• เดินต่อไป
  • ranking : สมาชิกทั่วไป
  • email : mailmyhome@zoho.com
  • วันที่สร้าง : 2007-09-16
  • จำนวนเรื่อง : 19
  • จำนวนผู้ชม : 46067
  • ส่ง msg :
  • โหวต 8 คน
บันทึกกันลืม งานคอมพิวเตอร์
บันทึกกันลืม งานคอมพิวเตอร์
Permalink : http://oknation.nationtv.tv/blog/nukes
วันเสาร์ ที่ 24 พฤศจิกายน 2550
Posted by เดินต่อไป , ผู้อ่าน : 3389 , 00:15:08 น.  
หมวด : วิทยาศาสตร์/ไอที

พิมพ์หน้านี้
โหวต 0 คน

(ต่อจากตอนที่แล้ว)

เมื่อติดตั้ง Squid เรียบร้อยแล้ว เราก็จะมากำหนดค่าของ Squid กัน แต่ก่อนอื่น ก็มาปรับเล็กน้อย เพื่อให้เรียกใช้งานได้สะดวก

สร้างลิ้งค์ เพื่อเรียกใช้ squid ได้สะดวกขึ้น

cd /usr/sbin
ln -s /usr/local/squid/sbin/squid squid

เรียกให้ squid ทำงานตั้งแต่ตอนแรกเปิดเครื่อง หรือ restart เครื่องใหม่ โดยการเรียกให้ squid ทำงานตั้งแต่แรกผ่านทาง script /etc/rc.d/rc.local หรือจะ copy แฟ้ม squid.rc จาก directory ของ source code ใน directory ย่อยชื่อ contrib/squid.rc ใน slackware อาจจะ copy ไปเป็น /etc/rc.d/rc.squid แล้ว chomod ให้มันทำงานได้ก็ได้ (ผมเลือกที่จะเพิ่มบรรทัด squid -D ไว้ใน rc.local)

ในกรณีที่เราคิดว่า เราอาจจะมีการ upgrade Squid แล้ว เกรงว่า configuration จะหายไป หรือเสียไป ก็อาจจะทำการย้าย squid.conf จาก /usr/local/squid/etc มาอยู่ที่ /etc/squid ก็ได้ แล้วทำลิ้งค์ กลับคืนไปที่เดิม

mkdir /etc/squid
mv /usr/local/squid/etc/squid.conf /etc/squid
cd /usr/local/squid/etc
ln -s /etc/squid/squid.conf squid.conf

Configure Squid

ต่อไปเป็นการ configure Squid ซึ่งเป็นเรื่องราวที่ค่อนข้างยาว Squid มีตัวเลือกให้เราสามารถตั้งค่าเพื่อควบคุมการใช้งานอินเตอร์เน็ต ได้มากมาย ผมเองก็ยังใช้ตรงนี้ไม่หมด เท่าที่ใช้งาน ก็นับว่าได้ประโยชน์มากมายอยู่แล้ว

http_port เป็นการตั้งค่า port โดยค่าเริ่มต้นของ squid จะตั้งไว้ที่ port 3128 ถ้าเราต้องการเปลี่ยน ก็ให้เรียกใช้ดังนี้

http_port 8080

หรือถ้าเครื่องเรามี card LAN หลายใบ ต้องการกำหนดให้ squid ทำงานกับ card LAN อันใดอันหนึ่ง เราก็สามารถกำหนดเฉพาะ card LAN อันนั้น ก็ได้ โดยการระบุ IP เช่นเครื่องที่มี card LAN 2 ใบ ใบหนึ่งเป็นใบที่ต่อตรงกับอินเตอร์เน็ต มี IP จริงของอินเตอร์เน็ต แต่อีกใบหนึ่งเชื่อมต่อกับ Intranet เป็น private IP

http_port 192.168.0.10:8080

กรณีนี้ เราต้องการให้เฉพาะในวง LAN ของเราใช้ squid เท่านั้น ดังนั้น คนอื่นที่อยู่ในอินเตอร์เน็ต จะเข้ามาใช้ squid ของเราเป็น proxy ของเขาไม่ได้ เป็นมาตรการความปลอดภัยอีกอันหนึ่ง เดี๋ยวนี้ มีเครื่องที่ทำตัวเป็น robot คอยค้นหาเครื่องที่เป็น proxy แล้วตั้งค่าความปลอดภัยไม่เข้มแข็ง ฉวยโอกาส ใช้เครื่องนั้น กระทำในสิ่งที่ไม่พึงประสงค์ได้ ทำให้เครื่อง proxy โหลดงานหนักให้คนอื่น โดยไม่จำเป็น

กลับมา update ใหม่ คิดว่า ถ้าเขียนละเอียดแบบนี้ ทั้งปี ก็คงจะเขียนไม่จบซักที

Hit to the point เลยดีกว่า เอาประเด็นสำคัญๆ เลย คือเรื่องการทำ authenticate ระบบ ก่อนอื่นต้องไปบอก squid ว่าเราจะใช้ระบบรหัสผ่านนะ

เรียกหา auth_param ในแฟ้ม squid.conf แล้วแก้ไขให้เป็นตามนี้

auth_param basic program /usr/local/squid/libexec/ncsa_auth /data1/users/users.txt
auth_param basic children 5
auth_param basic realm Sample Hospital Internet Service
auth_param basic credentialsttl 30 minutes
auth_param basic casesensitive on

ตรง /data1/users/users.txt นั้น คือแฟ้มเก็บ log-in กับรหัสผ่าน ขึ้นอยู่กับว่า เราเก็บแฟ้มนี้ไว้ที่ไหน

จากนั้น ไปตั้ง Access Control List ตรงนี้ การตั้งค่า จะทำได้มากมาย โดยธรรมดา และโดยพิสดาร

อันแรก ตั้งค่าให้เฉพาะผู้ที่มีรหัสผ่านเท่านั้น ถึงจะเข้าสู่ระบบได้

acl password proxy_auth REQUIRED
http_access allow password all

ต่อไปตั้งให้เฉพาะเครือข่ายเราเท่านั้นที่จะใช้งานได้

acl our_networks src 192.168.1.0/24 192.168.2.0/24
http_access allow our_networks

ตรง 192.168.1.0 ให้เปลี่ยนเป็น IP ในองค์กรเรา (เป็นค่าเน็ตเวิร์ค) ตัว /24 หมายถึงให้ใช้งานได้ทั้งกลุ่มเลย (255.255.255.0) ตรงนี้ ใครไม่เข้าใจก็ผ่านไปได้ ถ้าเราไม่ได้ทำ subnet อะไร ก็ใช้ได้ตั้งแต่ 1-255 เครื่อง

ตรง Access Control List นี้ จะมีการประเมินตามลำดับก่อนหลังของบรรทัดที่ configure ไว้ ถ้าตรงกับเงื่อนไขบรรทัดไหนก่อน ก็จะเลิกตรวจสอบบรรทัดต่อไปทันที เพราะฉะนั้น เราจึงต้องพิจารณาการวางตำแหน่งเงื่อนไข ว่าจะวางไว้บรรทัดไหนก่อน หลัง จากกรณีนี้ เราจึงตั้งใหม่เป็นแบบนี้

acl password proxy_auth REQUIRED
acl our_networks src 192.168.1.0/24 192.168.2.0/24
http_access deny !our_networks
http_access allow password all
http_access deny all
 
ตรง http_access deny !our_networks เป็นการบ่งบอกว่า เราไม่ต้อนรับเครื่องที่มาจากนอกเครือข่าย (เช่น มาจากอินเตอร์เน็ต จะมาใช้ proxy ของเรา เราไม่ให้ใช้)

ต่อไป ก็ไปสร้างแฟ้มเก็บ user name กับ password

ใช้โปรแกรมที่แถมมากับ Apache คือโปรแกรม htpasswd เป็นตัวสร้างแฟ้มนี้ โดยไปที่ไดเรคทอรี่ /data1/users แล้วเรียก

htpasswd -c users.txt nukes
New password:
Re-type new password:

เป็นอันว่าสร้างไฟล์ชื่อกับรหัสผ่านเสร็จแล้ว ถ้าจะใส่ชื่อคนต่อไป ก็ไม่ต้องใช้ -c ต่อท้าย htpasswd แล้ว ตัว -c คือให้สร้างแฟ้มรหัสผ่านใหม่ ถ้าเพิ่มเฉยๆ ไม่ต้องมี -c

แล้วลองทดสอบดู ด้วยการเรียกให้ squid ทำงาน

squid -D

ถ้า squid ทำงานอยู่แล้ว ให้มันอ่านค่า config ใหม่

squid -k reconfigure

แล้วดูใน log file ว่ามีปัญหาอะไรหรือไม่




แสดงความคิดเห็น


ถึง บล็อกเกอร์ ทุกท่าน โปรดอ่าน
   ด้วยทาง บริษัท จีเอ็มเอ็ม แกรมมี่ จำกัด (มหาชน) ได้ติดต่อขอความร่วมมือ มายังเว็บไซต์และเว็บบล็อกต่าง ๆ รวมไปถึงเว็บบล็อก OKnation ห้ามให้มีการเผยแพร่ผลงานอันมีลิขสิทธิ์ ของบริษัท จีเอ็มเอ็ม แกรมมี่ฯ บนเว็บ blog โดยกำหนดขอบเขตของสิ่งที่ห้ามทำ และสามารถทำได้ ดังนี้
ห้ามทำ
- การใส่ผลงานเพลงต้นฉบับให้ฟัง ทั้งแบบควบคุมเพลงได้ หรือซ่อนเป็นพื้นหลัง และทั้งที่อยู่ใน server ของคุณเอง หรือ copy code คนอื่นมาใช้
- การเผยแพร่ file ให้ download ทั้งที่อยู่ใน server ของคุณเอง หรือฝากไว้ server คนอื่น
สามารถทำได้
- เผยแพร่เนื้อเพลง ต้องระบุชื่อเพลงและชื่อผู้ร้องให้ชัดเจน
- การใส่เพลงที่ร้องไว้เอง ต้องระบุชื่อผู้ร้องต้นฉบับให้ชัดเจน
จึงเรียนมาเพื่อโปรดปฎิบัติตาม มิเช่นนั้นทางบริษัท จีเอ็มเอ็ม แกรมมี่ฯ จะให้ฝ่ายดูแลลิขสิทธิ์ ดำเนินการเอาผิดกับท่านตามกฎหมายละเมิดลิขสิทธิ์
OKNATION



กฎกติกาการเขียนเรื่องและแสดงความคิดเห็น
1 การเขียน หรือแสดงความคิดเห็นใด ๆ ต้องไม่หมิ่นเหม่ หรือกระทบต่อสถาบันชาติ ศาสนา และพระมหากษัตริย์ หรือกระทบต่อความมั่นคงของชาติ
2. ไม่ใช้ถ้อยคำหยาบคาย ดูหมิ่น ส่อเสียด ให้ร้ายผู้อื่นในทางเสียหาย หรือสร้างความแตกแยกในสังคม กับทั้งไม่มีภาพ วิดีโอคลิป หรือถ้อยคำลามก อนาจาร
3. ความขัดแย้งส่วนตัวที่เกิดจากการเขียนเรื่อง แสดงความคิดเห็น หรือในกล่องรับส่งข้อความ (หลังไมค์) ต้องไม่นำมาโพสหรือขยายความต่อในบล็อก และการโพสเรื่องส่วนตัว และการแสดงความคิดเห็น ต้องใช้ภาษาที่สุภาพเท่านั้น
4. พิจารณาเนื้อหาที่จะโพสก่อนเผยแพร่ให้รอบคอบ ว่าจะไม่เป็นการละเมิดกฎหมายใดใด และปิดคอมเมนต์หากจำเป็นโดยเฉพาะเรื่องที่มีเนื้อหาพาดพิงสถาบัน
5.การนำเรื่อง ภาพ หรือคลิปวิดีโอ ที่มิใช่ของตนเองมาลงในบล็อก ควรอ้างอิงแหล่งที่มา และ หลีกเลี่ยงการเผยแพร่สิ่งที่ละเมิดลิขสิทธิ์ ไม่ว่าจะเป็นรูปแบบหรือวิธีการใดก็ตาม 6. เนื้อหาและความคิดเห็นในบล็อก ไม่เกี่ยวข้องกับทีมงานผู้ดำเนินการจัดทำเว็บไซต์ โดยถือเป็นความรับผิดชอบทางกฎหมายเป็นการส่วนตัวของสมาชิก
คลิ้กอ่านเงื่อนไขทั้งหมดที่นี่"
OKnation ขอสงวนสิทธิ์ในการปิดบล็อก ลบเนื้อหาและความคิดเห็น ที่ขัดต่อความดังกล่าวข้างต้น โดยไม่ต้องชี้แจงเหตุผลใดๆ ต่อเจ้าของบล็อกและเจ้าของความคิดเห็นนั้นๆ
   

กลับไปหน้าที่แล้ว กลับด้านบน