Developer Guide
5 นาที

วิธีแชร์ SSH Key และ Certificate กับทีมอย่างปลอดภัย

SSH key ให้สิทธิ์เข้าถึงเซิร์ฟเวอร์เต็มรูปแบบ เรียนรู้ว่าทำไมการแชร์ผ่าน Slack หรืออีเมลจึงอันตราย และวิธีใช้เมโมลับที่หมดอายุสำหรับการส่ง key ครั้งเดียว

LOCK.PUB
วิธีแชร์ SSH Key และ Certificate กับทีมอย่างปลอดภัย

วิธีแชร์ SSH Key และ Certificate กับทีมอย่างปลอดภัย

"ส่ง SSH key มาทาง Slack หน่อย" ทีมพัฒนาทุกทีมเคยได้ยินประโยคนี้ ต้องเข้าเซิร์ฟเวอร์ด่วน สมาชิกใหม่ต้องตั้งค่า deploy ใกล้จะถึงเวลาแล้วมีคนไม่มี key

แต่คำขอนี้อาจเป็นจุดเริ่มต้นของเหตุการณ์ด้านความปลอดภัยที่ร้ายแรง

ทำไมการแชร์ SSH Key ถึงอันตรายเป็นพิเศษ

SSH key ไม่เหมือนรหัสผ่านทั่วไป มันให้ สิทธิ์เข้าถึงเซิร์ฟเวอร์อย่างเต็มรูปแบบ

ปัจจัย รหัสผ่าน SSH Key
ขอบเขต บัญชีเฉพาะ เซิร์ฟเวอร์ทั้งหมด
ผลกระทบหากรั่วไหล แค่บัญชีนั้น ข้อมูลทั้งหมดบนเซิร์ฟเวอร์
การหมุนเวียน เปลี่ยนได้ทันที สร้าง key ใหม่ + อัปเดตทุกเซิร์ฟเวอร์
รองรับ 2FA มี key เป็นการยืนยันตัวตันในตัวเอง

วิธีแชร์ที่อันตราย

1. Slack หรือ Discord DMs

ประวัติแชทถูกเก็บถาวรบนเซิร์ฟเวอร์ ใครก็ค้นหาคำว่า "ssh" หรือ "key" เจอ key ที่แชร์ไว้ก่อนหน้าได้

2. อีเมล

ถูกเก็บถาวรถาวรบนเมลเซิร์ฟเวอร์ เซิร์ฟเวอร์เมลถูกเจาะครั้งเดียว key ทุกอันที่เคยส่งก็โดน

3. Google Drive หรือ Notion ที่แชร์

ควบคุมการเข้าถึงละเอียดยาก ไฟล์ sync แล้วมีสำเนาบนอุปกรณ์ เก็บสำเนาทั้งหมดคืนเมื่อคนออกจากทีมแทบเป็นไปไม่ได้

4. Commit ลง Git Repository

อันตรายที่สุด key อยู่ใน Git history ตลอดกาล แม้ลบไฟล์แล้วก็กู้คืนจาก history ได้

วิธีแชร์ที่ปลอดภัย

วิธีที่ 1: LOCK.PUB Secret Memo (ดีที่สุดสำหรับส่งครั้งเดียว)

1. สร้าง secret memo บน LOCK.PUB
2. วาง SSH key หรือ certificate
3. ตั้งรหัสผ่านที่แข็งแรง
4. ตั้งเวลาหมดอายุสั้นที่สุด (1-4 ชั่วโมง)
5. ส่งลิงก์ทาง Slack, แชร์รหัสผ่านทางโทรศัพท์
6. หลังผู้รับบันทึก key แล้ว ลิงก์หมดอายุ

วิธีที่ 2: Secrets Managers (สำหรับทีมใหญ่)

ใช้เครื่องมือเฉพาะอย่าง HashiCorp Vault, AWS Secrets Manager หรือ Google Secret Manager

วิธีที่ 3: SSH Certificate Authority (แผนระยะยาว)

แทนที่จะแชร์ key ใช้ SSH CA ออก certificate ส่วนบุคคลให้แต่ละคน

วิธีที่ 4: Per-User Keys (แนะนำมากที่สุด)

เมื่อทำได้ ออก key ส่วนบุคคลแทนการแชร์ key เดียว

ตารางหมุนเวียน Key

ประเภท Key การหมุนเวียนที่แนะนำ
Production server keys 90 วัน
Deploy keys 90 วัน
SSL certificates ทุกครั้งที่ต่ออายุ
API secrets 90 วัน
Development/staging keys 180 วัน

สรุป

SSH key และ certificate เป็นแกนหลักของความปลอดภัยเซิร์ฟเวอร์ ส่งทาง Slack DM หรืออีเมลเหมือนปักกุญแจบ้านไว้บนบอร์ดประกาศสาธารณะ ออก per-user key เมื่อทำได้ เมื่อต้องแชร์จริง ๆ ใช้ secret memo ที่หมดอายุเร็วที่สุด

สร้าง Secret Memo

คำสำคัญ

แชร์ SSH key
ความปลอดภัย SSH key
แชร์ SSL certificate
จัดการ deploy key
เมโมลับนักพัฒนา
ความปลอดภัย DevOps

คุณอาจสนใจ

สร้างลิงก์ที่ป้องกันด้วยรหัสผ่านตอนนี้

สร้างลิงก์ที่ป้องกันด้วยรหัสผ่าน บันทึกลับ และแชตที่เข้ารหัสได้ฟรี

เริ่มต้นใช้งานฟรี
วิธีแชร์ SSH Key และ Certificate กับทีมอย่างปลอดภัย | LOCK.PUB Blog