ตรวจสอบเครื่องบริการ SMTP

postfix for SMTP service
postfix for SMTP service

26 ก.ย.56 เล่าสู่กันฟัง
หนึ่งในกิจกรรมของการทำงานกับเครื่องบริการ คือ Monitor
1. เข้าตรวจสอบ ติดตามเครื่องบริการเกี่ยวกับ SMTP
ว่าบริการถูกเรียกใช้ตามปกติหรือไม่
#netstat -na |grep 25 ก็พบว่า port นี้เปิดบริการอยู่
#netstat -na |grep LISTEN ก็พบว่าเปิดบริการอยู่
#cat /etc/redhat-release ดูรุ่นที่ใช้อยู่ พบว่าเก่าอยู่สักหน่อย ปัจจุบันสิบกว่าแล้ว
Fedora Core release 4 (Stentz)
#ps -aux|grep postfix พบว่า postfix เปิดบริการ smtp อยู่
#/etc/init.d/postfix status พบว่า running
#/etc/init.d/postfix stop เมื่อต้องการปิดบริการ

2. เหตุที่สนใจเรื่องนี้
เพราะเป็นการเฝ้าตรวจการทำงานของเครื่องบริการตามปกติ
#ls /var/log/maillog* -al ดูปริมาณของแต่ละแฟ้ม
#tail /var/log/maillog –lines=300 ดูรายการ 300 บรรทัดล่างสุด
#cat /etc/postfix/main.cf |grep relayhost กำหนดไว้แล้ว
สรุปว่ามีการกำหนด relay ใน main.cf ซึ่งสัมพันธ์กับ maillog ที่บันทึกไว้

เปิด port ด้วย VNC แล้วหนาว ๆ ชอบกล

vnc port
vnc port

ศุกร์ที่ 1 ก.ค.54 เกิดเห็นร้ายจากการเปิด port 21 (FTP) ในเครื่องอันนี่พอต (Honey pot : web server) แล้วมีการโจมตีเข้ามา เพราะไม่ได้เปิดแบบ secure port และรหัสผ่านไม่ได้มาตรฐาน ทำให้การโจมตีของสคริ๊ปประสงค์ร้าย (Intruder Script) สำเร็จ .. แล้วผลของการถูกบุกรุกเข้าสู่ระบบ คือ เกิดการลบแฟ้มทีละแฟ้มทีละโฟร์เดอร์ มาทราบผลตอนได้รับแจ้งจากผู้ใช้ (Monitor) ว่าเข้าข้อมูลที่เขาต้องการไม่พบ เมื่อหยุดระบบถึงทราบว่าห้องเก็บข้อมูลหายไปเกือบร้อยกว่าห้อง เมื่อกู้ด้วย recuva ก็ได้มาไม่ครบ ส่วนระบบสำรองข้อมูลก็ทำมาแล้ว 6 เดือน  (Innovation) แต่มีคำปลอบใจว่าโจรขึ้นบ้านสิบครั้งไม่เท่าไฟไหม้ครั้งเดียว (Awareness)

มาวันนี้ติดตั้ง RealVNC เพื่อทดสอบการ Remote Control เข้ามาดูแล ก็พบว่าหลังติดตั้งจะเปิด Port 5800 และ 5900 แล้วนึกได้ว่าไม่เปิดดีกว่า ถ้าจะใช้เมื่อไรก็ค่อยเปิด เพราะเปิดไว้มีปัญหา 2 เรื่อง คือ เครื่องทำงานมากขึ้นเพราะต้องรอให้บริการ และถ้าผู้ไม่ประสงค์ดียิงเข้ามาอาจมีสักวันที่ Hack Password ได้สำเร็จ เหมือนที่เคยถูกกระทำมาแล้ว

http://www.realvnc.com/products/download.html

การรับส่งข้อมูลที่ปลอดภัยผ่าน sftp

secure ftp
secure ftp

16 เมย.54 การเชื่อมต่อไปยังเครื่องบริการ (server) ด้วย ftp protocol ผ่านพอร์ตหมายเลข 21 อาจถูกโปรแกรมประเภท sniffer ดักจับข้อมูลที่ส่งไปมาแบบ plain text ได้ ดังนั้นการเข้ารหัสข้อมูลในระหว่างรับส่งข้อมูลจึงเป็นสิ่งที่ต้องถือปฏิบัติ มีวิธีเข้ารหัสอยู่หลายวิธี ซึ่งบริการนี้จะต้องทำงานร่วมกันทั้งฝั่งเครื่องบริการ และฝั่งผู้ใช้ โดยข้อกำหนดในการติดต่อจะกำหนดโดยฝั่งเครื่องบริการ ดังนั้นผู้ใช้บริการต้องเข้าไปศึกษาจาก faqs , knowledgebase หรือ q&a หรือไม่ก็โทรถามผู้ให้บริการครับ และสิ่งที่ต้องมี 4 อย่างที่ผู้ให้บริการเป็นผู้กำหนด คือ วิธีการเข้ารหัส ชื่อเครื่องบริการ รหัสผู้ใช้ และรหัสผ่าน
http://www.hypermart.net/knowledgebase/read_article.bml?kbid=7520
http://help.godaddy.com/article/4982?locale=en
http://www.thaihost.net/plan.html
http://3dpixel.net/web-hosting-features/secure-encrypted-ftp

แก้ปัญหาบล็อกเว็บด้วย port 8080

p808030 ก.ย.52 รับแจ้งจากอาจารย์อวุโสว่าพบปัญหาเข้าเว็บเพจที่ใช้ frame ในบางเว็บไซต์ไม่ได้ ทดลองติดตั้ง java runtime 6 ปัญหาก็ไม่หายไป เมื่อ view source แล้วพบ error message ว่า browser ไม่สนับสนุน ก็คิดว่า ต้องลง browser รุ่นใหม่ จึงจะใช้งานได้ ลองติดตั้ง ie8 ก็ยังเข้าไม่ได้ ..
     อีกสักพัก ผมก็ไปทดสอบกับเครื่องในห้องปฏิบัติการ พบว่า เข้าเว็บไซต์ที่เป็นปัญหาได้ปกติด้วย account ของผมที่มีระดับเป็น admin จึงนึกขึ้นได้ว่า account ที่ใช้ทดสอบที่เครื่องอาจารย์อวุโสนั้น เป็น account ระดับ user เมื่อตรวจสอบลึกลงไปก็พบว่า สิ่งที่แตกต่างของเว็บไซต์ดังกล่าวกับเว็บไซต์ทั่วไปคือเปิด port 8080 ซึ่งเป็น default port ของ java server ทั่วไป เมื่อคุณอนุชิต ยอดใจยา เข้าไปยกเลิกการปิด port ดังกล่าวจาก dhcp server ก็มีผลให้ account ใดใดในระบบสามารถเข้าถึงเว็บไซต์ดังกล่าวได้
+ http://iutcerral.univ-lyon2.fr/conftool/
+ http://it.yonok.ac.th/anuchit/jre-6u14-windows-i586.zip
+ http://www.thaibg.com
+ http://ie6update.kapook.com/ie8_download.php