# Remote Access (SSH, Cockpit, VNC) **ผู้จัดทำ:** อรรถพล คงหวาน --- # Outline 1. แนวคิด Remote Access 2. SSH (Secure Shell) 3. SSH Authentication 4. การตั้งค่า SSH 5. SSH ขั้นสูง 6. การถ่ายโอนไฟล์ผ่าน SSH 7. Cockpit 8. VNC (Virtual Network Computing) 9. ทางเลือกอื่น 10. Security Best Practices --- # 1. แนวคิด Remote Access --- ## 1. แนวคิด Remote Access **Remote Access** หมายถึง การเข้าถึงและควบคุมคอมพิวเตอร์หรือระบบจากตำแหน่งที่อยู่ห่างไกลผ่านเครือข่าย (Network) โดยไม่จำเป็นต้องอยู่หน้าเครื่องจริง ๆ เป็นองค์ประกอบสำคัญของการบริหารจัดการระบบสมัยใหม่: - งาน **DevOps** - **Cloud Computing** - **Edge Computing** --- ## 1.1 Remote Shell vs Remote Desktop แบ่งตามลักษณะ Interface ที่ผู้ใช้ปฏิสัมพันธ์ด้วย: - **Remote Shell** เข้าถึงผ่าน CLI ส่งเฉพาะ Text Stream ใช้ Bandwidth ต่ำมาก เหมาะกับ Latency สูง — เช่น SSH, Telnet, Mosh - **Remote Desktop** เข้าถึงผ่าน GUI ส่ง Frame Buffer ใช้ Bandwidth สูง ใช้โปรแกรมกราฟิกได้ — เช่น VNC, RDP, NoMachine, SPICE --- ## 1.1 Remote Shell vs Remote Desktop (Diagram) <pre class="mermaid"> %%{init: {'theme':'base', 'themeVariables': {'primaryColor':'#3c3836','primaryTextColor':'#ebdbb2','primaryBorderColor':'#fabd2f','lineColor':'#fe8019','secondaryColor':'#504945','tertiaryColor':'#665c54','background':'#282828'}}}%% flowchart LR User[("👤 User")] --> Choice{ต้องการอะไร?} Choice -->|Text| Shell["Remote Shell<br>(SSH, Mosh)"] Choice -->|กราฟิก| Desktop["Remote Desktop<br>(VNC, RDP)"] Choice -->|Web| Web["Web-based<br>(Cockpit)"] Shell --> LowBW["Low BW ~KB/s"] Desktop --> HighBW["High BW ~MB/s"] Web --> MidBW["Medium BW"] </pre> --- ## 1.2 Protocol ต่าง ๆ (ตอนที่ 1) | Protocol | ประเภท | Encryption | Port | |---|---|---|---| | **SSH** | Shell | ใช่ (AES, ChaCha20) | 22/tcp | | **Telnet** | Shell | **ไม่** (cleartext) | 23/tcp | | **Mosh** | Shell | ใช่ (UDP) | 60000-61000/udp | | **RDP** | Desktop | ใช่ (TLS) | 3389/tcp | > ⚠️ **Telnet** ส่ง username/password เป็น **cleartext** ห้ามใช้บน Public Network เด็ดขาด --- ## 1.2 Protocol ต่าง ๆ (ตอนที่ 2) | Protocol | ประเภท | จุดเด่น | Use Case | |---|---|---|---| | **VNC** | Desktop | ข้ามแพลตฟอร์ม | Remote Linux GUI | | **SPICE** | Desktop | ประสิทธิภาพสูง | KVM/QEMU VM | | **X11 Forwarding** | App | ส่งเฉพาะแอป | GUI App ทีละตัว | ปัจจุบัน Telnet ถูกแทนที่ด้วย SSH โดยสมบูรณ์ --- ## 1.3 CIA Triad หลัก 3 องค์ประกอบที่ต้องคำนึงถึง: 1. **Confidentiality** — ข้อมูลที่ส่งต้องไม่ถูกดักฟัง → แก้ด้วย **Encryption** 2. **Integrity** — ข้อมูลต้องไม่ถูกแก้ไขระหว่างทาง (MitM) → แก้ด้วย **MAC/HMAC** 3. **Authentication** — Client และ Server ต้องพิสูจน์ตัวตน → แก้ด้วย **Public Key**, Password, MFA --- ## 1.3 ความแข็งแรงของการเข้ารหัส ความแข็งแรงวัดได้จาก Operations ที่ต้องใช้ใน Brute-force Attack สำหรับ Key ขนาด n บิต: <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <mi>W</mi> <mo>=</mo> <msup><mn>2</mn><mi>n</mi></msup> </mrow> </math> โดย **W** คือจำนวน Operations เฉลี่ย, **n** คือขนาด Key (บิต) ตัวอย่าง: AES-256 ต้องใช้ <math xmlns="http://www.w3.org/1998/Math/MathML"><msup><mn>2</mn><mn>256</mn></msup></math> Operations ซึ่งเป็นไปไม่ได้ในทางปฏิบัติ --- # 2. SSH (Secure Shell) --- ## 2. SSH (Secure Shell) **SSH (Secure Shell)** เป็น Protocol และโปรแกรมที่ออกแบบมาแทนที่ Telnet, rlogin, rsh ที่ไม่ปลอดภัย - สร้างโดย **Tatu Ylönen** ในปี 1995 - มาตรฐานปัจจุบัน: **SSH-2** (RFC 4251-4254) - Implementation ที่นิยมที่สุด: **OpenSSH** --- ## 2.1 สถาปัตยกรรม Client-Server SSH ทำงานในรูปแบบ Client-Server Architecture: - **SSH Server (sshd)** Daemon ฝั่งเซิร์ฟเวอร์ รับการเชื่อมต่อพอร์ต 22 - **SSH Client (ssh)** โปรแกรมที่ผู้ใช้รันเพื่อเชื่อมต่อ - **Configuration Files**: - `/etc/ssh/sshd_config` (server) - `~/.ssh/config` (client per-user) - `/etc/ssh/ssh_config` (client system-wide) --- ## 2.1 สถาปัตยกรรม (Diagram) <pre class="mermaid"> %%{init: {'theme':'base', 'themeVariables': {'primaryColor':'#3c3836','primaryTextColor':'#ebdbb2','primaryBorderColor':'#fabd2f','lineColor':'#fe8019','secondaryColor':'#504945','background':'#282828'}}}%% flowchart TB subgraph Client["💻 SSH Client"] SC[ssh command] CK[("Client Keys")] KH[("Known Hosts")] end subgraph Network["🌐 Network"] Pkt["Encrypted Packets<br>Port 22"] end subgraph Server["🖥️ SSH Server"] SD[sshd Daemon] HK[("Host Keys")] AK[("authorized_keys")] end SC --> Pkt --> SD SD --> Pkt --> SC </pre> --- ## 2.2 การเข้ารหัส 3 แบบใน SSH SSH ใช้การเข้ารหัส 3 แบบรวมกันเพื่อความปลอดภัย: 1. **Asymmetric Cryptography (Public-Key)** ใช้ใน Handshake และ Authentication เช่น RSA, Ed25519, ECDSA — ช้าแต่ไม่ต้องแชร์ secret 2. **Symmetric Cryptography** ใช้เข้ารหัสข้อมูลในระหว่าง session เช่น AES-256-GCM, ChaCha20-Poly1305 — เร็วกว่ามาก 3. **Hashing/MAC** ใช้ตรวจสอบ Integrity เช่น HMAC-SHA-256, HMAC-SHA-512 --- ## 2.2 Handshake Sequence <pre class="mermaid"> %%{init: {'theme':'base', 'themeVariables': {'primaryColor':'#3c3836','primaryTextColor':'#ebdbb2','primaryBorderColor':'#fabd2f','lineColor':'#fe8019','actorBkg':'#458588','actorTextColor':'#ebdbb2','signalColor':'#fabd2f','signalTextColor':'#ebdbb2','background':'#282828'}}}%% sequenceDiagram participant C as 💻 Client participant S as 🖥️ Server C->>S: 1. TCP SYN → port 22 S->>C: 2. SSH Version String Note over C,S: 3. Algorithm Negotiation C->>S: 4. KEXINIT S->>C: 5. KEXINIT Note over C,S: 6. Key Exchange (ECDH) Note over C,S: 7. คำนวณ Shared Secret K C->>S: 8. NEWKEYS Note over C,S: 🔒 Encrypted Channel Ready C->>S: 9. User Authentication S->>C: 10. Auth Success </pre> --- ## 2.2 Diffie-Hellman Key Exchange (1/2) ทั้งสองฝ่ายตกลงเลขสาธารณะ <math xmlns="http://www.w3.org/1998/Math/MathML"><mi>p</mi></math> (จำนวนเฉพาะ) และ <math xmlns="http://www.w3.org/1998/Math/MathML"><mi>g</mi></math> (generator) Client เลือก secret <math xmlns="http://www.w3.org/1998/Math/MathML"><mi>a</mi></math>, Server เลือก secret <math xmlns="http://www.w3.org/1998/Math/MathML"><mi>b</mi></math> แล้วต่างคำนวณ: <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <mi>A</mi> <mo>=</mo> <msup><mi>g</mi><mi>a</mi></msup> <mspace width="0.5em" /> <mo>mod</mo> <mspace width="0.5em" /> <mi>p</mi> <mo>,</mo> <mspace width="1em" /> <mi>B</mi> <mo>=</mo> <msup><mi>g</mi><mi>b</mi></msup> <mspace width="0.5em" /> <mo>mod</mo> <mspace width="0.5em" /> <mi>p</mi> </mrow> </math> --- ## 2.2 Diffie-Hellman Key Exchange (2/2) แลกเปลี่ยน <math xmlns="http://www.w3.org/1998/Math/MathML"><mi>A</mi></math> และ <math xmlns="http://www.w3.org/1998/Math/MathML"><mi>B</mi></math> แล้วคำนวณ Shared Secret <math xmlns="http://www.w3.org/1998/Math/MathML"><mi>K</mi></math>: <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <mi>K</mi> <mo>=</mo> <msup><mi>B</mi><mi>a</mi></msup> <mspace width="0.5em" /> <mo>mod</mo> <mspace width="0.5em" /> <mi>p</mi> <mo>=</mo> <msup><mi>A</mi><mi>b</mi></msup> <mspace width="0.5em" /> <mo>mod</mo> <mspace width="0.5em" /> <mi>p</mi> <mo>=</mo> <msup><mi>g</mi><mrow><mi>a</mi><mi>b</mi></mrow></msup> <mspace width="0.5em" /> <mo>mod</mo> <mspace width="0.5em" /> <mi>p</mi> </mrow> </math> ผู้ดักฟังเห็นเพียง p,g,A,B แต่คำนวณ K ไม่ได้ (Discrete Logarithm Problem) — ปัจจุบันนิยม **ECDH บน Curve25519** --- ## 2.3 การเชื่อมต่อพื้นฐาน ```bash # เชื่อมต่อพื้นฐาน — user@host ssh moo@server.rmutsv.ac.th # ระบุพอร์ตที่ไม่ใช่ default 22 ssh -p 2222 moo@10.0.0.50 # ระบุ identity file (private key) ssh -i ~/.ssh/id_ed25519_lab moo@10.0.0.50 # Verbose mode สำหรับ debug ssh -vvv moo@10.0.0.50 ``` --- ## 2.3 รันคำสั่งบน Remote ```bash # รันคำสั่งเดียวบนเซิร์ฟเวอร์แล้วปิด (ไม่ได้ shell) ssh moo@10.0.0.50 'uptime && df -h' # ใช้ ssh เป็น "pipe" ssh moo@10.0.0.50 'cat /var/log/syslog' | grep ERROR | wc -l ``` ตัวอย่าง output เมื่อเชื่อมต่อสำเร็จ: ``` $ ssh moo@10.0.0.50 ED25519 key fingerprint is SHA256:abc123def456... Are you sure you want to continue connecting? yes moo@10.0.0.50's password: ******** Welcome to Ubuntu 24.04 LTS ``` --- ## 2.4 Known Hosts และ Host Key Verification เมื่อเชื่อมต่อครั้งแรก Client บันทึก **Host Key** ไว้ใน `~/.ssh/known_hosts` ครั้งต่อไปจะตรวจสอบว่าตรงกับครั้งก่อน — ป้องกัน **MitM Attack** ```bash # ดูเนื้อหา known_hosts cat ~/.ssh/known_hosts # ลบ entry ของ host เดียว ssh-keygen -R 10.0.0.50 # ตรวจสอบ fingerprint ของ host key ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub ``` > 💡 เมื่อเห็น `WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!` **ห้าม** กด yes ทันที — อาจตกเป็นเหยื่อ MitM --- # 3. SSH Authentication --- ## 3. SSH Authentication SSH รองรับการพิสูจน์ตัวตน (Authentication) หลายแบบ สามารถใช้ผสมกัน (Multi-method) ตามนโยบายความปลอดภัย วิธีหลัก ๆ ที่จะกล่าวถึง: - Password Authentication - Public Key Authentication - การสร้าง Key ด้วย `ssh-keygen` - `ssh-copy-id` และ `authorized_keys` - `ssh-agent` และ `ssh-add` - Passphrase และ Key Management --- ## 3.1 Password Authentication ใช้ **Username/Password** ของระบบ (ตรงกับใน `/etc/passwd`, `/etc/shadow`) ข้อเสีย: - เสี่ยงต่อ **Brute-force Attack** ผ่านพอร์ต 22 ที่เปิดสาธารณะ - รหัสผ่านที่อ่อนแอ ทำให้ทั้งระบบไม่ปลอดภัย - ต้องพิมพ์ทุกครั้ง ไม่เหมาะกับ automation ```bash # ปิด Password Auth (แนะนำสำหรับ production) sudo sed -i 's/^#*PasswordAuthentication.*/PasswordAuthentication no/' \ /etc/ssh/sshd_config sudo systemctl reload sshd ``` --- ## 3.2 Public Key Authentication วิธีที่ปลอดภัยและสะดวกที่สุด — ใช้คู่กุญแจ (Key Pair): - **Private Key** เก็บไว้ที่ Client เท่านั้น (ห้ามแชร์) - **Public Key** วางที่ Server ใน `~/.ssh/authorized_keys` หลักการ: Server ส่ง Challenge ที่เข้ารหัสด้วย Public Key ของผู้ใช้ Client ต้องใช้ Private Key ถอดรหัสและตอบกลับ ถ้าตอบถูกแสดงว่าเป็นเจ้าของจริง --- ## 3.2 Public Key Authentication (Diagram) <pre class="mermaid"> %%{init: {'theme':'base', 'themeVariables': {'primaryColor':'#3c3836','primaryTextColor':'#ebdbb2','primaryBorderColor':'#fabd2f','lineColor':'#fe8019','actorBkg':'#689d6a','actorTextColor':'#ebdbb2','background':'#282828'}}}%% sequenceDiagram participant C as 💻 Client participant S as 🖥️ Server C->>S: 1. ขอ Login เป็น user "moo" S->>S: 2. อ่าน authorized_keys S->>C: 3. ส่ง Challenge (encrypted) C->>C: 4. Decrypt ด้วย Private Key C->>S: 5. ส่ง Hash กลับ S->>S: 6. ตรวจสอบ Hash S->>C: 7. ✅ Auth Success </pre> --- ## 3.3 การสร้าง Key ด้วย ssh-keygen ```bash # Ed25519 (แนะนำ — เร็ว, ปลอดภัย, key สั้น) ssh-keygen -t ed25519 -C "moo@rmutsv-laptop" -f ~/.ssh/id_ed25519 # RSA 4096-bit (compatibility กับระบบเก่า) ssh-keygen -t rsa -b 4096 -C "moo@rmutsv-laptop" # ECDSA (ทางเลือก) ssh-keygen -t ecdsa -b 521 -C "moo@rmutsv-laptop" # ดู public key cat ~/.ssh/id_ed25519.pub # ดู fingerprint ssh-keygen -lf ~/.ssh/id_ed25519.pub ``` --- ## 3.3 เปรียบเทียบประเภท Key | ประเภท | ขนาดที่แนะนำ | ความเร็ว | สถานะ | |---|---|---|---| | **Ed25519** | 256-bit (fixed) | ⚡⚡⚡ เร็วที่สุด | ✅ แนะนำ | | **RSA** | ≥ 3072-bit | ⚡ ช้าที่สุด | ⚠️ ใช้ได้ | | **ECDSA** | 256/384/521-bit | ⚡⚡ เร็ว | ⚠️ นิยมน้อย | | **DSA** | 1024-bit | ช้า | ❌ Deprecated | --- ## 3.4 ssh-copy-id และ authorized_keys ```bash # วิธีง่าย: ใช้ ssh-copy-id ส่ง public key ไป server ssh-copy-id -i ~/.ssh/id_ed25519.pub moo@10.0.0.50 # วิธี manual (Windows ที่ไม่มี ssh-copy-id) cat ~/.ssh/id_ed25519.pub | ssh moo@10.0.0.50 \ 'mkdir -p ~/.ssh && chmod 700 ~/.ssh && \ cat >> ~/.ssh/authorized_keys && \ chmod 600 ~/.ssh/authorized_keys' # ทดสอบ — ไม่ควรถาม password อีก ssh moo@10.0.0.50 ``` --- ## 3.4 authorized_keys options โครงสร้างแต่ละบรรทัด: `[options] keytype base64-encoded-key comment` ```bash # จำกัดให้รันได้เฉพาะคำสั่ง backup command="/usr/local/bin/backup.sh",no-port-forwarding,no-pty \ ssh-ed25519 AAAA... backup-job # จำกัด IP ที่อนุญาต from="10.0.0.0/24,192.168.1.5" ssh-ed25519 AAAA... office-only # Git deploy (อ่านอย่างเดียว) command="git-shell",no-pty ssh-rsa AAAA... deploy-key ``` --- ## 3.5 ssh-agent และ ssh-add **ssh-agent** จดจำ Private Key (หลังถอด passphrase แล้ว) ในหน่วยความจำ ไม่ต้องพิมพ์ passphrase ทุกครั้ง ```bash # เริ่ม ssh-agent eval "$(ssh-agent -s)" # เพิ่ม key เข้า agent (ถาม passphrase ครั้งเดียว) ssh-add ~/.ssh/id_ed25519 # เพิ่มพร้อมหมดอายุใน 1 ชั่วโมง ssh-add -t 3600 ~/.ssh/id_ed25519 # ดู keys ใน agent / ลบ / ลบทั้งหมด ssh-add -l ssh-add -d ~/.ssh/id_ed25519 ssh-add -D ``` --- ## 3.5 Agent Forwarding ใช้ key จาก local ผ่านเซิร์ฟเวอร์กลางไปอีกเครื่อง: ```bash # เปิด agent forwarding ด้วย -A ssh -A moo@bastion.rmutsv.ac.th # เข้าไปแล้ว ssh ต่อโดยใช้ key เดิมได้ moo@bastion:~$ ssh moo@internal-server ``` > ⚠️ Agent Forwarding มีความเสี่ยง — ถ้าเซิร์ฟเวอร์กลางถูกแฮ็ก ผู้โจมตีใช้ key ของคุณได้ ควรใช้ **ProxyJump (-J)** แทน --- ## 3.6 Passphrase และ Key Management แนวทางจัดการ Key อย่างปลอดภัย: 1. **ใช้ passphrase ที่แข็งแรง** — อย่างน้อย 16 ตัวอักษร 2. **ใช้ ssh-agent** เพื่อไม่ต้องพิมพ์ทุกครั้ง 3. **แยก key ตาม role** เช่น `id_ed25519_personal`, `_work`, `_lab` 4. **กำหนดสิทธิ์ไฟล์ถูกต้อง** `~/.ssh`=700, private=600, public=644 5. **เปลี่ยน key เป็นระยะ** อย่างน้อยปีละครั้ง (production) 6. **Backup ใน password manager** ที่เข้ารหัส 7. **ใช้ Hardware Token** เช่น YubiKey --- ## 3.6 ตั้งสิทธิ์ไฟล์ ```bash # ตรวจสอบและแก้ไข permission อัตโนมัติ chmod 700 ~/.ssh chmod 600 ~/.ssh/id_ed25519 \ ~/.ssh/authorized_keys \ ~/.ssh/config chmod 644 ~/.ssh/id_ed25519.pub \ ~/.ssh/known_hosts ``` สิทธิ์ที่ผิดจะทำให้ SSH ปฏิเสธการใช้ key (StrictModes) --- # 4. การตั้งค่า SSH --- ## 4. การตั้งค่า SSH การตั้งค่า SSH แบ่งเป็นสองฝั่ง: - **Client config** สำหรับผู้ใช้ที่เชื่อมต่อออก - **Server config** สำหรับเครื่องที่รับการเชื่อมต่อ หัวข้อย่อย: - Client config (`~/.ssh/config`) - Server config (`/etc/ssh/sshd_config`) - Hardening - Fail2Ban / CrowdSec - sshd log และ auditing --- ## 4.1 Client config (~/.ssh/config) — Default ```sshconfig # === Default settings สำหรับทุก host === Host * ServerAliveInterval 60 ServerAliveCountMax 3 Compression yes HashKnownHosts yes AddKeysToAgent yes IdentitiesOnly yes ``` ช่วยให้กำหนด alias และ option ของแต่ละ host — พิมพ์คำสั่งสั้นและจำง่าย --- ## 4.1 Client config — ตัวอย่างจริง ```sshconfig Host rmutsv-server HostName 202.xx.xx.xx User moo Port 2222 IdentityFile ~/.ssh/id_ed25519_rmutsv Host lab-bastion HostName bastion.lab.rmutsv.ac.th User moo Host lab-* User student ProxyJump lab-bastion Host lab-web HostName 10.10.0.10 ``` แทน `ssh -i ~/.ssh/id_ed25519_rmutsv -p 2222 moo@202.xx.xx.xx` พิมพ์เพียง `ssh rmutsv-server` --- ## 4.2 Server config — Network ```sshconfig # === Network === Port 2222 AddressFamily inet ListenAddress 0.0.0.0 Protocol 2 # ห้าม SSH-1 # === Host Keys === HostKey /etc/ssh/ssh_host_ed25519_key HostKey /etc/ssh/ssh_host_rsa_key ``` เปลี่ยนพอร์ตจาก 22 เพื่อลด noise จาก bot scan และห้าม SSH-1 เด็ดขาด --- ## 4.2 Server config — Authentication ```sshconfig LoginGraceTime 30 PermitRootLogin no StrictModes yes MaxAuthTries 3 MaxSessions 5 PubkeyAuthentication yes PasswordAuthentication no PermitEmptyPasswords no ChallengeResponseAuthentication no AllowUsers moo admin deploy DenyUsers root guest ``` --- ## 4.2 Server config — Crypto Hardening ```sshconfig # === ตัด weak algorithms === KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,\ diffie-hellman-group16-sha512 Ciphers chacha20-poly1305@openssh.com,\ aes256-gcm@openssh.com,\ aes128-gcm@openssh.com MACs hmac-sha2-512-etm@openssh.com,\ hmac-sha2-256-etm@openssh.com HostKeyAlgorithms ssh-ed25519,rsa-sha2-512,rsa-sha2-256 ``` --- ## 4.2 ตรวจสอบและ Reload ```bash # ตรวจสอบ syntax ของ config (ห้าม restart ก่อนตรวจ!) sudo sshd -t # ถ้าไม่มี error ค่อย reload sudo systemctl reload sshd # ถ้าเปลี่ยน port ต้อง restart sudo systemctl restart sshd # ตรวจสอบสถานะ + log sudo systemctl status sshd sudo journalctl -u sshd -n 50 --no-pager ``` > ⚠️ ก่อน restart sshd ให้เปิด session ที่สองทิ้งไว้เสมอ! ถ้า config ผิดยังแก้ได้ --- ## 4.3 Hardening พื้นฐาน แนวทางที่ควรทำกับทุก SSH Server: 1. **เปลี่ยน Port** จาก 22 → 2222, 22022 — ลด scan noise 95%+ 2. **ห้าม Root Login** ใช้ `PermitRootLogin no` แล้ว `sudo` แทน 3. **ปิด Password Auth** ใช้ key เท่านั้น 4. **จำกัด User** ด้วย `AllowUsers` หรือ `AllowGroups` 5. **จำกัด IP** ด้วย Firewall ให้รับเฉพาะ subnet ที่ไว้ใจ 6. **Update sshd อย่างสม่ำเสมอ** เพื่อรับ security patch --- ## 4.3 Firewall จำกัด SSH ```bash # === ufw (Ubuntu/Debian) === sudo ufw allow from 10.0.0.0/24 to any port 2222 proto tcp sudo ufw deny 2222/tcp # === firewalld (Fedora/RHEL) === sudo firewall-cmd --permanent --add-rich-rule=' rule family="ipv4" source address="10.0.0.0/24" port port="2222" protocol="tcp" accept' sudo firewall-cmd --reload # === nftables === sudo nft add rule inet filter input \ tcp dport 2222 ip saddr 10.0.0.0/24 accept ``` --- ## 4.4 Fail2Ban — ติดตั้ง **Fail2Ban** อ่าน log แล้ว ban IP ที่พยายาม login ผิดเกินจำนวนครั้งที่กำหนด ```bash # ติดตั้ง sudo apt install fail2ban -y # Debian/Ubuntu sudo dnf install fail2ban -y # Fedora/RHEL ``` ```ini # /etc/fail2ban/jail.local [DEFAULT] bantime = 1h findtime = 10m maxretry = 5 backend = systemd [sshd] enabled = true port = 2222 ``` --- ## 4.4 Fail2Ban — ใช้งาน ```bash # เริ่มและ enable sudo systemctl enable --now fail2ban # ดู IP ที่ถูก ban sudo fail2ban-client status sshd # unban IP เฉพาะ (กรณีตัวเองโดน) sudo fail2ban-client set sshd unbanip 1.2.3.4 ``` **CrowdSec** เป็นทางเลือกใหม่ที่ทันสมัยกว่า — มี community blocklist แชร์กันทั่วโลก --- ## 4.5 sshd log และ Auditing ```bash # ดู log แบบ real-time sudo journalctl -u sshd -f # Login สำเร็จในวันนี้ sudo journalctl -u sshd --since today | grep "Accepted" # Login ที่ล้มเหลว sudo journalctl -u sshd --since "1 hour ago" | grep -E "Failed|Invalid" # คำสั่ง last / lastb last -a | head -20 sudo lastb -a | head -20 ``` --- ## 4.5 หา IP ที่ Brute-force มากที่สุด ```bash # ดู IP ที่พยายาม brute-force มากที่สุด sudo journalctl -u sshd --since "1 day ago" \ | grep "Failed password" \ | grep -oE 'from [0-9.]+' \ | sort | uniq -c | sort -rn | head -10 ``` ใช้ตรวจสอบและ block IP ที่น่าสงสัยเพิ่มเติม --- # 5. SSH ขั้นสูง --- ## 5. SSH ขั้นสูง SSH ไม่ได้เป็นเพียงแค่ Remote Shell — แต่ยังเป็นเครื่องมือ **Tunneling** ที่ทรงพลังที่สุดตัวหนึ่ง หัวข้อที่จะกล่าวถึง: - Local Port Forwarding (`-L`) - Remote Port Forwarding (`-R`) - Dynamic Port Forwarding / SOCKS Proxy (`-D`) - ProxyJump (`-J`) - SSH Tunnel สำหรับ Database - X11 Forwarding (`-X`, `-Y`) - SSH Multiplexing - sshuttle --- ## 5.1 Local Port Forwarding (-L) เปิดพอร์ตบนเครื่อง Client แล้วส่ง traffic ผ่าน SSH ไปยังเป้าหมายฝั่ง Server — ใช้สำหรับ **เข้าถึงบริการที่อยู่หลัง firewall** รูปแบบ: `ssh -L [bind_addr:]local_port:target_host:target_port user@ssh_server` ```bash # เข้าถึง PostgreSQL ภายใน ผ่าน bastion ssh -L 5432:db.internal:5432 moo@bastion.example.com # เชื่อมต่อ DB ได้ที่ localhost:5432 psql -h localhost -p 5432 -U appuser mydb ``` --- ## 5.1 Local Port Forwarding (Diagram) <pre class="mermaid"> %%{init: {'theme':'base', 'themeVariables': {'primaryColor':'#3c3836','primaryTextColor':'#ebdbb2','primaryBorderColor':'#fabd2f','lineColor':'#fe8019','secondaryColor':'#504945','background':'#282828'}}}%% flowchart LR subgraph Local["🏠 เครื่อง Local"] Browser[("App<br>localhost:8080")] end subgraph SSHC["🔒 SSH Tunnel"] Tunnel["ssh -L 8080:db:5432"] end subgraph Remote["🌐 Remote Network"] Bastion["Bastion"] DB[("Database<br>db:5432")] end Browser -->|connect| Tunnel Tunnel -->|encrypted| Bastion Bastion -->|plaintext| DB </pre> --- ## 5.1 ตัวอย่างเพิ่มเติม ```bash # Forward หลายพอร์ตในคราวเดียว ssh -L 5432:db:5432 \ -L 6379:redis:6379 \ -L 9200:elasticsearch:9200 \ moo@bastion.example.com # Background mode (-f) + ไม่ execute remote command (-N) ssh -fN -L 5432:db:5432 moo@bastion.example.com ``` --- ## 5.2 Remote Port Forwarding (-R) เปิดพอร์ตบนเครื่อง Server แล้วส่ง traffic กลับมายัง Client — ใช้สำหรับ **expose บริการบนเครื่อง local ให้คนภายนอกเข้าถึง** ```bash # เปิด web dev server บน localhost:3000 # ให้คนเข้าถึงได้ที่ public-server:8080 ssh -R 8080:localhost:3000 moo@public-server.com # bind 0.0.0.0 (ต้องตั้ง GatewayPorts yes) ssh -R 0.0.0.0:8080:localhost:3000 moo@public-server.com ``` > 💡 ทางเลือกสมัยใหม่: **ngrok**, **cloudflared**, **localtunnel**, **frp**, **rathole** --- ## 5.3 Dynamic Port Forwarding (-D) เปลี่ยน SSH เป็น **SOCKS5 Proxy** สามารถ proxy traffic ของแอปต่าง ๆ ได้ทั้งหมด ```bash # เปิด SOCKS5 proxy ที่ localhost:1080 ssh -D 1080 moo@bastion.example.com # ใช้ curl ผ่าน SOCKS proxy curl --socks5 localhost:1080 https://internal-app.company.com # Background mode ssh -fND 1080 moo@bastion.example.com ``` ตั้ง Firefox/Chrome ให้ใช้ proxy 127.0.0.1:1080 (SOCKS5) จะเปิดเว็บภายในได้ทั้งหมด --- ## 5.4 ProxyJump (-J) SSH ทะลุผ่านเครื่องกลาง (Bastion) ไปยังปลายทางในคำสั่งเดียว — ปลอดภัยกว่า Agent Forwarding ```bash # Hop เดียว: local → bastion → target ssh -J moo@bastion.example.com student@10.10.0.20 # Multiple hops ssh -J moo@bastion1,moo@bastion2 student@10.10.0.20 ``` ```sshconfig # กำหนดใน ~/.ssh/config Host lab-target HostName 10.10.0.20 User student ProxyJump moo@bastion.example.com ``` --- ## 5.5 SSH Tunnel สำหรับ Database ```bash # === MySQL === ssh -fN -L 3307:localhost:3306 moo@db.rmutsv.ac.th mysql -h 127.0.0.1 -P 3307 -u dbuser -p mydatabase # === PostgreSQL === ssh -fN -L 5433:localhost:5432 moo@db.rmutsv.ac.th psql "host=127.0.0.1 port=5433 user=dbuser dbname=mydb" # === MongoDB === ssh -fN -L 27018:localhost:27017 moo@db.rmutsv.ac.th mongosh mongodb://127.0.0.1:27018/mydb # ปิด tunnel ที่รัน background pkill -f "ssh -fN -L" ``` --- ## 5.6 X11 Forwarding (-X, -Y) รันโปรแกรม GUI บน server แล้วแสดงผลที่หน้าจอ client ```bash # -X: Untrusted X11 (ปลอดภัยกว่า) ssh -X moo@server # -Y: Trusted X11 (เร็วกว่า, ปลอดภัยน้อยลง) ssh -Y moo@server # ทดสอบ moo@server:~$ xclock moo@server:~$ wireshark ``` ฝั่ง server ต้องเปิด `X11Forwarding yes` ใน `sshd_config` --- ## 5.7 SSH Multiplexing หลาย session ใช้ TCP connection เดียวกัน — เร็วขึ้นเพราะไม่ต้อง handshake ใหม่ ```sshconfig # ~/.ssh/config Host * ControlMaster auto ControlPath ~/.ssh/sockets/%r@%h:%p ControlPersist 10m ``` ```bash mkdir -p ~/.ssh/sockets # ครั้งแรก: ~2 วินาที (handshake ครบ) ssh moo@server # ครั้งต่อไป: < 0.1 วินาที! ssh moo@server scp file.txt moo@server:~/ # ปิด master ssh -O exit moo@server ``` --- ## 5.8 sshuttle (VPN ผ่าน SSH) ทำ "VPN-like" tunnel ผ่าน SSH โดยไม่ต้องตั้ง VPN จริง ```bash # ติดตั้ง sudo apt install sshuttle -y # เปิด tunnel subnet 10.10.0.0/24 sudo sshuttle -r moo@bastion.example.com 10.10.0.0/24 # Tunnel ทุก traffic (เป็น VPN เต็ม) sudo sshuttle -r moo@bastion.example.com 0/0 # ใช้ DNS ของ remote ด้วย sudo sshuttle --dns -r moo@bastion.example.com 10.10.0.0/24 ``` > 💡 sshuttle ไม่ส่ง UDP, ICMP — ถ้าต้องการ full VPN ใช้ WireGuard หรือ OpenVPN --- # 6. การถ่ายโอนไฟล์ผ่าน SSH --- ## 6. การถ่ายโอนไฟล์ผ่าน SSH SSH ไม่ได้ใช้แค่ Remote Shell — แต่ยังเป็นช่องทางถ่ายโอนไฟล์ที่ปลอดภัยที่สุดวิธีหนึ่ง เครื่องมือที่จะกล่าวถึง: - **scp** (Secure Copy) - **sftp** (SSH File Transfer Protocol) - **rsync** over SSH - **sshfs** (Mount Remote Filesystem) --- ## 6.1 scp (Secure Copy) ใช้ syntax คล้าย `cp` ปกติ ```bash # Local → Remote scp /home/moo/report.pdf moo@server:/home/moo/ # Remote → Local scp moo@server:/var/log/syslog ./ # คัดลอกทั้งโฟลเดอร์ (recursive) scp -r ./project moo@server:/home/moo/ # ระบุ port + identity file scp -P 2222 -i ~/.ssh/id_ed25519_lab file.txt moo@server:~/ ``` > ⚠️ **scp กำลังถูก deprecate** ใน OpenSSH รุ่นใหม่ — แนะนำ `sftp` หรือ `rsync` --- ## 6.2 sftp — Interactive Mode ```bash # เริ่ม interactive session sftp moo@server # คำสั่งภายใน sftp> pwd # show remote pwd sftp> lpwd # show local pwd sftp> ls # list remote sftp> lls # list local sftp> cd /var/log sftp> get syslog # download sftp> put report.pdf # upload sftp> get -r /etc/nginx # download recursive sftp> bye ``` --- ## 6.2 sftp — Batch Mode ```bash # Batch mode: รัน script จากไฟล์ cat > batch.txt <<EOF cd /var/log get -r nginx bye EOF sftp -b batch.txt moo@server ``` รองรับ resume, listing, permission management — ดีกว่า scp --- ## 6.3 rsync — Options พื้นฐาน คัดลอกเฉพาะส่วนที่เปลี่ยน (delta transfer) เหมาะกับ backup และ sync - `-a` archive mode (= -rlptgoD) - `-v` verbose - `-z` compress - `-P` progress + resume - `--delete` ลบไฟล์ปลายทางที่ไม่มีในต้นทาง ```bash # Local → Remote rsync -avzP /home/moo/project/ moo@server:/home/moo/project/ # Remote → Local rsync -avzP moo@server:/var/www/site/ ./site_backup/ ``` --- ## 6.3 rsync — Trailing Slash ต่างกัน! ```bash # คัดลอกเนื้อหาภายใน src ไปไว้ใน dst rsync -av /src/ /dst/ # คัดลอก folder src ทั้งก้อนไปไว้ใน dst (กลายเป็น dst/src) rsync -av /src /dst/ ``` ```bash # Mirror (ปลายทางเหมือนต้นทางทุกอย่าง) rsync -avz --delete /src/ moo@server:/dst/ # Exclude บาง pattern rsync -avz --exclude='*.log' --exclude='node_modules/' \ ./project/ moo@server:/home/moo/project/ # Dry run (ทดสอบก่อนรันจริง) rsync -avzn --delete /src/ moo@server:/dst/ ``` --- ## 6.3 rsync — Backup Script ```bash #!/usr/bin/env bash set -euo pipefail REMOTE_USER="moo" REMOTE_HOST="backup.rmutsv.ac.th" REMOTE_PATH="/srv/backup/$(hostname)" LOCAL_PATH="/home/moo/important_data" LOG_FILE="/var/log/backup-$(date +%F).log" rsync -avzP --delete \ --exclude-from="$HOME/.rsyncignore" \ -e "ssh -p 2222 -i $HOME/.ssh/id_ed25519_backup" \ "$LOCAL_PATH/" \ "${REMOTE_USER}@${REMOTE_HOST}:${REMOTE_PATH}/" \ 2>&1 | tee "$LOG_FILE" ``` --- ## 6.4 sshfs (Mount Remote Filesystem) ใช้ FUSE mount โฟลเดอร์ remote เป็นเหมือนโฟลเดอร์ใน filesystem ของเรา ```bash # ติดตั้ง sudo apt install sshfs -y sudo dnf install fuse-sshfs -y # Mount: remote /home/moo → local ~/server mkdir -p ~/server sshfs moo@server.rmutsv.ac.th:/home/moo ~/server # พร้อม option ที่ใช้บ่อย sshfs -o reconnect,ServerAliveInterval=15,allow_other \ moo@server:/home/moo ~/server # Unmount fusermount -u ~/server ``` --- ## 6 เปรียบเทียบเครื่องมือ | เครื่องมือ | การใช้งาน | Resume | Delta | Mount | |---|---|---|---|---| | **scp** | One-shot copy | ❌ | ❌ | ❌ | | **sftp** | Interactive/Batch | ✅ | ❌ | ❌ | | **rsync** | Sync/Backup | ✅ | ✅ | ❌ | | **sshfs** | Filesystem mount | ✅ | ❌ | ✅ | เลือกตาม use case: ไฟล์เดียวเล็ก → scp, backup ใหญ่ → rsync, ใช้ต่อเนื่อง → sshfs --- # 7. Cockpit --- ## 7. Cockpit **Cockpit** เป็น Web-based Server Management Tool ที่ Red Hat พัฒนา - ออกแบบให้เป็น "เครื่องมือเสริม sshd" ไม่ใช่แทน SSH - จัดการเซิร์ฟเวอร์ผ่านเบราว์เซอร์ - เหมาะกับงานที่ต้องการ visualization - ใช้ Login ของระบบ (PAM) ไม่ต้องสร้างบัญชีใหม่ --- ## 7.1 ข้อดี Web-based Management - **Visualization** เห็นกราฟ CPU/Memory/Network แบบ real-time - **Cross-platform** เปิดจากเบราว์เซอร์อะไรก็ได้ ไม่ต้องติดตั้ง client - **Multi-host** จัดการหลายเซิร์ฟเวอร์จากหน้าเดียว - **Beginner-friendly** เหมาะกับ junior admin ข้อเสีย: - เปลือง resource มากกว่า CLI - เพิ่ม attack surface (เปิดพอร์ต web เพิ่ม) - ไม่เหมาะกับ automation (ใช้ Ansible/Terraform แทน) --- ## 7.1 สถาปัตยกรรม Cockpit <pre class="mermaid"> %%{init: {'theme':'base', 'themeVariables': {'primaryColor':'#3c3836','primaryTextColor':'#ebdbb2','primaryBorderColor':'#fabd2f','lineColor':'#fe8019','secondaryColor':'#504945','background':'#282828'}}}%% flowchart TB subgraph Browser["🌐 Browser"] UI["Cockpit UI<br>https://server:9090"] end subgraph Server["🖥️ Server"] CWS["cockpit-ws<br>port 9090"] CB["cockpit-bridge"] SYS[(systemd, NetworkManager,<br>firewalld, podman, libvirt)] end UI <-->|HTTPS+WS| CWS CWS --> CB CB --> SYS </pre> --- ## 7.2 ติดตั้ง Cockpit ```bash # Debian/Ubuntu sudo apt install -y cockpit sudo apt install -y cockpit-podman cockpit-machines \ cockpit-networkmanager cockpit-storaged # Fedora/RHEL/Rocky/AlmaLinux sudo dnf install -y cockpit cockpit-podman cockpit-machines # Arch Linux sudo pacman -S cockpit cockpit-podman cockpit-machines # openSUSE sudo zypper install cockpit cockpit-machines ``` --- ## 7.2 Enable Service ```bash # Enable + Start ผ่าน systemd socket sudo systemctl enable --now cockpit.socket # ตรวจสอบสถานะ sudo systemctl status cockpit.socket # เปิด firewall port 9090 sudo firewall-cmd --permanent --add-service=cockpit sudo firewall-cmd --reload # หรือ ufw sudo ufw allow 9090/tcp ``` เปิดเบราว์เซอร์ไปที่ `https://server-ip:9090` แล้ว login ด้วยบัญชี Linux --- ## 7.3 Module หลักของ Cockpit (1/2) 1. **Overview** สรุประบบ — Hostname, OS, CPU, RAM, Uptime, Performance 2. **Logs** ดู `journalctl` ผ่านเว็บ — filter ตาม service, severity 3. **Storage** disk, partition, LVM, RAID, NFS, iSCSI พร้อม IOPS 4. **Networking** interface, bridge, bond, VLAN, firewall 5. **Accounts** สร้าง/ลบ user, ตั้ง password, จัดการ SSH key 6. **Services** systemd unit — start/stop/enable/disable --- ## 7.3 Module หลักของ Cockpit (2/2) 7. **Software Updates** ตรวจหาและติดตั้ง package update 8. **Terminal** Web-based shell ผ่าน WebSocket 9. **Containers (Podman)** จัดการ container แบบ rootless 10. **Virtual Machines (libvirt)** สร้างและจัดการ VM ผ่าน KVM 11. **Diagnostic Reports** สร้าง sosreport สำหรับ support 12. **Kernel Dump** ตั้งค่า kdump --- ## 7.4 Multiple Host / Cluster Management Cockpit จัดการหลายเซิร์ฟเวอร์จากหน้าเดียว — เครื่อง "primary" จะ SSH ไปเครื่องอื่น ```bash # ติดตั้ง dashboard module (เฉพาะบน primary) sudo apt install -y cockpit-dashboard sudo dnf install -y cockpit-dashboard ``` ขั้นตอน: 1. ติดตั้ง Cockpit บนทุกเครื่อง (server1, server2, server3) 2. เปิด primary แล้วคลิก **"Add new host"** ใน dashboard 3. กรอก hostname/IP ของเครื่องอื่น + login credentials 4. Cockpit จะ SSH ไปจัดการให้ --- ## 7.5 Security — TLS Certificate โดย default ใช้ self-signed certificate — ในการใช้งานจริงควรใช้ cert จริง ```bash # === ใช้ Let's Encrypt cert === sudo ls /etc/cockpit/ws-certs.d/ # วาง cert + key sudo cat /etc/letsencrypt/live/server.example.com/fullchain.pem \ /etc/letsencrypt/live/server.example.com/privkey.pem \ | sudo tee /etc/cockpit/ws-certs.d/0-server.cert sudo chmod 600 /etc/cockpit/ws-certs.d/0-server.cert sudo systemctl restart cockpit ``` --- ## 7.5 Security — จำกัด IP และ Root ```bash # จำกัด IP ที่เข้าถึงได้ sudo mkdir -p /etc/systemd/system/cockpit.socket.d sudo tee /etc/systemd/system/cockpit.socket.d/listen.conf <<EOF [Socket] ListenStream= ListenStream=10.0.0.10:9090 EOF sudo systemctl daemon-reload sudo systemctl restart cockpit.socket # ปิด root login echo "root" | sudo tee /etc/cockpit/disallowed-users ``` > 💡 ไม่เปิด Cockpit ออก Public Internet เด็ดขาด — เข้าผ่าน VPN หรือ SSH Tunnel เท่านั้น --- # 8. VNC (Virtual Network Computing) --- ## 8. VNC (Virtual Network Computing) **VNC** เป็น Remote Desktop Protocol แบบ cross-platform ที่ใช้ **RFB (Remote Frame Buffer)** Protocol - ออกแบบโดย Olivetti & Oracle Research Lab ในปี 1998 - ปัจจุบันเป็น **open standard** - ทำงานข้ามระบบปฏิบัติการได้ทั้งหมด --- ## 8.1 Frame Buffer Sharing (RFB) ทำงานโดยส่ง **Frame Buffer** (พิกเซลของหน้าจอ) จาก Server ไปยัง Client และส่ง keyboard/mouse event กลับ หลักการสำคัญ: - **Pixel-based** ส่งภาพดิบของหน้าจอ ไม่สนใจ application logic - **Stateless on display** Server ไม่จำว่า Client เห็นอะไร — Client ขอ refresh เอง - **Encoding หลายแบบ** Raw, CopyRect, Hextile, Tight, ZRLE, ZRGB - **Cross-platform** ทำงานข้ามระบบปฏิบัติการ --- ## 8.1 Bandwidth Estimation ปริมาณข้อมูลที่ต้องส่งประมาณได้: <math xmlns="http://www.w3.org/1998/Math/MathML" display="block"> <mrow> <mi>B</mi> <mo>=</mo> <mfrac> <mrow><mi>W</mi><mo>×</mo><mi>H</mi><mo>×</mo><mi>D</mi><mo>×</mo><mi>F</mi><mo>×</mo><mi>R</mi></mrow> <mi>C</mi> </mfrac> </mrow> </math> โดย **B**=Bandwidth, **W**=width (px), **H**=height (px), **D**=bit depth, **F**=fps, **R**=ratio พื้นที่เปลี่ยน, **C**=compression ratio ตัวอย่าง: 1920×1080×24×30×0.1 / 8 ≈ **18.7 MB/s** — VNC กิน bandwidth สูง --- ## 8.2 VNC Server | VNC Server | License | จุดเด่น | |---|---|---| | **TigerVNC** | GPL | นิยมที่สุดบน Linux, multi-user | | **TightVNC** | GPL | บีบอัดดี, ข้ามแพลตฟอร์ม | | **x11vnc** | GPL | แชร์ session ที่ใช้อยู่ | | **RealVNC** | Commercial | UI สวย, มี cloud relay | | **TurboVNC** | GPL | เน้นงาน CAD, OpenGL | | **Xrdp** | Apache 2.0 | ใช้ RDP client ได้ | --- ## 8.3 VNC Client - **Remmina** (Linux) — multi-protocol (VNC, RDP, SSH, SPICE) - **TigerVNC Viewer** (cross-platform) — light, รวดเร็ว - **RealVNC Viewer** (cross-platform) — UI ทันสมัย - **Vinagre** (Linux/GNOME) — เรียบง่าย - **noVNC** (Web-based) — เปิดใน browser ได้เลย - **Apple Screen Sharing** (macOS) — built-in รองรับ VNC --- ## 8.4 ตั้งค่า TigerVNC + XFCE ```bash # ติดตั้ง sudo apt install -y tigervnc-standalone-server xfce4 xfce4-goodies # ตั้ง password VNC (เก็บใน ~/.vnc/passwd) vncpasswd ``` ```bash # สร้าง startup script mkdir -p ~/.vnc cat > ~/.vnc/xstartup <<'EOF' #!/bin/bash unset SESSION_MANAGER unset DBUS_SESSION_BUS_ADDRESS xrdb $HOME/.Xresources startxfce4 & EOF chmod +x ~/.vnc/xstartup ``` --- ## 8.4 เริ่ม/หยุด VNC Session ```bash # เริ่ม VNC server บน display :1 (port 5901) vncserver :1 -geometry 1920x1080 -depth 24 -localhost no # ดู session ที่รันอยู่ vncserver -list # หยุด session vncserver -kill :1 ``` display :1 → port 5901, display :2 → port 5902, ฯลฯ --- ## 8.5 systemd service สำหรับ VNC ```ini # /etc/systemd/system/vncserver@.service [Unit] Description=VNC for user %i After=syslog.target network.target [Service] Type=simple User=%i WorkingDirectory=/home/%i ExecStartPre=-/usr/bin/vncserver -kill :%i > /dev/null 2>&1 ExecStart=/usr/bin/vncserver :%i -geometry 1920x1080 -fg -localhost yes ExecStop=/usr/bin/vncserver -kill :%i [Install] WantedBy=multi-user.target ``` ```bash sudo systemctl enable --now vncserver@moo:1.service ``` --- ## 8.6 VNC over SSH Tunnel > ⚠️ **VNC โดย default ไม่ปลอดภัย** — Frame buffer ส่งเป็น plaintext! **ห้ามเปิด VNC port ออก Public Internet** ```bash # === ฝั่ง Server === # VNC ฟังเฉพาะ localhost vncserver :1 -geometry 1920x1080 -depth 24 -localhost yes # === ฝั่ง Client === # SSH tunnel: local 5901 → remote 5901 ssh -L 5901:localhost:5901 moo@server.example.com # เปิด VNC viewer remmina -c vnc://localhost:5901 vncviewer localhost:5901 ``` --- ## 8.6 noVNC ผ่าน HTTPS ใช้ noVNC ผ่าน Reverse Proxy (Nginx) เข้าถึงผ่านเบราว์เซอร์: ```bash # ติดตั้ง noVNC + websockify sudo apt install -y novnc websockify # Run websockify เป็น proxy WebSocket → VNC websockify --web=/usr/share/novnc/ 6080 localhost:5901 # เข้าผ่าน https://server:6080/vnc.html ``` ควรอยู่หลัง Nginx + Let's Encrypt + Auth เสมอ --- # 9. ทางเลือกอื่น --- ## 9. ทางเลือกอื่น นอกจาก SSH, Cockpit, VNC ยังมีเครื่องมือ Remote Access อื่น ๆ ที่เหมาะกับ Use Case แตกต่างกัน หัวข้อที่จะกล่าวถึง: - **RDP** ด้วย xrdp / FreeRDP - **NoMachine** - **Apache Guacamole** (Web-based Remote) - **MeshCentral, RustDesk** --- ## 9.1 RDP ด้วย xrdp / FreeRDP **RDP** เป็น protocol ของ Microsoft — บน Linux มี implementation ฟรี: **xrdp** (server), **FreeRDP** (client) ข้อดี: ปลอดภัยกว่า VNC โดย default, มี client ทุก OS ```bash # === ฝั่ง Server === sudo apt install -y xrdp xfce4 echo xfce4-session > ~/.xsession sudo adduser xrdp ssl-cert sudo systemctl enable --now xrdp sudo ufw allow 3389/tcp # === ฝั่ง Client === xfreerdp /v:server.example.com /u:moo /size:1920x1080 remmina -c rdp://moo@server.example.com ``` --- ## 9.2 NoMachine **NoMachine** เป็น proprietary remote desktop ที่ใช้ **NX protocol** - มีประสิทธิภาพดีกว่า VNC มาก - เหมาะกับงาน multimedia - เป็น closed-source (มี free tier สำหรับ personal use) --- ## 9.3 Apache Guacamole **Apache Guacamole** เป็น **clientless** remote desktop gateway — เปิดผ่านเบราว์เซอร์ได้เลย รองรับ SSH, RDP, VNC, Telnet, Kubernetes ```bash # วิธีง่ายที่สุด: Docker docker run -d --name guacd guacamole/guacd docker run -d --name guacamole \ --link guacd:guacd \ -e POSTGRES_HOSTNAME=postgres \ -e POSTGRES_USER=guacamole \ -e POSTGRES_PASSWORD=secret \ -p 8080:8080 \ guacamole/guacamole ``` เข้าผ่าน `http://server:8080/guacamole/` (default: guacadmin/guacadmin — เปลี่ยนทันที!) --- ## 9.4 MeshCentral, RustDesk - **MeshCentral** (Node.js, Apache) — web-based remote management พร้อม agent เหมือน TeamViewer แต่ self-hosted - **RustDesk** (Rust, AGPL) — ทางเลือก TeamViewer/AnyDesk ที่ self-hosted ได้ ทำงานผ่าน relay server กลาง - **Tactical RMM** — Remote Monitoring & Management ครบวงจรสำหรับ MSP --- ## 9 ตารางเปรียบเทียบ | เครื่องมือ | Type | NAT Traversal | Self-hosted | |---|---|---|---| | SSH | Shell | ❌ | ✅ | | Cockpit | Web Mgmt | ❌ | ✅ | | VNC | Desktop | ❌ | ✅ | | xrdp | Desktop | ❌ | ✅ | | NoMachine | Desktop | ✅ | บางส่วน | | Guacamole | Gateway | ❌ | ✅ | | MeshCentral | RMM | ✅ | ✅ | | RustDesk | Desktop | ✅ | ✅ | | TeamViewer | Desktop | ✅ | ❌ | --- # 10. Security Best Practices --- ## 10. Security Best Practices ระบบ Remote Access เป็น **attack surface** อันดับต้น ๆ ของเซิร์ฟเวอร์ที่เปิดสู่อินเทอร์เน็ต — การ harden ให้แน่นหนาเป็นเรื่องจำเป็น หัวข้อย่อย: - Firewall (ufw, firewalld, nftables) - Port Knocking - 2FA/MFA สำหรับ SSH - Audit Log (auditd) - Principle of Least Privilege - Checklist สรุปการ Hardening --- ## 10.1 Firewall — ufw ```bash # === ufw (Ubuntu/Debian) === # Default policy sudo ufw default deny incoming sudo ufw default allow outgoing # Allow SSH จาก subnet เดียว sudo ufw allow from 10.0.0.0/24 to any port 2222 proto tcp # Rate limit SSH (ป้องกัน brute force) sudo ufw limit 2222/tcp # Enable + ดูสถานะ sudo ufw enable sudo ufw status numbered ``` --- ## 10.1 Firewall — firewalld ```bash # === firewalld (Fedora/RHEL) — Zone-based === # ดู zone sudo firewall-cmd --get-active-zones # Add port ใน zone public sudo firewall-cmd --permanent --zone=public --add-port=2222/tcp # Rich rule: allow จาก subnet เดียว sudo firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" source address="10.0.0.0/24" port port="2222" protocol="tcp" accept' # Reload sudo firewall-cmd --reload ``` --- ## 10.1 Firewall — nftables ```bash # /etc/nftables.conf table inet filter { chain input { type filter hook input priority 0; policy drop; ct state established,related accept iif lo accept ip protocol icmp accept # SSH (rate limited) tcp dport 2222 ip saddr 10.0.0.0/24 limit rate 5/minute accept # Cockpit tcp dport 9090 ip saddr 10.0.0.0/24 accept } } sudo systemctl enable --now nftables ``` --- ## 10.2 Port Knocking ซ่อนพอร์ต SSH โดยให้ผู้ใช้ "เคาะ" พอร์ตชุดหนึ่งก่อน firewall จึงเปิด — ลด scan noise ได้ดี ```ini # /etc/knockd.conf [options] UseSyslog [openSSH] sequence = 7000,8000,9000 seq_timeout = 5 command = /sbin/iptables -I INPUT -s %IP% \ -p tcp --dport 2222 -j ACCEPT tcpflags = syn ``` ```bash # Client: เคาะ port แล้ว SSH knock server.example.com 7000 8000 9000 ssh -p 2222 moo@server.example.com ``` --- ## 10.3 2FA/MFA — Google Authenticator ```bash # ติดตั้ง sudo apt install -y libpam-google-authenticator # รันในนาม user (ไม่ใช่ sudo!) สร้าง secret google-authenticator -t -d -f -r 3 -R 30 -W # จะได้ QR code → scan ด้วย app บนมือถือ ``` ```bash # แก้ /etc/pam.d/sshd — เพิ่มบรรทัดบนสุด sudo sed -i '1i auth required pam_google_authenticator.so' \ /etc/pam.d/sshd ``` --- ## 10.3 2FA — sshd_config ```sshconfig # เพิ่มใน /etc/ssh/sshd_config ChallengeResponseAuthentication yes KbdInteractiveAuthentication yes UsePAM yes AuthenticationMethods publickey,keyboard-interactive ``` ```bash sudo systemctl restart sshd ``` > 💡 **YubiKey** ใช้คล้ายกัน — Setup ผ่าน `pam_yubico` หรือ FIDO2 ผ่าน OpenSSH 8.2+ (`ssh-keygen -t ed25519-sk`) --- ## 10.4 Audit Log (auditd) ```bash # ติดตั้ง sudo apt install -y auditd # ดู rule ปัจจุบัน sudo auditctl -l # Watch SSH config + authorized_keys sudo auditctl -w /etc/ssh/sshd_config -p wa -k sshd_config sudo auditctl -w /root/.ssh/ -p wa -k root_ssh sudo auditctl -w /home/ -p wa -k home_ssh # ค้นหา event sudo ausearch -k sshd_config -i | tail -20 sudo ausearch -m USER_LOGIN -i | tail -20 ``` --- ## 10.5 Principle of Least Privilege **ให้สิทธิ์เฉพาะที่จำเป็น**: 1. **ไม่มี root SSH** — login เป็นบัญชีตัวเอง แล้ว `sudo` 2. **Sudo Granular** — กำหนดเฉพาะคำสั่งที่อนุญาต 3. **Restricted Shell** — `git-shell`, `rssh` สำหรับ deploy 4. **One key per purpose** — admin, deploy, backup แยกกัน 5. **Time-limited Access** — certificate-based SSH ที่หมดอายุได้ 6. **Bastion/Jump Host** — access ทุกครั้งผ่าน host เดียว 7. **Network Segmentation** — Production ผ่าน VPN/Bastion เท่านั้น 8. **Regular Audit** — review keys, sudoers, logs ทุก 1-3 เดือน --- ## 10.5 sudoers Granular ```sudoers # /etc/sudoers.d/deploy # user deploy รัน restart service ได้เฉพาะที่ระบุ deploy ALL=(root) NOPASSWD: /bin/systemctl restart myapp deploy ALL=(root) NOPASSWD: /bin/systemctl status myapp deploy ALL=(root) NOPASSWD: /bin/journalctl -u myapp * ``` หลีกเลี่ยง `ALL=(ALL) NOPASSWD: ALL` พร่ำเพรื่อ — ให้สิทธิ์เท่าที่จำเป็นจริง ๆ --- ## 10.6 Checklist Hardening (1/2) ก่อนนำ SSH server ออก production ควรเช็ค: 1. ✅ เปลี่ยน Port จาก 22 เป็นพอร์ตอื่น 2. ✅ `PermitRootLogin no` 3. ✅ `PasswordAuthentication no` (key-only) 4. ✅ ใช้ Ed25519 key (หรือ RSA ≥ 3072-bit) 5. ✅ Private key ทุกตัวมี passphrase 6. ✅ จำกัด user ด้วย `AllowUsers` / `AllowGroups` 7. ✅ ตั้ง `MaxAuthTries 3` --- ## 10.6 Checklist Hardening (2/2) 8. ✅ ตัด weak Cipher/KEX/MAC ใน `sshd_config` 9. ✅ Firewall จำกัด IP ที่เข้าได้ 10. ✅ Fail2Ban หรือ CrowdSec ป้องกัน brute force 11. ✅ 2FA/MFA สำหรับ user ที่มีสิทธิ์สูง 12. ✅ Audit Log + Log Rotation 13. ✅ ติดตั้ง security patch สม่ำเสมอ (`unattended-upgrades`) 14. ✅ ทดสอบด้วย `ssh-audit` หรือ `nmap --script ssh-*` --- ## 10.6 ทดสอบ Configuration ```bash # ทดสอบ SSH config ด้วย ssh-audit pip install ssh-audit ssh-audit server.example.com # หรือใช้ nmap script nmap -p 2222 \ --script ssh2-enum-algos,ssh-auth-methods \ server.example.com ``` ใช้เครื่องมือเหล่านี้ตรวจสอบว่า config ผ่านมาตรฐาน security หรือไม่ --- ## 📚 สรุป 3 เครื่องมือหลักสำหรับ Remote Access บน Linux: - **SSH** — มาตรฐานทองคำของ Remote Shell ครอบคลุม file transfer (`scp`, `sftp`, `rsync`, `sshfs`), tunneling (`-L`, `-R`, `-D`, `-J`), และ automation - **Cockpit** — Web-based management ที่เหมาะกับ visualization และ junior admin - **VNC** — Remote Desktop สำหรับงานที่ต้องการ GUI ต้องห่อด้วย SSH Tunnel เสมอ --- ## 📚 หลักการสำคัญ > 🔐 **"Encryption + Authentication + Least Privilege + Audit"** สี่เสาหลักของระบบ Remote Access ที่ปลอดภัย — ไม่ว่าจะเลือกเครื่องมือใด หลักการนี้ใช้ได้เสมอ --- ## 🔗 อ้างอิงและเอกสารเพิ่มเติม - OpenSSH Manual: <https://www.openssh.com/manual.html> - RFC 4251 — SSH Protocol Architecture - RFC 6143 — RFB Protocol (VNC) - Cockpit Project: <https://cockpit-project.org/> - TigerVNC: <https://tigervnc.org/> - Mozilla SSH Guidelines: <https://infosec.mozilla.org/guidelines/openssh> - ssh-audit: <https://github.com/jtesta/ssh-audit> --- # คำถาม - ข้อสงสัย <img src="/revealjs/pics/os.png" width="55%" />