คูมือประกอบการฝกอบรมเชิงปฏิบัติการ การติดตั้ง Authentication
สํานักงานสงเสริมอุตสาหกรรมซอฟตแวรแหงชาติ (องคการมหาชน) สมาคมอุตสาหกรรมซอฟตแวรไทย
Buy Thai First
คํานํา ตามที่พระราชบัญญัติวาดวยการกระทําความผิดเกี่ยวกับคอมพิวเตอร พ.ศ. 2550 มีผลบังคับใชตั้งแต วันที่ 22 สิงหาคม 2550 นั้น มีผลทําใหหนวยงานตางๆซึ่งเปนผูใหบริการเขาถึงระบบเครือขายอินเตอรเน็ต จําเปนตองเก็บขอมูลจราจรทางคอมพิวเตอร (Traffic Data) ไวอยางนอย 90 วัน ปรากฏวาหนวยงานตางๆ สวนใหญยังขาดความรูความเขาใจในเจตนารมณของกฎหมาย และวิธีการจัดเก็บขอมูลจราจรทางคอมพิวเตอร (Traffic Data) ที่ถูกตองและครบถวนตามที่กฎหมายกําหนด ดังนั้นเพื่อใหหนวยงานตางๆ สามารถเก็บขอมูลจราจรทางคอมพิวเตอร(Traffic Data)ไดถูกตองและ ครบถวนตามที่กฎหมายกําหนด และสามารถประหยัดงบประมาณในการจัดซื้อซอฟตแวรจากตางชาติ โดย การนําซอฟตแวร Open Source ไปใชในการจัดเก็บขอมูลจราจรทางคอมพิวเตอร (Traffic Data) สํานักงาน สงเสริมอุตสาหกรรมซอฟตแวรแหงชาติ (องคการมหาชน) จึงเห็นควรใหมีการจัดจางทําคูมือ พรอมชุดติดตั้ง (Software package), Slideบรรยายประกอบการฝกอบรมปฏิบัติการ, Courseware สําหรับใชทบทวนหรือศึกษา ดวยตนเอง ใหกับผูประกอบการและผูดูแลระบบของหนวยงานภาครัฐ นอกจากนั้นจัดใหมีการสนับสนุน ภายหลังการอบรมผานทางเว็บไซต และทางโทรศัพท ใหกับผูเขารวมโครงการ โดยในการจัดจางในครั้งนี้ จะ เปนประโยชนตอ ผูประกอบการและผูดูแลระบบของหนวยงานภาครัฐหนวยงานตางๆ ในการที่จะนําไปใช นอกจากนี้แลวสํานักงานฯ จะกําหนดใหคูมือและชุดติดตั้งตางๆ มีการกําหนดสิทธิในการเผยแพรแบบโอเพน ซอรส ซึ่งจะทําใหหนวยงานตางๆ สามารถนําเอาคูมือและชุดติดตั้งประกอบการฝกอบรม ไปแกไขหรือพัฒนา ตอได ในกรณีที่มีการเปลี่ยน version ซึ่งจะเปนการทําใหบุคลากรของผูประกอบการ และหนวยงานตางๆ ใน ประเทศไทยทันตอการเปลี่ยนแปลงเทคโนโลยีอยูเสมอ เอกสารฉบับนี้เปนคูมือโครงการฝกอบรมผูประกอบการในการติดตั้งและใหบริการคําปรึกษาระบบเก็บ ขอมูลจราจร(Traffic Data) ตาม พรบ. วาดวยการกระทําความผิดเกี่ยวกับคอมพิวเตอร พ.ศ. 2550 ดวย ซอฟตแวรโอเพนซอรส สนับสนุนโดย สํานักงานสงเสริมอุตสาหกรรมซอฟตแวรแหงชาติ (องคการมหาชน) ซึ่งตอไปนี้ เปนการสรุปวัตถุประสงค ผลที่คาดวาไดรับ โครงสรางของหลักสูตร และหลักสูตรการฝกอบรม ของโครงการ
สํานักงานสงเสริมอุตสาหกรรมซอฟตแวรแหงชาติ (องคการมหาชน) (SIPA) สมาคมอุตสาหกรรมซอฟตแวรไทย (ATSI)
Buy Thai First วัตถุประสงค 1. เพื่ อ ช ว ยให ผู ป ระกอบการและผู ดู แ ลระบบเข า ใจวั ต ถุ ป ระสงค ที่ แ ท จ ริ ง ของการเก็ บ ข อ มู ล จราจร (Traffic Data) ตาม มาตรา 26 ของ พรบ. การกระทําผิดดวยคอมพิวเตอร พ.ศ. 2550 2. เพื่อใหผูประกอบการและผูดูแลระบบเขาใจวิธีการเก็บขอมูลจราจร (Traffic Data) ที่ถูกตองตามมาตรา 26 ของ พรบ. การกระทําผิดดวยคอมพิวเตอร พ.ศ. 2550 3. เพื่ อ ให ผู ป ระกอบการและผู ดู แ ลระบบสามารถเก็ บ ข อ มู ล จราจร (Traffic Data) ได ด ว ย ซอฟตแวรโอเพนซอรส อยางถูกตองและครบถวนตามที่กฎหมายกําหนด 4. เพื่อใหผูประกอบการสามารถใหคําปรึกษาแกผูรับบริการอยางถูกตองและครบถวนตามที่กฎหมาย กําหนด 5. เพื่อใหผูประกอบการลดคาใชจายในการจัดเก็บขอมูลจราจร (Traffic Data)
ผลที่คาดวาจะไดรับ 1. ไดหลักสูตร และระบบตนแบบนําซอฟตแวรโอเพนซอรสไปใชเก็บขอมูลจราจร (Traffic Data) 2. ประกอบการสามารถนําความรูที่ไดรับไปใหบริการใหคําปรึกษาและติดตั้งระบบเก็บขอมูลจราจร (Traffic Data) ดวยซอฟตแวรโอเพนซอรสอยางถูกตองและครบถวนตามที่กฎหมายกําหนด 3. System Admin ของหนวยงานภาครัฐสามารถนําซอฟตแวรโอเพนซอรสไปใชเก็บขอมูลจราจร (Traffic Data) ไดอยางถูกตองและครบถวนตามที่กฎหมายกําหนด หลักสูตรการฝกอบรม ชื่อหลักสูตร หลักสูตรการติดตั้งระบบเก็บขอมูลจราจร (Traffic Data) ตามพรบ. วาดวยการ กระทําความผิดเกี่ยวกับดวยคอมพิวเตอร พ.ศ. 2550 ดวยซอฟตแวรโอเพนซอรส วัตถุประสงค ฝกอบรมโดยการบรรยาย สาธิต และฝก Hands-on ตาม พรบ.วาดวยการกระทํา ความผิดเกี่ยวกับคอมพิวเตอร พ.ศ. 2550 ดวยซอฟตแวรโอเพนซอรส จํานวนวัน 5 วัน คุณสมบัติผูเขาฝกอบรม 1. มีความรูทางดานคอมพิวเตอรและ Open Source 2. เปนผูที่ดูและระบบคอมพิวเตอรใหกับหนวยงาน 3. เปนผูที่สนใจในระบบการติดตั้ง ระบบเก็บขอมูลจราจร (Traffic Data) ตาม พรบ. วาดวยการกระทําความผิดเกี่ยวกับดวยคอมพิวเตอร พ.ศ. 2550 ดวยซอฟตแวรโอเพน ซอรส ลักษณะการฝกอบรม : บรรยาย สาธิต ฝกปฏิบัติ แลกเปลี่ยนประสบการณ
สํานักงานสงเสริมอุตสาหกรรมซอฟตแวรแหงชาติ (องคการมหาชน) (SIPA) สมาคมอุตสาหกรรมซอฟตแวรไทย (ATSI)
Buy Thai First โครงสรางหลักสูตร วันที่ 1 Syslog-NG เปนการอธิบายถึง พรบ.วาดวยการกระทําความผิดเกี่ยวกับดวยคอมพิวเตอร พ.ศ. 2550 อธิบาย ถึงสถาปตยกรรมของระบบใหถูกตองตาม พรบ. อธิบายถึงสถาปตยกรรมของ Syslog-NG และวิธีการ ติดตั้ง เปนหลักสูตรที่ตรงกับขอ 8 ของประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ พ.ศ. 2550 วันที่ 2 ปฏิบัติการการติดตั้งซอฟตแวร Syslog-NG เปนการฝกการปฏิบัติการติดตั้ง Syslog-NG โดยการสาธิต และใหผูเขารับการอบรมติดตั้ง มี ผูชวยฝกใหการชวยเหลือ วันที่ 3 NTP Server และ NTP Client ปฏิบัติการการติดตั้งซอฟตแวร NTP Server และ NTP Client เปนการอธิบายถึงสถาปตยกรรมของ NTP ทั้ง Server และ Client รวมทั้งเปนการฝกการ ปฏิบัติการติดตั้ง NTP Server และ NTP Client โดยการสาธิต และใหผูเขารับการอบรมติดตั้ง มีผูชวย ฝกใหการชวยเหลือ เปนหลักสูตรที่ตรงกับขอ 9 ของประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ พ.ศ. 2550 วันที่ 4 Authentication เปนการอธิบายถึงสถาปตยกรรมของ Authentication รวมทั้งเปนการฝกการปฏิบัติการติดตั้ง Authentication โดยการสาธิต และใหผูเขารับการอบรมติดตั้ง มีผูชวยฝกใหการชวยเหลือ เปนหลักสูตรที่ตรงกับขอ 2 ภาคผนวก ข แนบทายประกาศกระทรวงเทคโนโลยีสารสนเทศ และการสื่อสาร เรื่อง หลักเกณฑการเก็บรักษาขอมูลจราจรทางคอมพิวเตอรของผูใหบริการ พ.ศ. 2550 วันที่ 5 ปฏิบัติการการนํา Syslog-NG, NTP Server, NTP Client และ Authentication ทํางานรวมกัน ใหผูเขารับการอบรมทําการติดตั้ง Syslog-NG, NTP Server, NTP Client และ Authentication ทํางานรวมกัน มีผูชวยฝกใหการชวยเหลือ การวัดผล : ผูเขาอบรมจะตองสามารถทําการติดตั้ง Syslog-NG, NTP Server, NTP Client และ Authentication ได ประกาศนียบัตร : ผูที่ผานหลักสูตรตามเงื่อนไขการวัดผล จะได Certificate of Completion จาก SIPA หรือ จาก ATSI หรือ SIPA รวมกับ ATSI
สํานักงานสงเสริมอุตสาหกรรมซอฟตแวรแหงชาติ (องคการมหาชน) (SIPA) สมาคมอุตสาหกรรมซอฟตแวรไทย (ATSI)
Buy Thai First คมอประกอบการฝกอบรมเชงปฏบตการ การตดตง Authentication
ลขสทธ)โดย
ส,านกงานสงเสรมอ.ตสาหกรรมซอฟต2แวร2แหงชาต (องค2การมหาชน) 89/2 หม 3 อาคาร 9 ชน 11 บมจ. ท?โอท? ถนนแจAงวฒนะ แขวงท.งสองหAอง เขตหลกส?C กร.งเทพฯ 10210 โทรศพท2 0-2554-0400 โทรสาร 0-2554-0401
ผAด,าเนนการ
สมาคมอ.ตสาหกรรมซอฟต2แวร2ไทย 99/30 หม 4 ชน 5 อาคารซอฟต2แวร2พาร2ค ถ.แจAงวฒนะ ข.ปากเกรMด ต.คลองเกลอ จ.นนทบ.ร? 11120 โทรศพท2 0-2583-9992,0-2962-2900 ตอ 1501 หรอ สายตรง 0-2962-1348 โทรสาร. 0-2962-1349 E-mail:
[email protected]
ผAบรหารโครงการ
บรษท เบนซ2มาร2ค วชCน จ,ากด Mobile : 089 797 8262 e-mail:
[email protected]
ส นกง นสงเสรมอตส หกรรมซอฟตแวรแหงช ต (องคก รมห ชน) (SIPA) สม คมอตส หกรรมซอฟตแวรไทย (ATSI)
Buy Thai First
สารบญ 1. Introduction 2. Software Requirement 3. Hardware Requirement 4. Install Ubuntu 8.04 1. Network setup 2. Enable TUN/TAP device driver support 3. Install OPENSSH 5. Install Chillispot 6. Install Firewall 7. Install Apache 8. Install MySQL Database Server 9. Install PHP • Install PhpMyAdmin 10. Install Radius Server • Change authorization to sql • SQL Logging • Create login page 11. Setup SSL 12. Add User 13. Logging • Install Time Server • Install Transparent Proxy Squid • Install logging Server References
ส:;น=กง;นส@งเสรCมอFตส;หกรรมซอฟตKแวรKแห@งช;ตC (องคKก;รมห;ชน) (SIPA) สม;คมอFตส;หกรรมซอฟตKแวรKไทย (ATSI)
1 4 4 5 18 18 19 22 24 26 29 31 33 35 39 40 43 45 53 60 61 68 71 78
Buy Thai First
ระบบยนยนตวตน (Authentication) Introduction ปจจบนระบบเครอขายอนเทอรเน!ตนบวาม%ความนยมแพรหลายและจากข+อม,ลการส.ารวจพบวาม%ผ,+ใช+งาน อนเทอร เน! ต เพ3 ม ข45น เร3 อ ย ๆ ในประเทศไทย และส3 ง ท%3 ส.า คญคอการให+ บ รการระบบจะต+ อ งด. า เนนการตาม พระราชบญญตวาด+วยการกระท.าความผดเก%3ยวกบคอมพวเตอร พ.ศ.๒๕๕๐ ซ43งระบวาในการเก!บข+อม,ลจราจรน5น ต+ อ งสามารถระบรายละเอ% ย ดผ,+ ใ ช+ บ รการระบบเครอขายอนเทอร เน! ต เปB น รายบคคลได+ (Identification and Authentication) เชน ลกษณะการใช+บรการ Proxy Server, Network Address Translation(NAT) หรอ Proxy Cache หรอ Cache Engine หรอบรการ Free Internet หรอบรการ 1222 หรอ Wi-Fi Hotspot ต+องสามารถระบตวตนของผ,+ ใช+บรการเปBนรายบคคลได+จรง
ร,ปท%3 1 ระบบเครอขายคอมพวเตอรโดยท3ว ๆ ไป ระบบเครอขายคอมพวเตอรท3ว ๆ ไปสามารถแสดงได+ดงร,ปท%3 1 ปกตจะแบงโซนท5งหมดของเครอขายออก เปBน 3 โซนด+วยกนคอ ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
1
Buy Thai First
1. โซน Demilitarized (DMZ)จะเปBนโซนท%3ใช+เช3อมตอกบอปกรณเคร3องแมขายท5งหมดขององคกร หรอเร%ยก วาโซนของเซร ฟเวอร ฟาร ม สวนใหญจะเปB น พ5 น ท%3 ใ ห+บ รการเซอร วสตาง ๆ ขององค กร เชน DHCP, Radius, Log Server, NTP เปBนต+นปกตจะเปBนท%3คอนข+างจะปลอดภยท%3สดส.าหรบองคกร 2. โซน Internet จะเปB น โซนท%3 เ ช3 อ มตอกบเครอขายอนเทอร เน! ต ประกอบไปด+ ว ย อปกรณ Router, Firewall และ Proxy Server เปBนต+น 3. โซน Internal จะเปBนโซนท%3อย,ตดกบผ,+ใช+บรการภายในองคกรจะประกอบไปด+วย Core/Distribute Switch, Access Switch และ Authentication Gateway เปBนต+น จากร,ปจะสามารถอธบายการท.างานได+วาเม3อผ,+ใช+บรการต+องการท%3จะใช+งานเครอขายอนเทอรเน!ต อปกรณ Authentication Gateway จะบงคบให+ปpอนช3อผ,+ใช+และรหสผานเพ3อเปBนการยนยนตวตนตามกฎหมาย โดยระบบ บญช%รายช3อท5งหมดจะถ,กเก!บไว+ท%3 Radius Server และขณะเด%ยวกนตว Radius จะตรวจสอบสทธและบนท4กข+อม,ล การเข+าใช+งานในระบบท5งหมดไว+ เชน ล!อกออนเวลาเทาไรและได+หมายเลขไอพ%อะไร รวมถ4งเวลาท%3เข+ามาใช+งาน ท5งหมด เปBนต+น เม3อผานข5นตอนการตรวจสอบสทธrการเข+าใช+งาน ผ,+ใช+บรการก!จะสามารถใช+งานตามปกตท3วไป โดยจะม% Time Server เปBนตวขอเท%ยบเวลาให+กบเคร3องแมขายอ3น ๆ ในองคกร รวมถ4ง Proxy Server จะชวยบนท4ก คาให+วาผ,+ใช+บรการไปใช+งานท%3ไหนและเวลาเทาใดเพ3 อใช+จดเก! บเปBนข+ อม, ลการจราจรคอมพวเตอรตามพรบ. วาด+วยการท.าความผดเก%3ยวกบคอมพวเตอร พ.ศ. ๒๕๕๐
ร,ปท%3 2 แสดงการตดต5งซอฟตแวรท%3ตวอปกรณ Authentication Gateway เพ3อลดจ.านวนเคร3องแมขายลง ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
2
Buy Thai First
จากร,ปท%3 2 จะเห!นได+วาเคร3องแมขายตามร,ปท%3 1 สามารถปรบลดลงให+เหลอเพ%ยงเคร3องแมขายเพ%ยงสองตว เพ3อให+ประหยดงบประมาณในองคกรขนาดกลางถ4งเล!ก คอเคร3องแมขายท%3ท.าหน+าท%3เปBน Authentication Gateway และเคร3องแมขายท%ท3 .าหน+าท%3เปBน Centralized Log Authentication เปBนวธ%การท%3ใช+ในการตรวจสอบผ,+ท%3มาใช+งานระบบเครอขายอนเทอรเน!ต โดยระบบจะ ท.าการตรวจสอบจาก username และ password วาถ,กต+องไหม จดประสงคหลกของการ Authentication คอพส,จน ตวบคคลวาคน ๆ น5นท%3เข+าใช+งานระบบเครอขายอนเทอรเน!ต คอใคร พร+อมท5งท.าการตรวจสอบสทธrวาผ,+ใช+งาน ระบบเครอขายอนเทอรเน!ตของทานน5น ม%สทธrใช+ได+นานเทาไหรและสามารถ upload หรอ download ได+ด+วย ความเร!วเทาไหร ซ43งระบบน5นจะท.าการตดผ,+ใช+ออกไปจากการให+บรการทนท%ทเ%3 วลาหมด อ%กท5งยงสามารถก.าหนด เวลาและความเร! ว ได+ ต ามความเหมาะสมด+ ว ย ตอจากน5 น จะท. า การบนท4 ก ข+ อ ม, ล การใช+ ง านระบบเครอขาย อนเทอรเน!ต ซ43งจดประสงคหลกของขบวนการน%5เพ3อท.ารายงานการใช+ระบบเครอขายอนเทอรเน!ต จะท.าการ ยนยนบนท4กข+อม,ลในการใช+งานระบบเครอขายอนเทอรเน!ตไว+อยางละเอ%ยดโดยสามารถท.ารายงานสรปและสถต ตางๆ ได+ตามความต+องการ จากเหตผลดงกลาวข+ า งต+ น ท. า ให+ ร,+ ว า การ Authentication ก! เ ปB น สวนท%3 ส. า คญและขาดไมได+ ถ+ า เราจะ ใช+งานระบบเครอขายอนเทอรเน!ต เพราะเปBน”เครองพส!จน#วา$ ค&ณคอใคร” หลาย ๆ บรษท พยายามขายอปกรณฮารดแวรและซอฟตแวร โดยช,จดเดนเร3องการตรวจสอบยนยนบคคล โดยวธ%การใช+ “MAC Address และ IP Address” ซ43งเปBนวธ%ท%3ไมถ,กต+องเพราะข+อม,ลท5งสองไมสามารถระบหรอ ยนยนบคคลได+ ขณะเด%ยวกนโปรแกรมท%3ใช+ปลอมแปลง MAC และ IP Address ก!ม%อย,มากมาย ท%3ส.าคญโดยเฉพาะ เคร3องล,กขายท%3ม%การหมนเว%ยนเข+ามาใช+งานภายในองคกร เชน เคร3องคอมพวเตอรในห+องปฏบตการคอมพวเตอร ภายในสถานศ4กษา เปBนต+น ท.าให+ไมสามารถตรวจสอบหาผ,+ใช+บรการท%3แท+จรง ส.าหรบเน5อหาส.าหรบการเร%ยนในเอกสารน%5จะกลาวถ4งวธ%การสร+างเคร3องแมขาย Authentication Gateway ดงร, ป ท%3 2 ให+ ม% ห น+ า ท%3 ด งน%5 Authentication Gateway, Radius Server, NTP Server, Proxy Server, Logging Server และ Dhcp Server คดวานาจะท.าให+องคกรตาง ๆ สามารถสร+างข45นมาเองได+ในราคาท%3เหมาะสมกบงบประมาณของ องคกรน5น ๆ และชวยลดการน.าเข+าอปกรณฮารดแวรและซอฟตแวรราคาแพงจากตางประเทศ อ%กท5งเช3อวาโดย พ5นฐานของคนไทยเปBนคนท%3ม%ความสามารถแตขาดแนวทางในการด.าเนนงาน ผ,+เข%ยนเช3 อเปBนอยางย3 งวา “เอกสารฉบบน23จะช$ว ยให6ส ามารถปฏบตตามข3 นตอนต$า ง ๆ ตามล= า ดบและ สามารถเข6าใจวธ2การสร6าง Authentication Server โดยไม$ยากจนเกนไป” ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
3
Buy Thai First
Software Requirement ซอฟตแวรท%3ต+องการม%ดงตอไปน%5 • Ubuntu 8.04 • Chillispot • FreeRadius • Apache • MySQL • Putty Hardware Requirement ฮารดแวรท%3ต+องการม%ดงตอไปน%5 • เคร3อง PC ส.าหรบท.าเปBน Server ม% 2 interfaces • เคร3อง PC ส.าหรบเปBนตว test
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
4
Buy Thai First
Software Installation Install Ubuntu 8.04 1. ใสแผน Ubuntu 8.04 แล+ว restart จากน5นเข+า Bios ส3งให+ boot จาก CD กอน…
ร,ปท%3 3 แสดงข5นตอนการเลอกภาษาในการตดต5ง 2. เลอก Install แล+ว Enter
ร,ปท%3 4 แสดงการ Install 3. ภาษา ให+เลอก English แล+วกด forward ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
5
Buy Thai First
ร,ปท%3 5 แสดงการเลอกภาษาในข5นตอนการ install 4. โซนเวลา ให+เลอก Bangkok
ร,ปท%3 6 แสดงการต5งโซนเวลา ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
6
Buy Thai First
5. Keyboard layout
เลอก
Thailand, Thailand - TIS-620-2538 จากน5นให+กด forward
ร,ปท%3 7 แสดงข5นตอนการก.าหนดคา Keyboard layout 6. จดการ Partition เพ3อเตร%ยมลง Ubuntu แนะน.าถ+าม%เน5อท%3เหลอจากการท%3คณลง Windows XP มา ให+เลอก Guided งายท%3สด เด%„ยวมนจดการให+
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
7
Buy Thai First
ร,ปท%3 8 แสดงการจดการ Partition แบบ Guided แตถ+าเลอกแบบ Manual มนจะให+เราท.าการจดการพารตช3นเอง ก!ให+เราสร+าง 2 พารตช3นไว+ ม% (1) สร+างเน5อท%3ขนาดไหนก!ได+ ข5นต3.า 5 GB เลอกไฟลระบบเปBน Ext3 จากน5นก.าหนด Mount point เปBน /
ร,ปท%3 9 แสดงการจดการ Partition แบบ Manual
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
8
Buy Thai First
(2) สร+างพารตช3นอ%ก 1 พารตช3น ให+ขนาดเปBน 2 เทาของ RAM ท%3ม% (ถ6าใคร Ram 1 GB ไม$จ=าเปUนต6อง
สร6างกVได6 ให6ข6ามข3นตอนน2ไ3 ปได6) ให+เลอกไฟลระบบเปBน Swap partition จากน5นตรวจด, ความเร%ยบร+อยแล+วกด forward 7. ท.าการสร+าง User และ password ของเราข4น5 มา และห+ามลมโดยเด!ดขาด เม3อท.าการกรอกข+อม,ลเสร!จแล+ว กด forward
ร,ปท%3 10 แสดงการสร+าง User และ Password
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
9
Buy Thai First
ร,ปท%3 11 แสดงรายละเอ%ยดของระบบ 8.
ท.าการตรวจสอบความถ,กต+อง จากน5นกด Install
แสดงสถานะความคบหน+าของการ Installing system
ร,ปท%3 12 แสดงความคบหน+าในการตดต5ง ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
10
Buy Thai First
9. เม3อท.าการตดต5งเสร!จแล+ว ให+ท.าการ restart
ร,ปท%3 13 แสดงการ Restart ระบบ 10. เร3มใช+งาน Ubuntu ได+โดยท.าการปpอน User และ password ท%3เราได+ท.าการก.าหนดไว+ในข5นตอนท%3 7
ร,ปท%3 14 แสดงการกรอก Username ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
11
Buy Thai First
11. จากน5นเร%ยกใช+โปรแกรม Terminal เพ3อใช+ในการก.าหนดคา password ให+กบ root
ร,ปท%3 15 แสดงการเร%ยกใช+โปรแกรม Terminal 12. ท.าการก.าหนด password ให+กบ root account โดยใช+ค.าส3ง sudo passwd root กด Enter จากน5นให+พมพรหสท%3ได+ก.าหนดไว+ในข5นตอนท%3 7 และกด Enter จะปรากฏข+อความ Enter new UNIX password: (ใส password ส.าหรบ root แล+วกด Enter) Retype new UNIX password: (ใส password อ%กคร5ง แล+วกด Enter)
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
12
Buy Thai First
ร,ปท%3 16 แสดงการก.าหนด Password ให+กบ User root เม3อท.าการก.าหนด password ให+กบ root เสร!จแล+ว ตอไปเปBนการทดสอบ โดยให+พมพ ค.าส3ง su แล+วกด Enter แล+วให+ใส password ของ root ท%3เราได+ท.าการก.าหนดไว+ จากน5นกด Enter จะสงเกตเห!นได+วา ล.าดบช3อ เปล%3ยนไปจากเดมเปBน administrator เปBน root ถอวาเปBนอนเสร!จส5น
ร,ปท%3 17 แสดงการทดสอบการก.าหนด Password ให+กบ User root
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
13
Buy Thai First
ตรวจสอบว$าเครองสามารถใช6งานอนเทอร#เนVตได6หรอไม$ 1. ใช+ค.าส3ง ping ในการตรวจสอบวาเคร3องสามารถใช+งานอนเทอรเน!ตได+หรอไมในท%3น%5ได+ท.าการ ping ไป ยงเว!บไซตของ google แตในท%3น%5เคร%3องยงไมสามารถใช+งานอนเทอรเน!ตได+ จะปรากฏข+อความวาไมร,+จก host ของ google ping www.google.co.th
ร,ปท%3 18 แสดงการทดสอบการใช+งานอนเทอรเน!ต 2. วธ%แก+ไขให+เคร3องสามารถใช+งานอนเทอรเน!ตได+ คอ การก.าหนด ip ให+กบเคร3องโดยท.าการแก+ไขไฟล interfaces vi /etc/network/interfaces
พมพค.าส3งแล+วกด Enter จะปรากฏ Editor ให+ท.าการแก+ไข เพ3มเตม
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
14
Buy Thai First
ร,ปท%3 19 แสดงวธ%การแก+ไขไฟล interfaces 3. จากน5นท.าการ restart network /etc/init.d/networking restart
จะปรากฏข+อความวาไมม% file resolv.conf 4. ท.าการสร+างไฟล resolv.conf ข4น5 มาเพ3อก.าหนดคา nameserver โดยใช+ค.าส3งดงตอไปน%5 vi /etc/resolv.conf
ตอจากน5นท.าการเพ3ม nameserver
ร,ปท%3 20 แสดงการก.าหนด NameServer 5. ท.าการ restart network อ%กคร5ง โดยใช+ค.าส3งดงตอไปน%5 /etc/init.d/networking restart
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
15
Buy Thai First
6. ทดสอบการใช+งานอนเทอรเน!ตโดยใช+ค.าส3ง ping ถ+าปรากฏข+อความตามภาพแสดงวาสามารถท.าการ เช3อมตออนเทอรเน!ตได+ส.าเร!จ ping www.google.co.th
ร,ปท%3 21 แสดงการทดสอบการใช+งานอนเทอรเน!ต 7. ท.าการ update package ตาง ๆ ท%3จ.าเปBนของ Ubuntu โดยใช+ค.าส3ง apt-get update
จากน5นระบบจะท.าการ update package อตโนมต
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
16
Buy Thai First
ร,ปท%3 22 แสดงการอพเดต package
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
17
Buy Thai First
Network setup 1. ท.าการ Enable packet forwarding โดยใช+ค.าส3งดงตอไปน%5 vi /etc/sysctl.conf
2. จากน5นท.าการเอาคอมเม+นทหน+าข+อความ net.ipv4.ip_forward=1 ออก เพ3อส3งให+ packet forwarding ของ ipv4 ท.างาน 3. ท.าการรนค.าส3งตอไปน%5 เพ3อให+ม%ผลทนท% เพ3อให+ forward packet ท.าตวเปBนเร+าเตอรได+ echo 1 | tee /proc/sys/net/ipv4/ip_forward
ถ+าผลท%3ได+เปBน 1 ถอวาท.าการ Enable packet forwarding ส.าเร!จ 4. ท.าการ Restart network ด+วยค.าส3งดงตอไปน%5 sysctl -p /etc/init.d/networking restart
Enable TUN/TAP device driver support 1. ท.าการ Enable TUN/TAP device drive support โดยใช+ค.าส3งดงตอไปน%5 เพ3อแก+ไขไฟล modules vi /etc/modules
2. จากน5นท.าการเพ3ม tun ตอท+ายข+อความเดม 3. จากน5นท.าการ Enable โดยไมต+องท.าการ Reboot ด+วยค.าส3งดงตอไปน%5 modprobe tun
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
18
Buy Thai First
Install OPENSSH ประโยชนของ OpenSSH เพ3อจะใช+ remote เข+าไปท.างานบนเคร3อง Server แทนการน3งหน+าเคร3อง และ สามารถท%3ท.าการคดลอก และวางค.าส3งได+งายข45นกวาเดม โดยเราจะต+องใช+ค,กบโปรแกรม putty เราสามารถท.าได+ โดยตดต5ง OpenSSH วธ%การตดต5งม%ดงน%5 1. ท.าการ ตดต5ง OpenSSH server โดยค.าส3งดงตอไปน%5 apt-get install ssh openssh-server
หากม%ค.าถามให+ตอบ Y แล+วกด Enter
ร,ปท%3 23 แสดงการตดต5ง OpenSSH หากสามารถท.าการตดต5ง OpenSSH server ส.าเร!จ จะปรากฏข+อความตามภาพ 2. เม3อท.าการตดต5ง OpenSSH server เสร!จแล+ว ก!ท.าการเปŒด sshd service โดยใช+ค.าส3งดงตอไปน%5 /etc/init.d/ssh restart
ถ+าสามารถเปŒด service ได+ จะปรากฏข+อความตามภาพ
ร,ปท%3 24 แสดงการ start service ssh ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
19
Buy Thai First
จากน5นให+ใช+ตดต5งโปรแกรม putty และเปŒดท.าการ remote ใช+เคร3อง server ซ43งตอไปน%5เราจะใช+โปรแกรม putty แทน เพราะงายตอการคดลอกค.าส3งตาง ๆ
ร,ปท%3 25 แสดงการ remote ด+วยโปรแกรม putty จากน5นให+ท.าการ Login ด+วย user และ password แทนการใช+งานผานโปรแกรม Terminal
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
20
Buy Thai First
ร,ปท%3 26 แสดงการ Login เข+าใช+งาน
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
21
Buy Thai First
Install Chillispot Chillispot เปBนซอฟตแวร Opensource เปBนโปรแกรมท%3ท.าหน+าท%3เปBนตวจดการการใช+งานระบบเครอขาย อนเทอรเน!ตของเคร3อง Client และ Chillispot จะท.าหน+าท%3เปBน dhcp server เอง ดงน5นจะต+องท.าการเช!คให+แนใจเส%ย กอนวาในเคร3องไมม% dhcp server อย, ถ+าม%ก!ให+ท.าการหยดเส%ยกอน ข5นตอนการตดต5ง Chillispot จาก 1. ท.าการตดต5ง chillispot โดยใช+ค.าส3งดงตอไปน%5 apt-get install chillispot
จากน5นให+เตมรายละเอ%ยดดงตอไปน%5 IP address of radius server 1: 127.0.0.1 Radius shared secret: radiussecert Ethernet interface for DHCP to listen: eth1 URL of UAM Server: https://192.168.182.1/cgi-bin/hotspotlogin.cgi
URL of UAM homepage: https://192.168.182.1/welcome.html
Shared password between chillispot and webserver:uamsecret 2. ตอไปท.าการ Enable captive portal ในไฟล chillispot โดยใช+ค.าส3งดงตอไปน%5 vi /etc/default/chillispot
จากน5นท.าการก.าหนดคาให+ ENABLED=1 3. ท.าการคอนฟŒกไฟล chilli.conf โดยใช+ค.าส3ง ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
22
Buy Thai First
vi /etc/chilli.conf
จากน5นท.าการแก+ไขไฟลดงกลาว ด+วยรายละเอ%ยดข+างลาง net 192.168.182.0/24 dns1 192.168.100.254 dns2 192.168.100.254 radiusserver1 127.0.0.1 radiusserver2 127.0.0.1 radiussecert radiussecret dhcpif eth1 uamserver https://192.168.182.1/cgi-bin/hotspotlogin.cgi uamhomepage https://192.168.182.1/welcome.html uamsecret uamsecret uamlisten 192.168.182.1 uamallowed www.google.co.th,192.168.182.0/24 ร,ปท%3 27 แสดงการก.าหนดคาคอนฟŒกไฟลของ chillispot
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
23
Buy Thai First
Install Firewall ตอจากน%เ5 ราจะมาท.าการก.าหนดกฎไฟรวอลลให+กบ Chillispot โดยใช+ค.าส3งดงตอไปน%5 1. ท. า การก. า หนดกฎไฟร วอลล โดยท. า การสร+ า งไฟล chilli.iptables โดยท. า การคดลอกมาจากไฟล firewall.iptables โดยใช+ค.าส3งดงตอไปน%5 cp /usr/share/doc/chillispot/firewall.iptables /etc/init.d/chilli.iptables
2. เม3 อ ท. า การสร+ า งไฟล chilli.iptables เร%ย บร+ อ ยแล+ว จากน5 น ท. า การก. า หนดให+ chilli.iptables สามารถ Execute ได+ โดยใช+ค.าส3งดงตอไปน%5 chmod a+x /etc/init.d/chilli.iptables
3. จากน5นท.าการก.าหนดให+ กฎของ Firewall ให+ท.าการ start ทกคร5งเม3อม%การเปŒดเคร3อง โดยใช+ค.าส3งดงตอ ไปน%5 ln –s /etc/init.d/chilli.iptables /etc/rcS.d/S41chilli.iptables
4. โดยคาด% ฟ อลต ไฟล วอลล จะท. า การก. า หนดคาให+ etho=internet,eth1=LAN แตถ+ า คณต+ อ งการ เปล%3ยนแปลงคาดงกลาว คณสามารถท.าได+โดยการเปล%3ยนแปลงคาดงกลาวในไฟล chilli.iptables 5. ในข5นตอนตอมาให+ท.าการ Enable firewall script โดยใช+ค.าส3งดงตอไปน%5 /etc/init.d/chilli.iptables
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
24
Buy Thai First
6. หากต+องการให+เคร3องล,กสามารถทดสอบการเช3อมตอโดยใช+โปรโตคอล icmp หรอค.าส3ง ping ให+เพ3ม กฎของ iptables ดงน%5 #Allow ping to myserver SERVER_IP=”192.168.182.1” iptables -A INPUT -p icmp –icmp-type 8 -s 0/0 -d $SERVER_IP -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p icmp –icmp-type 0 -s $SERVER_IP -d 0/0 -m state –state ESTABLISHED,RELATED -j ACCEPT
หมายเหต& หากต+องการสร+างแพ!คเกจเองเราสามารถใช+ ของ Coova-Chilli ได+ดงน%5 ดาวนโหลดซอรสโค!ดจาก Coova-Chilli # wget http://ap.coova.org/chilli/coova-chilli-1.0.12.tar.gz
แตกไฟลออก # tar xzvf coova-chilli-1.0.12.tar.gz
ตดต5งไฟลท%3จ.าเปBนต+องใช+คอมไพลแพ!คเกจดงน%5 # apt-get install debhelper cmake libdaemon-dev libconfuse-dev fakeroot # cd coova-chilli # dpkg-buildpackage -rfakeroot # cd ..
หลงจากน5นจะได+แพ!คเกจท%3พร+อมส.าหรบท.าการตดต5ง coova-chilli_1.0.12-1_i386.deb # dpkg -i coova-chilli_1.0.12-1_i386.deb
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
25
Buy Thai First
Install Apache 1. การตดต5ง Apache Web Server โดยใช+ค.าส3ง apt-get install apache2 ถ+าม%ค.าถามให+ตอบ y แล+วกด Enter apt-get install apache2
ร,ปท%3 28 แสดงการตดต5ง Apache ระบบจะแสดงความคบหน+าของการตดต5ง ตามภาพ
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
26
Buy Thai First
ร,ปท%3 29 แสดงความคบหน+าการตดต5ง Apache 2. หลงจากตดต5งเสร!จแล+ว ต+องท.าการ config เล!กน+อย ไฟล configuration files ท5งหมดอย,ท%3 /etc/apache2/ apache2.conf ส3งท%3ต+องแก+ไขม%ดงน%5 ไฟล# apache2.conf ให+แก+ไขสวนท%3เปBน • ServerName (โดยในท%3น%5ก.าหนด ServerName 192.168.182.1) • MaxKeepAliveRequests
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
27
Buy Thai First
ไฟล# sites-available/default เลอกแก+ไขท%3จ.าเปBน เชน • ServerAdmin (ใส email address ของ webmaster) • Document Root (ปกตจะเปBน /var/www แตถ+าต+องการเปล%3ยนเปBนท%3อ3น ก!แก+ไขได+) 3. หลงจากท.าการตดต5งเสร!จแล+ว ให+ท.าการ start apache โดยใช+ค.าส3ง /etc/init.d/apache2 start
4. ตรวจสอบวา Apache ท.างานหรอไม โดยใช+ค.าส3ง netstat –lnt ซ43งถ+า apache สามารถท.างานได+ จะแสดง พอรต 80 สถานะเปBน LISTEN netstat -lnt
ร,ปท%3 30 แสดงการตรวจสอบ Apache
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
28
Buy Thai First
Install MySQL Database Server 1. ท.าการตดต5ง MySQL Database ด+วยค.าส3งดงตอไปน%5 ถ+าม%ค.าถามให+ตอบ y แล+วกด Enter apt-get install 1. mysql-server
ร,ปท%3 31 แสดงการตดต5ง MySQL Database Server 2. เม3อท.าการตดต5งเสร!จ ระบบจะให+เราก.าหนด password ของ root ท.าการก.าหนด password ให+กบ root หลงจากน5นกด OK ท.าการยนยนรหสอ%กคร5ง จากน5นกด OK ระบบจะท.าการตดต5งตอ วธ%การเปล%3ยนคารหสผาน ของ mysql ท.าได+โดยพมพ mysqladmin password NEW-PASSWORD 3. ทดสอบวา MySQL สามารถใช+งานได+หรอไม โดยใช+ค.าส3งดงตอไปน%5 mysql –u root –p
จากน5นกด Enter แล+วใสรหสผานของ root ถ+าปรากฏข+อความตามภาพถอวาเปBนอนส.าเร!จ
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
29
Buy Thai First
ร,ปท%3 32 แสดงการทดสอบการเข+าใช+งาน mysql
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
30
Buy Thai First
Install PHP 1. การตดต5ง PHP โดยใช+ค.าส3งดงตอไปน%5 apt-get install php5
ถ+าม%ค.าถามให+ตอบ y แล+วกด Enter
ร,ปท%3 33 แสดงการตดต5ง PHP 2. เม3อท.าการตดต5ง PHP ส.าเร!จให+ท.าการ restart apache ด+วยค.าส3ง /etc/init.d/apache2 restart
3. เม3อท.าการ restart apache แล+วให+ท.าการทดสอบวา php ท.างานหรอไม ให+ท.าการสร+างไฟล php ข45นมา ทดสอบการท.างานโดยใช+ช3อไฟลวา test.php โดยใช+ค.าส3งดงน%5 และพมพข+อความตอไปน%5 vi /var/www/test.php
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
31
Buy Thai First
ร,ปท%3 34 แสดงการสร+างไฟล test.php จากน5นใช+ browser เปŒด http://192.168.100.79/test.php ถ+าปรากฏรายละเอ%ยดตาง ๆ ของ php ถอวาการ ตดต5งส.าเร!จ
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
32
Buy Thai First
Install PhpMyAdmin PhpMyAdmin เปBนสวนตอประสานท%3สร+างโดยภาษาพ%เอชพ% ซ43งใช+จดการฐานข+อม,ล MySQL ผานเว!บเบ ราวเซอร โดยสามารถท%3จะท.าการสร+างฐานข+อม,ลใหม หรอท.าการสร+าง TABLE ใหมๆ และยงม% function ท%3ใช+ ส.าหรบการทดสอบการ query ข+อม,ลด+วยภาษา SQL พร+อมกนน5น ยงสามารถท.าการ insert delete update หรอแม+ กระท3งใช+ ค.าส3งตางๆ เหมอนกบกนการใช+ภาษา SQL ในการจดการตารางข+อม,ล เร3มตดต5งตามข5นตอนดงตอไปน%5 ได+เลย 1. ท.าการตดต5ง PhpMyAdmin โดยใช+ค.าส3ง ดงตอไปน%5 apt-get install phpmyadmin
ถ+าม%ค.าถามตอบ Y แล+วกด Enter
ร,ปท%3 35 แสดงการตดต5ง PhpMyAdmin 2. ท.าการก.าหนดคา PhpMyAdmin ให+ตดตอกบ web server apache2 จากน5นกด OK ระบบ จะท.าการตดต5งตอ ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
33
Buy Thai First
3. ทดสอบการท.างานของ PhpMyAdmin โดยการใช+ browser เปŒด http://192.168.100.79/phpmyadmin ถ+าปรากฏข+อความตามภาพถอวาการตดต5งส.าเร!จ
ร,ปท%3 36 แสดงการทดสอบการใช+งาน PhpMyAdmin
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
34
Buy Thai First
Install Radius Server RADIUS (Remote Authentication Dial in User Services) เปB น อ% ก บรการหน43 ง ท%3 ท. า ให+ เ คร3 อ ง Server สามารถท%3จะตรวจสอบสทธrการใช+งาน Internet คล+ายๆ กบศ,นยให+บรการ Internet ตางๆ ท%3จะม% Radius Server ไว+ เพ3อตรวจสอบสทธrการใช+งาน ซ43งเราสามารถท%3จะสร+าง User Account ข45นมาเองได+ และสามารถท%3จะจ.ากดจ.านวน ช3วโมงการใช+งานของ Users ข5นตอนการตดต5ง Radius Server และ Database ม%ดงตอไปน%5 1. ท.าการ Install radius server ด+วยค.าส3งตอไปน%5 ถ+าม%ค.าถามให+ตอบ Y apt-get install freeradius freeradius-mysql
2. ท.าการ start freeradius โดยใช+ค.าส3งดงตอไปน%5 /etc/init.d/freeradius start
ร,ปท%3 37 แสดงการ start freeradius 3. ท.าการสร+าง Database ช3อวา radius เพ3อใช+ในการเก!บบญช%รายผ,+ใช+งาน ด+วยค.าส3งตอไปน%5 หรอจะใช+ phpmyadmin เปBนเคร3องมอในการชวยสร+างก!ได+ mysql –u root –p (เพอใชงาน mysql) จากนนใสรหสทเรากาหนดไวในขนตอนการ ลง mysql ตอจากนนทาการสราง Database ดวยคาสงดงตอไปน CREATE DATABASE radius;
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
35
Buy Thai First
ร,ปท%3 38 แสดงการสร+าง Database radius เม3อท.าการสร+างฐานข+อม,ลเร%ยบร+อยแล+วให+ใช+ค.าส3ง quit เพ3อออกจากการใช+งาน mysql 4. จากน5นท.าการสร+างตารางให+กบฐานข+อม,ล Radius โดยใช+เทมเพลตของโปรแกรม FreeRadius zcat /usr/share/doc/freeradius/examples/mysql.sql.gz | mysql -u root -p radius
5. ท.าการสร+าง user ท%3ม%สทธrใน Database radius โดยใช+ค.าส3งตอไปน%5 ในท%3น%5ก.าหนด user เทากบ radius และ password เทากบ mysqlsecret mysql –u root –p (เพอใชงาน mysql) จากนนใสรหสทเรากาหนดไวในขนตอนการ ลง mysql จากนนพ$มพ&คาสงดงตอไปน mysql>GRANT ALL PRIVILEGES ON radius.* TO ‘radius’@’localhost’ IDENTIFIED BY ‘mysqlsecret’; (กด Enter) mysql>FLUSH PRIVILEGES; mysql>quit;
6. ก.าหนดคาไฟลคอนฟŒกของ FreeRadius ให+เช3อมตอกบฐานข+อม,ล โดยใช+ค.าส3งดงตอไปน%5 vi /etc/freeradius/sql.conf
แล+วท.าการก.าหนด ช3อ login และ password ตามภาพ ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
36
Buy Thai First
ร,ปท%3 39 แสดงการก.าหนด username และ password ในการเข+าใช+ฐานข+อม,ล 7. ท.าการก.าหนด password ให+กบเคร3อง Client ท%3จะเข+าใช+งาน FreeRadius โดยใช+ค.าส3งดงตอไปน%5 vi /etc/freeradius/clients.conf
จากน5นท.าการก.าหนดให+ Client 127.0.0.1 ม%คา secret=radiussecret client 127.0.0.1{ secret = radiussecert } 8. ท.าการ Test default file setup โดยท.าการแก+ไขไฟล users โดยใช+ค.าส3ง vi /etc/freeradius/users
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
37
Buy Thai First
จากน5นค+นหา “John Doe” เม3อพบแล+วให+เอาคอมเมนทหน+าช3อออกจากน5นแก+ไขข+อความให+เหมอนภาพ ด+านลาง เม3อท.าการแก+ไขเสร!จให+ท.าการ stop service
ร,ปท%3 40 แสดงการก.าหนดคาให+กบ user “John Doe” หมายเหต& กรณ%ตดต5งซอฟตแวร freeradius > 2.0.4 ให+เปล%3ยนคาของไฟล users ข5นการทดสอบและด%บกให+ ใช+ดงน%5 freeradius -XXX DEFAULT "john woo"
Service-Type == Framed-User Service-Type = Framed-User, Fall-Through = Yes Cleartext-Password := "testing" Service-Type = Framed-User,
9. จากน5นเปŒดท.าการ stop freeradius /etc/init.d/freeradius stop (Enter) และตามดวยคาสงเพอทาการดบก freeradius -XXX -A
10. จากน5นให+เปŒด โปรแกรม putty เพ3มข45นมาอ%ก 1 ตว เพ3อท%3ท.าหน+าท%3เสมอนเปBนเคร3อง Client โดยเปŒด โปรแกรม putty ในข+อ 9 ท5งไว+ เสมอนเปBนเคร3อง Server จากน5นใช+ putty ท%3เปŒดข4น5 มาใหมท.าการ Test โดยใช+ค.าส3ง ดงตอไปน%5 radtest “John Doe” hello 127.0.0.1 0 radiussecert
ถ+าทกอยางเร%ยบร+อย ในเคร3อง Client จะปรากฏข+อความตามภาพ ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
38
Buy Thai First
ร,ปท%3 41 แสดงการตรวจสอบการท.างานของ FreeRadius Change authorization to sql เปBนการเปล%3ยนกระบวนการตรวจสอบคณสมบตของผ,+ใช+งาน(Authorization) ของ Client radius จากเดม เปBนไฟลให+เปล%3ยนไปเปBน SQLServer แทน โดยม%ขน5 ตอนดงตอไปน%ค5 อ 1. ท.าการเปล%3ยน authorization จาก file ไปเปBน sql โดยใช+ค.าส3งดงตอไปน%5 vi /etc/freeradius/radiusd.conf
จากน5น ให+หาบล! อก authorize{ ..} ซ43ง เม3 อ radius server ได+ รบการตดตอจากผ,+ใ ช+ (radius client) วธ% การ ตรวจสอบคณสมบตของผ,+ใช+จะอย,ในสวนของ authorize{…} และท.าการเอาคอมเม+นหน+า sql ออก และท.าการ คอมเม+นทหน+า files แทน ซ43งเปBนการก.าหนดวธ%ตรวจสอบคณสมบตของผ,+ใช+จากเดมเปBน files เปล%3ยนไปเปBน sql ตามภาพ
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
39
Buy Thai First
ร,ปท%3 42 การเปล%3ยน authorization จาก file ไปเปBน sql SQL Logging SQL logging ท.าหน+าท%3ในการเก!บคาการใช+งานตาง ๆ ของ Client radius ดงน5นต+องท.าการคอนฟŒกคาตาง ๆ ให+ท.างานสอดคล+องกบ FreeRadius Server โดยม%ขน5 ตอนดงตอไปน%5 1. เปBนการก.าหนดการเก!บคาการใช+งานของผ,+ใช+งานในระบบ โดยใช+ค.าส3งดงตอไปน%5 เพ3อท.าการแก+ไข ไฟล sql.conf vi /etc/freeradius/sql.conf
จากน5นตรวจสอบวา readclient=yes หรอยง ถ+ายงให+ท.าก.าหนดให+ readclient=yes เพ3อท%3จะท.าให+ radius client อานคาจาก database 2. ตอจากน5นท.าการคอนฟŒกไฟล radiusd.conf โดยใช+ค.าส3งดงตอไปน%5 vi /etc/freeradius/radiusd.conf
ตอจากน5น ยกเลกการ Comment #sql ออก เพ3อเร%ยกใช+ข+อม,ลจาก database ในการตรวจสอบ UserName ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
40
Buy Thai First
password ในการท.า accounting accounting { … sql … } ตอจากน5นยกเลกการ Comment #sql ออก เพ3อเร%ยกใช+ข+อม,ลจาก database ในการตรวจสอบ UserName password ในการท.า session session { … sql … } หมายเหต& ถ+าเปBน freeradius-2.0.4 ของ Debian lenny ให+แก+ไฟล /etc/freeradius/radiusd.conf และไฟล /etc/freeradius/site-avaliable/default modules { .... $INCLUDE sql.conf .... } authorize { ... # files sql ... ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
41
Buy Thai First
} accounting { ... sql ... } session { ... sql } 3. ท.าการเพ3ม user เพ3อทดสอบการท.างาน โดยพมพค.าส3งดงตอไปน%5 ให+อย,ในบรรทดเด%ยวกน เพ3อท.าการ เพ3ม user mysqltest และม%รหสผานเปBน testsecret ในตาราง radcheck echo “INSERT INTO radcheck (UserName,Attribute,op,Value) VALUES (‘mysqltest’,’User-Password’,'==',’testsecret’);” | mysql –u radius –p radius
4. ท.าการ start radius โดยใช+ค.าส3งดงตอไปน%5 /etc/init.d/freeradius start
จากน5นท.าการทดสอบโดยพมพค.าส3งดงตอไปน%5 radtest mysqltest testsecret 127.0.0.1 0 radiussecret
ถ+าทกอยางเร%ยบร+อยจะแสดงข+อความการ Access ส.าเร!จ
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
42
Buy Thai First
ร,ปท%3 43 แสดงการทดสอบใช+งาน User จากฐานข+อม,ล Create login page การสร+างหน+าจอส.าหรบใช+ในการ login เข+าใช+งานในระบบเครอขายอนเทอรเน!ต 1. ท.าการสร+างไดเรกเทอร%3 /var/www/cgi-bin mkdir –p /var/www/cgi-bin
2. ท.าการสร+างไฟล hotspotlogin.cgi ไปวางในไดเรกเทอร%3ท3ได+ท.าการสร+างไว+ในข+อท%3 1. zcat –c /usr/share/doc/chillispot/hotspotlogin.cgi.gz | tee /var/www/cgibin/hotspotlogin.cgi
3. ตอจากน5นท.าการ chmod ให+ไฟล hotspotlogin.cgi สามารถ execute ได+ chmod a+x /var/www/hotspot/cgi-bin/hotspotlogin.cgi
4. ตอไปท.าการแก+ไขไฟล hotspotlogin.cgi vi /var/www/cgi-bin/hotspotlogin.cgi
จากน5นท.าการเอาคอมเม+นทหน+า $uamsecret และ $userpassword ออก และท.าการแก+ไข password ของ $ uamsecret ให+มค% าเทากบ uamsecret $uamsecret=”uamsecret”; $userpassword=1:
เม3อแก+ไขเสร!จแล+วให+ท.าการ start chillispot ด+วยค.าส3ง ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
43
Buy Thai First
/etc/init.d/chillispot start
5. ตอจากน5นท.าการสร+างไฟล welcome.html vi /var/www/welcome.html
ท.าการเพ3มข+อม,ลเหลาน%ล5 งไปในไฟล welcome.html
Welcome to Our Hotspot, Wireless Network TESTING ONLY
Welcome to Our Hotspot, Wireless Network.
You are connected to an authentication and restricted network access point.
Enjoy.
ร,ปท%3 44 แสดงตวอยางไฟล welcome.html ถ+าต+องการร,ป chillispot.png ให+ท.าการดาวนโหลดโดยใช+ค.าส3ง wget http://mamboeasy.psu.ac.th/~wiboon.w/images/stories/chillispot/chillispot.png cp chillispot.png /var/www
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
44
Buy Thai First
Setup SSL กอนท.าการตดต5ง SSL ต+องแนใจวาได+ท.าการตดต5ง LAMP เปBนท%3เร%ยบร+อยแล+ว ถ+าไมแนใจก!ให+ใช+ค.าส3งใน การตรวจสอบ น3น ก!คอค.าส3 ง tasksel แล+วตรวจสอบวาคณยงไมได+ตดต5 งโปรแกรมตวใด ก! ให+ท.า การตดต5 ง ให+ เร%ยบร+อย การตดต5ง SSL ม%ขน5 ตอนดงตอไปน%5 1. ท.าการตดต5ง SSL โดยใช+ค.าส3งดงตอไปน%5 ถ+าม%ค.าถามตอบ Y แล+วกด Enter apt-get install ssl-cert
ถ+าม%ค.าถามให+ตอบ y แล+วกด Enter
ร,ปท%3 45 แสดงการตดต5ง SSL 2. เม3อท.าการตดต5งเสร!จ ในข5นตอนตอไปให+สร+างไดเรกเทอร%3 ssl ข45นมาเพ3อเก!บ Certificate ท%3ถ,กสร+างข4น5 โดยใช+ค.าส3งดงตอไปน%5 mkdir /etc/apache2/ssl จากนนใชคาสง ls เพอด*วาม ไดเรกเทอร ssl หรอยง
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
45
Buy Thai First
ร,ปท%3 46 แสดงการสร+างไดเรกเทอร%3 ssl 3. ท.าการสร+าง self-signed certificates ด+วยค.าส3งดงตอไปน%5 make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem
คณจะถ,กถามด+วยค.าถามดงตอไปน%5 Country Name ปpอน TH State or Province Name สามารถท%3จะเว+นวางได+ Locality Name สามารถท%3จะเว+นวางได+ Organization Name ช3อบรษท Host ปpอน ip address หรอ domain address ของคณก!ได+ Email ปpอน Email 4. ท.าการ install module ssl ด+วยค.าส3งดงตอไปน%5 a2enmod ssl
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
46
Buy Thai First
แล+วท.าการ reload apache ด+วยค.าส3งดงตอไปน%5 /etc/init.d/apache2 force-reload
5. ตอไปท.าการสร+าง Virtual Host ช3อ hotspot ข45นมาด+วยค.าส3งดงตอไปน%5 vi /etc/apache2/sites-available/hotspot
จากน5นให+ท.าการพมพข+อความตอไปน%5ลงไป NameVirtualHost 192.168.182.1:443
ServerAdmin [email protected] DocumentRoot "/var/www" ServerName "192.168.182.1" Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all ScriptAlias /cgi-bin/ /var/www/cgi-bin/ AllowOverride None Options ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all ErrorLog /var/log/apache2/hotspot-error.log LogLevel warn ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
47
Buy Thai First
CustomLog /var/log/apache2/hotspot-access.log combined ServerSignature On SSLEngine on SSLCertificateFile /etc/apache2/ssl/apache.pem ร,ปท%3 47 แสดงตวอยางคอนฟŒกไฟลของ hotspot 6. ตอจากน5นท.าการ Enable SSL virtualhost ด+วยค.าส3งดงตอไปน%5 a2ensite hotspot
ตอจากน5นท.าการ reload apache ด+วยค.าส3งดงตอไปน%5 /etc/init.d/apache2 reload
7. การ Listen Port โดยคา default ของ https จะท.างานท%3พอรต 443 แก+ไขคอนฟŒกได+ท%3ไฟล ports.conf ด+วยค.าส3งดงตอไปน%5 vi /etc/apache2/ports.conf
ท.าการแก+ไข ให+เหมอนภาพด+านลาง
ร,ปท%3 48 แสดงการ Listen ports 443 8. เปล%3ยนแปลงคาให+ม%การ Listen พอรตท%3เปBน default http port(80) ด+วยค.าส3งดงตอไปน%5 ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
48
Buy Thai First
vi /etc/apache2/sites-available/default
โดยสวนบนของไฟลจะเปBนดงน%5 : NameVirtualHost *
… … ท.าการเปล%3ยนแปลงคาให+ม%การ Listen พอรตท%3เปBน default http port(80) โดยการเพ3ม :80 ตอท+าย * NameVirtualHost *:80
… … 9. ท.าการก.าหนด Server Root โดยการคอนฟŒกท%3ไฟล apache2.conf vi /etc/apache2/apache2.conf
ท.าการก.าหนดคาให+กบ ServerName (ในกรณ%ท%3ยงไมได+ท.าการก.าหนด) ServerName 192.168.182.1
10. ท.าการแก+ไข host file ด+วยค.าส3งดงตอไปน%5 vi /etc/hosts
แก+ไขช3อ host ได+ตามความต+องการ ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
49
Buy Thai First
ร,ปท%3 49 แสดงการแก+ไขช3อ host 11. ท.าการ restart apache ด+วยค.าส3ง /etc/init.d/apache2 restart
12. ทดสอบโดยใช+ browser เปŒด https://192.168.182.1 ถ+าสามารถด, Certificate ท%3เราได+สร+างไว+ได+ ถอวาเปBนอนส.าเร!จ ตามร,ปข+างลางน%5
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
50
Buy Thai First
ร,ปท%3 50 แสดง Certificate
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
51
Buy Thai First
Add User วธ%การเพ3มรายช3อผ,+ใช+ในงานในระบบ น5น สามารถท.าได+หลายวธ% แตในท%3น%5จะเสนอวธ%ใช+ phpmyadmin และการ import text file ในการสร+างรายช3อผ,+ใช+งาน 1. ใช+ Browser เร%ยกใช+งาน PhpMyAdmin จากน5นท.าการ login เข+าใช+งานจากน5นเลอกใช+งาน ฐานข+อม,ล Radius
ร,ปท%3 51 แสดงการเร%ยกใช+งาน PhpMyAdmin 2. เม3อท.าการเลอกฐานข+อม,ลเปBนท%3เร%ยบร+อยแล+วจะปรากฏรายช3อตารางตาง ๆ ท%3อย,ในฐานข+อม,ล Radius
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
52
Buy Thai First
ร,ปท%3 52 แสดงรายช3อตารางในฐานข+อม,ล radius ซ43งในท%3น%5ตารางท%3เราจะใช+ม%อย, 2 ตารางคอ ตาราง radcheck ซ43งตารางน%5ม%ไว+เพ3อก.าหนดเง3อนไขตรวจสอบ การเข+าใช+งานระบบเครอขายอนเทอรเน!ตของผ,+ใช+งานในแตละราย ตารางน%5จะถ,กเร%ยกใช+งานก!ตอเม3อผ,+ใช+งาน ท.าการ Login เข+าใช+งานระบบเครอขายอนเทอรเน!ต สวนตารางท%3 2 คอ ตาราง radreply ตารางน%5ม%ไว+เพ3อก.าหนด เง3อนของผ,+ใช+งานในแตละรายในการท%3ผ,+ใช+งานจะถ,กตดออกจากการใช+งานระบบเครอขายอนเทอรเน!ต โครงสร+างของตาราง radcheck
ร,ปท%3 53 แสดงโครงสร+างตาราง radcheck
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
53
Buy Thai First
โครงสร+างของตาราง radreply
ร,ปท%3 54 แสดงโครงสร+างตาราง radreply เม3อสงเกตจะพบวา 2 ตารางน%5ม%โครงสร+างตารางเหมอนกน แตท%3จะแตกตางกนน5นอย,ท%3คาท%3จะใสลงไป 3. เพ3มรายช3อผ,+ใช+งานโดยเร3มจากตาราง radcheck กอน ท.าการเลอกตาราง radcheck
ร,ปท%3 55 แสดงเพ3มรายช3อผ,ใ+ ช+งานในตาราง radcheck ตอจากน5นเลอกเมน,แทรกเพ3อท.าการเพ3มรายช3อผ,+ใช+งาน จากน5นท.าการเพ3มรายช3อผ,+ใช+งานตามตารางท%3 1
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
54
Buy Thai First
ตารางท2 1 radcheck ตวอย$างการสร6างฐานข6อม!ลส=าหรบก=าหนดบญช2รายชอผ!6ใช6ภายในองค#กร Radcheck Table UserName
Attribute
op
Value
Somsak Jaidee
User-Password
==
dHIIC2c
Somchai Rakkarndee
User-Password
==
e45DiZ83
ทดสอบช3อและรหสผานท%3สร+างไว+ดงน%5 radtest “Somsak jaidee” dHIIC2c localhost 0 radiussecret
ร,ปท%3 56 แสดงผลการทดสอบเพ3มรายช3อผ,ใ+ ช+งาน ตวอย$างข6อม!ลในตาราง Radreply
ร,ปท%3 57 แสดงข+อม,ลในตาราง Radreply
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
55
Buy Thai First
จากตารางตวอยาง Radreply เปB น การก. า หนดคาให+ ก บตาราง Radreply เพ3 อ ให+ Somchai Rakkarndee สามารถใช+งานได+คร5งละ 10800 วนาท% (3 ช3วโมง) และหากไมใช+งานอนเทอรเน!ต 1200 วนาท% (20 นาท%) จะท.าการ ตดออกจากระบบโดยอตโนมต ในท.านองเด%ยวกนหากเราต+องการก.าหนดให+การใช+งานเปBนแบบใช+งานเพ%ยงคร5งเด%ยว 3 ช3วโมงก!ให+เปล%3ยนคา Attribute จากตาราง radreply จาก Session-Timeout เปBน Max-All-Session แทน วธ2การสร6างรายชอผ!6ใช6งานด6วยการ import text file 1. สร+าง Text file เพ3อสร+างรายช3อผ,+ใช+งานในตาราง radcheck และตาราง radreply เม3อสร+างข+อม,ลรายช3อผ,+ ใช+งานท%3เราต+องการใน Text file เปBนท%3เร%ยบร+อยแล+วให+ท.าการบนท4กข+อม,ลเปBนช3อ radcheck.sql หรอจะบนท4กเปBน ช3อใหมก!ได+แตนามสกลต+องเปBน *.sql ตวอยางการเพ3มรายช3อผ,+ใช+งานในตาราง radcheck INSERT INTO radcheck VALUES ('', 'Somsak Jaidee', 'User-Password', '==', 'dHIIC2c'), ('', 'Somchai Rakkarndee', 'User-Password', '==', 'e45DiZ83'); ตวอยางการเพ3มรายช3อผ,+ใช+งานในตาราง radreply INSERT INTO radreply VALUES ('', 'Somsak Jaidee', 'Session-Timeout', ':=', 10800), ('', 'Somsak Jaidee', 'Idle-Timeout', ':=', 1200); 2. เม3อสร+าง Text file แล+ว ให+เปŒด PhpMyAdmin เลอกเมน, import เพ3อท.าการ import text file จากน5นกด ป¡ม Browse เพ3อเลอก text file ท%3เราได+สร+างไว+จากน5นกดป¡ม Go เพ3อท.าการ import text file
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
56
Buy Thai First
ร,ปท%3 58 แสดงการ import text file 3. จากน5นท.าการตรวจสอบการเพ3มรายช3อผ,+ใช+งานด+วยโปรแกรม PhpMyAdmin โดยเลอกตาราง radcheck แล+วเลอกเมน, Browse จะแสดงรายช3อผ,ใ+ ช+งานท%3เราได+ท.าการเพ3มไว+ด+วย text file
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
57
Buy Thai First
ร,ปท%3 59 แสดงรายช3อผ,+ใช+งานจาก text file หลงจากท.าการเพ3มรายช3อผ,+ใช+งานเสร!จแล+วให+ท.าการทดสอบโดยใช+ browser เปpด https://192.168.182.1/welcome.html จะ ปรากฏภาพของ Chillispot และม%ลงคให+ท.าการ login
ร,ปท%3 60 แสดงหน+าจอ welcome.html
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
58
Buy Thai First
ร,ปท%3 61 แสดงหน+าจอส.าหรบท.าการ Login เข+าใช+งานในระบบ
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
59
Buy Thai First
Logging กลไกส.าคญอ%กสวนหน43ง ตามพรบ.วาด+วยการการกระท.าผดเก%3ยวกบคอมพวเตอร พ.ศ. ๒๕๕๐ ก!คอการจด เก!บข+อม,ลการจราจรคอมพวเตอรน3นเอง ส3งท%3เคร3องแมขาย Authentication สามารถท.าได+ก!คอการเลอกเฉพาะสวน ส.าคญของกฏหมายแล+วท.าการสงตอไปยงอปกรณ centralized log เหตผลท%3เราต+องม%การคดเลอกเฉพาะสวนท%3 จ.าเปBนก!คอ เพ3อไมให+ปรมาณแพ!คเกจของข+อม,ลการจราจรท.าให+การใช+งานระบบเครอขายคอมพวเตอรช+าลง หรอ เปลองแบนวดชของระบบน3นเอง ส.าหรบเซอรวสท%3ส.าคญท%3จะต+องสงตอข+อม,ลการจราจรคอมพวเตอร ได+แก squid และ radius ขณะเด%ยวกน เราก!จะใช+หลกการของ IPTABLES เพ3อท.าการคดเลอกข+อม,ลเบ5องต+นส.าหรบการใช+งานผานพอรตตาง ๆ ท%3เปBน เซอรวสพ5นฐานเพ3อจดเก!บข+อม,ลการจราจรคอมพวเตอร เชน http, https, ftp , smtp, imap, pop3, IM เปBนต+น โดย การใช+วธ%น%5เปBนวธ%ท%3ปลอดภยส.าหรบทก ๆ องคกร ข+อสงเกต อปกรณบางช5นในท+องตลาด ตดต5งซอฟตแวรพเศษ เชน dsniff เปBนต+นท.าการ mirror port ของ อปกรณสวตชแล+วท.าการจดเก!บข+อม,ลการจราจรคอมพวเตอร การใช+ซอฟตแวรประเภทน%5สามารถดกจบแพ!คเกจซ43ง ม%เน5อหาของข+อความได+เชน รหสบตรเครดต รหสจดหมายอเล!กทรอนกส เปBนต+น นบวาเปBนอปกรณท%3ไมควรอยาง ย3งท%3จะใช+เก!บข+อม,ลการจราจรคอมพวเตอร เน3อหาต$อไปน2จ3 ะเปUนข3นตอนอธบายเน3อหาต$าง ๆ ต$อไปน23 การตดต5ง Time server และการขอเท%ยบเวลาโดยใช+ Linux (ท%3มา เอกสารการอบรมการเก!บข+อม,ลจราจร ตาม พรบ. วาด+วยการกระท.าผดด+วยคอมพวเตอร พ.ศ. 2550 ของอ.บญลอ อย,คง) ข5นตอนการตดต5ง Transparent Proxy Squid การตดต5ง logging server เพ3อท.าการสงข+อม,ลการจราจรคอมพวเตอรไปยงเคร3องแมขาย centralized log
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
60
Buy Thai First
Install Time Server โปรแกรมท%3ใช+ส.าหรบการเท%ยบเวลาและการต5งเคร3องแมขายฐานเวลาท%3นยมใช+กนคอ ntp โดยข5นตอนการ ต5งฐานเวลาท%3ส.าคญ (ท%3มา เอกสารการอบรมการเก!บข+อม,ลจราจร ตาม พรบ. วาด+วยการกระท.าผดด+วยคอมพวเตอร พ.ศ. 2550 ของอ.บญ ลอ อย,คง) 1.
ข3นตอนการตดต3ง NTP Server (Network Time Protocol) กอนอ3นต+องด,หลกเกณฑในข+อ ๙ ตรงข+อความ ท%3วา ต+องต5งนาฬกา ของอปกรณบรการทกชนดให+ตรงกบเวลาอ+าง องสากล (Stratum 0) แนะน.าให+ใช+วธ% การตดต5ง NTP Server ไว+ในระบบหน43งเคร3องนาจะเอาไว+ท%3เคร3อง Log Server เพ3อจายสญญาณนาฬกาให+ กบเคร3อง Server และเคร3อง Workstation ท5งหมดในระบบเปBนล.าดบท%3 1 สวนล.าดบท%3 2 และ 3 ให+อ+างอง ไปยงฐานเวลาภายนอก เพราะถ+าให+ Server แตละตวไปร+องขอ sync สญญาณนาฬกาจากภายนอกเวลาอาจ ม%ปญหาได+เพราะระบบ Network ในบ+านเราการให+บรการยงม%ปญหาตดขดเปBนประจ.าท%3แน ๆ คอแทบจะ ว3งออกไปทองใน Internet กนไมได+เลยอาจเปBนปญหาในการอ+างองเวลาให+กบ Server และ Workstation แตละตวได+ ส.าหรบโปรแกรม ntp สามารถก.าหนดคา Configure ให+เปBนได+ท5ง Server และ Client ตวอยาง ตอไปน%จ5 ะตดต5ง Server เพ%ยงเคร3องเด%ยว นอกน5นท5ง Server และ Workstation ในระบบจะท.า configure ให+ เปBน Client เพ3อร+องขอเท%ยบฐานเวลาจาก Server ดงภาพ
ร,ปท%3 62 แสดงการอ+างองฐานเวลาและ Log Server ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
61
Buy Thai First
ข3นท2 1 ให+ตดต5งโปรแกรม ntp บน Server (ในภาพเปBนเคร3อง Log Server) ดงน%5 apt-get install ntp
คงไมต+องอธบายรายละเอ%ยดมากเกนไปเพราะผ,+ด,แลระบบท%3จะท.าข5นน%5ได+คงไมต+องบอกวธ%การ mount cd หรอการตดต5งผาน Internet และกอนท%3จะท.าการแก+ไข Configuration ให+ท.าการตรวจสอบวนเวลาท%3 server ท%3อ+างอง ในประเทศไทยตามตาราง NTP Server ท%3แนะน.าตามตาราง ตารางท2 2 แสดงการองเวลามาตรฐานของประเทศไทย NTP Server Address 203.185.69.60
หน$วยงาน
Clock Strata
อ&ปกรณ#อ6างอง
สถาบนมาตร วทยาแหงชาต
Stratum-1
time.navy.mi.th
กรมอทกศาสตร กองทพเรอ
Stratum-1
time.nist.gov
National Institute Stratum-1 of Standards and TechnoLogy, US
นาฬกาซ%เซ%ยม Stratum-0 เท%ยบด+วยคา TAI โดย BIPM (precision ~50 nSec) นาฬกาซ%เซ%ยม Stratum-0 ท.า MOU กบสถาบนมาตรฯ เพ3อสงคาเท%ยบกบ BIPM นาฬกาซ%เซ%ยม Stratum-0 เท%ยบด+วยคา TAI โดย BIPM
ข3นท2 2 หลงจากท.าการตรวจสอบเร%ยบร+อยแล+ว ให+ไปแก+ไขคา configure ให+ม%คาดงน%5 cp /etc/ntp.conf /etc/ntp.conf.bak
vi /etc/ntp.conf
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
62
Buy Thai First
restrict default kod nomodify notrap noquery nopeer restrict 127.0.0.1 # อนญาตให+ internal network เข+าใช+ restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap server 203.185.69.60 dynamic server time.navy.mi.th dynamic server time.nist.gov dynamic server 127.127.1.0 # local clock fudge 127.127.1.0 stratum 10 driftfile /var/lib/ntp/drift broadcastdelay 0.008 keys /etc/ntp/keys เม3อตรวจสอบแก+ไขคาให+ม%ตามน%5แล+วบนท4ก :wq ข3นท2 3 ตรวจสอบ Remote Server ท%3ต+องการใช+อ+างองฐานเวลา ใช+ค.าส3งดงน%5 apt-get install ntpdate
ntpdate -b 203.185.69.60
ntpdate -b time.navy.mi.th
ntpdate -b time.nist.gov
28 Jan 14:28:20 ntpdate[2693]: step time server 192.43.244.18 offset -0.092687 sec ตวอยาง NTP Server ของ Nectec ntpdate -b clock.nectec.or.th
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
63
Buy Thai First
ntpdate -b clock2.nectec.or.th
ntpdate -b clock.thaicert.nectec.or.th
ท%3ต+องให+ท.าการทดสอบคาเวลาระหวางเคร3องของเรากบ Server ภายนอกเพ3อให+เลอกหา Server ท%3เวลา อ+างองใกล+เค%ยงกนมากท%3สด (ด,ผลคา offset ต+องม%คาน+อยท%3สดถ+าเปBนไปได+ควรเลอก Server ในประเทศไทย เลอก มาจดอนดบท%3 1, 2, 3 ใน configuration) และต+องไมพบปญหา no server suitable for synchronization found เพราะ ถ+าไมม% host ท%3อ+างถ4งก!จะไมสามารถใช+เปBนมาตรฐานเวลาได+ ข3นท2 4 กอนส3ง restart service ให+ตรวจสอบ server อ+างองอ%กคร5ง ntpdate -b 203.185.69.60
ส3ง restart service /etc/init.d/ntpd restart
ข3นท2 5 ตรวจสอบการท.างานจาก Log file grep ntpd /var/log/syslog จะไดคาคลาย ๆ กบตวอยางขางลาง
Jan 28 15:47:49 ns1 ntpd[3838]: ntpd
[email protected] Thu Jun 21 12:57:41 UTC 2007 (1) Jan 28 15:47:49 ns1 ntpd[3839]: precision = 2.000 usec Jan 28 15:47:49 ns1 ntpd[3839]: Listening on interface #2 lo, ::1#123 Enabled Jan 28 15:47:49 ns1 ntpd[3839]: Listening on interface #5 eth0, 192.168.1.10#123 Enabled Jan 28 15:47:49 ns1 ntpd[3839]: kernel time sync status 0040 Jan 28 15:47:50 ns1 ntpd[3839]: frequency initialized 80.586 PPM from /var/lib/ntp/drift ข3นท2 6 หลงจาก Server ท.างานปกตไมม%การแจ+ง Error ใด ๆ สามารถตรวจสอบตารางการท.า งานของ Server ได+ด+วยค.าส3ง ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
64
Buy Thai First
ntpq -pn
remote refid st t when poll reach delay offset jitter ======================================================== 203.185.69.60 .PPS. 1 u 49 64 3 49.263 577.356 40.539 122.154.11.67 .GPS. 1 u 50 64 3 50.387 568.011 4.886 192.43.244.18 .ACTS. 1 u 111 64 2 607.213 463.669 0.002 127.127.1.0 .LOCL. 10 l 48 64 3 0.000 0.000 0.002 สามารถใช+เคร3อง Linux เคร3องอ3นในระบบทดสอบการท.างานของ Server ได+ด+วยค.าส3ง ntpdate
ใส ip address ของเครอง NTP Server
ข3 น ท2 7 ส. า หรบเคร3 อ ง Server Linux ท%3 เ หลอท5 ง หมดของระบบให+ ท. า การแก+ ไ ขคา configuration ของ โปรแกรม ntp ให+ร+องขอเวลาจาก NTP Server ดงน%5 vi /etc/ntp.conf
server 192.168.1.1 <- ip address ของ NTP Server restrict default ignore restrict 127.0.0.1 restrict 192.168.1.1 mask 255.255.255.255 nomodify notrap noquery driftfile /var/lib/ntp/drift :wq /etc/init.d/ntpd restart
ใช+ค.าส3งตรวจสอบการท.างานเหมอนกบการต5ง NTP Server ตามตวอยางข+างบนท%3ผานมาแล+วเพ3อให+แนใจ วาม%การอ+างองเวลาจาก NTP Server ของเราหรอยง ข3นท2 8 ตอไปให+จดการกบเคร3องล,กขายในองคกรหรอหนวยงาน ซ43งผ,+เข%ยนจะยกตวอยางเฉพาะล,กขายท%3 ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
65
Buy Thai First
เปBน Microsoft Windows เพราะเปBนผ,+ใช+สวนใหญของประเทศ ถ+าเปBน OS คายอ3นต+องศ4กษาจากค,มอของคายน5น ๆ ข5นตอนน%5ให+ไปแก+ไขคา Internet time ของเคร3องล,กขายโดยไปดบเบ5ลคลกท%3 นาฬกาด+านลางขวาของ Task bar จะ ได+หน+าจอดงน%5
ร,ปท%3 63 แสดงการแก+ไขคา Internet time จากภาพจะเห!นวาท%3เคร3องล,กขายจะม%สวนของการต5งเวลาอตโนมต น3นคอม%การให+กรอกคา Network Time Server (NTP) เพ3อให+เคร3องสามารถต5งเวลาตรงกบเวลาสากลได+อ ยางถ,กต+อง แตคาหลก (Default) ท%3 Microsoft Windows XP ก.าหนดให+มาเปBนการ Update เวลาทก ๆ 7 วน ท.าให+เวลาท%3ต5งไว+อาจไมตรงหรอคลาดเคล3อนได+เม3อ เคร3อ งล,ก ขายม%เ วลาไมตรงกบเวลามาตรฐานท.า ให+ การบนท4 ก Log file การใช+ งานคลาดเคล3อ นไมเปBนไปตาม กฎหมาย คงไมสามารถไปบงคบล,กขายวากอนเลนต+ องคลกท%3 Update Now คงไมม%ใครยอมท.าตามเปBนแนให+ จดการกบเคร3องล,กขายทกเคร3องโดยการไปแก+ไข Registry (คดเองวาจะใช+วธ%อะไรแก+ไขทกเคร3อง) ดงน%5 ไปท%3เมน, Start -> Run -> regedit กด Enter เข+าไปแก+ท%3ต.าแหนง [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time\TimeProviders\NtpClient] จอภาพด+านขวามอจะม%ค.าวา SpecialPollInterval เม3อดบเบลคลกจะปรากฏคาเปBนเลขฐานสบหก (Hex) "SpecialPollInterval"=dword:00093a80 ให+เลอกเปBน decimal จะเปล%3ยนจาก 93a80 เปBน 604800 คาน%5ม%หนวยเปBน วนาท%ม%คาเทากบ 7 วน ( 1 วน = 86400 วนาท%) ต+องการให+ม%การ Update ก%3วนาท% ก%3นาท% หรอก%3ช3วโมง ก!ให+แก+ไขเลข น%5ได+เลยตามต+องการและท%3ส.าคญคอให+พมพลงไปในชอง Server ของเดมเปBน time.windows.com เปล%3ยนเปBนเลข IP Address ของเคร3อ ง NTP Server ท%3ต5 งข45นเองแล+ ว ทดลองคลก Update Now ถ+าท.า ส.า เร!จ บรรทดตอลงมาจะเปBน รายงานวาเวลาได+ Sync กบ Server เร% ย บร+ อ ยแล+ ว และต+ อ งไมลมเปB น ส3 ง สดท+ า ยคอต+ อ งต5 ง ให+ Windows Time ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
66
Buy Thai First
Service อย,ท%3 Automatic เพ3อให+ start service ทกคร5งท%3เคร3อง Boot Tip & Trick
ส.าหรบการท.า NTP Server จะม%การใช+งานโปรโตคอล NTP หมายเลข Port = 123 ต+องไปด,เร3อง Firewall อนญาตให+ล,กขายสามารถเข+าใช+ Port และ Protocol ให+ตรงกนจ4งจะใช+งานได+
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
67
Buy Thai First
Install Transparent Proxy Squid ความหมายของ Transparent Proxy คอท.าให+เคร3องล,กขายทกเคร3องท%3ใช+งานอนเทอรเน!ตผานเกตเวยของเรา ไมต+องท.าการต5งคา Internet proxy ท%3ตวเวบบราวเซอรของเคร3องล,กขายเอง จรง แล+วซอฟตแวร squid เองม%การให+ บรการการท.า authentication ผานตวเองอย,เหมอนกน แตม%ข+อจ.ากดคอท.าได+เฉพาะโปรโตคอล http เทาน5น อ%กท5ง ไมสามารถท. า งานรวมกนกบ transparent proxy ได+ ท. า ให+ ไ มสะดวกเปB น อยางมากในการก. า หนดคาพร! อ กซ%3 เซรฟเวอรให+เวบบราวเซอร ทก ๆ ตว โดยเน5อหาในบทน%5ผ,+เข%ยนจะไมขอกลาวละเอ%ยดมากนกเพราะไมใช+จด ประสงคหลกของการสร+างเคร3องแมขาย Authentication Gateway อยางไรก!ตามรายละเอ%ยดเพ3มเตมสามารถศ4กษา ได+จากเวบไซตท3ว ๆ ไปรวมถ4งเวบไซตของผ,ผ+ ลตซอฟตแวรน%5 http://www.squid-cache.org โดยข3นตอนการตดต3งและการก=าหนดค$าสามารถท=าได6ง$าย ๆ ดงน23 ท.าการตดต5งซอฟตแวร squid กอน apt-get install squid
หลงจากตดต5งซอฟตแวร squid แล+วให+ท.าการก.าหนดคาไฟล /etc/squid/squid.conf ต+องท.าการคอมเม+นท ข+อความ #http_port 3128 และเพ3มคาเข+าไป 4 บรรทดโดยต+องค.าน4งถ4งต.าแหนงของไฟลด+วยดงน%5 vi /etc/squid/squid.conf
# Squid normally listens to port 3128 # http_port 3128 # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS acl chillispot src 192.168.182.0/255.255.255.0 http_port 192.168.182.1:3128 transparent http_access allow chillispot บรรทดล$างส&ดเพมข6อความ visible_hostname administrator-desktop ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
68
Buy Thai First
ค=าอธบาย # http_port 3128เปBนการยกเลกการท.างานของโปรแกรมแบบไมท.า transparent visible_hostname ต+องก.าหนดช3อเคร3องให+กบระบบหากไมใสจะท.าให+ไมสามารถสตารตเซอรวสได+ acl chillispot src เปBนการก.าหนดคาเน!ตเวรคของเคร3องขายคอมพวเตอรท%จ3 ะอนญาตให+ใช+งานผานโปรแกรม squid http_port x.x.x.x.3128 transparent เปBนการก.าหนดให+พอรต 3128 เปBน transparent proxy http_access allow ก.าหนดคา access control ให+เน!ตเวรควง chillispot สามารถใช+งานผาน transparent proxy squid ได+ ส3งให+โปรแกรม squid ท.างาน /etc/init.d/squid start
ตรวจสอบเซอรวสของ squid วาท.างานหรอไมดงน%5 ps -ef | grep “squid”
หรอค.าส3ง netstat -lnt
สดท+ายเปBนการก.าหนดคากฎไฟรวอล โดยต+องท.าการต5งคาท5งหมดดงน%5 1. ให+ท.าการสงตอแพ!กเกจท%3เข+ามาทางพอรต 80 ไปยง squid พอรต 3128 iptables -t nat -A PREROUTING -i tun0 -p tcp -m tcp –dport 80 -j REDIRECT – to-ports 3128
2. ต+องอนญาตให+ใช+งาน INPUT ท%3เปBนแฟก syn iptables -A INPUT -i tun0 -p tcp -m tcp –dport 3128 –syn -j ACCEPT
3. ต+องเพ3ม rule ตอไปน%5เพ3อปpองกนการเข+าใช+งานระบบโดยการแอบต5งคา proxy เอง Iptables -t nat -I PREROUTING -p tcp -m tcp –dport 3128 -j DROP
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
69
Buy Thai First
หมายเหต& ในข+อท%3 3 หากเราต+องการปpองกนการเข+าใช+งานโดยการต5งคาพร!อกซ%3เอง เชน dansguardian ท%3พอรต 8080 หรอ frox ท%3พอรต 2121 ให+เพ3มค.าส3งข+างลางดงน%5 iptables -t nat -I PREROUTING -p tcp -m tcp –dport 8080 -j DROP
Iptables -t nat -I PREROUTING -p tcp -m tcp –dport 2121 -j DROP
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
70
Buy Thai First
Install logging server เรมการตดต3งโปรแกรม syslog-ng เพ3อท.าการสงข+อม,ลการจราจรคอมพวเตอรไปยงเคร3องแมขาย centralized log ซอฟตแวรท%3นยมใช+กนก!คอ syslog-ng ของบรษท BalaBit IT Security http://www.balabit.com ซ43งม%ความสามารถส,งกวาระบบ syslog ท3วไป เชน สามารถรบสงข+อม,ลผานโปรโตคอล tcp , สามารถฟŒลเตอรข+อความท5งกอนสงและกอนการจดเก!บ , สามารถจด เก!บข+อความลงในโปรแกรมฐานข+อม,ลเพ3อให+สะดวกในการเร%ยกด, และแม+แตสามารถท.าทอระหวางเคร3องสงและ เคร3องรบได+ด+วยแตจะม%เฉพาะในสวนของ commercial apt-get install syslog-ng
หลงจากน5นก.าหนดคาเพ3มให+กบไฟล syslog-ng.conf ดงน%5 โดยให+พมพตอจากไฟลคอนฟŒกเดมของระบบ destination remote { udp("192.168.20.104" port(514)); }; log {source(s_all); filter(f_messages); destination(remote); }; log {source(s_all); filter(f_kern); destination(remote); };
คาท%3ต+องการต5งคอคาหมายเลขไอพ%แอดเดรสของเคร3องแมขาย centralized log ในระบบ ส3งให+โปรแกรม syslog-ng ท.างาน /etc/init.d/syslog-ng start
ตอไปเปBนการก.าหนดคาให+กบ iptables ท.าการสงข+อม,ลการจราจรคอมพวเตอรไปยงตว syslog-ng agent vi rc.iptablescapture
#!/bin/bash iptables -t nat -N logging iptables -t nat -A PREROUTING -j logging ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
71
Buy Thai First
iptables -t nat -A POSTROUTING -j logging iptables -A INPUT -j LOG --log-level info --log-prefix "INPUT " iptables -A OUTPUT -j LOG --log-level info --log-prefix "OUTPUT " iptables -A FORWARD -j LOG --log-level info --log-prefix "FORWARD " # HTTP: iptables -t nat -A logging -p tcp --dport 80 -j LOG --log-prefix "HTTP: " \ --log-level info # HTTPS: iptables -t nat -A logging -p tcp --dport 443 -j LOG --log-prefix "HTTPS: " \ --log-level info # SMTP: iptables -t nat -A logging -p tcp --dport 25 -j LOG --log-prefix "SMTP: " \ --log-level info # FTP: iptables -t nat -A logging -p tcp --dport 21 -j LOG --log-prefix "FTP: " \ --log-level info # IMAP: iptables -t nat -A logging -p tcp --dport 143 -j LOG --log-prefix "IMAP: " \ --log-level info # POP3: iptables -t nat -A logging -p tcp --dport 110 -j LOG --log-prefix "POP3: " \ --log-level info # MSN: iptables -t nat -A logging -p tcp --dport 1863 -j LOG --log-prefix "MSN: " \ --log-level info # JABBER: iptables -t nat -A logging -p tcp --dport 5222 -j LOG --log-prefix "JABBER: " \ --log-level info ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
72
Buy Thai First
# JABBERS iptables -t nat -A logging -p tcp --dport 5223 -j LOG --log-prefix "JABBERS: " \ --log-level info # ICQ/AIM iptables -t nat -A logging -p tcp --dport 5190 -j LOG --log-prefix "ICQ/AIM: " \ --log-level info # Yahoo iptables -t nat -A logging -p tcp --dport 5050 -j LOG --log-prefix "YAHOO: " \ --log-level info # IRC iptables -t nat -A logging -p tcp --dport 6667 -j LOG --log-prefix "IRC: " \ --log-level info # Gadu-Gadu iptables -t nat -A logging -p tcp --dport 8074 -j LOG --log-prefix "GADU-GADU: " \ --log-level info
ร,ปท%3 64 แสดงผลการรนสครป rc.iptablescapture ตวอยางตอไปเปBนข5นตอนท%3ใช+สงคาข+อม,ลการจราจรคอมพวเตอรจากเซอรวสของ squid และ radius ไปยง syslog โดยอาศยหลกการเปล%3ยนข+อม,ลล!อกไฟลให+เปBนสตร%มม3งโดยใช+ค.าส3ง tail ของย,นกสชวยดงน%5 การสงคาจาก squid ไปยง syslog tail -F /var/log/squid/access.log | logger -t squid -p local3.info
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
73
Buy Thai First
การสงคาจาก radius ไปยง syslog ต+องไปแก+คาท%3ไฟล radiusd.conf #detailfile = ${radacctdir}/%{Client-IP-Address}/detail-%Y%m%d detailfile = ${radacctdir}/%{Client-IP-Address}/details จากน5นท.าการสงคาจาก radiusd ไปยง syslog ดงน%5 tail -F /var/log/radius/radacct/127.0.0.1/details | logger -t radiusd -p local3.info
หมายเหต ค.าส3ง logger -t จะใช+ก.าหนดช3อข+อม,ลการจราจรคอมพวเตอร ในท%3น%5เราจะใช+แทนวาข+อม,ลการ จราจรคอมพวเตอรมาจากเซอรวสใด เชน squid และ radius เปBนต+น และต+องห+ามลมใช+ tail -F เพราะจะเปBนการ ก.าหนดให+ tail ท.างานไมวาไฟลต+นทางจะม%การสร+างไฟลใหมหรอไมก!ตาม ส.าหรบวธ%การแก+ปญหาไฟลท%3อาจจะใหญเกนไปส.าหรบข+อม,ลล!อกไฟลของ radius เซรฟเวอรเราสามารถ ใช+งานรวมกนกบ logrotate โดยสร+างไฟลช3อวา /etc/logrotate.d/radius เพ3อจดการกบไฟลดงกลาว /var/log/radius/radacct/127.0.0.1/details { rotate 13 weekly missingok notifempty compress }
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
74
Buy Thai First
การต5งคาให+สงข+อม,ลการจราจรคอมพวเตอรจาก squid และ radius โดยให+ท.างานทกคร5งหลงเปŒดเคร3องดงน%5 vi /etc/init.d/rc.capture #!/bin/bash tail -F /var/log/squid/access.log | logger -t squid -p local3.info & tail -F /var/log/radius/radacct/127.0.0.1/details | logger -t radiusd -p local3.info &
จากน5นส3งให+สามารถรนได+และสร+างลงคให+ท.างานทกคร5งหลงเปŒดเคร3อง chmod a+x /etc/init.d/rc.capture ln -s /etc/init.d/rc.capture /etc/rcS.d/S88rccapture
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
75
Buy Thai First
ตวอย$างคาคอนฟŒกก,เลช3นของ syslog-ng.conf ส.าหรบเคร3องแมขาย centralized log ● ส.าหรบการต5งคาเปBนเคร3อง centralized log source s_sys { file ("/proc/kmsg" log_prefix("kernel: ")); unix-stream ("/dev/log"); internal(); udp(ip(0.0.0.0) port(514)); tcp(ip(0.0.0.0) port(514) keep-alive(yes)); }; ● ส.าหรบฟŒลเตอรโปรแกรม squid filter f_squid { match("squid"); }; destination d_squid { file("/var/log/$HOST/$YEAR/$MONTH/squid.$YEAR-$MONTH-$DAY" owner(root) group(adm) perm(665) create_dirs(yes) dir_perm(0775)); }; log { source(s_sys); filter(f_squid); destination(d_squid); }; ส.าหรบฟŒลเตอรโปรแกรม radiusd filter f_radius { match("radiusd"); }; destination d_radius { file("/var/log/$HOST/$YEAR/$MONTH/radius.$YEAR-$MONTH-$DAY" owner(root) group(adm) perm(665) create_dirs(yes) dir_perm(0775)); }; log { source(s_sys); filter(f_radius); destination(d_radius); }; ●
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
76
Buy Thai First
ข3นตอนเพมเตมการตดต3งจากแผ$นตดต3งพเศษ AUTHENTICATION INTERNET(dhcp)
---|eth0 SIPAAUTH eth1|-- Local Network (192.168.182.0/24)
ข3นตอนท2 1 ตดต5งจากแผน debian-804-i386-CD-1.iso ซ43งม%ข+อจ.ากดอย,ท%3ต+องตอสายแลนด+านอนเทอรเน!ตเข+า กบ eth0 และต+องสามารถใช+งานอนเทอรเน!ตด+วย dhcp ได+ สวนสายด+าน eth1 ยงไมต+องเส%ยบสายกอน จากน5น ด.าเนนการตดต5งตามข5นตอนปกต และเลอกโปรไฟล ช3อวา “AUTH” ข3นตอนท2 2 หลงจากเร3มสตารตเคร3องคร5งท%3สอง ปpอนช3อผ,ใ+ ช+และรหสผานแล+ว ให+ท.าการใสแผนตดต5งอ%กคร5ง หน43งแล+วท.าการ mount แผนดงน%5 และส3งรนสครปเพ3อเตร%ยมการตดต5งแพ!คเกจสวนท%เ3 หลอให+กบเคร3องดงน%5 # mount -t iso9660 /dev/cdrom /media/cdrom # cp /media/cdrom/simple-cdd/* /usr/local/simple-cdd/ # chmod 755 /usr/local/simple-cdd/* # /usr/local/simple-cdd/AUTH.postinst
เอาแผนออกแล+วท.าการร%สตารตเคร3องใหมอ%กคร5งหน4ง3 # umount /dev/cdrom # shutdown -r now
ข3นตอนท2 3 หลงจากเคร3องสตารทใหมคร5งท%3สามให+ท.าตามข5นตอนท%3เหลอ ต+องตอบ “Y” syslog-ng และ ssl ก.าหนดคาให+กบ CA และต+องให+ต5งช3อเคร3องวา “SIPAAUTH” จากน5นล!อกออนแล+วรนสครปเพ3อสร+างฐานข+อม,ล ตอไปน%5 # mysqladmin password mysqlsecret # /usr/local/simple-cdd/auth-mysql.sh
จากน5นต+องส3งร%สตารตเซอรวส freeradius และทดสอบโดยใช+ค.าส3ง # /etc/init.d/freeradius restart # radtest “Somsak Jaidee” dHIIC2c 127.0.0.1 0 radiussecret
สดท+ายตอสายแลน eth1 ด+านเคร3องล,กขายเข+ากบสวตช ระบบเคร3องแมขาย Authentication ก!พร+อมท%3จะใช+งานได+ ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
77
Buy Thai First
References
https://help.ubuntu.com/community/WifiDocs/ChillispotHotspot http://mamboeasy.psu.ac.th/~wiboon.w/ http://www.ubuntu.com/ http://www.ubuntuclub.com/
ส.านกงานสงเสรมอตสาหกรรมซอฟตแวรแหงชาต (องคการมหาชน) (SIPA) สมาคมอตสาหกรรมซอฟตแวรไทย (ATSI)
78