วิธีการ capture the output of “top” ไปแสดงที่ file?

คำสั่ง top เป็นคำสั่งแสดงโปรแกรมและ process ต่าง ๆ แบบ real time เหมือนกับ task list ในโปรแกรมวินโดสว์

การใช้งานก็แสนง่าย เพียงคีย์คำสั่ง top แล้วกด enter เท่านั้น โปรเซสต่าง ๆจะแสดงให้ได้รับชมกันทางหน้าจอ อย่างเป็นระเบียบเรียบร้อย ถ้าเราอยากจะเก็บหน้าจอ process ต่าง ๆ เหล่านี้ให้แสดงไปที่ไฟล์แทนเพื่อเก็บไปวิเคราะห์หรือหาเหตุผลอื่นก็ตามที คำสั่ง top ทำได้ดังนี้

top -b -n1 > /tmp/top.txt

ทุกอย่างที่เห็นบนหน้าจอเมื่อสักครู่นี้จะไปแสดงในไฟล์ top.txt แทน


นอกจากนี้ top ยังแสดงหลายๆ report เพื่อเทียบเคียงเป็นช่วงเวลาได้ เช่นตัวอย่างข้างล่างนี้ ให้รัน top ห้าครั้ง แต่ละครั้งให้รอห้าวินาทีก่อนที่จะรัน top ต่อไ

top -b -n5 -d5 > /tmp/top.txt

แหล่งข้อมูลอ้างอิง
http://magazine.redhat.com/category/tips-and-tricks/page/4/

Read more »

File Sharing Management

การประยุกต์ใช้ลีนุกซ์สำหรับองค์กร นอกจากจะพิจารณาถึงเรื่องลดต้นทุนด้านลิขสิทธิ์แล้ว ความเหมาะสมต่อระบบงาน ก็เป็นเรื่องที่สำคัญเช่นกัน หากองค์กรลดต้นทุนทางด้านลิขสิทธิ์ลงได้ แต่ระบบงานต่าง ๆ ต้องหยุดชะงัก หรือสำเร็จลงได้อย่างทุกลักทุเล อันเนื่องมาจากการคอนฟิกลีนุกซ์ และการประยุกต์ใช้ไม่เหมาะสมกับลักษณะงานแล้ว ถึงขนาดที่ผู้บริหารต้องกลับมาพิจารณาว่าลีนุกซ์นั้นเหมาะต่อองค์กรของเราหรือยัง ??? คงไม่ใช่เรื่องสนุกแน่

ผู้เขียนเกริ่นไว้ในย่อหน้าแรกแบบคนมองโลกในแง่ลบ เพราะหลาย ๆ บริษัทที่ผู้เขียนได้ประสบมา มีการนำลีนุกซ์มาใช้ในองค์กร และต้องเปลี่ยนใจกลับไปใช้ windows 2003 เหมือนเดิม ส่วนใหญ่จะมีปัญหากับการทำ file sharing และเซตอัพตัวลีนุกซ์ให้ยืดหยุ่นกับลักษณะงานที่ต้องแชร์กันไม่ได้ อย่างเช่นงานโปรเจก ที่ไฟล์ๆหนึ่งต้องมีการเข้ามาใช้หลายคน จากหลายฝ่าย แต่ละคนที่เข้าถึงไฟล์นั้นต้องมีการแก้ไขบ้าง ปรับปรุงบ้าง บางคนให้เข้าถึงไฟล์นั้นได้ แต่ห้ามแก้ไข เป็นต้น หรืองานทางด้านการผลิตที่มีการผูกสูตรการผลิต (BOM) เป็นไฟล์ excel และให้ฝ่ายต่าง ๆที่เกี่ยวข้องกรอกข้อมูล พอ save ไฟล์แล้วอีกฝ่ายหนึ่งเปิดขึ้นมาเป็น read only และต้องแก้ค่า permission กันอยู่ตลอด ปัญหาต่าง ๆ เหล่านี้ เมื่อแอดมินพยายามแก้ปัญหาก็จะมองไปที่ configuration ของ samba เป็นหลัก โดยไม่มองให้ลึกลงไปถึงตัวลีนุกซ์ที่ samba ใช้เป็นเจ้าเรือนในการรัน ซึ่งมี permission ในการจัดการไฟล์ ก่อนที่ตัว samba จะเข้ามาจัดการในส่วนของ samba เอง (ด้วย option : create mask,directory mask,directory security mask เป็นต้น)

ปัญหาการแชร์ไฟล์ในลักษณะดังกล่าวข้างต้นนั้น ลีนุกซ์เอง มีวิธีการจัดการได้อย่างเหมะสมและยืดหยุ่น ด้วยคำสั่งต่าง ๆ ของลีนุกซ์อยู่แล้ว แทบจะไม่ต้องไปกำหนดค่า option เพิ่มเติมให้ samba เลย เรามาลอง implement file sharing ตามโจทก์ข้างต้นนั้นโดยยกตัวอย่างไฟล์สูตรการผลิตที่เป็น excel (BOM : Bill of Material) ดังนี้

1. สร้างไดเรกทอรีบนลีนุกซ์เพื่อเปิดแชร์ร่วมกันก่อน
#mkdir /home/bomproduct
2. สร้างกลุ่ม และสร้างรายชื่อผู้ใช้งานมีสังกัดกลุ่ม เช่น
#groupadd mktgrp
#groupadd productgrp
#useradd -g mktgrp tawich
#useradd -g mktfrp somporn
#useradd -g productgrp somjit
#useradd -g productgrp prakong
3. ไดเรกทอรี /home/bomproduct มีเจ้าภาพคือสังกัดกลุ่ม productgrp ในข้อหนึ่งเราสร้างขึ้นมาโดย root ให้เปลี่ยนเป็นกลุ่ม productgrp ด้วยคำสั่ง #chgrp -R productgrp /home/bomproduct
4. กำหนดให้ไดเรกทอรีหรือไฟล์ใดๆ ที่ถูกสร้างขึ้นมาเป็นกลุ่ม productgrp เสมอไม่ว่าผู้สร้างจะเป็นใครสังกัดกลุ่มไหน ด้วยคำสั่ง #chmod -R 2775 /home/bomproduct
5. เพิ่มผู้ใช้งานจากกลุ่มต่าง ๆ เข้าเป็นสมาชิกของกลุ่ม productgrp
#gpasswd -M tawich,somporn (ตัวอย่างนี้เป็นการเพิ่ม user 2 คนจากกลุ่ม mktgrp เข้าเป็นสมาชิกเพิ่ม)
6. กำหนด umask ในไฟล์ /etc/bashrc ให้เป็น 002 (ตัวอย่างนี้เป็น FC9)
7. สร้างแชร์ริ่งด้วย samba แก้ไขไฟล์ /etc/samba/smb.conf
[bomfiles]
comment = BOM for Product
path = /home/bomeproduct
browseable = yes
read only = no

นี่เป็นตัวอย่างจริง ๆ จากการ implement ให้บริษัทแห่งหนึ่ง และได้ใช้ samba โดยมีลีนุกซ์เป็นพลังขับเคลื่อนระบบ BOM มาจนถึงบัดนี้....
เอกสารการ implement โดยละเอียดพร้อมภาพประกอบ ผู้อ่านสามารถดาวน์โหลดได้ที่นี่


แหล่งข้อมูลเพิ่มเติม เกี่ยวกับ permission

http://www.redhat.com/docs/manuals/linux/RHL-8.0-Manual/ref-guide/s1-users-groups-private-groups.html
http://www.lockergnome.com/linux/2002/08/29/the-users-mask/
http://www.dartmouth.edu/~rc/help/faq/permissions.html
http://www.ubuntuclub.com/node/58

Read more »

Endian Firewall and Gmail

ลูกค้าบริษัทแห่งหนึ่่งได้อีเมล์มาถามผู้เขียนว่า ใช้ Outlook Express ส่งเมล์ขาออกไม่ได้ ปัญหานี้เกิดหลังจากที่ได้ติดตั้ง endian firewall แล้ว ซึ่งผู้เขียนแสดงวิธีการตั้งค่าใช้งาน และการแก้ปัญหาในเว็บนี้ เพื่อเป็นกรณีศึกษาต่อไป

--- gmail มีบริการอีเมล์ประเภท pop และ imap ให้ใช้ฟรี เพื่อลูกค้าจะสามารถใช้โปรแกรม mail client ต่าง ๆ เช่น Outlook Express รับและส่งเมล์ของ gmail ได้ ซึ่งนอกจากกจะเพิ่มความรวดเร็วในการรับส่งเมล์แล้ว ผู้ใช้ยังเก็บเมล์ไว้อ้างอิงในคอมพิวเตอร์โดยไม่ต้องเข้าอินเทอร์เน็ตได้ด้วย และยังใช้ความสามารถของโปรแกรมเมล์เหล่านี้ในการบริหารจัดการงานต่าง ๆ ของอีเมล์ได้อีกด้วย โดยส่วนใหญ่เราจะรู้จักการใช้ gmail โดยผ่านเว็บ gmail.com ซึ่งเป็นการใช้ผ่าน www กันเป็นส่วนใหญ่ แต่ก่อนที่เราจะใช้ pop ของ gmail ได้นั้น ต้องเปิดใช้บริการกันเสียก่อน ในชื่ออีเมล์ของเรานั่นแหละ เมื่อลอกอินเข้าได้แล้วให้เลือก Setting ที่มุมบนขวามือของจอใกล้ ๆ กับชื่ออีเมล์ของเรา เพื่อเปลี่ยนเว็บเพจเป็นหน้า setting



ที่หน้าจอเหลืองนี่แหละเลือกคลิกที่ Forwading and POP/IMAP โดยเลือกเปิด pop ได้สองแบบคือ

Enable POP for all mail
Enable POP only for mail that arrives from now

และอย่าลืมคลิกปุ่ม Save Change ด้านล่างด้วย เท่านี้ก็พร้อมจะรับ gmail มานั่งอ่านที่คอมพิวเตอร์ของเราแล้ว

การกำหนดค่าเมล์แบบ pop ( Post Office Protocol ) มีค่าที่จะต้องรู้จักและเซ็ตให้ถูกต้องคือ

1. incoming server และ (port number)
--- Gmail ใช้เป็น pop.gmail.com : (port 995)
2. outgoing server และ (port number)
---- Gmail ใช้เป็น smtp.gmail.com (port 25) หรือบางครั้งใช้ port 465
3. ---email address: username@gmail.com
----- password: พาสเวิร์ดที่เราใช้ gmail ประจำผ่านทางเว็บไซต์นั่นแหละ

ตัวอย่างการ config Microsoft Outlook



config Incoming/Outgoing Server



Incoming server (POP3): 995
เลือกตัวนี้ด้วย This server requires an encrypted connection (SSL)

Outging server (SMTP): 25
เลือกตัวนี้ด้วย This server requires an encrypted connection (SSL)

เท่านี้ก็เสร็จขั้นตอนการคอนฟิกโปรแกรมรับเมล์แล้ว และพร้อมที่จะใช้งานได้แล้ว โดยที่เมล์ขาเข้าจะเข้ามาทางพอร์ตหมายเลข 995 และเมล์ฝั่งส่งออกจะผ่านพอร์ตหมายเลข 25 ของ endian firewall

ปัญหาของลูกค้าข้างต้น เกิดเมื่อใช้โปรแกรม outlook express ส่งเมล์ขาออก โดยใช้ชื่อ login ของ gmail ---
หากจะให้เป็นความผิดของ endian firewall ก็ควรจะเป็นการปิดพอร์ตฝั่ง Outgoing traffic ซึ่งจะเป็นเช่นนั้นหรือไม่ เรามาพิจารณาค่า Outgoing traffic ที่หัวข้อ Firewall ทั้งพอร์ต 25 และ 995 ควรจะปรากฏอยู่เป็น Allow



ซึ่งยังไม่ทันได้แก้ปัญหาอะไร ลูกค้าของเราก็แจ้งกลับมาว่าส่งเมล์ออกได้แล้ว โดยเปลี่ยนพอร์ตของ Outgoing เป็น 25 แทน 465 ซึ่งผู้เขียนได้ทดลองทั้งสองพอร์ต ปรากฏกว่าพอร์ต 25 ได้ และบางครั้งพอร์ต 465 ได้ เอาแน่ทั้งสองพอร์ตไม่ได้ แต่ว่าพอร์ต 25 ดูเหมือนจะใช้ได้ทุกๆครั้งที่เซต

Read more »

fcrontab เล็กๆน้อย กับ endian firewall

-x /bin/run-parts รันสคริปไฟล์ที่เจอในไดเรกทอรีนั้น เช่น
-x /bin/run-parts /etc/cron.daily -> รันสคริปทุกไฟล์ที่เจอในไดเรกทอรี cron.daily

DESCRIPTION
run-parts is a utility that will run scripts that are found in a direc-
tory. For example, it might be useful to create an /etc/cron.daily
directory and put scripts in there for daily cron jobs. Then run-parts
can be called once a day from root's crontab to run all the scripts
found in /etc/cron.daily:

40 4 * * * run-parts /etc/cron.daily

run-parts automatically skips files with certain suffixes that are gen-
erally associated with backup or extra files. Any file that ends in
one of these will be silently ignored: ~ ^ , .bak .new .rpmsave
.rpmorig .rpmnew .swp

AUTHOR
Patrick J. Volkerding , with ideas borrowed
from the Red Hat and Debian versions of this utility.

Read more »

Scheduler Shutdon Endian firewall at 17.40 AM

ลูกค้าผู้มีอุปการะคุณได้กรุณาคอมเมนต์ Endian Firewall อยากให้ปิดเองช่วงเวลา ห้าโมงสี่สิบนาที ซึ่งเป็นเวลาที่ office ปิดแล้ว จะได้ช่วยชาติประหยัดไฟ ประหยัดแอร์ ที่สำคัญประหยัดงบซ่อมบำรุงตัว endian ที่จะไปก่อนเวลาอันสมควรด้วยความร้อนแรงของอุณหภูมิในบ้านเราด้วย

Read more »

Disable CD Rom ปิดกันให้หมด ???

หลังจากที่ได้แนะนำวิธีปิด usb เพื่อป้องกันการใชแฟลซไดร์ฟกันไปแล้ว ผู้อ่านท่านที่เคารพที่มาเห็นบทความนี้เป็นครั้งแรกอาจแปลกใจ ทำไมต้องปิด usb และ cd กันเล่า??? ซึ่งจะได้ชี้แจงแถลงไขให้ทราบ โดยนัยแห่งความปลอดภัยของข้อมูลองค์กร กล่าวคือ
บริษัทที่มีระบบความปลอดภัยอันยอดเยี่ยมแล้ว ทำไมข้อมูลจึงรั่วไหลไปสู่คู่แข่งได้ ??? เหตุใดบริษัทมีโปรแกรมป้องกันไวรัสชั้นยอดเยี่ยมแล้ว คอมพิวเตอร์ยังติดไวรัสอีกเล่า ??? บริษัทใดที่พนักงานยังใช้แฟลซไดร์ฟ มากกว่าเน็ตเวิร์ก บริษัทใดยังมีเครื่องซีดีรอมบนคอมพิวเตอร์ให้พนักงานได้เปิดหนังฟังเพลง และลงโปรแกรมได้อย่างเสรีแล้ว ถึงแม้บริษัทเหล่านั้นจะมีระบบรักษาความปลอดภัยชั้นเยี่ยม ก็อย่าพึงคาดหวังความปลอดภัยของข้อมูลกันเลย ว่าจะไม่มีการรั่วไหลไปไหน นั่นเพราะองค์กรได้เปิดประตูไว้อำนวยความสะดวกต่อการกระทำนั้นๆอยู่แล้ว...นั่นเอง

แล้วเราจะป้องกันปัญหาข้อมูลรั่วไหล และไวรัสได้อย่างไรหล่ะ ??? คำตอบสั้น ๆ คือ "ปิดประตู นั่นซะ" เพราะการห้ามหรือเขียนประกาศ ไม่เกิดผลทางปฏิบัติแน่นอน แล้วต้องปิดอย่างไร และปิดอะไรบ้าง

การปิดซีดีรอมทำได้หลายวิธี เช่น ถอดสายไฟ ถอดสายเคเบิล ภายในตัวเคส วิธีนี้เป็นวิธีดิบ ๆ ถ้าองค์กรมีคอมพิวเตอร์เป็นร้อย admin คงปวดหัวแน่ อีกทั้งผลข้างเคียงก็เยอะ ดีไม่ดีฮาร์ดดิสก์จะพลอยใช้งานไม่ได้ด้วย และคอมพิวเตอร์ขององค์กรเป็นโน๊ตบุ๊ก การถอดเคส ถอดสายคงทำไม่ได้แน่ หรือการปิดฟังก์ชั่นบนไบออส ไม่ให้เห็นซีดีรอม กันเลย ก็ออกจะอนุบาลอยู่ เพราะบางครั้งตัวไบออสกลับไปเป็นค่าเดิมซีดีรอมก็กลับใช้ได้มาอีก และผู้ใช้งานเองก็ฉลาดน้อยซะเมื่อไหร่หล่ะ เมื่อจะแก้ที่ตัวไบออสเอง (เสียชื่อ admin ผู้ปิดเข้าไปใหญ่) หากใช้โปรแกรมยูทิลิตี้ช่วย ก็เหมือนจะอาย ๆผู้ใช้อยู่ แหมจะปิดกันทั้งที ยังมีโปรแกรมยูทิลิตี้ฝังอยู่ในคอมพิวเตอร์ให้น่าลองแก้ ลองใช้อยู่อีก ....

วันนี้เรามาใช้วิธีการของ admin โดยเข้าไปปิดใน register ให้มันดูเป็นผู้เชี่ยวชาญน่าเกรงขามหน่อย เช่นเดียวกับวิธีปิด usb คราวก่อนนั่นแหละ

ขณะที่ยังไม่ปิด CD ROM ใน register


-- login เป็น Administrator
--- ไปที่ Start -> Run -> regedit พิมพ์เข้าไปแล้วกด enger
---- HKEY_LOCAL_MACHINE
----- SYSTEM -> CurrentControlSet -> Services -> Cdrom

ที่ด้านขวามือดับเบิลคลิกที่คำว่า Start แล้วใส่เลข 4 เข้าไปแทนเลขตัวเดิม แล้วปิดหน้าต่าง register ปิดเครื่องคอมพิวเตอร์และเปิดใหม่ คราวนี้ CD ก็หายไปจาก My Computer แล้ว สำหรับแอดมินเมื่อต้องใช้ใหม่ ท่านก็กลับเข้ามาใส่เลข 1 แทนเลข 4 เหมือนเดิม



ต่ออีกสักนิดใน HLM -> SYSTEM -> CurrentCntrolSet -> Services เรายังปิด floppy drive ได้อีกด้วยการเลือกหัวข้อ Floppy และปิดโดยนัยเดียวกันกับปิดซีดีนั่นแล

Read more »

IP Camera and Endian Firewall

พี่ชายท่านหนึ่งใช้คอมพิวเตอร์ที่บ้านสามารถเห็นคลังสินค้าผ่านอินเทอร์เน็ตโดยใช้กล้องวงจรปิดได้ แต่พอมาเปิดที่ออฟฟิต กลับเข้าไม่ได้ ซึ่งคอมพิวเตอร์ที่ใช้ก็เป็นเครื่องเดียวกัน โปรแกรมเดียวกัน จึงมีคำถามว่า "เกิดจาก endian firewall" ที่ติดตั้งอยู่หรือไม่ คราวนี้ endian firewall เป็นผู้น่าสงสัยที่สุด และก็ควรจะเป็นเช่นนั้น เนื่องจากการเข้าสู่ระบบของกล้องจะต้องระบุพอร์ตด้วย (มีธงคำตอบอยู่ในใจแล้ว) เหลือแต่ปฏิบัติตามธงนั้น...

คำศัพท์ที่เราไปถามท่านอาจารย์ google คือคำยาว ๆ ด้านล่างนี้ คำตอบที่ได้ไม่เข้าประเด็นที่จะแก้ได้...

HtmlAnvView:D7B039C1-5929-49B3-913E-EB62C8866FC4

นี่คือหน้าตาของเว็บ CCTV ปลายทางเมื่อดูผ่านเน็ต ซึ่งจะต้องทำการคอนเน็กเข้าไปด้วย username และ password ให้ได้เสียก่อน



หลังจากที่คุยกับบริษัทผู้ติดตั้งอยู่นานได้คำตอบเดียวคือ "ติดอยู่ที่ firewall ของพี่นั่นแหละ" เกือบยี่สิบครั้ง แต่ไม่ได้บอกว่าให้เปิดพอร์ตไหนได้บ้าง??

ไม่เป็นไร hacking ดูพอร์ตเองก็ได้ ด้วยวิธีการง่าย ๆ สมมติว่าคอมพิวเตอร์เครื่องที่ต้องใช้ CCTV นี้หมายเลขไอพีคือ
192.168.0.2 ก็เข้าไปที่ console ของ endian firewall ด้วย putty และใช้คำสั่งดังนี้

tail -f /var/log/firewall | grep 192.168.0.2

ลองสังเกตุไปเรื่อย ๆ พบว่ามัน DROP DST:6802 หลายบรรทัด เข้าเค้าแฮะ ไปที่ gui ของ endian firewall แล้วทำการเลือกหัวข้อ Firewall ให้เปิด Allow Port : 6802



จากนั้นลองเข้าดูอีกครั้งหนึ่ง .... นั่นประไรหล่ะ connected ได้แล้ว




สิ่งที่เป็นสาระสำหรับบทบความนี้คือ "การอนุญาติให้คอมพิวเตอร์ใด ๆ ด้านหลังของ endian firewall ผ่านเข้าไปยังอุปกรณ์ปลายทางที่เปิดพอร์ตเฉพาะไว้ จะต้องเปิดพอร์ตหมายเลขเดียวกันนั้นที่ outgoing ของ endian firewall ด้วย"

Read more »

Change New Hardware Endian Firewall เมื่อถึงคราวย้ายบ้านของ endian

เมื่อถึงคราวต้องเปลี่ยนเครื่องคอมพิวเตอร์ใหม่ให้กับ endian firewall ขององค์กรที่ใช้งานมานาน หรือต้อง setup ใหม่ก็ตาม การจะกำหนดค่าต่าง ๆของ endian firewall ให้เหมือนกับต้นฉบับนั้นคงทำได้ยากทั้งเรื่องการ config การกำหนดusername / password และ อีกทั้งจะให้เก็บ log อย่างต่อเนื่อง เป็นต้น endian เองได้ออกแบบระบบ backup ที่ใช้งานง่ายและสะดวกต่อการย้ายระบบใหม่ ดังตัวอย่างที่ผู้เขียนได้ setup endian ขึ้นมาใหม่และใช้ backup จาก endian เดิมมาใช้ ผลสรุปอะไรจะมาบ้าง อะไรบ้างที่จะไม่มาช่วงท้าย ๆ จะเล่าให้ฟัง ตอนนี้เรามาเริ่ม backup endian ตัวเดิมตามขั้นตอน ดังนี้

1. login เข้าสู่ http://endian_ip/ จากคอมพิวเตอร์ที่เราจะ save ไฟล์ backup มาเก็บไว้
2. ที่เมนู System -> เลือก Backup



จะทำเราไปสู่หน้าจอถัดไปให้เลือก create backup
ในหัวข้อ Create new Backup ให้เลือก
Current configuration:
-- > จะเก็บ /var/efw ทั้งหมด ซึ่งไดเรกทอรีนี้เป็น configuration ทั้งหมดที่เรา set ใน endian
Include database dumps
Include log files
---> จะเก็บ /var/log
Include log archives
---> log ที่เป็น .tar จะถูก backup ด้วย ซึ่งไฟล์เหล่านี้จะถูกเรียกใช้เพื่อดู log ย้อนหลังใน GUI LOG

ให้คลิกปุ่ม Create Backup จะใช้เวลานานหรือสั้นนั้นขึ้นอยู่กับ log ที่เราเก็บว่ามีขนาดเยอะหรือไม่ ของผู้เขียนใช้มานานขนาดของไฟล์ backup ก็หลายร้อยเมกะไบต์




หลังจาก backup เสร็จแล้วให้คลิกปุ่ม save เพื่อจะ download มาเก็บไว้ที่เครื่องของเราต่อไป



3. ติดตั้ง endian firewall บนคอมพิวเตอร์เครื่องใหม่ กำหนดหมายเลขไอพีให้กับ Green เพื่อเราจะได้เข้า endian ได้
เมื่อติดตั้งเสร็จแล้วและสามารถเข้า endian ได้แล้ว จะพบกับหน้าจอ Welcome to endian -> เลือกภาษา -> ยอมรับเงื่อไข -> จากนั้น endian จะถามว่า Do you want to restore a backup? ให้เลือก Yes และเลือกไฟล์ backup ที่เรา download มาไว้เก็บไว้ในคอมพิวเตอร์โดยเลือกจาก Browse




จากนั้น endian จะทำการคอนฟิกระบบเอง เมื่อเสร็จแล้วจะ reboot เองอัตโนมัติ เมื่อได้บูตใหม่แล้วจะเป็นค่าจากการ backup อัตโนมัติ ทั้งค่า Green และ Red รวมทั้งการคอนฟิก serverice อืน ๆ ด้วย

สำหรับปัญหาที่จะใช้ไม่ได้จากการ restore คือ Group Policy ใน Proxy จะเกิดหน้าจอว่าง ๆ ใช้ไม่ได้ วิธีแก้ปัญหาให้ศึกษาจากหัวข้อ "ปัญหา Authenticated ของ Proxy ไม่โชว์ " ในเว็บเดียวกันนี้

ซึ่งใช้ย่นระยะเวลาการติดตั้ง endian firewall ใหม่ไปได้มากทีเดียว หากไม่มีระบบ backup แบบนี้คงต้องไปถาม ชื่อ user และ password ใหม่ หากมีหลายร้อนคนคงไม่สนุกแน่ และดูไม่เป็น admin มืออาชีพเอาซะด้วย ....

Read more »

Disable USB Device - จะยกเลิกการใช้ usb กันเลยหรือ???

เป็นเสียงบ่นของ admin เมื่อได้รับนโยบายด้านความปลอดภัยของข้อมูลมาจากฝ่ายบริหาร มาตรการหนึ่งคือ "ให้ยกเลิกการใช้ flash drive" ทั้งหมด ส่วนวิธีการจะทำอย่างไรนั้นฝ่าย IT ต้องไปจัดหามาดำเนินการ ด้วยต้นทุนที่น้อยที่สุด และระยะเวลาดำเนินการให้รวดเร็ว ในความรู้สึกของผู้ใช้คอมพิวเตอร์แล้ว มาตรการนี้ดูออกจะรุนแรงเกินไป เพราะ flash drive เมื่อใช้ให้เกิดประโยชน์แล้วย่อมมีคุณค่ามากมาย เช่นเอาไว้ backup ข้อมูล หรือส่งข้อมูลให้ฝ่ายต่าง ๆ หรือนำข้อมูลที่ทำยังไม่เสร็จจากที่ทำงานมาทำต่อที่บ้าน เป็นต้น หากมองในความรู้สึกของฝ่ายบริหาร flash drive ย่อมเป็นสื่อที่อันตรายที่จะนำความลับของบริษัทออกไปภายนอก หรือนำภัยคุกคามต่อคอมพิวเตอร์ต่าง ๆจากภายนอก มาสู่คอมพิวเตอร์ภายใน เป็นต้น

--- การปฏิบัตินโยบายลักษณะนี้ให้สำเร็จ โดย"บัวไม่ให้ช้ำ น้ำไม่ให้ขุ่น" จึงเป็นสิ่งที่ต้องคำนึง และพิจารณากันอย่างรอบคอบ ทั้งฝ่ายบริหาร ผู้ปฏิบัติ และผู้ใช้งาน เช่น

1. หากไม่มี flash drive แล้ว จะทำให้การส่งข้อมูลจากผู้ใช้งานสู่ผู้ใช้งาน หรือจากฝ่ายหนึ่งไปให้ฝ่ายหนึ่งภายในบริษัท จะสามารถทำได้ โดยสะดวกหรือไม่--- หากบริษัทมีระบบเน็ตเวิร์ก และ file sharing server ก็สามารถประยุกต์ใช้เพื่อส่งไฟล์ถึงกันได้ และสะดวกกว่าการใช้ flash drive หากบริษัทใช้ Linux Server หรือ Windows2003 ยังสามารถ set ระบบเมล์ภายในขึ้นมาใช้เสริมการแชร์ไฟล์ ได้ด้วย ในกรณีเช่นนี้ การใช้ flash drive ก็ไม่จำเป็น

2. การติดต่อกับลูกค้า จะทำได้หรือไม่ ?
--- หากบริษัทมีระบบ internet แล้ว การส่งรับไฟล์กับลูกค้ามักจะใช้อีเมล์กันเป็นส่วนใหญ่ อาจจะมีใช้ flash drive บ้าง เมื่อต้องไป present ที่บริษัทของลูกค้า เช่นนี้ก็อาจจะมีกฏของบริษัทเป็นข้อยกเว้น เพื่อการใช้งานได้

3. หากไม่มี flash drive ข้อมูลต่าง ๆ ในฮาร์ดดิสก์เมื่อสูญหายจะมีการ backup ไว้ให้ผู้ใช้หรือไม่?--- ระบบ server ของบริษัทเป็นลักษณะให้ผู้ใช้เก็บข้อมูลใน server หรือยัง ? เรื่องนี้จัดว่าสำคัญในระบบต้น ๆ หากนโยบายเรื่องความปลอดภัยของข้อมูล แต่ไม่มีนโยบายเกี่ยวกับการจัดเก็บข้อมูล การที่ข้อมูลหายก็อาจจะสูญเสียพอๆกับข้อมูลรั่วไหลเช่นกัน ถ้ามีระบบ server และให้ผู้ใช้เก็บข้อมูลใน server แล้ว การใช้ flash drive ก็ไม่มีความจำเป็นที่จะต้องใช้เพื่อ backup ข้อมูลอีก

4. หากงานไม่เสร็จจะนำกลับไปใช้ต่อที่บ้าน จะทำอย่างไร ???---- ขึ้นอยู่กับนโยบายของบริษัทแต่ละแห่ง ซึ่งส่วนใหญ่แล้วนโยบายด้านข้อมูล จะไม่อนุญาตให้ผู้ใช้นำข้อมูลออกไปทำต่อที่บ้าน โดยเฉพาะงานที่ต้องนำเอกสารออไปพิมพ์ด้วย

ผู้เขียนได้ implement ระบบซึ่งมีการยกเลิกการใช้ flash drive หลายบริษัท ในหัวข้อเรื่อง "Samba กับการรักษาข้อมูลต่าง ๆขององค์กร" โดยจะให้ผู้ใช้งานเห็นร่วมและปฏิบัติตามด้วยความเต็มใจนั้น จะต้องจัดเตรียมสิ่งอำนวยความสะดวกทั้งเรื่อง file server หรือ ระบบเมล์ภายในขึ้นมารองรับก่อน หากไปปิดหรือยกเลิกโดยไม่มีระบบใด ๆ ขึ้นมารองรับ ไม่นานนโยบายก็ใช้ต่อไม่ได้ และส่งผลให้งานเอกสารต่าง ๆต้องล่าช้า กลับมาเป็นข้ออ้างของผู้ใช้งานได้

เมื่อต้องปิด usb เพื่อยกเลิกการใช้ flash drive จริง ๆ การ config windows เพื่อยกเลิก usb สามารถทำได้ง่าย ๆ โดยไม่ต้องใช้โปรแกรมเสริมใด ๆ

วิธีการปิด usb :

http://support.microsoft.com/kb/823732 ได้แนะนำวิธีไว้ สอง กรณีตือ

1. ถ้าได้มี usb device ติดตั้งอยู่แล้ว ให้เซ็ตค่าในรีจิสเตอร์ ดังนี้
เข้าไปที่
--- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
----- ดับเบิลคลิกที่ Start
------- ใส่ค่าเป็น 4 และเลือกแบบเป็น Hexadecimal
--------- ออกจาก registry



ตรวจสอบดูที่ device manager จะพบว่า Usb Mass Storage Device เป็นสีเหลือง หากต่ออุปกรณ์ใด ๆ เข้าไปทาง usb อุปกรณ์นั้น ๆจะไม่แสดงผลที่ My Computer ก็เท่ากับว่าใช้งานไม่ได้นั่นเอง



http://blogs.technet.com/fixit4me/archive/2009/01/30/disable-usb-storage-devices-fix-it-live.aspx

Read more »

Openvpn Got the same ip address on PC Client

OpenVPN ได้หมายเลขไอพีกลุ่มเดียวกับ PC client

ปัญหา :

แต่ก่อนใช้คอมพิวเตอร์ต่ออินเทอร์เน็ตโดยใช้ Mobile Internet และต่อ OpenVPN ไปที่บริษัท ก็มองเห็น server และใช้ข้อมูลในบริษัทได้ เป็นปกติ ต่อมาเปลี่ยนไปเป็นอินเทอร์เน็ตแบบ ADSL โดยต่อคอมพิวเตอร์เข้ากับตัว ADSL Modem และได้รับแจกหมายเลขไอพีมาจากตัว ADSL modem นั้น เข้าอินเทอร์เน็ตได้ปกติ แต่เมื่อคอนเนค OpenVPN ไปที่บริษัทได้แล้ว กลับมองไม่เห็น server ของบริษัท มีรายละเอียดเกี่ยวกับหมายเลขไอพี ดังนี้
--- Samba File server ที่่บริษัทหมายเลข 192.168.1.9
--- EWF ที่เป็น OpenVPN Server มีหมายเลขไอพี ของ Green คือ 192.168.1.5
--- OpenVPN Client ที่เครื่่อง XP นี้หลัง connect ได้แล้วจะได้รับหมายเลข 192.168.1.252
--- ADSL Modem มีหมายเลขไอพี 192.168.1.1

นี่เป็นตัวอย่าง ของลูกค้ารายหนึ่งที่ใช้ระบบ VPN ทำงานจากที่่บ้าน เมื่อเปลี่ยนมาใช้ ADSL กลับมองไม่เห็น server

ปัญหานี้แก้ได้โดยให้ config หมายเลขไอพีของ adsl modem ใหม่ให้เป็นเน็ตวงอื่นอย่าให้เหมือนกับเน็ตของบริษัทในที่นี้ต้องเปลี่ยน ADSL Modem ให้เป็น net กลุ่ม 192.168.0.0 เป็นต้น เพื่อให้ตารางเราท์ของ windows ทำงานได้อย่างถูกต้อง

Link เพิ่มเติม :
OpenVPN - creating a routed VPN
OpenVPN "Routing" –versus– "Bridging"

---

Read more »

เศรษฐกิจโลกแบบนี้จะลดต้นทุนไอทีได้อย่างไร?

ในสภาวะเศรษฐกิจถดถอยขณะนี้ เชื่อว่าหลายบริษัทคงเตรียมตัวหาหนทางลดต้นทุนทางด้านไอทีลง และการลงทุนทางด้านไอทีใหม่ ๆ ก็คงชลอไปก่อน ฝ่ายที่หนาวๆร้อนๆตอนนี้คงไม่พ้นฝ่ายไอทีหรือผู้ที่มีหน้าที่บริหารจัดการทางด้านไอทีแน่นอน หลายๆท่านได้เริ่มคิดทั้งนอกกรอบและในกรอบกันบ้างแล้ว อย่างไรก็ตามไม่ว่าจะคิดในกรอบหรือนอกกรอบ ก็ต้องอยู่ในโลกของความเป็นจริงที่บริษัทว่าจะสามารถใช้ประโยชน์จากไอทีได้ และสามารถแข่งขันกับคู่แข่งได้ด้วย..บริษัทไอทีทริปเปิลพลัสเอง ในฐานะผู้ให้คำแนะนำและจัดการระบบไอทีด้วยต้นทุนที่ต่ำ จึงอยากจะนำเสนอไอเดียจากประสบการณ์จริง และจากแนวความคิด(นอกกรอบ)บ้าง

ต้นทุนทางด้านไอทีแต่ละบริษัทอาจไม่เหมือนกัน บางบริษัทต้นทุนอยู่ที่การซ่อมบำรุงฮาร์ดแวร์ และการแก้ปัญหาต่าง ๆ บางบริษัทต้นทุนส่วนใหญ่อยู่ที่การซื้อ software เป็นต้น ไม่ว่าจะอยู่ส่วนไหนฝ่ายไอทีควรสรุปออกมาเป็นตัวเลขให้ได้ เพื่อจะได้ลดได้ตรงจุด และสิ่งหนึ่งที่หลายบริษัทเริ่มให้ความสนใจมากขึ้นคือระยะเวลาที่เสียไปกับการที่คอมพิวเตอร์นั้นทำงานไม่ได้ หรือต้องรอ เป็นต้นในบทความนี้จะไม่ใช้สูตรคณิตศาสตร์หรือทฤษฏีให้ดูยุ่งเหยิง แต่จะสรุปจากประสบการณ์ที่เห็นได้ในทางปฏิบัติ ดังนี้

แนวทางที่ 1 จัดคอมพิวเตอร์ให้เหมาะสมต่อจำนวนคนและต่อพื้นที่

---- ผู้เขียนพบบริษัทของลูกค้ารายหนึ่งมีเครื่องคอมพิวเตอร์ประจำโต๊ะของผู้ใช้งานทุกโต๊ะ เรียกว่าหนึ่งคนต่อหนึ่งเครื่อง มีผู้ใช้จำนวน 30 คน คอมพิวเตอร์ก็จำนวน 30 เครื่อง ในช่วงเวลาที่ผู้เขียน implement นั้นพบว่าคอมพิวเตอร์บางเครื่องหนึ่งอาทิตย์ก็ยังไม่เคยเปิดเลย ในส่วนของผู้ใช้งานหากเครื่องของตนเองเสียก็จะรอจนกว่าเครื่องจะซ่อมเสร็จไม่ยอมไปใช้คอมพิวเตอร์ของคนอื่น เป็นต้น เมื่อคอมพิวเตอร์ที่เป็นประธานของต้นทุนมีจำนวนมาก รายจ่ายต่าง ๆ ย่อมมีตัวคูณมากไปด้วย
--------- ฉะนั้นการจัดสรรจำนวนผู้ใช้งานต่อคอมพิวเตอร์หนึ่งเครื่องจะช่วยลดต้นทุนได้เช่นตัวอย่างข้างต้น ผู้เขียนได้ implement โดยจัดคอมพิวเตอร์ 1 เครื่องต่อผู้ใช้ 3 คน คอมพิวเตอร์จะลดลงเหลือเพียง 10 เครื่อง มีที่ต้องใช้โปรแกรมเฉพาะด้านอีกประมาณ 10 เครื่อง โดยแนวทางนี้บริษัทสามารถใช้คอมพิวเตอร์ 20 เครื่องกับปริมาณงานเท่าเดิมได้
--------- ส่งเสริมระบบจำนวนผู้ใช้ต่อเครื่องให้เป็นจริงมากขึ้นด้วยการตั้งคอมพิวเตอร์แบบ pool กลางแต่ละฝ่ายก็จะมีพื้นทีว่างในห้องก็จัดคอมพิวเตอร์ออกจากโต๊ะทำงานและจัดเรียงให้เป็นระเบียบในแต่ละฝ่าย ส่วนใหญ่จะโดนต่อต้านบ้างในช่วงแรก เมื่อทำเป็นระบบทัังหมดแบบเสมอภาคกันแล้ว ทุกฝ่ายก็จะยอมรับ อีกทั้งยังทำให้ตนเองมีพื้นที่โต๊ะทำงานมากขึ้นด้วย

แนวทางที่ 2 ส่งเสริมให้ใช้ข้อมูลผ่านระบบ network เพื่อช่วยลดเวลา และกระดาษให้มากที่สุด
------ บริษัทที่มีคอมพิวเตอร์มากกว่าสองเครื่องส่วนใหญ่จะมี network เราก็ใช้ network นั้นให้เป็นประโยชน์มากที่สุด โดยทำเป็นพื้นที่ให้ผู้ใช้ได้ใช้ประโยชน์ร่วมกัน เมื่อฝ่ายหนึ่งจะส่งรายงานหรือไฟล์ให้อีกฝ่ายหนึ่ง แทนที่ copy ลง flash drive หรือพิมพ์เป็นเอกสารไปให้ก็ส่งเป็นไฟล์ไป กระดาษก็จะลด เครื่องพิมพ์ก็จะใช้งานน้อยลง แต่ละหน่วยงานก็ต้องมาตกลงกันว่าเอกสารแบบไหนที่ต้องการกระดาษ เอกสารแบบไหนที่ไม่จำเป็นต้องเป็นกระดาษ ในบริษัทลูกค้าตัวอย่างนั้นผู้เขียนได้เอาคอมพิวเตอร์จากที่เหลือด้วยการจัดสรรนั้นมาทำเป็น Linux Server 1 เครื่อง และทำเป็น Linux Mail Server อีก 1 เครื่อง ให้พนักงานได้ใช้ทั้ง file shareing และเมล์ภายในกันเลย สิ่งที่เห็นได้ชัดเจนคือเวลาที่ผู้ใช้งานต้องสูญเสียไปกับการ copy ข้อมูล การเดินไปหาอีกฝ่ายหนึ่ง และกระดาษลดลงอย่างเห็นได้ชัด

แนวทางที่ 3 คอนฟิกคอมพิวเตอร์ให้ stable เสียแต่ต้น ปิดวงจรไวรัสทั้งหลาย ช่วยลดการซ่อมบำรุงคอมพิวเตอร์ได้มาก
----- ผู้เขียนได้ set คอมพิวเตอร์ทั้งหมดนั้นโดยหยุดฟังก์ชั่น autorun / autoplay และหยุด serverice ต่าง ๆ ที่ไม่จำเป็น เพื่อปิดทางการทำงานของไวรัส มีการ set ระบบ restore ข้อมูลเมื่อโปรแกรมวินโดสว์เกิดเสียหาย ก็เรียกระบบเดิมกลับมาใช้งาน โดยไม่ต้องติดตั้ง hardware ใดๆ อันเป็นการเพิ่มต้นทุนอีก ทุกอย่างนั้น config ได้โดยตัวของวินโดวส์เอง หากคอมพิวเตอร์เครื่องใดเสียก็ให้ admin ของบริษัทแก้ปัญหาตามแนวทางที่ set ไว้ เกือบหนึ่งปีที่ไม่เคยยกเครื่องออกไปซ่อมกันเลย มีเพียงแต่ตัว hardware เสียเท่านั้น และไวรัสที่ติดเข้ามาในเครื่องแทบจะไม่มีเลย ก็ช่วยประหยัดการงบการซ่อมบำรุงลงไปเยอะ

ทางด้านการใช้ internet และการลงทุนด้าน network เช่น ระบบจัดเก็บ log ที่จำเป็นต้องมีก็ได้ติดตั้ง endian community โดยการคอมพิวเตอร์ที่เหลือนั้นมา set เพิ่ม...

ส่วนแนวทางการใช้คอมพิวเตอร์เครื่องเดียวและแชร์กันด้วย MagicMirror หรือแม้แต่ระบบ ThinClient นั้นผู้เขียนก็เคย Implement มาแล้ว เห็นว่าประหยัดได้ในช่วงแรกเท่านั้น แต่จะเสียค่า maintenance สูงมาก และระบบไม่ค่อย stable เท่าที่ควร

และอีกแนวทางหนึ่งคือการใช้ application office ด้วย opensource ทั้งหมดนั้น ก็ต้องดูบริษัทคู่ค้าของเราด้วยว่าการติดต่อสื่อสารกันจะทำได้สะดวกหรือไม่ อย่างไร เท่าที่ผู้เขียได้ implement ให้กับบริษัทแห่งหนึ่งด้วยการใช้ open source ในงานด้าน office พบว่าในบริษัทเองไม่ค่อยมีปัญหา แต่จะมปัญหาเมือต้องติดต่อสื่อสารกับบริษัทคู่ค้าต่าง ๆ จึงยกเลิกไป ไม่ประสบผลสำเร็จเท่าที่ควร..

นี้เป็นเพียงตัวอย่างหนึ่งและยังเป็นความคิดในกรอบอยู่ บทความถัดไปผู้เขียนจะนำเสนอความคิดนอกกรอบที่กำลังทำอยู่ให้พิจารณาต่อไป...

Read more »

วันนี้คุณ backup server หรือยัง????

คำถามนี้ถ้าเป็นการถามประจำวันที่หัวหน้าถามลูกน้องผู้ถูกถามคงไม่รู้สึกอะไร อาจจะดีเสียอีกที่มีคนคอยเตือน แต่หากเป็นคำถามที่เมื่อมีเหตุการณ์เกิดขึ้นแล้ว ... คำถามนี้กลับกลายเป็นคำถามเอาเรื่องขึ้นมาทันที ทั้งเอาเรื่องแพ่ง และเรื่องสัญญาด้วย

ปฐมเหตุคือว่า Server ที่บริษัทลูกค้าของเราเสียกระทันหันทันทีถึงสามเครื่องในเวลาเพียงสองอาทิตย์คือที่สาขากรุงเทพเครื่องหนึ่ง และที่สาขาสมุทรปราการอีกสองเครื่อง ที่สมุทรปราการเป็น IMB X Series ส่วนที่กรุงเทพเป็นเครื่อง HP Desktop Pavillion Gxxx เครื่อง Server ทั้งสามเครื่องเป็น Linux Samba แบบ PDC ทำหน้าที่จัดการระบบ ผู้ใช้งาน และข้อมูลแบบ pool กลาง โดยข้อมูลของ user ทั้งหมดจะเก็บไว้ใน server และ user สามารถเข้าใช้จากคอมพิวเตอร์ได้ทุกเครื่องภายในบริษัท กล่าวโดยเฉพาะเครื่อง IBM ที่สมุทรปราการเป็น Linux File Server เก็บข้อมูลระบบสินค้าคงคลังด้วย linux ติดตั้งและดูแลโดยเรา ส่วนเครื่อง server บริษัทลูกค้าจัดหาเอง

เมื่อเราเข้าไปดูพบว่าเครื่อง IBM shutdown อยู่เมื่อเปิดเครื่องขึ้นมามีเสียงร้อง บีบ ๆ (บี๊บ 2 ครั้ง / 3 ครั้ง / 4 ครั้ง)
ติดต่อฝ่าย support ของ IBM ทันทีพบปัญหาว่าเมนบอร์ดเสีย ในเครื่อง IBM นี้มีฮาร์ดดิสก์สองลูกเป็น SATA 250 GB ในการ setup Linux ไม่ได้ทำเป็นระบบ RAID สิ่งที่ผมร้อนใจมากในขณะที่รู้ว่าเมนบอร์ดเสียนั้นคือฮาร์ดดิสก์ทั้งสองลูกนั้นจะเสียด้วยหรือไม่?? ซึ่งความร้อนใจของผมนั้นมากกว่าองศาของห้อง server ที่ขณะนั้นอยู่ที่่ 31 องศาพอดี ... ทันทีที่เอาฮาร์ดดิสก์ไปเช็คกับคอมพิวเตอร์เครื่องอื่น พบว่าฮาร์ดดิสกลูกหนึ่งเสียและเป็นฮาร์ดดิสก์ลูกที่หนึ่งที่เป็นตัวบูตระบบและเป็น File system อีกทั้งยังเป็น /home พาร์ติชั่นอีกด้วย ถึงตอนนี้ใจของผู้เขียนก็ร้อนเกิน 31 องศาเข้าไปแล้ว จึงต้องรายงานความจริงให้ admin ของลูกค้าทราบ คำถามแรกคือ "คุณ backup server แล้วหรือยัง" มันเสียวแปล๊ปยิ่งกว่าแทงข้างหลังทะลุุถึงหัวใจเสียอีก ยังไงคงต้องฝากความหวังไว้กับฮาร์ดดิสก์อีกลูก ผมได้ตรวจสอบเอกสารการ config server เครื่องนี้ในเอกสารระบุพาร์ติชั่นไว้ดังนี้
----- /dev/sda1 /boot
----- /dev/sda2 /root
----- /dev/sda3 /home
----- /dev/sdb1 /backup
การ backup มีการระบุคำสั่งไว้ใน crontab ดังนี้
--- * 21 * * * /usr/bin/rsync -avzupog /home/ /backup
--- 30 21 * * * /usr/bin/bstock.sh
จากเอกสารพอให้ใจชื้นขึ้นมาบ้างว่ามีการ backup จากฮาร์ดดิสก์ลูกหนึ่งไปสู่ลูกหนึ่งแบบวันต่อวันในเวลา 3 ทุ่ม (* 21 * * *) และคัดเอาเฉพาะไฟล์ที่มีการเปลี่ยนแปลง(-avzupog ) สำหรับไฟล์ชื่อ user+password และ config ไฟล์ /etc/samba เราได้จัดเก็บที่ server ของเราอยู่แล้วการ setup ระบบใหม่จึงไม่น่ามีปัญหามากนัก

ในการปฏิบัติ ฝ่าย suport ของ IBM ได้เข้ามาเปลี่ยนเมนบอร์ดให้ใหม่ภายใน 1 วันจากวันที่แจ้งไปส่วนเราได้ setup Linux ขึ้นมาใหม่และ copy ไฟล์ passwd และ /etc/samba ไปที่ server พร้อมกับ restore ข้อมูลจากฮาร์ดดิสก์อีกลูกหนึ่งกลับ ส่วนที่ยังกังวลอยู่คือ "ข้อมูลคลังสินค้าที่เป็นเรคคอร์ดจะต่อเนื่องหรือไม่" หาก server เสียในช่วงหลังสามทุ่มไปแล้วคงไม่มีปัญหาอะไร แต่หากเสียในช่วงก่อนสามทุ่มข้อมูลที่คีย์เข้าไปในทั้งวันอาจจะไม่อยู่แล้ว เมื่อ user เข้าใช้ข้อมูลใหม่ก็รู้สึกว่าข้อมูลของตนไม่ได้เปลี่ยนแปลงหรือสูญหาย อีกทั้งเรคคอรืดของข้อมูลคลังสินค้าก็ต่อเนื่องไปไม่เสียหาย คงต้องขอบคุณคำสั่ง rsync และ crond ที่ช่วยชีวิตเราในครั้งนี้ server เสียในวันพฤหัส และกลับมาทำงานต่อได้ในวันจันทร์ บริษัทนี้หยุดวันเสาร์ ความสูญเสียจากการไมได้ทำงานสองวันกับอีกครึ่งวันของวันจันทร์

ส่วนเครื่อง HP ที่กรุงเทพนัั้นพึ่งจะเสียก่อนเครื่อง IBM เพียงอาทิตย์เดียวที่สำคัญฮาร์ดดิสก์พังทั้งสองลูก คุณท่านทั้งหลายลองคิดดูนะครับ ผมจะนำข้อมูลกลับมาได้อย่างไร?????




วันนี้ผมจึงอยากถามท่าน admin ทั้งหลายว่า "วันนี้ คุณ backup server แล้วหรือยัง"

Read more »

Samba กับการรักษาข้อมูลต่าง ๆขององค์กร

เรื่องนี้น่าพิจารณาสำหรับผู้เป็นเจ้าของกิจการ เกี่ยวกับการจัดการดูแลข้อมูลต่าง ๆ ในองค์กรของตน

ผู้เขียนได้รู้จักกับเจ้าของกิจการท่านหนึ่งในวงการอุตสาหกรรมไฟฟ้า ท่านได้ให้โจทก์กับผู้เขียนเกี่ยวกับการดูแลข้อมูลต่าง ๆในบริษัทของท่านให้ปลอดภัยได้อย่างไร โดยท่านได้กรุณาเล่าปัญหาภายในองค์กรของท่านให้ผู้เขียนฟัง พอจะสรุปเฉพาะท่ี่่เกี่ยวกับข้อมูล ได้ดังนี้

ภายในบริษัทมีไฟล์เอกสาร document ต่าง ๆทางด้านการออกแบบผลิตภัณฑ์ และสูตรการคำนวณเกี่ยวกับการถอดแบบ และสูตรการเสนอราคา โดย document เหล่านี้เป็นไฟล์ excel บ้างไฟล์ word บ้าง เก็บอยู่ในคอมพิวเตอร์แม้เป็นระบบ network ก็เป็นแบบ workgroup โดยใช้ windowsXP เป็นหลัก ไฟล์ทีสำคัญมากอยู่ที่ฝ่ายวิศวกรรม เมื่อคอมพิวเตอร์เสียทีหนึ่ง ต้องส่งออกไปซ่อมข้างนอก ซ่อมครั้งหนึ่งข้อมูลก็หายทีหนึ่ง เมื่อพนักงานลาออกทีก็จะลบไฟล์ในฮาร์ดดิสก์บ้าง หรือนำข้อมูลออกไปด้วยบ้าง และที่ผ่านมาผลิตภัณฑ์เดียวกัน บริษัทต้องมาเขียนแบบใหม่ อีกทั้งท่านไปเจอไฟล์ของบริษัทตนเองในบริษัทคู่แข่งอีกด้วย...

ฉะนั้นโจทก์ของผู้เขียนคือ "ดูแลไฟล์ข้อมูลต่าง ๆ ในบริษัทของท่านให้ปลอดภัยได้อย่างไร" ซึ่งคำว่า "ปลอดภัย" หมายถึง "เมื่อคอมพิวเตอร์เสียฮาร์ดดิสก์พัง ข้อมูลจะต้องไม่สูญหาย" และ "พนักงานลาออกไปข้อมูลต้องไม่ถูกลบ และไม่ถูกนำออกนอกบริษัท" ที่สำคัญ งบประมาณการจัดการต้องเหมาะสมกับสถานการณ์ในขณะนี้ด้วย จากโจทก์ทั้งหมดเมื่อสรุปเป็นความต้องการตรงกันแล้ว ผู้เขียนได้ implement ด้วย Software Opensource คือ จัดทำ File server ด้วย Samba ดังนี้

1. จัดทำการควบคุมการเข้าใช้คอมพิวเตอร์ของ user ด้วยการระบุตัวตนที่ชัดเจนให้เป็นไปตามพรบ. คอมพิวเตอร์เลยในครั้งเดียวด้วยระบบ SAMBA แบบ PDC (Primary Domain Controller)
2. อาศัยความสามารถของ PDC ให้ user จัดเก็บเอกสารต่าง ๆเกี่ยวกับงานของตนไว้บนเครื่อง server และเข้าใช้งานข้อมูลของตนได้จากคอมพิวเตอร์ทุกเครื่องภายในบริษัท
3. config windows ทุกเครื่องด้วยระบบ restore last good config เมื่อคอมพิวเตอร์เสียไม่จำเป็นต้องส่งซ่อมข้างนอกโดยกู้ระบบคืนได้ด้วยการกดปุ่มเพียงปุ่มเดียว เป็นการบังคับ ให้ผู้ใช้ต้องเก็บข้อมูลไว้บน server ไปในตัวโดยสร้างแรงจูงใจ จากความสูญเสียค่าใช้จ่ายไปกับการซ่อมให้ผู้ใช้เข้าใจ
--- สามข้อนี้ผู้เขียนก็ตอบโจทก์เรื่อง "เมื่อคอมพิวเตอร์เสียฮาร์ดดิสก์พัง ข้อมูลจะต้องไม่สูญหาย" ได้แล้วจากงบลงทุนติดตั้ง Samba สองหมื่นกว่าบาท และได้ใช้ประโยชน์เพิ่มเติมจากระบบ file sharing เป็นผลไปสู่ข้อสี่คือ
4. หยุดการใช้ flash drive ทั้งหมดโดยให้ผู้ใช้หันมาใช้ประโยชน์จากระบบ file sharing ส่งไฟล์ถึงกันภายในบริษัทแทน และมีการ config ตัว windows ไม่ให้ใช้ระบบ flash drive ได้ โดยไม่ใช้โปรแกรมหรือ utility ใด ๆให้เปลืองทรัพยากรของเครื่อง ซึ่งจะดูเหมือนจะเจตนาปิดเกินไป ทำให้เป็นภาพลบต่อพนักงานได้ ถึงข้อสี่นี้ผู้เขียนก็สามารถตอบโจทก์ "พนักงานลาออกไปข้อมูลต้องไม่ถูกลบ และไม่ถูกนำออกนอกบริษัท" ได้แล้ว

ส่วนข้อมูลต้องไม่ถูกลบนั้นเราไม่สามารถห้ามผู้ใช้ได้เนื่องจากสิทธิ์การเข้าถึงข้อมูลต่าง ๆนั้นผู้ใช้งานย่อมมีสิทธิ์เต็มอยู่แล้ว แต่เมื่อเป็นระบบ Samba แล้ว ถึงแม้ผู้ใช้จะลบข้อมูลไป เราก็นำข้อมูลชุด backup ออกมาใช้ได้ ประเด็นนี้จึงไม่ใช่เรื่องสำคัญ ... แต่อย่างใด

คุณรู้หรือไม่ครับว่าตั้งแต่เริ่ม implement วันแรกจนกว่าพนักงานทั้งหมดจะให้ความไว้ใจและปฏิบัติตามระบบที่จัดไว้กินเวลาถึงหนึ่งพรรษาพระเลยหล่ะครับ (สามเดือน)

Read more »

Set Endian Firewall กับ ADSL Modem HUAWEI

Set Endian Firewall กับ ADSL Modem HUAWEI

ปัจจุบันบริษัทต่าง ๆ ใช้อินเทอร์เน็ตของทรูแบบ home user กันมากเนื่องจากราคาต่อความเร็ว ถูกกว่าแบบ sme ซึ่งเมื่อสมัครในแพกเกจแบบ home user แล้วจะได้รับ ADSL Modem มาด้วย 1 ตัวสมัยก่อนจะเป็น ADSL ของ ZyXEL ส่วนปัจจุบันจะเป็น HUAWEI ซึ่งการเซ็ตในวินโดวส์ให้ใส่ username และ password แบบ PPPoE สำหรับตัว Endian Firewall การเซ็ตค่าแบบ PPoE ทำได้ง่าย ๆ ไม่ยุ่งยาก เช่นเดียวกับการเซ็ตในแบบ bridge ของ ZyXEL โดยมีขั้นตอนดังนี้

1. การเชื่อมต่อสาย
-- ต่อสายโทรศัพท์เข้าช่อง ADSL ให้เรียบร้อย
--- ต่อสาย Lan จาก HUAWEI เข้ากับแลนการ์ดที่เป็น RED
---- ฝั่ง Green ใช้ hub ในการเชื่อมต่อ และคอมพิวเตอร์มองเห็น IP ของ Green แล้ว (ค่าดีฟอล์เป็น 192.168.0.15)

2. login เข้า endian firewall
-- หากเป็นการติดตั้ง endian firewall ครั้งแรก จะเข้าสู่หน้าจอ Welcome to Endian Firewall ต่อด้วยหน้าจอเลือกภาษา + TimeZone และ ACCEPT License จากนั้นจะเป็นการเข้าสู่การเซ็ตอัพ network โดยขั้นแรกจะเลือก lan ของฝั่ง Green ก่อน
-- หากเป็นการแก้ไข Endian ที่ติดตั้งอยู่แล้วหน้าแรกเลือก Network Configuration จากเมนู System
---- Step 1/7: Choose type of RED interface -> เลือกเป็น PPPoE



----- Step 4/7: Internet access preferences
------- Substep 1/1: supply connection information
-------- Username : < ใส่ username@truehisp >
-------- Password : < ใส่พาสเวิร์ดที่ได้จาก true >
-------- DNS : เลือกเป็น Auto



และ next ต่อไปได้จนจนการ setup
พิจารณาดู System Status จะเป็น PPPoE



การเซ็ตแบบ PPPoE นี้มีประโยชน์มากที่ตัว Endian Firewall จะทำหน้าที่เป็น Gateway ของระบบโดยตรง การเซ็ตค่า VPN และ Firewall ต่าง ๆจะทำได้ง่ายขึ้น กว่าการเซ็ตให้ Endian Firewall เป็น firewall ที่อยู่หลัง Gateway อีกต่อหนึ่ง....

Read more »

Implement Endian Firewall Commnunity with User Management

การจัดกลุ่มมีสองประเภทคือ Defaultsetting and Restriced
อะไรคือ default อะไรคือ Restriced

Read more »

Control การใช้ Internet แบบไม่หมูของ Endian Firewall Community

บริษัทแห่งหนึ่งได้กำหนด policy การใช้อินเทอร์สำหรับบริษัทไว้ข้อหนึ่งคือ "อนุญาตให้ใช้อินเทอร์เน็ตได้เพียงสิบเครื่อง และภายในสิบเครื่องนั้นใช้อินเทอร์เน็ตได้เฉพาะ gmail และ yahoo เท่านั้น" งานนี้คงไม่ใช่เรื่องง่ายๆสำหรับ endian communuty แต่ด้วยความสามารถของ filter ในระบบ group ของ dansguardian เรามาลอง implement ตาม policy นี้ดู

สำหรับองค์กรนี้บริษัทไอทีทริปเปิลพลัสได้ตั้ง endian commnuity มาเกือบปีแล้วและเซ็ตตาม concept ดังนี้

1. ใช้ e-mail แบบ pop3 ได้ทุกเครื่องโดยผ่านโปรแกรม Outlook
2. กำหนดให้ใช้ www ได้ 10 เครื่องจากคอมพิวเตอร์ทั้งหมด 40 เครื่อง
3. มีการ block เว็บต่าง ๆ ตามสมควร

ความต้องการเพิ่มเติมคือ "จำนวน 10 เครื่องที่ใช้ www ได้นั้นอนุญาติให้ใช้เฉพาะ gmail และ yahoo เท่านั้น"

ก็ต้องบันทึกไว้เป็นการบ้านให้ Admin Endian ทั้งหลายไปช่วยคิดหล่ะครับ...

คนที่คิดไว้แล้ว :
1. กำหนดด้วย acl url_regex + http_access allow ใน squid

การกำหนดด้วย acl เช่นนี้จะส่งผลต่อผู้ใช้งานทุกคน คนที่อนุญาตให้ใช้ได้ทุกเว็บก็จะโดนบล๊อกไปด้วย squid เปรียบเหมือนด่านเข้าออก เมื่ออนุญาติให้ออกได้เพียงสองทางคนอื่นๆแม้จะเป็นผู้มีอำนาจขนาดไหนก็ต้องออกที่สองทางนี้เท่านั้น???

ข้อมูลเพิ่มเติม

Setting Up 'Multiple Filter Groups'

Read more »

หยุดฟังก์ชั่น autorun and autoplay ป้องกันไวรัสเบื้องต้น

เรื่องนี้เป็นตอนที่สองของการ implement หยุดไวรัสที่ต้นเหตุของไฟล์ Autorun.inf กันเถอะ ในตอนที่หนึ่งได้ยกบริษัทแห่งหนึ่งมาเป็นตัวอย่าง ซึ่งได้แนะนำให้ user ตรวจเช็คหาไฟล์ autorun.inf ด้วยตนเองแล้ว ซึ่งหากลบไม่ได้หรือลบแล้วไม่หาย ก็เป็นไปได้ที่ไวรัสได้เข้าควบคุมคอมพิวเตอร์นั้นแล้ว ฉะนั้นการแก้ปัญหาต่อไปคือทำคอมพิวเตอร์นั้นให้สะอาดจากไวรัสเสียก่อน หลังจากนั้นให้เซ็ตเครื่องเพื่อหยุดการทำงานของ autorun โดยใช้เทคนิคการแก้ไขค่าต่าง ๆ เข้ามาผสมผสานกัน ซึ่งวิธีการที่เราใช้สามารถป้องกันไวรัสจาก flash drive ได้ถึงแปดสิบเปอร์เซ็นต์บวกกับการรู้วิธีเช็คและตรวจหาของผู้ใช้ด้วยแล้วเกือบจะป้องกันได้ถึงร้อยเปอร์เซ็นต์เลยทีเดียว

ซึ่งการหยุดฟังก์ชั่น autorun มีการแก้ไขค่าต่าง ๆ ของ registry ด้วยการเรียกค่าสั่ง regedit และแก้ไขค่าต่าง ๆ ดังนี้

1.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
Link ต้นแบบ

2.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom
ดับเบิลคลิก Autorun ใส่ค่าเป็น 0
link ต้นแบบ

3. ไปที่ Start -> Run -> พิมพ์คำสั่ง gpedit.msc
-> Computer Configuration
-- > Administrative Templates
- ---> System
ดับเบิลคลิกที่ Turn off Autoplay เลือกเป็น All drives
Link ต้นแบบ

4. HKEY_CURRENT_USER\ Software\Microsoft\ Windows\CurrentVersion \Explorer\MountPoints2,
--- ให้คลิกขวาที่ MountPoints2 และเลือก permission
---- จากนั้นให้คลิก Advance และเอาเช็คออกที่ 'inherit from parent the permission entires that apply to child objects.Include these with entires explicity defined here'
------ เลือก 'remove'.'Yes' and 'ok'
link ต้นแบบ
ศึกษาเพิ่มเติมได้อีกที่ Wikipedia

เพื่อให้วินโดวส์มีความปลอดภัยมากขึ้น ควรปิด service ต่าง ๆ ที่ไม่จำเป็น และตรวจเช็ค startup ให้ startup เฉพาะโปรแกรมที่จำเป็นเท่านั้น

ศึกษาเพิ่มเติมจากเว็บเหล่านี้

Windows XP: List of Services to Disable to Increase Speed
Windows Vista Service Configurations Introduction
ปิด Service ที่น่ารำคาญทิ้งเสีย
ปัดกวาด Startup ใน Msconfig
Remove disabled items from MSConfig!
http://en.wikipedia.org/wiki/MSConfig

ในส่วนของ peopleware ต้องสอนให้มีความรู้เกี่ยวกับการใช้ flash drive และพฤติกรรมเสี่ยงต่าง ๆ และถือคติไทยว่า "กันไว้ดีกว่าแก้" เช่น

1. ก่อนใช้ flash drive ต้องทำการตรวจสอบหาไฟล์ autorun.inf ก่อน ซึ่งใช้เวลาไม่นานมาก หากพบให้ทำการแก้ไขให้เรียบร้อยตามคำแนะนำในตอนที่หนึ่ง
2. การใช้ flash drive และ removeable drive ต่าง ๆ ไม่ควรดับเบิลคลิกที่ตัวไดร์ฟนั้นๆโดยตรง วิธีการใช้ให้คลิกขวาที่ตัวไดร์ฟนั้นเพื่อเปิด popup menu และคลิกเลือก explorer เพื่อเปิดโฟลเดอร์ขึ้นมา ส่วนไฟล์ข้อมูลต่าง ๆ นั้นให้ดับเบิลคลิกเปิดใช้งานได้โดยปกติ
3. ปฏิบัติตามกฏระเบียบการใช้คอมพิวเตอร์ของบริษัทอย่างเคร่งครัด

กลับมาที่บริษัทตัวอย่างของเราได้ป้องกันทั้ง software / hardware และ peopleware แล้ว ก็ยังมีพฤติกรรมเสี่ยงจากสภาพแวดล้อมของเน็ตเวิร์กที่จะทำให้ไวรัสแพร่ระบาดได้อีกคือการแชร์ไฟล์ โดยเฉพาะใช้ windowsxp ทำหน้าที่เป็น server ติดตั้งโปรแกรม express จุดนี้แก้ไขให้ด้วยการติดตั้ง linux server และแชร์ express ผ่านเครื่อง linux server การใช้งานต่าง ๆ ก็เป็นไปด้วยดี จนถึงวันนียังไม่พบไวรัสเกิดขึ้นอีก และที่สำคัญที่สุดคือ บริษัทไม่ต้องลงทุนซื้อโปรแกรม antivirus เหมือนเดิมอีกต่อไป

อีกเรื่องหนึ่งของบริษัทนี้เมื่อคอมพิวเตอร์เสียต้องส่งซ่อมที่ร้านประจำ ซึ่งการคอนฟิกการป้องกันต่าง ๆ ตามที่กล่าวมาทางร้านไม่ได้จัดการให้ ยังคงติดตั้งโปรแกรมแบบโคลนนิ่งจากฮาร์ดดิสก์สำเร็จรูป และยังคงเป็นบ่อเกิดของไวรัสเหมือนเดิม ซึ่งทางผู้บริหารได้รับจัดการเรื่องนี้โดยจะเทรนบุคลากรที่พอจะมีความสามารถในบริษัทให้เป็นผู้ดูแลการติดตั้งโปรแกรม ซึ่งก็เป็นไปได้สวย ซ้ำยังลดค่าใช้จ่ายจากการส่งคอมพิวเตอร์ไปซ่อมภายนอกได้ด้วย

Read more »

หยุดไวรัสที่ต้นเหตุของไฟล์ Autorin.inf กันเถอะ

หลายองค์กรติดตั้งโปรแกรม antivirus ทั้งแบบฟรี และแบบเสียเงิน ทั้งแบบ stanalone และแบบ coporate แล้ว ทำไมในบริษัทยังมีไวรัสแพร่กระจายอยู่ จึงมีคำถามว่าการแก้ไวรัสแบบใช้โปแกรม antivirus นั้นตรงจุดแล้วหรือไม่? ผู้เขียนเคยแก้ปัญหาไวรัสให้กับบริษัทแห่งหนึ่ง ที่มีคอมพิวเตอร์เพียงสิบกว่าเครื่อง มีการเปิดแชร์ไฟล์ (โปรแกรม express)ผ่านคอมพิวเตอร์เครื่องหนึ่งที่เป็น windowsXP และเปิดแชร์เครื่องพิมพ์ผ่าน windows เช่นกัน คอมพิวเตอร์ทั้งหมดถ้าเสียจะถูกส่งซ่อมที่ร้านประจำ มีการใช้ซีดีรอม และแฟลชไดร์ฟ เพื่อส่งไฟล์งานระหว่างกันเป็นปกติ บริษัทนี้ไม่มีอินเทอร์เน็ต

ช่วงที่ทีมของเราได้เข้าไปแก้ไวรัสนั้น รุนแรงถึงขั้นต้องกู้ข้อมูลและฟอร์แมตคอมพิวเตอร์ใหม่หมดทุกเครื่องพรอ้มกับติดตั้งโปรแกรม antivirus ที่ดีที่สุด(เขาว่างั้น)ต่อมายังไม่หมดช่วงรับประกันเลยไวรัสกลับมาแพร่กระจายเหมือนเดิมและติดหมดทุกเครื่อง ถึงแม้จะมีโปรแกรม antivirus แล้วก็ตาม และก็เป็นไวรัสตัวเดิมที่เคยเจอก่อนฟอร์แมตนั่นแหละ.... คุณคิดว่าไวรัสกลับมาใหม่ได้อีกอย่างไร ? และโปรแกรม antivirus ที่ว่าดีที่สุดทำไมป้องกันไม่ได้ ?

นั่นเป็นเพระว่าเรามุ่งแก้ปัญหาไปที่ตัวที่ถูกกระทำคือคอมพิวเตอร์ แต่ไม่ได้มุ่งแก้ปัญหาไปที่ตัวกระทำ หรือต้นเหตุแห่งการกระทำคือคนและอุปกรณ์นำเข้าข้อมูลต่าง ๆ ทั้ง ๆที่ครูบาอาจารย์ก็สอนว่าองค์ประกอบของการใช้คอมพิวเตอร์นั้นประกอบด้วย peopleware / software และ hardware ตัว software เราป้องกันด้วยโปรแกรม antivirus ตัว hardware เช่น flash drive แผ่น cd และพวก removeable drive ต่าง ๆ ยังไม่ได้จัดการป้องกันที่เหมาะสม และตัว poepleware ก็ยังไม่ได้จัดการป้องกันเช่นกัน ทำให้ไวรัสยังหวนกลับมาได้อีก การป้องกันไวรัสที่ได้ผลจึงต้องจัดการให้ได้ทั้งสามส่วนนี้คือ
1. Peopleware
2. Hardware
3. Software
โดยการให้ความรู้ที่ถูกต้อง เมื่อรู้แล้วก็ตรวจสอบป้องกันด้วยตนเองได้ โดยแทบจะไม่ต้องเสียเงินสำหรับโปรแกรม antivirus เลย

ทีนี้ย้อนกลับมาดูบริษัทต้นแบบของเราที่เกริ่นไว้แต่ต้น วิเคราะห์แล้วพบว่าไวรัสมากับ flash drive โดยมีไฟล์ autorun.inf เป็นตัวกลางให้ไวรัสทำงาน เมื่อ user ของเราเสียบ flash drive เข้าไปในเครื่องฟังก์ชั่น autoplay อันชาญฉลาดของวินโดสว์ก็เปิด flash drive เพื่อหา application ที่เหมาะสมเปิดไฟล์ไวรัสตามคำสั่งของ autorin.inf เมื่อปรากฏชื่อไดร์ฟบน My Computer user ของเราก็ดับเบิลคลิกเปิดไฟล์เอกสารต่าง ๆ เป็นการกระตุ้นให้ไฟล์ไวรัสทำงานต่ออีกไม่รู้จบ ... และวนเวียนอยู่อย่างนี้ โปรแกรม antivirus ที่โชว์ไอคอนอยู่ taskbar ก็แสนซื่อบอกตรวจไม่พบไวรัส เพราะไฟล์ autorun.inf ก็เป็นไฟล์ text ธรรมดา ๆ นี่แหละ ฉะนั้นเราจึงแก้ปัญหานี้ที่ต้นเหตุคือแนะนำ peopleware ให้ตรวจสอบหาไวรัสก่อนใช้ flash drive ก่อน ดังนี้

1. ก่อนใช้ flash drive ให้ตรวจสอบหาไฟล์ autorin.inf และดูเนื้อหาของไฟล์ว่าไวรัสฝังอยู่ที่ไหน แล้วตามลบให้หมดเสียก่อน โดยให้ใช้คำสั่งใน command ของ windows เป็นหลัก ในตัวอย่างนี้จะใช้ของจริงที่ติดที่ไดร์ฟ C:
ไปที่ Start -> Run.. -> พิมพ์คำสั่ง cmd แล้วกด enter

2. โปรแกรม cmd จะเปิดหน้าต่าง Command Prompt ขึ้นมา โดยตำแหน่งแรกของเคอร์เซอร์ จะอยู่ที่ C:\Document and Settings\username>_ ณ ตำแหน่งนี้ให้พิมพ์คำสั่ง cd\ กด enter เพื่อย้ายไปที่ c:\ จากนั้นให้พิมพ์คำสั่ง dir /ah แล้วค้นหาว่ามีไฟล์ชื่อ autorun.inf หรือไม่ ถ้ามีให้กระทำต่อไปในข้อ 3



3. พิมพ์คำสั่ง type autorun.inf เพื่อตรวจสอบไฟล์ autorun.inf ไปเรียกไวรัสตัวไหนมาทำงาน ตามตัวอย่างนี้ไฟล์ไวรัสชือว่า l6hub0.com ซึ่งหลังจากลบไฟล์ autorun.inf ได้แล้วเราต้องตามลบไฟล์นี้ตามไดร์ฟทั้งหมด และใน registry ด้วย



4. จากนั้นให้พิมพ์คำสั่ง attrib autorun.inf หรือ attrib * จะพบว่าไฟล์เป้าหมายของเรามีรหัสนำหน้าว่า SHR โดยเราจะทำการคลายล๊อกตัวอักษรเหล่านี้ด้วยคำสั่งตามข้อ 5



5. โชคดีใน ข้อ 4 เราเจอไฟล์ไวรัสฝั่งอยู่ใน C: พร้อมกับ autorun.inf ให้คลายล๊อกด้วยคำสั่ง attrib -s -h -r autorin.inf


6. ลบไฟล์ autorun.inf ด้วยคำสั่ง del autorun.inf

ปัญหาที่อาจจะพบได้ในขั้นตอนนี้คือ ลบไฟล์ autorun.inf ไม่ได้ หรือลบไปแล้วไฟล์ autorun.inf ยังมีปรากฏอยู่อีก นั่นหมายความว่าเครื่องได้ติดไวรัสไปแล้วและมี process ของไวรัสได้ทำงานเป็น auto ไปแล้ว อย่างไรก็ดีความรู้จากการตรวจสอบนี้จะมีประโยชน์เมื่อคอมพิวเตอร์ไม่มไวรัสอยู่ก่อน และตัว hardware ที่ user ใช้จะเป็นสื่อนำไวรัสไปติดก็จะสามารถป้องกันได้ในเบื้องต้น

ตอนที่สองของเรื่องนี้จะพูดถึงการป้องกันตัว software คือ windows ไม่ให้เปิดใช้ฟังก์ชั่น autorun เพื่อสกัดกั้นการทำงานของไวรัสขณะเสียบ flash drive

ขอบคุณลิงค์ที่มีประโยชน์ต่อไปนี้

How-To Tuesday: Disable AutoRun on Windows
Disabling Autoplay for ALL removable media
Microsoft Security Advisory (967940)Update for Windows Autorun
Disable Autoplay of Audio CDs and USB Drives

Read more »

Samba ใน FC9 กับ Dos client

วันอาทิตย์ที่ผ่านมานี้ได้ติดตั้งเครื่อง Samba Server ใหม่ให้กับลูกค้าองค์กรรายหนึ่ง โดยใช้ IBM Server เพราะเครื่องเดิมของลูกค้าเสีย องค์กรแห่งนี้ใช้ application เกี่ยวกับระบบสินค้าคงคลัง ตั้งแต่รุ่น dos ซึ่งแต่เดิมโน้นใช้ netware ทำเป็น file server ต่อมาได้เปลี่ยนเป็น linux โดยใช้ samba แทน netware ส่วนเครื่อง client นั้นใช้ dos เป็นตัวบูตผ่าน msclient login เข้าสู่ samba server ซึ่งก็ใช้มาจนปัจจุบัน เมื่อติดตั้ง IBM server ใหม่ด้วย FC9 มีปัญหาสองเรื่องที่แก้ได้และที่ยังแก้ไม่ได้ พอจะสรุปไว้เตือนความจำ และเพื่อค้นหาแนวทาง ดังนี้

1. ตัว samba นี้ทำเป็น PDC ให้บริการแก่เครื่อง XP ด้วยการ logon ไม่มีปัญหาแต่ไฟล์ภาษาไทยที่เคยอยู่ใน server เดิมกลับแสดงผลไม่ได้มันเป็นตัวขยะ หากไฟล์ใหม่ตั้งชื่อเป็นภาษาไทยได้ อันนี้แก้ได้ ด้วย option
unix charset = TIS620 ในเซคชั่น Global




หลังจากเพิ่ม option : unix charset = TIS620 ก็สามารถแสดงผลเป็นภาษาไทยได้



2. Client ที่บูตด้วย Dos แมบไดรฟ์ไม่ได้จะมี error : Access Denied เช่นใช้คำสั่ง
user d: \\sambasrv\stock
ใน server เดิมคำสั่งนี้ไม่มีปัญหา แต่ FC9 กลับยืนยันว่าคุณมีชื่อเข้า \\SAMBASRV\STOCK แน่นอนหรือไม่
สังเกตุว่าเป็นอักษรตัวใหญ่ เมื่อใส่ username ยืนยันอีกครั้งกลับแจ้ง Access Denied ทำให้เข้าใจว่า samba เห็น service นั้นเป็นอักษรตัวใหญ่หรือเปล่านะ เครื่องเดียวกันนี้ที่เป็น windows98 กลับไม่มีปญหาใด ๆ

ที่สำคัญวันนี้ยังแก้ปัญหาข้อสองนี้ไม่ได้ .... ???????

Read more »

10 essential tricks for admins

เครดิตนี้จาก IBM สุดยอดๆๆๆๆ

Lazy Linux: 10 essential tricks for admins

http://www.ibm.com/developerworks/linux/library/l-10sysadtips/

Read more »

Backup Remote Server แบบอัตโนมัติด้วย rsync and ssh

ปฐมบทเริ่มจากวันหนึ่งเห็น admin backup ข้อมูลจาก samba server ที่เปิดแชร์ข้อมูลตั้งอยู่สาขาต่างจังหวัด โดย backup มาเก็บที่เครื่อง backup server ที่สำนักงานใหญ่ บริษัทแห่งนี้มี admin คนเดียว มีสาขาอยู่สองแห่งแต่ละแห่งมี linux เป็นเครื่อง server แต่ว่าการ backup ข้อมูลนั้นให้มารวมศูนย์กันที่สำนักงานใหญ่แห่งเดียว นัยว่าเป็นการประหยัด น้อง admin เปิด OT เกือบทุกวัน ถามว่าทำไม คำตอบคือกว่าจะ backup ข้อมูลเสร็จก็เลยเวลาห้าโมงไปแล้ว จึงได้ถามว่าน้องทำ backup ให้มัน auto ไม่ได้หรือตอนเช้าค่อยมาตรวจสอบเอา น้องบอกว่าไม่ได้ครับ เพราะคำสั่งที่ไปยังเครื่อง remote ผมต้องใส่ username / password ด้วย ผมใช้ rsync ครับ ตอบได้ดีนะ ไหนลองทำคำสั่งให้ดูหน่อยซิ

rsync -avzupog root@192.168.0.10:/home/ /backup/home

คำสั่งก็ประมาณนี้ และต้องรอกรอกพาสเวิร์ด root เสียก่อน อืม แล้วน้องใช้ร่วมกันคำสั่ง ssh เป็นหรือเปล่า ?? ถึงตรงนี้เริ่มงง เห็นทีต้องหาทางช่วยน้องซะหน่อย เปิด OT ทุกวันมีหวังตกงานตาย....

การทำ Auto backup Remote Server ด้วย Rsync

คำสั่งที่ต้องใช้
1. rsync
2. ssh
3. crond

ข้อตกลงร่วมกัน :
สมมติให้เครื่อง samba ที่สาขา มีหมายเลข IP: 192.168.0.10 (ต่อไปจะเรียกสั้น ๆ ว่า rsamba)ไดเรกทอรีที่ต้องการ backup คือ /home ทั้งหมด เครื่อง backup server ที่สำนักงานใหญ่มีหมายเลข IP: 192.168.1.10 (ต่อไปจะเรียกว่า hbackup) ไดเรกทอรีที่เก็บข้อมูลจากการ backup คือ /backup/home

ขั้นตอนที่ 1 : สร้าง key เพื่อให้ ssh ทั้งสองฝั่งตรวจสอบโดยไม่ต้องถามพาสเวิร์ด

ที่ hbackup server พิมพ์คำสั่ง

ssh-keygen -t dsa -b 1024 -f /root/remote-rsync-key

Generating public/private dsa key pair.
Enter passphrase (empty for no passphrase): [กด enter ผ่านเลย]
Enter same passphrase again: [กด enter ผ่าน]
Your identification has been saved in /root/remote-rsync-key.
Your public key has been saved in /root/remote-rsync-key.pub.
The key fingerprint is:
2e:28:d9:ec:85:21:e7:ff:73:df:2e:07:78:f0:d0:a0 thisuser@thishost

สองไฟล์จะถูกสร้างขึ้นมาใน /root

ขั้นตอนที่ 2 : copy ไฟล์ ไปไว้ที่เครื่อง rsamba ที่นี้จะใช้คำสั่ง scp

scp /root/remote-rsync-key.pub root@192.168.0.10:/root/

ขั้นตอนที่ 3 : ย้ายไปที่ rsamba และสร้างไฟล์และไดเรกทอรีเพื่อตรวจสอบการติดต่อด้วย key ที่สร้างนี้

ssh root@192.168.0.10

สร้างไดเรกทอรี .ssh ใน /root ( ถ้ามีแล้วไม่ต้องสร้าง ) ด้วยคำสั่ง
if [ ! -d .ssh ]; then mkdir .ssh ; chmod 700 .ssh ; fi
mv remote-rsync-key.pub .ssh
cd .ssh/
if [ ! -f authorized_keys ]; then touch authorized_keys ; chmod 600 authorized_keys ; fi
cat remote-rsync-key.pub >> authorized_keys

จบขั้นตอนนี้เครื่อง rsamba ก็พร้อมจะรับการคอนเนคเข้ามาโดยไม่ต้องใช้ username แล้ว ทดสอบด้วยคำสั่งที่ hbackup

ssh -i /root/remote-rsync-key root@192.168.0.10

ถ้าผ่านเข้าไปได้ โดยไม่ถามพาสเวิร์ด คราวนี้ลองคำสั่ง rsync ดูอีกครั้ง

rsync -avz -e "ssh -i /root/remote-rsync-key" root@192.168.0.10:/home /backup/home

ขั้นตอนที่ 4 : สร้าง Cron Job

สร้าง script file ชื่อ rsync-remotehost-backups สำหรับการ backup

#!/bin/sh

RSYNC=/usr/bin/rsync
SSH=/usr/bin/ssh
KEY=/root/remote-rsync-key
RUSER=root
RHOST=192.168.0.10
RPATH=/home
LPATH=/backup/home/
$RSYNC -az -e "$SSH -i $KEY" $RUSER@$RHOST:$RPATH $LPATH

ใช้คำสั่ง crontab -e เพื่อบรรจุ script คำสั่งนี้เข้าไปในตารางงานของ crond

0 5 * * * /bin/rsync-remotehost-backups

ก่อนจบต้องขอบคุณ http://troy.jdmz.net/rsync/index.html เป็นต้นแบบของวิธีการนี้

เพิ่มเติม :
How to do remote backup with tar and ssh ?

Read more »

การบริหารชื่อผู้ใช้งาน (ต่อ)

การบริหารชื่อผู้งาน 1

2. การเซ็ตค่า proxy ที่เบราเซอร์

ตัวอย่าง Endian firewall IP: 192.168.0.15 Port: 8080


2.1 IE ( Internet Explore )
Tools -> Internet Options -> Connections -> LAN Settings -> Proxy server

ระบุหมายเลขไอพี และพอร์ต ตามตัวอย่าง



2.2 Mozilla Firefox ภาษาไทย
เครื่องมือ -> ตัวเลือก -> ขั้นสูง -> เครือข่าย -> การเชื่อมต่อ -> ตั้งค่า -> ค่าพร๊อกซี่ตั้งเอง



3. สุดท้ายสร้าง Shortcut สำหรับเปลี่ยนพาสเวิร์ด เพื่อให้ผู้ใช้งานเปลี่ยนพาสเวิร์ดเข้าอินเทอร์เน็ตได้ด้วยตนเอง

3.1 คลิกขวาที่พื้นที่ว่าง Desktop ของวินโดวส์เลือก Create -> Shortcut



3.2 สร้างลิงค์ไฟล์
https://192.168.0.15:10443/cgi-bin/chpasswd.cgi



3.3 การใช้งานผู้ใช้งานดับเบิลคลิกช๊อตคัดเข้าไปเปลี่ยนพาสเวิร์ดได้ด้วยตนเอง

Read more »

การบริหารชื่อผู้ใช้งาน

ข้อมูลจราจรส่วนหนึ่งที่สำคัญคือข้อมูลที่ระบุชื่อผู้ใช้ ใน endian firewall เราใช้การระบุชื่อผู้ใช้ในขั้นตอนเข้าใช้ internet เมื่อผู้ใช้งานเปิดโปรแกรมเบราเซอร์ขึ้นมาจะปรากฏหน้าต่างให้ใส่ชื่อและพาสเวิร์ด (ดังภาพข้างบน) หากใส่ไม่ถูกต้องก็ไม่สามารถเข้าใช้เว็บนั้นๆได้

การ manage ผู้ใช้งานนั้นเป็นหน้าที่ของ Endian Admin ประกอบด้วยภาระงาน

1. login ด้วยชื่อ admin และพาสเวิร์ดที่เป็นความลับ
2. การเพิ่มชื่อผู้ใช้คนใหม่ และการตั้งพาสเวิร์ดเบื้องต้น การลบชื่อผู้ใช้ออกไปแล้ว เป็นต้น
3. ตั้งค่าเบราเซอร์ให้มีพร๊อกซี่และพอร์ตชี้มาที่ endian firewall server
4. ทดสอบใช้เบราเซอร์ มีหน้าต่างวินโดวส์ปรากฏให้กรอกชื่อหรือไม่
5. สร้างช๊อตคัดให้ผู้ใช้เปลี่ยนพาสเวิร์ดได้เองบนเดสท๊อป

1 เช็คค่าคอนฟิกของ proxy ประกอบด้วยค่าต่อไปนี้
1.1 Proxy -> Configuration -> GREEN authentication required



1.2 Proxy -> Authentication -> Authentication Type เป็น Local



1.3 คลิกที่ User management จะนำท่านไปสู่หน้าจอสำหรับการบริหารชื่อผู้ใช้งาน

ในหน้าต่างนี้แบ่งเป็นสามคอลัมน์คือ Username/Group membership/Action

กรณีต้องการเปลี่ยนแปลงชื่อหรือพาสเวิร์ดของ user ที่มีอยู่แล้วให้คลิกรูปดินสอที่คอลัมน์ Action และเปลี่ยนแปลงค่าต่าง ๆ ตามต้องการ
กรณีลบชื่อให้คลิกรูปถังขยะ



กรณีเพิ่มชื่อคนใหม่ให้คลิกที่ +Add User และตั้งชื่อตามที่ต้องการ เมื่อตั้งพาสเวิร์ดเสร็จแล้วอย่าลืมกด add user นะครับ ถ้าเลือก Cancel ชื่อนั้นจะไม่ปรากฏในไฟล์ฐานข้อมูล



สาระสำคัญเกี่ยวกับการใช้ชื่อเพื่อพิสูจน์ตัวตนในการใช้อิเทอร์เน็ต
1. ชื่อ ควรเป็นชื่อจริง ๆ ไม่ควรเป็นชื่อตั้งเองที่ไม่สื่อความหมาย
2. ชื่อจะใช้ได้เพียงครั้งละหนึ่งเครื่องหากมีการใช้ชื่อค้างที่คอมพิวเตอร์เครื่องหนึ่งแล้ว ไม่สามารถใช้ชื่อนั้นที่คอมพิวเตอร์เครื่องอื่นได้อีก เพื่อให้เจ้าของชื่อได้ทราบว่ามีผู้ใช้อื่นแอบใช้ชื่อเราอยู่หรือไม่

Read more »

OpenVPN ต่อได้ 1-2 นาทีก็หลุด

OpenVPN Client ต่อเข้า Endian firewall ได้ 1-2 นาทีก็หลุด ตัวไอคอนเป็นสีเหลือง แถมมี error log แบบนี้

Sat Mar 07 18:26:00 2009 RESOLVE: Cannot resolve host address: it3mac.gotdns.com: [NO_DATA] The requested name is valid but does not have an IP address.
Sat Mar 07 18:26:12 2009 RESOLVE: Cannot resolve host address: it3xxx.gotdns.com: [NO_DATA] The requested name is valid but does not have an IP address.

ดูๆแล้วเหมือนกับว่าติดต่อเครื่อง OpenVPN Server ไม่ได้ แต่ทำไม connect ครั้งแรกกลับได้ แล้วอยู่ไม่ถึงหนึ่งนาทีก็หลุด
เราเห็นปัญหานี้เพราะต้องเซ็ตระบบให้ลูกค้ารายหนึ่งที่ต่างจังหวัด และ Endian Server ที่ตั้งไว้นั้นก็รองรับการเชื่อมโยงจากสาขาด้วย จึงได้สอบถามไปที่ลูกค้าว่าที่สาขามีปัญหา VPN หลุดบ่อยหรือเปล่า คำตอบคือปกติ ก็ได้พิเคราะห์อยู่พอสมควร และก็ถึงบางอ้อ
สำหรับปัญหานี้ เราใช้ username สำหรับ login เป็นชื่อที่เขา connect ได้อยู่แล้ว ซึ่งชื่อที่เข้าไปภายหลัง จะได้รับหมายเลขไอพีเหมือนกัน ฉะนั้นมันจึงหลุดและพยายามต่อเข้าไปใหม่ ดูเหมือนว่าจะหา server ไม่เจอ นั้นเอง...

Read more »

ปัญหา Authenticated ของ Proxy ไม่โชว์

เซ็ต proxy ผ่านเว็บโดยกำหนดค่าพร๊อกซี่เป็นแบบ Authentication Required ในแทบ Authentication
เลือก Authentication type เป็น Local เมื่อเลือกหัวข้อ User Managerment เพื่อ add user ปรากฏกว่าโชว์เป็นหน้าว่าง ๆ ดังภาพข้างบนนั้น ปัญหาแค่นี้ยังไม่พอเมื่อเลือก Group policies ก็ปรากฏหน้าจอว่าง ๆ เช่นเดียกัน และเป็นเครื่อง endian firewall ที่ติดตั้งให้ลูกค้าต่างจังหวัดเสียด้วย งานเข้าแล้วทีนี้...




แรกเริ่มเดิมที server เครื่องนี้ใช้งานได้เป็นปกติหน้าเมนูต่างๆก็โชว์ได้ ครั้นมาวันหนึ่งมีปัญหาเซ็ตเจ้า proxy ให้เป็น authenticated ไม่ได้ admin ที่นั่นจึง restore ข้อมูลการคอนฟิกเดิมมาใช้ ระบบต่าง ๆก็รันได้ปกติดี อยู่ๆวันหนึ่งจะต้องแอดชื่อเข้าไปใหม่ จึงเห็นปัญหาที่แสดงไว้ข้างต้นนั้นแล

ปัญหาของพร๊อกซี่แบบนี้จะเกิดหลังจาก restore ไฟล์ที่ backup ไว้กลับมาใช้ใหม่ วิธีแก้ปัญหาให้ลบทุกไฟล์ในไดเรกทอรี
/var/efw/proxy/auth/ncsa แล้วเข้าเซ็ตค่าตามปกติ คราวนี้ควรจะโชว์ได้แล้ว

Read more »

Implement Endian Firewall Community ตามพรบ.คอม

องค์กรแห่งหนึ่งต้องการใช้ endian firewall community จัดเก็บ log ตามพรบ.คอมพิวเตอร์ปี 50
โดยให้คงสภาพการทำงานขององค์กรให้เป็นปกติ เช่น เล่น msn ได้อย่างไร ก็ให้เล่นได้อยู่อย่างนั้น เข้า gmail ได้อยู่อย่างไร ก็ให้ได้อยู่อย่างนั้น เคยเข้าเว็บอะไรได้บ้าง ก็ให้ใช้ได้เหมือนปกติ คือไม่ต้องบล๊อกอะไร และไม่ต้องให้ผู้ใช้ต้องมาใส่ user และพาสเวิร์ดให้ยุ่งยากด้วย ... คุณจะทำระบบนี้ได้อย่างไร

การเซ็ต endian firewall สำหรับอินเทอร์เน็ต ผู้เขียนได้แยกออกเป็นสองประเด็นเพื่อการพิจารณาคือ

แบบที่หนึ่ง "เซ็ตแบบปิดทั้งหมดก่อนแล้วเปิดให้ใช้เฉพาะเครื่อง"
แบบที่สอง "เซ็ตแบบเปิดทั้งหมดแล้วปิดเฉพาะเครื่อง"

นี่ไม่ใช่การเล่นคำหากแต่การเซ็ตระบบนั้นต่างกันโดยสิ้นเชิง และผลที่ได้มีความปลอดภัยไม่เหมือนกัน (ลองคิดดูว่าทั้งสองแบบนี้จะเซ็ตอย่างไร)

โจทก์ที่ผู้เขียนได้ตั้งไว้เป็นความต้องการแท้จริงของลูกค้าองค์กรแห่งหนึ่งที่ไม่ต้องการความยุ่งยากในการต้องใส่ชื่อและพาสเวิร์ดทุก ๆครั้งที่เข้าเว็บและไม่ต้องให้บล๊อกอะไรมากไปกว่าที่เคยใช้อยู่ เพียงให้เก็บ log ตามพรบ.ให้ได้เท่านั้น

ในองค์กรแห่งนี้มีคอมพิวเตอร์ 50 เครื่องและ policy มีว่าให้ใช้ internet ได้เพียง 10 เครื่องส่วนที่เหลือนั้นปิดทั้งหมด และในจำนวนสิบเครื่องที่อนุญาตินั้นก็ให้ใช้งานได้เพียงผู้ใช้ที่ระบุชื่อเท่านั้น

Read more »

OpenVPN Connection reset by peer

วันหนึ่งมีลูกค้าองค์กรแจ้งเข้ามาว่าเครื่อง client ที่เป็น windows XP เข้าเมล์ที่สำนักงานใหญ่ผ่าน OpenVPN ไม่ได้
ไอคอน vpn ที่ taskbar โชว์เป็นสีเหลือง ก็ชักใจไม่ดีเหมือนกันแฮะ เพราะ endian firewall เพิ่งติดตั้งได้ไม่ถึงเดือนเอง
บางครั้งการที่จะหาคำตอบให้ลูกค้าแบบรวบรัด และใช้ได้เลยก็เป็นเรื่องยากเหมือนกัน เพราะถ้าให้คำตอบที่ผิด โดยที่ยังไม่รู้สาเหตุที่แท้จริง และยังไม่เห็น error ต่าง ๆ แทนที่จะแก้กันได้ตรงจุด กลับแก้ให้เสียหนักเข้าไปอีก ..ก็แจ้งกลับไปว่า เข้า office แล้วจะดูปัญหานี้ให้อย่างเร่งด่วนครับ

ทดสอบใช้ OpenVPN จาก office ของบริษัทไปที่ server ของลูกค้ามันโชว์อย่างนี้

Mon Jan 08 13:53:29 2007 UDPv4 link local (bound): [undef]:1194
Mon Jan 08 13:53:29 2007 UDPv4 link remote: xxx.xxx.xxx.xxx:1194
"" UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
"" UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
"" UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
"" UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
"" UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Mon Jan 08 13:53:52 2007 SIGTERM[hard,] received, process exiting

เริ่มวิเคราะห์ปัญหา
1. configuration ต่าง ๆ ไม่ถูกต้อง เป็นไปไม่ได้แน่ เพราะใช้ได้อยู่ แล้วอยู่กลับใช้ไม่ได้ การ config จึงตกไป
2. endian firewall ที่ไซต์ลูกค้าดับหรือมีปัญหาหรือไม่ คำตอบคือฝั่งนั้นยังใช้ internet ได้เหมือนเดิมทรั้ง
ส่งและรับเมล์ ทั้งเครื่องลูกก็มีหมายเลขไอพีกันถ้วนหน้า (ยังไงก็น่าคิดอยู่ดีว่าจะเป็นที่ server ไหม)
3. โปรเซสบางตัวที่ server โดยเฉพาะ process OpenVPN จะตายหรือไม่ ตัว server ประเด็นที่โปรเซสใดโปรเซสหนึ่ง
จะตายตัวเดียวก็เป็นไปได้ แต่ไอ้ปัญหา reset by peer คือน่าจะยังติดต่อ server ไม่ได้ด้วยซ้ำไป
4. ที่ไซต์ของลูกค้าใช้ internet เป็น adsl 1.5 ของ True และเป็น dynamic ไม่ได้ fixed ซึ่ง adsl อาจจะหลุดแล้วตัว router ได้หมายเลขไอพีใหม่ โดยที่ตัว endian ยังไม่ได้ update แน่ๆ เลย เออน่าคิด งั้นทดสอบกันเลยดีกว่า

ทดสอบ
4.1 ping it3xxx.gotdns.com
ได้หมายเลขไอพีกลับมาก และมี replay from ด้วย ( คิดว่าไง ปกติเราจะ set ตัว endian ไม่ได้รับคำสั่ง ping จากภายนอกซึ่งจะต้องไม่มี teplay from แต่ควรจะมีหมายเลข ip เข้าเค้าหล่ะ)
4.2 โทรไปบอก admin ของลูกค้าให้เข้า endian firewall โดยด่วนและเช็คตามนี้
* หมายเลข IP คืออะไร ?
คำตอบคือ ไม่ใช่หมายเลข IP เดียวกับที่เราได้จากคำสั่ง ping
OK ปัญหานี้ได้คำตอบแล้ว router ADSL ได้หมายเลข IP ใหม่ตัว Endian ยังไม่ได้ Update DynDNS จึงทำให้หมายเลข IP ไม่ตรงกัน มีทางแก้แล้วซินะ.... ด้วยการบังคับให้ DynDNS ที่ Endian firewalll update IP ไปที่
Service -> Dynsns -> Force Updated
เท่านี้ปัญหานี้ก็หมดไป ...



Link เพิ่มเติม :
OpenVPN - creating a routed VPN
OpenVPN "Routing" –versus– "Bridging"

Read more »