ubuntu – Page 4 – CoP PSU IT Blog

เปลี่ยน Certificate!?

December 18, 2014 15:37

เนื่อง Certificate *.psu.ac.th จาก Comodo เดิมซึ่งกลายเป็น Cert. ที่จัดว่า WEAK แล้ว ทางเจ้าหน้าที่เครือข่ายจึงได้ขอ Cert. ใหม่มา ที่ Strong ขึ้น 🙂 ก็ต้องมานั่งเปลี่ยน Cert. ในเครื่องที่ให้บริการขั้นตอนดังนี้ Download Cert. ใหม่มาซึ่งต้องติดต่อขอไปที่ Net@dmin โดยผ่านช่องทางของ help.psu.ac.th ไฟล์ที่จะโหลดมาใช้งานมีทั้งหมด 3 ไฟล์ได้แก่ STAR_psu_ac_th.ca-bundle, STAR_psu_ac_th.crt และ STAR_psu_ac_th_key.key เมื่อดาวน์โหลดมาเสร็จแล้วให้เอาไปแทนที่เก่าได้เลย ในตัวอย่างนี้จะเก็บไว้ที่ /etc/ssl/private ทีนี้ มาดู config เก่าของ apache2 <IfModule mod_ssl.c> <VirtualHost *:443> ServerName bahamut.psu.ac.th ServerAdmin cc-server-admin@group.psu.ac.th DocumentRoot “/var/www/html” ErrorLog ${APACHE_LOG_DIR}/bahamut.ssl_error_log TransferLog ${APACHE_LOG_DIR}/bahamut.ssl_access_log LogLevel warn SSLEngine on SSLCertificateFile /etc/ssl/private/STAR_psu_ac_th.crt SSLCertificateKeyFile /etc/ssl/private/STAR_psu_ac_th.key SSLCertificateChainFile /etc/ssl/private/STAR_psu_ac_th.ca-bundle RewriteEngine On RewriteRule /avl https://licensing.psu.ac.th <Directory /var/www/licensing> AllowOverride All Order deny,allow Deny from all Allow from 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 </Directory> </VirtualHost> </IfModule> จะเห็นว่าไฟล์ชื่อไม่ตรงอยู่ไฟล์หนึ่งคือ STAR_psu_ac_th.key ก็เปลี่ยนชื่อให้ตรง เป็นอันเสร็จ แต่ … เนื่องจากเป็น Cert. ใหม่ เพื่อเพิ่มความแข็งแรง เจ้าหน้าที่เครือข่ายจึงได้กำหนด Passphrase ไว้ด้วย ต้องแก้ไขแฟ้ม /etc/apache2/mods-enabled/ssl.conf ในบรรทัดที่เขียนว่า SSLPassPhraseDialog exec:/usr/share/apache2/ask-for-passphrase ให้แก้ /usr/share/apache2/ask-for-passphrase เป็น /etc/ssl/private/passphrase-script แล้วสร้างแฟ้ม /etc/ssl/private/passphrase-script มีข้อความว่า #!/bin/sh echo “passphrase ที่ได้รับแจ้งจาก Net@dmin” chmod +x /etc/ssl/private/passphrase-script และทดสอบ script ด้วยว่าผลลัพธ์ที่ได้ตรงกับ passphrase ที่ Net@dmin แจ้งมา restart apache2 ด้วยคำสั่ง sudo service apache2 restart ถ้า passphrase ที่ใส่ไว้ในแฟ้ม passphrase-script ถูกต้องจะ restart สำเร็จ เป็นอันเสร็จ สิ่งที่ต้องแก้เพื่อให้ได้ A+ ในการทดสอบกับเว็บ https://www.ssllabs.com/ssltest/analyze.html แก้ไขแฟ้ม /etc/apache2/mods-enabled/ssl.conf โดยแก้ไข/เพิ่ม ข้อความดังต่อไปนี้ SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES: RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS SSLHonorCipherOrder on SSLProtocol all -SSLv3 -SSLv2 SSLCompression off sudo a2enmod headers เพื่อให้ module headers ของ apache2 ทำงาน แก้ไขแฟ้มของไซต์ที่เปิด ssl ไว้ จากตัวอย่างนี้คือ /etc/apache2/sites-enabled/licensing-ssl.conf โดยเพิ่มข้อความว่า Header add Strict-Transport-Security “max-age=15768000;includeSubDomains” ตัวอย่าง <IfModule mod_ssl.c> <VirtualHost *:443> ServerName licensing.psu.ac.th ServerAdmin cc-server-admin@group.psu.ac.th DocumentRoot “/var/www/html/avl” ErrorLog ${APACHE_LOG_DIR}/licensing.ssl_error_log TransferLog ${APACHE_LOG_DIR}/licensing.ssl_access_log LogLevel warn SSLEngine on Header

วิธีติดตั้ง Window Manager แบบน้อยที่สุดบน Ubuntu Server

December 3, 2014 13:29

เนื่องจากต้องการสร้าง VirtualBox ขนาดเล็กสุดๆเพื่อใช้เตรียมทำ Workshop แต่จะไม่สะดวกสำหรับผู้อบรมที่ไม่คล่องเรื่องคำสั่งบน Linux มากนัก อยากให้ Copy-Paste ได้บ้าง จึงต้องหาวิธีลง Window Manager ให้พอใช้ได้ เริ่มต้นจากติดตั้ง ubuntu server version ที่ต้องการ จะใช้พื้นที่ประมาณ 890 MB คราวนี้เลือก Window Manager ที่เล็กที่สุดแต่ใช้งานง่าย นั่นคือ LXDE หรือ lubuntu-desktop ปัญหาอยู่ที่ว่า ถ้าลงแบบ Default มันจะลากเอาสิ่งที่ไม่ต้องการมามากมาย ทำให้ขนาดที่ใช้ขยายจาก 890 MB ไปถึง 2.5 GB ซึ่งใหญ่เกินไป จึงไปค้นหาวิธีดูพบว่าให้ทำดังนี้ 1. sudo apt-get install –no-install-recommends lubuntu-desktop 2. เมื่อติดตั้งเสร็จ ให้ reboot เครื่องหนึ่งรอบ ก็จะเข้าสู่ lubuntu แบบน้อยที่สุด ใช้พื้นที่ไปเพียง 1.3 GB 3. ปัญหาต่อมา หากใช้บน VirtualBox ก็จะติดปัญหาเรื่อง Screen Resolution ที่บีบบังคับไม่ให้เปลี่ยนแปลงได้ง่ายๆ จึงต้อง ติดตั้ง Guest Additions ลงไป แต่ เนื่องจากเป็นการลงแบบเล็กที่สุด จึงไม่ติดตั้งพวก Build Tools มาด้วย จึงต้องใช้คำสั่งนี้ก่อน sudo apt-get install build-essential 4. จากนั้น จึงติดตั้ง Guest Additions ต่อไป แล้วปรับ Screen Resultion ได้ตามต้องการ

เรียนรู้วิธีการใช้งาน Cacti เพื่อ Monitor Server

July 25, 2014 07:11

ท่านสามารถอ่านวิธีติดตั้ง Cacti ได้ที่นี่ http://sysadmin.psu.ac.th/2014/07/24/cacti-setup/ วิธีการติดตั้ง SNMP Query MIB เพิ่มเติม รวมถึง MIB ของโปรแกรม SNMP Informant ซึ่งใช้ติดตั้งเป็น Agent ของ Windows Server โดยมีขั้นตอนดังนี้ วิธีการเพิ่มเติม snmp query template สำหรับ cacti 1) ทำการ move resource เป็น resource_old sudo mv /usr/share/cacti/resource /usr/share/cacti/resource_old 2) ทำการสร้าง folder resource ขึ้นมาใหม่และทำการโหลดไฟล์ resource ใหม่จาก web มาวาง cd /usr/share/cacti sudo mkdir resource cd resource sudo wget http://ftp.psu.ac.th/pub/psu-monitor/resource.tar.gz sudo tar -xvzf resource.tar.gz 3) ทำการเพิ่ม Template ลบไปฐานข้อมูลโหลด Download xml ทำการติดตั้งดังนี้ cd /home/workshop/Desktop/ wget http://ftp.psu.ac.th/pub/psu-monitor/template.zip unzip template.zip ทำการ Import ไฟล์ xml ทั้งหมด – ตัวอย่างวิธีการ Import Template 4) ทำการตั้งค่า Linux Host Template ใหม่ดังนี้ ทำการ Add Associated Graph Templates และ Data Queries ดังนี้ (หลังจากกด save มันจะไม่ดีดไปไหน แต่ save แล้วครับ) 5) ทำการตั้งสร้าง Windows Host Template ใหม่ดังนี้ ทำการ Add Associated Graph Templates และ Data Queries ดังนี้ สำหรับเครื่องที่เป็น Linux เปิดเฉพาะ snmp ก็เพียงพอ แต่เครื่องที่เป็น Windows ต้องลงโปรแกรม informant เพิ่มเติมเพื่อเสมือนเป็น agent ไปดึงค่าจากเครื่องไปสร้าง MIB พิเศษเพื่อให้ Cacti เข้ามาดึงข้อมูล โดยโปรแกรมสามารถ Download ได้ที่นี่ http://www.wtcs.org/informant/files/informant-std-17.zip 6) เพื่อไม่ต้อง ตั้งค่า snmp บ่อย ๆ ให้ทำการแก้ไข snmp default ดังรูป วิธีการเพิ่ม device 1) ทำการ Add Device ดังนี้ 2) ใส่ข้อมูลต่าง ๆ ของ Device 3) หลังจากนั้นให้สังเกตุคำว่า success และมีจำนวน items แสดงว่าเราสามารถดึงค่าได้แล้ว ในกรณีที่ยังไม่ได้ เมื่อให้ทำการทดสอบโดยกดเลือก Verbose Query ทุกครั้ง ถ้ายังไม่ success แนะนำว่าอย่าเพิ่งสร้าง Graph ครับ เพราะเราไม่รู้ว่าเครื่องมีกี่ CPU กี่ interface แรมเท่าไหร่ จึงไม่สามารถสร้าง Graph ล่วงหน้าได้ – เมื่อกดปุ่ม Verbose Query ระบบจะทำการดึงข้อมูลมาให้ดูดังรูป วิธีการสร้าง Graph ประเภท Linux Machine – ทำการ Create Graph ในหน้า device ดังนี้ – ให้เลือกทีละหัวข้อจากนั้นทำการกดปุ่ม Create วิธีการสร้าง

วิธีการตั้งค่า NRPE เพื่อใช้งานกับ NagiosQL บน Ubuntu 14.04 LTS

July 24, 2014 05:55

สำหรับการใช้งาน NRPE ต้องทำการติดตั้ง Nagios และ NagiosQL มาก่อนดังนี้ Nagios : http://sysadmin.psu.ac.th/2014/07/23/nagios-ubuntu1404/ NagiosQL : http://sysadmin.psu.ac.th/2014/07/23/nagiosql-ubuntu/ Setup NagiosQL : http://sysadmin.psu.ac.th/2014/07/23/setup-nagiosql-ubuntu/ วิธีการติดตั้ง Nrpe และการตั้งค่าบน NagiosQL 1) ทำการติดตั้งโปรแกรม nrpe ดังนี้ sudo apt-get install -y nagios-nrpe-plugin 2) ทำการ Login เข้า Web NagiosQL โดยจะยกตัวอย่างการเพิ่ม nrpe เกี่ยวกับการ Check Load Linux 3) ทำการเพิ่ม command ใหม่ดังนี้ Commands -> Definitions Command : check_linux_load Command line : $USER1$/check_nrpe -H $HOSTADDRESS$ -c check_load Command type : check command 4) ทำการเพิ่มข้อมูล Service ให้กับ Host ชื่อ Linux-Server Supervision -> Services 5) ทำการตั้งค่า Service โดยคราวนี้จะเลือก Add Service เพิ่มเข้าไปใน Host groups linux-server แทน เมื่อเพิ่มเครื่องเข้าไปใน Host groups จะได้ service นี้ติดไปด้วยเสมอ (เป็นการบังคับว่าต้องลง nrpe agent ไม่งั้นจะฟ้องว่า service down) 6) ทำการเพิ่ม เครื่อง Linux-Server ใน Host Groups -> linux servers โดยให้เอา localhost ออกจาก Host Groups ด้วย (กันความสับสน) 7) จากนั้นทำ Save และทดสอบ เข้าไป Restart Nagios Tools -> Nagios control -> Check Written configuration files 8) หลังจากนั้นทดสอบเข้า web nagios ดูจะพบว่า Service CPU Load เพิ่มขึ้นมาเรียบร้อยแล้ว ตอนนี้ยังไม่สามารถใช้งานได้ต้องทำการลง Agent ที่เครื่อง Linux ปลายทางก่อนซึ่งจะอยู่ในหัวข้อต่อไป ในส่วนของ Windows วิธีการจะคล้าย ๆ กัน ต่างกันที่ Command ซึ่งจะเป็นการเรียกเพื่อรันโปรแกรมที่อยู่ปลายทาง ซึ่งแต่ละ Command อาจต้องใส่ argument ซึ่งบาง command สามารถแก้ที่ตัวปลายทางได้เลย ทำให้ command เดียวกันแต่ตั้งค่า warning critical ที่แตกต่างได้ แล้วแต่ปลายทางจะตั้ง

การติดตั้งและการตั้งค่าเบื้องต้น NagiosGraph บน Ubuntu 14.04 LTS

July 24, 2014 03:30

สำหรับการติดตั้ง NagiosGraph ต้องทำการติดตั้ง Nagios และ NagiosQL มาก่อนดังนี้ Nagios : http://sysadmin.psu.ac.th/2014/07/23/nagios-ubuntu1404/ NagiosQL : http://sysadmin.psu.ac.th/2014/07/23/nagiosql-ubuntu/ Setup NagiosQL : http://sysadmin.psu.ac.th/2014/07/23/setup-nagiosql-ubuntu/ วิธีการติดตั้ง Nagios Graph 1) ทำการติดตั้งโปรแกรม Perl-GD Perl-RRDs และ Perl-Nagios รวมถึงโปรแกรม rrdtool ดังนี้ sudo apt-get install -y rrdtool libgd-perl librrds-perl libnagios-object-perl 2) ทำการ Download โปรแกรม NagiosGraph ดังนี้ cd /usr/src sudo wget http://downloads.sourceforge.net/project/nagiosgraph/nagiosgraph/1.5.1/nagiosgraph-1.5.1.tar.gz 3) จากนั้นทำการแตกไฟล์ออกมาด้วยคำสั่ง sudo tar -xvzf nagiosgraph-1.5.1.tar.gz 4) จากนั้นทำการตรวจสอบความพร้อมก่อนติดตั้งด้วยคำสั่ง cd nagiosgraph-1.5.1 sudo ./install.pl –check-prereq 5) ถ้าไม่มี Error อะไรให้ทำการติดตั้งโดยใช้คำสั่ง sudo ./install.pl –install 6) Enter ไปเรื่อย ๆ ก็จะเสร็จสิ้นกระบวนการติดตั้ง (แต่ยังต้องมีการตั้งค่า nagios ต่อไป) วิธีการตั้งค่า Config nagios เพื่อเปิดใช้งานตัวเก็บ Log 1) ทำการเปิด NagiosQL ขึ้นมา หรือทำการแก้ไขไฟล์ /etc/nagios3/nagios.cfg 2) ทำการแก้ไขไฟล์ของ nagios ให้มาเรียก configuration ของ nagiosql ดังนี้ Tools -> Nagios config -> Nagios main configuration file 3) เพิ่มข้อความบรรทัดสุดท้ายดังนี้ # process nagios performance data using nagiosgraph process_performance_data=1 service_perfdata_file=/tmp/perfdata.log service_perfdata_file_template=$LASTSERVICECHECK$||$HOSTNAME$||$SERVICEDESC$||$SERVICEOUTPUT$||$SERVICEPERFDATA$ service_perfdata_file_mode=a service_perfdata_file_processing_interval=30 service_perfdata_file_processing_command=process-service-perfdata-for-nagiosgraph 4) จากนั้นทำการ Save ข้อมูลและสั่ง Restart nagios ดังรูป Tools -> Nagios control -> Check Written configuration files 5) เราสามารถตรวจสอบการทำงานได้ดังนี้ (กด Ctrl-C เพื่อยกเลิกการทำงาน) sudo tail -f /tmp/perfdata.log 6) ถ้ามีการเคลื่อนไหวของข้อมูลถือว่าใช้งานได้ วิธีการตั้งค่า services ผ่าน NagiosQL 1) ทำการแก้ไขข้อมูล Service Template ดังนี้ Supervision -> Service templates 2) ทำการแก้ไข Action URL เพื่อให้สามารถคลิกดูกราฟได้จากหน้า Nagios ดังนี้ Action URL : /nagiosgraph/cgi-bin/show.cgi?host=$HOSTNAME$&service=$SERVICEDESC$ 3) ทำการเพิ่ม command ใหม่ดังนี้ Commands -> Definitions Command : process-service-perfdata-for-nagiosgraph Command line : /usr/local/nagiosgraph/bin/insert.pl 4) จากนั้นทำการ Save ข้อมูลและสั่ง Restart nagios เหมือนเดิม Tools -> Nagios control -> Check Written configuration files วิธีการตั้งค่า Apache Site 1) ทำการ copy site config ดังนี้