THT Articles/How-to Feed

การทำ IPv6 Tunnel กับ Hurricane Electric (he.net)

Tue, 07 Feb 2012 04:58:38 +0000

การทำ IPv6 Tunnel กับ Hurricane Electric (he.net)

http://kaekae.oas.psu.ac.th/ojs/oasej/

ในที่สุดก็ตีพิมพ์สักที

วิธีอัพเดท kernel centos 6 แบบไว

Wed, 01 Feb 2012 20:54:09 +0000

วิธีอัพเดท kernel centos 6 แบบไว เครื่องจะ reboot ระบบ โดยไม่ต้องรอตรง bios เครื่องบ้างรุ่นมันจะเช็คนาน ทำแบบนี้จะหายไปแวบนึงแล้วกลับมาเลยครับ
แต่ uptime หายอยู่ดี แต่ช่วยลดเวลาในการ down time ครับ ลองสลับ up down kernel ไวมาก

# uname -r
2.6.32-220.2.1.el6.x86_64

# yum update kernel*

# yum install kexec-tools

# kexec -l /boot/vmlinuz-2.6.32-220.4.1.el6.x86_64 --initrd=/boot/initramfs-2.6.32-220.4.1.el6.x86_64.img --append="`cat /proc/cmdline`"

# kexec -e

# uname -r
2.6.32-220.4.1.el6.x86_64

ติดตั้ง ionCube และ Zend ใน DirectAdmin ด้วยคำสั่งแค่บรรทัดเดียว !

Wed, 11 Jan 2012 17:32:11 +0000

บังเอิญไปซ่อม DA มาบ่อยๆ T_T
(ใช้เองก็ไม่ได้ใช้ ต้องไปแก้ให้ชาวบ้าน) เลยได้ทริคมานิดๆ หน่อยๆ ครับ

ติดตั้ง ionCube

/usr/local/directadmin/custombuild/build ioncube

ติดตั้ง Zend

/usr/local/directadmin/custombuild/build zend

ถ้าใช้ไม่ได้ ให้สั่งไอ้นี่ก่อนนะครับ
/usr/local/directadmin/custombuild/build update_script

วิธีแก้ XENSERVER os พังแล้วต้องการดึงข้อมูลเก่ากลับมา

Sat, 10 Dec 2011 18:08:49 +0000

[ว่างๆจะมาเรียบเรียงวิธีใหม่โดยละเอียดให้นะครับ]

ติดตั้ง xen ไว้ที่อีกดิสแยก

แล้วใช้คำสั่งตามนี้ UUID ดูเอาเองนะรคับให้ตรงกับHDD ของตัวเอง

#vgdisplay

#vgchange -ay

#pvdisplay
VG Name : VG_XenStorage-af6f996e-2f4c-e007-82ea-9289b3ddab80

#xe sr-introduce uuid=af6f996e-2f4c-e007-82ea-9289b3ddab80 type=lvm content-type=user name-label="old disk"

#xe pbd-list

#xe pbd-create sr-uuid=af6f996e-2f4c-e007-82ea-9289b3ddab80 device-config:device=/dev/VG_XenStorage-af6f996e-2f4c-e007-82ea-9289b3ddab80 host-uuid=130b7d54-d561-4f5f-9ea4-f7b3ebb57b9d
c4ef6861-5f62-828d-5113-9ad4b57cb4d1

#xe pbd-plug uuid=c4ef6861-5f62-828d-5113-9ad4b57cb4d1

เอามาลงต่อเผื่อมีใครเป็นแบบผมอีก อิอิ

ขอบคุณพี่ TOEY ที่ช่วยผมแก้มา 2 วันจนสำเร็จ ขอบคุณมากๆเลยครับ

เปิดใช้ IPv6 บน server แบบไม่ต้องง้อ ไม่ต้องรอ IDC

Sat, 03 Dec 2011 06:42:09 +0000

เชื่อว่าหลายๆ คนคงรอกันเก้อ เพราะ idc ไม่ยอมปล่อยมาซักที
ด้วยปัญหามันค่อนข้างเยอะครับ ทั้ง router firewall แล้วก็อุปกรณ์สารพัดจะ support ไม่หวาดไม่ไหว

วิธีนี้มีชื่อเรียกอย่างเป็นทางการว่า 6to4 tunnel ครับ
สร้าง ipv6 โดยอาศัยโครงข่าย ipv4 ที่มีอยู่แล้ว และใช้เลข ipv4 แปลงเป็นฐาน 16 ฝังอยู่ใน ipv6 เพื่ออ้างอิงถึงเครื่อง
โดย address ที่ได้จะขึ้นต้นด้วย 2002: แล้วตามด้วยหมายเลข ipv4 ที่ถูกแปลงเป็นฐาน 16 ของเราทั้งหมด 8 หลัก

ex:
103.246.18.13 แปลงเป็นเลขฐาน 16 ทีละชุด
103 => 67
246 => F6
18 => 12
13 => 0D
เขียนเป็นเลข ipv6 ได้ 2002:67F6:120D:
เลขท้ายที่เหลือ สามารถเลือกใช้ได้อิสระครับ ทั้งนี้ถ้าทำตามวิธีต่อไปนี้ มันจะใช้ ::1 ต่อท้ายเป็นเลข IP เต็มๆ ครับ
จะได้เป็น 2002:67f6:120d::1

วิธีตั้งค่า สำหรับ centos / fedora นะครับ

เอา code ด้านล่างเพิ่มต่อท้ายไฟล์ /etc/sysconfig/network

NETWORKING_IPV6=yes
IPV6_DEFAULTDEV=tun6to4

เอา code ด้านล่างเพิ่มต่อท้ายไฟล์ /etc/sysconfig/network-scripts/ifcfg-eth0 (หรือไฟล์ของแต่ละ interface ที่เราใช้)

IPV6INIT=yes
IPV6TO4INIT=yes

แล้วสั่ง
service network restart

แค่นี้แหละครับ จบ :D

เราได้ IPv6 อะไรให้สั่ง ifconfig ดูได้เลยครับ มันจะมี interface ชื่อว่า tun6to4 โผล่มาแบบนี้

tun6to4 Link encap:IPv6-in-IPv4
inet6 addr: 2002:67f6:120d::1/16 Scope:Global
UP RUNNING NOARP MTU:1480 Metric:1
RX packets:650 errors:0 dropped:0 overruns:0 frame:0
TX packets:606 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:64850 (63.3 KiB) TX bytes:98650 (96.3 KiB)

สำหรับ debian/ubuntu ลองดู http://wiki.debian.o...4_Configuration นะครับ

ลองเอา ip ที่ได้ไปสั่ง ping ที่เว็บด้านล่างได้ครับเพื่อทดสอบการใช้งาน
http://www.berkom.bl.../tools/ping.cgi

*** VPS ที่ใช้ OpenVZ จะใช้วิธีนี้ไม่ได้นะครับ

ลง centos 6 แบบ minimal แล้วลง directadmin ยังไงไม่ให้เน่า

Mon, 28 Nov 2011 09:00:11 +0000

เชื่อว่าหลายคนคงประสบปัญหากันพอควรครับกับ DA เจ้าปัญหา

อันที่จริง มันมาจากว่า centos 6 มัน minimal เกินไปหน่อย lib ที่ควรจะติดมากับ mysql ก็เลยไม่ติดมาด้วย

หลังจากลง centos เสร็จก็สั่งตามนี้ครับ

yum update
rpm -Uvh http://mirrors.thzhost.com/epel/6/x86_64/epel-release-6-5.noarch.rpm
yum install gcc-c++ make patch screen wget quota ncftp bind bind-utils caching-nameserver which bison flex webalizer patch openssl-devel.x86_64 curl-devel.x86_64 e2fsprogs-devel.x86_64 perl-DBI ntp tcpdump iptables telnet traceroute rsync openssh-clients perl-Term-ReadKey autoconf rpm-build vim-enhanced nginx automake libaio libcurl-devel

จัดไปเลยทั้งยวง
แล้วก็ติดตั้ง directadmin ได้ตามปกติเลยครับ

คู่มือติดตั้งระบบ CentOS Linux 6.0 (ฉบับสมบูรณ์)

Thu, 17 Nov 2011 05:14:53 +0000

คู่มือติดตั้งระบบ CentOS Linux 6.0 (ฉบับสมบูรณ์) 32 หน้า (Free)
สามารถคลิกดาวน์โหลดได้ที่ http://www.slideshar...s60installation

ที่มา
http://www.arnut.com

เอา ssd มาทำ cache ให้ Hdd ในระดับ kernel ด้วย FlashCache

Fri, 14 Oct 2011 00:10:56 +0000

https://github.com/facebook/flashcache/

เริ่มด้วยการไปโหลดไฟล์มาก่อน

แล้วก็อ่าน doc มันซะ
- https://github.com/facebook/flashcache/blob/master/doc/flashcache-doc.txt
- https://github.com/facebook/flashcache/blob/master/doc/flashcache-sa-guide.txt

- https://github.com/facebook/flashcache/blob/master/README-CentOS5

 
# Install prerequisite build packages:
   yum install dkms gcc make yum-utils kernel-devel
# CentOS kernel-headers/devel packages don't include internal headers, we've got to configure the full source:
   yumdownloader --source kernel-`uname -r`
   sudo rpm -ivh kernel-`uname -r`.src.rpm


#At the top directory, run

make KERNEL_TREE=

เสร็จพิธิ

ใช้คำสั่ง flashcache_create flashcache_destroy flashcache_load เพื่อ สร้าง ลบ หรือเรียกใช้งาน แคชได้ตามใจชอบ

หลักการง่ายๆคือ เลือก ว่าแต่หละพาทิชั่นของ harddisk จะให้แบ่งเนื้อที่บน ssd มาแคชเท่าไหร่

ข้อดี
- ช่วยเพิ่มประสิทธิภาพ ของฮาร์ดดิสมากขึ้น เพราะได้แคชที่มีขนาดใหญ่ และมีความเร็วในการอ่านเขียนสูง มาก โดยเฉพาะ การอ่านเขียน ไฟล์เล็กๆ จำนวนมาก นี้จะเห็นผลชัดมาก สามารถทำให้เซิฟเวอร์ของท่าน ถลุงแบนวิธของ idc เพิ่มได้กว่าเดิมอีกมากๆๆๆๆๆ
- ลดความเสี่ยงในการที่ข้อมูลหาย ในกรณีไฟดับ เพราะ ว่า ssd ไฟดับแล้วข้อมูลไม่หาย แต่ถ้าใช้แรมมาแคช ข้อมูลที่ยังไม่ sync ลง ดิส จะหายเกลี้ยง
- ได้ความจุเท่า harddisk แต่ได้ความเร็วไกล้เคียงกับใช้ ssd เพียวๆ ลดปัญหา เรื่อง ssd พังง่าย และพังแบบไม่มีปี่มีขลุ่ย รวมถึง พื้นที่อันจำกัดของ ssd

โปรเจคต่อไปจะเอามาทดสอบกับ Revodrive ซึ่งมี bw ของ io สูงถึง 10Gbps น่าจะแรงน่าดู

ไว้ผมลองละเอียดๆ แล้วมาอธิบายเพิ่มเติม

ตอนนี้ เพื่อนผมได้เอาระบบนี้ไปติดตั้งกับเว็บดูละครย้อนหลังแห่งหนึ่ง สามารถ ทำให้ Server เครื่องเดียว ram 16g hdd 6 ลูก จากเดิม รับโหลดได้ราว 400-500Mbps ตอนนี้วิ่งเต็มสาย Gbps ไปหละครับ

ส่วนผมก็เพิ่งลองหัดใช้แบบงูๆปลาๆ มีอะไรก็มาแลกเปลี่ยนกันได้ครับ ^^

แจ้งเตือน New Ticket/New Order จาก WHMCS ผ่าน SMS

Sun, 25 Sep 2011 07:31:55 +0000

วันนี้ทำตัวเหมือนจะว่าง (รึเปล่า?) ตื่นเช้ามาจู่ๆก็ได้ไอเดียเอา SMS Gateway ที่ใช้บริการอยู่ มาโมใส่ WHMCS ซะเลย เอาไว้ใช้แจ้งเตือนเราผ่าน SMS เวลามีลูกค้าเปิด Ticket หรือสั่งซื้อ Order ใหม่เข้ามาครับ

เห็นพี่ๆหลายท่านในนี้ใช้ WHMCS อยู่เหมือนกันก็เลยนำมาแบ่งปันกันดูครับ อาจไม่มีประโยชน์เท่าไรสำหรับท่านที่ใช้งาน Push Mail ใน Smart Phone ทั้งหลายครับ

แจ้งเตือนผ่าน SMS สำหรับ New Ticket
เริ่มแรกให้ไปแก้ไขไฟล์ supportticketsubmit-confirm.tpl ซึ่งอยู่ในไดเรกทอรี่ของเทมเพลตที่ใช้งานอยู่ครับ โดยแก้ไขให้เชื่อมต่อกับ API ของ SMS Gateway ที่ท่านใช้งานครับ ตัวอย่างของผมนี้เป็นการเชื่อมต่อกับ SMS Gateway ของคุณต้น (PacketLove) ครับ
File Name: /PathToWHMCS/templates/TemplateName/supportticketsubmit-confirm.tpl

{php}
$ticketid = $this->_tpl_vars['tid'];

function smsnotify($mobile_no,$msg,$sender) {
	$user_id	= "gatewayusername";
	$passwd		= "gatewaypassword";
	$host				= "api.smsgateway.com"; 
	$port				= "80"; 
	$path			= "/api_sms.jsp";

	$data="user_id=$user_id&passwd=$passwd&sender=$sender&mobile_no=$mobile_no&msg=$msg";
	$fp=@fsockopen($host,80);
	
	if ( $fp)
	{
		fputs($fp,"POST $path HTTP/1.1\r\n");
		fputs($fp,"Host: $host\r\n");
		fputs($fp,"Content-type: application/x-www-form-urlencoded\r\n");
		fputs($fp,"Content-length: ".strlen($data)."\r\n");
		fputs($fp,"Connection: close\r\n\r\n");
		fputs($fp,$data);
		while(!feof($fp)) {

			$buffer=fgets($fp,128);
			
		}
		fclose($fp);
	}
}
smsnotify("0812345678","Ticket $ticketid has been opened by your client.","SenderName")
{/php}

แจ้งเตือนผ่าน SMS สำหรับ New Order
ให้แก้ไขที่ไฟล์ complete.tpl ในไดเรกทอรี่ Order Form Template ที่ท่านใช้งานอยู่ เพื่อเชื่อมต่อกับ SMS Gateway ที่ท่านใช้งานเช่นกันนะครับ
File Name: /PathToWHMCS/templates/orderforms/TemplateName/complete.tpl

{php}
$orderid = $this->_tpl_vars['ordernumber'];

function smsnotify($mobile_no,$msg,$sender) {
	$user_id	= "gatewayusername";
	$passwd		= "gatewaypassword";
	$host				= "api.smsgateway.com"; 
	$port				= "80"; 
	$path			= "/api_sms.jsp";

	$data="user_id=$user_id&passwd=$passwd&sender=$sender&mobile_no=$mobile_no&msg=$msg";
	$fp=@fsockopen($host,80);
	
	if ( $fp)
	{
		fputs($fp,"POST $path HTTP/1.1\r\n");
		fputs($fp,"Host: $host\r\n");
		fputs($fp,"Content-type: application/x-www-form-urlencoded\r\n");
		fputs($fp,"Content-length: ".strlen($data)."\r\n");
		fputs($fp,"Connection: close\r\n\r\n");
		fputs($fp,$data);
		while(!feof($fp)) {

			$buffer=fgets($fp,128);
			
		}
		fclose($fp);
	}
}
smsnotify("0812345678","Order $orderid has been placed by your client.","SenderName")
{/php}

สำหรับการแจ้งเตือน New Order นี้ จะใช้งานได้ก็ต่อเมื่อเราตั้งให้แสดง Complete Page เมื่อลูกค้าทำรายการสั่งซื้อเสร็จเรียบร้อยแล้วเท่านั้น โดยตั้งค่าได้ที่ WHMCS Admin เมนู Setup --> General Settings --> Tab Ordering ---> Auto Redirect on Checkout เลือกเป็น Just show the order completed page (no payment redirect) ครับ

เพียงเท่านี้ เวลามีลูกค้าเปิด Ticket / Order แม้จะไม่ได้อยู่หน้าคอม ไม่ได้เช็คเมล์ เราก็จะสามารถทราบได้ในทันทีครับ (ของผมให้ลูกค้าแจ้งยืนยันการชำระเงินผ่าน Ticket ด้วย ก็น่าจะช่วยเพิ่มความรวดเร็วในการตรวจสอบการชำระเงินให้กับลูกค้าครับ)

หากผิดพลาดประการใดก็ขออภัยด้วยครับ มือใหม่ ทั้งนี้อาจจะนำไปประยุกต์กับอย่างอื่นได้อีกก็ลองแชร์ไอเดียกันดูนะครับ

Backup Technology มีอะไรดีๆ ให้ใช้บ้าง ?

Thu, 15 Sep 2011 04:49:44 +0000

ทุกวันนี้ การเก็บรักษาข้อมูลเป็นหนึ่งในสิ่งที่สำคัญที่สุดของระบบงาน IT เนื่องจากในการทำธุรกิจทุกวันนี้ “ข้อมูล” ถือว่าเป็นสิ่งที่กำหนดทิศทางและขับเคลื่อนธุรกิจในแต่ละวันๆ แต่ในขณะเดียวกันถ้าข้อมูลเหล่านี้เกิดสูญหายไปบางส่วน หรือสูญหายหมดสิ้นอย่างถาวร ก็อาจนำมาซึ่งหายนะของธุรกิจได้ ดังนั้นการนำ Backup Technology เข้ามาใช้ในการสำรองข้อมูลอีกชั้นหนึ่ง จึงถือเป็นวิธีการมาตรฐานในการเก็บรักษาข้อมูลขององค์กรในปัจจุบัน แต่ Hardware ที่สามารถนำมาใช้ได้ใน Backup Technology เองก็มีหลากหลายรูปแบบ วันนี้เราจะมาลองดูกันนะครับว่าแต่ละแบบเป็นอย่างไรบ้าง และมีข้อดีข้อเสียอย่างไร

Tape Backup

การนำ Tape มาใช้เก็บข้อมูลในการ Backup ถือเป็นวิธีที่ใช้กันมานาน เนื่องจาก Tape มีความจุค่อนข้างเยอะ ในราคาที่ถูกกว่าการใช้ Disk และไม่ต้องใช้ไฟฟ้าในการเก็บข้อมูล แต่ปัจจุบันราคาของ Hard Disk เองก็ถือว่าถูกลงมาก ทำให้หลายๆ องค์กรหันมาใช้งานระบบ Tapeless Backup แทน โดยทำการจัดเก็บข้อมูลทั้งหมดลง Disk เท่านั้น แต่ Tape เองก็ได้พัฒนาเทคโนโลยีไปมาก และยังถือว่าเป็นทางเลือกที่นิยมอยู่ในปัจจุบันอยู่ดี

Server

ในบางครั้งการนำ Server ธรรมดาๆ มาใช้ในการสำรองข้อมูลก็เป็นทางเลือกง่ายๆ ทางหนึ่งที่ทำได้ แต่ข้อจำกัดของ Server คือมีพื้นที่จำกัด ซึ่งโดยทั่วไปมีพื้นทีเพียง 500GB – 4TB เท่านั้น ทำให้ไม่สามารถ Backup Server อื่นๆ จำนวนหลายๆ เครื่อง หรือเก็บข้อมูลย้อนหลังนานๆ ได้ และต้องพึ่งพา External Storage หรือเชื่อมต่อ JBOD เพื่อเพิ่มพื้นที่ในภายหลัง

NAS Storage

NAS Storage เป็นอีกทางเลือกหนึ่งที่นิยม เนื่องจากติดตั้งและใช้งานง่าย สามารถแชร์ให้ Server/PC หลายๆ เครื่องใช้งานร่วมกันได้ รวมถึงมี NAS แบบ SOHO ราคาไม่แพงนักให้ใช้ และมี Enterprise NAS สำหรับองค์กรขนาดใหญ่ ดังนั้นในระบบที่เน้นการสำรองข้อมูลของผู้ใช้งาน หรือสำรองข้อมูลของ Server จำนวนไม่มากนัก การนำ NAS มาใช้ก็ถือว่าเป็นทางเลือกที่ดี

SAN Storage

SAN Storage ได้กลายมาเป็นตัวเลือกยอดนิยมในการสำรองข้อมูลอย่างรวดเร็วในช่วง 3-4 ปีที่ผ่านมา เพราะนอกจากจะนำไปทำ Backup แล้ว SAN Storage เองยังสามารถให้บริการระบบงานอื่นๆ ไปพร้อมๆ กันได้อีกด้วย และมีความสามารถในการทำ Data Protection ที่หลากหลาย ทั้ง Snapshot, Volume Copy, Volume Mirror หรือแม้แต่ Remote Replication อีกทั้งยังมีประสิทธิภาพที่ค่อนข้างสูงกว่า NAS อีกด้วย แต่ในขณะเดียวกัน SAN Storage เองก็บริหารจัดการไม่ง่ายเท่า NAS และยังมีราคาเริ่มต้นที่ค่อนข้างสูง ทำให้บางครั้งระบบ SAN จึงกลายเป็นตัวเลือกที่ราคาสูงเกินความต้องการไปบ้าง

Storage Server

Storage Server หรือ Server เฉพาะทางที่สามารถติดตั้ง Hard Disk ได้เป็นจำนวนมาก ได้รับความนิยมอย่างสูงในช่วงปีที่ผ่านมา เนื่องจากประหยัดทั้งค่าใช้จ่าย แทนที่จะซื้อ Server 1 เครื่อง Storage 1 เครื่อง ก็สามารถยุบรวมลงมาเป็น Storage Server เพียงเครื่องเดียวได้เลย อีกทั้งยังสามารถ “เลือก” ได้ทั้ง “ประสิทธิภาพ”, “ความจุ” และ “การทำ Data Protection” ได้อย่างอิสระอีกด้วย รวมถึงยังสามารถเลือกการให้บริการได้ทั้งแบบ “NAS” และ “SAN” ได้ในตัวเดียวกัน หรือแม้แต่ในอนาคต ถ้าอยากจะทำการ Backup ลงเทปเพิ่มเติม ก็ยังสามารถซื้อเทปมาเชื่อมต่อเข้ากับ Storage Server ได้อีกด้วย

ด้วยเหตุผลเหล่านี้เอง Storage Server จึงถือว่าเป็นทางเลือกที่น่าจับตามองเป็นอย่างยิ่งสำหรับตลาด Backup / Disaster Recovery

Cloud Storage

Backup Software Vendor บางเจ้า ก็มีบริการ Backup ขึ้น Cloud Storage ให้เลย ทำให้ผู้ใช้งานได้ประโยชน์ทั้งในแง่ที่ไม่ต้องลงทุนซื้อหาและดูแล Hardware ด้วยตัวเอง และยังเป็นการทำ Disaster Recovery กลายๆ ไปในตัวอีกด้วย ซึ่งแนวคิดนี้ก็กำลังเป็นที่นิยมมากขึ้นเรื่อยๆ โดยเฉพาะในตลาด Notebook Backup เนื่องจากผู้ใช้งานสามารถทำการสำรองข้อมูลและกู้คืนข้อมูลได้ทุกที่ทุกเวลา ขอเพียงแค่เชื่อมต่อไปยัง Cloud Backup Service ได้เท่านั้น

บทความนี้ก็ขอจบลงเพียงเท่านี้ครับ ครั้งนี้ไม่ได้เขียนลงลึกมาก เป็นเพราะอยากจะเล่าถึงภาพรวมๆ ให้เห็นกันมากกว่า เพราะถ้าจะลงลึกเรื่อง Backup จริงๆ แล้วมีแง่มุมอีกมากมายให้ต้องคิดอ่านกันอีกครับ

สำหรับคราวนี้ สวัสดีครับ

บทความโดย Throughwave Connect #5: Backup is all around

มาตั้งค่าความปลอดภัยเบื้องต้นให้ Linux กันดีกว่า

Sun, 11 Sep 2011 08:35:43 +0000

นี่เป็นเกร็ดเล็กๆน้อยๆเบื้องต้นสำหรับมือใหม่ที่จะช่วยปรับแต่งให้เครื่อง Linux มีความปลอดภัยมากยิ่งขึ้นครับ โดยตัวอย่างที่ให้เป็นคำสั่งบนเครื่อง debian ถ้าใครใช้ distro อื่นๆก็อาจจะมีรายละเอียดปลีกย่อยแตกต่างกันไป (ส่วนใหญ่จะคล้ายๆกันแต่ต่างกันที่สถานที่เก็บ config ไฟล์ต่างๆ) ผิดพลาดประการใดก็ขออภัยด้วยครับ

แบ่งขั้นตอนคร่าวๆได้ดังนี้
1. สร้าง user ขึ้นมาใหม่ - เพื่อที่จะได้ไม่ต้องเข้าเป็น root ตลอดเวลา ช่วยทั้งเรื่องความปลอดภัยและป้องกันความซุ่มซ่ามของตัวเองทำเครื่องพังจากการใช้คำสั่งอย่างไม่ระมัดระวัง
2. เปลี่ยน root password - โดยเฉพาะคนที่ได้ root password มาจากคนอื่น (แต่ถ้าเราเปลี่ยนแล้ว คนๆนั้นก็จะเข้า root ไม่ได้นะครับ เว้นแต่ว่าจะให้สิทธิ์ใน sudoers ไว้ตามข้างล่าง)
3. ปิด service ต่างๆที่ไม่ได้ใช้ - เพื่อลดจำนวนช่องโหว่ลง
4. ลง sudo - จะได้ไม่ต้อง login เข้า root ตามข้อ (1) ข้างบน
5. ตั้งค่า SSH - ไม่ให้ login โดยใช้ root และทำ public key authentication (ถ้าต้องการ)
6. ตั้งค่า iptables - เพื่อเปิดใช้เฉพาะ port ที่จำเป็นจริงๆ

มาเริ่มกันเลยดีกว่า..
1. สร้าง user โดยใช้คำสั่ง adduser
$ adduser username
$ passwd username

2. เปลี่ยน root password
$ passwd

3.ปิด service ต่างๆที่ไม่ได้ใช้
ปกติผมจะไปเพิ่มหรือลบ symbolic link ตาม /etc/rcX.d/ เอาด้วยความเคยชิน แต่เดี๋ยวนี้ใช้สคริปต์ update-rc.d ได้ครับ (สำหรับ debian) หรือ 'service' สำหรับ Centos
$ update-rc.d -f service_name remove

4. ลง sudo
$ apt-get install sudo
หรือใครใช้ Centos ก็ให้ใช้ yum เอา

จากนั้นก็ให้ใช้ visudo เพื่อแก้ไฟล์ sudoers อยากให้ใครใช้คำสั่งที่ต้องใช้ root privilege ได้ก็ใส่บรรทัดนี้เข้าไป

username ALL=(ALL)

5. ตั้งค่า SSH
อันดับแรกที่ผมทำเลยคือปิด root login ครับ ให้เข้ามาเป็น user ธรรมดาแล้วมา sudo เอา
เปิดไฟล์ /etc/ssh/sshd_config โดยใช้ editor ที่ถนัด แล้วมองหาบรรทัด PermitRootLogin yes แล้วเปลี่ยนเป็น PermitRootLogin no แทน

จากนั้นก็เช็คว่าให้ใช้ SSH version 2 เท่านั้น โดยดูในไฟล์เดิมแล้วหาบรรทัด Protocol 2,1 แล้วเปลี่ยนเป็น Protocol 2 แทน ถ้าเป็น Protocol 2 อยู่แล้วก็ไม่ต้องไปยุ่งอะไรมันครับ

ถ้าอยากจะเปลี่ยน port SSH ด้วยก็ทำได้ครับ หาบรรทัด Port 22 แล้วเปลี่ยนเลข 22 เป็น port อื่นที่เราต้องการ

สำหรับคนที่โรคจิตวิตกจริตอย่างผมก็อาจจะอยากใช้ public key authentication แทน ก็ทำได้ครับ ก่อนอื่นก็สร้าง public/private key บนเครื่องตัวเองก่อน

$ ssh-keygen -t rsa

และควรจะใส่ password ให้กับ key นี้ด้วยเพื่อเพิ่มความปลอดภัย (ไม่งั้นถ้า private key โดนขโมย คนที่ขโมยก็จะสามารถเข้าเครื่องเราได้ทันที)

จากนั้นก็ upload public key ขึ้นไปบน server

$ scp id_rsa.pub username@server:id_rsa.pub

แล้ว log เข้าไปที่ server เพื่อตั้งให้ใช้ key นี้สำหรับ login

$ cd (ไปที่ home ของ user ที่ต้องการ)
$ mkdir .ssh
$ chmod 700 .ssh
$ cat id_rsa.pub >> .ssh/authorized_keys
$ chmod 600 .ssh/authorized_keys

แล้วเปิดไฟล์ /etc/ssh/sshd_config ขึ้นมาอีกครั้งเพื่อตั้งให้ใช้ public key เท่านั้น
หาบรรทัด PasswordAuthentication yes แล้วเปลี่ยนเป็น PasswordAuthentication no
หาบรรทัด UsePAM yes แล้วเปลี่ยนเป็น UsePAM no

ถ้ามั่นใจว่าไม่ได้ทำอะไรผิดก็ทำการ restart sshd
$ /etc/init.d/ssh restart
*** ควรจะทำที่หน้าจอหรือผ่าน iKVM เพราะถ้า config พลาดอาจจะทำให้เข้าเครื่องไม่ได้ (เตือนแล้วนะครับ) หรือถ้าจำเป็นจริงๆที่ต้องทำจากข้างนอกก็ต้องไม่ปิด session ssh ปัจจุบันจนกว่าจะมั่นใจว่าสามารถเข้า session ใหม่ผ่าน public key ได้ ***

6. ตั้งค่า iptables
โดยปกติผมจะปิดทุก port ยกเว้นแต่ port ที่ต้องใช้จริงๆ ขั้นตอนต่อไปจะทำในไฟล์หรือใส่ command เข้าไปเลยก็ได้ ถ้าสร้างไฟล์ก็ให้เริ่มไฟล์ด้วย *filter เพื่อบอกว่าเรากำลังแก้ filter table อยู่ ดังนี้

$ vi /etc/iptables.test.rules

*filter
-A INPUT -i lo -j ACCEPT
-A INPUT -i ! lo -d 127.0.0.0/8 -j REJECT
-A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
-A OUTPUT -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j DROP
-A FORWARD -j DROP

COMMIT

อธิบาย rules ต่างๆ
1 - อนุญาต traffic จาก loopback interface
2 - ถ้ามี traffic มาที่ 127.0.0.0/8 ต้องมาจาก loopback interface เท่านั้น
3 - อนุญาต incoming traffic ที่เริ่มจากเครื่องนี้
4 - อนุญาต outgoing traffic ทั้งหมด
5 - อนุญาต tcp traffic ที่มาที่ port 80
6 - อนุญาต tcp traffic ที่มาที่ port 22 (SSH)
7 - อนุญาต ping
8 - เก็บ log traffic ที่ไม่ได้รับอนุญาต
9 - drop incoming traffic อื่นๆ
10 - drop traffic อื่นๆ ที่จะต้องถูก forward

เสร็จแล้วก็ load เข้า iptables โดยคำสั่ง
$ iptables-restore < /etc/iptables.test.rules

หรือถ้าไม่ทำใส่ไฟล์ก็ให้ใช้คำสั่ง iptables นำหน้าแทนครับ เช่น
$ iptables -A INPUT -i lo -j ACCEPT
แล้วใส่เข้าไปทีละบรรทัด

จากนั้นก็ดูความเรียบร้อย
$ iptables -L

และลองดูว่า port ที่ต้องการจะใช้ใช้ได้จริงหรือเปล่า และ port อื่นๆได้ถูกปิดไปจริงหรือไม่ (สำหรับคนที่เปลี่ยน port ssh ก็อย่าลืมเปลี่ยนตามนะครับ) ถ้าเรียบร้อยดีก็ save ไป
$ iptables-save > /etc/iptables.up.rules

แล้วสร้าง script ขึ้นมาเพื่อโหลด rules ตอน boot
$vi /etc/network/if-pre-up.d/iptables

#!/bin/bash
/sbin/iptables-restore < /etc/iptables.up.rules

save ไฟล์แล้วเปลี่ยน permission ให้เป็น executable
$ chmod +x /etc/network/if-pre-up.d/iptables

เป็นอันเสร็จเรียบร้อย

(ลอกมาจาก blog ตัวเอง + update นิดหน่อย) original ที่นี่ http://just-another-blog.com/lang/en-us/2011/01/securing-a-debian-box-เพิ่มความปลอดภัยให้-debi/

แนะนำ ionice

Tue, 06 Sep 2011 05:27:55 +0000

ปกติเรามักใช้คำสั่ง nice เพื่อลด/หรือเพิ่มความสำคัญ ของการใช้งาน CPU ให้กับ process หนึ่งๆ ได้ แต่คำสั่ง nice ใช้ได้ผลเฉพาะกับ CPU เท่านั้น

แต่กับ process ที่กิน disk มากๆ และทำงานนานๆ เช่นการแบคอัพข้อมูล คำสั่ง nice แทบจะไม่มีผล เพราะ process ดังกล่าวใช้งาน IO เป็นหลัก

ขอแนะนำคำสั่ง ionice ครับ จะมีผลคล้ายกับคำสั่ง nice แต่จะควบคุมการให้ priority ของ IO กับ process หนึ่งๆ แทน

รูปแบบ

Quote

ionice usage
If no arguments or just -p is given, ionice will query the current io scheduling class and priority for that process.

ionice [-c] [-n] [-p] [COMMAND [ARG...]]

-c - The scheduling class. 1 for real time, 2 for best-effort, 3 for idle.
-n - The scheduling class data. This defines the class data, if the class accepts an argument. For real time and best-effort, 0-7 is valid data.
-p - Pass in a process pid to change an already running process. If this argument is not given, ionice will run the listed program with the given parameters.

คำเตือน ไม่ควรใช้

ionice -c1 -pPID

กับ process ที่ต้องทำงานนานๆ นะครับ อาจทำให้ระบบแน่นิ่งไปได้

นอกจากนี้ ควรทราบว่า ionice ใช้ได้เฉพาะใน Linux ที่ใช้ CFQ เป็น scheduler เท่านั้น เช่นพวกตระกูล RedHat หรือ CentOS

ตรวจสอบว่า Linux ของคุณใช้ scheduler ตัวไหนแบบนี้ครับ

cat /sys/block/[sh]d[a-z]*/queue/scheduler

อ่านเพิ่มเติม http://goo.gl/a6zCU

ปัญหาเรื่อง Fix handling of byte-range requests บน apache2.2.x

Thu, 01 Sep 2011 08:48:00 +0000

สำหรับ Bug ตัวนี้ค่อนข้างรุนแรงเหมือนกันนะครับผม
ถ้าโดนเข้าไปมันจะไปกิน CPU และ Memory ของเครื่องที่มีรูโหว่ตัวนี้
จนทำให้ Load server สูงมากจนเป็น Denial of Service ไปเลยครับผม

version ที่กระทบกับรูโหว่ตัวนี้
Apache HTTP Server 1.3.x, 2.0.x through 2.0.64, and 2.2.x through 2.2.19

ทางที่ดีเบื้องต้นควรอัฟเดท เป็น apache 2.2.20 ดีกว่าครับ
เพราะ version fix bug ตัวนี้ให้เรีนบร้อยครับผม

ถ้าท่านไหนใช้ da ก็ง่ายหน่อยครับ
cd /usr/local/directadmin/custombuild
./build update
./build versions #ensure you see 2.2.20
./build apache
./build php n

ลองเทสดูด้วยนะครับ ว่าหลัง upgrade apache แล้วรัน script เช็คแล้วสามารถผ่านรูโหว่ นี้ไปได้
http://www.apache.org/dist/httpd/CHANGES_2.2 => แก้bugไป 4 ตัว
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3192

มาซ่อมแซม Mysql Database แบบอัตโนมัติใน DA กันดีกว่า

Thu, 18 Aug 2011 08:50:58 +0000

Mysql Database เมื่อใช้ไปนานๆ บางครั้งอาจเสีย บางทีก็เสียโดยไม่รู้ตัว
ทำให้เว็บของลูกค้าของเรามันทำงานหนัก Server ของเรามันก็ต้องทำงานหนักไปด้วย
ดังนั้นเพื่อแก้ปัญหาดังกล่าวเราก็ต้องตรวจสอบและซ่อมแซม Database เของเราเป็นประจำ
อาจจะสัปดาห์ละครั้งก็ได้ครับ

มาดู script กัน
ไปเพิ่ม ใน crontab ดังนี้

ตัวอย่างอันนี้ให้ตรวจสอบและซ่อมแซมทุกวันตอนเวลา 05.00 น.

debian
0 5 * * * cat /usr/local/directadmin/conf/mysql.conf | grep passw | cut -d= -f2 | xargs -iX -n 1 /usr/local/mysql/bin/mysqlcheck --auto-repair -A -u da_admin -pX &

centos
0 5 * * * cat /usr/local/directadmin/conf/mysql.conf | grep passw | cut -d= -f2 | xargs -iX -n 1 /usr/bin/mysqlcheck --auto-repair -A -u da_admin -pX &

แค่นี้ Mysql Server ของเราก็แรงตลอดเวลาแล้วครับ

วิธีติดตั้ง + config NGINX แบบไม่ต้องยุ่งอะไรกับ DA เลย ไม่ต้อง Run Cron, ไม่แก้ unlimit, รูปขึ้นทุกเว็บ

Tue, 02 Aug 2011 13:32:12 +0000

ปรับปรุงล่าสุด 11/09/2011 11.15 น. แก้ไขให้รองรับสำหรับคนใช้ csf รุ่นใหม่

ก่อนอื่นแจ้งว่าที่ไม่อยากโพสในกระทู้เดิมเพราะค่อนข้างยาวและรายละเอียดต่างกันพอสมควรครับ. จากกระทู้เดิมผมลองแล้วชอบทุกอย่างยกเว้น

1. เวลาสร้าง user ใหม่พบว่ารูปไม่ขึ้นต้องสั่งตามด้านล่าง (เครดิต น้องมีน) ซึ่งถ้ามี user จ่ายผ่าน paypal กลางคืนเช้าเมล์เข้าแล้วบ่นว่ารูปไม่ขึ้น. (ปัญหานี้อาจเป็นกับผมคนเดียวและไม่สามารถถือว่าเป็นปัญหาที่มาจากกระทู้เดิมได้)

rm -f /usr/local/directadmin/data/users/*/nginx.conf
cat /dev/null > /usr/local/nginx/etc/virtual.conf

#Rewrite All
/usr/local/directadmin/scripts/nginx_direct.sh all

2. ผมไม่รู้ว่า ทำไมต้อง run cron ผมไม่อยาก cron คำสั่งอะไรที่ผมไม่รู้แน่ชัดว่าทำไปเพื่ออะไร.

crontab -e
* * * * * /usr/local/directadmin/scripts/nginx_task.sh

3. ผมไม่ต้องการแก้ไขอะไรกับ DA ด้วย file ที่ไม่ใช่ Official release จาก Directadmin.com ผมเคยเมล์ถาม john (DA support) เกี่ยวกับ nginx ได้คำตอบว่าไม่มีนโยบายเกี่ยวกับ nginx เลย. ดังนั้นผมจะไม่จับ nginx ไปยุ่งกับ DA เลยนี่คือโจทย์ของผม

โอเคเริ่มเลยแล้วกัน. วิธีด้านล่างสามารถใช้ได้ทั้ง Cli และ CGI โดยไม่ต้องยุ่งกับ Directadmin เลย และไม่ต้องปรับค่า unlimit (อันหลังตรง unlimit ผมไม่ชัวร์นะครับเพราะไม่รู้ว่าแต่ละเครื่องต่างกันหรือเปล่าแต่โดยส่วนตัวผมไม่ได้รับค่านี้เลย. แต่โดยหลักแล้ว nginx run ด้วย user คือ apache อะไรที่ apache ทำได้ nginx ก็ควรจะทำได้เหมือนกัน). ข้อมูลเกี่ยวกับ server ของผมที่ผมใช้ test คือ

apache 2.2.19
php 5.2.16 + suhosin patch + complie แบบ cli

ขั้นตอนที่ 1: ติดตั้ง nginx ก่อน โดยผมจะติดตั้งเพิ่ม 3 module

wget http://nginx.org/download/nginx-1.1.0.tar.gz
tar xvfz nginx-1.1.0.tar.gz
cd nginx-1.1.0
./configure --sbin-path=/usr/local/sbin --with-http_ssl_module --with-http_stub_status_module --with-http_gzip_static_module
make
make install

ดูจากกระทู้เดิมผมยังไม่เข้าใจว่าในไฟล์ nginx.conf สั่ง gzip ได้ยังไงเพราะยังไม่ติดตั้ง mod หรือว่า gzip มีอยู่แล้วใน linux อันนี้ผมไม่แน่ใจจริง ๆ ค่อนข้างจะ งง ๆ

ขั้นตอนที่ 2: แก้ไขไฟล์ nginx.conf + สร้าง dir เก็บ log

nano -w /usr/local/nginx/conf/nginx.conf

โดย code ที่ผมใช้ประยุกต์มาจากกระทู้เก่า (ห้ามเป็นนักกอล์ฟนะครับมีส่วนที่ต้องแก้ ip ด้วยแก้ก่อนเอาไปใช้นะครับ)

Quote

user apache apache;

worker_processes 4; # Set it according to what your CPU have. 4 Cores = 4
worker_rlimit_nofile 8192;

pid /var/run/nginx.pid;

events {
worker_connections 1024;
}

http {
include mime.types;
default_type application/octet-stream;

log_format main '$remote_addr - $remote_user [$time_local] '
'"$request" $status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';

server_tokens off;
access_log /var/log/nginx/access.log main;
error_log /var/log/nginx/error_log debug;

server_names_hash_bucket_size 64;
sendfile on;
tcp_nopush on;
tcp_nodelay off;
keepalive_timeout 30;
gzip on;
gzip_comp_level 9;
gzip_proxied any;

proxy_buffering on;
proxy_cache_path /usr/local/nginx/proxy_temp levels=1:2 keys_zone=one:15m inactive=7d max_size=1000m;
proxy_buffer_size 16k;
proxy_buffers 100 8k;
proxy_connect_timeout 60;
proxy_send_timeout 60;
proxy_read_timeout 60;

server {
listen ไอพีของคุณเองนะ:85 default rcvbuf=8192 sndbuf=16384 backlog=32000; # Real IP here
server_name domain.name _ ; # "_" is for handle all hosts that are not described by server_name
charset off;
access_log /var/log/nginx/nginx_host_general.access.log main;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://ไอพีของคุณเองนะ; # Real IP here และไม่มี / ปิดท้าย
client_max_body_size 16m;
client_body_buffer_size 128k;
proxy_buffering on;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 120;
proxy_buffer_size 16k;
proxy_buffers 32 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
}

location ~* ^/(phpmyadmin|webmail|squirrelmail|uebimiau|roundcube)/.+\.(jpg|jpeg|gif|png|ico|css|zip|tar|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|txt|tar|wav|bmp|rtf|js|wmv|avi|cur|swf|mp3|wma|htc|cur)$ {
root /var/www/html/;
expires 30d;
access_log off;
}

location ~* ^/(stats)/.+\.(jpg|jpeg|gif|png|html|htm)$ {
root /var/www/html/;
access_log off;
}

location ~* ^/(mrtg|imrtg)/.+\.(jpg|jpeg|gif|png|html|htm)$ {
root /var/www/html/;
access_log off;
}

location /nginx_status {
stub_status on;
access_log off;
allow ใส่ไปตามต้องการ; # Real IP here
allow 127.0.0.1;
deny all;
}

}
# เพื่อไว้สำหรับคนที่จะแยกค่า conf นะครับ. ไฟล์ตามด้านล่างของผมคือไฟล์ว่างเปล่า
include /usr/local/nginx/etc/*.conf;
}

อย่าลืมสร้าง Dir คือ

/var/log/nginx

และสร้างไฟล์

touch access.log
touch error_log
touch nginx_host_general.access.log

ขั้นตอนที่ 3: สร้างไฟล์เพื่อ start/stop/restart nginx service + pid

ต้องสร้าง pid ตามที่ระบุไว้ในไฟล์ .conf ตามข้อสองด้วยครับ

touch /var/run/nginx.pid

จากนั้นสร้างไฟล์เพื่อ start/stop/restart nginx service

touch /etc/init.d/nginx

จากนั้นแก้ไขโค๊ด

nano -w /etc/init.d/nginx

ใส่ค่าคือ (เครดิต http://www.hikaro.com/linux/centos/nginx-init-script.html )

#!/bin/sh
#
# nginx - this script starts and stops the nginx daemin
# Taken from http://www.hikaro.com
# chkconfig:   - 85 15
# description:  Nginx is an HTTP(S) server, HTTP(S) reverse \
#               proxy and IMAP/POP3 proxy server
# processname: nginx
# config:      /usr/local/nginx/conf/nginx.conf
# pidfile:     /usr/local/nginx/logs/nginx.pid

# Source function library.
. /etc/rc.d/init.d/functions

# Source networking configuration.
. /etc/sysconfig/network

# Check that networking is up.
[ "$NETWORKING" = "no" ] && exit 0

nginx="/usr/local/nginx/sbin/nginx"
prog=$(basename $nginx)

NGINX_CONF_FILE="/usr/local/nginx/conf/nginx.conf"

lockfile=/var/lock/subsys/nginx

start() {
    [ -x $nginx ] || exit 5
    [ -f $NGINX_CONF_FILE ] || exit 6
    echo -n $"Starting $prog: "
    daemon $nginx -c $NGINX_CONF_FILE
    retval=$?
    echo
    [ $retval -eq 0 ] && touch $lockfile
    return $retval
}

stop() {
    echo -n $"Stopping $prog: "
    killproc $prog -QUIT
    retval=$?
    echo
    [ $retval -eq 0 ] && rm -f $lockfile
    return $retval
}

restart() {
    configtest || return $?
    stop
    start
}

reload() {
    configtest || return $?
    echo -n $"Reloading $prog: "
    killproc $nginx -HUP
    RETVAL=$?
    echo
}

force_reload() {
    restart
}

configtest() {
  $nginx -t -c $NGINX_CONF_FILE
}

rh_status() {
    status $prog
}

rh_status_q() {
    rh_status >/dev/null 2>&1
}

case "$1" in
    start)
        rh_status_q && exit 0
        $1
        ;;
    stop)
        rh_status_q || exit 0
        $1
        ;;
    restart|configtest)
        $1
        ;;
    reload)
        rh_status_q || exit 7
        $1
        ;;
    force-reload)
        force_reload
        ;;
    status)
        rh_status
        ;;
    condrestart|try-restart)
        rh_status_q || exit 0
            ;;
    *)
        echo $"Usage: $0 {start|stop|status|restart|condrestart|try-restart|reload|force-reload|configtest}"
        exit 2
esac

เปลี่ยน mod ด้วยครับ

chmod +x /etc/init.d/nginx

ขั้นตอนที่ 4: ทดสอบก่อนใช้งานจริง (สำคัญมาก)

ให้สั่ง

service nginx restart

จากนั้นลองเข้าเว็บดู

http://www.domain.com:85

การเทสหนึ่งรูปต้องขึ้นทั้งหมด, สอง mod_rewrite ต้องใช้ได้ทั้งหมด, สามเทส sub domain ต้องทำงานได้ปกติทั้งหมด. ถ้าขาดแม้ข้อเดียวห้ามเปิดใช้งานจริงเพราะไม่ถือว่าเสถียรพอจะใช้ในระดับ sever production ได้.

ขั้นตอนที่ 5: Forward port

5.1 สำหรับคนที่ไม่ได้ใช้ csf (คือใช้ iptables)

ให้สั่ง

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 85

ในกรณีที่เกิดข้อผิดพลาดใด ๆ ก็ตามจะรูปไม่ขึ้นเหมือนตอนที่เทสก็ดีหรือ server load ผิดปกติให้สั่งย้อนคำสั่งด้านบน (เครดิตน้องมีน)

iptables -t nat -D PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 85

หลังจาก FW port แล้วให้ตรวจสอบเว็บไซต์อีกครั้งแบบเดียวกับที่ทำในขั้นตอนที่ 4

5.2 สำหรับคนใช้ csf

เนื่องจาก csf รุ่น version ใหม่ถ้าจะสั่ง FW Port ต้องทำผ่าน csf เท่านั้นทำผ่าน iptables ตรง ๆ ไม่ได้ครับ

วิธีการคือเพิ่ม line

Quote

*|80|*|85|tcp

เข้าไปที่ feature "Firewall redirect"

จากนั้น restart csf

ขั้นตอนที่ 6: ติดตั้อง mod_rpaf ให้กับ apache เพื่อให้ log ตรง

(Copy ของคุณ KKE มาเลยจากกระทู้ varnish)

#wget http://stderr.net/apache/rpaf/download/mod_rpaf-0.6.tar.gz
#tar xzf mod_rpaf-0.6.tar.gz
#apxs -cia mod_rpaf-2.0.c

จากนั้นแก้ไขไฟล์

/etc/httpd/conf/extra/httpd-includes.conf

โดยเพิ่มคำสั่งนี้ไว้ท้ายไฟล์ครับ

Quote

LoadModule rpaf_module /usr/lib/apache/mod_rpaf-2.0.so

RPAFenable On
RPAFsethostname On
RPAFproxy_ips ไอพีเซิร์ฟเวอร์ของคุณอันเดียวกับที่ใส่ใน nginx แหละ
RPAFheader X-Forwarded-For

ขั้นตอนที่ 7: สั่งให้ nginx ทำงานทันทีเมื่อ restart เครื่องและ save iptables จากข้อ 5

/sbin/chkconfig nginx on

และ

/etc/init.d/iptables save

ข้อมูลควรรู้อื่น ๆ

1. สามารถเข้าดู nginx status ได้โดยพิมพ์ http://ip/nginx_status ตาม stub_status ที่เราสั่งติดตั้งไปจากข้อ 1

2. วิธีเพิ่ม nginx ลงที่หน้าดู service ของ Directadmin (เครดิตคุณแมน KKE)

nano -w /usr/local/directadmin/data/admin/services.status

จากนั้นเพิ่มโค๊ดด้านล่างไปที่ท้ายสุดของไฟล์

nginx=ON

3. โดยส่วนตัวผมมองว่า log ของ nginx น่าเบื่อมากและบวมเร็วสุด ๆ ผมดูใน error log พบว่า log ส่วนมากจะเป็น "(110: Connection timed out)". ผมมองว่า log แบบนี้ผมไม่ต้องการเพราะเกิดขึ้นได้ตลอดเวลาทั้งวันด้วยหลายสาเหตุไม่ว่าคุณจะปรับค่า timeout เพิ่มยังไงก็จะต้องมี error แบบนี้. ส่วน access log ผมก็คิดว่าไม่จำเป็นเพราะ apache ทำการเก็บไว้อยู่แล้วผมไม่อยากให้มีการทำงานซ้ำซ้อน. และเปลือง io ด้วย. ถ้าใครคิดว่าแนวคิดแบบนี้ดีก็แก้ดังนี้นะครับ

แก้ไฟล์ nginx.conf จาก

error_log  /var/log/nginx/error_log debug;

เป็น (จะเก็บ error เฉพาะที่สำคัญจริง ๆ เช่น nginx ล่ม start ไม่ขึ้น)

error_log  /var/log/nginx/error_log crit;

และ

access_log  /var/log/nginx_host_general.access.log  main;

แก้เป็น

access_log  off;

4. ผลการทดสอบส่วนตัวช่วงวันสองวันนี้คือหลังจากที่พายุเข้าไทยที่ server มีเว็บของศูนย์อุธกวิทยาภาคเหนือตอนบนอยู่และคนเข้ามากมายเพื่อเช็คเรื่องน้ำนี่แหละครับผู้ดูแลเว็บบอกว่าเชียงใหม่น้ำท่วมคนจะเข้ามาดูเว็บมาเพื่อเช็คข้อมูลพอเข้าไปดู apache server status โอ้แม่เจ้ามาเป็นกองทัพเลย. ทำให้ load average ขึ้นไปเยอะพอสมควรคือ 4.xx - 5.xx ตลอด. หลังจากที่ลองใช้ nginx แล้วพบว่า load average กลับมาอยู่ในสถานะปกติอีกครั้งคือ 1-2 ในช่วงปกติ และ 3.xx ในช่วง peak (ช่วง peak ของผมคือตอนเช้าโดยมาจาก exim เป็นหลัก). แต่ทั้งนี้ผลที่ได้จากแต่ละ server ย่อมมีความแตกต่างกันตามปริมาณของการเรียกใช้ static files ถ้าเรียกใช้เยอะอยู่แล้วติด nginx ลงไป load average ก็จะลดลงมากทีเดียวครับ. ยิ่งเป็น server download file จะยิ่งเห็นได้ชัด.

5. ถ้าท่านลองแล้วเจ๊ง PM มาถามผมได้หรือโพสที่กระทู้นี้ได้เลยผมยินดีอย่างยิ่งที่จะช่วยฟรีไม่คิดค่าใช้จ่ายใด ๆ ทั้งสิ้น.

ท้ายสุดผิดพลาดอย่างไรต้องขออภัยไว้ล่วงหน้า Try with your own risk

.

วิธีลง Centos 6 domU บน Xen ที่ใช้ Debian Squeeze dom0

Mon, 01 Aug 2011 19:05:56 +0000

วิธีลง Centos 6 domU บน Xen ที่ใช้ dom0 เป็น Debian Squeeze

ขอออกตัวก่อนนะครับว่าไม่ได้มีความรู้ Xen หรือ Centos มาก เพราะเพิ่งลง Xen ครั้งแรกไปได้เมื่อสองสามวันก่อน ส่วน Centos ก็เป็นการลงครั้งแรกในชีวิต (ปกติใช้ Debian) ที่อยากลอง Centos เพราะอยากลองเล่นพวก Control Panel ดูแล้วเห็นจะ support Centos ซะเยอะ แล้วพอดีกับ Centos 6 เพิ่งออกมาเลยอยากลองของดู :D

ยังไม่ได้ลองเทสมากนะครับ เลยยังไม่รู้ว่ามันเสถียรแค่ไหน.. อ่อแล้วนี่ก็เป็น howto แรกที่เขียนครับ ผิดพลาดประการใดก็ขออภัยด้วยครับ

** วิธีการลงก็คล้ายกับ Wiki ของ Centos 5 แหละครับแต่ต่างกันตรงที่
- ผมใช้ LVM แทนที่จะเป็นไฟล์
- Install แบบ interactive แทนที่จะเป็นแบบ kickstart
- ต้องแก้ MAC address ของ eth0 เพิ่มเติมเพื่อจะทำให้ใช้ได้

สมมุติว่าได้มีการติดตั้ง Xen ลงบนเครื่อง Debian เรียบร้อยแล้ว
1. ใช้ LVM เพื่อสร้าง Logical Volume

# lvmcreate -n hostname-disk -L100G /dev/doms

2. โหลด installation image จาก mirror
http://mirror.centos.org/centos/6/os/i386/isolinux/vmlinuz
http://mirror.centos.org/centos/6/os/i386/isolinux/initrd.img

หรือ

http://mirror.centos.org/centos/6/os/x86_64/isolinux/vmlinuz
http://mirror.centos.org/centos/6/os/x86_64/isolinux/initrd.img

3. สร้าง configuration ไฟล์สำหรับ guest ตัวใหม่

# vi /etc/xen/hostname.cfg
kernel = "/tmp/vmlinuz"
ramdisk = "/tmp/initrd.img"
name = "hostname"
memory = "2048"
disk = [
		'phy:/dev/doms/hostname-disk,xvda,w,
	  ]
vif = [ 'bridge=xenbr0',]
vcpus = 1
on_reboot = 'destroy'
on_crash = 'destroy'

4. เริ่มการ install

# xm create /etc/xen/hostname.cfg -c

ตัว guest จะถูก boot ขึ้นมาเพื่อเริ่มการ install ให้ลงตามปกติ

5. เปลี่ยน configuration เพื่อ boot guest
ลบบรรทัด kernel กับ ramdisk แล้วเพิ่มบรรทัด
bootloader="/usr/bin/pygrub"

# vi /etc/xen/hostname.cfg
name = "hostname"
memory = "2048"
disk = [
		'phy:/dev/doms/hostname-disk,xvda,w,
	  ]
vif = [ 'bridge=xenbr0',]
vcpus = 2
bootloader="/usr/bin/pygrub"
on_poweroff = 'destroy'
on_reboot = 'restart'
on_crash = 'restart'

6. บู๊ท guest

# xm create -c /etc/xen/hostname.cfg

ถ้าไม่มีปัญหาอะไร guest ก็จะถูกบู๊ทขึ้นมา

7. แก้ network card ใช้ไม่ได้
จากการใช้คำสั่ง
ifup eth0 จะทำให้เกิด error
Device eth0 has different MAC address than expected, ignoring.

เมื่อลองไปเปิดดูไฟล์ /etc/sysconfig/network-scripts/ifcfg-eth0 จะเห็นว่าได้มีการ config ค่า HWADDR เอาไว้ซึ่งดูเหมือนว่าจะไม่ถูกต้อง วิธีการดูว่าต้องใช้ค่าอะไร ให้กลับไปที่ dom0 แล้วใช้คำสั่ง xm network-list เพื่อหา MAC address ที่ถูกต้องพร้อมทั้งแก้ไฟล์ ifcfg-eth0

ใช้คำสั่ง ifup eth0 เพื่อ bring up interface eth0 ขึ้นมา

8. Update Xen kernel
ท่าน icez บอกมาว่า Centos 6 support อยู่แล้ว จึงไม่ต้องลง Xen kernel ครับ :D

เข้าใจว่าเนื่องจาก Centos 6 ยังใหม่อยู่จึงอาจจะไม่มี xen kernel นะครับ ผมได้ลองใช้คำสั่ง yum install kernel-xen ดู แต่รู้สึกว่าตัวที่ download มายังไม่ได้เป็นตัว optimize อยู่ดี

ผลที่ได้จากการใช้คำสั่ง

rpm -qa kernel\* kernel-2.6.32-71.el6.x86_64 kernel-firmware-2.6.32-71.29.1.el6.noarch kernel-2.6.32-71.29.1.el6.x86_64

และ

uname -a Linux gamont 2.6.32-71.el6.x86_64 #1 SMP Fri May 20 03:51:51 BST 2011 x86_64 x86_64 x86_64 GNU/Linux

มีรูปมาฝากด้วยครับ

[How-to] Install Varnishd on CentOS+DA

Thu, 28 Jul 2011 13:45:34 +0000

How-to Install Varnishd on CentOS+DA (by KKE)

หลังจากได้ทดลองติดตั้งใช้งานเป็นที่น่าพอใจ จึงนำวิธีการติดตั้งมาเผยแพร่ครับ
หมายเหตุ: อันนี้ติดตั้งเฉพาะ http ที่ port 80 นะครับ สำหรับ https ที่ port 443 จะเข้าตรงที่ apache ไม่ผ่าน varnish
หมายเหตุ: เครื่องที่มีมากกว่า 1 ip อาจจะมีปัญหากับ virtual host template นะครับ เพราะไม่ได้ทดสอบ แต่น่าจะใช้งานได้ และต้องเพิ่ม bind ip ให้ varnish ด้วย

Varnish Cache is an open source, state of the art web application accelerator. You install it on your web server and it makes your website fly.
https://www.varnish-cache.org/

วิธีการติดตั้งนั้นจะใช้วิธี compile จาก source เอานะครับ ไม่ลงผ่าน yum หรือ apt

ขั้นตอนที่ 1 ติดตั้งและทดสอบการทำงานของ varnish ก่อนใช้งานจริง

1.1: เตรียม dependencies ที่ varnish ต้องการ
สำหรับ OS อื่นๆ ดูได้ที่ https://www.varnish-...rce-or-packages
สำหรับ CentOS

#yum  -y  install   automake   autoconf   libtool   ncurses-devel   libxslt   groff   pcre-devel   pkgconfig

1.2: download varnish and compile

#wget  http://repo.varnish-cache.org/source/varnish-3.0.0.tar.gz  (ถ้ามี 3.0.x ออกมาใหม่ก็โหลดตัวที่ออกใหม่ โดยเช็คได้จากหน้าเว็บ varnish)
#tar  xzf  varnish-3.0.0.tar.gz
#cd  varnish-3.0.0
#sh autogen.sh
#sh configure
#make
#make install
#ldconfig

1.3: ทดสอบ varnish ที่ port 8080
หากมี firewall ให้ทำการเปิด port tcp 8080 ก่อน
แก้ไขไฟล์ /usr/local/etc/varnish/default.vcl (เอา #remark 4 บรรทัดนี้ออก แล้วแก้ไขโดยที่ 123.123.123.123 เป็น ip จริงของ server)

backend default {
 	.host = "123.123.123.123";
 	.port = "80";
}

start varnish ด้วยคำสั่ง

#varnishd  -f /usr/local/etc/varnish/default.vcl  -s malloc,512M  -T 127.0.0.1:2000  -a 123.123.123.123:8080

ลองเรียกเว็บผ่าน port 8080 ดู ถ้าเข้าได้ตามปกติแปลว่า varnish ทำงานได้ถูกต้อง เช่น
hxxp://www.domain.com:8080/index.php
ทุก url ควรจะได้ผลลัพธ์เหมือนกับเรียกตามปกติที่ไม่ใส่ :8080 ทุกประการ

1.4: stop varnish

#killall varnishd

มาถึงตรงนี้เราก็พร้อมที่จะทำการสลับเอา varnish มาไว้ที่ port 80 และเอา apache ไปไว้ที่ port 8080 เพื่อใช้งานจริงกันแล้ว

ขั้นตอนที่ 2 สลับ Apache ไปใช้งาน port 8080
2.1: แก้ไขไฟล์ config ต่างๆเพื่อเปลี่ยน port apache ไปใช้งาน 8080
ไฟล์ที่ต้องแก้ไขทั้งหมด
/etc/httpd/conf/httpd.conf
~~/etc/httpd/conf/ips.conf~~ (ไฟล์ถูก DA เขียนทับเมื่อเพิ่ม domain)
/etc/httpd/conf/extra/httpd-vhosts.conf
/usr/local/directadmin/data/templates/custom/virtual_host2.conf
/usr/local/directadmin/data/templates/custom/virtual_host2_sub.conf
/usr/local/directadmin/data/templates/custom/redirect_virtual_host.conf
--

/etc/httpd/conf/httpd.conf
จาก

Listen 80

เป็น

Listen 8080

/etc/httpd/conf/ips.conf
จาก

LogFormat "%O \"%r\"" homedir
NameVirtualHost 123.123.123.123:80
NameVirtualHost 123.123.123.123:443

~~เป็น~~ (ให้เพิ่มข้อความต่อไปนี้ที่ต้นไฟล์ /etc/httpd/conf/extra/httpd-vhosts.conf แทน และ remark บรรทัด include ips.conf ออก)

LogFormat "%O \"%r\"" homedir
NameVirtualHost 127.0.0.1:8080
NameVirtualHost 123.123.123.123:8080
NameVirtualHost 123.123.123.123:443

/etc/httpd/conf/extra/httpd-vhosts.conf
จาก

Include /etc/httpd/conf/ips.conf

#
#

เป็น

###Include /etc/httpd/conf/ips.conf
LogFormat "%O \"%r\"" homedir
NameVirtualHost 127.0.0.1:8080
NameVirtualHost 123.123.123.123:8080
NameVirtualHost 123.123.123.123:443

#
#

คัดลอกไฟล์ template มาไว้ใน custom เพื่อแก้ไข (ไฟล์ใน custom จะไม่ถูกทับเมื่อ update DirectAdmin)

#cp -p /usr/local/directadmin/data/templates/virtual_host2.conf  /usr/local/directadmin/data/templates/custom/virtual_host2.conf
#cp -p /usr/local/directadmin/data/templates/virtual_host2_sub.conf  /usr/local/directadmin/data/templates/custom/virtual_host2_sub.conf
#cp -p  /usr/local/directadmin/data/templates/redirect_virtual_host.conf  /usr/local/directadmin/data/templates/custom/redirect_virtual_host.conf

/usr/local/directadmin/data/templates/custom/virtual_host2.conf
/usr/local/directadmin/data/templates/custom/virtual_host2_sub.conf
/usr/local/directadmin/data/templates/custom/redirect_virtual_host.conf
ทั้ง 3 ไฟล์แก้เหมือนกัน จาก

เป็น

2.2: ติดตั้ง mod_rpaf เพื่อแก้ไข ip ของ remote host จาก 127.0.0.1 ที่เรียกมาจาก varnish ให้เป็น client ip ที่เรียกมาจริง

#wget http://stderr.net/apache/rpaf/download/mod_rpaf-0.6.tar.gz
#tar xzf mod_rpaf-0.6.tar.gz
#apxs -cia mod_rpaf-2.0.c

แก้ไขไฟล์ /etc/httpd/conf/extra/httpd-includes.conf เพิ่มข้อความ


RPAFenable On
RPAFsethostname On
RPAFproxy_ips 127.0.0.1
RPAFheader X-Forwarded-For

2.3 สร้างไฟล์ start/stop varnishd
/etc/init.d/varnishd

#!/bin/sh
#
# Startup script for varnishd
#
# chkconfig: 2345 80 20
# description: Varnish Cache is an open source, state of the art web application accelerator. \
#          	You install it on your web server and it makes your website fly.
# processname: varnishd
# config: /usr/local/etc/varnish/default.vcf
#
# By: Korakot E. 
# $Id: varnishd.init.d,v 1.0 2011/07/27 23:23:23 kke $

# Source function library.
. /etc/rc.d/init.d/functions

MALLOC="512M"
BINDADDR="0.0.0.0:80"
TELPORT="2000"
CONFIG="/usr/local/etc/varnish/default.vcl"
OPTIONS="-f $CONFIG  -s malloc,$MALLOC  -T 127.0.0.1:$TELPORT  -a $BINDADDR"
 
if [ -f /etc/sysconfig/varnishd ]; then
  	. /etc/sysconfig/varnishd
  	OPTIONS="-f $CONFIG  -s malloc,$MALLOC  -T 127.0.0.1:$TELPORT  -a $BINDADDR"
  fi

PATH="$PATH:/usr/local/sbin"

# See how we were called.
case "$1" in
    	start)
            	echo -n "Starting varnishd: "
            	daemon varnishd $OPTIONS
            	echo
            	touch /var/lock/subsys/varnishd
            	;;
    	stop)
            	echo -n "Shutting down varnishd: "
            	killproc varnishd
            	echo
            	rm -f /var/lock/subsys/varnishd
            	;;
    	status)
            	status varnishd
            	;;
    	restart)
            	$0 stop
            	$0 start
            	;;
    	*)
            	echo -n "Usage: $0 {start|stop|restart|status}"
            	exit 1
esac

if [ $# -gt 1 ]; then
    	shift
    	$0 $*
fi

exit 0

แก้ permission และกำหนดให้ varnishd ทำงานเมื่อ boot ระบบ

#chmod 755 /etc/init.d/varnishd
#chkconfig --add varnishd
#chkconfig varnishd on

2.4: กำหนดค่า config ของ varnishd
แก้ไขไฟล์ /usr/local/etc/varnish/default.vcl

backend default {
 	.host = "127.0.0.1";
 	.port = "8080";
}

สร้าง/แก้ไขไฟล์ /etc/sysconfig/varnishd กำหนดค่า MALLOC ตามต้องการ (หรือจะแก้ไปในไฟล์ init.d ตรงๆเลยก็ได้ ก็ไม่ต้องสร้างไฟล์นี้)

MALLOC="1G"
BINDADDR="127.0.0.1:80,123.123.123.123:80"
TELPORT="2000"
CONFIG="/usr/local/etc/varnish/default.vcl"

2.5: ทำการ rewrite config vhosts ของ apache ใหม่ตามไฟล์ template ที่ได้แก้ไขไป

#echo "action=rewrite&value=httpd" >> /usr/local/directadmin/data/task.queue

รอประมาณ 1 นาที ให้ cron ทำงาน

#/etc/init.d/httpd restart

ถึงตรงนี้จะต้องเข้าเว็บผ่าน url :8080 ได้ (เข้าไปที่ apache ตรงๆ)

2.6: start varnish

#/etc/init.d/varnishd start

ถึงตรงนี้จะต้องเข้าเว็บผ่าน url ปกติได้ (เข้าผ่าน varnish)

2.7: หากมี firewall สามารถปิด port 8080 ที่เปิดเพื่อทดสอบตอนแรกได้ เนื่องจาก varnish จะเรียกผ่าน 127.0.0.1
หมายเหตุ: หากมี script ประเภทป้องกัน DDOS ให้แน่ใจว่ามันจะไม่ block 127.0.0.1 ไปใน firewall

2.8: หากต้องการ start/stop varnishd ผ่าน service monitor ของ DA
ให้แก้ไขไฟล์ /usr/local/directadmin/data/admin/services.status เพิ่มบรรทัดนี้ที่ท้ายไฟล์

varnishd=ON

การ start/stop varnishd

#/etc/init.d/varnishd start
#/etc/init.d/varnishd stop
#/etc/init.d/varnishd restart

เรียกดู stat

#varnishstat

เพิ่มเติม
ตัวอย่างค่า apache config ที่ผมใช้
Timeout 35
KeepAlive On
MaxKeepAliveRequests 250
KeepAliveTimeout 3

StartServers 10
MinSpareServers 10
MaxSpareServers 24
ServerLimit 256
MaxClients 256
MaxRequestsPerChild 10000

----
ใครจะเอาไปเผยแพร่ต่อ ใส่ credit + แหล่งที่มา ไว้ด้วยนะครับ
บทความโดย: KKE

http://www.thaihosttalk.com/topic/32748-how-to-install-varnishd-on-centosda/

[How-to] Install MyTop on CentOS+DA

Thu, 28 Jul 2011 12:07:52 +0000

วิธีการลง mytop ในเครื่องที่ใช้ DirectAdmin นั้นก็ไม่ได้ยุ่งยากครับ ทำตามนี้เลยครับ

1. ลง perl module ที่ mytop ต้องการให้ครบ
#cpan install DBI Term::ReadKey Term::ANSIColor Time::HiRes DBD::mysql
(ถ้ามีขึ้นถาม yes/no ก็กด enter ผ่านไป)

2. โหลด mytop มาติดตั้ง
#wget http://jeremy.zawodny.com/mysql/mytop/mytop-1.6.tar.gz
#tar xzf mytop-1.6.tar.gz
#cd mytop-1.6
#perl Makefile.PL
#make test
#make
#make install

เรียกใช้ mytop ได้เลย
#mytop -uda_admin -pxxxxxx

---
mytop - http://jeremy.zawodny.com/mysql/mytop/

มาเอา Service ไม่จำเป็นของ CentOS 5.x ออกกัน

Sat, 23 Jul 2011 18:35:51 +0000

และนี่คือ Service ทั้งหมดของ Redhat list of services

ที่คิดว่าไม่จำเป็นอยู่ด้านล่างนี้ ก๊อบวาง reboot จบ

Quote

chkconfig anacron off
chkconfig apmd off
chkconfig atd off
chkconfig autofs off
chkconfig cpuspeed off
chkconfig cups off
chkconfig cups-config-daemon off
chkconfig gpm off
chkconfig isdn off
chkconfig netfs off
chkconfig nfslock off
chkconfig openibd off
chkconfig pcmcia off
chkconfig portmap off
chkconfig rawdevices off
chkconfig readahead_early off
chkconfig rpcgssd off
chkconfig rpcidmapd off
chkconfig smartd off
chkconfig xfs off
chkconfig ip6tables off
chkconfig avahi-daemon off
chkconfig firstboot off
chkconfig yum-updatesd off
chkconfig sendmail off
chkconfig mcstrans off
chkconfig pcscd off
chkconfig bluetooth off
chkconfig hidd off
chkconfig xinetd off
chkconfig acpid off
chkconfig microcode_ctl off
chkconfig irqbalance off
chkconfig haldaemon off
chkconfig messagebus off
chkconfig mdmonitor off

IPTables Rule ป้องกัน UDP Flood จาก PHP Script

Sat, 16 Jul 2011 11:22:24 +0000

เนื่องจากตอนนี้ มิจฉาชีพ ได้นิยมเช่่า Hosting เพื่อนำมาลง PHP Script สำหรับ UDP Flood Attack เครื่องอื่น
ผมได้ไปขอความช่วยเหลือจาก คุณ icez และก็ได้ให้ Firewall rule มาดังนี้ครับ
เพื่อป้องกันไม่ให้มีการ flood โดยใช้ php script ไปโจมตีเครื่องคนอื่นได้

iptables -A OUTPUT -p udp -m owner --uid-owner `cat /etc/passwd|grep apache: |cut -d: -f3` --dport ! 53 -j DROP

Credit :: icez