Linux (OS, shell script, etc) – Page 18

ตรวจสอบความปลอดภัย web server https โดย Qualys

November 10, 2015 05:19

“จะตรวจสอบได้อย่างไรว่า Web Server ที่ให้บริการ https มีความปลอดภัยเพียงพอ” บทความนี้จะอธิบายวิธีการใช้งานและการอ่านค่าคร่าว ๆ ของ Web Qualys ดังนี้ เข้า Web Site https://www.ssllabs.com/ssltest จะปรากฏหน้าต่างให้ใส่ Domain Name ที่ต้องการตรวจสอบ ถ้าไม่ต้องการให้โชว์ผลขึ้น Score Board ประจานให้ทั่วโลกเห็น(อันนี้ห้ามคนอื่นกดไม่ได้นะครับ) ให้ติก Do not show the results on the boards จากนั้นกด Submit จากนั้นระบบจะทำการตรวจสอบประมาณ 1-2 นาที โดย Web Site ที่สามารถตรวจสอบได้ต้องสามารถเข้าถึงจากภายนอกเท่านั้น จากนั้นจะปรากฎหน้าผลลัพธ์ในรูปแบบ Overall Rating ดังนี้ ในส่วนแรกคือ Summary อธิบายเป็นส่วน ๆ ได้ดังนี้ Overall Rating : จะเป็นตัวบอกคร่าว ๆ ว่า Web นี้มีความปลอดภัย Grade อะไรซึ่งจากรูปได้ F แสดงว่าไม่ปลอดภัยอย่างมาก จะอธิบายเพิ่มเติมโดยแยกเป็น 4 ส่วนคือ Certificate – ระดับความแข็งแรงของใบประกาศ (ยากในการปลอมหรือในการถอดรหัสข้อมูล) Protocol Support – ระดับความปลอดภัยของ Protocol ที่ให้บริการ SSL/TLS Key Exchange – ระดับความปลอดภัยของการแลกเปลี่ยน Key Cipher Strength – ระดับความแข็งแรงของ Cipher ซึ่งเป็น Algorithm ที่ใช้ในการเข้ารหัส ในส่วนนี้จะอธิบายลึกลงไปว่ามีผลทำให้เกิดช่องโหว่ร้ายแรงอะไรบ้าง โดยจะบอกว่าเกิดจากอะไร เช่น จากรูป Server รองรับ SSL Version 2 ซึ่งยกเลิกการใช้งานไปแล้วเพราะไม่ปลอดภัย, เกิดช่องโหว่ FREAK, POODLE TLS โดยเราสามารถอ่านรายละเอียดเพิ่มเติมโดยการกด More Info จะอธิบายรายละเอียดเพิ่มเติม แต่ถือว่าเป็นระดับที่ยังไม่ร้ายแรง แต่แนะนำให้แก้ไข เช่น จากรูปแนะนำให้เลิกใช้ SSL Version 3 ส่วน TLS ควรใช้ Version ล่าสุดซึ่งเป็น TLS 1.2 โดยเราสามารถเลื่อนมาดูรายละเอียดเพิ่มเติมได้ ซึ่งจะมีบอกในส่วน Handshake Simulation ซึ่งจะตรวจสอบให้คร่าว ๆ ว่า Browser ใดไม่รองรับบ้าง หวังว่าจะเป็นเครื่องมือที่ช่วยยกระดับความปลอดภัยของ Web Server ที่รองรับการใช้งานแบบเข้ารหัสได้เป็นอย่างดีครับ สามารถอ่านวิธีแก้ไขช่องโหว่เพิ่มเติมได้ที่นี่ครับ http://sysadmin.psu.ac.th/2015/11/10/serversecuritypatch Reference : https://www.ssllabs.com, Qualys SSL LABS

รวมวิธีลดช่องโหว่ Server

November 10, 2015 05:18

“บทความนี้เป็นบทความเกี่ยวกับวิธีการปิดช่องโหว่ รวมถึงวิธีการ Monitor ตรวจสอบช่องโหว่ด้วยโปรแกรมต่าง ๆ ครับ” วิธีการตรวจสอบช่องโหว่ Blog 1 : ตรวจสอบความปลอดภัย web server https โดย Qualys Blog 2 : วิธีการตรวจสอบระดับความปลอดภัยของ Certificate วิธีการแก้ไข Certificate เพื่อให้มีความปลอดภัยมากขึ้น Blog 1 : Windows Server 2003 R2 Blog 2 : Windows Server 2008 / 2008 R2 / 2012 / 2012 R2 Blog 3 : Apache Web Server (Ubuntu 14.04 LTS) Blog 4 : Lighttpd Web Server (Ubuntu 14.04 LTS) วิธีการปิดช่องโหว่ Logjam,Freak,Poodle,Beast Blog 1 : Windows Server 2003 R2 Blog 2 : Windows Server 2008/2008 R2/2012/2012 R2 Blog 3 : Apache Web Server (Ubuntu 14.04 LTS) Blog 4 : Lighttpd Web Server (Ubuntu 14.04 LTS) อ่านวิธีแก้ไขเพิ่มเติมได้ที่ : http://disablessl3.com/

ตั้งค่าให้ใช้ IPv6 ที่ Firefox web browser

September 11, 2015 11:04

เรื่องนี้สืบเนื่องมาจากผมใช้ Linux Mint และจะทดสอบว่า network ที่ทำงานสามารถใช้งานเว็บไซต์ที่รองรับ IPv6 แล้วได้หรือไม่ พบว่า ไม่สามารถเข้าถึงได้ ลองทดสอบกับ Firefox บน Windows อ้าว ใช้งานได้ และในขณะเดียวกัน Google Chome ใช้ได้ทั้งบน Linux และ Windows ค้นหาดูใน google search ได้คำตอบว่าหากจะใช้งาน IPv6 ให้ตั้งค่า network.dns.disableIPv6 เป็น false โดยเข้าไปตรวจสอบหรือแก้ไขที่ URL about:config จึงตรวจสอบดู พบว่า Firefox บน Linux Mint ตั้งค่าตัวเลือก network.dns.disableIPv6 เป็น true ในขณะที่ Firefox บน Windows เป็นค่า false ซึ่ง ค่า false ทำให้ใช้งานเว็บไซต์ที่เป็น IPv6 ได้ แก้ไขตั้งค่า network.dns.disableIPv6 เป็น false ทำให้ใช้งานเว็บไซต์ที่เป็น IPv6 ได้ ผมยังหาคำตอบไม่ได้ว่าทำไมค่า default จึงตั้งไว้อย่างนั้น ซึ่งแตกต่างกันระหว่าง Firefox บน Linux Mint กับ Firefox บน Windows ส่วน Google Chome นั้นไม่มีให้เลือก จึงใช้งานได้ทันทีที่ network ที่ใช้งานรองรับ IPv6 การทดสอบว่าเครื่องเราใช้งาน IPv6 ได้ สามารถทดสอบได้กับเว็บไซต์ http://www.v6.psu.ac.th http://www.kame.net http://whatismyipv6address.com/ http://test-ipv6.com/ See also: http://techglimpse.com/disable-enable-ipv6-firefox-chrome-browser/ http://ask.xmodulo.com/disable-ipv6-linux.html

การตั้งค่า pGina และ FreeRADIUS เพื่อส่งค่า RADIUS Accounting ไปยัง Firewall ของมหาวิทยาลัย

August 24, 2015 15:48

(Last updated: 19 ก.ค. 2561) เปลี่ยน pGina เวอร์ชั่นให้เหมาะกับ Firewall มหาวิทยาลัย ล่าสุด https://sysadmin.psu.ac.th/2017/04/12/pgina-fork-3-2-4-1-configuration/ (Last updated: 4 ก.ย. 2561) มีเวอร์ชั่น pGina 3.9.9.12 ที่เพิ่ม plugins อีกเยอะ และ แก้บั๊ก https://sysadmin.psu.ac.th/2018/09/04/pgina-fork-3-9-9-12-configuration/ ทั้ง pGina 3.2.4.1 กับ 3.9.9.12 ก็ใช้งานได้ บทความนี้เกี่ยวกับการตั้งค่าโปรแกรม pGina for Windows และการตั้งค่าในเครื่องบริการ FreeRADIUS เพื่อส่งค่า RADIUS Accounting ไปยัง Firewall ของมหาวิทยาลัย pGina คือ โปรแกรมสำหรับให้ผู้ใช้ใส่ username และ password ก่อนใช้งาน Windows ได้ (Windows Authentication) FreeRADIUS คือ เครื่องบริการที่ทำหน้าที่ตรวจสอบ Authentication, Authorization และ Accounting ของการใช้งานบัญชีผู้ใช้ Firewall ของมหาวิทยาลัยสงขลานครินทร์ทำหน้าที่เป็น Internet Authentication อนุญาตการใช้งานด้วย ค่า username และ password จากหน้า login รวมทั้งค่าที่ถูกส่งต่อมาจาก wireless adaptor ที่ตั้งค่า 802.1x และ RADIUS server เครื่องคอมพิวเตอร์ที่ติดตั้ง Windows ในห้องบริการคอมพิวเตอร์ตามคณะ หากติดตั้งโปรแกรม pGina for Windows ที่ตั้งค่าได้ถูกต้องก็จะทำให้ผู้ใช้งานในมหาวิทยาลัยที่มี Firewall เปิด/ปิดการอนุญาตให้ใช้งานอินเทอร์เน็ต ไม่จำเป็นที่จะต้อง login ซ้ำอีกครั้งหนึ่งหลังจากที่ login ผ่านหน้าโปรแกรม pGina แล้ว วิธีการก็คือ ตั้งค่าโปรแกรม pGina เลือกใช้ RADIUS Plugin ดังนี้ ที่แท็บ Plugin Selection ใส่ค่าต่าง ๆ ที่จำเป็น สำหรับ RADIUS Plugin ช่อง Server: ใส่ IP Address ของเครื่องบริการ FreeRADIUS ช่อง Authentication Port: ใส่เลข 1812 (ค่า default) ช่อง Accounting Port: ใส่เลข 1813 (ค่า default) ช่อง Timeout: ใส่เลข 2.50 (ค่า default) ช่อง Retry: ใส่เลข 3 (ค่า default) ช่อง Shared Secret: ใส่รหัสที่ตรงกับที่ตั้งไว้ใน FreeRADIUS (/etc/freeradius/clients.conf) ตัวเลือก Machine Identifier เลือก IP Address Only (ค่า default) ตัวเลือก Use modified username for accounting ไม่ใช้ (ค่า default) ช่อง IP Address Suggestion: ใส่เลขส่วนต้นของ IP Address (ในรูปคือใช้ IP ที่ขึ้นต้นด้วย 10.0.100) เพื่อใช้ในกรณีที่เครื่อง Windows อาจมีการติดตั้งโปรแกรม Oracle VM VirtualBox ซึ่งทำให้เกิดมี network adaptor มากกว่า 1 อันทำให้มี IP มากกว่า 1 เลข (ดูด้วย ipconfig

Dual Boot Ubuntu 14.04 & Windows 8.1 in UEFI

July 21, 2015 16:22

เหตุการณ์สมมติจึงใช้ VirtualBox ตั้งค่า VirtualBox ดังภาพ (ขอข้ามวิธีการสร้างเครื่องใหม่บน VirtualBox ไปเลยนะครับ คิดซะว่าชำนาญแล้ว โดยขนาด HDD ที่ต้องการ 100GB เป็นอย่างน้อย) โดยเลือก option ที่เขียนว่า Enable EFI (special OSes Only) และในช่อง Boot Order: ให้เลื่อนเป็น Optical แล้วตามด้วย Hard Disk แล้วกด OK เมื่อเปิดเครื่องจะได้หน้าจอดังภาพ แสดงว่า BIOS ของเรากลายเป็น UEFI เรียบร้อยแล้ว เลือกแผ่น Ubuntu 14.04 ให้ต่อเข้ากับ Device reset เครื่อง เลือก *Try Ubuntu without installing รอจนได้ Windows Manager แล้วดับเบิ้ลคลิก Install Ubuntu 14.04.2 LTS บน Desktop เข้าสู่กระบวนการติดตั้ง Ubuntu ปกติทั่วไปสามารถใช้ Next Technology ได้เลยไปเรื่อยๆ จนถึงหน้า Installation type ให้เลือกหัวข้อ Something else แล้วกด Continue คลิก New Partition Table… คลิก Continue จะได้ดังภาพ คลิกคำว่า free space แล้วคลิกเครื่องหมายบวก (+) สร้าง Partition ขนาด 512MB มีชนิดเป็น EFI boot partition (ควรดูด้วยว่าพาทิชั่นที่ได้เมื่อสร้างเสร็จมีขนาด 512MB จริงๆ โดยใน VM ที่สร้างนี้ตอนสร้างใส่ไป 514MB) และกด + เพื่อสร้าง swap ในตัวอย่างกำหนดแรมไว้ 4GB สามารถสร้าง Swap เท่าแรมได้เลย และ / (root ขนาด 50GB) ตามลำดับโดยจะเหลือพื้นที่เปล่าไว้ด้วย ภาพแสดงพาทิชั่นเมื่อสร้างเสร็จแล้ว คลิก Install Now และคลิก Continue ที่เหลือหลังจากนี้สามารถกลับสู่โหมด Next Technology ได้เลยจนจบ สิ้นสุดคลิก Restart Now เอาแผ่นออกแล้วกด Enter (ปกติจะเอาออกให้อัตโนมัติ) ลองบูตดูจนได้หน้า Log In เลือก Devices แล้ว Optical Drives แล้วเลือกแผ่น Windows 8.1 คลิกรูปเฟืองที่มุมบนขวา เลือก Shutdown แล้วคลิก Restart เมื่อ VM กำลัง Shutdown ให้สังเกตุดูว่า โลโก้ Ubuntu หายไปให้รีบ ESC ทันทีจะได้ดังภาพ เลื่อน Cursor ลงมาที่ Boot Manager แล้วกด Enter จะได้ดังภาพ เลื่อน Cursor ลงมาที่คำว่า EFI DVD/CDROM แล้วจะมีข้อความว่า Press any key to boot from CD or DVD…. เมื่อกดปุ่มใดๆ จะเข้าสู่วินโดวส์เพื่อเริ่มติดตั้ง เมื่อได้หน้าเลือกภาษาให้เลือกดังภาพ แล้วคลิก Next คลิก Install now คลิกเครื่องหมายถูกหน้าข้อความ I accept the license terms คลิก Next เลือก Custom: Install