Security – Page 4 – SpaLinux.com – สปาลีนุกซ์

คำสั่ง fciv บน Windows เพื่อตรวจสอบความถูกต้องของไฟล์ (md5sum, sha1sum) ที่ดาวน์โหลดมา

ไฟล์โปรแกรมของลีนุกซ์ส่วนใหญ่ จะมีการตรวจสอบ checksum ควบคู่ไปด้วย โดยอาจเป็นไฟล์ให้ดาวน์โหลดแยกต่างหาก หรือใส่ไว้ใน Release Notes, Readme

ทั้งนี้ก็เพื่อให้ผู้ใช้งาน สามารถตรวจสอบความถูกต้องของไฟล์ที่โหลดมาได้ เพราะบางไฟล์อาจมีขนาดใหญ่มาก เช่นไฟล์ ISO สำหรับติดตั้งลีนุกซ์ เราอาจดาวน์โหลดมาไม่ครบ หรือถ้าไปโหลดจาก mirror site ที่ไม่น่าไว้ว่างใจ อาจมีการแก้ไขไฟล์ระหว่างทางได้

ที่เคยใช้ส่วนใหญ่ก็เป็นคำสั่งบนลีนุกซ์ ไม่ว่าจะเป็น md5sum หรือ sha1sum

แต่วันนี้ได้เจอคำสั่ง fciv เพื่อใช้ตรวจสอบ checksum ของไฟล์ บน Windows

Continue reading “คำสั่ง fciv บน Windows เพื่อตรวจสอบความถูกต้องของไฟล์ (md5sum, sha1sum) ที่ดาวน์โหลดมา”

ติดตั้ง policycoreutils-python เพื่อจัดการ SELinux

ตั้งใจไว้ว่าต่อไปนี้จะพยายามใช้ SELinux เพื่อเพิ่มความปลอดภัยของเซิร์ฟเวอร์ลีนุกซ์

แต่ในบางครั้งจำเป็นต้องแก้ไข policy ของ SELinux เพื่อเหตุผลบางประการ เช่นที่เคยเขียนถึงไปแล้ว แก้ไข Joomla Directory Permissions Unwritable บนลีนุกซ์ที่เปิด SELinux

โปรแกรมที่ใช้แก้ไข policy นอกจาก chcon แล้ว ยังมีอีกหลายโปรแกรม เช่น audit2allow และ semanage ที่ใช้กัน

สำหรับ Fedora 16 ต้องติดตั้งไฟล์ rpm เพิ่มเติม คือ policycoreutils-python ซึ่งจะมีโปรแกรม (เขียนด้วย python) เพื่อใช้จัดการ SELinux ได้

Continue reading “ติดตั้ง policycoreutils-python เพื่อจัดการ SELinux”

คอนฟิก Squid Proxy Server ให้ตรวจสอบ user, password จาก LDAP

จากบทความ คอนฟิก Squid Proxy Server ให้ผู้ใช้ใส่ user, password ก่อนเข้าเว็บ

เป็นการตรวจสอบ user จาก Local Password หรือไฟล์ /etc/passwd, /etc/shadow ผ่าน Linux PAM ที่อยู่บนเครื่อง proxy server เอง

แต่ถ้าบริษัทหรือองค์กรของเรามีการเก็บ user, password อยู่บนเซิร์ฟเวอร์เครื่องอื่น เช่นเก็บรวมเป็นศูนย์กลางบน LDAP Server เราก็สามารถคอนฟิก Squid Proxy Server ให้ตรวจสอบ user, password จาก LDAP Server ได้

Continue reading “คอนฟิก Squid Proxy Server ให้ตรวจสอบ user, password จาก LDAP”

คอนฟิก Squid Proxy Server ให้ผู้ใช้ใส่ user, password ก่อนเข้าเว็บ

บทความนี้อธิบายวิธีการคอนฟิก Squid Proxy Server เพื่อให้ผู้ใช้งานต้องใส่ user, password ก่อนถึงจะใช้งานอินเตอร์เน็ตได้

โดยจะตรวจสอบ user, password กับ Local Password หรือไฟล์ /etc/passwd, /etc/shadow ผ่าน Linux PAM ที่อยู่บนเครื่อง Proxy Server เอง

Continue reading “คอนฟิก Squid Proxy Server ให้ผู้ใช้ใส่ user, password ก่อนเข้าเว็บ”

แก้ไข Joomla Directory Permissions Unwritable บนลีนุกซ์ที่เปิด SELinux

เมื่อลูกค้าขอให้ดูเรื่องความปลอดภัยของเว็บไซต์เป็นพิเศษ เลยต้องจัดเต็มซะหน่อย

จากที่เคยปิดคุณสมบัติ SELinux เพื่อแก้ปัญหา Directory Permissions Unwritable มาแล้วในบทความ แก้ไข permission ไฟล์หลังการติดตั้ง Joomla 2.5

ครั้งนี้ขอปรับปรุงใหม่ ด้วยการเปิดคุณสมบัติ SELinux ไว้ แล้วแก้ไข security context ของไดเร็คทอรีที่มีปัญหา เพื่อให้สามารถเขียนไฟล์ได้

Continue reading “แก้ไข Joomla Directory Permissions Unwritable บนลีนุกซ์ที่เปิด SELinux”

สร้าง self-signed SSL Certificate

จาก ติดตั้ง Apache SSL Web Server หากเราต้องการสร้าง self-signed SSL Certificate ขึ้นมาใช้เอง เช่นภายในบริษัท อาจต้องการใส่ข้อมูลบางอย่างลงไป เพื่อให้ผู้ใช้งานดูได้เบื้องต้น สามารถทำได้โดยใช้คำสั่ง openssl

ข้อมูลที่กรอกในคำสั่ง openssl นี้จะถูกเก็บไว้ใน Certificate ที่สร้างขึ้น โดยผู้ใช้สามารถดูได้ใน Browser

Continue reading “สร้าง self-signed SSL Certificate”

ติดตั้ง Apache SSL Web Server

หลายๆ เว็บไซต์ เช่น facebook เริ่มเปลี่ยนการเข้าเว็บจาก http มาเป็น https ทั้งเว็บไซต์ ด้วยเหตุผลเรื่องความปลอดภัย เพื่อเข้ารหัสข้อมูล (encryption) ป้องกันการดักจับข้อมูลส่วนตัว รหัสผ่าน รูปภาพ ข้อความ หรือข้อมูลอื่นๆ

Continue reading “ติดตั้ง Apache SSL Web Server”

เก็บข้อมูลการใช้เว็บผ่าน Linux Router ด้วย Squid Transparent Proxy

ด้วยกฎหมาย พรบ. ที่เริ่มมีผลบังคับ ให้เก็บข้อมูลการใช้เว็บอินเตอร์เน็ต ว่าเป็นใครใช้ เข้าเว็บไหน เมื่อไร

ถ้าเป็นเครื่องที่เราสามารถดูแลได้ วิธีหนึ่งที่ทำได้คือ คอนฟิก Proxy ใน ฺBrowser ของแต่ละเครื่องที่จะใช้อินเตอร์เน็ต ชี้ไปยัง Proxy Server ที่ทำหน้าที่เก็บข้อมูลการใช้งาน

แต่ถ้าเราไม่สามารถควบคุมดูแลได้ หรือเครื่องที่ใช้งานมีการเปลี่ยนแปลงตลอดเวลา เช่นให้บริการอินเตอร์เน็ต สำหรับผู้มาติดต่องาน

ถ้าเป็นแบบนี้ แนะนำให้คอนฟิก Transparent Proxy บน Linux Router เพื่อให้ทำหน้าที่เก็บข้อมูลการใช้เว็บโดยอัตโนมัติ

Continue reading “เก็บข้อมูลการใช้เว็บผ่าน Linux Router ด้วย Squid Transparent Proxy”

ดักจับ Traffic ใน Network ด้วย tcpdump

tcpdump เป็นโปรแกรมประเภทเดียวกับ Sniffer, Wireshark คือใช้ในการดักจับ (capture) Traffic หรือ Packet ที่ รับ/ส่ง เข้า/ออก ระหว่างพอร์ตแลน (LAN) ของเซิรฟ์เวอร์เครื่องที่รันคำสั่ง และอุปกรณ์เครือข่าย (Router, Switch, HUB)

มีประโยชน์อย่างมาก เพื่อใช้ในการวิเคราะห์ ตรวจสอบ หรือแก้ปัญหาเกี่ยวกับ Network ได้

tcpdump ต้องรันด้วย root หรือเทียบเท่า และรันแบบ command line ติดตั้งมาเป็นดีฟอลต์บนลีนุกซ์เกือบทุกตระกูล เวอร์ชั่น จึงใช้งานได้สะดวก ไม่ต้องติดตั้งเพิ่มเติมเหมือนโปรแกรมอื่นๆ

ในที่นี้ขอแนะนำวิธีการใช้งานเบื้องต้นของ tcpdump

Continue reading “ดักจับ Traffic ใน Network ด้วย tcpdump”

จำกัดจำนวน login พร้อมกันของผู้ใช้เดียวกัน

การจำกัด (limit) จำนวนการ login พร้อมกันโดยใช้ชื่อผู้ใช้เดียวกัน สามารถคอนฟิกด้วยออปชั่น “maxlogins” ในไฟล์ /etc/security/limits.conf

คำอธิบายออปชั่น “maxlogins” คือ max number of logins for this user

Continue reading “จำกัดจำนวน login พร้อมกันของผู้ใช้เดียวกัน”