System Engineer Jobs

รับสมัคร System Engineer รายละเอียดดังนี้ครับ
สนใจส่ง Resume มาที่ ton350d [at] gmail.com
สอบถามเพิ่มเติม +66868885195 (Ton)

Responsibilities
– Participate in the design, implementation and ongoing management of systems architectures that form the foundation for Weloveshopping.com production infrastructure
– Participate in the design of architectures and automation that deliver against strict requirements for functionality, scalability, performance and reliability
– Become proficient in understanding how each software component, system design, and configuration is linked together to form an end-to-end solution
– Serve in a low-volume on-call rotation as an escalation contact during incidents.

Requirements
– BS or MS degree in Computer Science, Engineering, related technical discipline, or equivalent experience
– Minimum of 3 years administering Linux systems in a production environment
– Proven ability to quickly learn and implement unfamiliar technologies
– Extensive expertise with configuration management systems
cfengine experience a plus
– Configuration and maintenance of common applications such as Apache, Nginx, Varnish, Memcached, noSQL, MySQL, NFS, DHCP, NTP, SSH, DNS, and SNMP
– Strong knowledge of Linux kernel configuration, performance monitoring, and tuning
– Advanced experience coding in one of the following languages: Shell, Python or Perl
– Prefer experience coding and/or debugging one or more of the following: PHP, C++ or Ruby
– Experience working with load balancing technologies and large-scale web server farms
– A strong background in internet service deployment, provisioning, IP networking, service infrastructure, or software deployments
– Excellent organization skills, project tracking abilities, communications skills
– Detail oriented with excellent written and verbal communication skills.

Anti DDoS

ไม่ได้เขียน blog มาหลายวัน เพราะว่าช่วงนี้ งานเข้าหนักเหมือนกัน วุ่นทั้ง week
วันนี้ก็เลยมาเขียนเล่าประสบการณ์เกี่ยวกับการดูระบบ Web Server ขนาดใหญ่ๆ
ว่าเราจะสามารถป้องกัน DDoS Attack (Distributed Denial-of-Service Attack)
ได้อย่างไร ต้องออกแบบ Infrastructure ของระบบ Network และ Server อย่างไร
และมีวิธีการ tuning Web Server อย่างไรให้รองรับ load, connection และ BW
จำนวนมากที่เข้ามาพร้อมกันในเวลาเดียวกันได้อย่างไร โดยที่ไม่กระทบต่อการใช้งาน
ของผู้ใช้งานจริงๆ และเว็บสามารถเข้าถึงได้เร็วเหมือนเดิม ..

ส่วนแรก ในส่วนของ Network Infrastructure กันก่อน คนทั่วไปมักคิดว่าการที่
มี Firewall มาวางหน้าสุด จะช่วยป้องกันการ attack ต่างๆ ได้ ซึ่งในความเป็นจริง
แล้ว Firewall ปกติที่ไม่ใช่ IDS, IPS จะไม่สามารถทำอะไรตรงนี้ได้มากนัก หน้าที่
ของมันก็แค่ทำการแบ่ง zone ของ server ออกจากกัน ภายในเท่านั้น ..
Firewall ก็คือ hardware ที่ spec ไม่ได้สูงอะไรมากมายนัก server หลายๆ ตัวที่ใช้กัน
ยังมี spec สูงกว่า Firewall ก็คือการเอาพวก Linux ที่ทำการ optimize แล้วมาทำ
ซึ่งอาจจะออกแบบให้มี GUI ที่ใช้งานง่าย ซึ่งจริงๆ มันก็คือ iptables, IPFW นั่นเอง
อีกอย่างคนทั่วไปมองว่า Firewall กันการโดน hack ได้ อันนี้ก็ยิ่งไม่เป็นความจริง
เพราะว่าการ hack สมัยนี้กว่า 98% มาจากความผิดพลาดของ web application
ตรงส่วนนี้ถ้าเป็น IPS ก็จะสามารถตรวจสอบได้ในระดับนึง แต่ก็อย่างที่กล่าวไว้ข้างต้น
พวกนี้ก็เป็น hardware ตัวนึงธรรมดา ถ้าจะให้รับ traffic หนักๆ มากพวกนี้ก็ทำงาน
ไม่ไหวเหมือนกัน ยิ่งพวกที่เป็น Box ขายกัน ราคาแต่ละยี่ห้อไม่ต้องพูดถึง แพงมาก
ซึ่งแนวทางออกของเว็บใหญ่ๆ ของโลกเช่น Google, Facebook, Yahoo, YouTube
จะเน้นการกระจาย load กระจาย traffic ออกไปให้ได้มากที่สุด โดยเน้นจำนวน server
ให้มีจำนวนมากเข้าไว้ แล้วก็ทำการ tuning kernel และทำ Firewall limit packet
ภายใน server แต่ละเครื่อง โดย hop ข้างหน้ามีเพียง Load Balance เป็นตัวแจก load
เท่านั้น ไม่ได้มาผ่านอะไรหลายๆ hop ทำให้ผู้ใช้งานเข้าถึงได้รวดเร็ว และป้องกันปัญหา
เรื่อง DDoS Attack ได้เป็นอย่างดี .. จากประสบการณ์ที่เคยคุยกับพี่กุ๊ก ที่ดูระบบเว็บ
ขนาดใหญ่มากในต่างประเทศ (ไม่ขอเปิดเผยชื่อเว็บ) เค้าเจอ DDoS Attack มาทีนึง
traffic 4GB/s ซึ่งถ้าเป็นบ้านเราคงพังทั้ง ISP แต่ระบบเค้าก็สามารถรับได้ เพราะว่ามี
BW ขาเข้าที่พอเพียง และมีจำนวน server หลายพันเครื่อง ไม่ต้องใช้ Box ราคาแพง
ต่างๆ ที่หลอกขายกันอยู่ในปัจจุบัน ..

ส่วนที่สอง ในส่วนของ Web Server โดยปกติถ้าเราลง OS ธรรมดา ลง Software ปกติ
มักจะเป็นค่า default ที่ออกแบบมาให้ใช้ได้กับทุกเครื่อง ตรงนี้บางทีเครื่องเรา spec สูง
เราก็ต้องปรับแต่งให้เข้ากับ hardware ของเรา เรียกว่าต้องรีดประสิทธิภาพให้ได้มากที่สุด
ซึ่งเรื่องพวกนี้ต้องทดลองปรับแต่ง tuning กัน ยิ่งทำมากยิ่งมีประสบการณ์มาก เริ่มตั้งแต่
tuning ค่าต่างๆ ของ Web Server เช่น Apache ให้ทำงานได้มีประสิทธิภาพ เหมาะกับงาน
ที่ทำ  tuning sysctl ที่เป็น parameter ของ kernel ตรงนี้ ต้อง advance นิดนึง เพราะมีผล
อย่างมากในการรีดพลังของ OS และ hardware ที่เรามีอยู่ ตรงนี้ผมจะพูดละเอียดอีกที ..
ตรงส่วนของ Web Server นั้น สมัยนี้มี หลายๆ ตัวที่ทำออกมาแล้วทำงานเบา กว่า Apache
เช่น lighttpd , nginx, cherokee, zeus และอื่นๆ อีกหลายๆ ตัว แต่การนำมาใช้งาน
ต้อง test ให้ละเอียดรอบคอบก่อนว่าจะมาใช้แทน Apache ได้ทั้งหมด แล้ว benchmark
ดู performance เทียบกับระบบเดิมว่า ดีกว่าขนาดไหน ในด้านไหนบ้าง ค่อยเปลี่ยนมาใช้ ..

ส่วนที่สาม ส่วนนี้สำคัญมากที่สุด ก็คือส่วนของ web application เอง ซึ่งมีเทคนิคต่างๆ
เป็นจำนวนมาก ให้ code ที่เขียนทำงานได้เบา และมีประสิทธิภาพ ตรงส่วนนี้ เวลาเขียน
ต้องทำการทดสอบ ตรวจสอบ ว่าทำงานหนักไหม มี query ที่ทำให้ DB หนักหรือเปล่า
ตรงนี้สำคัญมาก โดยเฉพาะเว็บใหญ่ๆ ที่คนเข้าใช้งานจำนวนมาก ถ้า code ทำงานหนัก
ก็จะทำให้เข้าถึงได้ช้า server มี load ตรงนี้ก็ต้องหาวิธีทดสอบและ benchmark โปรแกรม
ก่อนที่จะขึ้นใช้งานจริง หรือถ้าใช้งานไปแล้วมีปัญหา ก็ต้องหา solutions ในการแก้ไข
ที่จะทำให้มีประสิทธิภาพที่สุดต่อไป และเลือกใช้เทคโนโลยี่ที่เหมาะสม ..

ที่พูดมาทั้งหมด ก็เป็นวิธีการเบื้องต้นที่จะทำให้เว็บมีประสิทธิภาพ เข้าถึงได้เร็ว และป้องกัน
DDoS Attack และป้องการการโจมตีในรูปแบบต่างๆ ..
หัวใจหลักของเว็บ ก็คือ “ผู้ใช้เข้าถึงข้อมูลที่ต้องการได้เร็ว และข้อมูลมีคุณภาพตรงตามต้องการ”

ข้อมูลอ้างอิง  http://highscalability.com/

Web Security Upload File

Web Security

http://zone-h.org ยังเคยโดน hack แล้วจะเอาอะไรกับเว็บไทย

สวัสดีครับ ช่วงนี้ผมเองวุ่นๆ มาก งานเข้ามากมาย ก็ต้องค่อยๆ แกป้ญหากันไปครับ ..
ยิ่งเจอปัญหายากๆ ย่ิงสนุก จะทำให้เรากล้าแกร่ง และมีประสบการณ์ ขอบคุณปัญหา

วันนี้มีเรื่อง web security มาพูดกันสักนิดนึงครับ 98% ของการ hack web ในปัจจุบัน
มาจากความผิดพลาดของ web application หรือพูดกันแบบบ้านๆ ก็คือ program
ที่เขียนมีจุดอ่อน ทำให้ hacker สามารถใช้ช่องโหว่เข้ามาโจมตีและลักลอบขโมยข้อมูล
ไปได้ ไม่ว่าจะเป็นวิธี injection, cross site script ที่หนักสุดก็คือ upload php shell ..
Injection คือการใช้จุดอ่อนในการเขียน sql เข้ามากระทำต่างๆ กับ database
Cross site script คือการส่ง parameter ต่างๆ ที่สามารถทำงานที่ต้องการผ่าน script
PHP Shell คือ file php เพียง 1 file ที่ upload ขึ้นไปแล้วสามารถทำอะไรก็ได้บน server

สำหรับผมเองจะ stick กับเรื่องพวกนี้มาก เพราะว่าถ้าปล่อยให้หลุดไป ปัญหามันแก้กัน
ลำบาก ไม่รู้ว่ามีคนแอบเอา PHP Shell ไปวางไว้ตรงไหนบ้าง อะไรแบบนี้ file บน server
มีเป็นจำนวนมาก ไล่หาคงไม่เจอแน่ๆ ซึ่งถ้าโดนเข้าไปแล้ว ต่อให้ลง server ใหม่ก็ไม่หาย
เว็บไทย ส่วนใหญ่ไม่ค่อยสนใจเรื่องพวกนี้ ทำให้เว็บใหญ่ๆ ดังๆ หลายที่มีข่าวว่าโดน hack ..

สำหรับท่านที่เป็นโปรแกรมเมอร์ ผมมีวิธีแนะนำในการตรวจสอบและป้องกันง่ายๆ ก่อนที่จะ
upload file ขึ้น server ให้ test ต่างๆ ประมาณนี้ ก็จะทำให้มั่นใจว่าปลอดภัยระดับหนึ่ง ..
1.กรองการส่งค่าแบบ GET เข้ามาทาง URL และอย่าลืมทำการ addslashes() ค่าที่รับมา
ก่อนทุกครั้ง เพื่อป้องการการ injection และการ cross site script
2.อันนี้สำคัญมากคือพวกโปรแกรมที่ปล่อยให้ upload file ขึ้นมาบน server ได้ เท่าที่พบ
บ่อยที่สุด ก็คือพวกประกวดรูปภาพ แล้วให้คนมาโหวต ผมยังไม่เห็นเว็บไหนที่โกงไม่ได้
เพราะว่าพวกที่จะ hack ก็จ้องอยู่แล้วว่าเมื่อไรจะมี event พวกนี้ จะได้ส่งไปโหวตบ้างได้ของ
วิธีการปั่นโหวต ก็มีสารพัดวิธี แล้วแต่ใครถนัด แต่ก็ยังมีอีกพวก ที่ไม่ชอบปั่นแต่ hard core
คือ hack เข้าไปที่เว็บนั้นๆ เลย วิธีการก็โดยการพยายาม upload PHP Shell ขึ้นไป
ในเมื่อเว็บมีที่ให้ upload อยู่แล้ว การจะ upfile ขึ้นไป ก็ไม่ใช่เรื่องยากเท่าไรนัก ในมุมมอง
ของโปรแกรมเมอร์ อาจจะคิดว่าทำทุกอย่าง กันทุกอย่างแล้ว จะ upload เข้ามาได้อย่างไร
แต่อย่าลืมว่า hacker คือคนที่รู้และมีประสบการณ์ เรื่องพวกนี้ดีกว่า จุดอ่อนและวิธีการ
มีสารพัดวิธี แล้วแต่ใครถนัด ขนาดใช้ MySQL upload file ยังสามารถทำได้เลย ..
ที่จะแนะนำก็คือ ให้เชคให้ละเอียดว่า file ที่ให้ upload เป็น images ที่ไม่เป็นอันตราย
ไม่ใช่ check แค่ extensions หรือใช้ $_FILES เพราะว่าพวกนี้ปลอม header เข้ามาได้
ให้ใช้ getimagesize() แทนจะแน่นอนกว่า สำหรับตัวอย่างสามารถหาดูได้ที่
URL :
http://php.net/manual/en/function.getimagesize.php

ปล.วันนี้มาเขียนแค่นี้ก่อนครับ วันหลังเดี๋ยวมาเขียนต่อ รอติดตามกันนะครับ 🙂