การเริ่มต้นใช้งาน Terraform ขั้นแรกคือการติดตั้ง CLI ลงในเครื่องที่จะใช้งาน ไม่ว่าจะเป็นเครื่องคอมพิวเตอร์ของนักพัฒนาเอง หรือเซิร์ฟเวอร์ Cloud VPS ที่ใช้รัน pipeline อัตโนมัติ Terraform เป็นไฟล์ binary ไฟล์เดียวที่เขียนด้วยภาษา Go จึงไม่ต้องติดตั้ง runtime หรือ dependency เพิ่มเติมใด ๆ ทำให้การติดตั
เมื่อ Server มีปัญหา ทักษะการ Troubleshoot อย่างเป็นระบบคือสิ่งที่แยก Sysadmin มือโปรออกจากมือใหม่ ปัญหา Server มักมาจาก 4 แหล่งหลัก ได้แก่ CPU/Memory/Disk ที่เต็ม, Network ที่ขาดหรือช้า, Service ที่ Crash หรือ Hang, และ Log ที่บอกว่าเกิดอะไรขึ้น การรู้ว่าจะดูอะไรก่อน และใช้คำสั่งอะไร ช่วยลดเวลาแก้ป
Linux Server Hardening คือกระบวนการเพิ่มความปลอดภัยให้ Server โดยลด Attack Surface ให้เหลือน้อยที่สุด ปิดบริการที่ไม่จำเป็น ตั้งค่า Permission ให้ถูกต้อง และเพิ่มชั้นการป้องกันหลายระดับ เพื่อให้ Server ทนต่อการโจมตีได้ดีขึ้น Workshop นี้รวบรวม Hardening Checklist ที่ครอบคลุมทุกด้านสำหรับ Production
Workshop นี้รวบรวมขั้นตอนการตั้งค่า VPS Server ใหม่ตั้งแต่ต้นจนพร้อมใช้งาน Production ครอบคลุมตั้งแต่การ Login ครั้งแรก, ตั้งค่า User และ SSH ที่ปลอดภัย, ติดตั้ง Firewall, ปรับแต่ง System, จนถึงติดตั้ง Web Server พร้อม SSL ทำให้สามารถนำไปใช้งานได้จริงโดยไม่ต้องค้นหาจากหลายแหล่ง บทความนี้เหมาะสำหรับผ
AIDE (Advanced Intrusion Detection Environment) เป็นเครื่องมือ Host-based Intrusion Detection System (HIDS) ที่ตรวจจับการเปลี่ยนแปลงของไฟล์บน Server โดยเปรียบเทียบ Checksum, Permission, Ownership และ Metadata ของไฟล์กับ Baseline Database ที่สร้างไว้ ทำให้ตรวจพบว่ามีไฟล์ที่ถูกแก้ไข, เพิ่ม หรือลบออกโด
Fail2ban เป็นเครื่องมือ Intrusion Prevention ที่อ่าน Log ของ Service ต่าง ๆ แล้ว Block IP ที่พยายาม Login ผิดหลายครั้งโดยอัตโนมัติผ่าน iptables หรือ nftables ใช้ป้องกัน Brute Force Attack บน SSH, Nginx, Apache, FTP, Mail Server และ Service อื่น ๆ ที่มี Log รูปแบบที่ตรวจสอบได้ บทความนี้อธิบายการติดตั
AppArmor (Application Armor) เป็นระบบ Mandatory Access Control (MAC) ที่ใช้ Profile-based Security ควบคุมว่า Process แต่ละตัวสามารถเข้าถึงไฟล์, Network, และ Capability ใดได้บ้าง แตกต่างจาก SELinux ที่ใช้ Security Context บน Inode, AppArmor ใช้ Path-based โดยอ้างอิงชื่อ Path ของไฟล์ ทำให้เขียนและอ่าน
SELinux (Security-Enhanced Linux) เป็น Mandatory Access Control (MAC) System ที่สร้างโดย NSA และรวมเข้ากับ Linux Kernel ต่างจาก Traditional Unix Permission (DAC) ที่ใช้ Owner/Group/Other, SELinux กำหนด Policy ว่า Process ไหนสามารถเข้าถึง File, Port, หรือ Resource ใดได้ แม้แต่ root ก็ถูกจำกัดโดย SELi
Cloud VPS ที่เพิ่ง Provision มาใหม่มักมีช่องโหว่ดด้านความปลอดภัยหลายจุด ไม่ว่าจะเป็น SSH ที่เปิด Password Login, Port ที่เปิดไว้โดยไม่จำเป็น, Service ที่รันด้วยสิทธิ์สูงเกินไป หรือ Package ที่ไม่ได้ Update Security Patch การทำ Hardening ตั้งแต่เริ่มต้นช่วยลดพื้นที่โจมตี (Attack Surface) ได้มากที่สุด
Time Zone ที่ตั้งค่าไม่ถูกต้องบน Server ทำให้ Log มี Timestamp ผิด, Cron Job รันผิดเวลา, Certificate Validation ล้มเหลว และการ Debug ทำได้ยากเพราะเวลาใน Log ไม่ตรงกับเวลาจริง การตั้งค่า Time Zone บน Linux ด้วย timedatectl และการ Sync เวลาด้วย NTP/chrony เป็นสิ่งที่ควรทำทันทีหลัง Provision Server ใหม
