Linux
Linux Hardening Checklist
Linux Hardening Checklist คืออะไร / ทำไมถึงสำคัญ
น้องๆ เคยสงสัยมั้ยว่าทำไม Server Linux ของเราถึงโดน Hack ได้? หนึ่งในสาเหตุหลักๆ เลยคือเราไม่ได้ทำ "Linux Hardening" หรือการเสริมความแข็งแกร่งให้กับระบบปฏิบัติการของเราอย่างเหมาะสม
Linux Hardening Checklist คือรายการตรวจสอบ (Checklist) ที่รวบรวมแนวทางปฏิบัติและเทคนิคต่างๆ เพื่อเพิ่มความปลอดภัยให้กับระบบ Linux ของเรา ตั้งแต่การตั้งค่าระบบพื้นฐาน ไปจนถึงการปรับแต่ง Security Feature ต่างๆ ให้เหมาะสมกับการใช้งาน
สมัยผมทำร้านเน็ต SiamCafe เนี่ย เรื่องความปลอดภัยสำคัญสุดๆ เพราะข้อมูลลูกค้า ข้อมูลเกมส์ มันเยอะมาก ถ้าโดน Hack ทีเจ๊งเลย! Hardening เลยเป็นเรื่องที่เราให้ความสำคัญตั้งแต่ยุคนั้น
ทำไมต้อง Hardening?
การ Hardening ช่วยลดความเสี่ยงที่ Hacker จะเข้ามาเจาะระบบของเราได้สำเร็จ ลองนึกภาพว่าบ้านเราถ้ามีแค่ประตูไม้ธรรมดา โจรก็งัดง่าย แต่ถ้าเราติดเหล็กดัด ติดกล้องวงจรปิด โจรมันก็ขี้เกียจเข้าแล้ว
นอกจากนี้ การ Hardening ยังช่วยให้เราปฏิบัติตามข้อกำหนดด้านความปลอดภัย (Compliance) ต่างๆ ได้ง่ายขึ้น เช่น GDPR, PCI DSS ซึ่งสำคัญมากสำหรับธุรกิจที่เกี่ยวข้องกับข้อมูลส่วนบุคคลหรือข้อมูลทางการเงิน
ผลกระทบหากไม่ Hardening
ถ้าเราไม่ Hardening ระบบ Linux ของเรา อาจจะเจอปัญหาเหล่านี้:
- โดน Hack เอาข้อมูลไปขาย
- โดน Hack เอา Server ไปขุด Bitcoin (อันนี้เจอบ่อย!)
- ระบบล่ม ใช้งานไม่ได้
- เสียชื่อเสียง เสียความน่าเชื่อถือ
พื้นฐานที่ต้องรู้
User Account Management
เรื่อง User Account เนี่ยสำคัญมาก! สมัยก่อน User ที่ชื่อ "root" นี่คือพระเจ้า อยากทำอะไรก็ได้หมด แต่ปัจจุบันเราควรจำกัดสิทธิ์การใช้งานของ User ให้เหลือน้อยที่สุดเท่าที่จำเป็น
หลักการง่ายๆ: สร้าง User ธรรมดาขึ้นมาใช้งานทั่วไป ถ้าจำเป็นต้องทำอะไรที่ต้องใช้สิทธิ์ root ค่อยใช้ sudo เอา
# สร้าง User ใหม่
sudo adduser username
# ตั้ง Password ให้ User
sudo passwd username
Firewall
Firewall เปรียบเสมือนยามหน้าประตูบ้าน คอยตรวจตราว่าใครจะเข้าบ้านเราได้บ้าง สมัยก่อนผมใช้ iptables แต่ปัจจุบัน ufw (Uncomplicated Firewall) ใช้ง่ายกว่าเยอะ
หลักการง่ายๆ: ปิดทุก Port ที่ไม่ได้ใช้งาน เปิดเฉพาะ Port ที่จำเป็น เช่น Port 80 (HTTP), Port 443 (HTTPS), Port 22 (SSH)
# เปิด Port 22 สำหรับ SSH
sudo ufw allow 22
# ปิด Port อื่นๆ ที่ไม่ได้ใช้
sudo ufw deny 8080
# เปิดใช้งาน Firewall
sudo ufw enable
อย่าลืม SiamCafe Blog มีบทความเกี่ยวกับ Firewall อีกเยอะเลยนะ
Package Management
การ Update Package เป็นประจำสำคัญมาก เพราะ Package ที่เก่าอาจมีช่องโหว่ด้านความปลอดภัย (Vulnerability) ที่ Hacker สามารถใช้เจาะระบบได้
หลักการง่ายๆ: Update Package อย่างสม่ำเสมอ โดยเฉพาะ Security Update
# Update Package List
sudo apt update
# Upgrade Package
sudo apt upgrade
วิธีใช้งาน / เริ่มต้นยังไง
วางแผนก่อนลงมือ
ก่อนที่จะเริ่ม Hardening เราควรวางแผนก่อนว่าจะทำอะไรบ้าง อะไรสำคัญที่สุด อะไรที่ทำได้เลย อะไรที่ต้องใช้เวลา
คำถามที่ควรถามตัวเอง:
- Server นี้เอาไว้ทำอะไร?
- มีข้อมูลสำคัญอะไรบ้าง?
- มีข้อกำหนดด้านความปลอดภัยอะไรบ้าง? (เช่น GDPR, PCI DSS)
ใช้ Checklist เป็นแนวทาง
มี Checklist หลายแบบให้เลือกใช้ ทั้งแบบฟรีและแบบเสียเงิน ลองหา Checklist ที่เหมาะกับความต้องการของเรา แล้วทำตามทีละข้อ
ตัวอย่าง Checklist:
- CIS Benchmark
- NIST Security Configuration Checklist
- SANS Institute
ขั้นตอนปฏิบัติจริง
Disable Unnecessary Services
Services ที่ไม่ได้ใช้งานก็เหมือนประตูที่เปิดทิ้งไว้ Hacker สามารถเข้ามาทางประตูเหล่านี้ได้ ดังนั้นเราควรปิด Services ที่ไม่ได้ใช้งาน
ตัวอย่าง: ปิด telnet, rsh, rlogin เพราะ Services เหล่านี้ไม่ปลอดภัย
# ตรวจสอบ Services ที่กำลังทำงาน
sudo systemctl list-units --type=service --state=running
# ปิด Service ที่ไม่ได้ใช้งาน
sudo systemctl stop servicename
sudo systemctl disable servicename
Configure SSH
SSH (Secure Shell) เป็นช่องทางหลักที่เราใช้ Remote เข้า Server ดังนั้นเราต้อง Configure SSH ให้ปลอดภัย
สิ่งที่ควรทำ:
- เปลี่ยน Port SSH จาก Port 22 เป็น Port อื่น
- Disable Password Authentication ใช้ Key-Based Authentication แทน
- จำกัด User ที่สามารถ SSH เข้า Server ได้
# แก้ไข SSH Configuration File
sudo nano /etc/ssh/sshd_config
# เปลี่ยน Port
Port 2222
# Disable Password Authentication
PasswordAuthentication no
# Restart SSH Service
sudo systemctl restart sshd
อ่านบทความเพิ่มเติมเกี่ยวกับ SSH ได้ที่ SiamCafe Blog
Enable Audit Logging
Audit Logging ช่วยให้เราตรวจสอบได้ว่าเกิดอะไรขึ้นในระบบของเรา ใครทำอะไรบ้าง มี Error อะไรเกิดขึ้น
ตัวอย่าง: ใช้ auditd เพื่อบันทึกการเข้าถึงไฟล์สำคัญ การแก้ไข Configuration File และอื่นๆ
# ติดตั้ง auditd
sudo apt install auditd
# เริ่มต้น auditd
sudo systemctl start auditd
sudo systemctl enable auditd
# กำหนด Rule สำหรับการ Audit
sudo auditctl -w /etc/passwd -p wa -k passwd_changes
เปรียบเทียบกับทางเลือกอื่น
นอกจาก Linux Hardening ด้วยตัวเองแล้ว เรายังมีทางเลือกอื่นๆ อีก เช่น:
- ใช้ Security Distribution (เช่น Kali Linux, Parrot OS)
- ใช้ Cloud Security Service (เช่น AWS Security Hub, Azure Security Center)
- จ้าง Security Consultant
| ทางเลือก | ข้อดี | ข้อเสีย | เหมาะสำหรับ |
|---|---|---|---|
| Linux Hardening ด้วยตัวเอง | ควบคุมได้ทุกอย่าง, ประหยัดค่าใช้จ่าย | ต้องมีความรู้ความเชี่ยวชาญ, ใช้เวลา | ผู้ที่มีความรู้และเวลา |
| Security Distribution | มีเครื่องมือ Security ให้พร้อมใช้งาน | อาจไม่เหมาะกับการใช้งานทั่วไป, ต้องเรียนรู้วิธีใช้เครื่องมือ | ผู้ที่ต้องการเครื่องมือ Security ครบครัน |
| Cloud Security Service | ใช้งานง่าย, มี Feature ครบครัน | มีค่าใช้จ่าย, อาจต้องพึ่งพา Vendor | ผู้ที่ใช้งาน Cloud และต้องการความสะดวก |
| Security Consultant | ได้รับคำแนะนำจากผู้เชี่ยวชาญ | มีค่าใช้จ่ายสูง | ผู้ที่ไม่มีความรู้และต้องการความช่วยเหลือ |
สุดท้ายนี้ ไม่มีทางเลือกไหนที่ดีที่สุดสำหรับทุกคน ทางเลือกที่ดีที่สุดคือทางเลือกที่เหมาะสมกับความต้องการและงบประมาณของเรา
Best Practices / เคล็ดลับจากประสบการณ์
สมัยผมทำร้านเน็ต SiamCafe เนี่ย เรื่องความปลอดภัยนี่สำคัญสุดๆ เพราะเครื่องลูกข่ายโดนไวรัสทีนึง วุ่นวายทั้งร้าน ต้องมานั่งไล่ format ทีละเครื่อง เสียเวลาทำมาหากินไปเยอะเลย สมัยนั้นโปรแกรมแอนตี้ไวรัสยังไม่เก่งเท่าสมัยนี้ด้วย ต้องพึ่งตัวเองเยอะหน่อย
ที่สำคัญคือ ต้องเข้าใจก่อนว่า "Hardening" ไม่ใช่แค่การลงโปรแกรมอะไรซักอย่างแล้วจบ มันคือกระบวนการต่อเนื่อง ต้องคอยอัปเดตความรู้ใหม่ๆ ปรับแต่งระบบให้เข้ากับภัยคุกคามที่เปลี่ยนไปเรื่อยๆ เหมือนเราคอยดูแลรถยนต์ ต้องเช็คระยะ เปลี่ยนน้ำมันเครื่องอยู่เสมอ
เทคนิคที่ 1: ปิด Service ที่ไม่ได้ใช้
อันนี้เบสิกเลย แต่สำคัญมาก หลายๆ คนลง Linux แล้วปล่อย service รันเต็มไปหมด ทั้งๆ ที่ไม่ได้ใช้งานจริง พวก service เหล่านี้แหละคือช่องโหว่ให้แฮกเกอร์เข้ามาได้ ลองนึกภาพว่าเราเปิดประตูบ้านทิ้งไว้ทุกบาน โจรมันก็เดินเข้ามาได้ง่ายๆ
วิธีปิดก็ง่ายๆ ใช้ systemctl นี่แหละ
sudo systemctl stop ชื่อservice
sudo systemctl disable ชื่อservice
เช่น ถ้าไม่ได้ใช้ Bluetooth ก็ปิดไปเลย sudo systemctl stop bluetooth แล้วก็ตามด้วย sudo systemctl disable bluetooth
เทคนิคที่ 2: Firewall ให้แน่น
Firewall นี่เหมือนยามหน้าบ้าน คอยสกัดคนแปลกหน้าที่ไม่ได้รับอนุญาต สมัยก่อนผมใช้ iptables แต่หลังๆ มา ufw (Uncomplicated Firewall) ใช้งานง่ายกว่าเยอะ ลองดูตัวอย่าง config ที่ผมเคยใช้:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw allow 80
sudo ufw allow 443
sudo ufw enable
หลักการคือ ปิดทุกอย่าง ขาเข้า แล้วค่อยๆ เปิดเฉพาะ port ที่จำเป็น เช่น SSH (22), HTTP (80), HTTPS (443) อย่าลืมเปิด SSH นะ เดี๋ยวเข้าเครื่องตัวเองไม่ได้ จะยุ่ง
เทคนิคที่ 3: ติดตั้งโปรแกรมจาก Repository ที่เชื่อถือได้เท่านั้น
สมัยก่อนตอนผมลองเล่น Linux ใหม่ๆ ชอบไปโหลดโปรแกรมจากเว็บแปลกๆ มาลง สรุปโดนไวรัสเฉยเลย! บทเรียนราคาแพงมาก หลังจากนั้นมา ผมจะลงโปรแกรมจาก Official Repository ของ distribution นั้นๆ เท่านั้น ปลอดภัยกว่าเยอะ
ถ้าจำเป็นต้องลงโปรแกรมจากข้างนอกจริงๆ ต้องเช็ค signature ให้ดี อ่านรีวิว อ่าน permission ที่โปรแกรมขอให้ละเอียด ไม่งั้นอาจจะโดนฝังอะไรแปลกๆ มาก็ได้
เทคนิคที่ 4: หมั่นอัปเดต Patch
Linux นี่ดีอย่างนึง คือเค้าออก patch แก้ bug แก้ช่องโหว่อยู่เรื่อยๆ เราต้องหมั่นอัปเดตอยู่เสมอ อย่าปล่อยทิ้งไว้นานๆ เดี๋ยวจะกลายเป็นเป้านิ่งให้แฮกเกอร์
ใช้คำสั่งนี้เลย:
sudo apt update
sudo apt upgrade
ถ้าขี้เกียจ ก็ตั้ง cron job ให้มันอัปเดตอัตโนมัติไปเลย แต่ต้องระวังเรื่อง compatibility ด้วยนะ บางทีอัปเดตแล้วโปรแกรมเก่าๆ อาจจะรวนได้
FAQ คำถามที่พบบ่อย
H3: Hardening จำเป็นสำหรับ Server ส่วนตัวไหม?
จำเป็นสิ! ไม่ว่าจะเป็น Server เล็กๆ ที่บ้าน หรือ Server ใหญ่ๆ ใน Data Center ก็ต้อง Hardening ทั้งนั้น เพราะแฮกเกอร์มันไม่ได้เลือกเป้าหมายหรอก มันสแกนหาช่องโหว่ไปเรื่อยๆ ใครพลาดก็โดนหมด
H3: ต้อง Hardening ทุกครั้งที่ลง OS ใหม่เลยไหม?
ใช่ครับ! Hardening ไม่ใช่ทำครั้งเดียวจบ ต้องทำทุกครั้งที่ลง OS ใหม่ หรือมีการเปลี่ยนแปลง configuration สำคัญๆ เพราะค่า default ของ OS ส่วนใหญ่มักจะไม่ได้ secure ที่สุด
H3: Hardening แล้วจะปลอดภัย 100% เลยไหม?
ไม่มีอะไรปลอดภัย 100% หรอกครับ Hardening เป็นแค่การลดความเสี่ยง เพิ่มความปลอดภัยให้มากขึ้น แต่สุดท้ายก็ต้องมีสติ ใช้งานอย่างระมัดระวังอยู่ดี เหมือนเราล็อคบ้าน แต่ก็ต้องคอยสอดส่องดูแล ไม่ประมาท
H3: มี Tool อะไรแนะนำไหมที่ช่วย Hardening?
มีเยอะแยะเลยครับ แต่ที่ผมเคยใช้แล้วชอบก็มี Lynis กับ OpenVAS ลองไปศึกษาดูครับ แต่ Tool พวกนี้มันแค่ช่วย scan หาช่องโหว่เฉยๆ เราต้องเป็นคนจัดการเองอยู่ดี
สรุป
Linux Hardening ไม่ใช่เรื่องยาก แต่ต้องอาศัยความเข้าใจและประสบการณ์ ต้องคอยศึกษาหาความรู้ใหม่ๆ อยู่เสมอ อย่าหยุดที่จะเรียนรู้และปรับปรุงระบบของเราให้ปลอดภัยอยู่เสมอ และอย่าลืมว่าความปลอดภัยที่ดีที่สุด เริ่มต้นจากตัวเราเอง
ถ้าสนใจเรื่อง Forex ลองดู iCafeForex นะครับ
อ่านบทความอื่นๆ ได้ที่ SiamCafe Blog
