PDA

View Full Version : กลับมาจากอบรม server log



chalee
06-09-2008, 00:59
หลังจากสมัครไปอบรม server log ในโครงการของ สพฐ. โดยมี อ.บุญลือ อยู่คง เป็นวิทยากร มีหลายๆประเด็นมาก ที่ผมต้องอึ้งไป เพราะว่า ไม่คิดว่ามันต้อง ขนาดนี้เชียวหรือ(วะ) ผมจะเล่าที่คิดว่ามันน่าจะสำคัญละกันนะครับ ผมเล่าในบริบทของหน่วยงานละกันเพราะ บริบทของร้านเกมส์หรือร้านเน็ต ผมมองไม่ออกจริงๆ

อย่างแรกเลย : phpmyprepaid ที่เราใช้หนักใช้หนากันผมว่า คงต้องเลิก(อะป่าว) เพราะ เริ่มจากการออก user password ต้องออกเป็นหนังสือให้เจ้าตัวมารับและเซ็นต์รับไป โดยที่สำคัญของประเด็นแรกเลยคือ เจ้าของ user จะต้องสามารถ เปลี่ยน และจะต้องเปลี่ยน password ได้ด้วยตนเอง... ตรงนี้แหละครับ ที่เราจะต้องคำนึงถึง เพราะถ้าเกิดเรื่องขึ้นมา user สามารถกล่าวหา admin ได้ว่าใช้ user pass ของตนเพื่อการกลั่นแกล้ง เพราะ admin รู้ pass ของทุกคน ฉะนั้นในการกัน admin ออกจากคุกขั้นแรกคือ ระบบของคุณจะต้องสามารถให้ user เปลี่ยน password และต้องบังคับให้เปลี่ยน ได้ด้วย........

อย่างที่สอง : ต้องตั้งกรรมการอย่างน้อย 3 คนได้แก่ 1.Admin 2. คนเฝ้า server log 3.คนนำส่ง log (กรณีเ)กิดคดีความ
คนแรกเลย คือ Admin ก็คือท่านๆผมๆนี่แหละ ทำระบบ ทำ server ทั้ง authan และ log แต่สำคัญตรงที่ server log นี่แหละครับ เมื่อ Admin ทำ server log เรียบร้อยแล้วจะต้อง ทำหนังสือ ส่งมอบ user password ทั้งหมดของ server log ไม่ว่าจะเป็น password ของ bios และ pass ทั้งหมดของ server log ให้กับ คนที่ 2 คือคนเฝ้า log และจะต้องบอกว่า เฮ้ย...คนเฝ้า log ช่วยเปลี่ยน pass ทั้งหมดด้วยนะ และอย่าให้ admin รู้ (กันตัว admin เอง) คนเฝ้า log เมื่อได้รับมอบหมายมาแล้วก็เปลี่ยนพาสให้หมดและอย่าให้เจ้า Admin มันรู้ ทั้งๆที่มันก็เข้าได้นั่นแหละ 555+ เสร็จแล้ว มาตรการความปลอดภัยทั้งของ Admin เองและตัว คนเฝ้า log คือ ตัว server log หากุญแจมา log ไม่ให้ใครสามารถเปิดได้ ...เท่านี้ก็กันไปได้ เยอะแล้ว ส่วนคนที่ 3 มีหรือไม่มีก็ได้อาจจะใช้คนที่ 2 ก็ได้คือ เมื่อเกิดเรื่อง คดีความขึ้นมา ก็จัดการนำส่ง log ของวันที่ ตร.ต้องการ ให้ดำเนินการต่อ เท่านี้ ก็รอดกันทั้ง 3 แ ล้ว

อย่างที่ 3 log ต้องมีการเข้ารหัส ที่ผมไปอบรมมา คือการเข้ารหัส MD5 ให้เก็บอยู่ในรูปแบบนี้ เป็นหน้าที่ของคนที่ 2 ในการนำส่ง และ ถอดรหัส log ให้กับ ตร. ตอนแรกผมเข้าใจว่าต้องใส่ password ซะอีก

เท่าที่จำได้ก็เท่านี้ก่อนละกันนะครับ จะมาเล่าอีก...

speedone
06-09-2008, 05:12
ขอบคุณครับ -/\-
เริ่มมีความชัดเจนมากขึ้นเรื่อยๆ ล่ะ แต่ปัญหาว่าจะทำได้อย่างไรให้ครบถ้วนล่ะทีนี้ โดยหลักการต้องมี 2 เครื่องสำหรับหน่วยงานคงต้องปรับเปลี่ยนกันไป
ส่วนร้านเน็ตเกมก็ต้องมองไปที่ 3 ข้อที่ พ.ร.บ. นั้นเป็นหลักจะดีกว่าแล้ว
เคยได้ใช้บริการหน่วยงานแห่งหนึ่ง ก็ต้องกรอกรายละเอียดตามว่าเลยครับ คงต้องรอคำชี้แนะจากทั่นแล้วละครับ

choopols
06-09-2008, 07:10
นี่เหละครับปัญหาของเรา เพราะอ่านกฏหมายแล้วก็ยังงง อยู่ว่าถ้าทำตามครบหมดนั้น สงสัยได้ไปขายลูกชิ้นแน่นๆ ไม่มีคนเขาร้านเราชัว

d3fc0n
06-09-2008, 08:35
ผมรู้สึกว่าเราตกลงไปอยู่ระหว่าง เหตุการณ์อะไรบางอย่าง เลยครับ แบบประมาณว่า โครงการนี้เนี่ย ตั้งแต่การพัฒนา และ การนำมาใช้งานจริงเนี่ย เงินปลิวไปปลิวมา เป็นร้อยล้านมั๊งครับ

zombie01
06-09-2008, 08:38
ขอบคุณครับชวลิต ที่นำมาเผยแพร่ ผมไปมาตั้งแต่ 9-10 มิ.ย. แล้วในส่วนของกรมอาชีวะ วิทยากรก็ท่านเดียวกัน แต่ก็เห็นว่าส่วนใหญ่เกี่ยวกับองค์กรมากกว่าร้านเน็ตครับ เลยไม่ได้เอามาบ่นแถวนี้ และที่พวกเราทำ ๆ กันอยู่ก็มาุถูกทางแล้วครับ

choopols
06-09-2008, 13:13
ตอนนี้ ลุง เลย ใช้ syslog เก็บ จะมี
1. access.log
2. traffice.log อันนี้จับ package LAN เรา
แต่ไม่มีการ autehen นะ จดใส่สมุดเอา แต่รองรับ package ที่ เข้ามาในระบบ

chalee
06-09-2008, 13:56
เหมือนๆ จะบังคับให้ authan ยังไงไม่รู้คับลุง....

choopols
06-09-2008, 14:22
ครับ แต่มัน จะยุ่งยาก แล้ว ก็มีจุดโต้งเถียงกันไม่สิ้นสุด นะซิ เรื่อง การ authen เพราะ ถ้าเขาอ้างว่าง admin สามารถดูรหัสเขาได้ ได้มีการเถียงกันตายงานนี้ สรุปแล้ว ตกลง admin นี่ไม่รับเลาะ หรือ งานนนี้

zombie01
06-09-2008, 14:41
สงสัยต้องสร้างรหัสเป็น linux user แล้วล่ะครับ จะได้ไม่เห็นรหัส และแก้ไขไม่ได้ แนวคิดผมนะ คิดว่าน่าจะทำแบบรวม user+pass สำหรับหลาย ๆ เซอฟเวอร์ไว้ที่เดียวกัน เช่นใน ldap ครับ แล้วจะ authen เพื่อใช้งานอะไรค่อยเรียก authen ไปที่ ldap server เช่น ใช้เน็ต ก็เป็น proxy server เข้าเมล์ ก็เป็น mail server เข้าแชร์ไฟล์ ก็เป็น database server เอางี้เลยไหมครับ (ไม่เกี่ยวกับร้านเน็ตนะครับตรงนี้เน้นในองค์กรต่าง ๆ)

nut_kkc
06-09-2008, 14:54
หลังจากสมัครไปอบรม server log ในโครงการของ สพฐ. โดยมี อ.บุญลือ อยู่คง เป็นวิทยากร มีหลายๆประเด็นมาก ที่ผมต้องอึ้งไป เพราะว่า ไม่คิดว่ามันต้อง ขนาดนี้เชียวหรือ(วะ) ผมจะเล่าที่คิดว่ามันน่าจะสำคัญละกันนะครับ ผมเล่าในบริบทของหน่วยงานละกันเพราะ บริบทของร้านเกมส์หรือร้านเน็ต ผมมองไม่ออกจริงๆ

อย่างแรกเลย : phpmyprepaid ที่เราใช้หนักใช้หนากันผมว่า คงต้องเลิก(อะป่าว) เพราะ เริ่มจากการออก user password ต้องออกเป็นหนังสือให้เจ้าตัวมารับและเซ็นต์รับไป โดยที่สำคัญของประเด็นแรกเลยคือ เจ้าของ user จะต้องสามารถ เปลี่ยน และจะต้องเปลี่ยน password ได้ด้วยตนเอง... ตรงนี้แหละครับ ที่เราจะต้องคำนึงถึง เพราะถ้าเกิดเรื่องขึ้นมา user สามารถกล่าวหา admin ได้ว่าใช้ user pass ของตนเพื่อการกลั่นแกล้ง เพราะ admin รู้ pass ของทุกคน ฉะนั้นในการกัน admin ออกจากคุกขั้นแรกคือ ระบบของคุณจะต้องสามารถให้ user เปลี่ยน password และต้องบังคับให้เปลี่ยน ได้ด้วย........

อย่างที่สอง : ต้องตั้งกรรมการอย่างน้อย 3 คนได้แก่ 1.Admin 2. คนเฝ้า server log 3.คนนำส่ง log (กรณีเ)กิดคดีความ
คนแรกเลย คือ Admin ก็คือท่านๆผมๆนี่แหละ ทำระบบ ทำ server ทั้ง authan และ log แต่สำคัญตรงที่ server log นี่แหละครับ เมื่อ Admin ทำ server log เรียบร้อยแล้วจะต้อง ทำหนังสือ ส่งมอบ user password ทั้งหมดของ server log ไม่ว่าจะเป็น password ของ bios และ pass ทั้งหมดของ server log ให้กับ คนที่ 2 คือคนเฝ้า log และจะต้องบอกว่า เฮ้ย...คนเฝ้า log ช่วยเปลี่ยน pass ทั้งหมดด้วยนะ และอย่าให้ admin รู้ (กันตัว admin เอง) คนเฝ้า log เมื่อได้รับมอบหมายมาแล้วก็เปลี่ยนพาสให้หมดและอย่าให้เจ้า Admin มันรู้ ทั้งๆที่มันก็เข้าได้นั่นแหละ 555+ เสร็จแล้ว มาตรการความปลอดภัยทั้งของ Admin เองและตัว คนเฝ้า log คือ ตัว server log หากุญแจมา log ไม่ให้ใครสามารถเปิดได้ ...เท่านี้ก็กันไปได้ เยอะแล้ว ส่วนคนที่ 3 มีหรือไม่มีก็ได้อาจจะใช้คนที่ 2 ก็ได้คือ เมื่อเกิดเรื่อง คดีความขึ้นมา ก็จัดการนำส่ง log ของวันที่ ตร.ต้องการ ให้ดำเนินการต่อ เท่านี้ ก็รอดกันทั้ง 3 แ ล้ว

อย่างที่ 3 log ต้องมีการเข้ารหัส ที่ผมไปอบรมมา คือการเข้ารหัส MD5 ให้เก็บอยู่ในรูปแบบนี้ เป็นหน้าที่ของคนที่ 2 ในการนำส่ง และ ถอดรหัส log ให้กับ ตร. ตอนแรกผมเข้าใจว่าต้องใส่ password ซะอีก
เท่าที่จำได้ก็เท่านี้ก่อนละกันนะครับ จะมาเล่าอีก...




MD5 เข้าได้ทิศทางเดียวถอดกลับไม่ได้
ส่วน phpmyprepaid สามารถเขียนโปรแกรมให้คุมส่วนการ เปลี่ยนรหัสผ่านได้
syslogng มันทำ เข้ารหัสได้หรือครับเห็นเขาใช้กันเยอะเลย ผมดูมันก็ไม่ผ่านอยู๋ดี

zombie01
06-09-2008, 15:34
หลังจากสมัครไปอบรม server log ในโครงการของ สพฐ. โดยมี อ.บุญลือ อยู่คง เป็นวิทยากร มีหลายๆประเด็นมาก ที่ผมต้องอึ้งไป เพราะว่า ไม่คิดว่ามันต้อง ขนาดนี้เชียวหรือ(วะ) ผมจะเล่าที่คิดว่ามันน่าจะสำคัญละกันนะครับ ผมเล่าในบริบทของหน่วยงานละกันเพราะ บริบทของร้านเกมส์หรือร้านเน็ต ผมมองไม่ออกจริงๆ

อย่างแรกเลย : phpmyprepaid ที่เราใช้หนักใช้หนากันผมว่า คงต้องเลิก(อะป่าว) เพราะ เริ่มจากการออก user password ต้องออกเป็นหนังสือให้เจ้าตัวมารับและเซ็นต์รับไป โดยที่สำคัญของประเด็นแรกเลยคือ เจ้าของ user จะต้องสามารถ เปลี่ยน และจะต้องเปลี่ยน password ได้ด้วยตนเอง... ตรงนี้แหละครับ ที่เราจะต้องคำนึงถึง เพราะถ้าเกิดเรื่องขึ้นมา user สามารถกล่าวหา admin ได้ว่าใช้ user pass ของตนเพื่อการกลั่นแกล้ง เพราะ admin รู้ pass ของทุกคน ฉะนั้นในการกัน admin ออกจากคุกขั้นแรกคือ ระบบของคุณจะต้องสามารถให้ user เปลี่ยน password และต้องบังคับให้เปลี่ยน ได้ด้วย........

อย่างที่สอง : ต้องตั้งกรรมการอย่างน้อย 3 คนได้แก่ 1.Admin 2. คนเฝ้า server log 3.คนนำส่ง log (กรณีเ)กิดคดีความ
คนแรกเลย คือ Admin ก็คือท่านๆผมๆนี่แหละ ทำระบบ ทำ server ทั้ง authan และ log แต่สำคัญตรงที่ server log นี่แหละครับ เมื่อ Admin ทำ server log เรียบร้อยแล้วจะต้อง ทำหนังสือ ส่งมอบ user password ทั้งหมดของ server log ไม่ว่าจะเป็น password ของ bios และ pass ทั้งหมดของ server log ให้กับ คนที่ 2 คือคนเฝ้า log และจะต้องบอกว่า เฮ้ย...คนเฝ้า log ช่วยเปลี่ยน pass ทั้งหมดด้วยนะ และอย่าให้ admin รู้ (กันตัว admin เอง) คนเฝ้า log เมื่อได้รับมอบหมายมาแล้วก็เปลี่ยนพาสให้หมดและอย่าให้เจ้า Admin มันรู้ ทั้งๆที่มันก็เข้าได้นั่นแหละ 555+ เสร็จแล้ว มาตรการความปลอดภัยทั้งของ Admin เองและตัว คนเฝ้า log คือ ตัว server log หากุญแจมา log ไม่ให้ใครสามารถเปิดได้ ...เท่านี้ก็กันไปได้ เยอะแล้ว ส่วนคนที่ 3 มีหรือไม่มีก็ได้อาจจะใช้คนที่ 2 ก็ได้คือ เมื่อเกิดเรื่อง คดีความขึ้นมา ก็จัดการนำส่ง log ของวันที่ ตร.ต้องการ ให้ดำเนินการต่อ เท่านี้ ก็รอดกันทั้ง 3 แ ล้ว

อย่างที่ 3 log ต้องมีการเข้ารหัส ที่ผมไปอบรมมา คือการเข้ารหัส MD5 ให้เก็บอยู่ในรูปแบบนี้ เป็นหน้าที่ของคนที่ 2 ในการนำส่ง และ ถอดรหัส log ให้กับ ตร. ตอนแรกผมเข้าใจว่าต้องใส่ password ซะอีก
เท่าที่จำได้ก็เท่านี้ก่อนละกันนะครับ จะมาเล่าอีก...




MD5 เข้าได้ทิศทางเดียวถอดกลับไม่ได้
ส่วน phpmyprepaid สามารถเขียนโปรแกรมให้คุมส่วนการ เปลี่ยนรหัสผ่านได้
syslogng มันทำ เข้ารหัสได้หรือครับเห็นเขาใช้กันเยอะเลย ผมดูมันก็ไม่ผ่านอยู๋ดี


syslog-ng ที่ อ.เขาใช้ก็เพราะว่ามันยืดหยุ่นกว่า syslog เดิมอะครับ ส่วนการบีบอัดไฟล์ และการเข้ารหัส ก็ต้องกำหนดเพิ่มเติมไปในสคริปต์

juniorx_ray
12-09-2008, 16:14
ในกฎหมาย ระบุไว้เช่นนั้นเหรอคับ ??? ว่าต้องมีอย่างนู้นอย่างนี้นะคับ แล้วระบบแบบนี้ใครเป็นผู้สร้างขึ้นเหรอคับ ลองเอา พรบ มาชี้เป็นข้อๆ ให้ผมดูหน่อยนะคับ
ว่า log ต้องเก็บอย่างไรเก็บเช่นไรบ้างคับ ? ผมอ่านดูยังไม่เจอเลยคับ ท่านผู้รู้เข้าใจผิดไปเองหรือผมเข้าใจผิดไปเหรอคับ ?

chalee
12-09-2008, 16:21
ในกฎหมาย ระบุไว้เช่นนั้นเหรอคับ ??? ว่าต้องมีอย่างนู้นอย่างนี้นะคับ แล้วระบบแบบนี้ใครเป็นผู้สร้างขึ้นเหรอคับ ลองเอา พรบ มาชี้เป็นข้อๆ ให้ผมดูหน่อยนะคับ
ว่า log ต้องเก็บอย่างไรเก็บเช่นไรบ้างคับ ? ผมอ่านดูยังไม่เจอเลยคับ ท่านผู้รู้เข้าใจผิดไปเองหรือผมเข้าใจผิดไปเหรอคับ ?


สงสัยจะจริง ผู้รู้ทั้งหลาย กระทรวง ict SIPA ที่เปิดอบรม สพฐ. กรมอาชีวะ ที่เปิดอบรมเรียก จนท. หน่วยงานไปอบรม คงจะไม่อ่านกันอย่างแน่นอนแล้วผมว่า...เห็นจะจริงอย่างท่านว่า... ;D

zombie01
12-09-2008, 16:48
ในกฎหมาย ระบุไว้เช่นนั้นเหรอคับ ??? ว่าต้องมีอย่างนู้นอย่างนี้นะคับ แล้วระบบแบบนี้ใครเป็นผู้สร้างขึ้นเหรอคับ ลองเอา พรบ มาชี้เป็นข้อๆ ให้ผมดูหน่อยนะคับ
ว่า log ต้องเก็บอย่างไรเก็บเช่นไรบ้างคับ ? ผมอ่านดูยังไม่เจอเลยคับ ท่านผู้รู้เข้าใจผิดไปเองหรือผมเข้าใจผิดไปเหรอคับ ?


สงสัยจะเป็นนักกฎหมายมาถามนะนี่ รบกวนหาเวลาว่าง ๆ ไปอบรมด้วยตนเองนะครับ ผมเองก็ไม่รู้จะชี้แจงอย่างไรให้ท่านได้รับทราบ

worayuts
12-09-2008, 17:10
หลังจากสมัครไปอบรม server log ในโครงการของ สพฐ. โดยมี อ.บุญลือ อยู่คง เป็นวิทยากร มีหลายๆประเด็นมาก ที่ผมต้องอึ้งไป เพราะว่า ไม่คิดว่ามันต้อง ขนาดนี้เชียวหรือ(วะ) ผมจะเล่าที่คิดว่ามันน่าจะสำคัญละกันนะครับ ผมเล่าในบริบทของหน่วยงานละกันเพราะ บริบทของร้านเกมส์หรือร้านเน็ต ผมมองไม่ออกจริงๆ

อย่างแรกเลย : phpmyprepaid ที่เราใช้หนักใช้หนากันผมว่า คงต้องเลิก(อะป่าว) เพราะ เริ่มจากการออก user password ต้องออกเป็นหนังสือให้เจ้าตัวมารับและเซ็นต์รับไป โดยที่สำคัญของประเด็นแรกเลยคือ เจ้าของ user จะต้องสามารถ เปลี่ยน และจะต้องเปลี่ยน password ได้ด้วยตนเอง... ตรงนี้แหละครับ ที่เราจะต้องคำนึงถึง เพราะถ้าเกิดเรื่องขึ้นมา user สามารถกล่าวหา admin ได้ว่าใช้ user pass ของตนเพื่อการกลั่นแกล้ง เพราะ admin รู้ pass ของทุกคน ฉะนั้นในการกัน admin ออกจากคุกขั้นแรกคือ ระบบของคุณจะต้องสามารถให้ user เปลี่ยน password และต้องบังคับให้เปลี่ยน ได้ด้วย........

อย่างที่สอง : ต้องตั้งกรรมการอย่างน้อย 3 คนได้แก่ 1.Admin 2. คนเฝ้า server log 3.คนนำส่ง log (กรณีเ)กิดคดีความ
คนแรกเลย คือ Admin ก็คือท่านๆผมๆนี่แหละ ทำระบบ ทำ server ทั้ง authan และ log แต่สำคัญตรงที่ server log นี่แหละครับ เมื่อ Admin ทำ server log เรียบร้อยแล้วจะต้อง ทำหนังสือ ส่งมอบ user password ทั้งหมดของ server log ไม่ว่าจะเป็น password ของ bios และ pass ทั้งหมดของ server log ให้กับ คนที่ 2 คือคนเฝ้า log และจะต้องบอกว่า เฮ้ย...คนเฝ้า log ช่วยเปลี่ยน pass ทั้งหมดด้วยนะ และอย่าให้ admin รู้ (กันตัว admin เอง) คนเฝ้า log เมื่อได้รับมอบหมายมาแล้วก็เปลี่ยนพาสให้หมดและอย่าให้เจ้า Admin มันรู้ ทั้งๆที่มันก็เข้าได้นั่นแหละ 555+ เสร็จแล้ว มาตรการความปลอดภัยทั้งของ Admin เองและตัว คนเฝ้า log คือ ตัว server log หากุญแจมา log ไม่ให้ใครสามารถเปิดได้ ...เท่านี้ก็กันไปได้ เยอะแล้ว ส่วนคนที่ 3 มีหรือไม่มีก็ได้อาจจะใช้คนที่ 2 ก็ได้คือ เมื่อเกิดเรื่อง คดีความขึ้นมา ก็จัดการนำส่ง log ของวันที่ ตร.ต้องการ ให้ดำเนินการต่อ เท่านี้ ก็รอดกันทั้ง 3 แ ล้ว

อย่างที่ 3 log ต้องมีการเข้ารหัส ที่ผมไปอบรมมา คือการเข้ารหัส MD5 ให้เก็บอยู่ในรูปแบบนี้ เป็นหน้าที่ของคนที่ 2 ในการนำส่ง และ ถอดรหัส log ให้กับ ตร. ตอนแรกผมเข้าใจว่าต้องใส่ password ซะอีก
เท่าที่จำได้ก็เท่านี้ก่อนละกันนะครับ จะมาเล่าอีก...




MD5 เข้าได้ทิศทางเดียวถอดกลับไม่ได้
ส่วน phpmyprepaid สามารถเขียนโปรแกรมให้คุมส่วนการ เปลี่ยนรหัสผ่านได้
syslogng มันทำ เข้ารหัสได้หรือครับเห็นเขาใช้กันเยอะเลย ผมดูมันก็ไม่ผ่านอยู๋ดี


MD5 มันถอด รหัสได้ด้วยเหลอ

แหม่ ตาม เว็ปถอดรหัส MD5 มันยังถอด ผิดๆ ถูกๆ อยู่ เลย

juniorx_ray
12-09-2008, 23:46
ผมไม่ได้เป็น นักกฎหมาย แต่เคยไปปรึกษากลับนักกฎหมาย เวลามีเรื่องก็ฟ้องขึ้นศาลกันทุกที สรุปก็ต้องไปพิสูตรกันที่นั้น ถามว่าการกระทำผิดอยู่ข้อไหนเหรอคับ
แล้วเวลาที่มีการตรวจสอบ เคาจะมาตรวจสอบดูข้อมูลส่วนไหนบ้างตำรวจ ประเด็ดที่คุณไปอบลมกันผมว่า เป็นระบบป้องกันไม่ให้ถึงตัวหรือเปล่าคับ ?

ยกตัวอย่างอยู่ 1 เรื่อง

บริษัทแห่งหนึ่งมีการติดตั้ง internet แต่ไม่ได้ให้พนักงานใช้งาน แต่วันนึงมีการกระทำผิดเกิดขึ้น โดยที่ไม่มี log ให้ทางผุ้ตรวจสอบดู ถามว่าพอเกิดเรื่องอย่างนี้เกิดขึ้นก็ต้องขึ้นศาล ถามว่าผิดที่ว่าด้วยไม่ติดตั้ง Log หรือไหม ?
ถ้าคนเป็นทนายเคาก็จะอ้างตั้งแต่ พรบ แล้วคับว่า พรบ ฉะบับนี้หมายถึงผู้ให้บริการ internet ซื่งบริษัท เป็น pv ส่วนตัวนะคับ ( อาจจะไปผิดข้ออื่นแทน ) แล้วก็ไม่ได้ถือว่าเป็นผู้ให้บริการ !!
ละถ้ามีความผิดอื่นก็สู้กันบนศาลต่อนะคับ อาจจะไปโทษพนักงานว่ามีการแอบใช้ internet โดยพาระการ



แต่ส่วนตัวแล้วถ้าเก็บ log ขอให้เก็บให้หมดก็พอครับส่วนเรื่อง admin หรือผู้ดูแลระบบค่อยเมกกันอีกทีละกันถ้ามันจำเป็น ขอไปอ่านเพิ่มเติมในข้อของกฎหมายก่อนนะคับ ช่วงนี้งานเยอร์ - -*
squid กลับ syslog-ng คงจะเก็บหมดแล้วมั้งคับ

chalee
13-09-2008, 00:46
บริษัทแห่งหนึ่งมีการติดตั้ง internet แต่ไม่ได้ให้พนักงานใช้งาน


ตรงนี้คงต้องไปอ่านตีความของคำว่าผู้ให้บริการอินเตอร์เน็ต ว่าคือใครบ้าง ถ้าบริษัท ไม่ได้มีเน็ตไว้เพื่อให้พนักงานใช้ เช่นไว้เชื่อโยงกับ คลัง หรือ บริษัทแม่ แบบนี้ก้ไม่เข้าข่ายผู้ให้บริการอินเตอร์เน็ตอยู่แล้ว แต่อย่างท่านว่า บังเอิญมีพนักงานหัวใสไปแอบเล่นแล้วกระทำความผิด ก็คงไม่ต้อง log หรอกครับ คงหาตัวกันได้... ก็โดนความผิดอย่างท่านว่า...

แล้วส่วนใหญ่ในครับในบอร์ดด ในกระทู้ ที่เดือดร้อนกันก็คือ ผู้ให้บริการร้านเน็ตครับ ที่เค้าพยายามหาทาง ทำให้มันถูกต้อง อีกส่วนของคือ admin ของ องค์การต่างๆ ที่รู้ตัวว่าเป็นผู้ให้บริการเน็ต

ถูกอีกอย่างก็คือ ที่ไปอบรมเพื่อป้องกันตัวเอง นั่นเป็นหัวใจหลักของการเรียก admin ตอนผมไปอบรมเลยครับ วิทยากรบอกเลยงว่า เราต้องหามาตรการ เพื่อป้องกันตัวเองมิให้ถูกคดี นั่นคือทำให้ระบบของเรารัดกุม เช่น การออก user ให้แก่สมาชิก ถ้าท่านสักแต่ว่าอออกแจกไปๆ แล้วเกิดเรื่อง user อ้างได้คับว่า เค้าไม่ได้อันนี้ ไม่ใช่ของเค้า ไหนหลักฐานว่าเค้าได้ user นี้ ทีนี้ใครละครับโดนคดี ก็มิใช้ admin หรอกหรือ แต่.. ถ้าท่านทำบัญชี มารับ user ไปเซ็นชื่อกำกับด้วยนะ ทีนี้เป็นไงครับ admin ปลอดภัย แต่มันไม่ใช่ adminปลอดภัยแล้ว โยนขี้ โยนควมผิดให้คนอื่ซะเมื่อไหร่ละครับ นั่นคือมาตรการความปลอดภัย แล้วทีนี้ ท่านให้เซ้นแล้ว เกิดเรื่องขึ้นมา คิดว่าแค่นี้จะพ้นผิดเหรอครับ ยังหรอก user หัวหมอคนนี้ บอกอีก ว่า pass ที่เค้าได้มา admin กะ เค้ารู้กัน 2 คนนิ Admin อาจกลั่นแกล้งเค้าโดยการให้ pass เค้าแกคนอื่นไปโพส ก็ได้.. ทีนี้ทำไงละคับ admin โดนอีก ... แต่ถ้าท่านมีระบบให้ user เปลี่ยนพาสได้เอง ได้พาสไป เซ้นชื่อกำกับ และมีมาตรการบอกไปด้วยว่า จะ จะต้องเปลี่ยนรหัสผ่าน .... ถ้าท่านคิดว่านี้คือการปัดความผิด การเอาตัวรอดของ admin หรือ... หรือว่ามันเป็นการทำให้ระบบมีความน่าเชื่อถือ user ทุกคนรู้สึกถึงความปลอดภัยใน user pass ของตัวเอง มากกว่ากันละครับ

ผมแค่ยกตัวอย่างเดียวนะ เรื่องการรับ user pass

songwut
13-09-2008, 19:10
ทำไมเขาไม่ใช้ One time password ครับ

เรื่องง่ายกลายเป็นยากไปเลย

chalee
13-09-2008, 19:57
ทำไมเขาไม่ใช้ One time password ครับ

เรื่องง่ายกลายเป็นยากไปเลย




อะไรอีกละครับท่าน เจ้า One time password เนี๋ย เพิ่งเคยได้ยินอีกแระผม
http://www.thaicert.org/paper/authen/authentication_guide.php

nut_kkc
13-09-2008, 20:16
แสดงว่ารหัสผ่านที่อยู่ใน db จะต้องเข้ารหัส ?
admin จะได้ไม่รู้หากเปลี่ยนไปแล้ว

chalee
13-09-2008, 22:51
แสดงว่ารหัสผ่านที่อยู่ใน db จะต้องเข้ารหัส ?
admin จะได้ไม่รู้หากเปลี่ยนไปแล้ว


ก็เข้า md5 ซักหน่อยดูด้วยตาก้ไม่สามารถรู้ได้ในเบื้อต้นแล้วนะผมว่า แต่จริงๆ แล้ว Admin ท่าจะดูมันก็ดูได้หมดแหละครับ แต่มีมาตรการไว้ก็เพื่อประมาณว่า เฮ้ย user แก เปลี่ยนรหัสเองนะ แกรู้คนเดียว ฉันไม่ได้ไปรู้พาสแก เกิดเรื่องขึ้นมา จะมาโบ้ยฉันไม่ได้นะ ....อุอุ

nut_kkc
17-09-2008, 16:04
แสดงว่ารหัสผ่านที่อยู่ใน db จะต้องเข้ารหัส ?
admin จะได้ไม่รู้หากเปลี่ยนไปแล้ว


ก็เข้า md5 ซักหน่อยดูด้วยตาก้ไม่สามารถรู้ได้ในเบื้อต้นแล้วนะผมว่า แต่จริงๆ แล้ว Admin ท่าจะดูมันก็ดูได้หมดแหละครับ แต่มีมาตรการไว้ก็เพื่อประมาณว่า เฮ้ย user แก เปลี่ยนรหัสเองนะ แกรู้คนเดียว ฉันไม่ได้ไปรู้พาสแก เกิดเรื่องขึ้นมา จะมาโบ้ยฉันไม่ได้นะ ....อุอุ


อาจจะต้องเปลี่ยน โครงสร้าง login ใหม่ดังนี้
user : xxx , pass : asdj29 < gen แบบ auto
ในตารางเพิ่ม isCheckPasss เก็บ 0 กับ 1
ในหน้า login หน้าเว็บ ตรวจสอบก่อนเลยว่าเป็น 0 หรือไม่หากใช่ ให้เด้งไปหน้าเปลี่ยนรหัสผ่าน
บังคับ เมื่อเปลี่ยนแล้วก็กำหนดเป็น 1 แล้วก็ไม่ต้องถามอีก
ส่วนตัวคิดว่าทำได้ครับ เดียวจะลองทำดู ว่าจะได้ไหมคับ

j_vung
21-09-2008, 15:45
ผมคนหนึ่งที่อบรมกับอาจารย์บุญลือ เรื่อง serverlog ตอนนี้ได้ทำการติดตั้ง server ทั้งสองเครื่องแล้ว สามารถส่ง loglile ประเภท squidlog ftplog sshlog httplogได้ ยกเว้น freeradius+chillispot+phpmyprepaid ซึ่งได้ทำตามคุณ chalee ได้แนะนำไว้ ไม่สามารถรับส่ง logfile ได้ ครับ ไม่ทราบว่า เพื่อน ๆ มีปัญหาอย่างผมหรือเปล่า ขอความอนุเคราะห์ คุณ chalee และผู้รู้แจ้งเห็นจริง ช่วยแนะนำด้วยครับ ?????????

independent
24-09-2008, 09:18
ข้อมูลที่ใช้ในวง LAN จำเป็นต้องเก็บ log มั้ยครับ

เพราะผมทำ VPN ด้วย