เจอมากับตัวเองสด ๆ ร้อน ๆ ครับ สำหรับใครที่ใช้ Debian unstable (sid) และมีการติดตั้งระบบโดยมีการเข้ารหัสแหล่งเก็บข้อมูล (encrypted partition) และมีการเรียกใช้ key-file สำหรับถอดรหัส แทนการป้อนวลีรหัส ผ่านทางแป้นพิมพ์ ปัญหาที่เกิดขึ้นคือ สำหรับ partition ที่มีการเรียกใช้งาน key-file จะแจ้งข้อความว่า

"No key available with this passphrase"

เป็นอีกคราวที่ opensource network tools มีการเปลี่ยนแปลงขนานใหญ่ เนื่องจากว่า Nmap ในรุ่นนี้ มีความสามารถเพิ่มขึ้นอย่างมาก (Top 5 Improvements in Nmap 5) โดยเฉพาะความสามารถใหม่ที่ชื่อว่า NSE (Nmap Script Engine) ซึ่งทำให้ Nmap สามารถเรียกใช้งาน predefined script เพื่อให้ตรวจสอบระบบตามที่กำหนดได้ โดยรายการ script ที่มาพร้อมกับ Nmap มีแสดงไว้ที่ http://nmap.org/nsedoc/

หลังจากที่รอมา 1 เดือนเต็ม จากวันที่ 16 กรกฎาคม 2552 ซึ่งทาง insecure.org ได้ปล่อย Nmap 5.0 ออกมา เป็นรุ่น stable ล่าสุด หลังจากรุ่น 4.76 ซึ่งการรอคอยที่จะเข้ามาของ Nmap 5.0 ใน Debian ก็เป็นการรออย่างมีความหวัง แต่ไม่ได้หวั่นใจ เพราะ Nmap maintainer (LaMont Jones) ค่อนข้าง active มาก

ฝันร้ายของ admin ในระบบเครือข่าย อย่างหนึ่งที่เจอกันบ่อย ๆ คือ ARP poisoning หรือที่คนทั่วไปรู้จักกันในชื่อ NetCut ซึ่งปัญหานี้ เป็นช่องโหว่ของระบบเครือข่าย ซึ่งรู้โดยทั่วกันว่า หาทางแก้ได้แบบเด็ดขาดลำบากมาก เนื่องจากทางแก้ที่สมบูรณ์นั้น ต้องได้รับความร่วมมือจากผู้ใช้ด้วย

ARP poisoning หรือ ARP spoofing คือวิธีการโจมตีลักษณะหนึ่งในระบบเครือข่ายแบบ ethernet ไม่ว่าจะเป็นแบบ มีสายหรือไร้สาย โดยอาศัยช่องโหว่ของ ARP (Address Resolution Protocol) ซึ่งมีระบบความปลอดภัยต่ำมาก เนื่องจาก ARP เป็นโพรโทคอลที่คุยกัน และให้ความเชื่อถือข้อมูลที่ถูกส่งออกมาโดยไม่มีเงื่อนไขในการตรวจสอบที่มา และความน่าเชื่อถือของข้อมูลใด ๆ ทั้งสิ้น ซึ่งช่องโหว่นี้ เป็นที่มาของการปลอมข้อมูล (spoofing) เพื่อหลอกให้ชาวบ้านหลงเชื่อตามที่โกหก

หลังจากที่ได้ติดตั้งระบบ authentication และ log server ที่ ศูนย์หอพักตักสิลา จ.มหาสารคาม คราวนี้ พระเอกก็ยังเป็น RahuNAS (http://git.rahunas.org) อยู่ (พัฒนาเอง ไม่ใช้เอง ใครจะใช้ จริงไหมครับ) ข้อแตกต่างจากที่อื่น ๆ ที่เคยทำคือ ที่นี่มี managed switch ที่สามารถจัดการ VLAN ได้ ก็เลยสบโอกาส ที่จะทดสอบ RahuNAS กับ VLAN ซึ่งผลก็เป็นไปอย่างที่คาดหวัง คือ ทำงานได้สมบูรณ์ดี ตอนนี้ ก็น่าจะรับรองได้อย่างจริงจังว่า RahuNAS support multiple networking (multiple ethernet, VLAN) แต่ทว่า เครื่องมือคู่ใจผู้ดูแลระบบ อย่าง iptraf กลับไม่แสดง traffic ใด ๆ เลย สำหรับ vlan interface ตอนแรกยุ่ง ๆ ก็เลยไม่คิดอะไรมาก ไม่แสดงก็เอาไว้ก่อน แต่พอว่างนิดหน่อย ฉุกคิดขึ้นมา ก็เลยได้ลองค้นในอินเทอร์เน็ต (http://linux.mantech.ro/IPTraf-fix.html โดย Arian Ban น่าจะเป็นการ fix ให้ OpenSuSE) ก็เลยได้ไอเดีย

ช่วงนี้มีข่าวคราวหลายอย่างที่น่าสนใจ หนึ่งในนั้น คือ ข่าวของความเป็นไปได้ที่จะโจมตี SHA1 digest algorithm และอย่างที่เคยได้ยินมากับ MD5 คือ ความน่าเชื่อถือของ digest algorithm ดังกล่าวก็ลดลง และจากการที่ SHA1 ได้ใช้กันอย่างแพร่หลาย และที่สำคัญ โครงการต่าง ๆ ของ Debian ก็ได้ให้ความไว้วางใจใน Web of Trust ของ OpenPGP เป็นอย่างมาก ดังจะเห็นได้จาก Secure APT จะมีการตรวจสอบ Key ต่าง ๆ อย่างเคร่งครัด ทำให้ในคราวนี้ จะต้องมีการปรับปรุง Key กันขนานใหญ่ และถ้าติดตามข่าว ทั้งใน planet.debian.org หรือที่อื่น ๆ ไม่ว่าจะเป็น Blog ของ Debian Developer/Maintainer ก็จะพบการเตรียมการเรื่องการเปลี่ยน Key กันโดยส่วนใหญ่

คำแนะนำโดย Daniel Kahn Gillmor ในการเปลี่ยน Key สามารถอ่านเพิ่มเติมได้ที่ http://www.debian-administration.org/users/dkg/weblog/48

การที่เป็นผู้ใช้ Debian GNU/Linux - unstable (sid) ซึ่งมักจะมีอะไรใหม่ ๆ เข้ามาให้ทดสอบเป็นประจำ ซึ่งในคราวนี้ ก็เกิดขึ้นกับ glibc (libc6) ซึ่งมีการปรับรุ่นมาใช้ 2.9 ซึ่งมีอะไรต่าง ๆ ปรับปรุงให้ดีขึ้น ซึ่ง glibc เองเป็น library ที่มีหลาย ๆ ชุดโปรแกรมเรียกใช้งาน ทำให้การเปลี่ยนแปลงในบางเรื่อง ส่งผลกระทบกับผู้ใช้เป็นวงกว้างเช่นกัน ครั้งนี้ เจอกับตัวเอง และเพื่อน ๆ ที่ใช้งาน Debian/Ubuntu ที่มีการใช้ glibc รุ่นดังกล่าว คือ อาการที่เกิดกับ DNS Lookup ที่ปกติ เราจะทดสอบด้วยคำสั่ง nslookup หรือ host ซึ่งกรณีนี้ เราจะได้รับการตอบรับเหมือนปกติดี แต่ปัญหาอยู่ตอนที่จะเข้าใช้งาน Web หรือ FTP หรือ Services อื่น ๆ ที่เรียกใช้โดยชื่อ domain ซึ่งอาการคือ จะเข้าได้บ้าง ไม่ได้บ้าง

ตัวผมเองใช้งาน Fujitsu Lifebook S6410 ร่วมกับ Debian GNU/Linux (unstable - sid) มาก็เกือบ ๆ จะครบขวบปีแล้ว
มีปัญหาคาใจมาตลอดว่า ทำไมเครื่องนี้ถึงปรับแสงหน้าจอไม่ได้ ทั้ง ๆ ที่เวลากดปุ่มปรับแสง GNOME ก็มีการแสดงค่าความสว่างให้ดู แต่หน้าจอก็ยังสว่างเท่าเดิม ไม่เพิ่ม ไม่ลด ตามไป ตามมา ก็พบว่า Fujitsu Lifebook รุ่น S6410 มี Hardware ที่ใช้ในการควบคุม Backlight ที่แตกต่างออกไปจาก Fujitsu Laptop รุ่นอื่น ๆ และก็มีคนใจดี เขียน Driver สำหรับ fujitsu-laptop ที่แก้ปัญหาเรื่องนี้ให้แล้ว ใน Kernel รุ่น 2.6.28 แต่ที่น่าเสียดายคือ ยังไม่มีใน Debian ในขณะนี้ ทางเลือกมีสองทางคือ หนึ่งรอต่อไป กับสอง ไม่รอละ Build Kernel เองซะเลย

ผมเลือกวิธีหลัง... เพราะเครื่องแรงพอสมควร ... คงใช้เวลาไม่นานในการ Build ส่วนวิธีการ Build ผมขอไม่กล่าว ณ ที่นี้ หากสนใจ อ่านบทความของ พี่เทพ ได้ที่ "คอมไพล์เคอร์เนลสไตล์เดเบียน"

ส่วนใครไม่อยากเสียเวลา อาจจะลองเอาที่ผม Build แล้วไปทดสอบได้ (ไม่รับประกันนะครับ ลองดูกันเอง แต่ผมใช้งานอยู่ตอนนี้ ยังไม่เจอปัญหา)

• linux-image-2.6.28-expr1-amd64-neutron-experimental_2.6.28-1neutronexpr1_amd64.deb

หลายครั้งหลายคราวเหมือนกันที่ผมพยายามค้นหาโปรแกรมเพื่อนำมาใช้งาน และก็เลี่ยงไม่ได้ที่จะพยายามดูหน้าตาของโปรแกรม (screenshot) เพื่อประกอบการตัดสินใจ ด้วยเหตุผลที่ว่า "หน้าตาดี มีชัยไปกว่าครึ่ง" :P และตอนนี้ นักพัฒนา Debian ได้สร้าง

http://screenshots.debian.net

เพื่อจัดเก็บ screenshot ของโปรแกรมต่าง ๆ ที่มีใน Debian ถึงจะอยู่ในขั้นทดสอบ แต่ผมลองใช้ดูแล้ว ก็ไม่เลวเลยทีเดียว และคิดว่า screenshot พวกนี้ จะมีการนำแสดงในโปรแกรมจัดการ Debian package ต่อไปในอนาคต ซึ่งน่าจะทำให้เราเลือก และพิจารณาที่จะติดตั้งโปรแกรมได้สะดวกยิ่งขึ้น

Link: http://screenshots.debian.net

ตามที่มีคนถามเข้ามา ด้วยส่วนตัวใช้ ipset มาบ้างพอสมควร จึงจะลองเล่าให้ฟังละกันครับ

ipset เป็นชุดโปรแกรมที่ทำงานทั้งในส่วน kernelspace และ userspace และจากที่มีการทำงานในส่วน kernelspace จึงต้องมี module สำหรับ kernel ที่เรากำลังใช้งานอยู่ด้วย ดังนั้น การใช้งาน ipset จะต้องเตรียม 2 ส่วน ดังนี้

1. เตรียม kernel
   

   # aptitude install netfilter-extensions module-assistant

   เริ่ม build module ด้วยการเตรียมความพร้อมก่อน

   # m-a prepare

   build จริง

   # m-a a-i netfilter-extensions

   หลังจากทำการ build สำเร็จ ระบบจะติดตั้ง module ให้โดยอัตโนมัติ

2. เตรียม userspace

   ขั้นตอนนี้ไม่มีอะไรมาก เนื่องจากมีคนเตรียมไว้ให้แล้วใน Debian

   # aptitude install ipset

ต่อไปลองทดสอบ

# iptables -m set
iptables v1.4.1.1: You must specify `--set' with proper arguments
Try `iptables -h' or 'iptables --help' for more information.

จริง ๆ ก็ครบกำหนดการเก็บข้อมูลการจราจร (IP Traffic) ตั้งแต่วันที่ 23 สิงหาคม 2551 (1 ปี ให้หลัง จากประกาศ) แต่ด้วยวุ่น ๆ กับหลายเรื่อง (ลูกสาวก็อายุ 3 เดือนแล้วครับ :P) ก็ลองหาการเก็บ log ในแบบที่เราคุ้นเคย และพยายามไม่ให้กระทบกับ performance ของระบบ ก็เลยได้ลงเอยกับ ulogd กับ ulogd-pcap (ตอนนี้ เป็น version 1.24 ส่วน version 2 ยังเป็นรุ่นทดสอบ ที่พยายาม build แล้ว ยังไม่สำเร็จ :P)

เริ่มเลยละกันครับ