CoP PSU IT Blog – Page 189 – แหล่งรวมบทความเกี่ยวกับ IT โดยชาว PSU IT

เปลี่ยน Certificate!?

December 18, 2014 15:37

เนื่อง Certificate *.psu.ac.th จาก Comodo เดิมซึ่งกลายเป็น Cert. ที่จัดว่า WEAK แล้ว ทางเจ้าหน้าที่เครือข่ายจึงได้ขอ Cert. ใหม่มา ที่ Strong ขึ้น 🙂 ก็ต้องมานั่งเปลี่ยน Cert. ในเครื่องที่ให้บริการขั้นตอนดังนี้ Download Cert. ใหม่มาซึ่งต้องติดต่อขอไปที่ Net@dmin โดยผ่านช่องทางของ help.psu.ac.th ไฟล์ที่จะโหลดมาใช้งานมีทั้งหมด 3 ไฟล์ได้แก่ STAR_psu_ac_th.ca-bundle, STAR_psu_ac_th.crt และ STAR_psu_ac_th_key.key เมื่อดาวน์โหลดมาเสร็จแล้วให้เอาไปแทนที่เก่าได้เลย ในตัวอย่างนี้จะเก็บไว้ที่ /etc/ssl/private ทีนี้ มาดู config เก่าของ apache2 <IfModule mod_ssl.c> <VirtualHost *:443> ServerName bahamut.psu.ac.th ServerAdmin cc-server-admin@group.psu.ac.th DocumentRoot “/var/www/html” ErrorLog ${APACHE_LOG_DIR}/bahamut.ssl_error_log TransferLog ${APACHE_LOG_DIR}/bahamut.ssl_access_log LogLevel warn SSLEngine on SSLCertificateFile /etc/ssl/private/STAR_psu_ac_th.crt SSLCertificateKeyFile /etc/ssl/private/STAR_psu_ac_th.key SSLCertificateChainFile /etc/ssl/private/STAR_psu_ac_th.ca-bundle RewriteEngine On RewriteRule /avl https://licensing.psu.ac.th <Directory /var/www/licensing> AllowOverride All Order deny,allow Deny from all Allow from 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 </Directory> </VirtualHost> </IfModule> จะเห็นว่าไฟล์ชื่อไม่ตรงอยู่ไฟล์หนึ่งคือ STAR_psu_ac_th.key ก็เปลี่ยนชื่อให้ตรง เป็นอันเสร็จ แต่ … เนื่องจากเป็น Cert. ใหม่ เพื่อเพิ่มความแข็งแรง เจ้าหน้าที่เครือข่ายจึงได้กำหนด Passphrase ไว้ด้วย ต้องแก้ไขแฟ้ม /etc/apache2/mods-enabled/ssl.conf ในบรรทัดที่เขียนว่า SSLPassPhraseDialog exec:/usr/share/apache2/ask-for-passphrase ให้แก้ /usr/share/apache2/ask-for-passphrase เป็น /etc/ssl/private/passphrase-script แล้วสร้างแฟ้ม /etc/ssl/private/passphrase-script มีข้อความว่า #!/bin/sh echo “passphrase ที่ได้รับแจ้งจาก Net@dmin” chmod +x /etc/ssl/private/passphrase-script และทดสอบ script ด้วยว่าผลลัพธ์ที่ได้ตรงกับ passphrase ที่ Net@dmin แจ้งมา restart apache2 ด้วยคำสั่ง sudo service apache2 restart ถ้า passphrase ที่ใส่ไว้ในแฟ้ม passphrase-script ถูกต้องจะ restart สำเร็จ เป็นอันเสร็จ สิ่งที่ต้องแก้เพื่อให้ได้ A+ ในการทดสอบกับเว็บ https://www.ssllabs.com/ssltest/analyze.html แก้ไขแฟ้ม /etc/apache2/mods-enabled/ssl.conf โดยแก้ไข/เพิ่ม ข้อความดังต่อไปนี้ SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES: RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS SSLHonorCipherOrder on SSLProtocol all -SSLv3 -SSLv2 SSLCompression off sudo a2enmod headers เพื่อให้ module headers ของ apache2 ทำงาน แก้ไขแฟ้มของไซต์ที่เปิด ssl ไว้ จากตัวอย่างนี้คือ /etc/apache2/sites-enabled/licensing-ssl.conf โดยเพิ่มข้อความว่า Header add Strict-Transport-Security “max-age=15768000;includeSubDomains” ตัวอย่าง <IfModule mod_ssl.c> <VirtualHost *:443> ServerName licensing.psu.ac.th ServerAdmin cc-server-admin@group.psu.ac.th DocumentRoot “/var/www/html/avl” ErrorLog ${APACHE_LOG_DIR}/licensing.ssl_error_log TransferLog ${APACHE_LOG_DIR}/licensing.ssl_access_log LogLevel warn SSLEngine on Header

การใช้งาน Google Drive ภายในหน่วยงาน

December 17, 2014 10:51

สืบเนื่องจากหน่วยงานมีการส่งต่อไฟล์ข้อมูลด้วย Flash Drive ซึ่งปัญหาที่ตามมาในทุกครั้งคือ flash drive มีไวรัส อีกทั้งเห็นว่า ตอนนี้มอ.เราตื่นตัวเรื่อง Google Apps. ผมก็เลยนำเสนอให้หน่วยงานใช้ Google Drive เพื่อการแชร์ไฟล์ที่สะดวกและปลอดภัยมากยิ่งขึ้น (แว่วว่า คณะต้นสังกัดกำลังจะจัดอบรมให้เจ้าหน้าที่ทุกคนใช้ Google Drive อยู่ในเวลาอันใกล้นี้) ผมเลยทำคู่มือการใช้งานให้กับเจ้าหน้าที่ในหน่วยงาน เลยขอนำมาแชร์นะคับ ผิด-ถูกอย่างไร แนะนำได้นะคับ ^^ มาเริ่มกันเลยดีกว่านะคับ ^^ จะมี 4 ส่วนหลักๆ ดังนี้ การยืนยันตัวตนเพื่อใช้ PSU Web Mail on Google Apps การ Login โดยใช้ PSU Mail on Google การสร้างรายชื่อ Contacts การสร้างโฟลเดอร์เพื่อแชร์ การยืนยันตัวตนเพื่อใช้ PSU Web Mail on Google Apps ในส่วนนี้ทำเพียงครั้งแรกที่จะเริ่มเข้าใช้งาน Google Apps เท่านั้น ในการเข้าใช้งานครั้งต่อๆไป ไม่จำเป็นต้องทำขั้นตอนนี้ เปิดเว็บ https://webmail.psu.ac.th > คลิก Password Setting เพื่อทำการยืนยันตัวตนในการใช้งาน Google Apps. (ทำแค่ครั้งแรกครั้งเดียว) จะเป็นการยืนยันตัวตน โดยทำการใส่ 1. ใส่ข้อมูล PSU Passport 2. ใส่รหัสผ่านของ PSU Mail โดยสามารถใช้รหัสผ่านเดิม หรือเปลี่ยนรหัสผ่านใหม่ โดยกรอกข้อมูลให้ครบทุกช่อง *** กรณีการตั้งรหัสผ่านใหม่ ต้องอยู่ภายใต้เงื่อนไขในการตั้งรหัสผ่าน 3. คลิก Change Password Google Drive มีพื้นที่แบบไม่จำกัด (Unlimited) โดยสามารถโยนไฟล์ใหญ่ๆ ขนาด 1TB ได้สบายๆ (ไฟล์เดียวที่มีขนาด 1000 MB) สามารถเข้าถึง Google Drive ได้ 2 ช่องทาง คือ A: http://drive.google.com B: http://drive.psu.ac.th การ Login โดยใช้ PSU Mail on Google เปิดเว็บ google.co.th > คลิก ลงชื่อเข้าสู่ระบบ ใส่ PSU mail และ Password > คลิก ลงชื่อเข้าใช้ คลิกที่ > คลิก ไดร์ฟ เพื่อความสะดวกในการใช้งานในรูปแบบ Folder บนเครื่องคอมพิวเตอร์ ให้คลิก Install Drive for your PC เพื่อติดตั้งโปรแกรม Google Drive บนเครื่องคอมพิวเตอร์ ไอคอน Google Drive จะอยู่บนหน้า Desktop ซึ่งจะทำงานในรูปแบบ My Computer ได้ (copy, past, ลาก-วาง, drag mouse) การสร้างรายชื่อ Contacts สร้างรายชื่อ (Contacts) คลิกปุ่ม New Contact > พิมพ์ชื่อ > ใส่ email แล้ว enter *** เพิ่มรายชื่ออีเมลล์ที่ต้องการ สร้างกรุ๊ปเพื่อความง่ายในการส่งเมลล์เป็นกลุ่ม โดยคลิกที่ New Group พิมพ์ชื่อกลุ่ม > คลิกปุ่ม OK เปิด My Contacts > คลิกเลือกอีเมลล์ที่ต้องการให้อยู่ในกลุ่ม SouthGIST > คลิกเมนู Group > เลือก SouthGIST >

การป้องกัน Man In The Middle (MITM) ดักบัญชีผู้ใช้และรหัสผ่าน

December 15, 2014 09:50

การป้องกัน Man In The Middle (MITM) ดักบัญชีผู้ใช้และรหัสผ่าน Man In The Middle (MITM) คือ เทคนิคการโจมตีของแฮคเกอร์ที่จะปลอมเป็นคนกลางเข้ามาแทรกสัญญาณการรับส่งข้อมูลระหว่างผู้ใช้ (เบราว์เซอร์) และเซิร์ฟเวอร์ โดยใช้โปรแกรมดักฟังข้อมูลของเหยื่อ แล้วแฮกเกอร์ก็เป็นตัวกลางส่งผ่านข้อมูลให้ระหว่างเบราว์เซอร์กับเซิร์ฟเวอร์ วิธีการทำอย่างหนึ่งคือ การส่งข้อมูล MAC Address ของเครื่องของแฮกเกอร์ไปให้กับเครื่องของผู้ใช้โดยแจ้งว่าเป็น MAC Address ของ Gateway ของระบบเครือข่าย หลังจากนั้นเมื่อเครื่องเหยื่อรับ MAC Address ดังกล่าวไปใส่ไว้ใน ARP Table cached แล้ว กระบวนการส่งข้อมูลจากเบราว์เซอร์ของเครื่องเหยื่อจะถูกส่งผ่านไปยังเครื่องแฮกเกอร์ก่อนที่จะส่งไปยังเครื่องเซิร์ฟเวอร์ ที่มารูปภาพ: http://www.computerhope.com ดังนั้นเมื่อเครื่องเหยื่อเข้าไปยังหน้าเว็บเพจที่ต้อง login ด้วย Username และ Password โปรแกรมดักฟังข้อมูลก็จะทำการส่งหน้าเว็บเพจที่ไม่ได้ป้องกันไปให้เครื่องเหยื่อ ดังรูป ผู้ใช้ทั่วไปจะสังเกตไม่ออก (หรือไม่มีความรู้) ก็จะคลิกผ่านคำเตือนใดๆที่เบราว์เซอร์แจ้งเตือนไปแล้วสุดท้ายผู้ใช้งานก็จะใส่ Username และ Password ในหน้า login ซึ่งแฮกเกอร์ก็จะได้ข้อมูลดังกล่าว ดังรูป การทดสอบเทคนิคการโจมตีวิธีนี้ง่ายมากๆเลย เพียงแค่ค้นหาใน search engine ก็จะพบวิธีการทั้งทำการด้วยโปรแกรมบนวินโดวส์หรือโปรแกรมบนลินุกซ์ ผมจะไม่ลงรายละเอียดการทดสอบในบทความนี้นะครับ ผมพบว่าการป้องกันที่ดีที่สุดคือ หนึ่ง การให้ความรู้วิธีการใช้งานเบราว์เซอร์ทั้ง IE, Google Chrome, Firefox หรือ Safari เป็นต้น ความรู้ที่ว่าก็คือ ผู้ใช้ต้องสังเกตว่า เว็บเพจที่เข้าใช้งานประจำนั้นปรกติหน้า login จะต้องมีอักษร https แสดงอยู่ที่มุมซ้ายบรรทัดที่อยู่ของเว็บเพจ เช่น https://www.facebook.com ดังรูป และจะต้องไม่มีการเตือนว่า “ไม่ปลอดภัย” และถามว่า “จะดำเนินการต่อหรือไม่” ดังรูป แต่หากวันใดที่เราถูกแฮกเกอร์ทำ MITM กับเครื่องของเราแล้ว เราจะเห็นหน้าเว็บเพจแปลกไปจากเดิม เราจะต้องไม่คลิกปุ่มเพื่อดำเนินการต่อไป แต่หากคลิกต่อไปแล้วจะเห็นแบบดังรูป และถ้าใส่ Username และ Password ก็ถูกดักไปได้ครับ ดังรูป เราสามารถตรวจสอบด้วยวิธีอย่างง่ายๆด้วยคำสั่ง arp -a ทั้งบนวินโดวส์และลินุกซ์ เพื่อดูว่ามีเลข MAC Address ของ IP คู่ใดบ้างที่ซ้ำกัน มักจะเป็นคู่ระหว่าง IP ของ Gateway กับ IP ของเครื่องแฮกเกอร์ ดังรูป ถ้าเห็นอย่างนี้แสดงว่า “โดนเข้าแล้วครับ” ทางแก้ไขทางเดียวคือปิดเครื่องและแจ้งผู้ดูแลระบบประจำหน่วยงานของท่าน สอง การป้องกันตัวเองไม่ต้องรอพึ่งระบบเครือข่าย(เพราะอาจไม่มีระบบป้องกัน) ในทุกครั้งที่เปิดเครื่องและก่อนใช้งานใดๆ ให้ใช้คำสั่ง arp -s เพื่อทำ static ค่า IP กับ MAC ของ Gateway ลงในตาราง ARP ของเครื่องคอมฯ คำสั่ง คือ arp -s [IP ของ Gateway] [MAC Address ของ Gateway] เราจะรู้ค่า IP และ MAC Address ของ Gateway ก็ด้วยคำสั่งดังนี้ 1. ดูว่า IP ของ Gateway (default) คือเบอร์ใด ลินุกซ์ ip route show วินโดวส์ route -4 print 2. arp -a เพื่อดูค่า IP กับ MAC คู่ที่ต้องการ เช่น IP ของ Gateway คือ 192.168.10.1 และ MAC Address ของ Gateway คือ 00-13-64-2b-3d-a1 ก็ใช้คำสั่งว่า arp -s 192.168.10.1 00-13-64-2b-3d-a1 โดยที่เครื่องวินโดวส์รุ่นใหม่ๆ (8

ทำความรู้จักกับ Web Map Application

December 3, 2014 22:08

หลายท่านคงพอจะเคยทำหรือเคยเห็นหรือเคยศึกษาเกี่ยวกับ Google maps API มากันเยอะบ้างแล้วนะคับ ในการที่จะทำ Map ลงเว็บ เพื่อแสดงข้อมูลต่างๆ โดยการพัฒนาด้วย PHP, Java, Phytan ฯลฯ ด้วยปัจจุบันเทคโนโลยีภูมิสารสนเทศ (Geo-Informatics Technology) ได้เข้ามามีบทบาทในการนำเสนอข้อมูลที่มีความซับซ้อนของชั้นข้อมูลรวมไปถึงการวิเคราะห์ข้อมูล เพื่อการเผยแพร่มากยิ่งขึ้น หน่วยงานของรัฐหลายแห่งมีนโยบายในการจัดทำระบบภูมิสารสนเทศในด้านต่างๆ กันมากขึ้น เพื่อความง่ายในการเข้าถึงข้อมูลของผู้ใช้งาน ตัวอย่าง ระบบภูมิสารสนเทศทรัพยากรทางทะเลและชายฝั่ง ของกรมทรัพยากรทางทะเลและชายฝั่ง กระทรวงทรัยากรธรรมชาติและสิ่งแวดล้อม จากตัวอย่างจะเห็นได้ว่า จะมีชั้นข้อมูลให้เลือกดูได้หลากหลาย โดยการเลือกเปิด-ปิดชั้นข้อมูลนั้นๆ เพื่อแสดงผลแผนที่บนหน้าเว็บ ซึ่งข้อมูลเหล่านี้ จะเรียกว่าเป็นข้อมูล GIS (Geographic Information System) คือ ข้อมูลที่ได้ผ่านการวิเคราะห์ด้วยโปรแกรมทางด้าน GIS อาทิเช่น ArcGIS, ArcInfo, QGIS, uDIg เป็นต้น แล้วนำมาอัพขึ้น Map Server เพื่อแสดงข้อมูลแผนที่ในระบบออนไลน์ คำถาม : แล้วข้อมูล GIS เราจะหาได้จากที่ไหน? ตอบ : จัดทำขึ้นเองด้วยโปรแกรมด้าน GIS หรือหลายหน่วยงานจะมีให้ดาวน์โหลดฟรี หรือหากเป็นข้อมูลของภาคใต้ สามารถติดต่อสอบถามได้ที่ ศูนย์ภูมิภาคเทคโนโลยีอวกาศและภูมิสารสนเทศ (ภาคใต้) คณะการจัดการสิ่งแวดล้อม มหาวิทยาลัยสงขลานครินทร์ คำถาม : เราจะนำไปประยุกต์ใช้กับอะไรได้บ้าง? ตอบ : ในทุกๆด้าน ลักษณะการติดต่อกันระหว่างส่วนเครื่องแม่ข่ายและส่วนของผู้ใช้งาน GIS Web App. จะเชื่อต่อผ่านระบบให้บริการข้อมูลภูมิสารสนเทศผ่านเครือข่ายที่เรียกว่า WMS (Web Mapping Service) อ่านเพิ่มที่นี่ ฉะนั้น Web Map Server จะต้องติดตั้งโปรแกรมเพื่อรองรับการให้บริการ web map service ซึ่งปัจจุบันนิยมใช้ Geoserver (Freeware) และ ArcGIS Server (License) ** จริงๆแล้วมีหลากหลายค่ายให้เลือกมากมายแต่สองตัวนี้ได้รับความนิยมค่อนข้างสูง *** ในส่วนของการติดตั้งและความยากง่ายในการใช้งานของ Web Map Server ทั้งสองตัวนี้ จะมาเล่าให้ฟังคราวหน้านะครับ ^^ สรุป Web Application ต่างจาก Web Map Application ตรงที่… ข้อมูลที่จะแสดงลงบนแผนที่นั้นมีความซับซ้อนของชั้นข้อมูล และรวมไปถึงข้อมูลที่ผ่านการวิเคราะห์ทางด้าน GIS แล้วนำเสนอในรูปแบบแผนที่ออนไลน์ นั่นหมายถึงระบบแม่ข่าย(Server) ก็จะต้องใช้โปรแกรมที่รองรับด้าน web map service ด้วยเช่นกัน ตัวอย่าง Web Map App. โครงการการพัฒนาฐานข้อมูลสารสนเทศภูมิศาสตร์ลุ่มน้ำทะเลสาบสงขลา GISagro : ระบบบริการภูมิสารสนเทศเพื่อการเกษตร ฐานข้อมูลการมีงานทำของบัณฑิต ม.นเรศวร :2552-2556 ฐานข้อมูล : พื้นที่เหมาะสมปลูกยางพารา ระบบสารสนเทศภูมิศาสตร์ทรัพยากรสุขภาพ ภูมิสารสนเทศดินและการใช้ประโยชน์ที่ดิน กรมพัฒนาที่ดิน ระบบภูมิสารสนเทศโรคมาลาเรีย อื่นๆ อีกมากมาย

วิธีติดตั้ง Window Manager แบบน้อยที่สุดบน Ubuntu Server

December 3, 2014 13:29

เนื่องจากต้องการสร้าง VirtualBox ขนาดเล็กสุดๆเพื่อใช้เตรียมทำ Workshop แต่จะไม่สะดวกสำหรับผู้อบรมที่ไม่คล่องเรื่องคำสั่งบน Linux มากนัก อยากให้ Copy-Paste ได้บ้าง จึงต้องหาวิธีลง Window Manager ให้พอใช้ได้ เริ่มต้นจากติดตั้ง ubuntu server version ที่ต้องการ จะใช้พื้นที่ประมาณ 890 MB คราวนี้เลือก Window Manager ที่เล็กที่สุดแต่ใช้งานง่าย นั่นคือ LXDE หรือ lubuntu-desktop ปัญหาอยู่ที่ว่า ถ้าลงแบบ Default มันจะลากเอาสิ่งที่ไม่ต้องการมามากมาย ทำให้ขนาดที่ใช้ขยายจาก 890 MB ไปถึง 2.5 GB ซึ่งใหญ่เกินไป จึงไปค้นหาวิธีดูพบว่าให้ทำดังนี้ 1. sudo apt-get install –no-install-recommends lubuntu-desktop 2. เมื่อติดตั้งเสร็จ ให้ reboot เครื่องหนึ่งรอบ ก็จะเข้าสู่ lubuntu แบบน้อยที่สุด ใช้พื้นที่ไปเพียง 1.3 GB 3. ปัญหาต่อมา หากใช้บน VirtualBox ก็จะติดปัญหาเรื่อง Screen Resolution ที่บีบบังคับไม่ให้เปลี่ยนแปลงได้ง่ายๆ จึงต้อง ติดตั้ง Guest Additions ลงไป แต่ เนื่องจากเป็นการลงแบบเล็กที่สุด จึงไม่ติดตั้งพวก Build Tools มาด้วย จึงต้องใช้คำสั่งนี้ก่อน sudo apt-get install build-essential 4. จากนั้น จึงติดตั้ง Guest Additions ต่อไป แล้วปรับ Screen Resultion ได้ตามต้องการ