การติดตั้ง Ubuntu Server 24.04 LTS (Noble Numbat) ถือเป็นจุดเริ่มต้นที่สำคัญในการสร้างรากฐานระบบเซิร์ฟเวอร์ที่แข็งแกร่งและเชื่อถือได้ อย่างไรก็ตาม การติดตั้งเพียงอย่างเดียวไม่เพียงพอที่จะรับประกันความปลอดภัยและประสิทธิภาพสูงสุด การดำเนินการตามขั้นตอนหลังการติดตั้งที่เหมาะสมจึงเป็นสิ่งจำเป็นอย่างยิ่งสำหรับผู้ดูแลระบบ (SysAdmin) เพื่อให้เซิร์ฟเวอร์พร้อมสำหรับการใช้งานจริง ปลอดภัยจากการโจมตี และสามารถทำงานได้อย่างมีเสถียรภาพ บทความนี้จะนำเสนอคู่มือฉบับสมบูรณ์ที่ครอบคลุมตั้งแต่การตั้งค่าพื้นฐานไปจนถึงการเสริมสร้างความปลอดภัยขั้นสูง เพื่อให้ Ubuntu Server 24.04 ของคุณเป็นแพลตฟอร์มที่ทรงพลังและปลอดภัย
1. การอัปเดตระบบปฏิบัติการให้เป็นปัจจุบัน (System Update)
หลังจากติดตั้ง Ubuntu Server 24.04 สิ่งแรกที่ควรทำคือการอัปเดตแพ็คเกจซอฟต์แวร์ทั้งหมดให้เป็นเวอร์ชันล่าสุด เพื่อให้มั่นใจว่าระบบมีความปลอดภัยและได้รับคุณสมบัติใหม่ๆ ที่ได้รับการแก้ไขข้อผิดพลาดแล้ว การอัปเดตระบบจะช่วยป้องกันช่องโหว่ด้านความปลอดภัยที่อาจถูกใช้ในการโจมตีได้
sudo apt update
sudo apt upgrade -y
Ubuntu 24.04 LTS มาพร้อมกับ Linux Kernel 6.8 ซึ่งมีการปรับปรุงประสิทธิภาพและรองรับฮาร์ดแวร์ใหม่ๆ ได้ดีขึ้น การอัปเดตนี้จะช่วยให้คุณได้รับประโยชน์สูงสุดจาก Kernel เวอร์ชันนี้
2. การจัดการผู้ใช้และการให้สิทธิ์ (User Management and Permissions)
การใช้งานบัญชี root โดยตรงในการทำงานประจำวันเป็นสิ่งที่ไม่แนะนำอย่างยิ่ง เนื่องจากมีสิทธิ์สูงสุดและอาจก่อให้เกิดความเสียหายร้ายแรงหากเกิดข้อผิดพลาด ควรสร้างบัญชีผู้ใช้ใหม่ที่มีสิทธิ์จำกัด และใช้ sudo เมื่อต้องการสิทธิ์ระดับผู้ดูแลระบบเท่านั้น
สร้างผู้ใช้ใหม่
adduser [ชื่อผู้ใช้]
ระบบจะขอให้คุณตั้งรหัสผ่านและข้อมูลอื่นๆ สำหรับผู้ใช้ใหม่
ให้สิทธิ์ sudo แก่ผู้ใช้ใหม่
usermod -aG sudo [ชื่อผู้ใช้]
หลังจากนี้ คุณสามารถล็อกอินด้วยผู้ใช้ใหม่และใช้คำสั่ง sudo เพื่อรันคำสั่งที่ต้องการสิทธิ์ root ได้
3. การเสริมความปลอดภัย SSH (SSH Hardening)
SSH (Secure Shell) เป็นช่องทางหลักในการเข้าถึงเซิร์ฟเวอร์จากระยะไกล การรักษาความปลอดภัย SSH จึงเป็นสิ่งสำคัญอย่างยิ่งเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
3.1 การใช้ SSH Key Authentication
แทนที่จะใช้รหัสผ่าน ควรใช้ SSH Key Authentication ซึ่งมีความปลอดภัยสูงกว่ามาก โดยสร้างคู่คีย์ (public/private key) บนเครื่องไคลเอนต์และคัดลอก public key ไปยังเซิร์ฟเวอร์
บนเครื่องไคลเอนต์
ssh-keygen -t rsa -b 4096
ssh-copy-id [ชื่อผู้ใช้]@<IP_เซิร์ฟเวอร์>
ssh-copy-id [ชื่อผู้ใช้]@<IP_เซิร์ฟเวอร์>
3.2 ปิดการล็อกอินด้วย root
แก้ไขไฟล์คอนฟิกูเรชัน SSH เพื่อปิดการล็อกอินด้วยบัญชี root โดยตรง
sudo nano /etc/ssh/sshd_config
ค้นหาบรรทัด PermitRootLogin และเปลี่ยนเป็น no:
PermitRootLogin no
3.3 เปลี่ยนพอร์ต SSH เริ่มต้น (Optional แต่แนะนำ)
พอร์ต 22 เป็นพอร์ตมาตรฐานสำหรับ SSH ซึ่งมักตกเป็นเป้าหมายของการโจมตีแบบ Brute Force การเปลี่ยนไปใช้พอร์ตอื่นที่ไม่ใช่ค่าเริ่มต้นจะช่วยลดความเสี่ยงได้
ในไฟล์ /etc/ssh/sshd_config ค้นหาบรรทัด Port 22 และเปลี่ยนเป็นพอร์ตอื่น เช่น Port 2222:
Port 2222
3.4 รีสตาร์ทบริการ SSH
หลังจากแก้ไขไฟล์คอนฟิกูเรชันแล้ว ต้องรีสตาร์ทบริการ SSH เพื่อให้การเปลี่ยนแปลงมีผล
sudo systemctl restart ssh
4. การตั้งค่า Firewall ด้วย UFW (Uncomplicated Firewall)
UFW เป็นเครื่องมือ Firewall ที่ใช้งานง่ายสำหรับ Ubuntu ช่วยให้คุณสามารถควบคุมการเข้าถึงเครือข่ายของเซิร์ฟเวอร์ได้อย่างมีประสิทธิภาพ
4.1 ตรวจสอบสถานะ UFW
sudo ufw status
หากยังไม่ได้เปิดใช้งาน สถานะจะเป็น inactive
4.2 อนุญาตการเชื่อมต่อ SSH
ก่อนเปิดใช้งาน UFW คุณต้องอนุญาตการเชื่อมต่อ SSH มิฉะนั้นคุณอาจถูกล็อกไม่ให้เข้าถึงเซิร์ฟเวอร์ได้ หากคุณเปลี่ยนพอร์ต SSH ให้ใช้พอร์ตที่คุณตั้งค่าไว้
sudo ufw allow OpenSSH
# หรือถ้าเปลี่ยนพอร์ตเป็น 2222
sudo ufw allow 2222/tcp
# หรือถ้าเปลี่ยนพอร์ตเป็น 2222
sudo ufw allow 2222/tcp
4.3 เปิดใช้งาน UFW
sudo ufw enable
ระบบจะถามยืนยัน ให้พิมพ์ y และกด Enter
4.4 การอนุญาตบริการอื่นๆ (หากจำเป็น)
หากคุณจะรันบริการอื่นๆ เช่น Web Server (HTTP/HTTPS) หรือ Database Server คุณต้องเปิดพอร์ตที่เกี่ยวข้องใน UFW ด้วย
sudo ufw allow http
sudo ufw allow https
# หรือ
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw allow https
# หรือ
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
5. การตั้งค่า Timezone และ NTP (Network Time Protocol )
การตั้งค่าเวลาที่ถูกต้องเป็นสิ่งสำคัญสำหรับบันทึกเหตุการณ์ (logs) การทำงานของแอปพลิเคชัน และการตรวจสอบความปลอดภัย
5.1 ตรวจสอบ Timezone ปัจจุบัน
timedatectl
5.2 ตั้งค่า Timezone
หากต้องการเปลี่ยน Timezone เป็น Asia/Bangkok
sudo timedatectl set-timezone Asia/Bangkok
ระบบ Ubuntu Server 24.04 จะใช้ systemd-timesyncd ในการซิงค์เวลาโดยอัตโนมัติกับ NTP servers ทำให้มั่นใจได้ว่าเวลาของระบบจะถูกต้องอยู่เสมอ
6. การติดตั้งเครื่องมือพื้นฐานที่จำเป็น (Essential Tools Installation)
เครื่องมือเหล่านี้เป็นประโยชน์อย่างยิ่งสำหรับการจัดการและแก้ไขปัญหาเซิร์ฟเวอร์
sudo apt install build-essential curl wget git vim net-tools htop -y
- build-essential: แพ็คเกจที่จำเป็นสำหรับการคอมไพล์ซอฟต์แวร์จากซอร์สโค้ด
- curl, wget: เครื่องมือสำหรับดาวน์โหลดไฟล์จากอินเทอร์เน็ต
- git: ระบบควบคุมเวอร์ชันที่จำเป็นสำหรับการจัดการโค้ด
- vim: โปรแกรมแก้ไขข้อความแบบ Command Line ที่ทรงพลัง (หรือใช้ nano หากคุ้นเคยกว่า)
- net-tools: เครื่องมือสำหรับจัดการเครือข่าย เช่น ifconfig, netstat
- htop: เครื่องมือตรวจสอบกระบวนการและทรัพยากรระบบแบบโต้ตอบ
7. การตั้งค่าระบบอัตโนมัติและการบำรุงรักษา (Automated Maintenance and Security)
การตั้งค่าการบำรุงรักษาอัตโนมัติและการป้องกันการโจมตีเป็นสิ่งสำคัญเพื่อความปลอดภัยและความเสถียรของเซิร์ฟเวอร์ในระยะยาว
7.1 เปิดใช้งาน Unattended-Upgrades
unattended-upgrades จะช่วยให้ระบบติดตั้งการอัปเดตด้านความปลอดภัยที่สำคัญโดยอัตโนมัติ ทำให้เซิร์ฟเวอร์ของคุณได้รับการป้องกันอยู่เสมอโดยไม่ต้องมีการแทรกแซงด้วยตนเอง
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure –priority=low unattended-upgrades
sudo dpkg-reconfigure –priority=low unattended-upgrades
7.2 ติดตั้ง Fail2Ban
Fail2Ban เป็นเครื่องมือที่ช่วยป้องกันการโจมตีแบบ Brute Force โดยการบล็อก IP Address ที่พยายามล็อกอินเข้ามายังเซิร์ฟเวอร์ซ้ำๆ ด้วยรหัสผ่านที่ไม่ถูกต้อง
sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
คุณสามารถปรับแต่งการตั้งค่า Fail2Ban ได้ในไฟล์ /etc/fail2ban/jail.local
8. ทำความเข้าใจกับฟีเจอร์ใหม่ใน Ubuntu Server 24.04 LTS (Noble Numbat)
Ubuntu Server 24.04 มาพร้อมกับการปรับปรุงและฟีเจอร์ใหม่ๆ ที่ SysAdmin ควรรู้
- Netplan เวอร์ชันใหม่: รองรับการกำหนดค่าเครือข่ายที่ยืดหยุ่นและมีประสิทธิภาพมากขึ้น
- การปรับปรุงความปลอดภัย Kernel และ AppArmor Profiles: เสริมสร้างความแข็งแกร่งให้กับระบบป้องกันการโจมตีในระดับ Kernel และควบคุมการเข้าถึงทรัพยากรของแอปพลิเคชันได้ละเอียดยิ่งขึ้น
- รองรับการติดตั้งแบบ “Proposed” updates ที่ปรับแต่งได้: ช่วยให้ผู้ใช้สามารถทดสอบและควบคุมการอัปเดตแพ็คเกจได้ละเอียดขึ้นก่อนนำไปใช้จริง
- Expanded Security Maintenance (ESM) นานถึง 12 ปี (สำหรับผู้ใช้ Ubuntu Pro): มอบการสนับสนุนด้านความปลอดภัยที่ยาวนานเป็นพิเศษ ทำให้เหมาะสำหรับสภาพแวดล้อมการทำงานที่ต้องการความเสถียรและความปลอดภัยสูงสุดในระยะยาว
สรุป
การดำเนินการตามขั้นตอนหลังการติดตั้ง Ubuntu Server 24.04 ที่กล่าวมาข้างต้น ไม่เพียงแต่เป็นการเตรียมความพร้อมของเซิร์ฟเวอร์ให้สามารถทำงานได้อย่างมีประสิทธิภาพเท่านั้น แต่ยังเป็นการสร้างรากฐานด้านความปลอดภัยที่แข็งแกร่ง เพื่อปกป้องข้อมูลและบริการของคุณจากการคุกคามต่างๆ ในโลกไซเบอร์ การลงทุนเวลาในการตั้งค่าเหล่านี้ตั้งแต่เริ่มต้นจะช่วยลดปัญหาและเพิ่มความมั่นใจในการใช้งานเซิร์ฟเวอร์ของคุณในระยะยาว ในฐานะ SysAdmin การทำความเข้าใจและนำแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดไปใช้เป็นสิ่งสำคัญอย่างยิ่งในการรักษาสภาพแวดล้อมของเซิร์ฟเวอร์ให้ปลอดภัยและเชื่อถือได้เสมอ
