การตั้งค่า Security Policy ของเซิร์ฟเวอร์บน Plesk

Categories

การตั้งค่า Security Policy ของเซิร์ฟเวอร์บน Plesk — Security Policy ใน Plesk ช่วยให้ผู้ดูแลระบบกำหนดนโยบายความปลอดภัยระดับ Server แอดมิน ครอบคลุมตั้งแต่นโยบายรหัสผ่าน, FTP Policy และการจัดการ Session เป็นสิ่งสำคัญสำหรับ Cloud Server ที่มีหลายผู้ใช้งาน Dot Enterprise (DE) ขอแนะนำให้ตั้งค่า Security Policy อย่างเหมาะสมเพื่อให้ Cloud VPS และ Cloud Hosting ของคุณมีความปลอดภัยสูงสุด

เข้าถึง Security Policy

  1. ไปที่ Tools & Settings ในเมนูหลัก
  2. เลือก Security หรือ General Settings
  3. คลิก Security Policy หรือ Server-wide settings

หัวข้อสำคัญใน Security Policy

1. Password Strength Policy

กำหนดเกณฑ์ความแข็งของรหัสผ่านสำหรับ Plesk Users ทุกคน เพื่อป้องกันการแฮ็กและการเข้าถึงโดยไม่ได้รับอนุญาต:

  • Minimum Password Length: ควรกำหนดอย่างน้อย 10-12 ตัวอักษร แนะนำ 12-16 ตัวอักษรเพื่อความปลอดภัยที่ดี
  • Minimum Password Strength: เลือกระดับ Strong หรือ Very Strong ต้องมี ตัวอักษร ตัวเลข และสัญลักษณ์พิเศษ
  • Password Expiration: กำหนดวันหมดอายุ Password (เช่น 90 วัน) เพื่อบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านเป็นระยะ
  • Password History: ป้องกันไม่ให้ผู้ใช้ใช้รหัสผ่านเดิมซ้ำ (ระบุจำนวนรหัสผ่านก่อนหน้าที่ห้าม)

2. FTP Policy

กำหนด Policy สำหรับ FTP Connection เพื่อให้ FTP Connection ปลอดภัยและมีการควบคุมที่ดี:

  • Allow FTP connections using passive mode: เปิดใช้ Passive Mode (PASV) เพื่อหลีกเลี่ยงปัญหา Firewall
  • Restrict FTP access to only IP addresses from…: จำกัด IP ที่เชื่อมต่อ FTP ได้ เช่น IP ของสำนักงาน หรือ IP จำเพาะ
  • Force SFTP (SSH FTP): บังคับใช้ SFTP แทน FTP เพื่อเข้ารหัส Credentials เหนือ SSH
  • FTP Session Timeout: กำหนดเวลา Timeout เพื่อตัดการเชื่อมต่อที่ไม่ใช้งาน

3. Plesk Session Management

กำหนดการจัดการ Session ของผู้ใช้ผ่าน Plesk Control Panel เพื่อให้ Account ของลูกค้า Subscription ปลอดภัย:

  • Session inactivity timeout: กำหนดเวลา Logout อัตโนมัติเมื่อไม่ได้ใช้งาน เช่น 30 นาที (แนะนำ 30-60 นาที)
  • Allow only one simultaneous Plesk session per user: ป้องกันการ Login ซ้ำจากหลายเครื่อง หรือหลายวง (Multi-session Login)
  • Force HTTPS for Plesk access: บังคับใช้ HTTPS เท่านั้น ไม่อนุญาต HTTP ธรรมดา
  • Remember login on this computer: อนุญาต Browser ให้จำชื่อผู้ใช้ (Optional) แต่ไม่จำรหัสผ่าน

4. Security Options ขั้นสูง

  • Secure connections to Plesk (HTTPS): บังคับใช้ HTTPS เท่านั้นสำหรับ Plesk Connections
  • Forbid sending Plesk access data by email: ป้องกันการส่งข้อมูล Login ผ่านอีเมลแบบ Plain Text เพื่อหลีกเลี่ยง Email Interception
  • Enable security questions for account recovery: เปิดใช้คำถามความปลอดภัยเพื่อการกู้คืน Account
  • Two-Factor Authentication (2FA): เปิดใช้ 2FA สำหรับ Plesk Admin Account เพื่อความปลอดภัยพิเศษ

5. Brute Force Protection

กำหนดจำนวนครั้งในการเข้าสู่ระบบที่ผิดพลาดก่อนถูก Block เช่น 5 ครั้งใน 10 นาที หากเกินแล้วจะ Lock Account ชั่วคราว 15-30 นาที ป้องกันการ Brute Force Attack

  • Failed login attempts threshold: จำนวนครั้งที่ผิด ก่อนถูก Block (เช่น 5 ครั้ง)
  • Lockout period: เวลาการล็อค Account (เช่น 15-30 นาที)
  • IP-based blocking: ล็อค IP ที่พยายามเข้าสู่ระบบหลายครั้ง

ค่าที่แนะนำสำหรับ Cloud VPS และ Cloud Hosting

  • Session Timeout: 30 นาที (หรือ 45 นาที สำหรับระดับการอนุญาต)
  • Password Strength: Strong (ขั้นต่ำ 12 ตัวอักษร, มี ตัวเลข, อักษรพิมพ์ใหญ่, สัญลักษณ์)
  • Password Expiration: 90 วัน
  • Force HTTPS: เปิดใช้ (Always)
  • Brute Force Login Attempts: 5 ครั้ง ใน 10 นาที
  • SFTP Only: เปิดใช้ (Disable FTP ธรรมดา)
  • One Session Per User: เปิดใช้

การเพิ่มความปลอดภัยด้วย Multi-Factor Authentication (MFA)

สำหรับความปลอดภัยเพิ่มเติม สามารถ เปิดใช้ Multi-Factor Authentication (MFA) ใน Plesk เพื่อให้ผู้ใช้ต้องยืนยันตัวตนด้วยตัวประกอบการรับรองความถูกต้องอื่น ๆ เช่น Google Authenticator หรือ SMS

การจัดการ IP Address Banning

หากต้องการเพิ่มเติมการป้องกัน คุณสามารถ ตั้งค่า IP Address Banning และ Fail2Ban ใน Plesk เพื่ออัตโนมัติบล็อก IP ที่พยายามเข้าระบบหลายครั้ง

การเปิดใช้ Server-level Firewall

นอกจากตั้งค่า Security Policy แล้ว ให้ เปิดใช้ Server-level Firewall บน Plesk เพื่อป้องกัน Traffic ที่ไม่ได้รับอนุญาต และ DDoS Attack ไม่ให้เข้าสู่เซิร์ฟเวอร์

การใช้ Plesk Security Advisor

Plesk มีเครื่องมือ Plesk Security Advisor ที่ช่วยให้ผู้ดูแลระบบสามารถสแกนและตรวจสอบความปลอดภัยของระบบ ตรวจสอบการตั้งค่าที่ไม่ปลอดภัย และแนะนำวิธีการแก้ไขเพื่อให้ระบบมีความปลอดภัยมากขึ้น

เคล็ดลับและข้อควรระวัง

  • ✅ ตั้งค่า Security Policy ทันทีหลังติดตั้ง Plesk สำหรับ Cloud VPS หรือ Cloud Server
  • ✅ ใช้ SFTP แทน FTP เพื่อเข้ารหัส Credentials
  • ✅ เปิดใช้ 2FA สำหรับ Plesk Admin Account เพื่อความปลอดภัยเพิ่มเติม
  • ✅ ตรวจสอบ Security Policy ประจำเดือน และปรับปรุงตามความจำเป็น
  • ✅ ใช้ Plesk Security Advisor เพื่อหาจุดอ่อนและแนะนำการแก้ไข
  • ⚠️ ห้ามใช้รหัสผ่านอ่อน หรือค่าเริ่มต้น
  • ⚠️ อย่าปิด HTTPS Enforcement อย่างไม่จำเป็น
  • ⚠️ ระวังการตั้งค่า Session Timeout ที่สั้นเกินไป อาจทำให้ผู้ใช้รับรู้

คำถามที่พบบ่อย

Q: ต้องตั้งค่า Security Policy อย่างไรให้เหมาะสม?
A: เริ่มจาก Password Strength, Session Timeout, HTTPS Enforcement และ Brute Force Protection ตามค่าที่แนะนำด้านบน

Q: 2FA ทำให้การใช้งาน Plesk ยุ่งซ้ำไหม?
A: ใช่เล็กน้อย แต่คุ้มค่าเพื่อความปลอดภัยสูง ผู้ใช้ต้องใช้เวลาเพิ่มเติม 10-15 วินาที ต่อการ Login

Q: FTP ปลอดภัยไหม?
A: ไม่ FTP ส่งข้อมูลแบบ Plain Text ควรใช้ SFTP (SSH FTP) แทน

Q: Session Timeout 30 นาที นั้นนานไหม?
A: เหมาะสมสำหรับ Admin ที่ใช้ Plesk เป็นประจำ หากมี Inactive Time เกิน 30 นาที ต้อง Login ใหม่

สรุป

Security Policy ใน Plesk เป็นเครื่องมือกำหนดนโยบายความปลอดภัยภาพรวมสำหรับ Cloud Server ที่มีทีมงานหลายคน การตั้งค่าเหล่านี้อย่างเหมาะสมจะช่วยลดความเสี่ยงจากการเข้าถึงโดยไม่ได้รับอนุญาต (Unauthorized Access) และเพิ่มความปลอดภัยโดยรวม ทำให้ลูกค้าของคุณบน Cloud Hosting และ Cloud VPS มีความปลอดภัยจากการโจมตีหลากหลาย