WordPress พัฒนาด้วยภาษา PHP และใช้ MySQL เป็นฐานข้อมูล ติดตั้งได้ทั้งบน Linux, Unix, MAC OS และ Windows

ในที่นี้จะแสดงวิธีการติดตั้ง WordPress บน CentOS 6 ตั้งแต่การดาวน์โหลดไฟล์ การสร้างฐานข้อมูล คอนฟิกผ่านหน้าเว็บ จนสามารถล็อกอินเข้าสู่หน้า admin ของ WordPress ได้

เครื่องที่ทดสอบ

• ติดตั้ง CentOS 6.2 แบบ “Minimal – Base System – Base”  (ติดตั้ง CentOS 6.2 : เลือกชุดซอฟต์แวร์ที่จะลง)
• IP Address ของเซิร์ฟเวอร์ 192.168.5.62
• ติดตั้งเว็บเซิร์ฟเวอร์ ​Apache
• ติดตั้งฐานข้อมูล MySQL
• ติดตั้งโมดูล PHP เพิ่มเติม บน CentOS 6

สรุปไฟล์ rpm จากแผ่นดีวีดีที่ต้องติดตั้งเพิ่ม หลังจากลง CentOS 6.2 แบบ Minimal +Base

• apr-1.3.9-3.el6_1.2.x86_64.rpm
• apr-util-1.3.9-3.el6_0.1.x86_64.rpm
• apr-util-ldap-1.3.9-3.el6_0.1.x86_64.rpm
• mailcap-2.1.31-2.el6.noarch.rpm
• httpd-tools-2.2.15-15.el6.centos.x86_64.rpm
• httpd-2.2.15-15.el6.centos.x86_64.rpm
• mysql-5.1.52-1.el6_0.1.x86_64.rpm
• perl-DBI-1.609-4.el6.x86_64.rpm
• perl-DBD-MySQL-4.013-3.el6.x86_64.rpm
• mysql-server-5.1.52-1.el6_0.1.x86_64.rpm
• php-5.3.3-3.el6_1.3.x86_64.rpm
• php-cli-5.3.3-3.el6_1.3.x86_64.rpm
• php-common-5.3.3-3.el6_1.3.x86_64.rpm
• php-pdo-5.3.3-3.el6_1.3.x86_64.rpm
• php-mysql-5.3.3-3.el6_1.3.x86_64.rpm

ดาวน์โหลดโปรแกรม WordPress

เข้าเว็บไซต์ wordpress.org เพื่อดาวน์โหลดโปรแกรม wordpress

คลิ้กที่เมนู Download หรือคลิ้กปุ่ม Download WordPress เพื่อเข้าสู่หน้าดาวน์โหลด

ล่าสุด ณ ตอนที่เขียนเป็นเวอร์ชั่น WordPress 3.3.2

ในหน้าดาวน์โหลด แนะนำให้คลิ้กที่ลิ้งค์ Download .tar.gz เพราะจะมีขนาดไฟล์เล็กกว่า .zip และใช้ติดตั้งได้เหมือนกัน

ใช้โปรแกรมประเภท scp เพื่อถ่ายโอนไฟล์ไปยังเครื่องลีนุกซ์ที่จะติดตั้ง

หรือถ้าจะดาวน์โหลดบนคำสั่งลีนุกซ์เลย ก็สามารถทำได้โดยใช้โปรแกรม curl หรือ wget

ตัวอย่างเช่นใช้คำสั่ง curl เพื่อดาวน์โหลดโปรแกรม wordpress

[root@cent6 ~]# curl -o wordpress-3.3.2.tar.gz 'http://wordpress.org/latest.tar.gz'
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 3792k    0 3792k    0     0  53721      0 --:--:--  0:01:12 --:--:-- 59257

ออปชั่น ‘-o‘ ระบุชื่อไฟล์ที่ต้องการเซฟ ส่วน http://wordpress.org/latest.tar.gz เป็น URL ที่ทาง wordpress สร้างไว้สำหรับให้ดาวน์โหลดโปรแกรมที่เป็นเวอร์ชั่นล่าสุด

ไฟล์ที่ได้

[root@cent6 ~]# ls -l wordpress-3.3.2.tar.gz
-rw-r--r--. 1 root root 3883667 May 12 13:20 wordpress-3.3.2.tar.gz

ติดตั้งไฟล์ wordpress

ใช้คำสั่ง tar แตก (extract) ไฟล์ที่ดาวน์โหลดมาในไดเร็คทอรี /var/www/html/

[root@cent6 ~]# cd /var/www/html/
[root@cent6 html]# tar zxvf /root/wordpress-3.3.2.tar.gz
wordpress/
wordpress/license.txt
wordpress/wp-activate.php
wordpress/wp-pass.php
wordpress/wp-login.php
wordpress/readme.html
...
wordpress/wp-mail.php
wordpress/wp-config-sample.php
wordpress/wp-links-opml.php
wordpress/wp-comments-post.php
wordpress/wp-app.php
[root@cent6 html]#

หลังการใช้คำสั่ง tar เพื่อแตกไฟล์ที่ดาวน์โหลดมา ทุกครั้งแนะนำให้แก้ไข owner และ group ของไฟล์ เพื่อป้องกัน owner หรือ group ไปตรงกับผู้ใช้ (user) ที่อยู่บนเครื่อง

[root@cent6 html]# ls -l wordpress/
total 204
-rw-r--r--. 1 33 tape   397 May 26  2008 index.php
-rw-r--r--. 1 33 tape 16899 Jun  9  2011 license.txt
-rw-r--r--. 1 33 tape  9202 Apr 20 19:44 readme.html
-rw-r--r--. 1 33 tape  4268 Oct 20  2011 wp-activate.php
...

ใช้คำสั่ง chown เพื่อแก้ไข owner และ group ให้เป็น root ทั้งหมด

หมายเหตุ หรือถ้าต้องการเพิ่มความปลอดภัยของระบบอีกขั้น แนะนำให้สร้าง user เพื่อเป็นเจ้าของไฟล์ที่ติดตั้งนี้อีกที แต่ในที่นี้ขอใช้ root เพื่อความง่ายต่อการนำเสนอ

ใช้คำสั่ง chown ออปชั่น ‘-R’ เพื่อเปลี่ยน owner และ group ของทุกไฟล์ภายใต้ไดเร็คทอรีที่ระบุ

[root@cent6 html]# chown -R root.root wordpress/

[root@cent6 html]# ls -l wordpress/
total 204
-rw-r--r--. 1 root root   397 May 26  2008 index.php
-rw-r--r--. 1 root root 16899 Jun  9  2011 license.txt
-rw-r--r--. 1 root root  9202 Apr 20 19:44 readme.html
-rw-r--r--. 1 root root  4268 Oct 20  2011 wp-activate.php
...

คอนฟิก wordpress ผ่านเว็บ

ใช้ browser เข้าไปที่ http://192.168.5.62/wordpress/ เพื่อเริ่มคอนฟิก wordpress ผ่านเว็บ

หน้าแรกที่เจอ แสดงข้อความ “There doesn’t seem to be a wp-config.php file” คือไม่สามารถหาไฟล์ wp-config.php ซึ่งเป็นไฟล์คอนฟิกหลักของ  wordpress

กดปุ่ม [Create a Configuration File] เพื่อเริ่มสร้างคอนฟิกไฟล์ wp-config.php

หน้าถัดมา แสดงข้อมูลคำอธิบายเกี่ยวกับฐานข้อมูล (database) ที่ wordpress ต้องใช้

ก่อนจะกดปุ่ม [Let's go!] เพื่อไปหน้าต่อไป ต้องสร้าง database และ GRANT สิทธิ ให้ wordpress ใช้เชื่อมต่อได้ก่อน

รันคำสั่ง mysql (หรือ phpmyadmin) เพื่อสร้าง database และ GRANT สิทธิให้ wordpress เชื่อมเข้าต่อฐานข้อมูล

[root@cent6 html]# mysql -u root -p
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 14
Server version: 5.1.52 Source distribution

Copyright (c) 2000, 2010, Oracle and/or its affiliates. All rights reserved.
This software comes with ABSOLUTELY NO WARRANTY. This is free software,
and you are welcome to modify and redistribute it under the GPL v2 license

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement

mysql> CREATE DATABASE wordpress;
Query OK, 1 row affected (0.00 sec)

mysql> GRANT ALL ON wordpress.* TO 'wordpress'@'localhost' IDENTIFIED BY 'password';
Query OK, 0 rows affected (0.01 sec)

สร้างเสร็จเรียบร้อย กลับมาที่หน้าเว็บแล้วกดปุ่ม [Let's go!]

ใส่ข้อมูลการเชื่อมต่อเข้าฐานข้อมูล แล้วกดปุ่ม [Submit]

โปรแกรมจะพยายามเขียนไฟล์คอนฟิก wp-config.php ให้ แต่ไม่สามารถเขียนได้ ฟ้องข้อความ “Sorry, but I can’t write the wp-config.php file.”

เราต้องสร้างไฟล์ wp-config.php ขึ้นมาเอง ด้วยการคัดลอกคอนฟิกที่หมดที่แสดงในช่องฟอร์ม สำหรับ Windows ให้คลิ้กเมาส์ในช่องฟอร์มแล้วกด [Ctrl]+[A] เพื่อเลือกข้อความทั้งหมดในฟอร์ม แล้วกด [Ctrl]+[C] เพื่อคัดลอก

สร้างไฟล์บนเซิร์ฟเวอร์ ด้วยคำสั่ง vi

[root@cent6 html]# vi wordpress/wp-config.php

หากเราใช้ PuTTY เพื่อ SSH เข้าเซิร์ฟเวอร์ลีนุกซ์ กด i เพื่อเข้าสู่โหมด INSERT แล้วกดปุ่ม [Shift]+[Insert] เพื่อวางข้อความ (paste) ที่คัดลอกมาได้

กดปุ่ม [Esc] เพื่อกลับสู่โหมดคำสั่ง แล้วพิมพ์ :wq เซฟไฟล์แล้วออกจาก vi

เนื่องจากในไฟล์คอนฟิก wp-config.php นี้ มีข้อมูล user, password ที่ใช้เชื่อมต่อเข้าฐานข้อมูลของ wordpress อยู่ด้วย เพื่อความปลอดภัย (security) แนะนำให้เปลี่ยน owner และ permission ให้ apache อ่านได้เท่านั้น ผู้ใช้ธรรมดา (user) ไม่สามารถเข้ามาอ่านได้

ตัวอย่างการเปลี่ยน permission และ owner ของไฟล์

[root@cent6 html]# ls -l wordpress/wp-config.php
-rw-r--r--. 1 root root 3366 May 12 15:08 wordpress/wp-config.php

[root@cent6 html]# chmod 400 wordpress/wp-config.php
[root@cent6 html]# chown apache wordpress/wp-config.php

[root@cent6 html]# ls -l wordpress/wp-config.php
-r--------. 1 apache root 3366 May 12 15:08 wordpress/wp-config.php

หลังจากสร้างไฟล์ wp-config.php เรียบร้อย กลับมาหน้าเว็บแล้ว กดปุ่ม [Run the install]

หน้าใส่ข้อมูลเบื้องต้นของเว็บไซต์ และตั้ง username และ password ไว้เป็น admin ของโปรแกรม wordpress

แนะนำให้เปลี่ยน username จาก admin เป็นชื่ออื่น เพื่อเพิ่มความปลอดภัย ป้องกันการคาดเดา username, password

หน้าเว็บจะมีการตรวจสอบความยากง่ายของ password ที่เราใส่  แนะนำให้ตั้งยากหน่อย อย่างน้อยน่าจะได้ Medium หรือจะให้ดีก็ Strong

สำหรับการทดสอบ แนะนำให้คลิ้กไม่เลือก “Allow my site to appear in search engines like Google and Technorati.” ไว้ติดตั้งเว็บไซต์ใช้งานจริงแล้วค่อยเลือก

กดปุ่ม [Install WordPress]

หน้าแสดงการติดตั้งเสร็จสิ้น “Success”

กดปุ่ม [Log In] เพื่อเข้าสู่หน้า admin ของ wordpress (หรือเข้าโดยตรง http://192.168.5.62/wordpress/wp-admin/)

หน้าล็อกอินของ WordPress ใส่ username, password ที่ตั้งไว้

ถ้าล็อกอินสำเร็จ จะเข้าสู่หน้า Dashboard ของ WordPress

ข้อมูลอ้างอิง

• Download WordPress
• แก้ปัญหา WordPress อัพโหลดไฟล์ไม่ได้

ในที่นี้จะแนะนำวิธีการปรับปรุงโปรแกรมโดยใช้คำสั่ง yum ทั้งปรับปรุงเฉพาะโปรแกรม หรือปรับปรุงทุกโปรแกรมที่ติดตั้งบนเครื่องลีนุกซ์แล้ว

คำเตือน แนะนำให้ทดสอบในเครื่องลีนุกซ์ทดลองดูก่อน เพื่อดูผลกระทบการปรับปรุงเวอร์ชั่นของโปรแกรม

ปรับปรุงแพ็คเกจที่ระบุ

สมมติว่าต้องการจะปรับปรุง (update) แพ็คเกจ openssh

ใช้คำสั่ง yum list installed เพื่อดูข้อมูลแพ็คเกจ openssh ที่ติดตั้งไว้ 

[root@cent62-yum ~]# yum list installed openssh
Loaded plugins: fastestmirror, security
Loading mirror speeds from cached hostfile
Installed Packages
openssh.x86_64       5.3p1-70.el6       @anaconda-CentOS-201112091719.x86_64/6.2

ใช้คำสั่ง yum list available หรือ yum list updates เพื่อดูเวอร์ชั่นที่มีให้ปรับปรุง

[root@cent62-yum ~]# yum list updates openssh
Loaded plugins: fastestmirror, security
Loading mirror speeds from cached hostfile
Updated Packages
openssh.x86_64                     5.3p1-70.el6_2.2                      updates

ใช้คำสั่ง yum update  ตามด้วยชื่อแพ็คเกจที่ต้องการปรับปรุง

หมายเหตุ สังเกตการใช้คำว่า updates และ update อย่างแรก updates (มี s) เป็นชื่อ repos ส่วน update (ไม่มี s) เป็นคำสั่งของ yum เพื่อใช้ปรับปรุงแพ็คเกจเวอร์ชั่น

[root@cent62-yum ~]# yum update openssh
Loaded plugins: fastestmirror, security
Loading mirror speeds from cached hostfile
Setting up Update Process
Resolving Dependencies
--> Running transaction check
---> Package openssh.x86_64 0:5.3p1-70.el6 will be updated
--> Processing Dependency: openssh = 5.3p1-70.el6 for package: openssh-server-5.3p1-70.el6.x86_64
--> Processing Dependency: openssh = 5.3p1-70.el6 for package: openssh-clients-5.3p1-70.el6.x86_64
---> Package openssh.x86_64 0:5.3p1-70.el6_2.2 will be an update
--> Running transaction check
---> Package openssh-clients.x86_64 0:5.3p1-70.el6 will be updated
---> Package openssh-clients.x86_64 0:5.3p1-70.el6_2.2 will be an update
---> Package openssh-server.x86_64 0:5.3p1-70.el6 will be updated
---> Package openssh-server.x86_64 0:5.3p1-70.el6_2.2 will be an update
--> Finished Dependency Resolution

Dependencies Resolved

================================================================================
 Package               Arch         Version                 Repository     Size
================================================================================
Updating:
 openssh               x86_64       5.3p1-70.el6_2.2        updates       235 k
Updating for dependencies:
 openssh-clients       x86_64       5.3p1-70.el6_2.2        updates       357 k
 openssh-server        x86_64       5.3p1-70.el6_2.2        updates       297 k

Transaction Summary
================================================================================
Upgrade       3 Package(s)

Total download size: 888 k
Is this ok [y/N]:

เหมือนกับการติดตั้งใหม่ yum จะตรวจสอบแพ็คเกจอื่นๆ ที่จำเป็น รวมทั้งเวอร์ชั่นที่ต้องปรับปรุงพร้อมกันไปด้วย

เช่นในตัวอย่างนี้ ถ้าต้องการปรับปรุงแพ็คเกจ openssh จำเป็นต้องปรับปรุง openssh-clients และ openssh-server ไปด้วย

พิมพ์ y แล้ว [Enter] เพื่อยืนยันการปรับปรุง

Is this ok [y/N]: y
Downloading Packages:
(1/3): openssh-5.3p1-70.el6_2.2.x86_64.rpm               | 235 kB     00:01
(2/3): openssh-clients-5.3p1-70.el6_2.2.x86_64.rpm       | 357 kB     00:01
(3/3): openssh-server-5.3p1-70.el6_2.2.x86_64.rpm        | 297 kB     00:01
--------------------------------------------------------------------------------
Total                                           150 kB/s | 888 kB     00:05

Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Updating   : openssh-5.3p1-70.el6_2.2.x86_64                              1/6
  Updating   : openssh-clients-5.3p1-70.el6_2.2.x86_64                      2/6
  Updating   : openssh-server-5.3p1-70.el6_2.2.x86_64                       3/6
  Cleanup    : openssh-server-5.3p1-70.el6.x86_64                           4/6
  Cleanup    : openssh-clients-5.3p1-70.el6.x86_64                          5/6
  Cleanup    : openssh-5.3p1-70.el6.x86_64                                  6/6

Updated:
  openssh.x86_64 0:5.3p1-70.el6_2.2

Dependency Updated:
  openssh-clients.x86_64 0:5.3p1-70.el6_2.2
  openssh-server.x86_64 0:5.3p1-70.el6_2.2

Complete!

ใช้คำสั่ง yum list เพื่อดูแพ็คเกจหลังการปรับปรุง

[root@cent62-yum ~]# yum list installed openssh
Loaded plugins: fastestmirror, security
Loading mirror speeds from cached hostfile
Installed Packages
openssh.x86_64                     5.3p1-70.el6_2.2                     @updates

ลองใช้ yum list updates อีกครั้ง จะไม่มีเวอร์ชั่นใหม่ ให้ปรับปรุงอีกแล้ว

[root@cent62-yum ~]# yum list updates openssh
Loaded plugins: fastestmirror, security
Loading mirror speeds from cached hostfile
Error: No matching Packages to list

หมายเหตุ หลังการปรับปรุงแพ็คเกจ บางโปรแกรมอาจต้องแก้ไขเพิ่มเติม เช่นหลังการปรับปรุง openssh ต้องมีการรีสตาร์ตเซอร์วิส sshd (OpenSSH Server) เพื่อให้เวอร์ชั่นใหม่มีผล

ปรับปรุงทุกแพ็คเกจในเครื่อง

พิมพ์ yum list updates เพื่อดูรายชื่อแพ็คเกจทั้งหมด ที่มีเวอร์ชั่นใหม่ (ใน repos) ให้ปรับปรุง

[root@cent62-yum ~]# yum list updates
Loaded plugins: fastestmirror, security
Loading mirror speeds from cached hostfile
Updated Packages
at.x86_64                              3.1.10-43.el6_2.1                 updates
bind-libs.x86_64                       32:9.7.3-8.P3.el6_2.2             updates
bind-utils.x86_64                      32:9.7.3-8.P3.el6_2.2             updates
chkconfig.x86_64                       1.3.49.3-1.el6_2                  updates
cups-libs.x86_64                       1:1.4.2-44.el6_2.3                updates
...

หากต้องการปรับปรุงแพ็คเกจทั้งหมด สามารถทำได้โดยพิมพ์ yum update โดยไม่ต้องตามด้วยชื่อแพ็คเกจใดๆ 

[root@cent62-yum ~]# yum update
Loaded plugins: fastestmirror, security
Loading mirror speeds from cached hostfile
Setting up Update Process
Resolving Dependencies
--> Running transaction check
---> Package at.x86_64 0:3.1.10-43.el6 will be updated
---> Package at.x86_64 0:3.1.10-43.el6_2.1 will be an update
---> Package bind-libs.x86_64 32:9.7.3-8.P3.el6 will be updated
---> Package bind-libs.x86_64 32:9.7.3-8.P3.el6_2.2 will be an update
---> Package bind-utils.x86_64 32:9.7.3-8.P3.el6 will be updated
---> Package bind-utils.x86_64 32:9.7.3-8.P3.el6_2.2 will be an update

...

--> Finished Dependency Resolution

Dependencies Resolved

================================================================================
 Package                   Arch     Version                     Repository
                                                                           Size
================================================================================
Installing:
 kernel                    x86_64   2.6.32-220.13.1.el6         updates    24 M
Updating:
 at                        x86_64   3.1.10-43.el6_2.1           updates    60 k
 bind-libs                 x86_64   32:9.7.3-8.P3.el6_2.2       updates   840 k
 bind-utils                x86_64   32:9.7.3-8.P3.el6_2.2       updates   178 k

...

Transaction Summary
================================================================================
Install       1 Package(s)
Upgrade      53 Package(s)

Total download size: 68 M
Is this ok [y/N]:

ผลลัพธ์จะแสดงรายชื่อแพ็คเกจทั้งหมดที่จะปรับปรุง แสดงจำนวนแพ็คเกจ และขนาดรวมที่ต้องดาวน์โหลด พิมพ์ y แล้ว [Enter] เพื่อยืนยันการปรับปรุง

Is this ok [y/N]: y
Downloading Packages:
(1/54): at-3.1.10-43.el6_2.1.x86_64.rpm                  |  60 kB     00:01
(2/54): bind-libs-9.7.3-8.P3.el6_2.2.x86_64.rpm          | 840 kB     00:04
(3/54): bind-utils-9.7.3-8.P3.el6_2.2.x86_64.rpm         | 178 kB     00:01
(4/54): chkconfig-1.3.49.3-1.el6_2.x86_64.rpm            | 159 kB     00:03

...

--------------------------------------------------------------------------------
Total                                           293 kB/s |  68 MB     03:58
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Updating   : 12:dhcp-common-4.1.1-25.P1.el6_2.1.x86_64                  1/107
  Updating   : kernel-firmware-2.6.32-220.13.1.el6.noarch                 2/107
  Updating   : tzdata-2012b-3.el6.noarch                                  3/107
  Updating   : glibc-2.12-1.47.el6_2.9.x86_64                             4/107

...

Installed:
  kernel.x86_64 0:2.6.32-220.13.1.el6

Updated:
  at.x86_64 0:3.1.10-43.el6_2.1
  bind-libs.x86_64 32:9.7.3-8.P3.el6_2.2
  bind-utils.x86_64 32:9.7.3-8.P3.el6_2.2
  chkconfig.x86_64 0:1.3.49.3-1.el6_2

...

Complete!

รีสตาร์ตเครื่องหลังจาก update โปรแกรมทั้งเครื่อง

เมื่อบู๊ตเครื่องขึ้นมาแล้ว ลองใช้ yum list updates อีกครั้ง

[root@cent62-yum ~]# yum list updates
Loaded plugins: fastestmirror, security
Loading mirror speeds from cached hostfile

ไม่มีแพ็คเกจให้ update อีกแล้ว หรือหมายความว่าเครื่องลีนุกซ์ของเราติดตั้งหรือปรับปรุงโปรแกรมเป็นเวอร์ชั่นใหม่ล่าสุด เท่ากับไฟล์ที่อยู่ใน repos แล้ว

ปรับปรุงเวอร์ชั่นจาก CentOS 6.0 เป็น 6.2

หากเราติดตั้ง CentOS เวอร์ชั่นเก่า เช่น 6.0 แล้วต้องการปรับปรุงเป็นเวอร์ชั่นใหม่ เราสามารถใช้คำสั่ง yum update เพื่อปรับปรุงได้ แทนที่ต้องใช้แผ่นดีวีดีติดตั้งใหม่ทั้งหมด

แต่ไม่สามารถจะปรับปรุงข้าม Major เวอร์ชั่นได้ เช่นไม่สามารถปรับปรุงจาก 5.5 เป็น 6.2 ได้ ทำได้เฉพาะภายใต้ Major เวอร์ชั่นเดียวกันเท่านั้น

ตัวอย่างเครื่องที่ติดตั้ง CentOS 6.0 ไว้

[root@cent60 ~]# cat /etc/redhat-release
CentOS Linux release 6.0 (Final)

[root@cent60 ~]# uname -a
Linux cent60.example.com 2.6.32-71.el6.x86_64 #1 SMP Fri May 20 03:51:51 BST 2011 x86_64 x86_64 x86_64 GNU/Linux

ต้องการจะ update เป็น CentOS 6.2 สามารถใช้ yum update เพื่อปรับปรุงได้

[root@cent60 ~]# yum update
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
Setting up Update Process
Resolving Dependencies
--> Running transaction check
---> Package abrt.x86_64 0:2.0.4-14.el6.centos set to be updated
--> Processing Dependency: libreport.so.0()(64bit) for package: abrt-2.0.4-14.el6.centos.x86_64
--> Processing Dependency: libabrt_dbus.so.0()(64bit) for package: abrt-2.0.4-14.el6.centos.x86_64
---> Package abrt-addon-ccpp.x86_64 0:2.0.4-14.el6.centos set to be updated
--> Processing Dependency: libbtparser.so.2()(64bit) for package: abrt-addon-ccpp-2.0.4-14.el6.centos.x86_64
---> Package abrt-addon-kerneloops.x86_64 0:2.0.4-14.el6.centos set to be updated
--> Processing Dependency: libreport-plugin-kerneloops for package: abrt-addon-kerneloops-2.0.4-14.el6.centos.x86_64
---> Package abrt-addon-python.x86_64 0:2.0.4-14.el6.centos set to be updated
---> Package abrt-cli.x86_64 0:2.0.4-14.el6.centos set to be updated
--> Processing Dependency: libreport-cli for package: abrt-cli-2.0.4-14.el6.centos.x86_64
--> Processing Dependency: libreport-plugin-mailx for package: abrt-cli-2.0.4-14.el6.centos.x86_64
---> Package abrt-libs.x86_64 0:2.0.4-14.el6.centos set to be updated

...

Dependencies Resolved

================================================================================================================================
 Package                                     Arch               Version                               Repository           Size
================================================================================================================================
Installing:
 abrt                                        x86_64             2.0.4-14.el6.centos                   base                210 k
     replacing  abrt-plugin-sosreport.x86_64 1.1.13-4.el6
 kernel                                      x86_64             2.6.32-220.13.1.el6                   updates              24 M
 libreport-plugin-logger                     x86_64             2.0.5-20.el6                          base                 16 k
     replacing  abrt-plugin-logger.x86_64 1.1.13-4.el6
 libreport-plugin-rhtsupport                 x86_64             2.0.5-20.el6                          base                 24 k
     replacing  abrt-plugin-rhtsupport.x86_64 1.1.13-4.el6
Updating:
 abrt-addon-ccpp                             x86_64             2.0.4-14.el6.centos                   base                 93 k
 abrt-addon-kerneloops                       x86_64             2.0.4-14.el6.centos                   base                 63 k
 abrt-addon-python                           x86_64             2.0.4-14.el6.centos                   base                 57 k
 abrt-cli                                    x86_64             2.0.4-14.el6.centos                   base                 55 k
 abrt-libs                                   x86_64             2.0.4-14.el6.centos                   base                 53 k

...

Transaction Summary
================================================================================================================================
Install      12 Package(s)
Upgrade     220 Package(s)

Total download size: 152 M
Is this ok [y/N]:

ตอบ y เพื่อยืนยันการปรับปรุง

Is this ok [y/N]: y
Downloading Packages:
(1/232): abrt-2.0.4-14.el6.centos.x86_64.rpm                                                             | 210 kB     00:01
(2/232): abrt-addon-ccpp-2.0.4-14.el6.centos.x86_64.rpm                                                  |  93 kB     00:00
(3/232): abrt-addon-kerneloops-2.0.4-14.el6.centos.x86_64.rpm                                            |  63 kB     00:00
(4/232): abrt-addon-python-2.0.4-14.el6.centos.x86_64.rpm                                                |  57 kB     00:00
(5/232): abrt-cli-2.0.4-14.el6.centos.x86_64.rpm                                                         |  55 kB     00:00
(6/232): abrt-libs-2.0.4-14.el6.centos.x86_64.rpm                                                        |  53 kB     00:00

...

--------------------------------------------------------------------------------------------------------------------------------
Total                                                                                           272 kB/s | 152 MB     09:34

Is this ok [y/N]: y

ตอบ y เพื่อยืนยันการปรับปรุง

Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Updating       : libgcc-4.4.6-3.el6.x86_64                                                                              1/456
  Updating       : setup-2.8.14-13.el6.noarch                                                                             2/456
warning: /etc/shadow created as /etc/shadow.rpmnew
  Updating       : filesystem-2.4.30-3.el6.x86_64                                                                         3/456
  Updating       : centos-release-6-2.el6.centos.7.x86_64                                                                 4/456

...

Installed:
  abrt.x86_64 0:2.0.4-14.el6.centos                               kernel.x86_64 0:2.6.32-220.13.1.el6
  libreport-plugin-logger.x86_64 0:2.0.5-20.el6                   libreport-plugin-rhtsupport.x86_64 0:2.0.5-20.el6

Dependency Installed:
  btparser.x86_64 0:0.13-1.el6                                          dhcp-common.x86_64 12:4.1.1-25.P1.el6_2.1
  libreport.x86_64 0:2.0.5-20.el6                                       libreport-cli.x86_64 0:2.0.5-20.el6
  libreport-plugin-kerneloops.x86_64 0:2.0.5-20.el6                     libreport-plugin-mailx.x86_64 0:2.0.5-20.el6
  libreport-plugin-reportuploader.x86_64 0:2.0.5-20.el6                 libreport-python.x86_64 0:2.0.5-20.el6

Updated:
  abrt-addon-ccpp.x86_64 0:2.0.4-14.el6.centos                       abrt-addon-kerneloops.x86_64 0:2.0.4-14.el6.centos
  abrt-addon-python.x86_64 0:2.0.4-14.el6.centos                     abrt-cli.x86_64 0:2.0.4-14.el6.centos
  abrt-libs.x86_64 0:2.0.4-14.el6.centos                             acl.x86_64 0:2.2.49-6.el6

...

Replaced:
  abrt-plugin-logger.x86_64 0:1.1.13-4.el6 abrt-plugin-rhtsupport.x86_64 0:1.1.13-4.el6 abrt-plugin-sosreport.x86_64 0:1.1.13-4.el6

Complete!

รีสตาร์ตเครื่อง แล้วตรวจสอบผลที่ได้

[root@cent60 ~]# cat /etc/redhat-release
CentOS release 6.2 (Final)

[root@cent60 ~]# uname -a
Linux cent60.example.com 2.6.32-220.13.1.el6.x86_64 #1 SMP Tue Apr 17 23:56:34 BST 2012 x86_64 x86_64 x86_64 GNU/Linux 

ข้อมูลอ้างอิง

• การใช้งานคำสั่ง yum ใน CentOS 6
• เปลี่ยนคอนฟิก yum ให้มาใช้ repos ในไทย

บทนี้จะแนะนำการใช้โปรแกรม pscp รันบน Windows เพื่อใช้ถ่ายโอนไฟล์ (transfer) กับเครื่องที่รันลีนุกซ์ ผ่านทาง Secure Shell ได้

ดาวน์โหลดโปรแกรม pscp

โปรแกรม pscp เป็นส่วนหนึ่งของชุดโปรแกรม PuTTY แต่สามารถใช้งานได้โดยลำพัง ไม่จำเป็นต้องติดตั้งโปรแกรมทั้งชุด เพียงแค่ดาวน์โหลดไฟล์ pscp.exe

ในหน้า PuTTY Download Page ภายใต้หัวข้อ For Windows on Intel x86 คลิ้กดาวน์โหลดไฟล์ pscp.exe เซฟลงบน Desktop ของ Windows

สร้างไฟล์ทดสอบบน Windows ชื่อไฟล์ “win-data.txt” เซฟไว้บน Desktop

คลิ้กปุ่ม start เลือก Run

หน้าจอ Run เราสามารถพิมพ์คำสั่งบน Windows ที่ต้องการจะรันในช่อง Open ได้

พิมพ์ cmd แล้วกดปุ่ม [OK] หรือ [Enter] เพื่อเข้าสู่ command prompt ของ Windows

หน้าจอ command prompt ของ Windows

พิมพ์คำสั่ง cd Desktop เข้าสู่ Desktop ของผู้ใช้งานบน Windows

พิมพ์คำสั่ง dir เพื่อแสดงไฟล์ จะมีไฟล์ pscp.exe, putty.exe และ win-data.txt

ถ่ายโอนไฟล์จาก Windows ไปยังลีนุกซ์

รูปแบบการใช้คำสั่ง pscp เหมือนกับคำสั่ง cp คือ ตามด้วยไฟล์ต้นทางที่ต้องการจะถ่ายโอน เว้นวรรค ตามด้วยปลายทางที่ต้องการส่งไฟล์ไป

ตัวอย่าง ถ้าต้องการถ่ายโอนไฟล์จาก Windows เช่นในตัวอย่างนี้คือไฟล์ win-data.txt ไปยังลีนุกซ์ IP Address  192.168.5.62 ล็อกอินด้วย root สามารถทำได้โดย

pscp win-data.txt root@192.168.5.62:

สังเกตการระบุปลายทาง เป็นชื่อ user ตามด้วยเครื่องหมาย @ ตามด้วย IP ของปลายทาง ปิดท้ายด้วยเครื่องหมาย :  โดยพิมพ์ติดกันหมด ไม่มีเว้นวรรค

หากเป็นการล็อกอินเข้าไป IP นั้นเป็นครั้งแรก จะมีข้อความเตือนเกี่ยวกับ key เหมือนกับตอนใช้ putty

ไฟล์จะถูกถ่ายโอนไปไว้ใน HOME ของ root สามารถตรวจสอบได้โดยการใช้ PuTTY ล็อกอินเข้าไป ใช้คำสั่ง ls แสดงไฟล์ที่ถูกส่งไป

โหลดจากลีนุกซ์ ลง Windows

หากไฟล์อยู่บนลีนุกซ์ เช่นอยู่ใน HOME ของ root ก็สามารถใช้คำสั่ง pscp เพื่อถ่ายโอนไฟล์มาใส่ใน Windows ได้

โดยระบุต้นทางเป็นไฟล์ที่อยู่บนลีนุกซ์ เว้นวรรคตามด้วยปลายทางคือไดเร็คทอรีบน Windows หากต้องการโหลดไฟล์มาใส่ในไดเร็คทอรีที่พิมพ์คำสั่ง (Desktop) ก็ระบุเป็นเครื่องหมายจุด .

เช่นต้องการโหลดไฟล์ชื่อ linux-file.txt ใน HOME ของ root บนลีนุกซ์ มายังไดเร็คทอรีปัจจุบัน พิมพ์คำสั่ง

pscp root@192.168.5.62:linux-file.txt .

หากไฟล์อยู่ในพาธอื่นเช่นต้องการโหลดไฟล์ /etc/passwd จากลีนุกซ์ สามารถระบุต้นทางเป็นพาธเต็ม เช่น root@192.168.5.62:/etc/passwd

ตัวอย่าง และผลลัพท์ที่ได้

ข้อมูลอ้างอิง

• PuTTY Download Page
• ล็อกอินเข้าลีนุกซ์จาก Windows ด้วย PuTTY

การคอนฟิกที่เหลือ สามารถล็อกอินจากเครื่องอื่นมาทำงานได้โดยผ่านทาง SSH (Secure shell)

ในบทนี้จะแนะนำโปรแกรม PuTTY  ซึ่งเป็นโปรแกรมที่สามารถใช้งานได้ฟรี รันบน Windows ให้สามารถล็อกอินเข้าลีนุกซ์เครื่องที่เราติดตั้งได้

ดาวน์โหลดโปรแกรม PuTTY

ค้นหาคำว่า “PuTTY” จาก google หรือไม่ก็เข้าเว็บไซต์ PuTTY Download Page โดยตรงที่

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

การใช้งาน PuTTY สามารถทำได้สองแบบคือดาวน์โหลดไฟล์ putty.exe มาไฟล์เดียว ก็สามารถใช้งานได้แล้ว หรือจะเลือกแบบ Windows installer เพื่อติดตั้งเป็นชุดโปรแกรม โดยจะมีโปรแกรมย่อยอื่นๆ ด้วย

เพื่อความง่าย แนะนำให้ดาวน์โหลดแค่ putty.exe ไฟล์เดียว

ด้านล่างหัวข้อ “For Windows on Intel x86″ คลิ้กที่ลิ้งค์ “putty.exe” เพื่อดาวน์โหลดไฟล์ สมมติว่าเซฟลง Desktop

เพียงแค่นี้ก็สามารถใช้โปรแกรม putty เพื่อล็อกอินเข้าเครื่องลีนุกซ์ได้แล้ว

ดับเบิ้ลคลิ้กที่ไอคอนไฟล์ putty.exe เพื่อรันโปรแกรม

หน้าจอของ PuTTY แสดงขึ้นมา เพื่อให้กรอกข้อมูล

• Host Name (or IP Address) ใส่ IP Address ของเครื่องลีนุกซ์ เช่น 192.168.5.62
• Port ใส่ 22
• Connection type: เลือก [x] SSH

แล้วกด [Open] หรือกดปุ่ม [Enter]

หากเป็นการล็อกอินด้วย SSH เข้าไปลีนุกซ์เครื่องที่ระบุ เป็นครั้งแรก หน้าจอจะแสดงเตือน “PuTTY Security Alert” เป็นข้อมูลเกี่ยวกับ key ต่างๆ ที่ใช้ใน  Secure Shell

กด [Yes] เพื่อยืนยันว่าถูกต้อง

หมายเหตุ หากต้องการยืนยันความถูกต้องกับข้อมูลที่เตือนขึ้นมา สามารถตรวจสอบได้โดยเปรียบเทียบ fingerprint บนหน้าจอที่แสดง กับ Secure Shell ที่รันบนเซิร์ฟเวอร์

เช่นข้อมูลเกี่ยวกับ fingerprint ที่เตือนขึ้นมาแสดง

The server’s rsa2 key fingerprint is:
ssh-rsa 2048 42:b2:98:95:57:14:aa:0a:6c:fa:e8:3a:7b:d8:0b:63

เปรียบเทียบกับ Secure Shell ที่รันบนเซิรฟ์เวอร์ ใช้คำสั่ง ssh-keygen -lf เพื่อดู fingerprint

[root@cent6 ~]# ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 42:b2:98:95:57:14:aa:0a:6c:fa:e8:3a:7b:d8:0b:63 /etc/ssh/ssh_host_rsa_key.pub (RSA)

ผลที่ได้ต้องออกมาตรงกัน เป็นการยืนยันว่า เราล็อกอินเข้าไปในเครื่องที่เราต้องการจริง

หน้าจอให้ใส่ login as: ใส่ root และพิมพ์รหัสผ่านของ root ให้ถูกต้อง ก็จะสามารถล็อกอินเข้าสู่เครื่องลีนุกซ์ได้ เปรียบเสมือนเรานั่งทำงานอยู่ที่หน้าจอคอนโซลของเครื่องลีนุกซ์เลย

ข้อมูลอ้างอิง

• PuTTY Download Page

คำแนะนำอย่างหนึ่งสำหรับผู้ใช้ลีนุกซ์ ไม่ว่าจะเพิ่งเริ่มต้นหัดใช้งาน หรือใช้งานมานานแล้ว คือล็อกอินเป็นผู้ใช้ธรรมดาที่ไม่ใช่ root ให้เป็นนิสัย เพราะผู้ใช้งานธรรมดา ก็สามารถทำอะไรได้หลายอย่างแล้ว เช่นดูคอนฟิกของเครื่อง แก้ไขไฟล์เท่าที่มีสิทธิ์ และหากทำอะไรผิดพลาดไป ความเสียหายที่เกิดขึ้น ก็จะกระทบในระดับหนึ่ง เท่าที่ผู้ใช้คนนั้นจะทำได้ ไม่กระทบทั้งเครื่อง

จนกว่าจำเป็นต้องมีการแก้ไขคอนฟิกหรือทำอะไรบางอย่างกับลีนุกซ์ที่จำเป็นต้องทำด้วย root ค่อยใช้คำสั่ง su เปลี่ยนผู้ใช้ root (หรือใช้ sudo) และเมื่อหลังจากแก้ไขเสร็จสิ้นแล้ว ก็เปลี่ยนกลับมาเป็น user ธรรมดาอีกครั้ง

ในบทนี้จะอธิบายคำสั่งที่ใช้ในการ เพิ่ม แก้ไข ลบ ผู้ใช้งาน โดยต้องใช้ root เป็นคนรันคำสั่ง

การเพิ่มผู้ใช้งาน (useradd)

ใช้คำสั่ง useradd ตามด้วยชื่อ user ที่ต้องการเพิ่ม เช่นต้องการเพิ่มผู้ใช้งานชื่อ alice

[root@cent6 ~]# useradd alice

คำสั่ง id ตามด้วยชื่อผู้ใช้งาน สามารถใช้ตรวจสอบข้อมูลของผู้ใช้ได้ เช่น uid, gid ของผู้ใช้

[root@cent6 ~]# id alice
uid=500(alice) gid=500(alice) groups=500(alice)

หากพิมพ์คำสั่ง id เฉยๆ จะเป็นการดูข้อมูลของตัวเอง เช่นถ้า root พิมพ์คำสั่ง id ไม่ได้ระบุชื่อผู้ใช้ ผลลัพธ์จะแสดงข้อมูลของ root

[root@cent6 ~]# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

เปลี่ยนรหัสผ่านผู้ใช้งาน (passwd)

ใช้คำสั่ง passwd ตามด้วยชื่อผู้ใช้งาน เพื่อเปลี่ยนรหัสผ่านของผู้ใช้งาน พิมพ์ password สองครั้งให้เหมือนกัน หน้าจอจะไม่แสดงรหัสผ่านที่พิมพ์ลงไป

[root@cent6 ~]# passwd alice
Changing password for user alice.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.

ระวังการใช้คำสั่ง passwd ด้วย root เพราะถ้าลืมพิมพ์ชื่อผู้ใช้งานตามหลังคำสั่ง passwd จะเป็นการเปลี่ยนรหัสผ่านของตัวเอง เช่นถ้า root พิมพ์ ก็จะเป็นการเปลี่ยนรหัสผ่านของ root เอง

[root@cent6 ~]# passwd
Changing password for user root.
New password:

สังเกตชื่อ user ที่แสดงขึ้นมาหลังประโยค Changing password for user

หากต้องการยกเลิกการรันคำสั่ง passwd (และหลายๆ คำสั่งบนลีนุกซ์) ให้กดปุ่ม [Ctrl]+[C] จะเป็นการยกเลิก และออกจากคำสั่งได้

[root@cent6 ~]# passwd
Changing password for user root.
New password: [Ctrl]+[C]
[root@cent6 ~]#

คำสั่ง passwd จะมีการตรวจสอบความยากง่าย (ต่อการเดา) ของรหัสผ่านที่จะเปลี่ยน คือถ้าสามารถเดาง่ายเกินไป หน้าจอจะแสดงคำเตือนว่า BAD PASSWORD พร้อมคำอธิบายประกอบ เช่นสั้นเกินไป ง่ายต่อการเดา หรือเป็นคำที่อยู่ใน dictionary

เพื่อความปลอดภัยของระบบ แนะนำให้ตั้งรหัสผ่านที่ยากต่อการเดา แต่ให้ผู้ใช้งานเองจำได้ด้วย

[root@cent6 ~]# passwd alice
Changing password for user alice.
New password:
BAD PASSWORD: it is too short
BAD PASSWORD: is too simple
Retype new password:

ถ้ายังยืนยันจะใช้ root ก็สามารถเปลี่ยนรหัสผ่านให้ได้ (ไม่แนะนำ)

ผู้ใช้งานแต่ละคนสามารถเปลี่ยนรหัสผ่านของตัวเองได้ โดยใช้คำสั่ง passwd

ข้อแตกต่างหากรันคำสั่ง passwd ด้วยตัวผู้ใช้งานเองคือ

• ต้องใส่รหัสผ่านที่ใช้งานอยู่ (current) ให้ถูกต้อง
• จะไม่ยอมให้ผู้ใช้งานเอง ตั้งรหัสผ่านง่ายเกินไป

ตัวอย่างการใส่รหัสผ่านที่ใช้งานอยู่ไม่ถูกต้อง

[alice@cent6 ~]$ passwd
Changing password for user alice.
Changing password for alice.
(current) UNIX password:
passwd: Authentication token manipulation error

ตัวอย่างการตั้งรหัสผ่านง่ายเกินไป คำสั่ง passwd จะไม่ยอมเปลี่ยนให้

[alice@cent6 ~]$ passwd
Changing password for user alice.
Changing password for alice.
(current) UNIX password:
New password:
BAD PASSWORD: it is too short
New password:
BAD PASSWORD: it is based on your username
New password:
BAD PASSWORD: it is based on a dictionary word
passwd: Have exhausted maximum number of retries for service
[alice@cent6 ~]$

เปลี่ยนเป็น root ด้วยคำสั่ง su

ตัวอย่างการล็อกอินด้วยผู้ใช้งานธรรมดา สังเกต พร้อมพต์จะเป็นเครื่องหมาย $

login as: alice
alice@192.168.5.62's password:
[alice@cent6 ~]$

ใช้คำสั่ง su เมื่อต้องการเปลี่ยนจากผู้ใช้งานธรรมดา ให้เป็น root ใส่ password ของ root ให้ถูกต้อง

สังเกต พร้อมพต์ที่เปลี่ยนไปจากเครื่องหมาย $ เป็น #

[alice@cent6 ~]$ su -
Password:
[root@cent6 ~]#

ใช้คำสั่ง exit เมื่อต้องการออกจาก root เปลี่ยนเป็นผู้ใช้ธรรมดา

[root@cent6 alice]# exit
exit
[alice@cent6 ~]$

การใช้คำสั่ง su เพื่อเปลี่ยนเป็น root แนะนำให้พิมพ์เว้นวรรคแล้วตามด้วยเครื่องหมายลบ “-” เพื่อเปลี่ยนเป็น root แบบสมบูรณ์แบบ คือให้อ่านค่าคอนฟิกของ root  ด้วย

ตัวอย่างที่เห็นได้ชัดคือค่าคอนฟิก PATH ระหว่างผู้ใช้ธรรมดา กับ root จะแตกต่างกัน หากเปรียบเทียบการใช้คำสั่ง su แล้วตามด้วยเครื่องหมายลบ

[alice@cent6 ~]$ echo $PATH
/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/alice/bin

คำสั่ง su แบบไม่มีเครื่องหมายลบ ตัวแปร $PATH จะมีค่าเหมือนเดิม

[alice@cent6 ~]$ su
Password:
[root@cent6 alice]# echo $PATH
/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/alice/bin

คำสั่ง su ตามด้วยเครื่องหมาย ‘-’ ตัวแปร $PATH จะเปลี่ยนไปตามคอนฟิกของ root

[alice@cent6 ~]$ su -
Password:
[root@cent6 ~]# echo $PATH
/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin

การลบผู้ใช้งาน (userdel)

ใช้คำสั่ง userdel ตามด้วยชื่อผู้ใช้งานที่ต้องการลบออกจากเครื่องลีนุกซ์

โดยดีฟอลต์ คำสั่ง userdel จะลบชื่อผู้ใช้ออกจากระบบ แต่ไฟล์ที่อยู่ใน HOME ของผู้ใช้ยังอยู่ ทั้งนี้ก็เพื่อสำรองไฟล์ไว้ เผื่อผู้ใช้งานคนนี้จะมาขอไฟล์ภายหลังได้

ตัวอย่างการใช้คำสั่ง userdel ไม่ระบุออปชั่น

[root@cent6 ~]# id alice
uid=500(alice) gid=500(alice) groups=500(alice)

[root@cent6 ~]# userdel alice

[root@cent6 ~]# ls -ld /home/alice/
drwx------. 2 500 500 4096 Apr 21 12:44 /home/alice/

[root@cent6 ~]# id alice
id: alice: No such user

ระบุออปชั่น ‘-r’ หากต้องการลบไฟล์ที่อยู่ใน HOME ของผู้ใช้ด้วย

[root@cent6 ~]# id alice
uid=500(alice) gid=500(alice) groups=500(alice)

[root@cent6 ~]# userdel -r alice

[root@cent6 ~]# ls -ld /home/alice/
ls: cannot access /home/alice/: No such file or directory

ซึ่งอาจทำให้เกิดความยากสำหรับผู้เริ่มต้น เพราะไม่รู้ว่าจะเพิ่ม หรือลบ rule อย่างไร ใส่ออปชั่นอะไรบ้าง

สำหรับผู้เริ่มต้นหัดใช้ แนะนำให้ใช้โปรแกรม system-config-firewall เพื่อช่วยแก้ไข rule ของ firewall บนลีนุกซ์

โปรแกรม system-config-firewall มีสองเวอร์ชั่น ทำงานได้เหมือนกัน

• system-config-firewall รันเป็น GUI บน X Window เช่น GNOME
• system-config-firewall-tui รันบนหน้าจอคอนโซล จะเป็นแบบเมนูให้เลือก

ในที่นี้จะแสดงวิธีการใช้แบบรันบนหน้าจอคอนโซล

เพื่อเปรียบเทียบสิ่งที่โปรแกรม system-config-firewall จะแก้ไข ก่อนรันคำสั่ง ใช้คำสั่ง iptables -L เพื่อแสดงคอนฟิก firewall ที่ทำงานอยู่

[root@cent6 ~]# iptables -L -v -n --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     2414  180K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
4        1    64 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 1379 packets, 505K bytes)
num   pkts bytes target     prot opt in     out     source               destination

พิมพ์คำสั่ง system-config-firewall-tui

[root@cent6 ~]# system-config-firewall-tui

หมายเหตุ หากรันคำสั่งแล้วขึ้น “command not found” ให้ติดตั้งไฟล์ rpm ชื่อ system-config-firewall-tui-1.2.27-5.el6.noarch.rpm

หน้าจอ Firewall Configuration สามารถเลือกที่จะเปิด ปิด firewall ได้

[*] Enabled เปิดใช้งาน firewall
[ ] Enabled ปิดการใช้ firewall (ไม่แนะนำ)

กดปุ่ม [Tab] เพื่อเลื่อนแถบสีไปยัง [Customize] แล้วกดปุ่ม [Enter]

หน้าจอแสดง Services ต่างๆ ที่โปรแกรมเตรียมไว้ให้สามารถเลือกคอนฟิกได้

กดปุ่มลูกศร (cursor) ขึ้นลง เพื่อเลื่อนไปยังเซอร์วิสต่างๆ ได้

โดยดีฟอลต์จากการติดตั้ง ถ้าไม่ได้แก้ไข จะอนุญาตให้เครื่องอื่นเข้ามาใช้ SSH ได้อย่างเดียว

เครื่องหมายดอกจัน ในวงเล็บสี่เหลี่ยม [*] หน้าเซอร์วิส หมายถึงการอนุญาตเซอร์วิสนั้น

กดปุ่มลูกศรลง เพื่อไปยังชื่อเซอร์วิสที่ต้องการอนุญาตให้เครื่องอื่นสามารถเข้ามาใช้บนเครื่องลีนุกซ์นี้ได้

เช่นต้องการให้เครื่องอื่น สามารถใช้เว็บเซิร์ฟเวอร์พอร์ต 80 WWW (HTTP) บนเครื่องเราได้

กดปุ่ม [Spacebar] เพื่อเปลี่ยนค่าในวงเล็บสี่เหลี่ยม ต้องเปลี่ยนให้เป็นเครื่องหมายดอกจัน

หลังจากเปลี่ยนเป็นเครื่องหมายดอกจันเรียบร้อยแล้ว กดปุ่ม [Tab] เพื่อเลื่อนแถบสีมาที่ [Close] แล้วกดปุ่ม [Enter]

จะกลับมาหน้าจอหลัก กดปุ่ม [Tab] เลื่อนไปยัง [OK] แล้วกดปุ่ม [Enter]
หน้าจอเตือน Warning ว่าจะมีการสร้างคอนฟิกไฟล์ของ firewall ใหม่ เลื่อนแถบสีอยู่ที่ [Yes] แล้วกดปุ่ม [Enter]

ลองใช้คำสั่ง iptables -L เพื่อดูคอนฟิก firewall ที่เปลี่ยนไป จะเห็น num 5 เพิ่มขึ้นมา เพื่ออนุญาต tcp dpt:80 หรือพอร์ตเว็บ WWW (HTTP) นั่นเอง

[root@cent6 ~]# iptables -L -v -n --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       13   916 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
4        1   100 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
6        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 8 packets, 960 bytes)
num   pkts bytes target     prot opt in     out     source               destination

หากต้องการยกเลิก หรือไม่ต้องการให้เครื่องอื่นเข้าใช้งานพอร์ตเว็บบนเครื่องนี้อีกต่อไปแล้ว ก็ใช้คำสั่ง system-config-firewall-tui เข้าไปเอาเครื่องหมายดอกจันหน้าเซอร์วิส WWW (HTTP) ออกไป ทำตามขั้นตอนอื่นๆ เหมือนเดิม

การใช้คำสั่ง system-config-firewall ไม่ว่าจะแบบ GUI หรือคอนโซล เมื่อแก้ไขเสร็จแล้วกดยืนยันเพื่อให้คอนฟิกใหม่มีผล นอกจากจะทำให้คอนฟิกใหม่มีผลทันทีแล้ว คำสั่งนี้จะเข้าไปแก้ไขไฟล์คอนฟิกของ iptables เพื่อให้มีผลต่อการบู๊ตเครื่องครั้งต่อไปด้วย

ไฟล์คอนฟิกของ iptables ของ CentOS คือไฟล์ /etc/sysconfig/iptables

ตัวอย่างของไฟล์หลังจากเพิ่ม การอนุญาตพอร์ต 80

[root@cent6 ~]# cat /etc/sysconfig/iptables
 # Firewall configuration written by system-config-firewall
 # Manual customization of this file is not recommended.
 *filter
 :INPUT ACCEPT [0:0]
 :FORWARD ACCEPT [0:0]
 :OUTPUT ACCEPT [0:0]
 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 -A INPUT -p icmp -j ACCEPT
 -A INPUT -i lo -j ACCEPT
 -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
 -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
 -A INPUT -j REJECT --reject-with icmp-host-prohibited
 -A FORWARD -j REJECT --reject-with icmp-host-prohibited
 COMMIT

ชื่อเซอร์วิสที่มาอ่านไฟล์นี้ก็คือ iptables โดยดีฟอลต์จะถูกรันเมื่อเข้าสู่ runlevel 2,3,4,5 หรือการบู๊ตเครื่องใหม่

[root@cent6 ~]# chkconfig --list iptables
iptables        0:off 1:off 2:on 3:on 4:on 5:on 6:off

ข้อมูลอ้างอิง

• แก้ไขคอนฟิก firewall บนลีนุกซ์ด้วย iptables
• การเปิดเซอร์วิสตอนบู๊ตเครื่องของ CentOS 6

จุดมุ่งหมายหลักๆ ของ firewall ก็เพื่อเพิ่มความปลอดภัยให้กับเครื่องเซิร์ฟเวอร์

หลายคนมักจะปิดคุณสมบัตินี้ไป ด้วยเหตุผลบอกว่ายากต่อการทำความเข้าใจ และแก้ไข

ในบทความนี้จะอธิบายการใช้คำสั่ง iptables เพื่อแสดงสถานะ firewall ที่เปิดใช้งาน การเพิ่ม rule เพื่ออนุญาตการเชื่อมต่อ การลบ rule ที่ไม่ได้ใช้แล้ว

ลองทำตามดู ในหลายเซอร์วิส เพียงแค่แก้ไข rule นิดเดียวเท่านั้น ก็จะใช้งานได้แล้ว ไม่จำเป็นต้องปิดคุณสมบัติ firewall แต่อย่างได้

แสดง (list) rule ที่เปิดใช้งานอยู่

ใช้คำสั่ง iptables ออปชั่น “-L” เพื่อแสดงคอนฟิก firewall ที่เปิดใช้งานอยู่

ออปชั่นเพิ่มเติม ที่มักจะใช้ร่วมกับออปชั่น “-L”

• ออปชั่น “-v” เพื่อแสดงรายละเอียดเพิ่มเติมของ rule เช่นผลรวมสะสมของจำนวน packets (pkts) ขนาด (bytes)
• ออปชั่น “-n” เพื่อแสดง IP (source และ destination) และพอร์ตให้เป็นตัวเลข
• ออปชั่น “–line-numbers” เพื่อแสดงตัวเลขกำกับ rule ในแต่ละบรรทัด เพื่อสะดวกต่อการแก้ไข rule

ตัวอย่างการใช้คำสั่ง iptables ออปชั่น “-L” เพื่อแสดงค่าคอนฟิก firewall ที่ใช้งานอยู่

[root@cent6 ~]# iptables -L -v -n --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      630 49714 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
4        2   128 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 349 packets, 55278 bytes)
num   pkts bytes target     prot opt in     out     source               destination

คอนฟิก rule ที่แสดงนี้ เป็นคอนฟิกดีฟอลต์จากติดตั้ง CentOS 6 (หากไม่ได้มีการเลือกแก้ไข firewall ระหว่างการติดตั้ง)

ในที่นี้ขออธิบาย rule คร่าวๆ ในส่วนของ Chain INPUT ที่เปิดใช้งานอยู่ดังนี้

• num 1 : อนุญาต (ACCEPT) ให้ทุก packet ที่ผ่านขั้นตอนการเชื่อมต่อเรียบร้อยแล้ว (RELATED, ESTABLISHED) เข้าสู่เครื่องได้
• num 2 : อนุญาต (ACCEPT) ให้ packet ประเภท (icmp) เช่น ping เข้าสู่เครื่องได้
• num 3 : อนุญาต (ACCEPT) ให้ทุก packet ที่ส่งภายในของเครื่องเองได้ (lo หรือ loopback)
• num 4 : อนุญาต (ACCEPT) ให้ packet แรก (NEW) ที่พยายามเชื่อมต่อเข้าพอร์ตปลายทาง tcp dpt:22 (secure shell) สามารถเข้าสู่เครื่องได้ หรือสรุปง่ายๆ คืออนุญาตให้สามารถ ssh เข้าสู่เครื่องนี้ได้นั่นเอง
• num 5 : packet อื่นๆ นอกจากนี้ จะถูกปฏิเสธ (REJECT) การเข้าถึงเครื่อง และจะมีการตอบ icmp-host-prohibited กลับไปยังเครื่องต้นทางที่พยายามส่ง packet เข้ามา

การทำงาน firewall ของลีนุกซ์จะตรวจสอบ (match) ตามลำดับ rule num ที่คอนฟิกไว้ เช่นเมื่อมี packet พยายามส่งเข้า (INPUT) ก็จะตรวจสอบเรียงตาม num 1, 2, 3, 4, 5

เพิ่ม (insert) rule ใหม่

หากเราติดตั้งเซอร์วิสใหม่ คอนฟิกและรันได้เรียบร้อยแล้ว เช่นเว็บเซิร์ฟเวอร์ เปิดใช้งานพอร์ต tcp 80

ตัวอย่างการใช้คำสั่ง netstat -an เพื่อดูพอร์ตที่เปิดอยู่ ในที่นี้จะใช้คำสั่ง grep เพื่อเลือกแสดงเฉพาะบรรทัดที่มีตัวเลข 80

[root@cent6 ~]# netstat -an | grep 80
tcp        0      0 :::80                       :::*                        LISTEN

เราสามารถทดสอบจากเครื่องที่รันเว็บเซิร์ฟเวอร์เองได้ เพราะ rule ของ firewall โดยดีฟอลต์อนุญาตให้การส่งข้อมูลภายใน (lo) สามารถทำได้ (rule num 3)

ตัวอย่างการใช้คำสั่ง telnet เพื่อทดสอบการเชื่อมต่อเข้าพอร์ต 80 ของเว็บเซิร์ฟเวอร์ 192.168.5.62 (ทดสอบบนเครื่องเดียวกัน กับที่รันเว็บเซิรฟ์เวอร์)

[root@cent6 ~]# telnet 192.168.5.62 80
Trying 192.168.5.62...
Connected to 192.168.5.62.
Escape character is '^]'.

HEAD / HTTP/1.0

HTTP/1.1 403 Forbidden
Date: Sun, 08 Apr 2012 08:53:11 GMT
Server: Apache/2.2.15 (CentOS)
Accept-Ranges: bytes
Content-Length: 5039
Connection: close
Content-Type: text/html; charset=UTF-8

Connection closed by foreign host.

คำอธิบายการใช้คำสั่ง telnet เข้าพอร์ต

• หากใช้คำสั่ง telnet แล้วขึ้น “command not found” ต้องติดตั้งไฟล์ rpm ของโปรแกรม telnet เพิ่ม ซึ่งอยู่ในแผ่นดีวีดีติดตั้ง CentOS อยู่แล้ว

[root@cent6 Packages]# rpm -i telnet-0.17-47.el6.x86_64.rpm

• เราสามารถใช้คำสั่ง telnet เพื่อทดสอบเข้าพอร์ตเว็บ (tcp 80) ได้ โดยพิมพ์คำสั่ง telnet ตามด้วย IP ของเว็บเซิร์ฟเวอร์ แล้วตามด้วยพอร์ตที่รันเว็บ
• ในคำสั่ง telnet เมื่อขึ้น Connected แปลว่าสามารถเชื่อมต่อเข้าพอร์ตที่ระบะไว้ได้
• กดปุ่ม [Enter] หนึ่งครั้ง แล้วพิมพ์คำสั่ง HEAD / HTTP/1.0 เพื่อเป็นการส่งคำสั่งขอดูข้อมูลเบื้องต้นของเว็บเซิร์ฟเวอร์ได้
• หากต้องการออกจากคำสั่ง telnet ให้กดปุ่ม [Ctrl] และ ] พร้อมกัน จะมีพร้อมพต์ telnet> ขึ้นมาให้พิมพ์คำสั่ง quit เพื่อออจาก telnet

[root@cent6 ~]# telnet 192.168.5.62 80
Trying 192.168.5.62...
Connected to 192.168.5.62.
Escape character is '^]'.
^]
telnet> quit
Connection closed.

แต่ถ้าใช้ browser หรือทดสอบด้วยคำสั่ง telnet เข้าพอร์ต 80 จากเครื่องอื่นๆ เปิดเว็บเข้ามา จะเข้าไม่ได้

$ telnet 192.168.5.62 80
 Trying 192.168.5.62...
 telnet: connect to address 192.168.5.62: No route to host

ต้องเพิ่ม rule ใหม่ เข้าไปเพื่ออนุญาตการเชื่อมต่อเข้ามา โดย rule ที่เพิ่มใหม่ ต้องเพิ่มก่อน rule สุดท้ายที่มีการปฏิเสธการเข้าถึง (REJECT) ทุก packet

ใช้คำสั่ง iptables ออปชั่น “-L” เพื่อแสดงคอนฟิก firewall ที่ใช้งานอยู่

[root@cent6 ~]# iptables -L -v -n --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     2363  182K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        2   168 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
3       11   660 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
4        4   252 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5       10   620 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 1358 packets, 169K bytes)
num   pkts bytes target     prot opt in     out     source               destination

ใช้คำสั่ง iptables ออปชั่น “-I” เพิ่มด้วยการแทรก (insert) rule ใหม่เข้าไปแทนที่ rule num 5 ระบุว่าอนุญาต (ACCEPT) ให้การเชื่อมต่อใหม่ (NEW) เข้า (INPUT) พอร์ต tcp 80 ได้

[root@cent6 ~]# iptables -I INPUT 5 -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

ตรวจสอบผลลัพธ์ที่ได้จาก iptables ออปชั่น “-L”

[root@cent6 ~]# iptables -L -v -n --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     2383  184K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        2   168 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
3       11   660 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
4        4   252 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
6       10   620 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 5 packets, 692 bytes)
num   pkts bytes target     prot opt in     out     source               destination

ทดสอบจากเครื่องอื่นด้วยการ telnet เข้าพอร์ต 80 อีกครั้ง จะสามารถเชื่อมต่อได้แล้ว

$ telnet 192.168.5.62 80
Trying 192.168.5.62...
Connected to 192.168.5.62.
Escape character is '^]'.

HEAD / HTTP/1.0

HTTP/1.1 403 Forbidden
Date: Sun, 08 Apr 2012 09:06:10 GMT
Server: Apache/2.2.15 (CentOS)
Accept-Ranges: bytes
Content-Length: 5039
Connection: close
Content-Type: text/html; charset=UTF-8

Connection closed by foreign host.

ลบ (delete) rule

หากต้องการยกเลิก rule ที่ใส่ไว้ เช่นไม่ต้องการให้เครื่องอื่นสามารถเชื่อมต่อเข้าพอร์ต 80 ได้อีกต่อไปแล้ว สามารถทำได้โดยใช้คำสั่ง iptables ออปชั่น -D ตามด้วย rule num ที่ต้องการลบ (delete) ใช้คำสั่ง iptables ออปชั่น “-L” เพื่อแสดง rule ที่เปิดใช้งานอยู่

[root@cent6 ~]# iptables -L -v -n --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     2417  186K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        2   168 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
3       11   660 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
4        4   252 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5 1 60 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
6       10   620 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 27 packets, 5466 bytes)
num   pkts bytes target     prot opt in     out     source               destination

สมมติว่าต้องการลบ rule ที่อนุญาตการเชื่อมต่อเข้า (INPUT) พอร์ต 80 หรือ rule num 5 สามารถทำได้โดย

[root@cent6 ~]# iptables -D INPUT 5

ใช้คำสั่ง iptables -L จะเห็นว่า rule num 5 ถูกลบไป

[root@cent6 ~]# iptables -L -v -n --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     2518  194K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        2   168 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
3       11   660 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
4        4   252 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5       10   620 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT 6 packets, 728 bytes)
num   pkts bytes target     prot opt in     out     source               destination

ลองทดสอบ telnet เข้าพอร์ต 80 จากเครื่องอื่นดู ก็ไม่สามารถเชื่อมต่อได้แล้ว

$ telnet 192.168.5.62 80
 Trying 192.168.5.62...
 telnet: connect to address 192.168.5.62: No route to host

ข้อมูลอ้างอิง

• แก้ไขคอนฟิก firewall ด้วย system-config-firewall

ทั้งนี้ก็เพื่อให้ผู้ใช้งาน สามารถตรวจสอบความถูกต้องของไฟล์ที่โหลดมาได้ เพราะบางไฟล์อาจมีขนาดใหญ่มาก เช่นไฟล์ ISO สำหรับติดตั้งลีนุกซ์ เราอาจดาวน์โหลดมาไม่ครบ หรือถ้าไปโหลดจาก mirror site ที่ไม่น่าไว้ว่างใจ อาจมีการแก้ไขไฟล์ระหว่างทางได้

ที่เคยใช้ส่วนใหญ่ก็เป็นคำสั่งบนลีนุกซ์ ไม่ว่าจะเป็น md5sum หรือ sha1sum

แต่วันนี้ได้เจอคำสั่ง fciv เพื่อใช้ตรวจสอบ checksum ของไฟล์ บน Windows

คลิ้กลิ้งค์  Download the File Checksum Integrity Verifier utility package now เพื่อดาวน์โหลด แล้วติดตั้งไฟล์ไว้ในโฟลเดอร์ เช่น D:\fciv\

ตัวอย่างการใช้คำสั่ง fciv เพื่อตรวจสอบไฟล์ ISO ของ CentOS 6.2

เปรียบเทียบกับ sha1sum ใน CentOS 6.2 Release Notes

sha1sum x86_64:
d97377c83fab7493dbd1c2e04dab29c8ba6cd351  CentOS-6.2-x86_64-bin-DVD1.iso

ค่าที่คำนวณได้ตรงกับค่าใน Release Notes แสดงว่าไฟล์ที่เราดาวน์โหลดมานั้น ถูกต้อง ใช้งานได้

ข้อมูลอ้างอิง

• Download the File Checksum Integrity Verifier utility package now
• Availability and description of the File Checksum Integrity Verifier utility
• CentOS 6.2 Release Notes

แต่ในบางครั้งจำเป็นต้องแก้ไข policy ของ SELinux เพื่อเหตุผลบางประการ เช่นที่เคยเขียนถึงไปแล้ว แก้ไข Joomla Directory Permissions Unwritable บนลีนุกซ์ที่เปิด SELinux

โปรแกรมที่ใช้แก้ไข policy นอกจาก chcon แล้ว ยังมีอีกหลายโปรแกรม เช่น audit2allow และ semanage ที่ใช้กัน

สำหรับ Fedora 16 ต้องติดตั้งไฟล์ rpm เพิ่มเติม คือ policycoreutils-python ซึ่งจะมีโปรแกรม (เขียนด้วย python) เพื่อใช้จัดการ SELinux ได้

ไฟล์ rpm นี้อยู่ในแผ่นดีวีดีติดตั้งอยู่แล้ว ใส่แผ่นแล้วใช้คำสั่ง mount

[root@fc16-64a ~]# mount /dev/cdrom /mnt/cdrom
mount: block device /dev/sr0 is write-protected, mounting read-only
[root@fc16-64a ~]# cd /mnt/cdrom/Packages/

ติดตั้งไฟล์ rpm ต่างๆ ดังนี้

[root@fc16-64a Packages]# rpm -i audit-libs-python-2.1.3-4.fc16.x86_64.rpm
[root@fc16-64a Packages]# rpm -i libcgroup-0.37.1-4.fc16.x86_64.rpm
[root@fc16-64a Packages]# rpm -i libselinux-python-2.1.5-5.1.fc16.x86_64.rpm
[root@fc16-64a Packages]# rpm -i libsemanage-python-2.1.2-1.fc16.x86_64.rpm
[root@fc16-64a Packages]# rpm -i python-IPy-0.75-1.fc16.noarch.rpm
[root@fc16-64a Packages]# rpm -i setools-libs-3.3.7-16.fc16.x86_64.rpm
[root@fc16-64a Packages]# rpm -i setools-libs-python-3.3.7-16.fc16.x86_64.rpm
[root@fc16-64a Packages]# rpm -i policycoreutils-python-2.1.4-3.fc16.x86_64.rpm

ตัวอย่างการรันโปรแกรม semanage

[root@fc16-64a ~]# semanage

/usr/sbin/semanage:
semanage [ -S store ] -i [ input_file | - ]
semanage [ -S store ] -o [ output_file | - ]

semanage login -{a|d|m|l|D|E} [-nsr] login_name | %groupname
semanage user -{a|d|m|l|D|E} [-LnrRP] selinux_name
semanage port -{a|d|m|l|D|E} [-ntr] [ -p proto ] port | port_range
semanage interface -{a|d|m|l|D|E} [-ntr] interface_spec
semanage module -{a|d|m} [--enable|--disable] module
semanage node -{a|d|m|l|D|E} [-ntr] [ -p protocol ] [-M netmask] addr
semanage fcontext -{a|d|m|l|D|E} [-efnrst] file_spec
semanage boolean -{d|m} [--on|--off|-1|-0] -F boolean | boolean_file
semanage permissive -{d|a|l} [-n] type
semanage dontaudit [ on | off ]

เป็นการตรวจสอบ user จาก Local Password หรือไฟล์ /etc/passwd, /etc/shadow ผ่าน Linux PAM ที่อยู่บนเครื่อง proxy server เอง

แต่ถ้าบริษัทหรือองค์กรของเรามีการเก็บ user, password อยู่บนเซิร์ฟเวอร์เครื่องอื่น เช่นเก็บรวมเป็นศูนย์กลางบน LDAP Server เราก็สามารถคอนฟิก Squid Proxy Server ให้ตรวจสอบ user, password จาก LDAP Server ได้

วิธีการคือ แก้ไขคอนฟิกในส่วนของ auth_param basic program เปลี่ยนไปใช้ไฟล์ basic_ldap_auth

สมมติว่าค่าคอนฟิกต่างๆ ของ LDAP Server มีดังนี้

• ออปชั่น ‘-v’ ระบุเวอร์ชั่นของ LDAP ที่ใช้ = 3
• ออปชั่น ‘-b’ ระบุ Base DN สำหรับการค้นหา = “dc=example,dc=com”
• ออปชั่น ‘-f’ ระบุเงื่อนไขการค้นหา uid=% คือให้ค้นหาการ username (บน LDAP Server ก็ต้องเก็บโดยใช้ชื่อฟิลด์ uid ด้วย)
• ออปชั่น ‘-h’ ระบุ IP Address = 192.168.1.10

แต่ถ้า LDAP Server ที่คุณใช้ ต้องมีการระบุชื่อ DN และ password ที่ใช้ bind ด้วย ก็ต้องระบุ 2 ออปชั่นนี้เพิ่มเติม

• ออปชั่น ‘-D’ ระบุชื่อ DN สำหรับการ bind เข้า LDAP
• ออปชั่น ‘-w’ ระบุ password ที่ใช้ bind เข้า LDAP

ตัวอย่างการแก้ไขคอนฟิก

[root@fc16-64a ~]# cat /etc/squid/squid.conf
....
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
auth_param basic children 5
auth_param basic realm Proxy Authentication
auth_param basic credentialsttl 12 hours
auth_param basic program /usr/lib64/squid/basic_ldap_auth -v 3 -b "dc=example,dc=com" -f uid=%s -h 192.168.1.10

acl user_ldap_auth proxy_auth REQUIRED
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet user_ldap_auth
...

ใช้คำสั่ง service หรือ systemctl เพื่อ start หรือ reload เซอร์วิส squid

[root@fc16-64a ~]# systemctl reload squid.service

เสร็จแล้วลองทดสอบจาก Browser

หมายเหตุ หลังจากทดสอบเรียบร้อยใช้งานได้แล้ว เพื่อความปลอดภัยของเซิร์ฟเวอร์ หากคุณเปลี่ยนจาก basic_pam_auth มาเป็น basic_ldap_auth แล้ว ให้ยกเลิก setuid root ของไฟล์ basic_pam_auth ด้วย ใช้คำสั่ง chmod ดังนี้

[root@fc16-64a ~]# ls -l /usr/lib64/squid/basic_pam_auth
-rwsr-x---. 1 root squid 15416 Sep 20 15:36 /usr/lib64/squid/basic_pam_auth

[root@fc16-64a ~]# chmod u-s /usr/lib64/squid/basic_pam_auth

[root@fc16-64a ~]# ls -l /usr/lib64/squid/basic_pam_auth
-rwxr-x---. 1 root squid 15416 Sep 20 15:36 /usr/lib64/squid/basic_pam_auth

ข้อมูลอ้างอิง

• คอนฟิก Squid Proxy Server ให้ผู้ใช้ใส่ user, password ก่อนเข้าเว็บ
• ติดตั้ง OpenLDAP Server บน Fedora 13
• squid: basic_ldap_auth