การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์และ … fileหัวข้อบรรยาย (ต่อ) การจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ใน

การเกบรกษาขอมลจราจรทางคอมพวเตอรและการเกบรกษาขอมลจราจรทางคอมพวเตอรและการยนยนตวตนตาม พรบการยนยนตวตนตาม พรบ. . วาดวยการ วาดวยการ

กระทำาความผดเกยวกบคอมพวเตอร กระทำาความผดเกยวกบคอมพวเตอร พพ..ศศ. . ๒๕๕๐ ๒๕๕๐

โครงการพฒนาบคลากรสำาหรบการบรหารจดการเครอขายโครงการพฒนาบคลากรสำาหรบการบรหารจดการเครอขาย คณะวศวกรรมศาสตร มหาวทยาลยมหดล คณะวศวกรรมศาสตร มหาวทยาลยมหดล

หวขอบรรยายหวขอบรรยายวนท 1

หนาทของโรงเรยนตาม พรบ.๒๕๕๐ แนวทางการปรบปรงโรงเรยนใหสอดคลองตามกฎหมาย ภาพรวมของเครองมอทใช ระบบจดเกบขอมลจราจรทางคอมพวเตอร

– รปแบบการอางองเวลาในระบบเครอขาย• การตดตงและปรบแตงโปรแกรมระบบอางองเวลา (NTP Server)

– รปแบบและโปรโตคอลในการจดเกบขอมล Log• การตดตงและปรบแตงโปรแกรม Log Server• การสำารองขอมล Log


2

หวขอบรรยาย หวขอบรรยาย ((ตอตอ)) การจดเกบขอมลจราจรทางคอมพวเตอรในสอ

– รปแบบสอทสามารถรกษาความครบถวนถกตองของขอมลได

– อลกอรทมทใชในการตรวจสอบความครบถวนถกตองของขอมล

– การเขยนขอมล Log ลงแผนซด


3


การโอนยายขอมลจราจรทางคอมพวเตอรผานเครอขายไปยงเครองคอมพวเตอรแมขายจดเกบขอมลจราจรทางคอมพวเตอรกลาง– การตดตงและตงคาโปรแกรมเพอสงขอมล Log– การเขารหสและบบอดขอมลเพอการสง

ระบบบรหารจดการฐานขอมลผใช– รปแบบการบรหารจดการฐานขอมลผใชแบบ Light

Weight Directory Protocol (LDAP)• การตดตงและปรบแตงโปรแกรมบรหารจดการผใช


4

หวขอบรรยายหวขอบรรยาย ระบบยนยนตวตนกอนการใชงานอนเทอรเนต

– หลกการในการยนยนตวตนในระบบเครอขาย– การตดตงและปรบแตงโปรแกรมเพอใชในการยนยนตว

ตนในลกษณะ Captive Portal


5


ระบบยนยนตวตนกอนการใชงานอนเทอรเนต (ตอ)– การตดตงและปรบแตงโปรแกรมเพอใชในการยนยนตว

ตนในลกษณะ Captive Portal (ตอ) การตงคาไฟรวอลล Rulesets เพอควบคมการใชบรการ

อนเทอรเนต การเขาถงและคนหาขอมลจราจรทางคอมพวเตอร

– การตดตงและใชงานโปรแกรมบรหารจดการ Log การปรบแตงการเชอมโยงระบบตางๆ


6

หนาทของโรงเรยนตาม พรบหนาทของโรงเรยนตาม พรบ. . วาดวยการ วาดวยการ กระทำาความผดเกยวกบคอมพวเตอร กระทำาความผดเกยวกบคอมพวเตอร

พพ..ศศ. . ๒๕๕๐ ๒๕๕๐


หนาทของโรงเรยนตาม พรบหนาทของโรงเรยนตาม พรบ. . ๒๕๕๐๒๕๕๐ โรงเรยนถอเปนผใหบรการแกบคคลอนคออาจารย

นกศกษา และเจาหนาทในการเขาสอนเทอรเนต ทงในนามของตนเองและเพอประโยชนของบคคลดงกลาวขางตน

โรงเรยนจงมฐานะเปนผใหบรการเขาถงระบบเครอขายคอมพวเตอร ซงมหนาทและความรบผดในทางกฎหมาย

มาตรา ๒๖ – โรงเรยนฯ ตองจดเกบรกษาขอมลจราจรทาง

คอมพวเตอรไวไมนอยกวา 90 วน นบแตวนทขอมลนนขาสระบบคอมพวเตอร

– จดเกบขอมลเทาทจำาเปนเพอใหสามารถระบตวผใชบรการได• ตงแตเรมใชบรการจนถงบรการสนสดลง


8

หนาทของโรงเรยนตาม พรบหนาทของโรงเรยนตาม พรบ. . ๒๕๕๐ ๒๕๕๐ ((ตอตอ)) ประกาศฯ เรองหลกเกณณฑการเกบรกษาขอมลจราจร

ทางคอมพวเตอรของผใชบรการ พ.ศ. ๒๕๕๐– โรงเรยนถอเปนผใหบรการการเขาถงระบบ

คอมพวเตอร (Access Service Provider) สำาหรบองคกร ตามขอ ๕ (๑) ข.

– ตามประกาศฯ ขอ ๖ กำาหนดใหโรงเรยนทำาการเกบรกษาขอมลจราจรทางคอมพวเตอรตามรายละเอยดในภาคผนวก ข. ขอ ๒ และ ๔


9

หนาทของโรงเรยนตาม พรบหนาทของโรงเรยนตาม พรบ. . ๒๕๕๐ ๒๕๕๐ ((ตอตอ)) ตวอยางขอมล Log ไฟล ตามผนวก ข. ขอ ๒ และ ๔

ของประกาศกระทรวงฯ– ขอมลการเขาถงระบบเครอขาย

• Radius/TACACS/DIAMETER–Date, Time, UID, IP address, Calling ID

• อเมลเซรฟเวอร–Message ID, Receiver email address, Mail delivery status, Sender IP address, Date, Time, UID

–PO3/IMAP4 Log


10

หนาทของโรงเรยนตาม พรบหนาทของโรงเรยนตาม พรบ. . ๒๕๕๐ ๒๕๕๐ ((ตอตอ)) จราจรทางคอมพวเตอรตามรายละเอยดในภาคผนวก ข.

ขอ ๒ และ ๔ ตามประกาศกระทรวงฯ (ตอ)– FTP

• Date, Time, Source IP address, UID, Transfer, Pathname/Filename

– Web Server• Date, Time, Source IP address, HTTP Header Command, URI

– Usenet• Date, Time, Process ID, Hostname, Posted Message ID


11

หนาทของโรงเรยนตาม พรบหนาทของโรงเรยนตาม พรบ. . ๒๕๕๐ ๒๕๕๐ ((ตอตอ)) จราจรทางคอมพวเตอรตามรายละเอยดในภาคผนวก ข.

ขอ ๒ และ ๔ ตามประกาศกระทรวงฯ (ตอ)– IRC Chat/IM

• Date, Time, Hostname, Source IP address– Web-board/Blog/Web Services/e-

Transactions/e-Commerce• Source IP address, Posted ID, UID


12

หนาทของโรงเรยนตาม พรบหนาทของโรงเรยนตาม พรบ. . ๒๕๕๐ ๒๕๕๐ ((ตอตอ)) แนวทางการเกบ Log ไฟล ตามประกาศฯ กระทรวง ขอ

๗– เกบในสอทรกษาความครบถวนถกตอง (Integrity)– ระบตวตนผเขาถงสอดงกลาวได– มระบบรกษาความปลอดภยในการเขาถงตามชนความ

ลบทกำาหนด– ปองกนการแกไขขอมลโดยบคคลทไมไดรบอนญาต

รวมถงผดแลระบบ• Centralize Log/Data Archiving/Data Hashing

– จดเจาหนาทประสานงานในการสงมอบขอมล


13

หนาทของโรงเรยนตาม พรบหนาทของโรงเรยนตาม พรบ. . ๒๕๕๐ ๒๕๕๐ ((ตอตอ)) แนวทางการเกบ Log ไฟล ตามประกาศฯ กระทรวง ขอ

๗– ตองสามารถระบตวบคลได หากมการใชงานบรการ

ตอไปน• Proxy, NAT, Free Internet, Wi-Fi HotSpot

แนวทางการเกบ Log ไฟล ตามประกาศฯ กระทรวง ขอ ๙ – ตงนาฬกาของอปกรณบรการทกชนดใหตรงกบเวลา

อางองสากล (Stratum 0) โดยผดพลาดไมเกน ๑๐ มลลวนาท


14

แนวทางการปรบปรงโรงเรยนใหสอดคลองแนวทางการปรบปรงโรงเรยนใหสอดคลองตามกฎหมายตามกฎหมาย

มาตรา ๑๕– มาตราการเชงตรวจสอบ

• ปรบปรงนโยบายใหมการกำาหนดเจาหนาทในการตรวจสอบขอความและขอมลทนำาเขาระบบทใหบรการอยางสมำาเสมอและมการตรวจสอบการดำาเนนการของเจาหนาท


15

แนวทางการปรบปรงโรงเรยนใหสอดคลองแนวทางการปรบปรงโรงเรยนใหสอดคลองตามกฎหมาย ตามกฎหมาย ((ตอตอ))

มาตรา ๒๖– ตดตงหรอจดทำาระบบ NTP เซรฟเวอร (Stratum 1

หรอ 2) ทอางองกบ Atomic Clock (Stratum 0)– กำาหนดใหอปกรณตางๆ ในระบบบรการคอมพวเตอร

อางองเวลากบ NTP เซรฟเวอร


16


มาตรา ๒๖– ปรบปรงการตงคาการเกบ Log ไฟลในระบบบรการ

คอมพวเตอรตางๆ– จดทำา Centralize Log ทมสอทสามารถรกษาความครบ

ถวนถกตอง– กำาหนดใหสง Log ไฟลจากอปกรณตางๆ ไปยง Centralize

Log


17


มาตรา ๒๖– รปแบบของ Centralize Log


18


มาตรา ๒๖– ตดตงระบบ Secure Authentication Server ในระบบ

LAN และ WLAN เชอมตอกบระบบทะเบยนรายชอผใชงาน (LDAP/RADIUS)


19


รปแบบของระบบ Secure Authentication Server


20

ภาพรวมของเครองมอตางๆ ทใชภาพรวมของเครองมอตางๆ ทใช


ภาพรวมของเครองมอตางๆ ทใชภาพรวมของเครองมอตางๆ ทใช


22

ภาพรวมของเครองมอตางๆ ทใช ภาพรวมของเครองมอตางๆ ทใช ((ตอตอ))


23

VM11

VM12

VM21 VM22

การเชอมตอระหวางเซรฟเวอรการเชอมตอระหวางเซรฟเวอร


24

192.168.1.2

192.168.1.1

LAN192.168.1.10

192.168.1.20

WAN

192.168.2.1

การตดตง การตดตง Citrix XenServerCitrix XenServer Hypervisor ชนดท 1 ทสามารถดาวโหลดใชงานไดโดยไม

เสยคาใชจาย– สามารถดาวโหลดไดท http://www.citrix.com/

xenserver_free


25

การตดตง การตดตง Citrix XenServer (Citrix XenServer (ตอตอ)) ใสแผนโปรแกรม Citrix XenServer ในเครอง สงเครองใหบตจากแผนดสก


26

การตดตง การตดตง Citrix XenServer (Citrix XenServer (ตอตอ)) เลอก keymap


27

การตดตง การตดตง Citrix XenServer (Citrix XenServer (ตอตอ)) เลอกตดตงจาก Local Media


28

การตดตง การตดตง Citrix XenServer (Citrix XenServer (ตอตอ)) ไมเลอกตดตง Supplemental Packs


29

การตดตง การตดตง Citrix XenServer (Citrix XenServer (ตอตอ)) ไมเลอกทดสอบแผนดสก


30

การตดตง การตดตง Citrix XenServer (Citrix XenServer (ตอตอ)) พมพรหสผานของ root เปน XenServer


31

การตดตง การตดตง Citrix XenServer (Citrix XenServer (ตอตอ)) กำาหนดหมายเลขไอพเพอเขาไปบรหารจดการ XenServer

เปน 192.168.1.254 Netmask 255.255.255.0 และ Gateway คอ 192.168.1.1


32

การตดตง การตดตง Citrix XenServer (Citrix XenServer (ตอตอ)) กำาหนดหมายเลขไอพสำาหรบเซรฟเวอร DNS เปน

192.168.1.1


33

การตดตง การตดตง Citrix XenServer (Citrix XenServer (ตอตอ)) กำาหนดหมายเลขไอพสำาหรบเซรฟเวอร NTP เปน

192.168.1.2


34

การตดตง การตดตง Citrix XenServer (Citrix XenServer (ตอตอ)) ภาพเมอตดตงสำาเรจ


35

การตดตง การตดตง Citrix XenServer (Citrix XenServer (ตอตอ)) บตเครองเพอเรมใชงานโปรแกรม


36

การอางองเวลาในระบบเครอขายการอางองเวลาในระบบเครอขาย


Network Time Protocol (NTP)Network Time Protocol (NTP) เปน Protocol มาตรฐานทใชในการอางองเวลาของ

อปกรณและคอมพวเตอรเครอขาย– RFC 5905 (NTP version 4)

NTPv4 มระดบความเทยงตรงของการอางองเวลาตำากวา 10 มลลวนาท ในเครอขาย WAN ในยคปจจบน

พฒนาโดย Professor David L. Mills ท University of Delaware


38

รปแบบการจดลำาดบการอางองเวลารปแบบการจดลำาดบการอางองเวลา


39

สถาปตยกรรมของ สถาปตยกรรมของ NTPNTP


40

NTP Messages

Peer 1

Peer 2

Filter 1

Peer 3

Filter 2

Filter 3

Selectionand

ClusteringAlgorithms

CombiningAlgorithm

Loop Filter

VFOTimestamps

Clock DisciplineAlgorithm

P/F-Lock Loop

การอางองเวลากบหลายเซรฟเวอรจะชวยในเรองของ Redundancy และความหลากหลายในการตดสนใจ

โดย NTP จะกรองและเลอกอางองเซรฟเวอรและจดเวลาทดทสด

มระบบ Feedback ทใชเพอลด Jitter และความผดเพยนของเวลาลง

แนวทางการสอสารเพออางองเวลาในโรงเรยนแนวทางการสอสารเพออางองเวลาในโรงเรยน

เครองคอมพวเตอร PC สอสารในโหมด Multicast กบ NTP เซรฟเวอรของโรงเรยน

NTP เซรฟเวอรของโรงเรยนสอสารในโหมด Symmetric ระหวางกน

NTP เซรฟเวอรของโรงเรยนสอสารในโหมด Client/Server กบ NTP เซรฟเวอรภายนอก


41

S1 S1 S1 S1

S2* *

S1 S1

*

* to buddy (S2)

S2 S2

Computer PC

แหลงอางองเวลาในประเทศไทยแหลงอางองเวลาในประเทศไทย Stratum 1

– UniNet• NTP2.UNI.NET.TH

– สถาบนมาตรวทยาแหงชาต• 203.185.69.60

– กรมอทกศาสตร กองทพเรอ• TIME.NAVY.MI.TH

Stratum 2– UniNet

• TIME.UNI.NET.TH


42

การตดตง การตดตง NTP NTP เซรฟเวอรเซรฟเวอร ดาวโหลด Package ตอไปน

– libopts25_5.10-1.1_i386.deb– ntp_4.2.6p2+dfsg-1+b1_i386.deb

ตดตงโปรแกรมดวยคำาสงตอไปน$ sudo dpkg --install package

ตรวจสอบวา package ไดตดตงเรยบรอยแลว โดยพมพ

$ sudo dpkg --list |grep package$ ps aux |grep ntp


43

การตงคาไฟล การตงคาไฟล /etc/ntp.conf/etc/ntp.conf พมพคำาสงตอไปนในไฟล ntp.conf

– กำาหนดไฟลทเกบคาการเบยงเบนของเวลาในเครองdriftfile /var/lib/ntp/ntp.drift

– กำาหนดใหปฏเสธการสอสารกบเครองคอมพวเตอรใดๆ เปนคาเรมตนrestrict default ignorerestrict -5 default ignore

– อนญาตใหโปรเซสภายในเครองเซรฟเวอรสอสารกบบรการไดrestrict 127.0.0.1restrcit ::1


44

การตงคาไฟล การตงคาไฟล /etc/ntp.conf (/etc/ntp.conf (ตอตอ)) พมพคำาสงตอไปนในไฟล ntp.conf (ตอ)

– กำาหนด ntp เซรฟเวอรทจะใชในการอางองserver ntp2.uni.net.threstrict ntp2.uni.net.th nomodify notrap nopeer noqueryserver time.navy.mi.threstrict time.navy.mi.th nomodify notrap nopeer noquery

– อนญาตให subnet ตอไปนสามารถใชเครอง ntp เซรฟเวอรนในการอางองเวลาไดrestrict 192.168.1.0 mask 255.255.255.0 nomodify notrap nopeer noquery


45

การตงคาไฟล การตงคาไฟล /etc/ntp.conf (/etc/ntp.conf (ตอตอ)) เรมการทำางานของโปรเซสใหมอกครง

$ sudo service ntp restart ตรวจสอบวาโปรเซสทำางานเปนปรกต

$ ps aux |grep ntp


46

การตรวจสอบ การตรวจสอบ NTP NTP เซรฟเวอรเซรฟเวอร ใชคำาสง ntpsweep

– $ ntpsweep –-host 192.168.1.100 Host st offset(s) version system processor---------------------+--+---------+--------+---------+--------192.168.1.100 2 -0.810


47

การตรวจสอบ การตรวจสอบ NTP NTP เซรฟเวอรเซรฟเวอร ใชคำาสง ntptrace

$ ntptracelocalhost: stratum 2, offset 0.000258, synch distance 0.015350202.28.214.2: stratum 1, offset -0.000001, synch distance 0.000523, refid 'PPS'


48

การตรวจสอบ การตรวจสอบ NTP NTP เซรฟเวอรเซรฟเวอร ใชคำาสง ntptrace

$ ntptracelocalhost: stratum 2, offset 0.000258, synch distance 0.015350202.28.214.2: stratum 1, offset -0.000001, synch distance 0.000523, refid 'PPS'


49

การตรวจสอบ การตรวจสอบ NTP NTP เซรฟเวอรเซรฟเวอร ใชคำาสง ntpq

$ ntpqntpq> peers remote refid st t when poll reach delay offset jitter==============================================================================*202.28.214.2 .PPS. 1 u 134 128 377 30.121 -0.116 1.449+124.109.2.169 158.108.212.156 3 u 97 128 377 29.884 0.148 1.216+proxy.cpe.rmutt 203.185.69.59 2 u 30 128 377 30.857 0.923 0.996 32.1.67.232 .INIT. 16 u - 1024 0 0.000 0.000 0.000+158.108.7.157 .GPS. 1 u 116 128 377 29.356 -0.424 2.739xeuropium.canoni 193.79.237.14 2 u 58 128 377 311.180 33.595 1.257


50

การใชงาน การใชงาน Radius ServerRadius Server


RADIUSRADIUS Remote Authentication Dial-up User Service


52

RADIUSRADIUS Remote Authentication Dial-up User Service

– เปนโปรโตคอลทใชสำาหรบการยนยนตวตนและการใหสทธผใช

– รองรบโปรโตคอลในการยนยนตวตนทหลากหลายผานการเชอมตอจากเครองผใชไปยง Access เซรฟเวอรในลกษณะ Point-to-Point

• PAP, CHAP, PEAP, EAP– สามารถอนญาตการใชงานเครอขายใหกบเครองผใชได

เมอผานการยนยนตวตนสำาเรจ– Access เซรฟเวอรสามารถแจงเวลาเรมและจบของผใชใน

session หนงๆ ไปเกบไวท Authentication เซรฟเวอรได


53

freeRADIUSfreeRADIUS เปน OpenSource RADIUS โปรแกรม ฟงกชนในการทำางาน

– รองรบการทำางานในคณสมบตตางๆ ตาม RFC 2865 RFC2866

– สนบสนนโปรโตคอลในการยนยนตวตนในรปแบบ EAP (Extendable Authentication Protocol) ทหลากหลาย• EAP-MD5, EAP-SIM, EAP-TTLS, EAP-PEAP

– รองรบคณสมบตเฉพาะทกำาหนดโดยผผลตอปกรณตางๆ ไดกวา 100 ผผลต• CISCO, Juniper, Microsoft, 3COM etc.


54

การตดตง การตดตง freeRADIUS freeRADIUS ใน ใน DebianDebian ดาวโหลดโปรแกรมตอไปน

– freeradius_2.1.10+dfsg-2_i386.deb– freeradius-common_2.1.10+dfsg-2_all.deb– libfreeradius2_2.1.10+dfsg-2_i386.deb– freeradius-ldap_2.1.10+dfsg-2_i386.deb– freeradius-utils_2.1.10+dfsg-2_i386.deb

ตดตงโปรแกรมดวยคำาสงตอไปน$ sudo dpkg --install package_name

ตรวจสอบวา Package ไดตดตงเรยบรอยแลว โดยพมพ$ dpkg --list |grep freeradius


55

การตงคา การตงคา freeRADIUS freeRADIUS ใน ใน DebianDebian ทดสอบโปรแกรมทตดตงเบองตน

– สราง Username ทดสอบในไฟล /etc/freeradius/users ดงนในบรรทดบนสดของไฟลuninet Cleartext-Password := “password”

– ปดโปรเซส freeRadius ปจจบนsudo service freeradius stop

– เรมการใชงานโปรแกรมใน Debug mode ดวยคำาสงตอไปน และเปด Terminal นคางไวsudo /usr/sbin/freeradius -X

– เปดอกหนง Terminal และใชคำาสงตอไปนในการทดสอบการทำางานของโปรแกรมradtest uninet password localhost 0 testing123


56

การตงคา การตงคา freeRADIUS freeRADIUS ใน ใน DebianDebian ทดสอบโปรแกรมทตดตงเบองตน


57

การตดตงและปรบแตงโปรแกรมการตดตงและปรบแตงโปรแกรมเพอใชในการยนยนตวตนในลกษณะ เพอใชในการยนยนตวตนในลกษณะ

Captive PortalCaptive Portal


คณสมบตหลกของโปรแกรม คณสมบตหลกของโปรแกรม pfSensepfSense Firewall Traffic Shaping Hardware failover (Active/Standby) Load Balancing VPN – IPSec, PPTP Graphs Reporting Proxy Server Captive Portal


59

ความตองการฮารดแวรความตองการฮารดแวร ท Throughput ขนาด 20 – 50 Mbps

– CPU ขนาด 2.0 – 3.0 GHz– หนวยความจำาไมตำากวา 1 GB – Harddisk ขนาด 512 MB

ฮารดแวรทสามารถใชงานรวมกนได– http://www.freebsd.org/releases/7.2R/

hardware.html


60

การวาง การวาง pfSense pfSense ในระบบในระบบ


61

ขนตอนการตดตงโปรแกรม ขนตอนการตดตงโปรแกรม pfSensepfSense ดาวโหลดโปรแกรม pfSense สำาหรบ VM จาก Web

Server– PfSense-1.2.3-VM.zip


62

การตดตงเรมตนโปรแกรม การตดตงเรมตนโปรแกรม pfSensepfSense


63

บต VM ของ โปรแกรม pfSense



64

พพม 1 เลอก LAN/WAN อนเทอรเฟส



65



66

พพม 2 ตงคาหมายเลขไอพ



67

LAN IP: 192.168.1.1 LAN Netmask: 255.255.255.0



68

จากเครอง Debian เขาถงหนาเวบ Administrator ของ pfSense ท– http://<LAN_IP_Address_pfSense>

• Username: admin• Password: pfsense



69



70

1

การตงคาสำาหรบ การตงคาสำาหรบ Captive PortalCaptive Portal


71

1

2

3

4



72

1

2

3

4

1

2

3

4

5



73



74



75



76



77

การตงคาในโปรแกรม การตงคาในโปรแกรม freeRADIUS freeRADIUS เพอเพอรองรบสงขอมลจาก รองรบสงขอมลจาก pfSensepfSense

เพมขอความตอไปนในไฟล /etc/freeradius/clients.confclient <pfsense_IP_Address> {

secret = uninet}

Restart โปรแกรม freeRADIUSsudo service freeradius restartหรอ

– คนหา Process ID ของโปรแกรมps aux |grep freeradius

– Restart Process ID ของโปรแกรมkill -HUP <freeradius_process_id>


78

ทดสอบการยนยนตวตนทดสอบการยนยนตวตน ทดสอบการยนยนตวตนจาก pfSense ไปยง

freeRADIUS ผานเวบเบราเซอร โดยใชชอทดสอบใน freeRADIUS


79

ทดสอบการยนยนตวตนทดสอบการยนยนตวตน


80

การตดตงและใชงาน การตดตงและใชงาน OpenLDAP OpenLDAP


Lightweight Directory Access Lightweight Directory Access Protocol (LDAP)Protocol (LDAP)

เปนโปรโตคอลในระดบ Application Layer ในมาตรฐาน RFC 4510 (LDAPv3)

พฒนาตอมาจากมาตรฐาน X.500 ของ ITU ใชเพอการเขาถงและจดการขอมลในฐานขอมลทจดเกบใน

ลกษณะ Object ตางๆ เชน Users, Application, Files, Printer และอนๆ ผาน TCP/IP


82

องคประกอบทสำาคญของ องคประกอบทสำาคญของ LDAPLDAP

DUA: Directory User Agent DAP: Directory Access Protocol DSA: Directory Server Agent

– รบการเชอมตอจาก DUA ทพอรต TCP 389– LDAPS หรอ LDAP over TLS/SSL รบการเชอม

ตอทพอรต TCP 636


83

โครงสรางการจดการขอมลของ โครงสรางการจดการขอมลของ LDAPLDAP


84

Source: http://tariffs.qwest.com:8000/idc/help/security/page_5_04.htm

โครงสรางการจดการขอมลของ โครงสรางการจดการขอมลของ LDAP (LDAP (ตอตอ)) 1 directory ประกอบดวยหลาย entry 1 entry ประกอบดวยกลมของคณสมบต (attributes) 1 คณสมบต จะมชอ ซงประกอบดวยชนดชอง

คณสมบตและคำาอธบาย รวมถงคาของคณสมบตนน (values)

แตละ entry จะม ID อางอง เรยกวา "Distinguished Name" (DN) – ประกอบดวย Relative DN (RDN) ตามดวย DN

ของ entry แม


85

โครงสรางการจดการขอมลของ โครงสรางการจดการขอมลของ LDAP (LDAP (ตอตอ)) ตวอยาง 1 entry เขยนในรปแบบ LDAP Data

Interchange Format (LDIF)


86

โครงสรางการจดการขอมลของ โครงสรางการจดการขอมลของ LDAP (LDAP (ตอตอ))

dn = ชออางองของ entry (ไมใชสวนหนงของ entry)– cn=John Doe เปน RDN– dc=example,dc=com เปน DN ของ entry แม

Attributes ตางๆ– dc = Domain Component– cn = common name


87

ตวอยาง ตวอยาง LDAP AttributesLDAP Attributes


88

ตวอยาง ตวอยาง LDAP attributes (LDAP attributes (ตอตอ)) objectclass

– เปน attribute ททกๆ entry ตองมอยางนอย 1 เพอบงบอกวา entry จะประกอบดวย attributes อะไรไดบาง


89

การทำางานกบ การทำางานกบ LDAPLDAP Bind

– เปนการยนยนตวตนเพอเชอมตอจาก DUA ไปยง DSA โดยการระบ DN ของผใชงานและรหสผาน (userPassword)

การคนหาและเปรยบเทยบคาในฐานขอมล– ประกอบดวย Parameters ดงน

• baseObject– DN เรมตนในการคนหาขอมล

• scope– ขอบเขตในการคนหา ซงเปนไดทง

» baseObject» singleLevel» wholesubtree


90

การทำางานกบ การทำางานกบ LDAP (LDAP (ตอตอ)) การคนหาและเปรยบเทยบคาในฐานขอมล (ตอ)

– ประกอบดวย Parameters ดงน• baseObject

– DN เรมตนในการคนหาขอมล• scope

– ขอบเขตในการคนหา ซงเปนไดทง» BaseObject

คนหาชอของ entry» SingleLevel

คนหาเฉพาะ entries ทตำากวา baseDN 1 ขน» Wholesubtree

คนหา entries ทตำากวา baseDN ทงหมด


91

การทำางานกบ การทำางานกบ LDAP (LDAP (ตอตอ)) การคนหาและเปรยบเทยบคาในฐานขอมล (ตอ)

– ประกอบดวย Parameters ดงน• filter

– เงอนไขทใชในการคนหา• attributes

– คณสมบตทตองการแสดงของ entry• SizeLimit, timeLimit

– จำานวน entries ทตองการแสดง และเวลาทใชในการคนหาสงสด

• typesOnly– แสดงเฉพาะชนดของคณสมบต ไมแสดงคาของ

คณสมบต


92

การทำางานกบ การทำางานกบ LDAP (LDAP (ตอตอ)) ตวอยางการคนหาและเปรยบเทยบคาในฐานขอมลดวย

ldapsearch– ldapsearch -x -h 192.168.1.253 -b o=IT

• -x ใช clear-text password ในการยนยนตวตน• -h ระบ LDAP เซรฟเวอร• -b ระบ baseDN

– ldapsearch -x -h 192.168.1.253 -b o=IT mail • ระบใหแสดงเฉพาะ mail attribute

– ldapsearch -x -h 192.168.1.253 -b o=IT “(sn=d*)” sn givenname mail

• คนหา account ทนามสกลขนตนดวย "d" และใหแสดงคาของนามสกล givename และ mail


93

การทำางานกบ การทำางานกบ LDAP (LDAP (ตอตอ)) ตวอยางการคนหาและเปรยบเทยบคาในฐานขอมลดวย

ldapsearch– ldapsearch -x -h 192.168.1.253 -b o=IT

“(&(objectclass=inetorgperson)(!(mail=*)))” • คนหา entries ซงม objectClass เปน interOrgPerson และ ไมม

mail– ldapsearch -x -h 192.168.1.253 -b o=IT -s sub dn

• คนหา entries ทอยภายใต organization Unit "IT" ทงหมดและแสดงเฉพาะ DN

– ldapsearch -x -h 192.168.1.253 -b o=IT -s one dn • คนหา entries ทอยภายใต organization Unit “IT” หนงลำาดบ และ

แสดงเฉพาะ DN– ldapearch -x -h 192.168.1.253 -b cn=staff, o=IT -s base

• คนหาเฉพาะ entry ทม DN คอ cn=staff, o=IT เทานน


94

การตดตง การตดตง OpenLDAPOpenLDAP ดาวโหลดไฟลโปรแกรมตอไปน

– slapd_2.4.23-7.2_i386.deb– ldap-utils_2.4.23-7.2_i386.deb– libldap-2.4-2_2.4.23-7.2_i386.deb– libdb4.6_4.6.21-16_i386.deb– odbcinst_2.2.14p2-1_i386.deb– odbcinst1debian2_2.2.14p2-1_i386.deb– unixodbc_2.2.14p2-1_i386.deb

ตดตงโปรแกรมดวยคำาสงตอไปน– sudo dpkg –-install libdb4.6_4.6.21-16_i386.deb

libldap-2.4-2_2.4.23-7.2_i386.deb ldap-utils_2.4.23-7.2_i386.deb odbcinst_2.2.14p2-1_i386.deb odbcinst1debian2_2.2.14p2-1_i386.deb unixodbc_2.2.14p2-1_i386.deb slapd_2.4.23-7.2_i386.deb


95

การตดตง การตดตง OpenLDAPOpenLDAP ตรวจสอบวา Package ไดตดตงเรยบรอยแลว โดยพมพ

– dpkg --list |grep slap– dpkg --list |grep ldap– dpkg --list |grep libdb


96

การตดตง การตดตง OpenLDAPOpenLDAP ตรวจสอบวา Package ไดตดตงเรยบรอยแลว โดยพมพ

– dpkg --list |grep slap– dpkg --list |grep ldap– dpkg --list |grep libdb


97

การตงคา การตงคา OpenLDAPOpenLDAP พมพคำาสงตอไปน

– $ sudo mv /etc/ldap/slapd.d /etc/ldap/slapd.d.bak สรางไฟล slapf.conf ใน /etc/ldap/

– $ sudo touch /etc/ldap/slapd.conf– $ sudo chown openldap:openldap /etc/ldap/

slapd.conf สรางไฟล ldap.log ใน /var/log

– $ sudo touch /var/log/ldap.log– $ sudo chown openldap:openldap /var/log/ldap.log


98

การตงคา การตงคา OpenLDAP (OpenLDAP (ตอตอ)) สำาเนา freeradius schema ใสใน schema path ของ

openldap$ sudo cp /usr/share/doc/freeradius/examples/openldap.schema /etc/ldap/schema/radius.schema

แกไขไฟล slapd.conf โดย– $ sudo nano /etc/ldap/slapd.conf

พมพคำาสงตอไปในนในไฟล slapd.conf#Schema and objectClass definitionsinclude /etc/ldap/schema/core.schemainclude /etc/ldap/schema/cosine.schemainclude /etc/ldap/schema/nis.schemainclude /etc/ldap/schema/inetorgperson.schemainclude /etc/ldap/schema/radius.schema


99

การตงคา การตงคา OpenLDAP (OpenLDAP (ตอตอ)) พมพคำาสงตอไปในนในไฟล slapd.conf (ตอ)

#pid filepidfile /var/run/slapd/slapd.pid#List of arguments that were passed to the serverargsfile /var/run/slapd/slapd.args#Logfilelogfile /var/log/ldap.log#loglevelloglevel 255#Where the dynamically loaded modules are storedmodulepath /usr/lib/ldapmoduleload back_bdb.so#Maximum number of entries returned for searchsizelimit 500


100

การตงคา การตงคา OpenLDAP (OpenLDAP (ตอตอ)) พมพคำาสงตอไปในนในไฟล slapd.conf (ตอ)

#The tool-threads parameter sets the actual amount #of cpu's that is used for indexing.tool-threads 1#Create a databasedatabase bdblastmod onsuffix "dc=uni, dc=net, dc=th"rootdn "cn=Manager, dc=uni, dc=net, dc=th"rootpw uninetdirectory /var/lib/ldap/uninetindex objectClass eqindex uid eq


101

การตงคา การตงคา OpenLDAP (OpenLDAP (ตอตอ)) สราง Directory เพอเกบขอมล Database ใน /var/lib/ldap/

$ sudo mkdir /var/lib/ldap/uninet$ sudo chown openldap:openldap /var/lib/ldap/uninet$ sudo cp /usr/share/slapd/DB_CONFIG /var/lib/ldap/uninet/$ sudo chown openldap:openldap /var/lib/ldap/uninet

Restart slapd service$ sudo service slapd restart


102

การตงคา การตงคา OpenLDAP (OpenLDAP (ตอตอ)) สรางโครงสราง Directory ในการเกบขอมลดงนในรปแบบ ldif


103

dc = th

dc = net

dc = uni

ou = engineer ou = admin

cn = Manager

cn = Staff

cn = Manager

cn = Staff

การตงคา การตงคา OpenLDAP (OpenLDAP (ตอตอ))

สรางไฟล ldif ชอ domain.ldif$ sudo touch /etc/ldap/domain.ldif$ sudo nano /etc/ldap/domain.ldif

สรางโครงสราง Directory ตอไปนในการเกบขอมลในไฟล domain.ldif

dn: dc=uni, dc=net, dc=thobjectclass: dcObjectobjectclass: organizationo: uni.net.th

dn: cn=Manager, dc=uni, dc=net, dc=th objectclass: organizationalRole cn: Manager description: LDAP administrator


104

การตงคา การตงคา OpenLDAP (OpenLDAP (ตอตอ)) เพม Entry ใน OpenLDAP ดวย ไฟล domain.ldif

$ sudo ldapadd -x -D "cn=Manager, dc=uni, dc=net, dc=th" -W -f domain.ldif

ตดตงโปรแกรม LDAP GUI Client ลงในเครอง Windows (Host OS)

ดาวโหลดและตดตงโปรแกรดงตอไปนjre-6-windows-i586.exejxplorer-3.2.2-windows-installer.exe


105



106



107

เลอกเมน File->Connect เพอสรางการเชอมตอไปยง LDAP Server

การตงคา การตงคา OpenLDAP (OpenLDAP (ตอตอ)) สรางโครงสราง Directory ในการเกบขอมลในไฟล uni.net.th.ldif

dn: ou=Engineer, dc=uni, dc=net, dc=thou: Engineerobjectclass: organizationalUnit

dn: ou=Admin, dc=uni, dc=net, dc=th ou: Admin objectclass: organizationalUnit


108


(ตอ)dn: cn=Manager, ou=Engineer, dc=uni, dc=net, dc=thcn: Managerobjectclass: organizationalRole dn: uid=user1, ou=Engineer, dc=uni, dc=net, dc=thuid: user1cn: user1sn: user1objectclass: inetorgperson


109


(ตอ)dn: cn=Staff, ou=Engineer, dc=uni, dc=net, dc=thcn: Staffobjectclass: organizationalRole dn: uid=user2, ou=Engineer, dc=uni, dc=net, dc=thuid: user2cn: user2sn: user2objectclass: inetorgperson


110


(ตอ)dn: cn=Manager, ou=Admin, dc=uni, dc=net, dc=thcn: Managerobjectclass: organizationalRole dn: uid=user3, ou=Admin, dc=uni, dc=net, dc=thuid: user3cn: user3sn: user3objectclass: inetorgperson


111


(ตอ)dn: cn=Staff, ou=Admin, dc=uni, dc=net, dc=thcn: Staffobjectclass: organizationalRole dn: uid=user4, ou=Admin, dc=uni, dc=net, dc=thuid: user4cn: user4sn: user4objectclass: inetorgperson


112

การตงคา การตงคา OpenLDAP (OpenLDAP (ตอตอ)) Import entries ทใสในไฟล uni.net.th.ldif ผานโปรแกรม jXplorer

โดยเลอกทเมน LDIF->Import file แลวเลอกไฟล uni.net.th.ldif


113

ตรวจสอบการสราง ตรวจสอบการสราง DirectoryDirectory ใชคำาสงตอไปนในการตรวจสอบ

$ ldapsearch -b"dc=uni,dc=net,dc=th" -x$ sudo slapcat

ในกรณทตองการจะลบ entry ใด$ ldapdelete -x -D "cn=Manager, dc=uni, dc=net, dc=th" -W -r "DN_ทตองการลบ"

ตวอยางเชนถาตองการลบทง directory $ ldapdelete -x -D "cn=Manager, dc=uni, dc=net, dc=th" -W -r "dc=uni, dc=net, dc=th"


114

การตงคา การตงคา freeradius freeradius เพอตดตอเพอตดตอกบ กบ OpenLDAP OpenLDAP


การแกไขคาเพอให การแกไขคาเพอให freeradius freeradius ตดตอกบ ตดตอกบ OpenLDAPOpenLDAP

แกไขคาในไฟล /etc/freeradius/modules/ldap$ sudo nano /etc/freeradius/modules/ldap

โดยแกไขในสวนของ ldap ดงนldap {

server = "localhost"identity = "cn=Manager,dc=uni,dc=net,dc=th"password = uninetbasedn = "dc=uni,dc=net,dc=th"}


116

การแกไขคาเพอให การแกไขคาเพอให freeradius freeradius ตดตอกบ ตดตอกบ OpenLDAP (OpenLDAP (ตอตอ))

แกไขไฟล /etc/freeradius/sites-available/default ในสวนของ authorize โดยเปดการใชงาน ldap ดงน

authorize {......#unix#files...ldap......}


117


แกไขไฟล /etc/freeradius/sites-available/default ในสวนของ authentication โดยเปดการใชงาน ldap ดงน

authenticate {......Auth-Type LDAP {

ldap}

...

...}


118


Restart freeradius service$ sudo service freeradius restart

ทดสอบยนยนตวตนดวย Account ทสรางใน OpenLDAP ผาน pfSense


119

การตดตงใชงานโปรแกรม การตดตงใชงานโปรแกรม rsyslogrsyslog


SyslogSyslog เปนโปรโตคอลมาตรฐาน RFC 5424 มรปแบบการทำางานเปนลกษณะ Client/Server

– โดยโปรแกรมจะสงขอความ Log ไปยง Syslog เซรฟเวอร– โดยปรกตจะตดตอสอสารผานพอรต UDP 514 ในลกษณะ

Cleartext– สามารถทำางานรวมกบ SSL ผานโปรแกรมประเภท Stunnel

เพอใหสงผานขอมลในเครอขายแบบเขารหส


121

Message PriorityMessage Priority เปน field ทสำาคญในขอความ Syslog ซงบงบอกถงความสำาคญ

ของขอความและโปรแกรมหรอโปรเซสทสงขอความนน– ลำาดบความสำาคญของขอความ (Message Severity)


122

Message PriorityMessage Priority โปรแกรมหรอ

โปรเซสทสงขอความ (Message Facility)


123

ลกษณะการสงขอความตาม ลกษณะการสงขอความตาม Message PriorityMessage Priority หากตงคาใหสงขอความ Log ดวยความสำาคญในลำาดบ

Informational ขอความตงแตในลำาดบ Informational จนถงลำาดบ Emergency จะถกสงไปท Syslog เซรฟเวอร

Message Facility ใชเพอเปนจดเชอมตอในการรบขอความ Log ของ Syslog เซรฟเวอรจาก Syslog ไคลเอนต ซงระบไวในไฟล syslog.conf


124

รปแบบการกำาหนดคาโดยทวไปใน รปแบบการกำาหนดคาโดยทวไปใน syslog.confsyslog.conf Facility.Level <tab> Action โดย Action ใชเพอระบตำาแหนงของขอความ Log ทจะจดเกบ ซง

สามารถเปนได อาท– Filename

*.info /var/log/syslog– Named pipes ('|')– Terminal และ console (อาท tty)

*.* /dev/console– เครองเซรฟเวอรในเครอขาย

Local7.emerg @192.168.1.2 – ผใชงาน (ผานการเขยนในไฟล Login)


125

การตงคา การตงคา rsyslog rsyslog ใน ใน Debian Debian เพอรอรบเพอรอรบขอความ ขอความ LogLog

เปดให rsyslog บนเครอง Log เซรฟเวอร รอรบขอความ Log ทพอรต UDP 514 ในไฟล /etc/rsyslog.conf

$ sudo nano /etc/rsyslog.conf นำาเครองหมาย # ออกจากบรรทดขอความตอไปน

– #$ModLoad imudp– #$UDPServerRun 514

Restart rsyslog service$ sudo service rsyslog restart

ตรวจสอบวา rsyslog เปดพอรตเพอรอรบขอความแลว$ sudo netstat -tupan |grep rsyslog


126

การตงคา การตงคา pfSense pfSense ใหสง ใหสง Log Log มายง มายง rsyslog rsyslog เซรฟเวอรเซรฟเวอร


127

การตงคา การตงคา pfSense pfSense ใหสง ใหสง Log Log มายง มายง rsyslog rsyslog เซรฟเวอร เซรฟเวอร ((ตอตอ))


128


ตรวจสอบผลการสง Log จาก pfSense มายง rsyslog เซรฟเวอร

$ sudo tail -f /var/log/syslog


129


ปรบปรง rsyslog ใหจดเกบ Log แบบแบงแยกไฟล โดยแกไขในไฟล /etc/rsyslog.conf

$ sudo nano /etc/rsyslog.conf– พมพขอความตอไปนในสวนของ RULES กอนหนาบรรทดท

เกยวกบการจดเกบ Log ไปยงไฟลตางๆ:fromhost-ip, isequal, "<pfsense_ip>" /var/log/pfsense.log& ~

Restart rsyslog service$ sudo service rsyslog restart

ตรวจสอบวา Log จาก pfSense สงไปยงไฟล /var/log/pfsense.log แทน /var/log/syslog


130

การตงคา การตงคา freeradius freeradius ใหจดเกบ ใหจดเกบ Authentication Authentication LogLog

แกไขไฟล /etc/freeradius/radiusd.conf ในสวนของ Logstripped_names = yesauth = yesauth_badpass = yesauth_goodpass = no

Restart freeradius service$ sudo service freeradius restart

ทดสอบยนยนตวตนแลวตรวจสอบวาม Log ทเกยวของจดเกบในไฟล /var/log/freeradius/radius.log


131

การตงคาใหจดเกบ การตงคาใหจดเกบ Log 90 Log 90 วน ตาม พรบวน ตาม พรบ..ฯฯ เพมบรรทดตอไปนในตอนทายไฟล /etc/logrotate.d/rsyslog

/var/log/pfsense.log{

dailyrotate 90compresspostrotate

invoke-rc.d rsyslog reload > /dev/nullendscript

}


132

การตงคาใหจดเกบ การตงคาใหจดเกบ Log 90 Log 90 วน ตาม พรบวน ตาม พรบ..ฯ ฯ ((ตอตอ))

แกไขไฟล /etc/logrotate.d/freeradius/var/log/freeradius/*.log{

dailyrotate 90compresspostrotate

/etc/init.d/freeradius reload > /dev/nullendscript

}


133

การสราง การสราง Message Digest Message Digest ของไฟล ของไฟล Log Log และและเขยน เขยน Log Log ลงแผน ลงแผน CDCD

สรางไฟล Script /etc/burnhlog2cd.sh$ sudo vi /etc/burnhlog2cd.sh$ sudo chmod 755 /etc/burnhlog2cd.sh

เขยน Script ตอไปนในไฟล


134

การสราง การสราง Message Digest Message Digest ของไฟล ของไฟล Log Log และและเขยน เขยน Log Log ลงแผน ลงแผน CD (CD (ตอตอ))

เขยน Script ตอไปนในไฟลfunction getCdInfo() {# Retrieve maximum number of blocks on cd cdMaxNrOfBlocks=`\ sudo cdrecord dev=$1 -atip 2> /dev/null |\ sed -rn 's/^ ATIP start of lead out: ([0-9]+).*/\1/ p'` cdIsMultiSession=1 cdLastSessionStart= cdMkisofsMultiSessionOptions= cdMultiSessionInfo=`sudo cdrecord -msinfo dev=$1` cdNextSessionNr=0 cdNextSessionStart= if [ $cdMultiSessionInfo ]; then cdLastSessionStart="`echo $cdMultiSessionInfo | awk -F, '{ print $1 }'`"


135


เขยน Script ตอไปนในไฟล (ตอ) cdNextSessionStart="`echo $cdMultiSessionInfo | awk -F, '{ print $2 }'`" cdMkisofsMultiSessionOptions="-C $cdMultiSessionInfo -M $1" cdNextSessionNr=2 # Or greater... if (( $cdNextSessionStart == -1 )); then cdIsMultiSession=0 elif (( $cdLastSessionStart == 0 )); then cdNextSessionNr=1 fi fi} # getCdInfo()


136


เขยน Script ตอไปนในไฟล (ตอ)# Determine lead size# See http://gd.tuwien.ac.at/utils/schilling/cdrecord/README.multi# Uses:# @global integer $cdNextSessionNr Session number, origin = 0.function leadSize() { (( $cdNextSessionNr < 2 )) && echo 11400 || echo 6900} # leadSize()


137


เขยน Script ตอไปนในไฟล (ตอ)backupDir=/tmp/hashlogNOW=$(date +"%Y-%m-%d")pfsenselog="pfsense.log.$NOW"freeradiuslog="radius.log.$NOW"backupIso=$backupDir/backup.iso

# Make sure backup dir exists test -d $backupDir || mkdir -p $backupDir# Remove previous backup, if any rm --force $backupDir/pfsense.log.* rm --force $backupDir/radius.log.*# Remove previous iso, if any rm --force $backupIso


138


เขยน Script ตอไปนในไฟล (ตอ)sha1sum /var/log/pfsense.log.1.gz >/var/log/hashlog/$pfsenselogsha1sum /var/log/freeradius/radius.log.1.gz >/var/log/hashlog/$freeradiuslogcp /var/log/hashlog/$pfsenselog $backupDircp /var/log/hashlog/$freeradiuslog $backupDircp /var/log/pfsense.log.1.gz $backupDircp /var/log/freeradius/radius.log.1gz $backupDirbackupDev=/dev/scd0

echo "$(date) backupFile=$pfsenselog, $freeradiuslog, pfsense.log.1.gz, radius.log.1.gz"


139


เขยน Script ตอไปนในไฟล (ตอ)# Get cd infogetCdInfo $backupDev# Calculate size of ISO filebackupIsoSize=$( sudo mkisofs $cdMkisofsMultiSessionOptions -input-charset utf-8 -print-size -R -quiet $backupDir)


140


เขยน Script ตอไปนในไฟล (ตอ)# Bias to blank cddoBlankCd=1# Is cd multi-session?if (( $cdIsMultiSession )); then# Yes, cd is multi-session;# Does backup fit on cd? if (( $cdNextSessionStart + $backupIsoSize + `leadSize` < $cdMaxNrOfBlocks )); then # Yes, backup fits on cd; # Indicate to not blank cd doBlankCd=0 fifi


141


เขยน Script ตอไปนในไฟล (ตอ)# Must cd be blanked?if (( $doBlankCd )); then # Yes, cd must be blanked; # Blanking cd is successful? echo "Existing CD doesn't has enough space, please change a new blank CD!" exit $?fi


142


เขยน Script ตอไปนในไฟล (ตอ)# Create ISO file. Options:# -R: Use the Rock Ridge protocol to further describe the files on the iso9660 filesystem.sudo mkisofs -J -r -V $(date +%Y-%m-%d) $cdMkisofsMultiSessionOptions -input-charset utf-8 -o $backupIso $backupDir# Write ISO file to CD-R(W)# NOTE: Add line underneath to '/etc/sudoers' to allow executing #'cdrecord' and 'mkisofs' as root:## myname ALL = NOPASSWD: /usr/bin/cdrecord,/usr/bin/mkisofs#sudo cdrecord -multi -v -tao speed=8 fs=16m dev=$backupDev $backupIso


143

การสราง การสราง Message Digest Message Digest ของไฟล ของไฟล Log Log และและเขยน เขยน Log Log ลงแผน ลงแผน CD (CD (ตอตอ) )

สราง directory ชอ hashlog ใน /var/log/$ sudo mkdir /var/log/hashlog

เพมบรรทดตอไปนทายไฟล /etc/cron.daily/logrotate/etc/burnhlog2cd.sh


144


145

แหลงอางองแหลงอางอง David L. Mills, "Network Time Protocol (NTP)

General Overview", University of Delaware


146

Q & AQ & A

DD Form 254

_______

__________

________


147

ขอบคณครบขอบคณครบ


148148

Documents

การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์และ … fileหัวข้อบรรยาย (ต่อ) การจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ใน