another Thai service disaster, but saved by someone really good

edit: 11 ก.ค. 2551 - ทุกสิ่งทุกอย่างมีข้อดีข้อเสีย ทุกคนไม่ใช่ดีไปหมด เสียไปหมด ตั้งแต่วันนั้นจนถึงวันนี้ ผมคงต้องยอมรับว่า jaideehosting มีข้อดี มากกว่าข้อเสียเยอะ คิดอยู่ว่าจะลบข้อความข้างล่างนี้ทิ้ง เพราะรู้สึกว่าอาจจะไม่ยุติธรรมสำหรับ jaideehosting แต่ว่ากลับมาอ่านอีกครั้ง ก็พบว่า ผมไม่ได้บิดเบือนความจริงอะไรเลย ข้อดีก็มี ข้อเสียก็มี แต่อย่างที่บอก ข้อดีมากกว่าข้อเสียมาก ก็ขอทิ้งเนื้อหาไว้เท่านี้แล้วกัน

ผมมีโอกาสได้ใช้บริการ tech support ของ jaideehosting.com ในการทำเวปไซต์ของลูกค้าสำคัญรายหนึ่ง การโต้ตอบกันทางอีเมล์ระหว่างผมกับ support รวมระยะเวลาสองวัน ตั้งแต่วันที่ 6 จนถึงวันที่ 8 มกราคม 2551

ก่อนที่ tech (หรือหัวหน้าใหญ่?) มาตอบคนสุดท้าย ผมกำลังหา web hosting ใหม่อยู่ เพราะการบริการของ jaideehosting ทำให้ผมรู้สึกเหมือนโดนตบหน้า แถมกระทืบซ้ำอีกต่อหนึ่ง โชคดีที่คนตอบคนสุดท้ายเข้ามาช่วยไว้ได้ทัน… เฮ้อ… หรือว่าผมลืมวิธีทำงานแบบคนไทยไปแล้วจริงๆ จนทำให้เกิดปัญหานี้?

ดูอีเมล์โต้ตอบทั้งหมดได้ โดยไม่มีการตัดต่อแม้แต่นิดเดียว(นอกจากชื่อ web ที่ไม่เกี่ยว) สังเกตุว่าผมใช้ชื่อจริง นามสกุลจริงตลอดเวลา ในขณะที่อีกฝ่ายแสดงตนเป็นแค่ support สลับหน้ากันไป มาทั้งครับ และ ค่ะ เข้าใจว่าบริษัทคงจะเล็ก ทำงานกันในห้องเดียวหรืออย่างไร เหมือนว่าทั้งแผนก หรือทั้งบริษัทจะรู้จักไอ้ตัวปัญหานี้ (ผมเอง) เป็นอย่างดี

From: Pornpat Cheeweewat [mailto:eton@enaweb.com]
Sent: Saturday, January 05, 2008 11:59 PM
To: support@jaideehosting.com
Subject: edu.com

สวัสดีครับ

ผมต้องการจะลง Joomla ใน account edu.com ที่ผมเป็น admin อยู่ แต่ปรากฏว่า จำเป็นต้อง CHMOD หลาย folders เป็น 777 จะแก้ไขปัญหาอย่างไรครับ?

ไม่ทราบว่าจะเปลี่ยน php safe mode เป็น off ได้หรือไม่?

ขอบคุณครับ

พรภัฏ ชีวีวัฒน์
edu.com administrator

On 6 ม.ค. 2551, at 16:02, JaideeHosting Support wrote:

สวัสดีครับ

ผมต้องการจะลง Joomla ใน account eduedu.com ที่ผมเป็น admin อยู่ แต่ปรากฏว่า จำเป็นต้อง CHMOD หลาย folders เป็น 777 จะแก้ไขปัญหาอย่างไรครับ?
A: ดูตามคู่มือนะครับ http://www.jaideehosting.com/user-manual

ไม่ทราบว่าจะเปลี่ยน php safe mode เป็น off ได้หรือไม่?
A: ดำเนินการเรียบร้อยแล้วครับ

ปล เรามีปริการลงให้ฟรีครับ จะได้ไม่มีปัญหาการใช้งาน ครับ

ขอบคุณครับ

From: Pornpat Cheeweewat [mailto:eton@enaweb.com]
Sent: Sunday, January 06, 2008 4:22 PM
To: JaideeHosting Support
Subject: Re: edu.com
Importance: High

ขอบคุณครับ

พอดีว่าไม่อยากให้มันเป็น 777 น่ะครับ อยากให้เป็น 755 แต่พอเป็น 755 ปรากฏว่าไม่สามารถแก้ไขเปลี่ยนแปลงอะไรได้ในหน้า admin ของ joomla เอง

ถ้าจะให้ทาง jaidee ลงให้ก็ดีครับ ช่วยลงให้ใน directory ชื่อ edu ก็ได้ ในอนาคตจะทำเป็นเวปหลักของ edu.com แทนของเดิมที่มีอยู่

ขอบคุณครับ

พรภัฏ ชีวีวัฒน์

On 7 ม.ค. 2551, at 13:30, JaideeHosting Support wrote:

เหมือนจะมีการติดตั้งไว้แล้วที่ folder http://edu.com/edu/

ตกลงต้องการที่จะให้ลงอีกหรือไม่ครับ

ขอบคุณครับ

From: Pornpat Cheeweewat [mailto:eton@enaweb.com]
Sent: Monday, January 07, 2008 1:44 PM
To: JaideeHosting Support
Subject: Re: edu.com
Importance: High

ติดตั้งแล้วครับ แต่ว่าผมไม่อยากเซ็ทให้ไฟล์และโฟลเดอร์หลายไฟล์ให้ permission เป็น 777 อยากให้เป็น 755
แต่พอเป็น 755 (หรือแม้กระทั้ง 775) แล้ว Joomla backend ไม่สามารถ แก้ไขอะไรได้เพราะว่าไม่ได้เป็นเจ้าของ folder นี้

ตอนนี้จริงๆ setup ่Joomla และ database ไว้แล้ว เหลือแต่ปัญหา ownership เท่านั้น จะแก้อย่างไรดีครับ

ขอบคุณ

พรภัฏ ชีวีวัฒน์

On 7 ม.ค. 2551, at 16:32, JaideeHosting Support wrote:

เข้าไปที่ control panel หรือ ใช้ program ftp เปลี่ยนก็ได้ครับ

ส่วน ownership ผิดเนี่ยน่าจะเกิดจาก install โปรแกรมผิดนะครับ

ขอบคุณครับ

From: Pornpat Cheeweewat [mailto:eton@enaweb.com]
Sent: Tuesday, January 08, 2008 3:46 AM
To: JaideeHosting Support
Subject: Re: edu.com

แล้วอย่างนี้วิธีแก้ปัญหาที่ง่าย และรวดเร็วที่สุดจะเป็นอย่างไร กรุณาแนะนำด้วยครับ

เท่าที่ลองหาข้อมูลดู ได้ความดังนี้

My ownership is set to the user running the webserver process, as per the Joomla installation documents.

Assuming you’re on a POSIX based server such as linux, then you find out the name of the user who is running the webserver process and chown -R everything in the directory to that user.

As an example, you might find that the apache or httpd process is owned by the user ‘www’ or ‘nobody’ or ‘your username on the server’.

So, chown -R www:www (for example)

ถ้าจะให้ช่วย เปลี่ยน ownership ของโฟลเดอร์ edu เป็น user ที่ run webserver process จะได้หรือไม่ เพราะดูเหมือนว่าจะเป็นทางแก้ที่เร็วที่สุด

ถ้าไม่ได้ ช่วยลง Joomla ให้ใหม่เลยแล้วกันครับ ใน directory ชื่อ edu ก็ได้

ขอบคุณ

พรภัฏ ชีวีวัฒน์

On 8 ม.ค. 2551, at 10:35, Support @ jaideehosting.com wrote:

สวัสดีค่ะ
โดเมนเนม edu.com

ติดตั้ง joomla ให้เรียบร้อยแล้วนะคะ
รายละเอียดในการใช้งานมีดังต่อไปนี้

-ในส่วนของการใช้งาน
ให้ไปที่ http://www.edu.com/edu/

-ในส่วนของการใช้งาน ของ Administrator
ให้ไปที่ http://www.edu.com/edu/admin/
Username : dubious
Password : ๕๕๕

-ในส่วนของ Database
Database Name: edujoomla
Database Username: dubious
Database Password: ๒๒๒

ขอบคุณค่ะ
Jaideehosting

From: Pornpat Cheeweewat [mailto:eton@enaweb.com]
Sent: Tuesday, January 08, 2008 10:46 AM
To: Support @ jaideehosting.com
Subject: Re: edu.com

ขอบคุณครับ ที่ติดตั้ง Joomla ให้

แต่ว่าที่ติดตั้งให้มันก็ยังมีปัญหาเดิมเหมือนกับที่ผมติดตั้งเอง ไม่ต่างกันเลย คือคุณ set permission เป็น 777 ไม่ใช่ 755 ซึ่ง 777 อันตรายเกินไปสำหรับเวปไซต์ เพราะว่าใครๆก็เขียน อ่าน หรือลบ folder ได้

เวปไซต์ edu นี้จะเป็นเวป e-commerce ที่ต้องการ security สูงครับ ขอความกรุณาช่วยดูตรงนี้ด้วย

ไม่ทราบพอจะทำตาม ที่ได้หาข้อมูลมาได้หรือไม่

My ownership is set to the user running the webserver process, as per the Joomla installation documents.

Assuming you’re on a POSIX based server such as linux, then you find out the name of the user who is running the webserver process and chown -R everything in the directory to that user.

As an example, you might find that the apache or httpd process is owned by the user ‘www’ or ‘nobody’ or ‘your username on the server’.

So, chown -R www:www (for example)

ขอบคุณครับ

พรภัฏ ชีวีวัฒน์

On 8 ม.ค. 2551, at 12:41, Support - JaideeHosting.com wrote:

แล้วถ้าไม่เปลี่ยนเป็น 777 คุณจะ install component ได้ยังไงครับ อันนนี้เป็น requirement ของ joomla นะครับ

ขอบคุณครับ

From: Support - JaideeHosting.com [mailto:support@jaideehosting.com]
Sent: Tuesday, January 08, 2008 12:43 PM
To: ‘Pornpat Cheeweewat’
Cc: ’support@chaiyohosting.com’
Subject: RE: edu.com
Importance: High

ถ้าต้องการ security สูงพอลงโปรแกรมเสร็จคุณก็เปลี่ยน เป็น 755 เหมือนเดิม พอต้องการลงอะไรค่อยเปลี่ยนกลับ

อันนี้เป็น standard สุดแล้วครับ

ขอบคุณครับ

From: Pornpat Cheeweewat [mailto:eton@enaweb.com]
Sent: Tuesday, January 08, 2008 1:03 PM
To: Support - JaideeHosting.com
Subject: Re: edu.com

ผมลงเป็น admin ของ joomla ทั้งหมดสิบห้าเวปไซต์ ไม่เคยต้อง set ให้เป็น 777 เลย มีแต่host ของ jaideehosting นี่ครั้งแรกที่ผมต้อง set ให้เป็น 777
ดูตัวอย่างเวปทั้งหมดของผมที่ ผมเป็น admin ได้โดยที่ไม่ต้อง set เป็น 777

www.***ny.org
www.***apod.com
www.***sion.org
www.***rols.com
www.***rnyc.org
และอีกเป็นสิบที่ทำแบบเดียวกัน มาเป็นปี ไม่มี folder ไหนที่ต้องเป็น 777 แถม configuration.php ยังเป็น 644 ด้วยซ้ำ

777 ไม่เคยเป็น requirement ของ Joomla ถ้า ownership ของ directory ถูกต้องเพียงแค่ 755 ก็พอแล้ว แม้กระทั่งในคู่มือของ joomla เองยังบอกว่าควรเซ็ทเป็น 755 และ 644 ในตัวที่ไม่ต้องการเปลี่ยนอะไรเลย

ถ้าทุกครั้งที่จะต้องการเปลี่่ยนแปลงอะไรใน joomla ลูกค้าของผมต้องติดต่อผมเพื่อให้ผมเปลี่ยน permission เป็น 777 ทุกครั้งมันก็ไม่ใช่เรื่องไม่ใช่เหรอครับ ผมต้องการลง joomla ให้ใช้งานได้สะดวกและปลอดภัยที่สุดสำหรับลูกค้าของผม ไม่ใช่ทำให้พอใช้ได้ แล้วก็ปล่อยเขาไปจัดการกันเอาเอง

ผมต้องการแก้ปัญหาครับ ไม่ได้ต้องการอวดเบ่งความรู้ หรือจะมาชวนทะเลาะ กรุณาอย่าตอบแบบขอไปที ถ้าตอบไม่ได้ก็บอกว่าไม่รู้ จะได้ช่วยกันแก้ปัญหา หาคำตอบมาช่วยกันได้ คนเราแต่ละคนไม่ได้รู้ไปซะทุกอย่างหรอกครับ อย่าตอบมาแบบไม่ได้หาข้อมูล

ตอนนี้ผมกำลังขอข้อมูลกับทางผู้รู้เกี่ยวกับ apache และ linux อยู่ ถ้าได้เรื่องอย่างไรแล้วจะบอกอีกครั้ง

ขอบคุณครับ

พรภัฏ ชีวีวัฒน์

On 8 ม.ค. 2551, at 15:54, Support - JaideeHosting.com wrote:

งั้น plesk คงไม่ support ครับ ติดต่อ billing@jaideehosting.com เพื่อขอคืนเงินได้ครับ

ถ้าผมต้องไปเปลี่ยน owner ให้กับลูกค้าทุกคน คงไม่สะดวกครับ

ขอบคุณครับ

On 8 ม.ค. 2551, at 22:47, Support - JaideeHosting.com wrote:

สวัสดีครับ

ผมชื่อ อนุพงษ์ นะครับ

ผมขอสอบถามเพิ่มเติมนะครับ เพื่อเป็นการประดับความรู้ ซึ่งตัวผมเองเป็นผู้ที่ชื่นชอบ joomla และ linux มากคนหนึ่ง ซึ่งความปลอดภัยของ server เป็นสิ่งที่ admin ทุกคนต้องการที่สุด และไม่ต้องการที่จะอวดความรู้ แต่ต้องการทำความเข้าใจ หรือหาความรู้เพิ่มเติม

อีเมล์ของคุณก่อนหน้านี้นะครับ

chown -R www:www (for example)

ผมขอ อธิบาย ระบบ file system ของ linux นะครับ

file_name xwr xrw xrw

xwr ชุดแรก คือ owner ของ file มีสิทธิในการเป็นเจ้าของ
xwr ชุดที่สองคือ group มีสิทธิจัดการ file ถ้า right เป็นของ group เดียวกัน
xwr ชุดที่สามคือ world มีสิทธิที่จะจัดการ ได้ ชุดนี้ default จะเป็น r อ่านได้อย่างเดียว

เครื่อง server ที่คุณใช้ folder เป็น 755 หมายความว่า
xwr x r x r

owner (apache หรือ www) มีสิทธิที่จะเขียนได้ ลบได้ ครับ

ต่อมาเรามาพูดถึง apache นะครับ
Apache หรือ เว็บ server ที่โดยปรกติแล้ว นั้นจะอยู่ใน group ชื่อ apache หรือ www ขึ้นอยู่กับ lilux ต่าง distro หรือ admin แต่ละคนใช้ชื่อไม่เหมือนกัน

เพราะฉะนั้นการที่เราไปเปลี่ยนความเป็นเจ้าของของ file ให้ไปอยู่หรือถูกจัดการโดย apache นั้น แล้วทำให้ file หรือ folder นั้นๆ ไม่ต้องถูกแก้ไข permission

ความปลอดภัย ก็ไม่ได้แตกต่างจากการที่คุณทำให้ file หรือ folder เป็น 777 เลยแม้แต่น้อย แม้ว่า file เพราะในเมื่อเจ้าของที่แท้จริงของไฟล์คือ apache ซึ่งหมายความว่าใครจะทำอะไรก็ได้ ไม่เชื่อคุณลองไปเปลี่ยน permission เป็น 700 เว็บของคุณก็ยังสามารถ เขียน ลบ แก้ไขได้ ครับ

ขออภัยในความไม่สะดวก แต่ผมยังเห็นว่า ระบบ ของ jaideehosting ยังปลอดภัยกว่าที่ คุณเคยใช้มาถ้าคุณลง joomla แล้วเปลี่ยน permission เป็น 755 (folder) ครับ

คุณคิดว่ายังไงครับ

ขอบคุณครับ
อนุพงษ์

On 8 ม.ค. 2551, at 23:24, Support - Pornpat Cheeweewat wrote:

สวัสดีครับคุณอนุพงษ์

ขอบคุณมากๆครับ ที่ตอบคำถามให้อย่างดี ใจเย็น และมีเหตุผล อย่างที่ผมบอกทาง tech ของคุณไปแล้วว่าผมไม่ได้มีความรู้เรื่อง linux หรือ apache ดีพอ ผมต้องไปถามจากผู้รู้อีกทอดหนึ่ง ขอบคุณมากที่เข้าใจความต้องการของผม ผมไม่ได้อยากจะกวนอารมณ์ใครเลยจริงๆ แต่ไม่ทราบทำไมคำพูดตรงไปตรงมาของผม เหมือนกับจะทำให้ tech support โกรธผม ถ้าเข้าใจอะไรผิดไปก็ขอโทษมา ณ ที่นี้ด้วย

ปัญหาของผมอย่างเดียวคือต้องการทำให้เวปไซต์ของลูกค้าผม secure มากที่สุด ผมแค่ต้องการตรงนี้เท่านั้น ด้วยความรู้ linux หางอึ่งของผม เข้าใจว่า 777 เหมือนกับเปิดให้ world สามารถทำอะไรกับ folder นั้นๆก็ได้ ถ้าสามารถเอาสคริปมารันใน folder นั้นได้ ผมจึงกังวลว่าถ้าผมจำเป็นต้องเปิด folders บางอันให้เป็น 777 จริงๆ จะเกิดปัญหาโดน hack หรือไม่

ตามประสบการณ์ Joomla ของผมนั้น เคยโดน hack แม้กระทั่ง permission เป็น 755 เพราะ component บางตัวที่ลงไปมีรูรั่ว

จะหาว่าผมขี้กลัวไปเองก็ได้ แต่ผมไม่ค่อยอยากได้รับโทรศัพท์ตอนตีสามเพราะว่าเวปลูกค้าผมโดน hack (เคยโดนจริงๆ เพราะลูกค้าดันอยู่อเมริกา โทรมาหาตอนทางโน้นบ่ายสาม)

ตามที่คุณอนุพงษ์บอก ถ้านำมาใช้กับกรณีของผม ผมควรจะทำอย่างไรครับ ผมควรจะเปิดเฉพาะ cache, media, images folders ให้เป็น 777 หลังจากส่งมอบงานให้กับลูกค้าใช่หรือไม่ แล้ว folders อื่นให้เปลี่ยนเป็น 755? ช่วยแนะนำด้วยครับ

ขอบคุณมาก

พรภัฏ ชีวีวัฒน์

ปล. ถ้าทาง support บอกชื่อด้วยเวลาอีเมล์ น่าจะดีนะครับ รู้สึกเป็นกันเอง เป็นตัวเป็นตน แค่ชื่อไม่ต้องนามสกุลก็ยังดี หรือมั่วชื่อมาก็ได้ ลูกค้าจะได้รู้สึกดีขึ้น