ชอบภาษาอังกฤษ ปลื้ม PHP และปิ้ง FreeBSD

สิ่งที่ต้องทำหลังติดตั้ง Ubuntu 10.04

2010-09-01T11:17:00.001+07:00

It has become a tradition with my to do lists. This time, it’s for “Lucid Lynx”, the new Ubuntu release from Canonical. And yep it’s better than the previous version “Karmic Koala”. There have been some drastic changes in the UI and under the hood. Lucid Lynx, out of box, is faster, more social, cloud integrated…basically it feels like an operating system you would want to use today. So without wasting any more word let’s get on with the list :) :

1 – Expand the Software Repository List

First of all, lets make Ubuntu “see” more packages. Go to the terminal and edit your sources.list with :

sudo gedit /etc/apt/sources.list

Here is the content of my sources.list which I think is quite complete to have all the necessary applications you could ever need. So delete the whole content of your sources list and replace it with the content of mine

Save it. Now import the necessary repositories keys to avoid “aptitude” crying about some missing keys, go to the terminal and type:

sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com DCF9F87B6DFBCBAE F9A2F76A9D1A0061 A040830F7FAC5991 2EBC26B60C5A2783

Get your system up to date with :

sudo aptitude update && sudo aptitude full-upgrade

Now all your programs will run on the last version.

2 – Anti-Virus

Windows equivalent : AVG AntiVirus, NAV, TrendMicro, F-Prot, Kaspersky, …

Ubuntu equivalent : ClamAV, Avast

ClamAV

sudo aptitude install clamav clamtk

Access it through System Tools → Virus Scanner .

Avast

wget http://files.avast.com/files/linux/avast4workstation_1.3.0-2_i386.deb && sudo dpkg -i avast4workstation_1.3.0-2_i386.deb

Access it through Accessories → avast! Antivirus .

3 – Essential tools for compiling from sources

sudo aptitude install build-essential checkinstall cdbs devscripts dh-make fakeroot libxml-parser-perl check avahi-daemon

4 – Java runtime environment

Java is a very important thing to install, now that many programs like Azureus need it to run. So type:

sudo aptitude install sun-java6-jre sun-java6-plugin equivs

6 – Multimedia

Windows equivalent : windows media player, real player, vlc, mplayer

Ubuntu equivalent : vlc, mplayer, helix player

To have Ubuntu playing all kinds of stuff, you need to install many codecs. So on the Terminal, type:

* Installing vlc and mplayer (plays almost everything):

sudo aptitude install vlc mplayer

* Common packs

sudo aptitude install non-free-codecs libxine1-ffmpeg gxine mencoder mpeg2dec vorbis-tools id3v2 mpg321 mpg123 libflac++6 ffmpeg libmp4v2-0 totem-mozilla icedax tagtool easytag id3tool lame nautilus-script-audio-convert libmad0 libjpeg-progs libmpcdec3 libquicktime1 flac faac faad sox ffmpeg2theora libmpeg2-4 uudeview flac libmpeg3-1 mpeg3-utils mpegdemux liba52-dev

* Gstreammer 0.10

sudo aptitude install gstreamer0.10-ffmpeg gstreamer0.10-fluendo-mp3 gstreamer0.10-gnonlin gstreamer0.10-pitfdll gstreamer0.10-sdl gstreamer0.10-plugins-bad-multiverse gstreamer0.10-schroedinger gstreamer0.10-plugins-ugly-multiverse totem-gstreamer

* More programs

sudo aptitude install gstreamer-dbus-media-service gstreamer-tools ubuntu-restricted-extras

* Enable dvd support

sudo aptitude install libdvdcss2 && sudo /usr/share/doc/libdvdread4/./install-css.sh

* Flash

sudo aptitude install gsfonts gsfonts-x11 flashplugin-nonfree

7. Tweak your eyecandy

Ubuntu 10.04 comes with compiz fusion effects OOTB but doesn’t offer a way to customize them.

In a terminal copy/paste this:

sudo aptitude install simple-ccsm

Now navigate to System → Preferences → Simple CompizConfig Settings Manager .

8 – Missing Windows software?? Run Windows softwares in Linux!!!

Run Windows Applications such as 7zip, Google Sketchup, AutoCAD, Dreamwaver, Flash MX, Fireworks MX, IE6, IE7, Safari, Itunes, Windows Media Player and many more…

Play Windows Games in Linux like Age Of Empires, Call Of Duty, Diablo, Fear, Fallout, Far Cry, Grand Theft Auto, Half Life, Halo, Hitman, Max Payne, Need For Speed, Prince Of Persia, Sim City Star Wars, The Simsworld of warcraft , Tomb Raider, Warcraft, World Of Warcraft, Counterstrike and many other can be played.

Install Playonlinux. It’s based on wine. Wine is a compatibility layer for running Windows programs in Linux.

sudo aptitude install wine playonlinux

9 – Clipboard Management

By Default in ubuntu when u copy something from an application and closes the application u will not be able to access it from the clipboard. And also when u copy severals text in serial u only have the last on available to you in the clipboard. To solve that install either of the following but Glipper is better because it supports plugins.

Glipper

sudo aptitude install glipper

Then right click ur panel → Add to Panel then drag Clipboard Manager to ur panel

Parcellite

sudo aptitude install parcellite

10 – Archiver/ Packing software

Windows equivalent : winrar, zip, 7zip

Ubuntu equivalent : tar, unrar, p7zip, arj, unace

It’s bad when you don’t have Internet on your computer/notebook, but you have to pack/unpack something but the file format isn’t recognized by the system. To prevent from this bad situation, you can install a bunch of packing software by typing this on the terminal:

sudo aptitude install unace rar unrar zip unzip p7zip-full p7zip-rar sharutils uudeview mpack lha arj cabextract file-roller

11 – Graphical web browser

Windows equivalent : Internet explorer, firefox, opera

Ubuntu equivalent : Firefox, opera, chromium

Opera

sudo aptitude install opera

Firefox (installed by default intrepid)

sudo aptitude install firefox

Chromium (open source equivalent of Google Chrome)

sudo aptitude install chromium-browser chromium-browser-l10n

12 – Download Manager

Windows equivalent : Free download manager

Ubuntu equivalent : Multiget

MultiGet is a http/ftp downloader with a nice GUI for linux desktop users. It can run on almost all desktops without any configuration. It has many powerful functions comparing to others.

sudo aptitude install multiget

Access it through Applications → Internet → MultiGet .

13 – Graphical Email client

Windows equivalent : Outlook

Ubuntu equivalent : Evolution, Thunderbird

Evolution (installed by default in lucid)

sudo aptitude install evolution

Access it through Applications → Internet → Evolution Mail .

Thunderbird

sudo aptitude install thunderbird

Access it through Applications → Internet → Mozilla Thunderbird Mail/News .

14 – Instant Messanging protocal clients

Windows equivalent : MSN messenger, Yahoo messenger, QQ, AIM, Gtalk, ICQ,IRC

Ubuntu equivalent : Empathy, Pidgin, emesene

Empathy IM Client (installed by default)

Add the related launchpad repository :
sudo add-apt-repository ppa:telepathy/ppa && sudo aptitude update

Then install it by running the following :
sudo aptitude install empathy telepathy-mission-control-5 telepathy-gabble telepathy-butterfly telepathy-haze telepathy-idle telepathy-salut telepathy-sofiasip libtelepathy-farsight0 python-tpfarsight galago-eds-feed python-galago python-galago-gtk msn-pecan

Access it through Applications → Internet → Empathy IM Client .

Pidgin

Pidgin is an easy to use and free chat client used by millions. Connect to AIM, MSN, Yahoo, and more chat networks all at once. Supported chat networks: AIM, Bonjour, Gadu-Gadu, Google Talk, Groupwise, ICQ, IRC, MSN, MySpaceIM, QQ, SILC, SIMPLE, Sametime, XMPP, Yahoo!, Zephyr

Add the launchpad repository :
sudo add-apt-repository ppa:pidgin-developers/ppa && sudo aptitude update

Then install it :
sudo aptitude install pidgin pidgin-data pidgin-lastfm pidgin-guifications msn-pecan pidgin-musictracker pidgin-plugin-pack pidgin-themes

Access it through Applications → Internet → Pidgin Internet Messenger .

Emesene only for MSN Messenger.

Add the launchpad repository :
sudo add-apt-repository ppa:bjfs/ppa && sudo aptitude update

Then install it :
sudo aptitude install emesene

Access it through Applications → Internet → Emesene .

15 – VOIP

Windows equivalent : skype

Ubuntu equivalent : skype

Skype

sudo aptitude install skype

Access it through Applications → Internet → Skype.

16 – Viewing PDF files

Windows equivalent : Adobe Reader

Ubuntu equivalent : Adobe Reader

Adobe Reader

sudo aptitude install acroread acroread-fonts

Access it through Applications → Office → Adobe Reader.

17– Adobe Air

wget http://airdownload.adobe.com/air/lin/download/latest/AdobeAIRInstaller.bin
chmod +x ./AdobeAIRInstaller.bin

sudo ./AdobeAIRInstaller.bin

Access it through Applications → Accessories → Adobe Air Application Installer.

18 – Music / MP3 / OGG Players

Windows equivalent : iTunes, Winamp

Ubuntu equivalent : Rhythmbox, Banshee, Amarok

Rhythmbox

sudo aptitude install rhythmbox

Access it through Applications → Sound & Video → Rhythmbox Music Player.

Banshee

sudo aptitude install banshee banshee-extension-ubuntuonemusicstore libappindicator0-cil banshee-extension-appindicator banshee-extension-lyrics banshee-extension-mirage

Access it through Applications → Sound & Video → Banshee Media Player.

Amarok

sudo aptitude install amarok amarok-common

Access it through Applications → Sound & Video → Amarok.

19– Hard Disk Partitions Manager

Windows equivalent : Symanted Partition Magic

Ubuntu equivalent : GParted

GParted

sudo aptitude install gparted ntfsprogs menu ntfs-config

Access it through System → Administration → Partition Editor.

20 – Vector Graphics Editor

Windows equivalent : Adobe Illustrator

Ubuntu equivalent : Inkscape

Inkscape

sudo aptitude install inkscape

Access it through Applications → Graphics → Inkscape Vector Graphics Editor.

21 – Image Editor

Windows equivalent : Adobe Photoshop, Paint.Net

Ubuntu equivalent : GIMP

GIMP

Add the launchpad repository :
sudo add-apt-repository ppa:matthaeus123/mrw-gimp-svn && sudo aptitude update

Then install it with the following command :
sudo aptitude install gimp gimp-data gimp-plugin-registry gimp-data-extras

Access it through Applications → Graphics → GIMP Image Editor.

PINTA

Add the launchpad repository :
sudo add-apt-repository ppa:moonlight-team/pinta && sudo aptitude update

Then install it with the following command :
sudo aptitude install pinta

Access it through Applications → Graphics → Pinta Image Editor.

22 – 3D Graphics Applications

Windows equivalent : 3D Studio MAX

Ubuntu equivalent : Blender

Blender

sudo aptitude install blender

Access it through Applications → Graphics → Blender (windowed).

23 – Simple Yet Advanced Text Editor

Windows equivalent : Notepad ++

Ubuntu equivalent : GEdit

GEdit

sudo aptitude install gedit gedit-plugins

Access it through Applications → Accessories → Text Editor.

24 – Office Applications

Windows equivalent : Microsoft Office

Ubuntu equivalent : OpenOffice

OpenOffice

sudo aptitude install openoffice.org

Access it through Applications → Office

25 – Microsoft Visio

Windows equivalent : Microsoft Visio

Ubuntu equivalent : Dia

Dia

sudo aptitude install dia

Access it through Applications → Graphics → Dia Diagram Editor

26 – Microsoft Project

Windows equivalent : Microsoft Project

Ubuntu equivalent : OpenProj

OpenProj

wget http://nchc.dl.sourceforge.net/sourceforge/openproj/openproj_1.4-2.deb && sudo dpkg -i openproj_1.4-2.deb

Access it through Applications → Office → OpenProj

27 – Development IDE

Windows equivalent : Dreamweaver

Ubuntu equivalent : Quanta, Kompozer, NetBeans

Quanta

sudo aptitude install quanta

Access it through Applications → Programming → Quanta Plus

Komposer

sudo aptitude install kompozer nvu

Access it through Applications → Internet → Kompozer

NetBeans

sudo aptitude install netbeans

Access it through Applications → Programming → NetBeans IDE

28 – Source Control Management

Windows equivalent : TortoiseSVN

Ubuntu equivalent : RabbitVCS

RabbitVCS

Add the launchpad repository :
sudo add-apt-repository ppa:rabbitvcs/ppa && sudo aptitude update

Then install it :
sudo aptitude install rabbitvcs-nautilus
killall nautilus

Right Click on any folder or file and access the RabbitVCS submenu

29 – Graphical FTP clients

Windows equivalent : CuteFTP, SmartFTP

Ubuntu equivalent : FileZilla

FileZilla

This is great FTP program, very complete, in my opinion, the best one for linux.

On the terminal type:

sudo aptitude install filezilla filezilla-common

Access it through Applications → Internet → FileZilla FTP Client.

30 – P2P Clients / Servers, File Sharing

Windows equivalent : utorrent, azureus, emule

Ubuntu equivalent : Deluge, azureus, amule

Bittorent clients

Deluge (written in python)

Add the launchpad repository :
sudo add-apt-repository ppa:deluge-team/ppa && sudo aptitude update

Then install it :
sudo aptitude install deluge-torrent

Access it through Applications → Internet → Deluge Torrent.

Azureus: Uses Java to run, very complete but a bit heavy

sudo aptitude install azureus

Access it through Applications → Internet → Azureus.

Emule Donkey Clients

Amule

Add the launchpad repository :
sudo add-apt-repository ppa:happyaron/amule-dlp && sudo aptitude update

Then install it with the following command :
sudo aptitude install amule-dlp amule-dlp-gnome-support amule-dlp-utils-gui amule-dlp-daemon

Access it through Applications → Internet → aMule.

31 – Programs for CD burning with GUI

Windows equivalent : Nero, Roxio Easy CD Creator

Ubuntu equivalent : K3b, Brasero

K3b

Nero is available for linux,but its not free.A trial is available for 1 month usage and later it asks or activation code.But K3B is as good as Nero.Have a good feature set as Nero.

sudo aptitude install k3b k3b-data libk3b6

Access it through Applications → Sound & Video → K3B.

Brasero (installed by default in Lucid)

sudo aptitude install brasero

Access it through Applications → Sound & Video → Brasero Disc Burning .

32 – Mountings ISO files

Windows equivalent : Alcohol

Ubuntu equivalent : acetoneiso

Acetoneiso

The best one for linux ACETONEISO, which is similar to ALCOHOL in windows

its supports almost all formats. AcetoneISO is CD/DVD image manipulator for Linux.Using this tool it is very easy to Mount and Unmount ISO,MDF,NRG Images . I dont think its available in ubuntu repository.

sudo aptitude install libksba8 libenca0 libtwolame0 fuseiso kommander p7zip-full gnupg-agent gnupg2 pinentry-qt mencoder cdrdao && wget http://darkstar.ist.utl.pt/getdeb/ubuntu/jaunty/ac/acetoneiso_2.1.1-1~getdeb1_i386.deb && sudo dpkg -i acetoneiso_2.1.1-1~getdeb1_i386.deb

33 – Install Vista like gadgets.

Windows equivalent : Vista Sidebar

Ubuntu equivalent : google-gadgets

Google gadgets

sudo aptitude install google-gadgets-gtk

This will complete the installation.

Now press Alt+F2, and type “ggl-gtk” to start them. You should see a small icon show up in your system tray, and a sidebar. Right click on any of them and select ‘Add Gadgets’ to show a menu. If you’d like to have Google Gadgets start automatically, go to System – Preferences – Session, click ‘Add’, paste ‘Google Gadgets’ for the name and ‘ggl-gtk’ for the command. Click OK and Close, and you’re good to go.

34 – Google Desktop

Google Desktop allows one to full text search of a user’s e-mail, computer files, music, photos, chat, and Web pages viewed,OpenOffice documents , PDF files and more .

Now similar tools already existed on Linux like beagle (supported by novell ) , meta tracker etc . However Google Desktop search is not based on any of these tools and uses its proprietary algorithms to search for files on the computer ,also being 1.0 release and more stable then these products it could be preferred over tools like beagle .

To install Google Desktop Search type the following command in the terminal window : -

sudo aptitude install google-desktop-linux

Access it through Applications → Google Desktop → Google Desktop

Now after choosing appropriate option through Applications → Google Desktop → Google Desktop Preferences, you would find Google Desktop icon in the bar at the top of the screen , now it would automatically scan and index files on computer and store it in local database which could be searched using web browser .

35 – Photo Management

Google Picasa

Google Picasa is an extremely professional good looking photo management application available on Windows ,Linux and Mac OS. Now Google Picasa has a number of features that many photo management software on Linux dont have further Google Picasa looks very user friendly as compared to similar open source application available on linux . Now Google Picasa for Linux is not a native linux application but runs on Linux thru application layer called wine which allows many windows application to run flawlessly on Linux.

Now to install Google – Picasa type the following command in the terminal window

wget http://dl.google.com/linux/deb/pool/non-free/p/picasa/picasa_3.0-current_i386.deb && sudo dpkg -i picasa_3.0-current_i386.deb

Access it through Applications → Graphics → Picasa → Picasa

36 – Map Viewing and Management

Google Earth

To install Google Earth type the following command in the Terminal Window.

sudo aptitude install googleearth

After downloading is over you will get a screen like this press ¨Yes¨ to accept the license agreement and complete software installation.

Now you can launch Google Earth from Application → Internet → Google Earth

37 – Gmail Notification

Checkgmail

If you would like to get notified when you have a new mail in your google mail account, checkgmail is for you. To install Checkgmail type the following command in the Terminal Window.

sudo aptitude install checkgmail

Now you can launch it from Application → Internet → CheckGmail

38 – Configure Firewall
If you are concern about your security, then it is pertinent that you activate the firewall and prevent any unauthorized access to your computer.

UFW is installed by default, but if you need a graphical interface, install GUFW.

sudo aptitude install gufw

39– Gnome Do

Gnome Do is a small application that allows you to search and do things faster and more efficiently in your Ubuntu machine. It is similar to QuickSilver in Mac and Launchy in Windows. For those who have not tried Gnome Do before, it might take some time for you to get used to it. But once you’re hooked to it, there will be no turning back for you.Gnome Do also comes with a dock interface that you can use it like any other docks.

sudo aptitude install gnome-do

Now you can launch it from Application → Accessories → Gnome Do

40 – Ubuntu Tweak

Ubuntu Tweak allows you to tweak your system settings, all in one place. You can install new applications, customize your desktop settings, configure your startup applications, changing the system filetype association and many more tweaks in this single application.

Add the launchpad repository :
sudo add-apt-repository ppa:ubuntu-tweak-testing/ppa && sudo aptitude update

Then install it with the following command :
sudo aptitude install ubuntu-tweak

Then access it through Applications → System Tools → Ubuntu Tweak

App Runner

App Runner is a small open source utility that makes it very easy to run any type of program/executable/script on any distro/OS that uses the nautilus file manager: Debian/Ubuntu/Super OS/Fedora/etc

wget http://hacktolive.org/files/app_runner/App_Runner_0.2.deb && sudo dpkg -i App_Runner_0.2.deb

Then right-click the file -> Scripts -> Run This App or Run This App (root)

ที่มา : http://theindexer.wordpress.com/2010/03/21/to-do-list-after-installing-ubuntu-10-04-aka-lucid-lynx/

ติดตั้ง Grub2

2010-08-31T11:49:00.003+07:00

วิธีการ Reinstall GRUB 2 สำหรับ ubuntu 10.04
กรณีติดตั้ง UBUNTU คู่กับ Windows แล้วภายหลังได้ติดตั้ง Windows ใหม่จะทำให้ไม่สามารถบู๊ตเข้า UBUNTU ได้อีก จึงต้องติดตั้ง GRUB ใหม่ ซึ่งมีวิธีการตามนี้เลยครับ
1. บู๊ตด้วย Boot Ubuntu 10.04 Desktop CD
2.หลังจากเข้าระบบเรียบร้อยแล้วก็ เปิด Terminal ขึ้นมาเลยครับ
3.พิมพ์คำสั่งครับ sudo fdisk -l พาร์ทิชั่นต่างๆก็จะถูกแสดงขึ้นมา ให้ดูไว้ครับ ว่าพาร์ทิชั่นไหนที่มันเป็น Linux

ตัวอย่างของผม

Disk /dev/sda: 320.1 GB, 320072933376 bytes
255 heads, 63 sectors/track, 38913 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x0b8b4d2d

Device Boot Start End Blocks Id System
/dev/sda1 * 1 7180 57673318+ 7 HPFS/NTFS
/dev/sda2 7181 38914 254897499+ f W95 Ext'd (LBA)
/dev/sda5 7181 23107 127933596 b W95 FAT32
/dev/sda6 23108 31010 63480816 b W95 FAT32
/dev/sda7 31011 38585 60846012+ 83 Linux
/dev/sda8 38586 38914 2634752 82 Linux swap / Solaris

4.พิมพ์ต่อเลยครับ sudo mount /dev/sda7 /mnt (แทนที่ "sda7" ด้วยพาทิชั่นของคุณครับ)
5.จากนั้นสั่งต่อตามนี้ครับ sudo grub-install --root-directory=/mnt/ /dev/sda
6.รอสักพักเสร็จแล้ว Reboot หนึ่งรอบ
7.หลังจาก Reboot แล้ว ปรับปรุงเมนู grub ด้วยคำสั่ง sudo update-grub
เสร็จแล้วครับ
อ้างอิงจาก : https://help.ubuntu.com/community/Grub2#Reinstalling%20from%20LiveCD

เครดิตจาก http://phaa-love-ubuntu.blogspot.com/2010/06/reinstall-grub-2-ubuntu-1004.html

2010-08-31T11:49:00.001+07:00

ติดตั้ง cairo-dock บน Ubuntu 10.04

2010-08-31T09:50:00.000+07:00

To try it:
---------
If you're under Ubuntu >= 9.04 :
sudo add-apt-repository ppa:cairo-dock-team/weekly
sudo apt-get update
sudo apt-get install cairo-dock cairo-dock-plug-ins

otherwise :
echo "deb http://ppa.launchpad.net/cairo-dock-team/weekly/ubuntu $(lsb_release -sc) main ## Cairo-Dock-PPA-Weekly" | sudo tee -a /etc/apt/sources.list
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys E80D6BF5
sudo apt-get update
sudo apt-get install cairo-dock cairo-dock-plug-ins

2010-08-30T09:21:00.001+07:00

Update Ubuntu ผ่าน command line

sudo apt-get update
sudo apt-get dist-upgrade

2010-08-25T18:45:00.001+07:00

PHP กับ SQL เหมือนกิ่งทองใบหยก อ่านซะ สุดยอดครับท่าน
http://www.w3schools.com/sql/

2010-08-23T06:37:00.001+07:00

บทความมากมายเกี่ยวกับ Syslog-ng มีได้ไม่อั้น ด้านล่างเลย

http://www.syslog.org/wiki/Syslog-ng/HowToGuides

ว่าง ๆ ก่อน จะแปล

สองมือน้อยจัดการ Ultrasurf จอมป่วน

2010-08-06T10:18:00.004+07:00

หลาย ๆ admin คงปวดหัวกับลูกข่ายที่ใช้ ultrasurf เพื่อปลดล็อก policy ของเรา แต่วันนี้เราจัดการได้ครับอาจจะไม่ร้อยเปอรฺ์เซ็น แต่ก็สร้างความอึดและอัดแก้ผู้ที่ใช้โปรแกรมนี้จนไม่อยากใช้ไปเลยครับ ต้องขอขอบพระคุณ คุณยิม (จาก http://www.thaibsd.com)

A lot of administrators have faced many problems with "Ultrasurf" software which is always breaks our policy. Now I have solution to solve this problem. If you are ones who have problem like this, bring this command to your system.

route add -net 65.49.2.0/24 10.0.0.2

10.0.0.2 ผมเปลี่ยนเป็น IP ของ Lan Card ใบที่ 1 ครับ
number 10.0.0.2 I change to be my first lan card's IP

คำสั่งสั้น ๆ แต่มากด้วยอานุภาพขอบอก เสร็จแล้วก็จิบกาแฟอย่างสบายอารมณ์ 5555555
Now, with this power of command you can take a cup of coffee and don't worry about that again.

Config Apache

2010-07-22T08:33:00.002+07:00

ServerSignature Off
ServerTokens Prod

The first one, ServerSignature Off tells apache not to display the server version on error pages, or other pages it generates.
บรรทัดแรก ServerSignature Off บอก Apache ไม่ให้แสดงรุ่นของ Apache ในหน้าที่ผิดพลาด หรือหน้าอื่นๆ ที่ตัว Apache สร้างขึ้น

The second one ServerTokens Prod tells apache to only return Apache in the Server header, returned on every page request.

ที่มา : http://www.petefreitag.com/item/419.cfm

Chillispot แบบ fixed ip

2010-07-13T06:19:00.003+07:00

บทความทั้งหมดมาจาก
http://manajung.blogspot.com/2010/01/chillispot-fix-ip-static-ip-address.html
ขอบคุณครับ

Chillispot แบบ fixed ip (Static IP address) และแบบ DHCP
มีหลายคนเข้าใจผิด คิดว่า Chillispot ทำงานกับเครื่องลูกที่ถูก fixed IP ไม่ได้

-ubuntu 8.0.4
-chillispot 1.0
-freeradius 1.1.7
-phpmyprepaid 0.4 RC3

#nano /etc/chillispot.conf -------------ตามนี้

###########################################
#
# Sample ChilliSpot configuration file
#
##########################################

# TAG: fg
# Include this flag if process is to run in the foreground
#fg

# TAG: debug
# Include this flag to include debug information.
#debug

# TAG: interval
# Re-read configuration file at this interval. Will also cause new domain
# name lookups to be performed. Value is given in seconds.
#interval 3600

# TAG: pidfile
# File to store information about the process id of the program.
# The program must have write access to this file/directory.
#pidfile /var/run/chilli.pid

# TAG: statedir
# Directory to use for nonvolatile storage.
# The program must have write access to this directory.
# This tag is currently ignored
#statedir ./

# TUN parameters

# TAG: net
# IP network address of external packet data network
# Used to allocate dynamic IP addresses and set up routing.
# Normally you do not need to uncomment this tag.
net 10.0.134.0/24

# TAG: dynip
# Dynamic IP address pool
# Used to allocate dynamic IP addresses to clients.
# If not set it defaults to the net tag.
# Do not uncomment this tag unless you are an experienced user!

dynip 10.0.134.16/25

# TAG: statip
# Static IP address pool
# Used to allocate static IP addresses to clients.
# Do not uncomment this tag unless you are an experienced user!
statip 10.0.134.0/28

# TAG: dns1
# Primary DNS server.
# Will be suggested to the client.
# If omitted the system default will be used.
# Normally you do not need to uncomment this tag.
#dns1 192.168.0.101

# TAG: dns2
# Secondary DNS server.
# Will be suggested to the client.
# If omitted the system default will be used.
# Normally you do not need to uncomment this tag.

# TAG: domain
# Domain name
# Will be suggested to the client.
# Normally you do not need to uncomment this tag.
#domain tfh.com,192.168.0.101

# TAG: ipup
# Script executed after network interface has been brought up.
# Executed with the following parameters:
#
# Normally you do not need to uncomment this tag.
#ipup /etc/chilli.ipup

# TAG: ipdown
# Script executed after network interface has been taken down.
# Executed with the following parameters:
#
# Normally you do not need to uncomment this tag.
#ipdown /etc/chilli.ipdown

# Radius parameters

# TAG: radiuslisten
# IP address to listen to
# Normally you do not need to uncomment this tag.
#radiuslisten 127.0.0.1

# TAG: radiusserver1
# IP address of radius server 1
# For most installations you need to modify this tag.
radiusserver1 127.0.0.1

# TAG: radiusserver2
# IP address of radius server 2
# If you have only one radius server you should set radiusserver2 to the
# same value as radiusserver1.
# For most installations you need to modify this tag.
radiusserver2 127.0.0.1

# TAG: radiusauthport
# Radius authentication port
# The UDP port number to use for radius authentication requests.
# The same port number is used for both radiusserver1 and radiusserver2.
# Normally you do not need to uncomment this tag.
#radiusauthport 1812

# TAG: radiusacctport
# Radius accounting port
# The UDP port number to use for radius accounting requests.
# The same port number is used for both radiusserver1 and radiusserver2.
# Normally you do not need to uncomment this tag.
#radiusacctport 1813

# TAG: radiussecret
# Radius shared secret for both servers
# For all installations you should modify this tag.
radiussecret sharedsecret

# TAG: radiusnasid
# Radius NAS-Identifier
# Normally you do not need to uncomment this tag.
#radiusnasid nas01

# TAG: radiuslocationid
# WISPr Location ID. Should be in the format: isocc=,
# cc=,ac=,network=
# Normally you do not need to uncomment this tag.
#radiuslocationid isocc=us,cc=1,ac=408,network=ACMEWISP_NewarkAirport

# TAG: radiuslocationname
# WISPr Location Name. Should be in the format:
# ,
# Normally you do not need to uncomment this tag.
#radiuslocationname ACMEWISP,Gate_14_Terminal_C_of_Newark_Airport

# Radius proxy parameters

# TAG: proxylisten
# IP address to listen to
# Normally you do not need to uncomment this tag.
#proxylisten 10.0.0.1

# TAG: proxyport
# UDP port to listen to.
# If not specified a port will be selected by the system
# Normally you do not need to uncomment this tag.
#proxyport 1645

# TAG: proxyclient
# Client(s) from which we accept radius requests
# Normally you do not need to uncomment this tag.
#proxyclient 10.0.0.1/24

# TAG: proxysecret
# Radius proxy shared secret for all clients
# If not specified defaults to radiussecret
# Normally you do not need to uncomment this tag.
#proxysecret testing123

# DHCP Parameters

# TAG: dhcpif
# Ethernet interface to listen to.
# This is the network interface which is connected to the access points.
# In a typical configuration this tag should be set to eth1.
dhcpif eth1
GNU nano 2.0.7 File: /etc/chilli.conf

# TAG: dhcpmac
# Use specified MAC address.
# An address in the range 00:00:5E:00:02:00 - 00:00:5E:FF:FF:FF falls
# within the IANA range of addresses and is not allocated for other
# purposes.
# Normally you do not need to uncomment this tag.
#dhcpmac 00:00:5E:00:02:00

# TAG: lease
# Time before DHCP lease expires
# Normally you do not need to uncomment this tag.
#lease 600

# Universal access method (UAM) parameters

# TAG: uamserver
# URL of web server handling authentication.
uamserver https://10.0.134.1/cgi-bin/hotspotlogin.cgi

# TAG: uamhomepage
# URL of welcome homepage.
# Unauthenticated users will be redirected to this URL. If not specified
# users will be redirected to the uamserver instead.
# Normally you do not need to uncomment this tag.
uamhomepage http://10.0.134.1/welcome.html

# TAG: uamsecret
# Shared between chilli and authentication web server
uamsecret sharedsecret

# TAG: uamlisten
# IP address to listen to for authentication requests
# Do not uncomment this tag unless you are an experienced user!
uamlisten 10.0.134.1

# TAG: uamport
# TCP port to listen to for authentication requests
# Do not uncomment this tag unless you are an experienced user!
#uamport 3990

# TAG: uamallowed
# Comma separated list of domain names, IP addresses or network segments
# the client can access without first authenticating.
# It is possible to specify this tag multiple times.
# Normally you do not need to uncomment this tag.
uamallowed www.chillispot.org,10.10.134.0/24

# TAG: uamanydns
# If this flag is given unauthenticated users are allowed to use
# any DNS server.
# Normally you do not need to uncomment this tag.
uamanydns

# MAC authentication

# TAG: macauth
# If this flag is given users will be authenticated only on their MAC
# address.
# Normally you do not need to uncomment this tag.
macauth

# TAG: macallowed
# List of MAC addresses.
# The MAC addresses specified in this list will be authenticated only on
# their MAC address.
# This tag is ignored if the macauth tag is given.
# It is possible to specify this tag multiple times.
# Normally you do not need to uncomment this tag.
#macallowed 00-0F-B0-D4-AF-2A

# TAG: macpasswd
# Password to use for MAC authentication.
# Normally you do not need to uncomment this tag.
macpasswd passwd

# TAG: macsuffix
# Suffix to add to MAC address in order to form the username.
# Normally you do not need to uncomment this tag.
#macsuffix suffix
---------------------------------------------------------
จบแกรแก้ไขไพล์

Fix IP ที่เครื่อง Client เป็น 10.0.134.15
netmask 255.255.255.0
gateway 10.0.134.1
dns x.x.x.x (แล้วแต่จะใช้)

และ เพิ่ม account ใน phpmyprepaid แบบ Subscription Time Account
ตรง username ให้ใส่ Mac address เช่น 00-13-D4-68-9C-88
ตรงช่อง password ให้ใส่ password อันเดียวกับ ที่บรรทัด macpasswd ในที่นี้คือ passwd

เพิ่มข้อมูล ใน Database
#mysql -u root -p
mysql>insert into radreply (username,attribute,op,value) values('00-13-D4-68-9C-88','Framed-IP-Address',':=','10.0.134.15');

mysql>INSERT INTO radcheck (username, attribute, value) VALUES ("00-13-D4-68-9C-88", "Auth-Type", "Accept");

mysql>quit;

นำ Client มาเสียบสาย LAN แล้วลองเปิดเวบดูนะครับ
ไม่ต้องกรอกข้อมูลหน้า login ใช้เน็ตได้เลย

เทคนิค Squid 3.0 อนุญาตเฉพาะ mac address ที่ลงทะเบียน

2010-07-09T14:12:00.004+07:00

ความเป็นมาคือ ให้นักเรียนใช้ระบบ Authetication ผ่าน Radius ส่วนครูและบุคลากรทางการศึกษาใช้แบบอิสระ(ไม่ต้องใส่รหัส) อยูบนเครือข่ายเดียวกัน วันดีคืนดี ก็มีคน(นักเรียน)มา Fix IP ใช้เน็ต เลยหาทางแก้ไข ถ้า Block IP เขาก็เปลี่ยนไปใช้ตัวอื่นอีก เลยคิดว่าน่าจะลงทะเบียนเครื่องแล้วเก็บ Mac Address ไว้ แล้วอนุมัติให้เฉพาะ Mac Address เหล่านี้เท่านั้นที่ใช้เน็ตได้ ที่เหลือให้ปฏิเสธ หาอยู่นานจนได้อย่างนี้

acl Member arp "/etc/memberlist.lst" # กำหนด acl ชื่อ Member โดย List ของ Mac Address อยู่ที่ไฟล์ใน /etc/memberlist.lst
http_access deny !Member #ให้ปฏิเสธการเชื่อมต่อของ Mac Address ที่ไม่ตรงกับ acl Member

ก็ได้ผลเป็นที่น่าพอใจ ลองใช้เครื่องอื่น ๆ Fix IP มา ปรากฎว่าเชื่อมต่อได้ แต่เมื่อเปิดเว็บ โช๊ะเด๊ะ ติด Squid ซะงั้น เฮ้อ โล่งอกไปที หลังจากหาวิธีป้องกันคนนอกมาใช้เครือข่ายตั้งนาน

อาจจะมีนักเรียนที่เก่ง(น้อยมากแต่ป้องกันไว้ก่อน) แอบใช้ซอร์ฟแวร์บางชนิดเพื่อทะลุ block ของ squid ที่นิยมใช้คือ ultrasurf อันนี้ก็แก้ไขได้ ดูในส่วนของ security แล้วกัน คุณ yim แนะนำไว้ เจ๋งมากๆ

ติดตั้ง Google Earth บน Ubuntu 9.10

2009-12-30T14:27:00.003+07:00

กำลังคลั่งไคล้ Ubuntu เป็นพิเศษ(จริงๆ)
อยากได้ Google Earth ก็ทำตามนีน๊ะ

ดาวน์โหลดไฟล์มาก่อน
http://earth.google.com/

จะได้ไฟล์มาแบบนี้ GoogleEarthLinux.bin เอามาไว้ใน user เรา

จัดการติดตั้งคำสั่งประมาณนี้
$ cd /home/user
$ chmod +x G*.bin
$ ./G.bin

เมื่อติดตั้งเสร็จก็ทำการปรับปรุงภาษาไทยให้ดูสวยงามขึ้น ดังนี

32-bit version of Ubuntu,

cd /opt/google-earth/
sudo mv libQtCore.so.4 libQtCore.so.4.bak
sudo mv libQtGui.so.4 libQtGui.so.4.bak
sudo mv libQtNetwork.so.4 libQtNetwork.so.4.bak
sudo mv libQtWebKit.so.4 libQtWebKit.so.4.bak
sudo ln -s /usr/lib/libQtCore.so.4.4.3 libQtCore.so.4
sudo ln -s /usr/lib/libQtGui.so.4.4.3 libQtGui.so.4
sudo ln -s /usr/lib/libQtNetwork.so.4.4.3 libQtNetwork.so.4
sudo ln -s /usr/lib/libQtWebKit.so.4.4.3 libQtWebKit.so.4

(ได้มาจากกระทู้ http://forum.ubuntuclub.com/forum?topic=4765.0, http://forum.ubuntuclub.com/forum/topic,11520.0)
(แก้ภาษาไทย : http://simos.info/blog/archives/872)

Ubuntu Crazy

2009-12-28T15:14:00.002+07:00

จากกระแสลิขสิทธิ์ เลยทำให้หันเหมาเล่น ubuntu ที่เขาเล่าลือกันว่า desktop สวยไม่แพ้ windows แล้วก็ตกหลุมรักไปอีกคน งดงามไม่มีที่ติ

เริ่มทำการปรับแต่ง
1 ทำ grave เพื่อเปลี่ยนภาษา เหมือนใน windows

ดาวน์โหลดตัว xkb-data-grave.deb มาแล้วติดตั้งด้วยคำสั่ง
$ sudo dpkg -i xkb-data-grave.deb

Ubuntu 9.10 Desktop ทางเลือกใหม่

2009-12-09T06:25:00.002+07:00

กระแสตรวจจับซอร์ฟแวร์ละเมิดลิขสิทธิ์กำลังมาแรง ใครๆ ที่เป็นสาวก Microsoft ทั้งหลาย ต้องลองครับ Ubutu 9.10 (www.ubuntu.com)

PHP

2009-08-06T10:12:00.004+07:00

สำหรับคนเขียนเว็บ คงไม่มีใครไม่รู้จักภาษา PHP มันยอดเยี่ยมมากเลยขอบอก บอกตรง ๆ ผมไม่ได้จบทางสายคอมพิวเตอร์มาเลย
ผมจบเพียวภาษาอังกฤษ(ตรี+โท) แต่หงัยพอได้สำผัสกับเจ้า PHP นี้ มันหลงไหลโงหัวแทบไม่ขึ้น เป็นอะไรที่ท้าทายอีกแบบหนึ่ง
ไม่แพ้ FreeBSD ซึ่งทั้งสองตัวนี้ไปด้วยกันได้เป็นปี่เป็นขลุ่ย อยากให้ทุกคนได้ศึกษาครับ เป็น Opensource ด้วยน๊ะ

มาลองแบบเริ่มต้นดูครับ

ก่อนอื่น ต้องติดตั้ง Appserv ก่อน หรือใครจะใช้ Software อื่น ๆ จำลองเครื่อง PC ของเราเป็น Server ก็มิขัด เพราะเจ้า PHP นี้เป็น Server Side Script คือทำงานที่ฝั่งของ Server เท่านั้น

เมื่อ Appserv ติดตั้งเสร็จเรียบร้อยแล้ว เครื่องมือที่ใช้ในการเขียน PHP นั้น อย่างง่ายที่สุดครับ ใช้ Notepad ที่มาพร้อมกับ Windows หรือใช้ TextEditor อื่น ๆ ก็ได้ ของผมใช้ Editplus ครับ

ลองมาเริ่มกันดูครับ เอาง่าย ๆ ก่อนครับ

?>

นี่คือ Script ของ PHP ครับ หรือจะเขียนแบบสั้น ๆ ก็ได้ เช่น

?>
แต่ต้องตรวจสอบการกำหนดค่า short_open_tag ของ PHP ที่ Server ก่อน ถ้าค่าเป็น Off เดี๋ยวขึ้นหน้าขาว ทางที่ดี
เขียนเต็ม ๆ แบบข้างบนปลอดภัยที่สุดครับ ตรงระหว่าง tag เปิดและปิด คือสิ่งที่เราจะเขียนลงไปครับ

//สร้างค่าตัวแปรชื่อ $a มีค่าว่า วันนี้ฉันได้ลองเขียน PHP เป็นวันแรก
$a = "วันนี้ฉันได้ลองเขียน PHP เป็นวันแรก";

//ทำการแสดงค่า $a ออกมาครับ
echo $a;
?>

จะสังเกตได้ว่า เวลาที่เราจบบรรทัดทุกครั้งนี่จะต้องมีเครื่องหมาย ; ด้วยครับ ไม่งั้นจะแสดง Error ออกมาทันที
สิ่งที่เรานำมาแสดงจะใช้คำสั่งว่า echo หรือ printก็ได้ครับ
ดูแล้วไม่ยากใช้ใหมครับ
โอกาสต่อไปจะมาร่ายกันต่อ ไปสอนก่อน

Squid Dealy Pools

2009-08-06T08:30:00.004+07:00

ไม่ว่างได้แวะเวียนเข้ามาเสียนาน เพราะงานและเรียนที่ยุ่งเหมือนใยแมงมุม เลย วันนี้มีปัญหากับ Delay Pools ที่เข้าใจยากเหลือเกิน งมความรู้ใน CyberSpace อยู่นาน เจอบทความนี้ เลยบันทึกไว้ก่อน..กันลืม ขอบคุณ คุณ shadows00 จาก Board Thaiadmin กระทู้ http://www.linuxthai.org/forum/index.php?topic=472.0 เป็นอย่างสูง

acl all src 0.0.0.0/0.0.0.0 #กำหนดทุก ip และทุก network ก็คือทุกเครื่องนั่นเอง
acl bitclient src 192.168.1.101 # กำหนดให้ใช้เครื่องไหนในร้านเพื่อให้โหลดบิตได้ (เครื่องเดียว)
acl GAMESERVER dstdom_regex patch asiasoft asianet audition cabal fsonline ghostonline ini3\. maplestory playarcade playpark ragnarok tsonline yulgang hipstreet lunaonline pangya ran.in.th raycity sa.in.th sf.gg suddenattack talesrunner winner\. #กำหนด regular expression สำหรับ domain เกมส์ออนไลน์ ซึ่ง acl นี้จะกำหนด กลุ่มคำที่ระบุถึงเกมส์ออนไลน์ทุกเกมส์
acl UNLIMITTIME time SMTWHFA 00:00-07:00 # กำหนดช่วงเวลาเพื่อกำหนดใน delay pools
acl magic_words1 urlpath_regex \.3gp$ \.aac$ \.ac3$ \.act$ \.aiff?$ \.amr$ \.asf$ \.au$ \.avi$ \.b5t$ \.bin$ \.bwt$ \.cab$ \.ccd$ \.cdi$ \.cue$ \.dat$ \.dct$ \.divx?$ \.dss$ \.exe$ \.flac$ \.fli$ \.flv$ \.gho$ \.gsm$ \.gz$ \.ifo$ \.img$ \.iso$ \.m4a$ \.mp[2-4]$ \.mov$ \.mpe$ \.mpga?$ \.mpeg$ \.mds$ \.nrg$ \.ogg$ \.pdi$ \.qt$ \.ram?$ \.ra[rw]$ \.rcd$ \.rec$ \.rmvb$ \.rmj?$ \.rpm$ \.sea$ \.shn$ \.sri$ \.swf$ \.tar$ \.tgz$ \.vo[bx]$ \.vqf$ \.wav$ \.wm[av]$ \.zip$ # กำหนดประเภทไฟล์ที่จะบีบความเร็ว ใน delay pools
acl bitword urlpath_regex passkey \.torrent # กำหนดคำ ที่จะใช้ตรวจสอบการดาวน์โหลด bitterrent
acl QUERY url_regex -i cgi-bin [^pxz]\? photos[1-9] \.D$ \.ini$ \.dll$ \.inf$ \.Xt \.xtp Loader\.exe 1st$ update.cfg\? urlinfo\.ini$ updatelist patch_lv1 notice_popup ProjectG.exe.zip$ start/ucg UCG\.DAT$ UCGA?\.exe$ version\.cfg$ # กำหนดกลุ่มคำ ที่อยู่ใน url เพื่อไม่ให้ใช้ข้อมูลใน cache และไม่ให้เก็บ cache ไฟล์ซึ่งมี url เป็นคำเหล่านี้
http_access allow bitclient bitword # อนุญาติให้เครื่อง ip ที่กำหนดใช้บิตได้
http_access deny bitword # นอกนั้นใช้บิตไม่ได้
http_access allow all # นอกนั้นให้ใช้งาน squid ได้หมด

# DELAY_POOLS
# ---------------------------------------------------------
delay_pools 1 #กำหนดให้มี delay pools จำนวน 1 pool
delay_class 1 2 # กำหนดให้ pools ที่ 1 ใช้งานแบบ class 2 คือ จำกัดความเร็วแบบรวม และ แบบแยกรายเครื่อง(ip)
delay_parameters 1 750000/750000 200000/200000 # จำกัดความเร็วของ pool ที่ 1 ไว้ที่ 750000 kbyte/sec หรือ 750Kbyte/sec และจำกัดความเร็วรายเครื่องไว้ที่ 200 Kbyte/sec
delay_access 1 allow magic_words1 !GAMESERVER !UNLIMITTIME #เงื่อนไขที่ไฟล์ใดๆ จะตกลงสู่ delay pools นี้เป็นดังนี้
เป็นไฟล์ที่มีนามสกุลตาม acl magig_word1 และ ไม่ใช่มีชื่อ domain ตามคำใน acl GAMESERVER และ ไม่ใช่อยู่ในช่วงเวลาตาม acl UNLIMITIME เราใช้ AND นะครับ นั่นคือ 3 พจน์ต้องเป็นจริง ไฟล์ที่ถูกตรวจสอบนั้นจึงจะตกเข้าไปใน delay pools นี้ เพื่อบีบความเร็ว
ดังนั้น ถ้าเป็น GAMESERVER จะไม่ตกเข้าไป รวมทั้ง ถ้าในเวลาที่ไม่จำกัดความเร็ว ก็ไม่ตกเข้าไป
delay_access 1 deny all # ส่วนไฟล์อื่น ๆ นอกจากเงื่อนไขข้างบนนั้น ไม่ให้ตกเข้าไปใน delay pools ที่ 1 นี้
# DNS OPTIONS
#----------------------------------------------------------
ipcache_size 3072 # สร้างที่เก็บค่า domain name <--> IP ไว้ 3072 ปกติ 1024

# MEMORY CACHE OPTIONS
# ---------------------------------------------------------
cache_mem 1024 MB # ใช้หน่วยความจำมาทำ cache เพื่อให้ทำงานได้เร็ว ประมาณ ครึ่งหนึ่งของ RAM ที่มี
maximum_object_size_in_memory 8 MB # ขนาดของไฟล์ที่จะ cache ในหน่วยความจำ
memory_replacement_policy heap LFUDA # กำหนดนโยบายของการแทนที่
ipcache_high 98 # เมื่อเก็บ ipcache เต็มถึง 98% จะต้องล้างออก
ipcache_low 93 # โดยล้างออกให้เหลือ 93% การล้าง cache นั้นทำงานแบบอัตโนมัติแบบ Quantum คือเอาออกเป็นก้อนครั้งเดียว
# DISK CACHE OPTIONS
# --------------------------------------------------------
cache_dir aufs /home/spool/squid 4096 16 256 # กำหนด dir ที่เก็บ cache และขนาดที่ใช้ 4GB
maximum_object_size 32 MB # ไฟล์ที่ใหญ่ที่สุดไม่เกิน 32MB
cache_replacement_policy heap LFUDA
store_dir_select_algorithm round-robin
cache_swap_high 98 # เมื่อเก็บ cache ถึง 98% ของจำนวนสูงสุดที่ระบุไว้ (4GB) ให้เริ่มล้าง cache อัตโนมัติ
cache_swap_low 93 # โดยล้าง cache ให้เหลือเพียง 93% ซึ่งการล้างออกจะล้างออกแบบ Quantum เป็นก้อนเดียวครั้งเดียวแล้วจึงเริ่มสะสมใหม่ ดังนั้นการล้างจะล้างcache ที่เก่าแล้วออก 5% โดยอัตโนมัติ หรือประมาณ 5x4000/100 = 200 MB จังหวะนี้ CPU จึงขึ้นไปถึง 100%ได้ กรณีเครื่อง CC ที่ช้าๆ
# HTTP OPTIONS
#-----------------------------------------------------------
ie_refresh on
vary_ignore_expire on

# LOGFILE OPTIONS
# ----------------------------------------------------------
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none
logfile_rotate 90
pid_filename /var/run/squid.pid
buffered_logs off
strip_query_terms off

# MISCELLANEOUS
# ----------------------------------------------------------
pipeline_prefetch on

# OPTIONS FOR FTP GATEWAYING
#-----------------------------------------------------------
ftp_passive on
ftp_sanitycheck on

# OPTIONS FOR TUNING THE CACHE
# -----------------------------------------------------------
cache deny QUERY # ไม่ให้เก็บ cache
quick_abort_min 0 KB # ไม่เก็บไฟล์ที่เสียหายหรือไม่ครบ มีการยกเลิกก่อนจะโหลดครบ
quick_abort_max 0 KB # ไม่เก็บไฟล์ที่เสียหาย หรือไม่ครบ มีการยกเลิกก่อนจะโหลดครบ
# ต่อไปนี้คือการทำ refresh pattern เพื่อกำหนดเวลาที่จะ refresh หรือ ให้ตรวจสอบหรือดึงมาใหม่ ของประเภทไฟล์ที่ไม่ได้กำหนดวันหมดอายุมา
# ตรงนี้สำคัญมาก ที่จะทำให้เกมส์ เก็บแพทหรือไม่ อยู่ตรงนี้ ให้ไปอ่านเรื่อง refresh_pattern ที่มีผู้บรรยายไว้แล้ว ผมจะไม่กล่าวซ้ำอีกrefresh_pattern -i \.(htmlhtm/)$ 60 20% 720
refresh_pattern -i \.(asp\?aspx\?php\?) 0 20% 720
refresh_pattern -i \.(aspaspxphp)$ 0 20% 720
refresh_pattern -i \.(jpggifjpegpngcssjsbmptiftiffxbmpngswf)$ 0 100% 14400
refresh_pattern -i \.(exezipgzarjlhalzhrartgztarZ)$ 4320 80% 43200 override-lastmod reload-into-ims ignore-reload
refresh_pattern ^http://patch.sf.* 4320 100% 43200 ignore-reload override-lastmod reload-into-ims
refresh_pattern ^http://update.cabal.* 4320 100% 43200 ignore-reload override-lastmod reload-into-ims
refresh_pattern ^http://download.cabal.* 4320 100% 43200 ignore-reload override-lastmod reload-into-ims
refresh_pattern ^ftp: 0 20% 4320
refresh_pattern . 0 20% 4320

# OPTIONS INFLUENCING REQUEST FORWARDING
#------------------------------------------------------------
prefer_direct on

# TIMEOUTS
# -----------------------------------------------------------
half_closed_clients off

# ADMINISTRATIVE PARAMETERS
# -----------------------------------------------------------
cache_mgr wecareyou2002@hotmail.com
visible_hostname www.wecareyou.com

ศึกษาดูนะครับพอเป็นแนวๆได้ครับ

ติดตั้ง Awstats วิเคราะห์ log

2008-12-14T13:02:00.004+07:00

วิเคราะห์การจราจรบน Server ด้วย Awstats
เมื่อคุณติดตั้ง Server แล้ว สิ่งสำคัญที่ควรทำก็คือการวิเคราะห์ log ไฟล์ของระบบเพื่อดูรายละเอียดต่างๆ ที่เกิดขึ้นบน server ของคุณด้วยโปรแกรม awstats.

มาติดตั้งเลยครับ

# cd /usr/ports/www/awstats
# make install

เมื่อติดตั้งเรียบร้อยแล้วให้ copy ข้างล่างนี้ไปไว้ที่ httpd.conf น๊ะครับ

#
# Directives to allow use of AWStats as a CGI
#
Alias /awstatsclasses "/usr/local/www/awstats/classes/"
Alias /awstatscss "/usr/local/www/awstats/css/"
Alias /awstatsicons "/usr/local/www/awstats/icons/"
ScriptAlias /awstats/ "/usr/local/www/awstats/cgi-bin/"
#
# This is to permit URL access to scripts/files in AWStats directory.
#

Options None
AllowOverride None
Order allow,deny
Allow from all

หลังจากนั้นให้ทำการ restart apache
# apachectl graceful

จากนั้นให้สร้าง config ไฟล์ . ที่ /usr/local/www/awstats/cgi-bin

# cp awstats.model.conf awstats.yoursite.conf
ในที่นี้ ยกตัวอย่างเช่น cp awstats.model.conf awstats.192.168.1.1.conf

เสร็จแล้วเข้าไปแก้ไข hostname ในไฟล์นั้น เป็นอันเสร็จ

ทำการ upadate ด้วย crontab ผม update ตอนตีหนึ่ง ของทุกวัน
0 1 * * * /usr/local/www/awstats/cgi-bin/awstats.pl
-update -config=yoursite >/dev/null 2>&1

ถ้าอยากดูผลการ analysis ก็เรียกผ่าน browser ว่า
www.yoursite.com/awstats/awstats.pl?config=yoursite

รักษาความปลอดภัยให้ Apache

2008-10-03T10:22:00.004+07:00

Apache Security:
We should also prevent apache giving server version and type information to the outside.
By default apache gives information about its version and some of application it uses. e.g php,openssl. We don't want to give this info to the others right?

Translated into Thai by jakyjoon*************************************************
สร้างความปลอดภัยให้กับ Apache
เราควรจะป้องกันไม่ให้ Apache บอกข้อมูลเกี่ยวกับรุ่นของโปรแกรม Apache และข้อมูลอื่น ๆ แก่บุคคลอื่นภายนอก โดยปกติแล้ว Apache จะบอกข้อมูลของรุ่นที่ใช้งาน และบาง Application ที่ใช้งานอยู่ อย่างเช่น
PHP หรือ Openssl เราคงไม่อยากให้ข้อมูลนี้กับบุคคลอื่น แมนบ่?

******************************************************************************

Edit file:
/usr/local/apache2/conf/httpd.conf and find these two lines and modify them as below;

ServerTokens

Prod ServerSignature Off

Translated into Thai by jakyjoon*************************************************
ให้ทำการแก้ไขไฟล์ /usr/local/apache2/conf/httpd.conf และเพิ่ม 2 บรรทัดด้านล่างนี้

ServerTokens
Prod ServerSignature Off

******************************************************************************

Lets make directories and files secure
#cd /usr/local/apache2
#chown 0 . bin conf logs
#chgrp 0 . bin conf logs
#chmod 755 . bin conf logs
#chown 0 /usr/local/apache2/bin/httpd
#chgrp 0 /usr/local/apache2/bin/httpd
#chmod 511 /usr/local/apache2/bin/httpd

Translated into Thai by jakyjoon*************************************************
จัดการ Directory และ Files เพื่อความปลอดภัย

#cd /usr/local/apache2
#chown 0 . bin conf logs
#chgrp 0 . bin conf logs
#chmod 755 . bin conf logs
#chown 0 /usr/local/apache2/bin/httpd
#chgrp 0 /usr/local/apache2/bin/httpd
#chmod 511 /usr/local/apache2/bin/httpd
****************************************************************************

เป็นประโยชน์อย่างยิ่งเลยแหละ

Squid authentication using MySQL

2008-09-05T21:02:00.001+07:00

การติดตั้ง Squid ให้รองรับการ Authen user จาก mysql

หลังจากที่เราติดตั้ง FreeBSD + Apache + MySQL + PHP + NAT เรียบร้อยแล้ว ลองทดสอบว่า ลูกข่าย

ออกเน็ทได้หรือเปล่า เมื่อเป็นไปตามที่คาดหมาย ดำเนินการต่อไปเลยครับ

ทำการติดตั้ง package นี้

# cd /usr/ports/databases/p5-DBI
# make install clean

เสร็จแล้ว ตามด้วย package นี้

# cd /usr/ports/databases/p5-DBD-mysql50
# make install clean

จากนั้นถึงคราวของพระเอกของเรา Squid
1. เตรียมโปรแกรม squid-2.7.STABLE4.tar.gz โดยดาวโหลดจากอินเตอร์ได้เลย
# cd /tmp
# fetch http://www.squid-cache.org/Versions/v2/2.7/squid-2.7.STABLE4.tar.gz

2. แตกไฟล์ tar.gz ด้วยคำสั่ง
# tar xvfz squid-2.7กดปุ่มแท็บ 1 ครั้ง จะได้เป็น tar xvfz squid-2.7.STABLE4.tar.gz
# cd squid-2.7 กดปุ่มแท็บ 1 ครั้ง

3. ติดตั้ง squid-2.7.STABLE4 (option delaypools = ทำให้เวลา download ของลูกข่ายช้าลง หรือจำกัด bandwidth arp = เอาไว้ log เครื่อง โดยล็อกได้ถึงระดับ mac address ของ การ์ดแลนด์เลยแหละ และตัวสุดท้ายคือ basic auth helper=DB ตัวนี้แหละเป็น Authentication โดย อาศัยเจ้า MySQL)
# ./configure --prefix=/usr/local/squid --enable-delay-pools --enable-arp-acl --enable-basic-auth-helpers=DB
# make all; make install

ทำการแก้ไขไฟล์ squid.conf ทีละบรรทัด
# pico /usr/local/squid/etc/squid.conf

// ค้นหาข้อความกดปุ่ม Ctrl +w แล้วพิมพ์ข้อความที่ต้องการค้นหา เพื่อความสะดวกและรวดเร็วครับ
http_port 8080

cache_dir ufs /var/cache 2500 16 256 // ตำแหน่งเก็บ cache ไฟล์ต่าง ๆ

access_log /var/log/access.log squid // เปลี่ยนตำแหน่งเก็บ log file ไว้ที่ /var/log

cache_log /var/log/cache.log

cache_store_log /var/log/store.log

เพิ่ม

acl mynetwork src 192.168.xxx.0/24 // เลขไอพีภายในที่ต้องการกำหนด LAN ใบที่ 2 ครับ mynetwork เปลี่ยนชื่อ acl ได้ตามต้องการ

# ส่วนนี้จะอยู่ประมาณต้นๆ ของ squid.conf ทางที่ดี ssh เข้าเครื่อง แล้ว copy ไปวางเลย ชัวร์กว่า

auth_param basic program /usr/local/squid/libexec/squid_db_auth --user squid --password passwd --plaintext --persist

auth_param basic children 5

auth_param basic realm ตั้งชื่อตามที่ต้องการจะปรากฎเวลาให้ใส่รหัส เช่น ICT Center

auth_param basic credentialsttl 1 minute

auth_param basic casesensitive off

authenticate_ttl 1 hour

authenticate_ip_ttl 60 seconds

ค้นหาคำว่า acl CONNECT method CONNECT

แล้วเพิ่มบรรทัดด้านล่างต่อไปดังนี้ สองบรรทัดนี้ กำหนดให้ใช้ 1 user 1 ip เท่านั้น

acl onlyonce max_user_ip -s 1

http_access deny onlyonce

acl mynetwork src 192.168.200.0/24 //เปลี่ยน ค่า network เป็นของตัวเอง

acl auth_user proxy_auth REQUIRED //auth_user เปลี่ยนชื่อได้

้http_access allow auth_user

http_access allow mynetwork

#บันทึก

แก้ไขเสร็จแล้วบันทึกไฟล์ squid.conf และออกจากการแก้ไขไฟล์ squid.conf

5. สร้างฐานข้อมูล squid และเพิ่มผู้ใช้ชื่อ squid รหัสผ่าน passwd ดังนี้

# mysql -u root -p''พิมพ์รหัสผ่าน root mysql''

mysql> show databases squid; // แสดงฐานข้อมูล squid ว่าโปรแกรมสร้างให้หรือยัง ถ้ายังสร้างใหม่ด้วยคำสั่ง create database squid;

mysql> grant all on squid.* to squid@localhost identified by ''passwd'';

เพิ่มสิทธิผู้ใช้ชื่อ squid รหัสผ่าน passwd ให้ใช้งานฐานข้อมูล squid ได้

mysql> use squid; // เรียกใช้ฐานข้อมูล squid

คัดลอกคำสั่งสร้างตารางต่อไปนี้ไปวางได้เลยครับ

CREATE TABLE passwd (
id int(5) NOT NULL auto_increment,
`user` varchar(30) NOT NULL default '''',
`password` varchar(35) NOT NULL default '''',
enabled tinyint(1) NOT NULL default ''1'',
fullname varchar(60) default NULL,
`comment` varchar(60) default NULL,
PRIMARY KEY (id)
) ENGINE=MyISAM DEFAULT CHARSET=tis620 AUTO_INCREMENT=0 ;

คัดลอกต่อไปนี้ไปวางได้เลยครับ

insert into passwd values(''testuser'',''test'',1,''Test User'',''for testing purpose'');

ทดสอบว่า squid ติดต่อ mysql ได้หรือยัง # /usr/local/squid/libexec/squid_db_auth --user squid --password passwd --plaintext --persist
พิมพ์ testuser test
OK แสดงว่า squid ติดต่อกับ mysql ได้แล้วครับ
6. สร้างห้องเก็บ Cache และ log file ต่าง ๆ
# mkdir /var/log/

# cd /var/log

# touch /var/log/access.log

# touch /var/log/cache.log

# touch /var/log/store.log

# chmod 777 *

# mkdir /var/cache

# chmod 777 /var/cache

# chown nobody:nogroup /var/cache

# /usr/local/squid/sbin/squid -z

จะพบข้อความประมาณนี้ แสดงว่า สร้างห้อง cache สำเร็จครับ

2008/06/09 20:54:23| Creating Swap Directories

# /usr/local/squid/Bin/RunCache & // สั่ง Run Squid

# ps -ax|grep squid

9378 ?? Is 0:00.01 /usr/local/squid/sbin/squid

9380 ?? S 0:03.84 (squid) (squid)

9381 ?? Is 0:00.37 /usr/bin/perl /usr/local/squid/libexec/squid_db_auth

9382 ?? Is 0:00.37 /usr/bin/perl /usr/local/squid/libexec/squid_db_auth

9383 ?? Is 0:00.37 /usr/bin/perl /usr/local/squid/libexec/squid_db_auth

9384 ?? Is 0:00.37 /usr/bin/perl /usr/local/squid/libexec/squid_db_auth

9385 ?? Is 0:00.36 /usr/bin/perl /usr/local/squid/libexec/squid_db_auth

# netstat -an |grep 8080 tcp4 0 0 *.8080 *.* LISTEN แสดงว่า squid ทำงานสมบูรณ์แล้ว

ลองทดสอบตั้งค่า Proxy Server ที่เครื่องลูกข่าย จากนั้นก่อนจะเข้าใช้งานอินเตอร์เน็ตทุกครั้งจะพบกรอบวินโดว์ให้ป้อนข้อมูลผู้ใช้งานก่อน จึงจะอนุญาตให้ใช้อินเตอร์เน็ตได้

การตั้งค่า Proxy server ไปที่เมนู Tools => Internet Options ... => คลิกแท็บ Connections => คลิกปุ่ม LAN Settings ... แล้วตั้งค่า proxy เป็น 192.168.100.1 คือ เลขไอพีการ์ดแลนวงในครับ (LAN ใบที่ 2) port 8080 น๊ะ

#ตัวสุดท้าย กลับไปที่ FreeBSD น๊ะ

ใช้ ipfw เพื่อบังคับให้ user ที่อยู่ในวง Lan ของเรา ต้องผ่าน proxy เท่านั้น ดังนี้

#pico /etc/rc.local

แล้วพิมพ์ตามนี้ (ไอพีไฟล์วอล ที่ 1100 ส่งมาที่ 192.168.xxx.1 port 8080 ถ้ามีการร้องขอ)

ipfw add 1100 fwd 192.168.xxx.1:8080 tcp from 192.168.xxx.0/24 to any 80

ป้องกัน scan port ด้วย Portsentry

2008-09-04T14:48:00.001+07:00

โปรแกรม portsentry เป็นโปรแกรมที่สร้างขึ้นเพื่อตรวจสอบการ scan port แบบ real time สามารถตรวจจับการบุกรุกมายัง port ต่างๆ
ที่ server เปิดให้บริการอยู่ บางคนตั้ง server แบบไม่ระมัดระวังพอติดตั้ง NOS เสร็จก็สนใจแต่เรื่องการ config ในส่วนที่จะให้บริการกับลูกข่าย
เท่านั้น สามารถหา download โปรแกรมนี้ได้จาก www.psionic.com ปัจจุบันได้เปลี่ยนแปลงชื่อโปรแกรมไปเป็นชื่ออื่นแล้ว ลองศึกษาจาก
เวปไซต์ดังกล่าวดูนะคับ สมมุตว่าผมไป download
เจ้าโปรแกรมนี้มาแล้วที่มีชื่อว่า portsentry-1.1.tar.gz
# cd /tmp # gzip -cd portsentry-1.1.tar.gz tar xvf -
# cd portsentry-1.1
# pico Makefile
(เข้าไปแก้ไขไฟล์ compile โดยแก้ไขตามนี้นะครับ)

CC = cc
แก้ไขเป็น
CC = egcs (ใน server ต้องติดตั้งโปรแกรม egcs ไว้ก่อน) หรือสามารถหาติดตั้งได้ใน /usr/ports

CFLAGS = -O -Wall
แก้เป็น
CFLAGS = -O3 -march=i386 -mcpu=i386 -funroll-loops -fomit-frame-pointer -Wall

INSTALLDIR=/usr/local/psionic
แก้ไขเป็น
INSTALLDIR=/etc

เสร็จแล้วทำการ save ไฟล์โดยการ Ctrl+X แล้วกด Y

หลังจากนั้นแก้ไขไฟล์ portserntry_config.h
#pico portsentry.h

แล้วแก้ไขตามนี้นะครับ

define CONFIG_FILE "/usr/local/psionic/portsentry/portsentry.conf"
แก้ไขเป็น define CONFIG_FILE "/etc/portsentry/portserntry.conf"
เสร็จแล้วทำการ save ไฟล์โดยการ Ctrl+X แล้วกด Y

แล้วเริ่มต้นการ compile โดยใช้คำสั่งดังนี้
# make linux # make install

ทำการลบไฟล์ต้นฉบับทิ้ง
# cd /tmp # rm -rf portsentry*

หลังจากนั้นเข้าไปแก้ไขไฟล์ config ของ portsentry ใน path /etc/portsentry/
# pico portsentry.conf

เพิ่มคำสั่งพวกนี้เข้าไปในไฟล์ สามารถใส่ตรงบรรทัดไหนในไฟล์ก็ได้ # กำหนดหมายเลข port ที่ป้องกันการถูก scan TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,31337,32771,32772,32774,40421,49724,54320"

#กำหนดหมายเลข Ports ว่างที่มักถูกผู้บุกรุก scan และใช้โจมตี ADVANCED_PORTS_TCP="1023" ADVANCED_PORTS_UDP="1023"

#กำหนด ports ต้องห้ามไม่ให้เข้าในระบบเพราะว่าเป็น port ที่ทำงานขณะที่เครื่อง boot คือบริการ ident(113) , NetBios(137-138) , RIP(520) , bootp broadcast(67) ADVANCED_PORTS_TCP=”113,139” ADVANCED_PORTS_UDP=”520,138,137,67”

#กำหนดตำแหน่งที่อยู่ของไฟล์ต่างๆ IGNORE_FILE=”/etc/portsentry/portsentry.ignore” HISTORY_FILE=”/var/log/portsentry/portsentry.history” BLOCK_FILE=”/var/log/portsentry/portsentry.blocked”

#กำหนดค่าที่จะป้องกัน
#0=ไม่ block การ scan TCP/UDP
#1=block ทั้ง TCP_UDP
#2=block external command เท่านั้น BLOCK_UDP=”1” BLOCK_TCP=”1”

#คำสั่งนี้ไม่ให้ผู้อื่นส่งคำสั่งมาเพิ่ม route ใหม่ในระบบ
KILL_ROUTE=”/sbin/route add –host $TARGET$ reject” KILL_HOSTS_DENY=”ALL: $TARGET$” กำหนดจำนวน ports ที่ยอมให้ connect เข้ามาในระบบได้มีค่าตั้งแต่ 1-2 ถ้ากำหนดเป็น 0 จะเป็นการสั่งให้บันทึกค่าใน log file ทันทีเมื่อพบว่ามีการถูก scan port เพื่อให้ผู้ดูแลระบบทราบ SCAN_TRIGGER=0

#กำหนดข้อความแจ้งเตือนว่ามีการบุกรุก อันนี้แล้วแต่นะครับตามความต้องการของผู้ดูแลระบบ PORT_BANNER=”** UNAUTHORIZED ACCESS PROHIBITED ** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY”

หลังจากแก้ไขและทำการตรวจสอบความถูกต้องแล้ว ให้ทำการ save ไฟล์ แล้วทำการกำหนด Permission ให้ไฟล์ด้วย
#chmod 600 /etc/portsentry/portsentry.conf ตรวจสอบไฟล์ portsentry.ignore ดูว่ามีค่า IP Address ตามตัวอย่างหรือไม่ ถ้าเป็น Version ใหม่โปรแกรมจะเพิ่มค่า IP Address ให้เองไม่ต้องเข้าไปแก้ไขอะไร

#pico /etc/portsentry/portsentry.ignore 127.0.0.1 0.0.0.0 จากนั้นกำหนด Permission เป็น 600
#chmod 600 /etc/portsentry/portsentry.ignore

สร้าง Scripts ไปไว้ใน /etc/rc.d/init.d ชื่อ portsentry
#pico /etc/rc.d/init.d/portsentry (path ตามที่คุณได้ติดตั้ง init เอาไว้นะครับ ลองหาดูอาจจะไม่เหมือนของผมก็ได้)

แก้ไขในไฟล์ portsentry ตามนี้นะครับ
#/bin/sh # #portsentry start the portsentry port scan detector
#
#source function library ./etc/rc.d/init.d/functions
#get config ./etc/sysconfig/network
#check that networking is up if [${NETWORKING}=”no”] then exit 0 fi [ -f /usr/sbin/portsentry] exit 0

#see how we were called
case “$1” in start) echo –n “Starting Port Scan Detector: ” if [ -s /etc/portsentry/portsentry.modes] ; then modes=’cut –d “#” –f (ต่อบรรทัดล่างด้วย)1 /etc/portsentry/portsentry.modes’ else modes=”tcp udp” fi for i in $modes ; do portsentry -$i echo –n “$i” done echo touch /var/lock/subsys/portsentry ;; stop) echo –n “Stopping Port Scan Detector: ” killproc portsentry echo rm –f /var/lock/subsys/portsentry ;; status) status portsentry esac exit 0

จากนั้นกำหนด permission ให้ไฟล์ scrips นี้
#chmod 700 /etc/rc.d/init.d/portsentry ทำการเพิ่ม script ให้ระบบเพื่อสั่งให้ทำงานขณะที่เครื่อง reboot #chkconfig --portsentry
#chkconfig --level 345 portsentry on

สั่งให้โปรแกรมทำงาน
#/etc/rc.d/init.d/portsentry restart

Config SSH เพิ่มความปลอดภัยให้ server

2008-09-04T14:21:00.001+07:00

Secure Shell (SSH) เป็นโพรโตคอลในการสร้างการติดต่อเพื่อเข้าใช้งานระบบอย่างปลอดภัยมากกว่าการติดต่อแบบเดิมๆ
ที่มีการส่งข้อมูลเป็นเพียงตัวอักษรเปล่าๆ (Plain text) โดยที่โพรโตคอลดังกล่าวจะทำการเข้ารหัสข้อมูลทุกอย่างไม่ว่าจะเป็น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลอื่นๆ ก่อนที่จะทำการส่งไปยังเครื่องเซิร์ฟเวอร์ โดยปกตินิยมนำ SSH มาใช้งานแทน telnet
เพราะมีความปลอดภัยมากกว่า วิธีการส่วนมากที่ผู้โจมตีใช้กันคือการดักขโมยข้อมูลระหว่างไคลเอ็นต์และเซิร์ฟเวอร์ผ่านทาง
โพรโตคอล telnet ซึ่งข้อมูลที่ดักได้อาจจะเป็นชื่อที่ใช้ Login และรหัสผ่าน ที่ไม่ได้ถูกเข้ารหัสไว้ โดยใช้โปรแกรมประเภท Sniffer ทั่วๆไป และถ้าเกิดกรณีที่ผู้โจมตีดักขโมยชื่อผู้ใช้คือ root และรหัสผ่าน ความเสียหายที่ตามมาอาจจะมากจนเกินที่
จะแก้ไขได้ ซึ่งในการติดตั้ง Slackware Linux ได้ทำการติดตั้ง Secure Shell (SSH) ให้เรียบร้อยแล้ว ซึ่งสามารถ
ใช้งาน Secure Shell (SSH) ได้เลย แต่ก็ต้องมีการปรับแต่งค่า Secure Shell Daemon ของฝั่งเซิร์ฟเวอร์ที่รอรับ
การติดต่อจากไคลเอ็นต์ ให้มีความปลอดภัยมากที่สุด ซึ่งแฮกเกอร์ส่วนใหญ่พยายามทำการแฮก port SSH (22)
โดยจะทำการแก้ไขในไฟล์ที่ชื่อว่า sshd_config ซึ่งรายละเอียดในไฟล์ที่สำคัญมีดังนี้ และให้ลบ

# และแก้ไข ที่อยู่หน้า option ต่อไปนี้ Port 22
KeyRegenerationInterval 1h
ServerKeyBits 1024
LoginGraceTime 600
PermitRootLogin no
RSAAuthentication yes
RhostsRSAAuthentication no
PasswordAuthentication yes
PermitEmptyPasswords yes
AllowUsers admin user1 user2
คำแนะนำในการปรับแต่งค่าต่างๆ Port 22 ระบุหมายเลขพอร์ตที่ใช้ในการติดต่อ โดยค่า default
แล้วจะอยู่ที่พอร์ตที่ 22 แต่ถ้าแก้ไขให้ใช้พอร์ตอื่นก็จะสามารถหลอกแฮ็กเกอร์ที่อ่อนประสบการณ์ที่ได้รหัสผ่าน
แต่ก็ยังไม่ทราบพอร์ตได้

KeyRegenerationInterval 1h

ServerKeyBits 1024
ระบุจำนวนบิตที่จะใช้ในคีย์ของเซิร์ฟเวอร์ ซึ่ง default คือ 768 ให้ทำการแก้ไขเป็น 1024

LoginGraceTime 600

PermitRootLogin no
ระบุว่าอนุญาตให้ accout ของ root ทำการ login เข้าระบบได้โดยตรงหรือไม่ ให้เปลี่ยนเป็น no คือไม่อนุญาติให้ accout root login โดยส่วนใหญ่ แฮกเกอร์พยายามทำการแฮก port SSH (22) โดยใช้ accout root

RSAAuthentication yes
ระบุว่าให้ใช้ RSA ในการ Authenticate โดย RSA จะใช้คีย์คู่ทั้ง public และ private ที่ถูกสร้างโดย ssh-keygen1utility ในกระบวนการ

Authenticate RhostsRSAAuthentication no
ระบุว่าจะให้สามารถใช้ rhosts ร่วมกับ RSA ในการ authenticate ได้หรือไม่

PasswordAuthentication yes
ระบุว่าให้ใช้รหัสผ่านในการทำ
Authenticate PermitEmptyPasswords no ระบุว่าจะอนุญาตให้ Login โดยไม่ต้องใช้รหัสผ่านหรือไม่ ให้เลือก no เพื่อบังคับให้ป้อนรหัสผ่านทุกครั้ง

AllowUsers admin user1 user2
ระบุว่าจะอนุญาตให้ใคร Login ได้บ้าง โดยค่า default แล้วจะอนุญาตให้ทุกคนสามารถ Login เข้าระบบได้ และสามารถเพิ่มชื่อผู้ใช้ที่อนุญาตได้หลายคน โดยแยกแต่ละชื่อด้วยเครื่องหมายช่องว่างหรือ space เช่น อนุญาติให้ user ชื่อว่า admin user1 user2 สามารถ login เข้ามาได้ เมื่อทำการแก้ไขค่า configure แล้วให้ทำการ restart sshd เท่านี้ก็สามารถใช้งาน Secure Shell (SSH) อย่างปลอดภัยแล้วครับ

ที่มา จากคุณ ShareKnowledge http://www.thaibsd.com/webboard/show.php?Category=thaibsd&No=5552

ติดตั้ง FreeBSD 7.0

2008-08-28T05:52:00.001+07:00

ติดตั้ง FreeBSD 7.0