วันศุกร์ที่ 5 กันยายน พ.ศ. 2551

Squid authentication using MySQL

การติดตั้ง Squid ให้รองรับการ Authen user จาก mysql

หลังจากที่เราติดตั้ง FreeBSD + Apache + MySQL + PHP + NAT เรียบร้อยแล้ว ลองทดสอบว่า ลูกข่าย

ออกเน็ทได้หรือเปล่า เมื่อเป็นไปตามที่คาดหมาย ดำเนินการต่อไปเลยครับ


ทำการติดตั้ง package นี้

# cd /usr/ports/databases/p5-DBI
# make install clean


เสร็จแล้ว ตามด้วย package นี้

# cd /usr/ports/databases/p5-DBD-mysql50
# make install clean


จากนั้นถึงคราวของพระเอกของเรา Squid
1. เตรียมโปรแกรม squid-2.7.STABLE4.tar.gz โดยดาวโหลดจากอินเตอร์ได้เลย
# cd /tmp
# fetch http://www.squid-cache.org/Versions/v2/2.7/squid-2.7.STABLE4.tar.gz

2. แตกไฟล์ tar.gz ด้วยคำสั่ง
# tar xvfz squid-2.7กดปุ่มแท็บ 1 ครั้ง จะได้เป็น tar xvfz squid-2.7.STABLE4.tar.gz
# cd squid-2.7 กดปุ่มแท็บ 1 ครั้ง

3. ติดตั้ง squid-2.7.STABLE4 (option delaypools = ทำให้เวลา download ของลูกข่ายช้าลง หรือจำกัด bandwidth arp = เอาไว้ log เครื่อง โดยล็อกได้ถึงระดับ mac address ของ การ์ดแลนด์เลยแหละ และตัวสุดท้ายคือ basic auth helper=DB ตัวนี้แหละเป็น Authentication โดย อาศัยเจ้า MySQL)
# ./configure --prefix=/usr/local/squid --enable-delay-pools --enable-arp-acl --enable-basic-auth-helpers=DB
# make all; make install

ทำการแก้ไขไฟล์ squid.conf ทีละบรรทัด
# pico /usr/local/squid/etc/squid.conf


// ค้นหาข้อความกดปุ่ม Ctrl +w แล้วพิมพ์ข้อความที่ต้องการค้นหา เพื่อความสะดวกและรวดเร็วครับ
http_port 8080


cache_dir ufs /var/cache 2500 16 256 // ตำแหน่งเก็บ cache ไฟล์ต่าง ๆ


access_log /var/log/access.log squid // เปลี่ยนตำแหน่งเก็บ log file ไว้ที่ /var/log


cache_log /var/log/cache.log


cache_store_log /var/log/store.log


เพิ่ม


acl mynetwork src 192.168.xxx.0/24 // เลขไอพีภายในที่ต้องการกำหนด LAN ใบที่ 2 ครับ mynetwork เปลี่ยนชื่อ acl ได้ตามต้องการ


# ส่วนนี้จะอยู่ประมาณต้นๆ ของ squid.conf ทางที่ดี ssh เข้าเครื่อง แล้ว copy ไปวางเลย ชัวร์กว่า


auth_param basic program /usr/local/squid/libexec/squid_db_auth --user squid --password passwd --plaintext --persist


auth_param basic children 5


auth_param basic realm ตั้งชื่อตามที่ต้องการจะปรากฎเวลาให้ใส่รหัส เช่น ICT Center


auth_param basic credentialsttl 1 minute


auth_param basic casesensitive off



authenticate_ttl 1 hour


authenticate_ip_ttl 60 seconds


ค้นหาคำว่า acl CONNECT method CONNECT


แล้วเพิ่มบรรทัดด้านล่างต่อไปดังนี้ สองบรรทัดนี้ กำหนดให้ใช้ 1 user 1 ip เท่านั้น


acl onlyonce max_user_ip -s 1


http_access deny onlyonce


acl mynetwork src 192.168.200.0/24  //เปลี่ยน ค่า  network เป็นของตัวเอง

acl auth_user  proxy_auth REQUIRED     //auth_user เปลี่ยนชื่อได้
้http_access allow auth_user

http_access allow mynetwork

#บันทึก

แก้ไขเสร็จแล้วบันทึกไฟล์  squid.conf   และออกจากการแก้ไขไฟล์  squid.conf

5. สร้างฐานข้อมูล  squid  และเพิ่มผู้ใช้ชื่อ  squid  รหัสผ่าน  passwd   ดังนี้

# mysql -u root -p''พิมพ์รหัสผ่าน root mysql''

mysql> show databases squid;      //  แสดงฐานข้อมูล  squid  ว่าโปรแกรมสร้างให้หรือยัง  ถ้ายังสร้างใหม่ด้วยคำสั่ง   create database squid;

mysql>  grant all on squid.* to squid@localhost identified by ''passwd'';

เพิ่มสิทธิผู้ใช้ชื่อ  squid  รหัสผ่าน  passwd   ให้ใช้งานฐานข้อมูล  squid  ได้

mysql> use squid;    // เรียกใช้ฐานข้อมูล  squid

คัดลอกคำสั่งสร้างตารางต่อไปนี้ไปวางได้เลยครับ

CREATE TABLE passwd (
  id int(5) NOT NULL auto_increment,
  `user` varchar(30) NOT NULL default '''',
  `password` varchar(35) NOT NULL default '''',
  enabled tinyint(1) NOT NULL default ''1'',
  fullname varchar(60) default NULL,
  `comment` varchar(60) default NULL,
  PRIMARY KEY  (id)
) ENGINE=MyISAM  DEFAULT CHARSET=tis620 AUTO_INCREMENT=0 ;

คัดลอกต่อไปนี้ไปวางได้เลยครับ

insert into passwd values(''testuser'',''test'',1,''Test User'',''for testing purpose'');


ทดสอบว่า squid ติดต่อ mysql ได้หรือยัง # /usr/local/squid/libexec/squid_db_auth --user squid --password passwd --plaintext --persist
พิมพ์ testuser test
OK แสดงว่า squid ติดต่อกับ mysql ได้แล้วครับ
6. สร้างห้องเก็บ Cache และ log file ต่าง ๆ
# mkdir /var/log/

# cd /var/log

# touch /var/log/access.log

# touch /var/log/cache.log

# touch /var/log/store.log

# chmod 777 *

# mkdir /var/cache

# chmod 777 /var/cache

# chown nobody:nogroup /var/cache

# /usr/local/squid/sbin/squid -z

จะพบข้อความประมาณนี้ แสดงว่า สร้างห้อง cache สำเร็จครับ

2008/06/09 20:54:23| Creating Swap Directories

# /usr/local/squid/Bin/RunCache & // สั่ง Run Squid

# ps -ax|grep squid

9378 ?? Is 0:00.01 /usr/local/squid/sbin/squid

9380 ?? S 0:03.84 (squid) (squid)

9381 ?? Is 0:00.37 /usr/bin/perl /usr/local/squid/libexec/squid_db_auth

9382 ?? Is 0:00.37 /usr/bin/perl /usr/local/squid/libexec/squid_db_auth

9383 ?? Is 0:00.37 /usr/bin/perl /usr/local/squid/libexec/squid_db_auth

9384 ?? Is 0:00.37 /usr/bin/perl /usr/local/squid/libexec/squid_db_auth

9385 ?? Is 0:00.36 /usr/bin/perl /usr/local/squid/libexec/squid_db_auth

# netstat -an |grep 8080 tcp4 0 0 *.8080 *.* LISTEN แสดงว่า squid ทำงานสมบูรณ์แล้ว

ลองทดสอบตั้งค่า Proxy Server ที่เครื่องลูกข่าย จากนั้นก่อนจะเข้าใช้งานอินเตอร์เน็ตทุกครั้งจะพบกรอบวินโดว์ให้ป้อนข้อมูลผู้ใช้งานก่อน จึงจะอนุญาตให้ใช้อินเตอร์เน็ตได้

การตั้งค่า Proxy server ไปที่เมนู Tools => Internet Options ... => คลิกแท็บ Connections => คลิกปุ่ม LAN Settings ... แล้วตั้งค่า proxy เป็น 192.168.100.1 คือ เลขไอพีการ์ดแลนวงในครับ (LAN ใบที่ 2) port 8080 น๊ะ


#ตัวสุดท้าย กลับไปที่ FreeBSD น๊ะ

ใช้ ipfw เพื่อบังคับให้ user ที่อยู่ในวง Lan ของเรา ต้องผ่าน proxy เท่านั้น ดังนี้

#pico /etc/rc.local

แล้วพิมพ์ตามนี้ (ไอพีไฟล์วอล ที่ 1100 ส่งมาที่ 192.168.xxx.1 port 8080 ถ้ามีการร้องขอ)

ipfw add 1100 fwd 192.168.xxx.1:8080 tcp from 192.168.xxx.0/24 to any 80
เขียนโดย ที่ 1 ความคิดเห็น:
ป้ายกำกับ:

วันพฤหัสบดีที่ 4 กันยายน พ.ศ. 2551

ป้องกัน scan port ด้วย Portsentry

โปรแกรม portsentry เป็นโปรแกรมที่สร้างขึ้นเพื่อตรวจสอบการ scan port แบบ real time สามารถตรวจจับการบุกรุกมายัง port ต่างๆ
ที่ server เปิดให้บริการอยู่ บางคนตั้ง server แบบไม่ระมัดระวังพอติดตั้ง NOS เสร็จก็สนใจแต่เรื่องการ config ในส่วนที่จะให้บริการกับลูกข่าย
เท่านั้น สามารถหา download โปรแกรมนี้ได้จาก www.psionic.com ปัจจุบันได้เปลี่ยนแปลงชื่อโปรแกรมไปเป็นชื่ออื่นแล้ว ลองศึกษาจาก
เวปไซต์ดังกล่าวดูนะคับ สมมุตว่าผมไป download
เจ้าโปรแกรมนี้มาแล้วที่มีชื่อว่า portsentry-1.1.tar.gz
# cd /tmp # gzip -cd portsentry-1.1.tar.gz tar xvf -
# cd portsentry-1.1
# pico Makefile
(เข้าไปแก้ไขไฟล์ compile โดยแก้ไขตามนี้นะครับ)

CC = cc
แก้ไขเป็น
CC = egcs (ใน server ต้องติดตั้งโปรแกรม egcs ไว้ก่อน) หรือสามารถหาติดตั้งได้ใน /usr/ports

CFLAGS = -O -Wall
แก้เป็น
CFLAGS = -O3 -march=i386 -mcpu=i386 -funroll-loops -fomit-frame-pointer -Wall

INSTALLDIR=/usr/local/psionic
แก้ไขเป็น
INSTALLDIR=/etc

เสร็จแล้วทำการ save ไฟล์โดยการ Ctrl+X แล้วกด Y

หลังจากนั้นแก้ไขไฟล์ portserntry_config.h
#pico portsentry.h

แล้วแก้ไขตามนี้นะครับ

define CONFIG_FILE "/usr/local/psionic/portsentry/portsentry.conf"
แก้ไขเป็น define CONFIG_FILE "/etc/portsentry/portserntry.conf"
เสร็จแล้วทำการ save ไฟล์โดยการ Ctrl+X แล้วกด Y

แล้วเริ่มต้นการ compile โดยใช้คำสั่งดังนี้
# make linux # make install

ทำการลบไฟล์ต้นฉบับทิ้ง
# cd /tmp # rm -rf portsentry*

หลังจากนั้นเข้าไปแก้ไขไฟล์ config ของ portsentry ใน path /etc/portsentry/
# pico portsentry.conf

เพิ่มคำสั่งพวกนี้เข้าไปในไฟล์ สามารถใส่ตรงบรรทัดไหนในไฟล์ก็ได้ # กำหนดหมายเลข port ที่ป้องกันการถูก scan TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,31337,32771,32772,32774,40421,49724,54320"

#กำหนดหมายเลข Ports ว่างที่มักถูกผู้บุกรุก scan และใช้โจมตี ADVANCED_PORTS_TCP="1023" ADVANCED_PORTS_UDP="1023"

#กำหนด ports ต้องห้ามไม่ให้เข้าในระบบเพราะว่าเป็น port ที่ทำงานขณะที่เครื่อง boot คือบริการ ident(113) , NetBios(137-138) , RIP(520) , bootp broadcast(67) ADVANCED_PORTS_TCP=”113,139” ADVANCED_PORTS_UDP=”520,138,137,67”

#กำหนดตำแหน่งที่อยู่ของไฟล์ต่างๆ IGNORE_FILE=”/etc/portsentry/portsentry.ignore” HISTORY_FILE=”/var/log/portsentry/portsentry.history” BLOCK_FILE=”/var/log/portsentry/portsentry.blocked”

#กำหนดค่าที่จะป้องกัน
#0=ไม่ block การ scan TCP/UDP
#1=block ทั้ง TCP_UDP
#2=block external command เท่านั้น BLOCK_UDP=”1” BLOCK_TCP=”1”

#คำสั่งนี้ไม่ให้ผู้อื่นส่งคำสั่งมาเพิ่ม route ใหม่ในระบบ
KILL_ROUTE=”/sbin/route add –host $TARGET$ reject” KILL_HOSTS_DENY=”ALL: $TARGET$” กำหนดจำนวน ports ที่ยอมให้ connect เข้ามาในระบบได้มีค่าตั้งแต่ 1-2 ถ้ากำหนดเป็น 0 จะเป็นการสั่งให้บันทึกค่าใน log file ทันทีเมื่อพบว่ามีการถูก scan port เพื่อให้ผู้ดูแลระบบทราบ SCAN_TRIGGER=0

#กำหนดข้อความแจ้งเตือนว่ามีการบุกรุก อันนี้แล้วแต่นะครับตามความต้องการของผู้ดูแลระบบ PORT_BANNER=”** UNAUTHORIZED ACCESS PROHIBITED ** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY”

หลังจากแก้ไขและทำการตรวจสอบความถูกต้องแล้ว ให้ทำการ save ไฟล์ แล้วทำการกำหนด Permission ให้ไฟล์ด้วย
#chmod 600 /etc/portsentry/portsentry.conf ตรวจสอบไฟล์ portsentry.ignore ดูว่ามีค่า IP Address ตามตัวอย่างหรือไม่ ถ้าเป็น Version ใหม่โปรแกรมจะเพิ่มค่า IP Address ให้เองไม่ต้องเข้าไปแก้ไขอะไร

#pico /etc/portsentry/portsentry.ignore 127.0.0.1 0.0.0.0 จากนั้นกำหนด Permission เป็น 600
#chmod 600 /etc/portsentry/portsentry.ignore

สร้าง Scripts ไปไว้ใน /etc/rc.d/init.d ชื่อ portsentry
#pico /etc/rc.d/init.d/portsentry (path ตามที่คุณได้ติดตั้ง init เอาไว้นะครับ ลองหาดูอาจจะไม่เหมือนของผมก็ได้)

แก้ไขในไฟล์ portsentry ตามนี้นะครับ
#/bin/sh # #portsentry start the portsentry port scan detector
#
#source function library ./etc/rc.d/init.d/functions
#get config ./etc/sysconfig/network
#check that networking is up if [${NETWORKING}=”no”] then exit 0 fi [ -f /usr/sbin/portsentry] exit 0

#see how we were called
case “$1” in start) echo –n “Starting Port Scan Detector: ” if [ -s /etc/portsentry/portsentry.modes] ; then modes=’cut –d “#” –f (ต่อบรรทัดล่างด้วย)1 /etc/portsentry/portsentry.modes’ else modes=”tcp udp” fi for i in $modes ; do portsentry -$i echo –n “$i” done echo touch /var/lock/subsys/portsentry ;; stop) echo –n “Stopping Port Scan Detector: ” killproc portsentry echo rm –f /var/lock/subsys/portsentry ;; status) status portsentry esac exit 0

จากนั้นกำหนด permission ให้ไฟล์ scrips นี้
#chmod 700 /etc/rc.d/init.d/portsentry ทำการเพิ่ม script ให้ระบบเพื่อสั่งให้ทำงานขณะที่เครื่อง reboot #chkconfig --portsentry
#chkconfig --level 345 portsentry on

สั่งให้โปรแกรมทำงาน
#/etc/rc.d/init.d/portsentry restart
เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ:

Config SSH เพิ่มความปลอดภัยให้ server

Secure Shell (SSH) เป็นโพรโตคอลในการสร้างการติดต่อเพื่อเข้าใช้งานระบบอย่างปลอดภัยมากกว่าการติดต่อแบบเดิมๆ
ที่มีการส่งข้อมูลเป็นเพียงตัวอักษรเปล่าๆ (Plain text) โดยที่โพรโตคอลดังกล่าวจะทำการเข้ารหัสข้อมูลทุกอย่างไม่ว่าจะเป็น ชื่อผู้ใช้ รหัสผ่าน หรือข้อมูลอื่นๆ ก่อนที่จะทำการส่งไปยังเครื่องเซิร์ฟเวอร์ โดยปกตินิยมนำ SSH มาใช้งานแทน telnet
เพราะมีความปลอดภัยมากกว่า วิธีการส่วนมากที่ผู้โจมตีใช้กันคือการดักขโมยข้อมูลระหว่างไคลเอ็นต์และเซิร์ฟเวอร์ผ่านทาง
โพรโตคอล telnet ซึ่งข้อมูลที่ดักได้อาจจะเป็นชื่อที่ใช้ Login และรหัสผ่าน ที่ไม่ได้ถูกเข้ารหัสไว้ โดยใช้โปรแกรมประเภท Sniffer ทั่วๆไป และถ้าเกิดกรณีที่ผู้โจมตีดักขโมยชื่อผู้ใช้คือ root และรหัสผ่าน ความเสียหายที่ตามมาอาจจะมากจนเกินที่
จะแก้ไขได้ ซึ่งในการติดตั้ง Slackware Linux ได้ทำการติดตั้ง Secure Shell (SSH) ให้เรียบร้อยแล้ว ซึ่งสามารถ
ใช้งาน Secure Shell (SSH) ได้เลย แต่ก็ต้องมีการปรับแต่งค่า Secure Shell Daemon ของฝั่งเซิร์ฟเวอร์ที่รอรับ
การติดต่อจากไคลเอ็นต์ ให้มีความปลอดภัยมากที่สุด ซึ่งแฮกเกอร์ส่วนใหญ่พยายามทำการแฮก port SSH (22)
โดยจะทำการแก้ไขในไฟล์ที่ชื่อว่า sshd_config ซึ่งรายละเอียดในไฟล์ที่สำคัญมีดังนี้ และให้ลบ

# และแก้ไข ที่อยู่หน้า option ต่อไปนี้ Port 22
KeyRegenerationInterval 1h
ServerKeyBits 1024
LoginGraceTime 600
PermitRootLogin no
RSAAuthentication yes
RhostsRSAAuthentication no
PasswordAuthentication yes
PermitEmptyPasswords yes
AllowUsers admin user1 user2
คำแนะนำในการปรับแต่งค่าต่างๆ Port 22 ระบุหมายเลขพอร์ตที่ใช้ในการติดต่อ โดยค่า default
แล้วจะอยู่ที่พอร์ตที่ 22 แต่ถ้าแก้ไขให้ใช้พอร์ตอื่นก็จะสามารถหลอกแฮ็กเกอร์ที่อ่อนประสบการณ์ที่ได้รหัสผ่าน
แต่ก็ยังไม่ทราบพอร์ตได้

KeyRegenerationInterval 1h

ServerKeyBits 1024
ระบุจำนวนบิตที่จะใช้ในคีย์ของเซิร์ฟเวอร์ ซึ่ง default คือ 768 ให้ทำการแก้ไขเป็น 1024

LoginGraceTime 600

PermitRootLogin no
ระบุว่าอนุญาตให้ accout ของ root ทำการ login เข้าระบบได้โดยตรงหรือไม่ ให้เปลี่ยนเป็น no คือไม่อนุญาติให้ accout root login โดยส่วนใหญ่ แฮกเกอร์พยายามทำการแฮก port SSH (22) โดยใช้ accout root

RSAAuthentication yes
ระบุว่าให้ใช้ RSA ในการ Authenticate โดย RSA จะใช้คีย์คู่ทั้ง public และ private ที่ถูกสร้างโดย ssh-keygen1utility ในกระบวนการ

Authenticate RhostsRSAAuthentication no
ระบุว่าจะให้สามารถใช้ rhosts ร่วมกับ RSA ในการ authenticate ได้หรือไม่

PasswordAuthentication yes
ระบุว่าให้ใช้รหัสผ่านในการทำ
Authenticate PermitEmptyPasswords no ระบุว่าจะอนุญาตให้ Login โดยไม่ต้องใช้รหัสผ่านหรือไม่ ให้เลือก no เพื่อบังคับให้ป้อนรหัสผ่านทุกครั้ง

AllowUsers admin user1 user2
ระบุว่าจะอนุญาตให้ใคร Login ได้บ้าง โดยค่า default แล้วจะอนุญาตให้ทุกคนสามารถ Login เข้าระบบได้ และสามารถเพิ่มชื่อผู้ใช้ที่อนุญาตได้หลายคน โดยแยกแต่ละชื่อด้วยเครื่องหมายช่องว่างหรือ space เช่น อนุญาติให้ user ชื่อว่า admin user1 user2 สามารถ login เข้ามาได้ เมื่อทำการแก้ไขค่า configure แล้วให้ทำการ restart sshd เท่านี้ก็สามารถใช้งาน Secure Shell (SSH) อย่างปลอดภัยแล้วครับ

ที่มา จากคุณ ShareKnowledge http://www.thaibsd.com/webboard/show.php?Category=thaibsd&No=5552
เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ:
สมัครสมาชิก: บทความ (Atom)

ที่เป็นตัวฉัน

รูปภาพของฉัน
เรียนภาษาอังกฤษมา แต่ชีวิตผกผันให้ต้องมาเป็น admin ซะนี่ เล่นเอาซะมึน และงงตามลำดับ คิดอย่างเดียวว่า เป็นอะไรเป็นได้ถ้าใจอยากเป็น อุปสรรคคือแบบฝึกหัด ท้อแต่ไม่เคยถอย คิดไว้เสมอ ความพยายามอยู่ที่ไหน ความสำเร็จอยู่ที่นั่น ถ้าพยายามก่อน ก็ชนะแล้ว 50% อีก 50 % ใช้ความสามารถเอาเอง