วิธีแชร์ SSH Key และ Certificate กับทีมอย่างปลอดภัย
SSH key ให้สิทธิ์เข้าถึงเซิร์ฟเวอร์เต็มรูปแบบ เรียนรู้ว่าทำไมการแชร์ผ่าน Slack หรืออีเมลจึงอันตราย และวิธีใช้เมโมลับที่หมดอายุสำหรับการส่ง key ครั้งเดียว
วิธีแชร์ SSH Key และ Certificate กับทีมอย่างปลอดภัย
"ส่ง SSH key มาทาง Slack หน่อย" ทีมพัฒนาทุกทีมเคยได้ยินประโยคนี้ ต้องเข้าเซิร์ฟเวอร์ด่วน สมาชิกใหม่ต้องตั้งค่า deploy ใกล้จะถึงเวลาแล้วมีคนไม่มี key
แต่คำขอนี้อาจเป็นจุดเริ่มต้นของเหตุการณ์ด้านความปลอดภัยที่ร้ายแรง
ทำไมการแชร์ SSH Key ถึงอันตรายเป็นพิเศษ
SSH key ไม่เหมือนรหัสผ่านทั่วไป มันให้ สิทธิ์เข้าถึงเซิร์ฟเวอร์อย่างเต็มรูปแบบ
| ปัจจัย | รหัสผ่าน | SSH Key |
|---|---|---|
| ขอบเขต | บัญชีเฉพาะ | เซิร์ฟเวอร์ทั้งหมด |
| ผลกระทบหากรั่วไหล | แค่บัญชีนั้น | ข้อมูลทั้งหมดบนเซิร์ฟเวอร์ |
| การหมุนเวียน | เปลี่ยนได้ทันที | สร้าง key ใหม่ + อัปเดตทุกเซิร์ฟเวอร์ |
| รองรับ 2FA | มี | key เป็นการยืนยันตัวตันในตัวเอง |
วิธีแชร์ที่อันตราย
1. Slack หรือ Discord DMs
ประวัติแชทถูกเก็บถาวรบนเซิร์ฟเวอร์ ใครก็ค้นหาคำว่า "ssh" หรือ "key" เจอ key ที่แชร์ไว้ก่อนหน้าได้
2. อีเมล
ถูกเก็บถาวรถาวรบนเมลเซิร์ฟเวอร์ เซิร์ฟเวอร์เมลถูกเจาะครั้งเดียว key ทุกอันที่เคยส่งก็โดน
3. Google Drive หรือ Notion ที่แชร์
ควบคุมการเข้าถึงละเอียดยาก ไฟล์ sync แล้วมีสำเนาบนอุปกรณ์ เก็บสำเนาทั้งหมดคืนเมื่อคนออกจากทีมแทบเป็นไปไม่ได้
4. Commit ลง Git Repository
อันตรายที่สุด key อยู่ใน Git history ตลอดกาล แม้ลบไฟล์แล้วก็กู้คืนจาก history ได้
วิธีแชร์ที่ปลอดภัย
วิธีที่ 1: LOCK.PUB Secret Memo (ดีที่สุดสำหรับส่งครั้งเดียว)
1. สร้าง secret memo บน LOCK.PUB
2. วาง SSH key หรือ certificate
3. ตั้งรหัสผ่านที่แข็งแรง
4. ตั้งเวลาหมดอายุสั้นที่สุด (1-4 ชั่วโมง)
5. ส่งลิงก์ทาง Slack, แชร์รหัสผ่านทางโทรศัพท์
6. หลังผู้รับบันทึก key แล้ว ลิงก์หมดอายุ
วิธีที่ 2: Secrets Managers (สำหรับทีมใหญ่)
ใช้เครื่องมือเฉพาะอย่าง HashiCorp Vault, AWS Secrets Manager หรือ Google Secret Manager
วิธีที่ 3: SSH Certificate Authority (แผนระยะยาว)
แทนที่จะแชร์ key ใช้ SSH CA ออก certificate ส่วนบุคคลให้แต่ละคน
วิธีที่ 4: Per-User Keys (แนะนำมากที่สุด)
เมื่อทำได้ ออก key ส่วนบุคคลแทนการแชร์ key เดียว
ตารางหมุนเวียน Key
| ประเภท Key | การหมุนเวียนที่แนะนำ |
|---|---|
| Production server keys | 90 วัน |
| Deploy keys | 90 วัน |
| SSL certificates | ทุกครั้งที่ต่ออายุ |
| API secrets | 90 วัน |
| Development/staging keys | 180 วัน |
สรุป
SSH key และ certificate เป็นแกนหลักของความปลอดภัยเซิร์ฟเวอร์ ส่งทาง Slack DM หรืออีเมลเหมือนปักกุญแจบ้านไว้บนบอร์ดประกาศสาธารณะ ออก per-user key เมื่อทำได้ เมื่อต้องแชร์จริง ๆ ใช้ secret memo ที่หมดอายุเร็วที่สุด
Keywords
You might also like
มิจฉาชีพหลอกลวงผ่าน QR Code พร้อมเพย์: วิธีป้องกันเงินของคุณ
เรียนรู้กลโกงผ่าน QR Code พร้อมเพย์ในไทย ทั้งการแปะ QR ปลอม, แจ้งชำระเงินปลอม และฟิชชิ่งทาง SMS พร้อมเช็กลิสต์ตรวจสอบก่อนจ่ายเงินทุกครั้ง
สวอปซิมในไทย: มิจฉาชีพล้างบัญชีธนาคารผ่าน AIS, TRUE และ DTAC ได้อย่างไร
เข้าใจวิธีโจมตีแบบสวอปซิมที่มุ่งเป้าลูกค้า AIS, TRUE และ DTAC ตั้งแต่ขั้นตอนสวอปจนล้างบัญชีธนาคาร พร้อมวิธีป้องกันเฉพาะค่ายมือถือ
ความปลอดภัยแอป ThaiD: ความเสี่ยงฟิชชิ่งและคู่มือใช้งานอย่างปลอดภัย
วิธีที่มิจฉาชีพแอบอ้างแอป ThaiD บัตรประชาชนดิจิทัลผ่านฟิชชิ่ง แจ้งเตือนราชการปลอม และการเปิดเผยข้อมูลเกินจำเป็น พร้อมคู่มือใช้ ThaiD อย่างปลอดภัย
Create your password-protected link now
Create password-protected links, secret memos, and encrypted chats for free.
Get Started Free