8 posts
Server
โดยปกติแล้วการ cloning Windows VM ไปใช้ สิ่งที่ติดไปด้วยคือชื่อเครื่อง, รายละเอียด unique ID ของ Windows นั้นๆ และอื่นๆ มันจะติดไปด้วย ทีนี้หากเราต้องการทำเป็น General Windows Image ท่ี cloning ไปใช้ได้ทันที แบบไม่ต้องมานั่งไล่ลบหรือ setting ข้อมูลเหล่านี้ใหม่เองจะทำไง เราสามารถทำได้โดยใช้โปรแกรมที่ Windows ให้มาอยู่แล้ว นั่นคือ Sysprep นั่นเอง…
ก่อนหน้านี้เราเคยพูดถึงเรื่อง iptables กันไปแล้วว่ามีอะไรยังไงบ้าง มาตอนนี้มาดูกันดีกว่าว่า iptables rule ที่น่าใช้มันมีอะไรบ้าง Allow Loopback interface
Allow Ping
Allow web usage
Allow DNS Usage
Allow NTP
Allow Printing
Allow Email…
1 2 |
-A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT |
1 2 3 |
-A INPUT -i eth0 -p icmp -m state --state NEW --icmp-type 8 -j ACCEPT -A INPUT -i eth0 -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -o eth0 -p icmp -j ACCEPT |
1 2 3 4 5 |
-A INPUT -i eth0 -p tcp -m state --state ESTABLISHED,RELATED --sport 80 -j ACCEPT -A INPUT -i eth0 -p tcp -m state --state ESTABLISHED,RELATED --sport 443 -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT |
1 2 |
-A INPUT -i ens3 -s 192.168.1.1 -p udp --sport 53 -m state --state ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -o ens3 -d 192.168.1.1 -p udp --dport 53 -m udp -j ACCEPT |
1 2 |
-A INPUT -i eth0 -p udp -m state --state ESTABLISHED,RELATED --dport 123 -j ACCEPT -A OUTPUT -o eth0 -p udp -m udp --sport 123 -j ACCEPT |
1 2 3 4 |
-A INPUT -p udp -m udp --dport 631 -j ACCEPT -A INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A OUTPUT -p udp -m udp --sport 631 -j ACCEPT -A OUTPUT -p tcp -m tcp --sport 631 -j ACCEPT |
วันนี้เจอ blog ที่น่าสนใจของ Christian Haschek มาเลยเอามาปรับกับเว็บไซด์หน่อย 😀 เรื่องของเรื่องคือ ตัว Christian เค้าเบื่อพวกที่ชอบมานั่งใช้เครื่องมือมา scan เว็บไซด์ของเค้า หรือพวกที่พยายามจะเจาะไปที่ wp-admin ของเค้า ก็เลยทำเรื่อง Zip Bomb ขึ้นมาตอบโต้คนเหล่านั้น Zip bomb คือการที่เราใช้งาน zip เพื่อทำการบีบอัดไฟล์ขนาดใหญ่ๆที่ไม่มีอะไรเลยนอกจาก 0 (zero) ไว้ ซึ่งโดยปกติแล้ว web browser…
โดยปกติเราสามารถ set ให้ IIS Server (Internet Information Server) (7.x เป็นต้นมา) ในเครื่อง Windows Server ให้สามารถใส่ HTTP Response Header เข้าไปได้ แต่มันก็มีความเป็นไปได้ที่ Browser อาจจะไม่ support HSTS Header (พวก IE เวอร์ชั่นเก่าๆ) ดังนั้นเราสามารถ force ให้…
วันนี้ผมพยายาม set ให้ CentOS วิ่งผ่าน Squid Proxy โดย Squid Proxy ทีนี้ติดปัญหาที่ว่าพอเวลาทำการ update ด้วยคำสั่ง
แล้วเจอ error ว่า “(28, ‘Operation too slow. Less than 1 bytes/sec transfered the last 30 seconds’)”…
1 |
yum update |
จริงๆเคยโพสต์แบบนี้ไปแล้วตอน techsuii.com version 1 ไปแล้ว แต่เนื่องด้วยเว็บล่มไปแล้ว ดังนั้นเลยเอามาให้ดูกันใหม่ แต่คราวที่แล้วผมพูดถึง Nginx เท่านั้น คราวนี้ผมจะอิงจาก cipherli.st ครับทำให้มันจะมีทั้ง Apache, Nginx, Lighttpd ครับ โดยผมมีการปรับเพิ่มเติมนิดหน่อยให้มันสมบูรณ์มากขึ้นครับ Apache
Nginx
Lighttpd
โดย Configuration เหล่านี้มีผลกับการใช้งาน website ของ Client…
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
# if you want the best secure use "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH" SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:EC DHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES25 6-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS # Disable SSL SSLProtocol All -SSLv2 -SSLv3 SSLHonorCipherOrder On Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache "shmcb:logs/stapling-cache(150000)" # Requires Apache >= 2.4.11 SSLSessionTickets Off |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
# Disable SSL ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # openssl dhparam -out dhparams.pem 4096 ssl_dhparam /etc/ssl/dhparam.pem; # Server chose the best ciphers ssl_prefer_server_ciphers on; # If you want the best, you can use "AES256+EECDH:AES256+EDH:!aNULL"; ssl_ciphers "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:EC DHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES25 6-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS"; ssl_ecdh_curve secp384r1; # Requires nginx >= 1.1.0 ssl_session_cache shared:SSL:10m; ssl_session_tickets off; # Requires nginx >= 1.5.9 ssl_stapling on; # Requires nginx >= 1.3.7 ssl_stapling_verify on; # Requires nginx => 1.3.7 # You can use "resolver 8.8.8.8 8.8.4.4" resolver $DNS-IP-1 $DNS-IP-2 valid=300s; resolver_timeout 5s; add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"; add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff; |
1 2 3 4 5 6 7 8 9 10 11 12 13 |
ssl.honor-cipher-order = "enable" # If you want the best, you can use "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"; ssl.cipher-list = "ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:EC DHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES25 6-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS" ssl.use-compression = "disable" setenv.add-response-header = ( "Strict-Transport-Security" => "max-age=63072000; includeSubDomains; preload", "X-Frame-Options" => "DENY", "X-Content-Type-Options" => "nosniff" ) ssl.use-sslv2 = "disable" ssl.use-sslv3 = "disable" |
เนื่องด้วยผมไปเจอ Lab ของเมืองนอกแล้วชอบในเรื่องการ setup environment ที่ง่ายและสะดวกดี ผมเลยสนใจที่จะทดสอบขึ้นมาบ้าง แต่ทีนี้ Lab ของเมืองนอกเค้าไม่ได้ setup โดยใช้ขั้นตอน 1-2-3-4 แต่กลายเป็นใช้แค่ one command for all หรือ Infrastructure as Code (IaC) นั่นคือการใช้งาน Docker Compose นั่นเอง Docker Compose คือการสร้าง…
LEMP คือกลุ่มของ Software ที่ใช้สำหรับการทำเว็บไซด์โดยประกอบไปด้วย Linux + Nginx + MySQL + PHP โดยใน post นี้เราจะไม่เพียงแต่ setup LEMP เท่านั้น เรายังมีการบังคับให้ใช้งานเป็น HTTPS แทนที่จะใช้งานเป็น HTTP ธรรมอีกด้วย โดยตัวอย่างการ set นี้ผมทำใน Ubuntu 16.04 ครับ 1. Install…
Recent Comments