์ลงไป

[root@cent6 ~]# passwd alice
Changing password for user alice.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.

ระวังการใช้คำสั่ง passwd ด้วย root เพราะถ้าลืมพิมพ์ชื่อผู้ใช้งานตามหลังคำสั่ง passwd จะเป็นการเปลี่ยนรหัสผ่านของตัวเอง เช่นถ้า root พิมพ์ ก็จะเป็นการเปลี่ยนรหัสผ่านของ root เอง

[root@cent6 ~]# passwd
Changing password for user root.
New password:

สังเกตชื่อ user ที่แสดงขึ้นมาหลังประโยค Changing password for user

หากต้องการยกเลิกการรันคำสั่ง passwd (และหลายๆ คำสั่งบนลีนุกซ์) ให้กดปุ่ม [Ctrl]+[C] จะเป็นการยกเลิก และออกจากคำสั่งได้

[root@cent6 ~]# passwd
Changing password for user root.
New password: [Ctrl]+[C]
[root@cent6 ~]#

คำสั่ง passwd จะมีการตรวจสอบความยากง่าย (ต่อการเดา) ของรหัสผ่านที่จะเปลี่ยน คือถ้าสามารถเดาง่ายเกินไป หน้าจอจะแสดงคำเตือนว่า BAD PASSWORD พร้อมคำอธิบายประกอบ เช่นสั้นเกินไป ง่ายต่อการเดา หรือเป็นคำที่อยู่ใน dictionary

เพื่อความปลอดภัยของระบบ แนะนำให้ตั้งรหัสผ่านที่ยากต่อการเดา แต่ให้ผู้ใช้งานเองจำได้ด้วย

[root@cent6 ~]# passwd alice
Changing password for user alice.
New password:
BAD PASSWORD: it is too short
BAD PASSWORD: is too simple
Retype new password:

ถ้ายังยืนยันจะใช้ root ก็สามารถเปลี่ยนรหัสผ่านให้ได้ (ไม่แนะนำ)

ผู้ใช้งานแต่ละคนสามารถเปลี่ยนรหัสผ่านของตัวเองได้ โดยใช้คำสั่ง passwd

ข้อแตกต่างหากรันคำสั่ง passwd ด้วยตัวผู้ใช้งานเองคือ

• ต้องใส่รหัสผ่านที่ใช้งานอยู่ (current) ให้ถูกต้อง
• จะไม่ยอมให้ผู้ใช้งานเอง ตั้งรหัสผ่านง่ายเกินไป

ตัวอย่างการใส่รหัสผ่านที่ใช้งานอยู่ไม่ถูกต้อง

[alice@cent6 ~]$ passwd
Changing password for user alice.
Changing password for alice.
(current) UNIX password:
passwd: Authentication token manipulation error

ตัวอย่างการตั้งรหัสผ่านง่ายเกินไป คำสั่ง passwd จะไม่ยอมเปลี่ยนให้

[alice@cent6 ~]$ passwd
Changing password for user alice.
Changing password for alice.
(current) UNIX password:
New password:
BAD PASSWORD: it is too short
New password:
BAD PASSWORD: it is based on your username
New password:
BAD PASSWORD: it is based on a dictionary word
passwd: Have exhausted maximum number of retries for service
[alice@cent6 ~]$

เปลี่ยนเป็น root ด้วยคำสั่ง su

ตัวอย่างการล็อกอินด้วยผู้ใช้งานธรรมดา สังเกต พร้อมพต์จะเป็นเครื่องหมาย $

login as: alice
alice@192.168.5.62's password:
[alice@cent6 ~]$

ใช้คำสั่ง su เมื่อต้องการเปลี่ยนจากผู้ใช้งานธรรมดา ให้เป็น root ใส่ password ของ root ให้ถูกต้อง

สังเกต พร้อมพต์ที่เปลี่ยนไปจากเครื่องหมาย $ เป็น #

[alice@cent6 ~]$ su -
Password:
[root@cent6 ~]#

ใช้คำสั่ง exit เมื่อต้องการออกจาก root เปลี่ยนเป็นผู้ใช้ธรรมดา

[root@cent6 alice]# exit
exit
[alice@cent6 ~]$

การใช้คำสั่ง su เพื่อเปลี่ยนเป็น root แนะนำให้พิมพ์เว้นวรรคแล้วตามด้วยเครื่องหมายลบ “-” เพื่อเปลี่ยนเป็น root แบบสมบูรณ์แบบ คือให้อ่านค่าคอนฟิกของ root  ด้วย

ตัวอย่างที่เห็นได้ชัดคือค่าคอนฟิก PATH ระหว่างผู้ใช้ธรรมดา กับ root จะแตกต่างกัน หากเปรียบเทียบการใช้คำสั่ง su แล้วตามด้วยเครื่องหมายลบ

[alice@cent6 ~]$ echo $PATH
/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/alice/bin

คำสั่ง su แบบไม่มีเครื่องหมายลบ ตัวแปร $PATH จะมีค่าเหมือนเดิม

[alice@cent6 ~]$ su
Password:
[root@cent6 alice]# echo $PATH
/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/alice/bin

คำสั่ง su ตามด้วยเครื่องหมาย ‘-’ ตัวแปร $PATH จะเปลี่ยนไปตามคอนฟิกของ root

[alice@cent6 ~]$ su -
Password:
[root@cent6 ~]# echo $PATH
/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin

การลบผู้ใช้งาน (userdel)

ใช้คำสั่ง userdel ตามด้วยชื่อผู้ใช้งานที่ต้องการลบออกจากเครื่องลีนุกซ์

โดยดีฟอลต์ คำสั่ง userdel จะลบชื่อผู้ใช้ออกจากระบบ แต่ไฟล์ที่อยู่ใน HOME ของผู้ใช้ยังอยู่ ทั้งนี้ก็เพื่อสำรองไฟล์ไว้ เผื่อผู้ใช้งานคนนี้จะมาขอไฟล์ภายหลังได้

ตัวอย่างการใช้คำสั่ง userdel ไม่ระบุออปชั่น

[root@cent6 ~]# id alice
uid=500(alice) gid=500(alice) groups=500(alice)

[root@cent6 ~]# userdel alice

[root@cent6 ~]# ls -ld /home/alice/
drwx------. 2 500 500 4096 Apr 21 12:44 /home/alice/

[root@cent6 ~]# id alice
id: alice: No such user

ระบุออปชั่น ‘-r’ หากต้องการลบไฟล์ที่อยู่ใน HOME ของผู้ใช้ด้วย

[root@cent6 ~]# id alice
uid=500(alice) gid=500(alice) groups=500(alice)

[root@cent6 ~]# userdel -r alice

[root@cent6 ~]# ls -ld /home/alice/
ls: cannot access /home/alice/: No such file or directory

หากไม่ต้องการแก้ไขค่าคอนฟิกของการบู๊ต ก็ปล่อยผ่านไป ประมาณ 5 วินาที เครื่องก็จะบู๊ตเพื่อรันเซอร์วิสต่างๆ โดยอัตโนมัติ

แต่ถ้าหากต้องการเข้าหน้าเมนูบู๊ต เพื่อแก้ไขค่าคอนฟิกหรือแก้ไขปัญหาการบู๊ต ให้กดปุ่มอะไรก็ได้ จะเข้าสู่ หน้าจอเมนูบู๊ต

ในหน้าจอเมนูบู๊ต หากต้องการเริ่มบู๊ตเครื่องให้กดปุ่ม [Enter]

หน้าจอขึ้นแถบสี แสดงว่ากำลังรันโปรเซสหรือเซอร์วิสต่างๆ อยู่ รอจนกว่าแถบสีขาวจะเต็ม ถึงจะบู๊ตเสร็จเรียบร้อย

โดยปกติการบู๊ตของ CentOS ไม่น่าจะเกิน 10 นาที (ไม่รวมการ warm-up เครื่อง) หากหน้าจอแสดงแถบสีค้าง นานเกินไป สามารถกดปุ่ม [Esc] เพื่อดูรายละเอียดการบู๊ตว่า ค้างอยู่ขั้นตอนไหน เพื่อตรวจสอบปัญหาได้

ตัวอย่างหน้าจอแสดงรายละเอียดการบู๊ต เมื่อกดปุ่ม [Esc]

เมื่อบู๊ตเสร็จเรียบร้อย หน้าจอจะขึ้นตัวหนังสือแสดงเวอร์ชั่นของ CentOS และ Linux Kernel พร้อมให้ login

เริ่มต้น login ด้วย root และใส่ password ที่ได้ระบุไว้ตอนติดตั้ง

หากใส่ login, password ถูกต้อง หน้าจอจะขึ้นคล้ายตัวอย่าง [root@cent6 ~]# หรือเรียกกว่า prompt ของ root

แต่ถ้าใส่ login, password ไม่ถูกต้อง จะขึ้น Login incorrect ต้องใส่ login, password อีกครั้ง

หมายเหตุ สำหรับ Linux/UNIX ตัวอักษรใหญ่ เล็ก จะมีผลทั้ง login, password เช่น root ต้องพิมพ์เป็นตัวอักษรตัวเล็กทั้งหมด

คำสั่งแรกที่อยากแนะนำให้รู้จักหลังจากเปิดเครื่อง บู๊ตเครื่อง ล็อกอินด้วย root ได้สำเร็จแล้ว คือคำสั่งปิดเครื่อง

พิมพ์คำสั่ง shutdown –h now เพื่อปิดเครื่อง

แนะนำให้ใช้คำสั่ง shutdown ทุกครั้งสำหรับการปิดเครื่อง เพื่อการปิดโปรแกรม ปิดโปรเซส ปิดเซอร์วิส อย่างถูกต้อง

หน้าจอแสดงรายละเอียดการปิดเซอร์วิสต่างๆ ก่อนการปิดเครื่อง

ด้านล่างซ้ายของหน้าจอ จะมีให้เลือก [ ] System Clock uses UTC แนะนำให้คลิ้กออก

คลิ้กปุ่ม Next ไปขั้นตอนต่อไป

หน้าจอให้ใส่รหัสผ่าน (password) ของ root ใส่สองครั้งให้เหมือนกัน

ข้อมูลอ้างอิง

• System clock uses UTC กับเวลาของเครื่องลีนุกซ์

เป็นการตรวจสอบ user จาก Local Password หรือไฟล์ /etc/passwd, /etc/shadow ผ่าน Linux PAM ที่อยู่บนเครื่อง proxy server เอง

แต่ถ้าบริษัทหรือองค์กรของเรามีการเก็บ user, password อยู่บนเซิร์ฟเวอร์เครื่องอื่น เช่นเก็บรวมเป็นศูนย์กลางบน LDAP Server เราก็สามารถคอนฟิก Squid Proxy Server ให้ตรวจสอบ user, password จาก LDAP Server ได้

วิธีการคือ แก้ไขคอนฟิกในส่วนของ auth_param basic program เปลี่ยนไปใช้ไฟล์ basic_ldap_auth

สมมติว่าค่าคอนฟิกต่างๆ ของ LDAP Server มีดังนี้

• ออปชั่น ‘-v’ ระบุเวอร์ชั่นของ LDAP ที่ใช้ = 3
• ออปชั่น ‘-b’ ระบุ Base DN สำหรับการค้นหา = “dc=example,dc=com”
• ออปชั่น ‘-f’ ระบุเงื่อนไขการค้นหา uid=% คือให้ค้นหาการ username (บน LDAP Server ก็ต้องเก็บโดยใช้ชื่อฟิลด์ uid ด้วย)
• ออปชั่น ‘-h’ ระบุ IP Address = 192.168.1.10

แต่ถ้า LDAP Server ที่คุณใช้ ต้องมีการระบุชื่อ DN และ password ที่ใช้ bind ด้วย ก็ต้องระบุ 2 ออปชั่นนี้เพิ่มเติม

• ออปชั่น ‘-D’ ระบุชื่อ DN สำหรับการ bind เข้า LDAP
• ออปชั่น ‘-w’ ระบุ password ที่ใช้ bind เข้า LDAP

ตัวอย่างการแก้ไขคอนฟิก

[root@fc16-64a ~]# cat /etc/squid/squid.conf
....
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
auth_param basic children 5
auth_param basic realm Proxy Authentication
auth_param basic credentialsttl 12 hours
auth_param basic program /usr/lib64/squid/basic_ldap_auth -v 3 -b "dc=example,dc=com" -f uid=%s -h 192.168.1.10

acl user_ldap_auth proxy_auth REQUIRED
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet user_ldap_auth
...

ใช้คำสั่ง service หรือ systemctl เพื่อ start หรือ reload เซอร์วิส squid

[root@fc16-64a ~]# systemctl reload squid.service

เสร็จแล้วลองทดสอบจาก Browser

หมายเหตุ หลังจากทดสอบเรียบร้อยใช้งานได้แล้ว เพื่อความปลอดภัยของเซิร์ฟเวอร์ หากคุณเปลี่ยนจาก basic_pam_auth มาเป็น basic_ldap_auth แล้ว ให้ยกเลิก setuid root ของไฟล์ basic_pam_auth ด้วย ใช้คำสั่ง chmod ดังนี้

[root@fc16-64a ~]# ls -l /usr/lib64/squid/basic_pam_auth
-rwsr-x---. 1 root squid 15416 Sep 20 15:36 /usr/lib64/squid/basic_pam_auth

[root@fc16-64a ~]# chmod u-s /usr/lib64/squid/basic_pam_auth

[root@fc16-64a ~]# ls -l /usr/lib64/squid/basic_pam_auth
-rwxr-x---. 1 root squid 15416 Sep 20 15:36 /usr/lib64/squid/basic_pam_auth

ข้อมูลอ้างอิง

• คอนฟิก Squid Proxy Server ให้ผู้ใช้ใส่ user, password ก่อนเข้าเว็บ
• ติดตั้ง OpenLDAP Server บน Fedora 13
• squid: basic_ldap_auth

โดยจะตรวจสอบ user, password กับ Local Password หรือไฟล์ /etc/passwd, /etc/shadow ผ่าน Linux PAM ที่อยู่บนเครื่อง Proxy Server เอง

ทดสอบบน Fedora 16 ติดตั้ง squid-3.2.0.12-1

ติดตั้งไฟล์ rpm จากแผ่นดีวีดีติดตั้ง

[root@fc16-64a ~]# mount /dev/cdrom /mnt/cdrom
mount: block device /dev/sr0 is write-protected, mounting read-only

[root@fc16-64a ~]# cd /mnt/cdrom/Packages/
[root@fc16-64a Packages]# rpm -i squid-3.2.0.12-1.fc16.x86_64.rpm

มีหลายวิธีที่คอนฟิกให้ถาม user, password ก่อนใช้ proxy ได้ วิธีหนึ่งคือเพิ่มคอนฟิกออปชั่น auth_param basic มี 3 ขั้นตอนดังนี้

1. ตั้งค่าคอนฟิกของ auth_param basic มีอยู่หลายค่า บรรทัดสำคัญคือ program ในที่นี้จะเลือกเป็น basic_pam_auth เพื่อให้ตรวจสอบกับ Linux PAM
2. สร้าง acl เป็นชนิด proxy_auth ในตัวอย่างนี้ ตั้งชื่อ acl เป็น user_pam_auth
3. สุดท้ายนำ acl ที่สร้างขึ้นไปผูกเงื่อนไขใน http_access เช่นในที่นี้ ยังคงอนุญาตให้เครื่องที่อยู่ใน localnet ใช้ proxy ได้ แต่ต้องใส่ user, password ก่อน

ตัวอย่างแก้ไขไฟล์ /etc/squid/squid.conf (แสดงเฉพาะส่วนที่แก้ไขจากดีฟอลต์คอนฟิกเท่านั้น)

[root@fc16-64a ~]# cat /etc/squid/squid.conf
....
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
auth_param basic children 5
auth_param basic realm Proxy Authentication
auth_param basic credentialsttl 12 hours
auth_param basic program /usr/lib64/squid/basic_pam_auth

acl user_pam_auth proxy_auth REQUIRED

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet user_pam_auth
...

ใช้คำสั่ง service หรือ systemctl เพื่อ start หรือ reload เซอร์วิส squid

[root@fc16-64a ~]# systemctl reload squid.service

ใช้คำสั่ง useradd เพิ่ม user สำหรับทดสอบ

[root@fc16-64a ~]# useradd -g users user1
[root@fc16-64a ~]# passwd user1
Changing password for user user1.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.

ทดสอบจาก Browser

คอนฟิก Browser ของเครื่องผู้ใช้ ให้ชี้มาที่ proxy แล้วลองเข้าเว็บดู จะมีหน้าจอให้ใส่ user, password ลองใส่ user ที่เพิ่งสร้างขึ้น

แม้จะพยายามใส่ user, password อย่างไร ก็ไม่สำเร็จ

ที่เป็นเช่นนี้เนื่องจาก basic_pam_auth ไ่ม่สามารถอ่านไฟล์ /etc/shadow ได้ จำเป็นต้องแก้ไขไฟล์นี้ให้เป็น setuid root

ใช้คำสั่ง chmod เพื่อแก้ไขไฟล์ให้เป็น setuid root

[root@fc16-64a ~]# ls -l /usr/lib64/squid/basic_pam_auth
-rwxr-xr-x. 1 root root 15416 Sep 20 15:36 /usr/lib64/squid/basic_pam_auth

[root@fc16-64a ~]# chmod u+s /usr/lib64/squid/basic_pam_auth

[root@fc16-64a ~]# ls -l /usr/lib64/squid/basic_pam_auth
-rwsr-xr-x. 1 root root 15416 Sep 20 15:36 /usr/lib64/squid/basic_pam_auth

แต่การใช้ setuid root แบบนี้ ค่อนข้างอันตราย user ทั่วไป บนเครื่องเซิร์ฟเวอร์ สามารถรันโปรแกรมนี้แล้วตรวจสอบไฟล์ /etc/shadow ได้

วิธีที่จะพอป้องกันได้ คือให้เฉพาะ squid รันไฟล์นี้ได้เท่านั่้น ตัวอย่างเช่น

[root@fc16-64a ~]# chmod 750 /usr/lib64/squid/basic_pam_auth
[root@fc16-64a ~]# chgrp squid /usr/lib64/squid/basic_pam_auth
[root@fc16-64a ~]# ls -l /usr/lib64/squid/basic_pam_auth
-rwxr-x---. 1 root squid 15416 Sep 20 15:36 /usr/lib64/squid/basic_pam_auth

[root@fc16-64a ~]# chmod u+s /usr/lib64/squid/basic_pam_auth
[root@fc16-64a ~]# ls -l /usr/lib64/squid/basic_pam_auth
-rwsr-x---. 1 root squid 15416 Sep 20 15:36 /usr/lib64/squid/basic_pam_auth

รีโหลดเซอร์วิสหลังแก้ไข

[root@fc16-64a ~]# systemctl reload squid.service

ลองใส่ user, password อีกครั้ง บน browser น่าจะใช้งานได้แล้ว

ข้อมูลอ้างอิง

• squid: basic_pam_auth
• คอนฟิก Squid Proxy Server
• คอนฟิก Squid Proxy Server ให้ตรวจสอบ user, password จาก LDAP

คำอธิบายออปชั่น “maxlogins” คือ max number of logins for this user

คอนฟิกได้สองแบบคือ จำกัดเป็นรายคน เช่น ชื่อผู้ใช้ user1 สามารถ login ได้สูงสุดพร้อมกันได้แค่ 2 sessions แต่ถ้าต้องการจำกัดผู้ใช้ที่อยู่ในกลุ่ม (group) ให้เติมเครื่องหมาย @ ข้างหน้าชื่อกลุ่ม

ตัวอย่างคอนฟิก จำกัดผู้ใช้ user1 ให้ login พร้อมกันได้แค่ 2 sessions เท่านั้น

[root@server ~]# cat /etc/security/limits.conf
user1           -       maxlogins       2

หลังแก้ไขไฟล์แล้ว คอนฟิกใหม่มีผลต่อการ login ครั้งต่อไปเลย ไม่จำเป็นต้องรีสตาร์ตโปรแกรม หรือเซอร์วิสใด

ตัวอย่างข้อความในไฟล์ /var/log/secure ที่เกิดขึ้น ระหว่างการทดสอบ login

login ด้วย user1 ครั้งแรก ได้

Jul  8 13:21:19 server sshd[2375]: Accepted password for user1 from 192.168.1.12 port 4310 ssh2
Jul  8 13:21:19 server sshd[2375]: pam_unix(sshd:session): session opened for user user1 by (uid=0)

login ด้วย user1 ครั้งที่ 2 ก็ได้

Jul  8 13:21:39 server sshd[2400]: Accepted password for user1 from 192.168.1.12 port 4311 ssh2
Jul  8 13:21:39 server sshd[2400]: pam_unix(sshd:session): session opened for user user1 by (uid=0)

ใช้คำสั่ง w เพื่อดูผู้ใช้ที่ login อยู่

[user1@server ~]$ w
 13:21:49 up 14 min,  3 users,  load average: 0.07, 0.19, 0.25
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
admin    pts/0    192.168.1.12         13:19   35.00s  0.72s  0.18s sshd: admin [priv]
user1    pts/1    192.168.1.12         13:21   30.00s  0.20s  0.20s -bash
user1    pts/2    192.168.1.12         13:21    0.00s  0.25s  0.04s w

login ด้วย user1 ครั้งที่ 3 จะไม่ได้แล้ว

Jul  8 13:22:00 server sshd[2426]: Accepted password for user1 from 192.168.1.12 port 4312 ssh2
Jul  8 13:22:00 server sshd[2426]: pam_limits(sshd:session): Too many logins (max 2) for user1
Jul  8 13:22:00 server sshd[2426]: pam_unix(sshd:session): session opened for user user1 by (uid=0)
Jul  8 13:22:00 server sshd[2426]: error: PAM: pam_open_session(): Permission denied

คุณต้องเคยเจอปัญหานี้แน่นอน คือมีการพยายามเจาะระบบด้วยการ ssh เข้ามา ด้วย user, password ต่างๆ ที่คาดว่าจะมีในเครื่อง

ตัวอย่างไฟล์ /var/log/secure แสดงถึงการพยายาม ssh แต่ไม่สำเร็จ

May  2 16:39:27 server sshd[8309]: Invalid user john from x.x.x.x
May  2 16:39:27 server sshd[8310]: input_userauth_request: invalid user john
May  2 16:39:27 server sshd[8309]: pam_unix(sshd:auth): check pass; user unknown
May  2 16:39:27 server sshd[8309]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x
May  2 16:39:27 server sshd[8309]: pam_succeed_if(sshd:auth): error retrieving information about user john
May  2 16:39:29 server sshd[8309]: Failed password for invalid user john from x.x.x.x port 3291 ssh2
May  2 16:39:29 server sshd[8310]: Received disconnect from x.x.x.x: 11: Bye Bye

การป้องกัน หรือคำแนะนำอย่างแรก ที่พึงกระทำคือ ตั้ง user, password ให้ยากต่อการคาดเดา แต่เท่านั้นอาจไม่เพียงพอ

บทความนี้ขอเสนอวิธีการป้องกันด้วย fail2ban ซึ่งจะช่วยแบน ip ที่พยายาม login แต่ไม่สำเร็จได้

หลักการทำงานคร่าวๆ คือ โปรแกรม fail2ban จะคอยตรวจสอบไฟล์ที่ตั้งไว้ โดยค้นหาคำหรือประโยคที่เกิดขึ้นในไฟล์ เมื่อมีการ failed attempts เกิดขึ้นถึงจำนวนครั้งที่กำหนด fail2ban จะทำการบางอย่างที่ตั้งไว้ เช่น รันคำสั่ง iptables เพื่อ DROP packets ได้

ติดตั้งไฟล์ rpm

ในที่นี้ทดสอบบน Fedora 14 ต้องติดตั้งไฟล์ rpm เพิ่มเติมดังนี้

[root@fc14-x64 ~]# rpm -ivh gamin-python-0.1.10-8.fc14.x86_64.rpm
[root@fc14-x64 ~]# rpm -ivh shorewall-4.4.11.1-1.fc14.noarch.rpm
[root@fc14-x64 ~]# rpm -ivh fail2ban-0.8.4-25.fc14.noarch.rpm

เพื่อความชัดเจนในการทดสอบ จะรันคำสั่ง service iptables stop เพื่อเคลียร์ rule ของ iptables ทั้งหมดออกก่อน

[root@fc14-x64 ~]# service iptables stop
iptables: Flushing firewall rules:                         [  OK  ]
iptables: Setting chains to policy ACCEPT: filter          [  OK  ]
iptables: Unloading modules:                               [  OK  ]

ใช้คำสั่ง iptables เพื่อแสดง rule ที่ใช้งานอยู่

[root@fc14-x64 ~]# iptables -L -v -n
Chain INPUT (policy ACCEPT 46 packets, 3176 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 40 packets, 5272 bytes)
 pkts bytes target     prot opt in     out     source               destination

ใช้คำสั่ง service เพื่อสตาร์ต fail2ban

[root@fc14-x64 ~]# service fail2ban start
Starting fail2ban:                                         [  OK  ]

ใช้คำสั่ง ps เพื่อดูโปรเซสของ fail2ban

[root@fc14-x64 ~]# ps -ef | grep fail2ban
root      1151     1  0 23:32 ?        00:00:00 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/fail2ban.sock -x

ดูในไฟล์ /var/log/messages แสดงการเริ่มต้นทำงานของ fail2ban

[root@fc14-x64 ~]# tail /var/log/messages

May  6 23:35:32 fc14-x64 fail2ban.server : INFO   Changed logging target to SYSLOG for Fail2ban v0.8.4
May  6 23:35:32 fc14-x64 fail2ban.jail   : INFO   Creating new jail 'ssh-iptables'
May  6 23:35:32 fc14-x64 fail2ban.jail   : INFO   Jail 'ssh-iptables' uses Gamin
May  6 23:35:32 fc14-x64 fail2ban.filter : INFO   Added logfile = /var/log/secure
May  6 23:35:32 fc14-x64 fail2ban.filter : INFO   Set maxRetry = 5
May  6 23:35:32 fc14-x64 fail2ban.filter : INFO   Set findtime = 600
May  6 23:35:32 fc14-x64 fail2ban.actions: INFO   Set banTime = 600
May  6 23:35:32 fc14-x64 fail2ban.jail   : INFO   Jail 'ssh-iptables' started

ดีฟอลต์คอนฟิกไฟล์ rpm ที่ได้มาจาก Fedora 14 จะตรวจสอบเฉพาะการพยายาม SSH โดยดูในไฟล์ /var/log/secure

fail2ban จะสร้าง rule และ chain ใหม่ขึ้นมา ใน iptables

[root@fc14-x64 ~]# iptables -L -v -n
Chain INPUT (policy ACCEPT 92 packets, 7885 bytes)
 pkts bytes target     prot opt in     out     source               destination
   53  4052 fail2ban-SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 84 packets, 8087 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain fail2ban-SSH (1 references)
 pkts bytes target     prot opt in     out     source               destination
   53  4052 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

ไฟล์คอนฟิกของ fail2ban

ไฟล์คอนฟิกของ fail2ban อยู่ใน /etc/fail2ban/

ไฟล์ /etc/fail2ban/jail.conf จะเป็นการกำหนดการทำงานของ fail2ban

คอนฟิกบางส่วนจากไฟล์ jail.conf

[root@fc14-x64 ~]# cat /etc/fail2ban/jail.conf
...
[DEFAULT]
...
# "bantime" is the number of seconds that a host is banned.
bantime  = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime  = 600
...
[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           sendmail-whois[name=SSH, dest=root, sender=fail2ban@mail.com]
logpath  = /var/log/secure
maxretry = 5

คำอธิบายคร่าวๆ จากไฟล์ jail.conf คือ ให้ตรวจสอบ (filter) การ ssh โดยดูในไฟล์ (logpath) /var/log/secure ว่า ถ้ามีการ failed login เกิน (maxretry) ครั้ง ภายในเวลา (findtime) 600 วินาที ให้ทำการ (action) รัน iptables ด้วยออปชั่นในวงเล็บ

สามารถดูรายละเอียด filter ในไฟล์ /etc/fail2ban/filter.d/sshd.conf

[root@fc14-x64 ~]# cat /etc/fail2ban/filter.d/sshd.conf
...
[Definition]

_daemon = sshd
...
failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
            ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$
            ^%(__prefix_line)sFailed (?:password|publickey) for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$
            ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
            ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
            ^%(__prefix_line)sUser \S+ from <HOST> not allowed because not listed in AllowUsers$
            ^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
            ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
            ^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT!*\s*$
            ^%(__prefix_line)sUser \S+ from <HOST> not allowed because none of user's groups are listed in AllowGroups$

คำอธิบายจากไฟล์คอนฟิก filter คือ ให้ตรวจสอบหาคำหรือประโยคที่ระบุไว้ใน failregex (regular expression)

ส่วน action ที่ทำ หลังจาก maxretry ดูได้ในไฟล์  /etc/fail2ban/action.d/iptables.conf

[root@fc14-x64 ~]# cat /etc/fail2ban/action.d/iptables.conf
...
actionban = iptables -I fail2ban-<name> 1 -s <ip> -j DROP
...
actionunban = iptables -D fail2ban-<name> -s <ip> -j DROP

คำอธิบาย คือการรันคำสั่ง iptables เพื่อสร้าง rule เพื่อจะ ban <ip> ที่พยายามเข้ามา

และเมื่อเกินเวลา (bantime) 600 วินาที แล้ว ก็รันคำสั่ง iptables เพื่อลบ rule ที่สร้างขึ้น อนุญาตให้ <ip> สามารถเข้ามาได้อีกครั้ง

ทดสอบการ login fail

คำเตือน การทดลองใช้ fail2ban ให้ลองบนเครื่องที่สามารถ console ได้  เพราะการคอนฟิกหรือลอง login fail จะทำให้คุณไม่สามารถ ssh เข้าเครื่องนั้นได้ ช่วงเวลาหนึ่ง

สมมุติให้ลอง ssh login fail ด้วย root จาก 192.168.1.12

ดูไฟล์ /var/log/secure ที่เกิดขึ้นบน server

[root@fc14-x64 ~]# tail -f /var/log/secure
May  6 23:43:47 fc14-x64 unix_chkpwd[1340]: password check failed for user (root)
May  6 23:43:47 fc14-x64 sshd[1338]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.12  user=root
May  6 23:43:49 fc14-x64 sshd[1338]: Failed password for root from 192.168.1.12 port 34811 ssh2

May  6 23:43:56 fc14-x64 unix_chkpwd[1342]: password check failed for user (root)
May  6 23:43:58 fc14-x64 sshd[1338]: Failed password for root from 192.168.1.12 port 34811 ssh2

May  6 23:44:00 fc14-x64 unix_chkpwd[1343]: password check failed for user (root)
May  6 23:44:01 fc14-x64 sshd[1338]: Failed password for root from 192.168.1.12 port 34811 ssh2
May  6 23:44:01 fc14-x64 sshd[1339]: Connection closed by 192.168.1.12
May  6 23:44:01 fc14-x64 sshd[1338]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.12  user=root

May  6 23:44:16 fc14-x64 unix_chkpwd[1348]: password check failed for user (root)
May  6 23:44:16 fc14-x64 sshd[1346]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.12  user=root
May  6 23:44:19 fc14-x64 sshd[1346]: Failed password for root from 192.168.1.12 port 34812 ssh2

May  6 23:44:22 fc14-x64 unix_chkpwd[1349]: password check failed for user (root)
May  6 23:44:25 fc14-x64 sshd[1346]: Failed password for root from 192.168.1.12 port 34812 ssh2
May  6 23:44:25 fc14-x64 sshd[1347]: Connection closed by 192.168.1.12
May  6 23:44:25 fc14-x64 sshd[1346]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.12  user=root

เมื่อ login fail เกินค่า maxretry ที่ตั้งไว้ ในที่นี้คือ 5 ครั้ง สังเกตในไฟล์ /var/log/messages  โปรแกรม fail2ban จะทำการ action ขึ้นมา เพื่อ ban 192.168.1.12

[root@fc14-x64 ~]# tail /var/log/messages
May  6 23:44:27 fc14-x64 <28>fail2ban.actions: WARNING [ssh-iptables] Ban 192.168.1.12

ใช้คำสั่ง iptables เพื่อตรวจสอบ rule ที่เพิ่มขึ้น

[root@fc14-x64 ~]# iptables -L -v -n
Chain INPUT (policy ACCEPT 61 packets, 10699 bytes)
 pkts bytes target     prot opt in     out     source               destination
  453 37587 fail2ban-SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 60 packets, 7044 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain fail2ban-SSH (1 references)
 pkts bytes target     prot opt in     out     source               destination
    2   120 DROP       all  --  *      *       192.168.1.12            0.0.0.0/0
  451 37467 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

สังเกตว่า rule ที่สร้างขึ้น จะ DROP เฉพาะการ ssh (tcp 22) เท่านั้น แปลว่า ip ที่ถูก ban ไป จะไม่สามารถ ssh เข้าเครื่อง server ได้อีก แต่ยังสามารถเปิด web (tcp 80) หรืออื่นๆ ได้ตามปกติ

คอนฟิกในไฟล์ jail.conf เมื่อมีการ ban เกิดขึ้น จะมีการส่ง mail หา root ด้วย

ตัวอย่าง mail ที่ส่งให้ root

From fail2ban@mail.com  Fri May  6 23:44:28 2011
Return-Path: <fail2ban@mail.com>
Date: Fri, 6 May 2011 23:44:27 +0700
Subject: [Fail2Ban] SSH: banned 192.168.1.12
From: Fail2Ban <fail2ban@mail.com>
To: root@fc14-x64.example.com
Status: R

Hi,

The IP 192.168.1.12 has just been banned by Fail2Ban after 5 attempts against SSH.
...

เมื่อเวลาผ่านไป เกินเวลา bantime ในที่นี้ 600 วินาที  โปรแกรม fail2ban ก็จะปลดการ ban ออก ดูได้จากไฟล์ /var/log/messsages

[root@fc14-x64 ~]# tail /var/log/messages
May  6 23:44:27 fc14-x64 <28>fail2ban.actions: WARNING [ssh-iptables] Ban 192.168.1.12
May  6 23:54:28 fc14-x64 <28>fail2ban.actions: WARNING [ssh-iptables] Unban 192.168.1.12

ใช้คำสั่ง iptables เพื่อตรวจสอบ rule ที่ใช้งานอยู่ หลังจาก unban

[root@fc14-x64 log]# iptables -L -v -n
Chain INPUT (policy ACCEPT 561 packets, 50572 bytes)
 pkts bytes target     prot opt in     out     source               destination
 1753  141K fail2ban-SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 501 packets, 50410 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain fail2ban-SSH (1 references)
 pkts bytes target     prot opt in     out     source               destination
 1751  141K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

ลองนำไปใช้ดูครับ เพิ่มความปลอดภัยให้เครื่องได้อีกระดับ

ข้อมูลอ้างอิง

• Fail2ban

แบบเก่าไฟล์คอนฟิกหลักจะอยู่ในไฟล์ /etc/openldap/slapd.conf แต่แบบใหม่คอนฟิกจะถูกเก็บแยกเป็นไฟล์ LDIF เป็นโครงสร้างอยู่ในไดเร็คทอรี /etc/openldap/slapd.d/ และเมื่อรันเซอร์วิส ไฟล์เหล่านี้จะถูกอ่านเข้าไปใน LDAP เลย ซึ่งทำให้เราสามารถแก้ไขคอนฟิกเซิร์ฟเวอร์ ได้ เหมือนกับการแก้ไขข้อมูลอื่นๆ ใน LDAP

รายละเอียดเพิ่มเติมหาอ่านได้จาก ข้อมูลอ้างอิง Configuring slapd

เพื่อความสะดวก ทางทีมพัฒนา OpenLDAP ได้สร้างคำสั่ง slaptest เพื่อใช้ในการเปลี่ยนคอนฟิกแบบเก่าไฟล์เดียว ให้เป็นรูปแบบใหม่ได้

ในบทความนี้จะแสดงขั้นตอนการติดตั้งและคอนฟิก OpenLDAP บนเครื่อง Fedora 13 (x86_64)

ติดตั้ง openldap

ใช้คำสั่ง rpm เพื่อตรวจสอบการติดตั้ง openldap ว่ามีอยู่แล้วหรือไม่

[root@fc13-64a ~]# rpm -qa | grep openldap
openldap-2.4.21-4.fc13.x86_64

เพื่อจะคอนฟิกเป็นเซิร์ฟเวอร์ได้ ต้องติดตั้งไฟล์ rpm เพิ่มเติม บางไฟล์หาได้จากแผ่นดีวีดีติดตั้ง

[root@fc13-64a ~]# mount /dev/scd0 /media
mount: block device /dev/sr0 is write-protected, mounting read-only
[root@fc13-64a ~]# cd /media/Packages/

[root@fc13-64a Packages]# rpm -i libtool-ltdl-2.2.6-20.fc13.x86_64.rpm
[root@fc13-64a Packages]# rpm -i openldap-clients-2.4.21-4.fc13.x86_64.rpm

ดาวน์โหลดไฟล์เพิ่มเติมจาก fc13 Everything แล้วติดตั้ง

[root@fc13-64a Everything]# rpm -i openldap-servers-2.4.21-4.fc13.x86_64.rpm

ไฟล์คอนฟิกดีฟอลต์ของ OpenLDAP จะถูกติดตั้งอยู่ใน /etc/openldap/

[root@fc13-64a ~]# cd /etc/openldap/

[root@fc13-64a openldap]# ls -l
total 24
drwxr-xr-x. 2 root root 4096 Feb 24 16:19 cacerts
-rw-r--r--. 1 root root  245 Feb 24 16:19 ldap.conf
drwxr-xr-x  3 root root 4096 Jul 16 20:37 schema
-rw-r-----  1 root ldap 4153 Feb 24 16:19 slapd.conf.bak
drwx------  3 ldap ldap 4096 Jul 16 20:37 slapd.d

รันเซอร์วิส

ใช้คำสั่ง service เพิ่มรัน slapd (OpenLDAP server)

[root@fc13-64a ~]# service slapd start
/var/lib/ldap/__db.004 is not owned by "ldap"              [WARNING]
/var/lib/ldap/__db.001 is not owned by "ldap"              [WARNING]
/var/lib/ldap/__db.002 is not owned by "ldap"              [WARNING]
/var/lib/ldap/__db.006 is not owned by "ldap"              [WARNING]
/var/lib/ldap/__db.005 is not owned by "ldap"              [WARNING]
/var/lib/ldap/alock is not owned by "ldap"                 [WARNING]
/var/lib/ldap/__db.003 is not owned by "ldap"              [WARNING]
ln: accessing `/var/run/openldap/slapd.pid': No such file or directory

มีข้อผิดพลาดฟ้องเรื่อง permission ไม่ถูกต้อง

[root@fc13-64a ~]# ls -l /var/lib/ldap/
total 884
-rw------- 1 root root   2048 Jul 16 20:37 alock
-rw------- 1 root root  24576 Jul 16 20:37 __db.001
-rw------- 1 root root 212992 Jul 16 20:37 __db.002
-rw------- 1 root root 270336 Jul 16 20:37 __db.003
-rw------- 1 root root 163840 Jul 16 20:37 __db.004
-rw------- 1 root root 802816 Jul 16 20:37 __db.005
-rw------- 1 root root  32768 Jul 16 20:37 __db.006

ใช้คำสัง chown เพื่อเปลี่ยนเจ้าของไฟล์ (owner)

[root@fc13-64a ldap]# chown ldap.ldap *
[root@fc13-64a ldap]# ls -l
total 884
-rw------- 1 ldap ldap   2048 Jul 16 20:37 alock
-rw------- 1 ldap ldap  24576 Jul 16 20:37 __db.001
-rw------- 1 ldap ldap 212992 Jul 16 20:37 __db.002
-rw------- 1 ldap ldap 270336 Jul 16 20:37 __db.003
-rw------- 1 ldap ldap 163840 Jul 16 20:37 __db.004
-rw------- 1 ldap ldap 802816 Jul 16 20:37 __db.005
-rw------- 1 ldap ldap  32768 Jul 16 20:37 __db.006

ใช้คำสั่ง service เพื่อรันเซอร์วิสอีกครั้ง

[root@fc13-64a ldap]# service slapd start
Starting slapd:                                            [  OK  ]

ใช้คำสั่ง ps เพื่อตรวจสอบ process

[root@fc13-64a ldap]# ps -ef | grep ldap
ldap     22636     1  0 21:18 ?        00:00:00 /usr/sbin/slapd -h  ldap:/// -u ldap

ใช้คำสั่ง service เพื่อปิดเซอร์วิส

[root@fc13-64a ldap]# service slapd stop
Stopping slapd:                                            [  OK  ]

แล้วทดลองรันเซอร์วิสอีกครั้ง จะมีข้อความฟ้องเรื่อง performance

[root@fc13-64a ldap]# service slapd start
Checking configuration files for slapd:                    [WARNING]
bdb_db_open: warning - no DB_CONFIG file found in directory /var/lib/ldap: (2).
Expect poor performance for suffix "dc=my-domain,dc=com".
config file testing succeeded
Starting slapd:                                            [  OK  ]

ปิดเซอร์วิสอีกครั้ง

[root@fc13-64a ldap]# service slapd stop
Stopping slapd:                                            [  OK  ]

เพื่อปรับปรุงเรื่อง performance ต้องสร้างไฟล์ DB_CONFIG  จากตัวอย่างไฟล์ใน /usr/share/doc/openldap-servers-2.4.21/

[root@fc13-64a ldap]# cp /usr/share/doc/openldap-servers-2.4.21/DB_CONFIG.example DB_CONFIG
[root@fc13-64a ldap]# chown ldap.ldap DB_CONFIG
[root@fc13-64a ldap]# chmod 600 DB_CONFIG

ทดสอบการเปิด/ปิด เซอร์วิส ครั้งแรกจะมีฟ้องว่า มีการปรับเปลี่ยนคอนฟิก แล้วหลังจากนั้นก็สามารถรันได้ตามปกติ

[root@fc13-64a ldap]# service slapd start
Checking configuration files for slapd:                    [WARNING]
bdb_db_open: DB_CONFIG for suffix "dc=my-domain,dc=com" has changed.
Performing database recovery to activate new settings.
bdb_db_open: database "dc=my-domain,dc=com": recovery skipped in read-only mode. Run manual recovery if errors are encountered.
config file testing succeeded
Starting slapd:                                            [  OK  ]

[root@fc13-64a ldap]# service slapd stop
Stopping slapd:                                            [  OK  ]

[root@fc13-64a ldap]# service slapd start
Starting slapd:                                            [  OK  ]

ข้อมูลอ้างอิง

• ติดตั้ง OpenLDAP Server บน Fedora 10
• OpenLDAP Software 2.4 Administrator’s Guide: Configuring slapd
• Fedora 13 x86_64 Everything