NETWORK SERVICEOPENSSH + NTP + SQUID
0 likes873 views
ข้อมูลหามาจากบนอินเตอร์เน็ตค่ะ เก็บไว้แชร์ไว้อ่าน
![การเชื่อมต่อกับ OpenSSH Server
คาสังใน Linux เพื่อเชื่อมต่อกับ OpenSSH server คือ
่
ssh user@remote_machine [-p port_number]
ssh เป็ นคาสังที่ใช้เชื่อมต่อกับ OpenSSH server
่
user ชื่อบัญชีที่มีอยูในเครื่องที่ตองการเชื่อมต่อ
่ ้
remote_machine ชื่อเครื่องปลายทาง
ตัวอย่าง
ssh root@localhost
ssh choopan@ect.cit.kmutnb.ac.th
ssh ect.cit.kmutnb.ac.th (บัญชีชื่อเดียวกันทั้ง 2 เครื่อง)](https://image.slidesharecdn.com/09-network-service-130123031711-phpapp01/85/NETWORK-SERVICEOPENSSH-NTP-SQUID-4-320.jpg)
![การ copy แฟ้ มข้อมูลระหว่างเครื่องแบบปลอดภัย
ในการโอนถ่ายแฟ้ มข้อมูลจากเครื่องหนึ่ งไปยังอีกเครื่องหนึ่ ง สามารถทาผ่าน
ช่องทางปลอดภัยได้ โดยใช้คาสัง scp
่
scp [-P port_number] [-r] yourfile user@remotemachine:target_directory
-r ถ้าต้องการ copy directory
ตัวอย่าง
ถ้าต้องการ copy แฟ้ มข้อมูลชื่อ /var/log/message ไปที่บญชี root ใน
ั
เครื่อง ect.cit.kmutnb.ac.th ที่ตาแหน่ ง /tmp
scp /var/log/message root@ect.cit.kmutnb.ac.th:/tmp
ถ้าต้องการ copy แฟ้ มข้อมูลชื่อ /root/myfile.txt ของบัญชี root จากเครื่อง
cit.kmutnb.ac.th มายังเครื่องและบัญชีที่เราใช้งานอยู่
scp root@cit.kmutnb.ac.th:/root/myfile.txt .](https://image.slidesharecdn.com/09-network-service-130123031711-phpapp01/85/NETWORK-SERVICEOPENSSH-NTP-SQUID-5-320.jpg)
![Squid Main Configuration File
Config file ของ Squid จะเก็บอยูที่ตาแหน่ ง /etc/squid
่
ใน directory /etc/squid จะมีแฟ้ มข้อมูลที่สาคัญอยูคือ
่
squid.conf
ในแฟ้ มข้อมูล /etc/squid/squid.conf จะบรรจุคาสัง ่
(directive) ซึ่ง 1 บรรทัดคือ 1 คาสัง
่
Directive มีรปแบบไวยกรณ์ดงนี้
ู ั
directivename given_value_1 [ given_value_2 … given_value_N ]](https://image.slidesharecdn.com/09-network-service-130123031711-phpapp01/85/NETWORK-SERVICEOPENSSH-NTP-SQUID-17-320.jpg)
NETWORK SERVICEOPENSSH + NTP + SQUID
- 1. NETWORK SERVICE OPENSSH + NTP + SQUID 357362 – Special Problems in Electronics Choopan Rattanapoka
- 2. Network Service การทางานที่เกี่ยวข้องกับระบบเครือข่ายเป็ นจุดแข็งของ Linux เนื่ องจาก Linux ได้ถกออกแบบมาเพื่อรองรับการทางานบนระบบเครือข่าย ู โดยเฉพาะ เช่น การเข้าถึงเครื่องแม่ขายผ่านระบบเครือข่ายด้วยช่องทางที่ปลอดภัย (SSH) ่ NTP Proxy server, web caching server Remote file sharing DNS DHCP ..etc..
- 3. OpenSSH SSH เป็ น 1 ในวิธีที่ผดแลระบบจะใช้ในการติดต่อกับเครื่องแม่ขายเมื่อไม่ ู้ ู ่ สามารถเข้าถึงเครื่องแม่ขายได้โดยตรง ่ SSH ได้เข้ามาแทนที่การใช้งาน telnet เนื่ องจาก telnet ไม่มีการ เข้ารหัสข้อมูลในการรับ-ส่ง ทาให้เสี่ยงต่อความปลอดภัย OpenSSH configuration File แฟ้ มข้อมูลในการปรับแต่งบริการ ssh คือแฟ้ มข้อมูลชื่อ sshd_config /etc/ssh อยูที่ตาแหน่ ง ่ รูปแบบของการปรับแต่ง คือ directive_name value หลังจากแก้ไขค่าต่างๆแล้ว ต้องพิมพ์ service sshd restart
- 4. การเชื่อมต่อกับ OpenSSH Server คาสังใน Linux เพื่อเชื่อมต่อกับ OpenSSH server คือ ่ ssh user@remote_machine [-p port_number] ssh เป็ นคาสังที่ใช้เชื่อมต่อกับ OpenSSH server ่ user ชื่อบัญชีที่มีอยูในเครื่องที่ตองการเชื่อมต่อ ่ ้ remote_machine ชื่อเครื่องปลายทาง ตัวอย่าง ssh root@localhost ssh choopan@ect.cit.kmutnb.ac.th ssh ect.cit.kmutnb.ac.th (บัญชีชื่อเดียวกันทั้ง 2 เครื่อง)
- 5. การ copy แฟ้ มข้อมูลระหว่างเครื่องแบบปลอดภัย ในการโอนถ่ายแฟ้ มข้อมูลจากเครื่องหนึ่ งไปยังอีกเครื่องหนึ่ ง สามารถทาผ่าน ช่องทางปลอดภัยได้ โดยใช้คาสัง scp ่ scp [-P port_number] [-r] yourfile user@remotemachine:target_directory -r ถ้าต้องการ copy directory ตัวอย่าง ถ้าต้องการ copy แฟ้ มข้อมูลชื่อ /var/log/message ไปที่บญชี root ใน ั เครื่อง ect.cit.kmutnb.ac.th ที่ตาแหน่ ง /tmp scp /var/log/message root@ect.cit.kmutnb.ac.th:/tmp ถ้าต้องการ copy แฟ้ มข้อมูลชื่อ /root/myfile.txt ของบัญชี root จากเครื่อง cit.kmutnb.ac.th มายังเครื่องและบัญชีที่เราใช้งานอยู่ scp root@cit.kmutnb.ac.th:/root/myfile.txt .
- 6. ทดลอง สร้างแฟ้ มข้อมูลเป็ นรหัสนักศึกษาขึ้ นมา 1 แฟมข้อมูล (touch) ้ ส่งแฟ้ มข้อมูลนี้ ไปยังบัญชี ect ที่เครื่อง ect.cit.kmutnb.ac.th ที่ ตาแหน่ ง /home/ect ใช้ ssh เข้าไปดูวาแฟ้ มข้อมูลนั้นถูก copy เข้าไปจริงหรือไม่ ่ จากนั้นให้กลับมายังเครื่องของนักศึกษาแล้ว copy แฟ้ มข้อมูลชื่อ downloadme.txt ที่อยูในตาแหน่ ง /home/ect ในบัญชี ect ที่ ่ เครื่อง ect.cit.kmutnb.ac.th มายังเครื่องนักศึกษา Copy ทั้ง directory ชื่อ downloadME ที่อยูในตาแหน่ ง ่ /home/ect ในบัญชี ect ที่เครื่อง ect.cit.kmutnb.ac.th มายัง เครื่องนักศึกษา
- 7. OpenSSH Key การทางานผ่าน OpenSSH จะปลอดภัยเนื่ องจากมีการเข้ารหัส โดยการใช้ key ซึ่งจะมี key 2 ชนิ ดคือ private key ใช้สาหรับเข้าและถอดรหัสของข้อมูลบนเครื่องแม่ข่าย key ตัวนี้ จะเป็ นความลับและไม่มีการ แจกจ่าย ssh_host_dsa_key และ ssh_host_rsa_key เป็ นแฟ้ มข้อมูล private key ที่ถก ู เข้ารหัสด้วย DSA, และ RSA ตามลาดับ public key ใช้สาหรับเครื่องที่ติดต่อกับเครื่องแม่ข่าย จะเข้ารหัสข้อมูลด้วย public key ที่ได้มา และจะถูก ถอดรหัสได้เมื่อใช้ private key ของเครื่องแม่ขายเท่านั้น ่ ssh_host_dsb_pub.key และ ssh_host_rsa_pub.key เป็ น public key CentOS จะเก็บ key ทั้ง 2 ของเครื่องไว้ใน /etc/ssh
- 8. OpenSSH Fingerprints เมื่อมีการเชื่อมต่อครั้งแรกของเครื่องเราสูเครื่องคอมพิวเตอร์แม่ขายผ่าน ่ ่ SSH ตัว client จะถูกถามถึงการยอมรับหรือปฎิเสธ fingerprint ของเครื่อง แม่ขาย เนื่ องจาก fingerprint นี้ ไม่เคยรูจกมาก่อน ่ ้ั Fingerprint จริงๆแล้วก็คือ public key ที่ใช้ในการติดต่อ Fingerprint จะถูกเก็บใน directory .ssh ใน home ในแฟ้ มข้อมูลที่ชื่อ known_hosts
- 9. แฟ้ มข้อมูล ~/.ssh/known_hosts เมื่อมีการเชื่อมต่อกันด้วย ssh แล้ว fingerprint ของเครื่องที่ทาการ เชื่อมต่อด้วยจะถูกเก็บไว้ในแฟ้ มข้อมูล known_hosts จากนั้นครั้งต่อไปเมื่อมีการเชื่อมต่อกันอีกจะไม่มีการถามถึง fingerprint อีกต่อไป ยกเว้นกรณีเครื่องที่เราเคยติดต่อไป ได้ลงระบบปฎิบติการใหม่ ทาให้ ั fingerprint เปลี่ยนไป ซึ่งเมื่อเราไปเชื่อมต่อจะเกิด warning ขึ้ น ดังนั้นเราจึงต้องไปลบ fingerprint เก่าออกจากแฟ้ มข้อมูล known_hosts ก่อนถึงจะเชือมต่อกันได้ ่
- 10. NTP Server เวลาบนเครื่อง server เป็ นสิ่งที่สาคัญมาก เวลาที่เก็บlog เพื่อค้นหาผูกระทาผิด หรือ ผูบุกรุกระบบ ้ ้ เวลาที่สงให้ crontab ทางาน ั่ โดยเฉพาะอย่างยิงเมื่อมีเครื่องแม่ขายหลายตัวและต้องการใช้เวลาของเครื่อง ่ ่ แม่ขายทุกตัว มีเวลาที่ตรงกัน หรือใกล้กนมากที่สุด ่ ั ปั ญหาเรื่องเวลาสามารถแก้ไขได้ดวย Network Time Protocol (NTP) ้ NTP มีกลไลในการ synchronize เวลาในเครื่องเรากับเครื่องแม่ขายเวลา ่ และมีการใช้ time scale คือ Coordinated Universal Time (UTC)
- 11. โครงสร้าง NTP โครงสร้างของ NTP จะแบ่งในลักษณะลาดับชั้นเรียกว่า strata Strata ที่อยูช้นบนสุดคือแหล่งกาเนิ ดของเวลาที่ใช้ในการ synchronize ่ ั
- 12. NTP configuration modes NTP มีการทางานอยูดวยกัน 5 โหมด ่ ้ Client-Server มีเครื่อง 1 เครื่องทาหน้าที่เป็ น NTP Server และเครื่องที่เหลือจะใช้ NTP Clientดึงเวลา มาจากเครื่อง server Symmetric active/passive NTP server จะถูก config เป็ นให้เป็ น peer เพื่อเป็ นตัว backup ให้ server หลัก โดยถ้าทุก peer ทางานจะส่งข้อมูล update เวลาไปให้กบเครื่องอื่นๆ ถ้ามี peer ไหนไม่ ั สามารถให้บริการได้ ก็ยงเหลือ peer อื่นที่ทางานได้ ั Broadcast/Multicast สาหรับเครือข่ายแบบ WAN Manycast สาหรับ NTP version 4 ให้ server ถูกค้นหาได้ดวย ้ multicast Orphan ทางานโดยไม่มี server
- 13. ติดตั้ง NTP + Client-Server mode NTP ไม่ได้ถกลงมากับ CentOS โดย default ู แต่เราสามารถติดตั้ง NTP ได้ดวยคาสัง ้ ่ yum install ntp โหมด Client-Server แก้ไขแฟ้ มข้อมูล /etc/ntp.conf เพิ่ม server ที่จะใช้ในการ synchronization ในรูปแบบ server ชื่อ NTP server หลังจากเพิ่มเติมแล้วให้ restart บริการใหม่ดวย ้ service ntpd restart ถ้าต้องการดู log การทางานของ ntpd สามารถใช้คาสัง ่ ntpd –d
- 14. NTP: Symmetric Active/Passive Mode ทาได้โดยการเพิ่มข้อความข้างล่างลงในแฟ้ มข้อมูล /etc/ntp.conf บรรทัดล่างสุด peer ip ของเครื่องที่จะแลกเปลี่ยนเวลากัน โดยทัวไปจะมีการปรับแต่งต่อท้าย Client/Server mode ่ Peer จะแลกเปลี่ยนเวลากันเมื่อไม่สามารถติดต่อกับ NTP server เมื่อปรับแต่งเสร็จเรียบร้อยแล้วจะต้อง service ntpd restart
- 15. NTP : Broadcast Mode จะต้องไม่ใช้ร่วมกับ Active/Passive mode เพิ่มบรรทัดให้กบตัวที่ตองการจะ broadcast เวลา ั ้ broadcast ip disable auth ตัวอย่าง broadcast 192.168.1.255 disable auth สาหรับเครื่องที่ตองการจะรับเวลาจากเครื่องที่ broadcast ให้ใส่ ้ broadcastclient disable auth
- 16. Squid Web Caching Server เมื่อระบบเครือข่ายขององค์กรมี bandwidth ไม่เพียงพอต่อความ ต้องการ ถึงเวลาที่ตองใช้ Web caching หรือ Web Proxy เข้ามา ้ ช่วย Web caching ที่มีให้ใช้ใน CentOS คือ Squid Squid มีขอจากัดบางประการ คือ สามารถเป็ น web caching หรือ ้ เพิมความเร็วให้กบบาง protocol เท่านั้น (HTTP, HTTPS by ่ ั pass-through, และ FTP) Squid ไม่ได้ถกติดตั้งมากับ CentOS โดยตรง เพราะฉนั้นจึงต้องติดตั้ง ู Squid เอง ด้วยคาสัง ่ yum install squid
- 17. Squid Main Configuration File Config file ของ Squid จะเก็บอยูที่ตาแหน่ ง /etc/squid ่ ใน directory /etc/squid จะมีแฟ้ มข้อมูลที่สาคัญอยูคือ ่ squid.conf ในแฟ้ มข้อมูล /etc/squid/squid.conf จะบรรจุคาสัง ่ (directive) ซึ่ง 1 บรรทัดคือ 1 คาสัง ่ Directive มีรปแบบไวยกรณ์ดงนี้ ู ั directivename given_value_1 [ given_value_2 … given_value_N ]
- 18. visible_hostname directive visible_hostname givenhostname visible_hostname เป็ น directive ใช้เพื่อบันทึกใน system log file และบอกผูใช้ เกี่ยวกับ ชื่อของ web cache server เมื่อเกิด ้ ปั ญหา จะต้อง set ค่านี้ ก่อนเรียกใช้งาน Squid ไม่เช่นนั้น Squid จะไม่อานค่า ่ ปกติชื่อ host ที่ทาหน้าที่เป็ น web cache จะเรียกว่า proxy ตัวอย่าง proxy.cit.kmutnb.ac.th ตัวอย่างการใช้งาน directive visible_hostname proxy.cit.kmutnb.ac.th
- 19. cache_dir directive cache_dir เป็ น directive ที่บอกกับ squid ถึง directory ที่จะใช้ในการเก็บ cache ต่างๆ (หน้า web, files) มีรปแบบดังนี้ ู cache_dir storagetype targetdirectory storagesize directorycount subdirectorycount cache_dir directive สาหรับการใช้งาน cache storagetype ประเภทของระบบแฟมข้อมูลโดยปกติจะเป็ น ufs (unix file system) ้ targetdirectory ตาแหน่ งที่ตองการใช้ Squid ใช้ในการเก็บ cache ้ storagesize เนื้ อที่ที่จะใช้ในการเก็บ cache มีหน่ วยเป็ น MB directorycount จานวนของ directory ที่จะเก็บใน cache subdirectorycount จานวนของ subdirectory ที่จะเก็บภายใน directory ตัวอย่าง cache_dir ufs /var/spool/squid 100 16 256 เมื่อมีการเปลี่ยนแปลง cache_dir จะต้องใช้คาสัง squid -z เพือทาการ clear ่ ่ cache แล้วจึงใช้คาสัง service squid restart เพื่อให้ squid อ่านค่า config ่ ใหม่
- 20. ACLs และ ACL-operators Access Control List (ACL) เป็ น directive ที่ใช้สาหรับจากัดการ ทางานของ Squid เช่น การอนุ ญาตหรือห้ามเครื่องบางเครื่องให้ใช้งาน internet ได้ Squid จะปฎิเสธการเข้าถึง internet ของทุก host โดยปริยายหลังจาก การติดตั้ง Squid เป็ นครั้งแรก ดังนั้ นเป็ นหน้าที่ของผูดแลระบบที่จะต้องเพิ่มเครืองใน network ้ ู ่ ใน ACL ให้ สามารถใช้งาน internet ผ่าน Squid
- 21. ACL directive การเขียน Directive ACL อยูในรูปแบบดังนี้ ่ acl name type argument name ชื่อที่เป็ น identity ของ ACL (ชื่ออะไรก็ได้) type อาจจะเป็ น src (คุม IP ขาเข้า) หรือ password (เพื่อให้มีการ ติดการใช้งาน password) argument เป็ นค่า argument ที่ type ต้องการ ตัวอย่าง acl localhost src 127.0.0.1/32 การใช้งาน ACL directive จะใช้ควบคู่กบ ACL-Operation เสมอ ั
- 22. ACL Operation Squid จะทางานเกี่ยวกับ web เพราะฉนั้น ACL operation ที่เกี่ยวข้องกับ web คือ http_access operation target operation ที่ใช้กนคือ allow และ deny ั target คือชื่อของ ACL ตัวอย่าง ACL-Operation http_access allow localhost ตัวอย่าง ถ้าต้องการให้ทุกเครื่องใน 192.168.1.0/24 และ 127.0.0.1 ใช้งาน internet ผ่าน Squid ได้ ที่เหลือจะปฎิเสธการเข้าใช้งาน internet สามารถทาการแก้ไขใน /etc/squid/squid.conf ได้ดงนี้ ั acl localhost src 127.0.0.1/32 acl localnet src 192.168.1.0/24 http_access allow localhost http_access allow localnet http_access deny all เมื่อมีการแก้ไขแฟ้ มข้อมูล config ของ Squid จะต้องใช้คาสัง service squid restart ่ Client จะต้อง set proxy มายัง port 3128 เป็ น port โดยปริยายของ squid
- 23. Log Server ของแถมเตือนความจา การทางานหลายอย่างของ Linux จะมีการบันทึกการ ทางานเรียกว่า log ซึ่งโปรแกรมที่ทางานในส่วนนี้ คือ syslog ถ้าจาได้ syslog สามารถตั้งให้ส่ง log ข้ามเครือข่ายมาเก็บที่เครื่องอื่นได้ดวย ้ เครื่องหมาย @ชื่อserver ในส่วนของ action การติดตั้งเครื่อง Log server จาเป็ นจะต้องเปิ ดบริการให้รบข้อมูลจากเครื่อง ั อื่นได้ก่อน แก้ไขแฟ้ มข้อมูล /etc/sysconfig/syslog โดยการเพิ่ม “-r” ในตัวแปรชื่อ SYSLOGD_OPTION ใช้คาสัง service syslog restart เพื่อให้ syslog อ่าน config ใหม่ ่ ถ้ามีการติดตั้ง firewall ในเครื่อง server จะต้องอนุ ญาต port ของ syslog -A RH-Firewall-1-INPUT -i eth1 -s 192.168.1.0/24 –p udp –m udp --dport 514 -j ACCEPT
- 24. แบบฝึ กหัด ถ้าเคย save การทา nat ใน iptables ไว้เอาออกให้หมด ทาให้ client เก็บ log ของ facility : authpriv มาที่เครื่อง server ติดตั้ง squid ที่เครื่อง server อนุ ญาตให้ client สามารถใช้งาน web ผ่าน squid ได้