– Naiwaen@DebuggingSoft

Linux

[RHEL] Permissions 0644 for ‘/etc/ssh/ssh_host_ed25519_key’ ทำให้ไม่สามารถ Start sshd.service ได้

ช่วงนี้งานเยอะครับ ต้องมาทดสอบ Hardening OS และตรวจสอบหลังแก้ไข พบว่า sshd.service ไม่สามารถใช้งานได้ครับ Putty เข้าไม่ไ้เลยครับ พอไปตรวจดู Service sshd.service พบว่า inactive ครับ เมื่อลองตรวจสอบ Log ด้วยคำสั่ง พบ Error Message เกี่ยวกับ Permissions ดังนี้ สาเหตุของปัญหา ? Update OS ครับ Hardening OS เพราะ Tool OSCAP มันแจ้งว่าสิทธิของ SSH Server Private *_key ของเดิมเป็น 0640 สำหรับปัญหานี้ สาเหตุเกิดจากการ Hardening OS ครับ สิทธิของ Key เดิม 0600 แต่ Hardening บอกว่า 0640 ครับ ผมมองว่าเป็น False Positive นะ เพราะ จริงๆ สิทธิของ Key อยู่กับ root ที่เป็น 0600 น่าดีกว่า 0640 ครับ การแก้ไข ? ปรับสิทธิของ Key ที่มีปัญหาด้วยสิทธิ 0600 ทั้ง 3 Key เหมือนเดิม ด้วยคำสั่ง ตอนนี้ ผมคงต้องหาทางต่อไปครับว่า ปรับสิทธิของ Private Key ให้อย่างไรให้ผ่าน Hardening ครับ โปรดติดตาม BLOG ตอนถัดไปครับ Note อันนี้เป็นเคสที่เกิดจาก Update OS 1167402 – /etc/ssh/ssh_host_ed25519_key…

Linux

[RHEL] mailx ส่งเมล์จาก Linux แบบ command line

บางครั้ง เราอาจะหลีกเลี่ยงไม่ได้ที่ต้องทำ Mail Notify แจ้งเตือนต่างๆ เช่น crontab ทำงานสำเร็จ หรือจะแนบผลลัพธ์การทำงานใส่เข้ามา เพื่อความสะดวก ไม่ต้องเข้าไปตรวจผลที่เครื่อง Server ครับ โดยการ Implement สามารถทำได้หลายวิธีเลยครับ อาทิ เช่น สำหรับผมใน Blog นี้ขอข้อที่ 3 นะครับ คือ ลองทดสอบส่งเมล์จาก Linux แทนครับ โดย Package Mail Client ของ Linux มีอยู่หลายค่ายนะครับ ใน Blog นี้ใช้ mailx โดย config ตั้งค่ากับ gmail ครับ ขั้นตอนการติดตั้ง mailx ทดสอบการใช้งาน จบไปแล้ว ส่งเมล์จาก Linux แบบ command line ด้วย mailx ครับ สำหรับ Blog ถัดเป็นเป็นตัวอย่างการนำไปใช้จริงครับ

Network & Security, Secured by Design

[SECURITY] ทดสอบ Secure Configuration บน RedHat 8.X โดย OpenSCAP

ช่วงนี้เจอปัญหาเยอะด้าน TOR ครับ ยังไงต้องตรวจดีๆครับ จากเดิม Wording เดียวกับลูกค้าทำ VA Scan แต่มาอีกโครงการตีความไปเป็นทาง Vendor ทำ VA Scan ครับ เศร้าเลยครับ แต่ในโชคร้ายยังมีดีอยู่ครับ ตอนแรกเข้าใจว่าต้องหา Tool VA Scan แบบแพงๆ แล้วครับ แต่พอดูอ้าว เรามีซื้อ RedHat Subscription ไว้ครับ เสียเงินแล้ว มี Tool ที่ทำ VA Scan ช่วยตรวจสอบ Config ของ OS ครับ Secure Configuration คือ อะไร OpenSCAP คือ อะไร ติดตั้ง OpenSCAP OpenSCAP ทำ VA Scan กันครับ

Linux

[RHEL] เมื่อกำหนด User / Group ที่ใช้สำหรับ SSH แล้วไม่สามารถ Connect ได้

หากใครต้องนำระบบขึ้น Production ทุกคนคงรู้จักขั้นตอนนึงที่สำคัญ และเป็นขั้นตอนที่ทำ App หรือ Service พังได้เลยครับ ขั้นตอนที่ว่านั้น คือ การ Hardening เพื่อเพิ่มความแข็งแรงให้ระบบครับ แต่ต้องมีความเข้าใจด้วยครับ ไม่งั้นระบบมีปัญหาได้ครับ อย่างของผมการแก้ SSH มีผลให้ ส่วนสาเหตุ มันมาจาก CIS RedHat 8 V1.0.0 จาก CIS RedHat 8 V1.0.0 หมวด 5.2 SSH Server Configuration ข้อ 5.2.2 Ensure SSH access is limited (Scored) โดยมีสาระสำคัญ ดังนี้ จากรูปข้างต้น เราพบว่าไฟล์ sshd_config ลำดับของ AllowGroups มาก่อน AllowUsers ทำให้ตัว SSH Service เชื่อเฉพาะ AllowUsers ครับ ทำให้ user ibmbackup ใช้งานได้อย่างเดียวครับ ส่วน user อื่นตายหมดครับ 5555 และที่สำคัญ เราโดน CIS มันหลอกเรื่องลำดับครับ ถ้าไป man ดู sshd_config ลำดับไม่เหมือนกันอีก ต้องเชื่อลำดับการทำงานของ SSH ครับ แต่มันก็ให้ Hardening ยากขึ้นไปอีกครับ เพราะต้องเช้าใจการทำงานของ OS และต้องมาทำให้ได้ตามข้อกำหนดของ CIS ด้วยครับ สำหรับการแก้ไข ทำได้ 2 วิธีครับ แต่ต้องสอบถามความจริงกับทีมงานให้เรียบร้อยก่อนครับ ของผมเลือกวิธีให้เอา user ibmbackup เข้า group staff แทนครับ และเอา AllowUsers ออกไปครับ

Dev พาชิม

[CR] Starbucks Ham & Cheese Pulled Apart Bread

Ham & Cheese Pulled Apart Bread ราคา 95 บาท ขนมปังพูลอพาร์ทแฮมชีส ตอนแรกผมไปสั่งว่าขนมปังอพาร์ทเมนต์ พนักงานงงเลย 555 รสชาติ – ขนมปังกระเทียม สอดไส้แฮม + ชีสครับ ขนมปังคล้ายขนมปังกระเทียมครับ กรุบๆกรอบๆ หอมมากครับ ไส้แฮม + ชีส แอบคิดว่าน้อยไปครับ ส่วนตัวมองว่าราคาไม่คุ้มครับผม พลังงาน 260 แคลลอรี่ Reference (พลังงานของแต่ละเมนู) Calorie Chart, Nutrition Facts, Calories in Food | MyFitnessPal | MyFitnessPal.com

DB2, dotnet

[DB2] เมื่อ DateTimeOffSet ของ C# ไม่สามารถจัดเก็บตรงๆได้ใน DB2

พอดีได้เข้ามาชวยแก้ปัญหาของน้องในทีมครับ เนื่องจากไปเจอว่า Library ที่ตั้ง Schedule ของ C# มันต้องการ Parameter ที่เป็น DateTimeOffSet แต่ DataType นี้ มีนดันใช้งานได้กับ MS SQL Server เท่านั้นครับ กลับมาดูที่ DateTimeOffSet ดีกว่า มันเก็บอะไรบ้าง โดยแบ่งได้ 2 ส่วนครับ พอรู้จัก DateTimeOffset แล้ว และนำ Code ชุดเดียวกันมาทดสอบใช้งานตัว Dapper มัน Error ขึ้นครับ เนื่องจากไม่สามารถ Mapping C# Data Type DateTimeOffSet กับ DB2 Data Type ได้ครับ พอลองไปศึกษา DB2 ตัว Data Type ที่เหมาะสม คือ TIMESTAMP แต่ปัญหา คือ ว่า เวอร์ชันที่ผมใช้งานอยู่ DB2 11.5.4 for Linux มีแต่ TIMESTAMP แต่ไม่มี TIME ZONE ถ้าใน DB2 ต้องดูจาก Keyword TIMESTAMP WITH TIME ZONE ซึ่งมีแล้วในเวอร์ชัน Db2® for z/OS คงอีกสักพักที่ทาง DB2 Port ลงมาให้ Windows / Linux ใช้งานครับ ทุกปัญหามีทางแก้ครับ !!! ในเมื่อ DB2 มันไม่รู้จัก TIMESTAMP + TIMEZONE แนวทางการแก้่ไข มี 2 วิธีครับ วิธีแรก…

นายแว่นสตอรี่

[CR] Baseus Encok WM01

หลังจาก Blog ตอนก่อนได้ Review หูฟัง True Wireless ของ Nokia Power Earbuds ไปแล้ว ถึงแม้ว่าตัว Nokia Power Earbuds มีระยะเวลาใช้งานนาน เมื่อรวมกับเคสที่ชาร์จ แต่มีปัญหาหูฟัง True Wireless เป็นทุกยี่ห้อ ถ้าแบตเตอรี่ของหูฟังหมดต้องทำอย่างไร ? สำหรับผมวิธีแก้ก็ง่ายๆ เลยครับ หาหูฟัง True Wireless อีกอันมาใช้สลับกันครับ จึงเป็นที่มาของ Review Baseus Encok WM01 ครับ โดยผมได้จากโปร 4.4 ของ Lazada ครับ แต่จะมาลอง Review หลังใช้งานจริงๆแล้วประมาณ 1 เดือนครับ จะได้จดปัญหาด้วยว่าพอปัญหาอะไรบ้างครับ Review แกะกล่อง การใช้งานมา 1 เดือน Reference

นายแว่นสตอรี่

[CR] Kurobuta Sukiyaki Don Set (MO MO Paradise)

สำหรับโปรโมชั่นนี้ก็งงตอนสั่งชื่อครับ พอดีน้องที่ทำงานส่งโปรนี้มา พอไปที่หน้าสั่งอ้าวไม่มีโปรนี้ แต่ไปสั่งที่บุธที่พวก Grab/Lineman มารับมีโปรซะงั้น เมื่อมีโปรผมสั่งเลยครับ ขั้นตอนการสั่ง รีวิว Kurobuta Sukiyaki Don Set Reference

Dev พาชิม

[CR] Starbucks Danish Cheese Spinach

Danish Cheese Spinach ราคา 95 บาท รสชาติ อร่อยมากครับ โดยเมนูนี้เป็นแป้งพายด้านในรองด้วยเบคอน และราดด้วยผักขมอมชีสสส หอมกรุ่น ควรทานแบบร้อนๆนะครับ ผักขมอบชีสดีมากกครับ ถ้าทานคู่กับซอสมะเขือเทศแล้วฟินไปอีกแบบครับ สุดท้ายและ Spinach = ผักปวยเล้ง แต่คนไทยเข้าใจผิดกันมาตลอดว่า แปลว่า ผักโขม น่าจะมาจากเรื่อง Popeye ครับ พลังงาน 290-310 แคลลอรี่ Reference (พลังงานของแต่ละเมนู) Calories in Danish spinach & cheese by Country Style Bistro Deli and Nutrition Facts | MyNetDiary.com Cheese Danish: Starbucks Coffee Company

Linux

[RHEL] non-root user เมื่อใช้คำสั่ง crontab เจอ Permission denied !!!

น้องในทีมที่ Implement Server อยู่ๆ เจอปัญหา พอใช้ User ที่ไม่มีสิทธิ root เข้าไปแก้ไข crontab พบว่าเจอ Error Permission denied ไม่ว่าจะเป็น crontab -e หรือ crontab -l ก็เจอปัญหาครับ ตอนนี้ต้องมาไล่ดูสาเหตุกันครับ ไล่ดูสาเหตุกันครับ แก้ไขปัญหากันครับ