วิธีแชร์ SSH Key และ Certificate กับทีมอย่างปลอดภัย
SSH key ให้สิทธิ์เข้าถึงเซิร์ฟเวอร์เต็มรูปแบบ เรียนรู้ว่าทำไมการแชร์ผ่าน Slack หรืออีเมลจึงอันตราย และวิธีใช้เมโมลับที่หมดอายุสำหรับการส่ง key ครั้งเดียว

วิธีแชร์ SSH Key และ Certificate กับทีมอย่างปลอดภัย
"ส่ง SSH key มาทาง Slack หน่อย" ทีมพัฒนาทุกทีมเคยได้ยินประโยคนี้ ต้องเข้าเซิร์ฟเวอร์ด่วน สมาชิกใหม่ต้องตั้งค่า deploy ใกล้จะถึงเวลาแล้วมีคนไม่มี key
แต่คำขอนี้อาจเป็นจุดเริ่มต้นของเหตุการณ์ด้านความปลอดภัยที่ร้ายแรง
ทำไมการแชร์ SSH Key ถึงอันตรายเป็นพิเศษ
SSH key ไม่เหมือนรหัสผ่านทั่วไป มันให้ สิทธิ์เข้าถึงเซิร์ฟเวอร์อย่างเต็มรูปแบบ
| ปัจจัย | รหัสผ่าน | SSH Key |
|---|---|---|
| ขอบเขต | บัญชีเฉพาะ | เซิร์ฟเวอร์ทั้งหมด |
| ผลกระทบหากรั่วไหล | แค่บัญชีนั้น | ข้อมูลทั้งหมดบนเซิร์ฟเวอร์ |
| การหมุนเวียน | เปลี่ยนได้ทันที | สร้าง key ใหม่ + อัปเดตทุกเซิร์ฟเวอร์ |
| รองรับ 2FA | มี | key เป็นการยืนยันตัวตันในตัวเอง |
วิธีแชร์ที่อันตราย
1. Slack หรือ Discord DMs
ประวัติแชทถูกเก็บถาวรบนเซิร์ฟเวอร์ ใครก็ค้นหาคำว่า "ssh" หรือ "key" เจอ key ที่แชร์ไว้ก่อนหน้าได้
2. อีเมล
ถูกเก็บถาวรถาวรบนเมลเซิร์ฟเวอร์ เซิร์ฟเวอร์เมลถูกเจาะครั้งเดียว key ทุกอันที่เคยส่งก็โดน
3. Google Drive หรือ Notion ที่แชร์
ควบคุมการเข้าถึงละเอียดยาก ไฟล์ sync แล้วมีสำเนาบนอุปกรณ์ เก็บสำเนาทั้งหมดคืนเมื่อคนออกจากทีมแทบเป็นไปไม่ได้
4. Commit ลง Git Repository
อันตรายที่สุด key อยู่ใน Git history ตลอดกาล แม้ลบไฟล์แล้วก็กู้คืนจาก history ได้
วิธีแชร์ที่ปลอดภัย
วิธีที่ 1: LOCK.PUB Secret Memo (ดีที่สุดสำหรับส่งครั้งเดียว)
1. สร้าง secret memo บน LOCK.PUB
2. วาง SSH key หรือ certificate
3. ตั้งรหัสผ่านที่แข็งแรง
4. ตั้งเวลาหมดอายุสั้นที่สุด (1-4 ชั่วโมง)
5. ส่งลิงก์ทาง Slack, แชร์รหัสผ่านทางโทรศัพท์
6. หลังผู้รับบันทึก key แล้ว ลิงก์หมดอายุ
วิธีที่ 2: Secrets Managers (สำหรับทีมใหญ่)
ใช้เครื่องมือเฉพาะอย่าง HashiCorp Vault, AWS Secrets Manager หรือ Google Secret Manager
วิธีที่ 3: SSH Certificate Authority (แผนระยะยาว)
แทนที่จะแชร์ key ใช้ SSH CA ออก certificate ส่วนบุคคลให้แต่ละคน
วิธีที่ 4: Per-User Keys (แนะนำมากที่สุด)
เมื่อทำได้ ออก key ส่วนบุคคลแทนการแชร์ key เดียว
ตารางหมุนเวียน Key
| ประเภท Key | การหมุนเวียนที่แนะนำ |
|---|---|
| Production server keys | 90 วัน |
| Deploy keys | 90 วัน |
| SSL certificates | ทุกครั้งที่ต่ออายุ |
| API secrets | 90 วัน |
| Development/staging keys | 180 วัน |
สรุป
SSH key และ certificate เป็นแกนหลักของความปลอดภัยเซิร์ฟเวอร์ ส่งทาง Slack DM หรืออีเมลเหมือนปักกุญแจบ้านไว้บนบอร์ดประกาศสาธารณะ ออก per-user key เมื่อทำได้ เมื่อต้องแชร์จริง ๆ ใช้ secret memo ที่หมดอายุเร็วที่สุด
คำสำคัญ
คุณอาจสนใจ
แชร์ความลับออนไลน์ด้วยลิงก์มีรหัสผ่าน
เรียนรู้วิธีแชร์ความลับ รหัสผ่าน โน้ตส่วนตัว ไฟล์ รูปภาพ เสียง หรือคำขอด้วยลิงก์ปลอดภัย วันหมดอายุ จำกัดการเข้าถึง และ read receipts
ลิงก์คำขอที่ปลอดภัยสำหรับรับไฟล์ รูปภาพ โน้ต และเสียง
เรียนรู้วิธีใช้ลิงก์คำขอที่ปลอดภัยเพื่อรับเอกสาร รูปภาพ โน้ต และข้อความเสียงจากลูกค้า ด้วยการส่งแบบเข้ารหัสและรหัสผ่านส่งที่เลือกเปิดได้
วิธีส่งไฟล์ขนาดเกิน 25MB ผ่านอีเมล: 5 วิธี
หลบข้อจำกัดไฟล์แนบ 25MB ของ Gmail และ Outlook ด้วย 5 วิธีฟรี ปลอดภัย ไม่ต้องสมัครสมาชิก สำหรับส่งไฟล์ใหญ่ทางอีเมล
สร้างลิงก์ที่ป้องกันด้วยรหัสผ่านตอนนี้
สร้างลิงก์ที่ป้องกันด้วยรหัสผ่าน บันทึกลับ และแชตที่เข้ารหัสได้ฟรี
เริ่มต้นใช้งานฟรี