Home » Linux Server Hardening คู่มือเสริมความปลอดภัย
ไม่มีหมวดหมู่

Linux Server Hardening คู่มือเสริมความปลอดภัย

March 16, 2026
0 Views

ในโลกดิจิทัลที่ขับเคลื่อนด้วยนวัตกรรมและความเชื่อมโยงอย่างไม่หยุดยั้ง Linux Server ได้กลายเป็นหัวใจสำคัญของโครงสร้างพื้นฐานด้านไอทีสำหรับองค์กรและธุรกิจทั่วโลก ด้วยความยืดหยุ่น ประสิทธิภาพ และความสามารถในการปรับแต่งที่เหนือชั้น ทำให้ Linux เป็นตัวเลือกอันดับหนึ่งสำหรับโฮสต์เว็บไซต์ แอปพลิเคชันฐานข้อมูล คลาวด์ และบริการสำคัญอื่น ๆ อีกมากมายครับ แต่เช่นเดียวกับอัญมณีล้ำค่าที่ต้องการการปกป้องจากภัยคุกคาม Linux Server ของเราก็ต้องการเกราะป้องกันที่แข็งแกร่งเช่นกันครับ การละเลยความปลอดภัยแม้เพียงเล็กน้อยอาจนำไปสู่ความเสียหายร้ายแรง ไม่ว่าจะเป็นการถูกโจมตีทางไซเบอร์ ข้อมูลรั่วไหล หรือบริการหยุดชะงัก ซึ่งส่งผลกระทบต่อชื่อเสียงและผลประกอบการของธุรกิจได้อย่างมหาศาลเลยทีเดียวครับ

บทความนี้ SiamLancard.com ขออาสาพาคุณเจาะลึกถึงหลักการและวิธีการ “Linux Server Hardening” หรือการเสริมความปลอดภัยให้กับเซิร์ฟเวอร์ Linux ของคุณให้แข็งแกร่งยิ่งขึ้นกว่าเดิม ตั้งแต่พื้นฐานไปจนถึงเทคนิคขั้นสูง ด้วยคู่มือที่ครบถ้วน เจาะลึก และนำไปปฏิบัติได้จริง เพื่อให้คุณมั่นใจได้ว่าเซิร์ฟเวอร์ของคุณจะได้รับการปกป้องอย่างดีที่สุด พร้อมรับมือกับภัยคุกคามที่พัฒนาอยู่ตลอดเวลาครับ

สารบัญ

พื้นฐานความเข้าใจในการ Hardening Server Linux

ก่อนที่เราจะเริ่มลงมือ Hardening เซิร์ฟเวอร์ Linux ของเรา เรามาทำความเข้าใจแนวคิดพื้นฐานบางประการที่สำคัญต่อความมั่นคงปลอดภัยกันก่อนนะครับ

แนวคิด Zero Trust

หลักการ Zero Trust คือการไม่เชื่อถือสิ่งใดเลย ไม่ว่าจะมาจากภายในหรือภายนอกเครือข่าย ทุกการเชื่อมต่อ ทุกอุปกรณ์ ทุกผู้ใช้งาน ต้องผ่านการตรวจสอบและยืนยันตัวตนอย่างเข้มงวดเสมอครับ แนวคิดนี้เป็นรากฐานสำคัญของการป้องกันภัยคุกคามในยุคปัจจุบัน ที่ผู้โจมตีอาจมาจากภายในองค์กรเอง หรือแทรกซึมเข้ามาในเครือข่ายได้ครับ

Defense in Depth (การป้องกันแบบเชิงลึก)

Defense in Depth เป็นกลยุทธ์การป้องกันที่ซ้อนทับกันหลายชั้น เสมือนกับการมีกำแพงหลายชั้นคอยปกป้องปราสาท หากผู้บุกรุกสามารถทะลวงกำแพงชั้นแรกได้ ก็ยังต้องเผชิญกับกำแพงชั้นถัดไปครับ ในบริบทของเซิร์ฟเวอร์ Linux หมายถึงการใช้มาตรการรักษาความปลอดภัยหลายอย่างร่วมกัน เช่น Firewall, การจัดการสิทธิ์ผู้ใช้, การเข้ารหัสข้อมูล, และการตรวจสอบ Log เพื่อให้มีโอกาสน้อยที่สุดที่ผู้โจมตีจะประสบความสำเร็จครับ

ความสำคัญของการอัปเดตและแพตช์

ซอฟต์แวร์ทุกชนิดย่อมมีช่องโหว่เกิดขึ้นได้เสมอครับ ผู้พัฒนาจะออกแพตช์ (Patch) เพื่อแก้ไขช่องโหว่เหล่านี้ การอัปเดตระบบปฏิบัติการและซอฟต์แวร์บนเซิร์ฟเวอร์อย่างสม่ำเสมอจึงเป็นสิ่งสำคัญอันดับต้น ๆ ในการป้องกันการโจมตีที่อาศัยช่องโหว่ที่ทราบแล้วครับ

การประเมินความเสี่ยง

การเข้าใจถึงความเสี่ยงที่เซิร์ฟเวอร์ของคุณอาจเผชิญอยู่เป็นสิ่งจำเป็นครับ ไม่ว่าจะเป็นข้อมูลที่จัดเก็บ ความสำคัญของบริการที่รันอยู่ หรือช่องโหว่ที่อาจเกิดขึ้นได้ การประเมินความเสี่ยงช่วยให้เราสามารถจัดลำดับความสำคัญของมาตรการ Hardening และจัดสรรทรัพยากรได้อย่างเหมาะสมครับ

การเริ่มต้น: การติดตั้งที่ปลอดภัยและแพตช์ระบบ

ขั้นตอนแรกและสำคัญที่สุดในการ Hardening Server Linux คือการเริ่มต้นอย่างถูกต้องครับ

การเลือก Distribution ที่เหมาะสม

การเลือก Linux Distribution มีผลต่อความปลอดภัยและการดูแลรักษาในระยะยาวครับ Distro ยอดนิยมอย่าง Debian, Ubuntu Server, CentOS Stream (หรือ RHEL สำหรับองค์กร) มักจะมีความปลอดภัยสูง มีชุมชนขนาดใหญ่ และมีการอัปเดตแพตช์อย่างสม่ำเสมอครับ

  • Debian/Ubuntu Server: เหมาะสำหรับผู้เริ่มต้นและผู้ที่ต้องการความยืดหยุ่น มีแพคเกจซอฟต์แวร์ให้เลือกมากมาย
  • CentOS Stream/RHEL: เหมาะสำหรับสภาพแวดล้อมองค์กรที่ต้องการความเสถียรสูงและการสนับสนุนระยะยาว

การอัปเดตระบบปฏิบัติการและซอฟต์แวร์

ทันทีหลังการติดตั้งระบบปฏิบัติการใหม่ หรือเป็นส่วนหนึ่งของการบำรุงรักษาประจำวัน คุณควรตรวจสอบและติดตั้งการอัปเดตทั้งหมดครับ

สำหรับ Debian/Ubuntu:

sudo apt update
sudo apt upgrade -y
sudo apt dist-upgrade -y
sudo apt autoremove -y

สำหรับ CentOS/RHEL:

sudo dnf update -y
sudo dnf autoremove -y

การตั้งค่าอัปเดตอัตโนมัติ (Unattended Upgrades):
เพื่อความสะดวกและมั่นใจว่าเซิร์ฟเวอร์จะได้รับการอัปเดตอย่างสม่ำเสมอ คุณสามารถตั้งค่าให้ระบบอัปเดตแพตช์ความปลอดภัยโดยอัตโนมัติได้ครับ

สำหรับ Debian/Ubuntu:

sudo apt install unattended-upgrades
sudo dpkg-reconfigure unattended-upgrades

ทำตามคำแนะนำในหน้าจอ เพื่อเปิดใช้งานการอัปเดตอัตโนมัติ และควรตรวจสอบไฟล์คอนฟิกูเรชันที่ /etc/apt/apt.conf.d/50unattended-upgrades เพื่อปรับแต่งการทำงานเพิ่มเติมครับ

การลบซอฟต์แวร์และบริการที่ไม่จำเป็น

ทุกบริการหรือซอฟต์แวร์ที่ติดตั้งอยู่บนเซิร์ฟเวอร์ล้วนเป็นจุดที่อาจเกิดช่องโหว่ได้ครับ ดังนั้น การลบสิ่งที่ไม่ได้ใช้งานจะช่วยลด “Attack Surface” หรือพื้นที่ที่ผู้โจมตีสามารถเข้าถึงได้ครับ

  1. ตรวจสอบบริการที่กำลังทำงาน: 
    sudo systemctl list-unit-files --type=service --state=enabled

    หรือ

    sudo ss -tulpn

    เพื่อดูพอร์ตที่เปิดอยู่และบริการที่กำลังฟังอยู่ครับ

  2. ลบแพคเกจที่ไม่จำเป็น: 
    sudo apt remove

    หรือ

    sudo dnf remove

    ตัวอย่างเช่น หากเซิร์ฟเวอร์ของคุณไม่มี GUI ก็ควรลบแพคเกจที่เกี่ยวข้องกับ Desktop Environment ออกไปครับ

  3. ปิดการทำงานของบริการที่ไม่จำเป็น: 
    sudo systemctl disable 
sudo systemctl stop

การจัดการผู้ใช้งานและสิทธิ์ (User and Permissions Management)

การจัดการผู้ใช้งานและสิทธิ์เป็นหัวใจสำคัญของการควบคุมการเข้าถึงและป้องกันการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตครับ

นโยบายรหัสผ่านที่รัดกุม (Password Policy)

รหัสผ่านที่คาดเดาง่ายคือประตูเปิดสู่การโจมตีครับ เราควรบังคับใช้นโยบายรหัสผ่านที่แข็งแกร่งครับ

  • ความยาว: กำหนดให้รหัสผ่านมีความยาวอย่างน้อย 12-16 ตัวอักษร
  • ความซับซ้อน: ต้องมีตัวอักษรพิมพ์เล็ก พิมพ์ใหญ่ ตัวเลข และอักขระพิเศษผสมกัน
  • อายุรหัสผ่าน: บังคับให้ผู้ใช้เปลี่ยนรหัสผ่านเป็นประจำ (เช่น ทุก 90 วัน)
  • ประวัติรหัสผ่าน: ห้ามใช้รหัสผ่านเก่าซ้ำ

คุณสามารถกำหนดค่าเหล่านี้ได้ในไฟล์ /etc/login.defs และใช้โมดูล PAM (Pluggable Authentication Modules) เช่น pam_pwquality.so หรือ pam_cracklib.so ครับ

# ตัวอย่างการตั้งค่าใน /etc/login.defs
PASS_MAX_DAYS   90   # รหัสผ่านมีอายุสูงสุด 90 วัน
PASS_MIN_DAYS   7    # ต้องรออย่างน้อย 7 วันจึงจะเปลี่ยนรหัสผ่านได้อีก
PASS_WARN_AGE   14   # เตือนเมื่อรหัสผ่านจะหมดอายุใน 14 วัน

# สำหรับ pam_pwquality (ใน /etc/pam.d/common-password หรือ /etc/pam.d/system-auth)
# เพิ่มบรรทัดนี้:
password    requisite   pam_pwquality.so retry=3 minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root

คำสั่ง chage -l <username> ใช้สำหรับตรวจสอบข้อมูลอายุรหัสผ่านของบัญชีผู้ใช้ครับ

การจัดการกลุ่มผู้ใช้งาน

จัดกลุ่มผู้ใช้งานตามบทบาทและหน้าที่ เพื่อให้การจัดการสิทธิ์ง่ายขึ้นครับ

  • ใช้คำสั่ง groupadd เพื่อสร้างกลุ่ม
  • ใช้คำสั่ง usermod -aG เพื่อเพิ่มผู้ใช้เข้ากลุ่ม

หลักการ Least Privilege (สิทธิ์ขั้นต่ำ)

ผู้ใช้งานและบริการควรได้รับสิทธิ์ในการเข้าถึงทรัพยากรที่จำเป็นต่อการทำงานของตนเท่านั้น ไม่ควรมีสิทธิ์มากเกินความจำเป็นครับ

การจำกัดสิทธิ์ Root

บัญชีผู้ใช้ Root มีสิทธิ์สูงสุดในระบบ การใช้งานบัญชี Root โดยตรงมีความเสี่ยงสูงมากครับ

  • การใช้ sudo แทน su:
    แทนที่จะล็อกอินด้วย Root โดยตรง ควรล็อกอินด้วยบัญชีผู้ใช้ปกติแล้วใช้คำสั่ง sudo เมื่อต้องการสิทธิ์ Root ครับ

    # เพิ่มผู้ใช้เข้ากลุ่ม sudo (หรือ wheel ในบาง distro)
sudo usermod -aG sudo

    ผู้ใช้ในกลุ่ม sudo จะสามารถรันคำสั่งด้วยสิทธิ์ Root ได้โดยการนำหน้าด้วย sudo

  • การกำหนดค่า sudoers (`visudo`):
    ใช้คำสั่ง visudo เพื่อแก้ไขไฟล์ /etc/sudoers อย่างปลอดภัย คุณสามารถกำหนดได้อย่างละเอียดว่าผู้ใช้คนใดสามารถรันคำสั่งอะไรได้บ้างครับ

    sudo visudo

    ตัวอย่างการอนุญาตให้ผู้ใช้ ‘adminuser’ สามารถรันทุกคำสั่งได้:

    adminuser ALL=(ALL) ALL

    หรือจำกัดให้รันได้เฉพาะบางคำสั่ง:

    adminuser ALL=(ALL) /usr/bin/systemctl restart apache2

การล็อคบัญชีผู้ใช้ที่ไม่ใช้งาน

บัญชีผู้ใช้ที่ไม่ได้ใช้งานเป็นเวลานานควรถูกล็อคหรือลบออกเพื่อป้องกันการถูกโจมตีครับ

sudo usermod -L     # ล็อคบัญชี
sudo passwd -l      # ล็อครหัสผ่าน

sudo usermod -U     # ปลดล็อคบัญชี
sudo passwd -u      # ปลดล็อครหัสผ่าน

การลบผู้ใช้ที่ไม่จำเป็น

บัญชีผู้ใช้ที่ไม่จำเป็น (เช่น บัญชีทดสอบที่ถูกสร้างขึ้นชั่วคราว) ควรถูกลบออกครับ

sudo userdel -r     # ลบผู้ใช้และ home directory

การรักษาความปลอดภัย SSH (Secure Shell Hardening)

SSH คือช่องทางหลักในการจัดการเซิร์ฟเวอร์ Linux ระยะไกล ดังนั้นการรักษาความปลอดภัย SSH จึงมีความสำคัญสูงสุดครับ

ไฟล์การตั้งค่าหลักของ SSH Server คือ /etc/ssh/sshd_config ครับ หลังจากการแก้ไขไฟล์นี้ ทุกครั้ง ต้องรีสตาร์ทบริการ SSH ด้วยคำสั่ง sudo systemctl restart sshd (สำหรับ Debian/Ubuntu) หรือ sudo systemctl restart sshd (สำหรับ CentOS/RHEL) ครับ

การเปลี่ยนพอร์ต SSH เริ่มต้น

พอร์ต SSH เริ่มต้นคือ 22 การเปลี่ยนไปใช้พอร์ตอื่น (เช่น 2222 หรือพอร์ตอื่น ๆ ที่ไม่ใช่พอร์ตมาตรฐาน) จะช่วยลดการโจมตีแบบ Brute-force ที่มุ่งเป้าไปที่พอร์ต 22 ได้อย่างมากครับ

# ใน /etc/ssh/sshd_config
Port 2222

อย่าลืมเปิดพอร์ตใหม่ใน Firewall ด้วยนะครับ เช่น sudo ufw allow 2222/tcp

การปิดการล็อกอินด้วยรหัสผ่าน (Password Authentication)

การโจมตีแบบ Brute-force มักพุ่งเป้ามาที่การเดารหัสผ่าน การปิดการล็อกอินด้วยรหัสผ่านและใช้ Key-based Authentication แทน จะเพิ่มความปลอดภัยได้อย่างมหาศาลครับ

# ใน /etc/ssh/sshd_config
PasswordAuthentication no

การใช้ Key-based Authentication

เป็นการล็อกอินโดยใช้คู่กุญแจเข้ารหัส (Public Key และ Private Key) ซึ่งปลอดภัยกว่ารหัสผ่านมากครับ

  1. สร้างคู่กุญแจบนเครื่อง Client: 
    ssh-keygen -t rsa -b 4096

    (คุณสามารถระบุ passphrase เพื่อเพิ่มความปลอดภัยให้กับ Private Key ได้)

  2. คัดลอก Public Key ไปยัง Server: 
    ssh-copy-id -i ~/.ssh/id_rsa.pub user@your_server_ip

    (ถ้า ssh-copy-id ไม่ได้ติดตั้ง ให้คัดลอกด้วยตนเองไปยังไฟล์ ~/.ssh/authorized_keys บนเซิร์ฟเวอร์)

  3. ตรวจสอบให้แน่ใจว่าสิทธิ์ของไฟล์ถูกต้องบน Server: 
    chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

หลังจากตั้งค่า Key-based Authentication และทดสอบว่าสามารถล็อกอินได้แล้ว ค่อยปิด PasswordAuthentication นะครับ

การจำกัดผู้ใช้งานที่สามารถล็อกอิน SSH ได้

จำกัดเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่จะสามารถล็อกอินผ่าน SSH ได้ครับ

# ใน /etc/ssh/sshd_config
AllowUsers user1 user2 admin

หรือถ้ามีผู้ใช้งานที่ต้องการบล็อก:

DenyUsers malicious_user

การปิดการล็อกอิน Root โดยตรง (PermitRootLogin no)

บัญชี Root มีสิทธิ์สูงสุด ดังนั้นไม่ควรอนุญาตให้ล็อกอินโดยตรงผ่าน SSH ครับ ควรล็อกอินด้วยผู้ใช้ปกติแล้วใช้ sudo แทน

# ใน /etc/ssh/sshd_config
PermitRootLogin no

การจำกัดอัตราการพยายามล็อกอิน (Login Grace Time)

กำหนดเวลาที่ผู้ใช้มีสิทธิ์ในการล็อกอินให้สั้นลง เพื่อลดระยะเวลาที่ผู้โจมตีสามารถลองรหัสผ่านได้

# ใน /etc/ssh/sshd_config
LoginGraceTime 30

(กำหนดเป็น 30 วินาที)

การปิด X11 Forwarding หากไม่จำเป็น

ถ้าคุณไม่ได้ใช้ SSH เพื่อเปิดใช้งานแอปพลิเคชัน GUI จากเซิร์ฟเวอร์ ให้ปิดคุณสมบัตินี้ครับ

# ใน /etc/ssh/sshd_config
X11Forwarding no

ข้อควรระวัง: ก่อนทำการเปลี่ยนแปลงใดๆ ในไฟล์ sshd_config ควรเปิดเซสชัน SSH อีกอันค้างไว้เสมอ เพื่อป้องกันการล็อกอินไม่ได้หากเกิดข้อผิดพลาดในการตั้งค่าครับ

อ่านเพิ่มเติมเกี่ยวกับการ Hardening SSH

การตั้งค่า Firewall (Firewall Configuration)

Firewall เป็นกำแพงป้องกันด่านแรกที่สำคัญที่สุดในการควบคุมการรับส่งข้อมูลเข้าออกเซิร์ฟเวอร์ของคุณครับ

ความสำคัญของ Firewall

Firewall ทำหน้าที่กรองแพคเก็ตข้อมูลตามกฎที่คุณกำหนด เพื่ออนุญาตหรือบล็อกการเชื่อมต่อจากภายนอกหรือภายในครับ การตั้งค่า Firewall ที่ดีคือการอนุญาตเฉพาะการเชื่อมต่อที่จำเป็นเท่านั้น และบล็อกทุกอย่างที่เหลือครับ

Firewall Solutions ยอดนิยมบน Linux

มี Firewall Solution หลายตัวบน Linux แต่ที่นิยมใช้กันบ่อยคือ UFW (Uncomplicated Firewall) สำหรับ Debian/Ubuntu และ Firewalld สำหรับ Red Hat/CentOS/Fedora ส่วน iptables เป็นพื้นฐานที่ Firewalld และ UFW ใช้ในการจัดการครับ

คุณสมบัติ UFW (Uncomplicated Firewall) Firewalld iptables (พื้นฐาน)
ระบบปฏิบัติการหลัก Debian, Ubuntu CentOS, RHEL, Fedora ทุก Linux Distribution
ความง่ายในการใช้งาน สูง (คำสั่งง่าย) ปานกลาง (ใช้ Zones) ต่ำ (ต้องเข้าใจ chain/rule)
การจัดการกฎ เชิงเส้น (Sequential Rules) ใช้ Zone และ Services เชิงเส้น, มี Chain และ Target
สถานะ (Stateful) รองรับ รองรับ รองรับ
การจัดการพอร์ต/บริการ ง่ายด้วยชื่อบริการหรือพอร์ต ง่ายด้วยชื่อบริการหรือพอร์ต/Zone ต้องระบุโปรโตคอล/พอร์ตด้วยตนเอง
GUI มี (gufw) มี (firewall-config) ไม่มี (แต่มี third-party)
การโหลดกฎเมื่อบูต อัตโนมัติ (เป็น service) อัตโนมัติ (เป็น service) ต้อง save/restore ด้วยตนเอง (หรือใช้ service)

UFW (สำหรับ Debian/Ubuntu)

  1. เปิดใช้งาน UFW: 
    sudo ufw enable
  2. ตั้งค่านโยบายเริ่มต้น (Deny All Inbound, Allow All Outbound): 
    sudo ufw default deny incoming
sudo ufw default allow outgoing
  3. อนุญาตพอร์ตที่จำเป็น (ตัวอย่าง):
    • SSH (พอร์ต 22 หรือพอร์ตที่คุณเปลี่ยนไป): 
      sudo ufw allow 22/tcp

      หรือหากเปลี่ยนพอร์ต SSH เป็น 2222:

      sudo ufw allow 2222/tcp
    • HTTP (พอร์ต 80): 
      sudo ufw allow http

      หรือ

      sudo ufw allow 80/tcp
    • HTTPS (พอร์ต 443): 
      sudo ufw allow https

      หรือ

      sudo ufw allow 443/tcp
  4. ตรวจสอบสถานะ UFW: 
    sudo ufw status verbose

Firewalld (สำหรับ CentOS/RHEL)

  1. เปิดใช้งาน Firewalld: 
    sudo systemctl enable firewalld
sudo systemctl start firewalld
  2. ตั้งค่านโยบายเริ่มต้น (ใช้ Zone):
    โดยปกติแล้ว Zone “public” จะเป็นค่าเริ่มต้นที่เหมาะสมสำหรับการเชื่อมต่อจากภายนอก
  3. อนุญาตพอร์ต/บริการที่จำเป็น (ตัวอย่าง):
    • SSH (พอร์ต 22 หรือพอร์ตที่คุณเปลี่ยนไป): 
      sudo firewall-cmd --permanent --add-service=ssh

      หรือหากเปลี่ยนพอร์ต SSH เป็น 2222:

      sudo firewall-cmd --permanent --add-port=2222/tcp
    • HTTP (พอร์ต 80): 
      sudo firewall-cmd --permanent --add-service=http
    • HTTPS (พอร์ต 443): 
      sudo firewall-cmd --permanent --add-service=https

    หลังจากเพิ่มกฎแล้ว ต้องโหลด Firewall ใหม่:

    sudo firewall-cmd --reload

  4. ตรวจสอบสถานะ Firewalld: 
    sudo firewall-cmd --list-all

การตรวจสอบบันทึก (Logging and Monitoring)

Log Files เปรียบเสมือนสมุดบันทึกเหตุการณ์ของเซิร์ฟเวอร์ การตรวจสอบ Log อย่างสม่ำเสมอช่วยให้เราสามารถตรวจจับกิจกรรมที่น่าสงสัย การโจมตี หรือปัญหาด้านความปลอดภัยได้ครับ

ความสำคัญของ Log Files

Log Files บันทึกข้อมูลสำคัญ เช่น การเข้าสู่ระบบของผู้ใช้, การเปลี่ยนแปลงการตั้งค่า, ข้อผิดพลาดของระบบ, และกิจกรรมของบริการต่างๆ ข้อมูลเหล่านี้มีค่าอย่างยิ่งในการวิเคราะห์เหตุการณ์ย้อนหลังและตอบสนองต่อเหตุการณ์ด้านความปลอดภัย

`rsyslog` และ `journald`

Linux Distribution ส่วนใหญ่ใช้ rsyslog หรือ journald (ในระบบที่ใช้ systemd) ในการจัดการ Log ครับ

  • rsyslog: เป็นบริการ Log เก่าแก่และยืดหยุ่น สามารถส่ง Log ไปยังเซิร์ฟเวอร์ Log กลางได้
  • journald: เป็นส่วนหนึ่งของ systemd จัดการ Log ในรูปแบบไบนารีและมีประสิทธิภาพในการสืบค้น

การตรวจสอบ Log ด้วย `grep`, `tail`, `journalctl`

เครื่องมือพื้นฐานในการตรวจสอบ Log:

  • tail -f /var/log/auth.log (Debian/Ubuntu) หรือ /var/log/secure (CentOS/RHEL): ใช้ดู Log การยืนยันตัวตนแบบเรียลไทม์ ซึ่งมีประโยชน์ในการตรวจจับการพยายามล็อกอินที่ไม่สำเร็จหรือ Brute-force Attack ครับ
  • grep "Failed password" /var/log/auth.log: ค้นหาข้อความ “Failed password” ใน Log การยืนยันตัวตน
  • journalctl -xe: แสดง Log ล่าสุดของ systemd พร้อมรายละเอียดเพิ่มเติม
  • journalctl -u sshd.service: แสดง Log ของบริการ SSH โดยเฉพาะ

การใช้เครื่องมือ SIEM เบื้องต้น (แนะนำ)

สำหรับองค์กรขนาดใหญ่หรือเซิร์ฟเวอร์หลายตัว การส่ง Log ทั้งหมดไปยังระบบ SIEM (Security Information and Event Management) เช่น ELK Stack (Elasticsearch, Logstash, Kibana) หรือ Splunk จะช่วยให้การวิเคราะห์ Log มีประสิทธิภาพมากขึ้นและสามารถตรวจจับความผิดปกติได้รวดเร็วขึ้นครับ

การตั้งค่าการแจ้งเตือน

พิจารณาตั้งค่าการแจ้งเตือนเมื่อเกิดเหตุการณ์สำคัญ เช่น การล็อกอิน Root ที่ไม่สำเร็จหลายครั้ง หรือไฟล์ระบบสำคัญมีการเปลี่ยนแปลง เพื่อให้คุณสามารถตอบสนองต่อภัยคุกคามได้ทันท่วงทีครับ

การรักษาความปลอดภัยของไฟล์และไดเรกทอรี (File and Directory Security)

การควบคุมสิทธิ์การเข้าถึงไฟล์และไดเรกทอรีอย่างถูกต้องเป็นสิ่งสำคัญในการป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตและการเปลี่ยนแปลงที่ไม่พึงประสงค์ครับ

สิทธิ์ของไฟล์และไดเรกทอรี (`chmod`, `chown`)

ใช้คำสั่ง chmod และ chown เพื่อกำหนดสิทธิ์และความเป็นเจ้าของไฟล์/ไดเรกทอรี

  • chmod (Change Mode): กำหนดสิทธิ์ Read (4), Write (2), Execute (1) สำหรับ Owner, Group, Others ครับ
    • ไฟล์ทั่วไป: chmod 644 (Owner Read/Write, Group Read, Others Read)
    • ไดเรกทอรี: chmod 755 (Owner Read/Write/Execute, Group Read/Execute, Others Read/Execute)
    • ไฟล์สคริปต์ที่รันได้: chmod 700 (Owner Read/Write/Execute, Group No, Others No)
    • ไฟล์สำคัญ (เช่น Private Key): chmod 600 (Owner Read/Write, Group No, Others No)
  • chown (Change Owner): เปลี่ยนเจ้าของและกลุ่มของไฟล์/ไดเรกทอรี 
    sudo chown user:group

ค่า umask

umask เป็นค่าเริ่มต้นของสิทธิ์ที่จะถูกปฏิเสธเมื่อมีการสร้างไฟล์หรือไดเรกทอรีใหม่ ค่า umask ที่แนะนำคือ 022 ซึ่งหมายความว่าไฟล์ใหม่จะมีสิทธิ์ 644 และไดเรกทอรีใหม่จะมีสิทธิ์ 755 ครับ

# ตรวจสอบค่า umask ปัจจุบัน
umask

# ตั้งค่า umask (สามารถตั้งใน .bashrc หรือ .profile)
umask 022

การจำกัดสิทธิ์สำหรับไฟล์ที่สำคัญ

ไฟล์ที่มีข้อมูลอ่อนไหว (Sensitive Data) เช่น /etc/passwd, /etc/shadow, /etc/sudoers ควรได้รับการปกป้องอย่างเข้มงวดครับ

  • /etc/passwd: เก็บข้อมูลผู้ใช้ (ชื่อ, UID, GID, Home Directory, Shell) แต่ไม่มีรหัสผ่าน ควรมีสิทธิ์ 644
  • /etc/shadow: เก็บแฮชรหัสผ่านของผู้ใช้ ควรมีสิทธิ์ 600 และมีเจ้าของเป็น Root เท่านั้น
  • /etc/sudoers: ควบคุมสิทธิ์ sudo ควรมีสิทธิ์ 440 และเจ้าของเป็น Root เท่านั้น และแก้ไขด้วย visudo เท่านั้นครับ

การตรวจสอบความถูกต้องของไฟล์ระบบ (Integrity Checking)

เครื่องมือเช่น AIDE (Advanced Intrusion Detection Environment) หรือ Tripwire สามารถใช้เพื่อตรวจสอบการเปลี่ยนแปลงของไฟล์ระบบที่ไม่ได้รับอนุญาตได้ครับ

  1. ติดตั้ง AIDE: 
    sudo apt install aide aide-common

    หรือ

    sudo dnf install aide
  2. สร้างฐานข้อมูลเริ่มต้น: 
    sudo aide --init

    จากนั้นย้ายไฟล์ฐานข้อมูล:

    sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
  3. ตรวจสอบการเปลี่ยนแปลง: 
    sudo aide --check

    ควรตั้งค่าให้รันคำสั่งนี้เป็นประจำและตรวจสอบผลลัพธ์ครับ

การรักษาความปลอดภัยเครือข่าย (Network Security)

นอกจากการตั้งค่า Firewall แล้ว ยังมีมาตรการอื่น ๆ ที่สามารถเสริมความแข็งแกร่งให้กับความปลอดภัยเครือข่ายของเซิร์ฟเวอร์ Linux ได้ครับ

การปิดบริการที่ไม่จำเป็น

ย้อนกลับไปที่ส่วน “การลบซอฟต์แวร์และบริการที่ไม่จำเป็น” ครับ การปิดบริการที่ไม่ได้ใช้งานจะช่วยลดช่องโหว่บนเครือข่ายได้โดยตรง

การจำกัดการเข้าถึงบริการ

สำหรับบริการบางอย่าง (เช่น ฐานข้อมูล) ที่ควรเข้าถึงได้จาก IP Address ที่เชื่อถือได้เท่านั้น คุณสามารถกำหนดค่าใน Firewall หรือในไฟล์การตั้งค่าของบริการนั้น ๆ ได้ครับ

# ตัวอย่าง UFW: อนุญาต SSH จาก IP Address เฉพาะ
sudo ufw allow from 192.168.1.100 to any port 22

การใช้ VPN สำหรับการเข้าถึงระยะไกล

หากคุณต้องการเข้าถึงบริการภายในเครือข่ายส่วนตัวของเซิร์ฟเวอร์ ควรพิจารณาใช้ VPN (Virtual Private Network) เพื่อสร้างการเชื่อมต่อที่เข้ารหัสและปลอดภัยครับ

การปิด IP Forwarding หากไม่จำเป็น

หากเซิร์ฟเวอร์ของคุณไม่ได้ทำหน้าที่เป็น Router หรือ Gateway ควรปิด IP Forwarding เพื่อป้องกันไม่ให้แพคเก็ตถูกส่งต่อไปยังเครือข่ายอื่นโดยไม่ได้รับอนุญาตครับ

# ตรวจสอบสถานะ
cat /proc/sys/net/ipv4/ip_forward

# ปิด IP Forwarding ชั่วคราว
echo 0 | sudo tee /proc/sys/net/ipv4/ip_forward

# ปิด IP Forwarding อย่างถาวร (แก้ไข /etc/sysctl.conf)
# เพิ่มหรือแก้ไขบรรทัดนี้:
net.ipv4.ip_forward = 0

# ใช้คำสั่ง sysctl -p เพื่อโหลดการตั้งค่าใหม่
sudo sysctl -p

การป้องกัน DDoS (เบื้องต้น)

สำหรับเซิร์ฟเวอร์ที่เผชิญกับการโจมตี DDoS การใช้บริการ CDN (Content Delivery Network) เช่น Cloudflare หรือ Akamai สามารถช่วยดูดซับทราฟฟิกที่ไม่พึงประสงค์ได้ครับ นอกจากนี้ การตั้งค่า Kernel Parameters บางอย่างก็สามารถช่วยได้ในระดับหนึ่งครับ

การกำหนดค่า Kernel Parameters สำหรับ Network (`sysctl.conf`)

ไฟล์ /etc/sysctl.conf ใช้สำหรับปรับแต่ง Kernel Parameters ซึ่งรวมถึงการตั้งค่าเกี่ยวกับเครือข่ายที่ช่วยเพิ่มความปลอดภัยครับ

# ใน /etc/sysctl.conf เพิ่มบรรทัดเหล่านี้:

# ป้องกัน SYN Flood Attacks
net.ipv4.tcp_syncookies = 1

# ปิดการตอบสนองต่อ ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1

# ป้องกัน IP spoofing
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# ปิดการส่งต่อแพคเก็ต (ถ้าไม่เป็น router)
net.ipv4.ip_forward = 0

# ป้องกันการโจมตีแบบ source-routed packets
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# ป้องกันการโจมตีแบบ redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

# โหลดการตั้งค่าใหม่
sudo sysctl -p

การป้องกันการบุกรุก (Intrusion Detection/Prevention)

แม้จะมีการ Hardening ที่ดีแล้ว แต่การตรวจจับและป้องกันการบุกรุกยังคงเป็นสิ่งสำคัญครับ

Fail2ban: การป้องกัน Brute-force Attack

Fail2ban เป็นเครื่องมือที่ยอดเยี่ยมในการบล็อก IP Address ที่พยายามล็อกอินเซิร์ฟเวอร์ของคุณซ้ำ ๆ ด้วยรหัสผ่านที่ผิด หรือพยายามโจมตีบริการอื่น ๆ ครับ

  1. ติดตั้ง Fail2ban: 
    sudo apt install fail2ban

    หรือ

    sudo dnf install fail2ban
  2. ตั้งค่า Fail2ban (สร้างไฟล์ jail.local):
    ไฟล์การตั้งค่าหลักคือ /etc/fail2ban/jail.conf แต่เราควรสร้างไฟล์ /etc/fail2ban/jail.local เพื่อไม่ให้ถูกเขียนทับเมื่อมีการอัปเดตครับ

    sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

    แก้ไข jail.local เพื่อเปิดใช้งาน Jails ที่ต้องการและปรับแต่งค่าต่างๆ ครับ

    # ตัวอย่างการเปิดใช้งาน SSH jail ใน jail.local
[sshd]
enabled = true
port = ssh, # เช่น port = ssh,2222
filter = sshd
logpath = /var/log/auth.log # หรือ /var/log/secure สำหรับ CentOS/RHEL
maxretry = 3 # จำนวนครั้งที่พยายามผิดพลาด
bantime = 1h # ระยะเวลาบล็อก (1 ชั่วโมง)
  3. รีสตาร์ท Fail2ban: 
    sudo systemctl restart fail2ban
  4. ตรวจสอบสถานะ: 
    sudo fail2ban-client status sshd

Rootkit Detection: `chkrootkit`, `rkhunter`

Rootkit เป็นมัลแวร์ที่ซ่อนตัวจากการตรวจจับและให้สิทธิ์ผู้โจมตีในการควบคุมระบบ การใช้เครื่องมือตรวจจับ Rootkit เป็นประจำจึงเป็นสิ่งสำคัญครับ

  1. ติดตั้ง chkrootkit: 
    sudo apt install chkrootkit

    หรือ

    sudo dnf install chkrootkit

    รัน:

    sudo chkrootkit
  2. ติดตั้ง rkhunter: 
    sudo apt install rkhunter

    หรือ

    sudo dnf install rkhunter

    อัปเดตฐานข้อมูล:

    sudo rkhunter --update
sudo rkhunter --propupd

    รัน:

    sudo rkhunter --check

ควรตั้งค่าให้รันเครื่องมือเหล่านี้เป็นประจำผ่าน Cron Job และตรวจสอบรายงานผลลัพธ์ครับ

การรักษาความปลอดภัยบริการเว็บเซิร์ฟเวอร์ (Web Server Security)

สำหรับเซิร์ฟเวอร์ที่รันเว็บเซิร์ฟเวอร์ (Apache, Nginx) มีมาตรการเพิ่มเติมที่ควรพิจารณาครับ

Apache/Nginx Hardening (หลักการเบื้องต้น)

  • การปิด Directory Listing: ป้องกันไม่ให้ผู้ใช้ภายนอกเห็นรายการไฟล์ในไดเรกทอรีของคุณ (สำหรับ Apache: Options -Indexes ใน .htaccess หรือ VirtualHost, สำหรับ Nginx: ตรวจสอบว่าไม่ได้ตั้ง autoindex on;)
  • การใช้ SSL/TLS (Let’s Encrypt): เข้ารหัสการสื่อสารระหว่างเว็บเซิร์ฟเวอร์และเบราว์เซอร์ของผู้ใช้ ใช้ Let’s Encrypt เพื่อรับใบรับรอง SSL ฟรีและง่ายดายครับ
  • การจำกัด Module ที่ไม่จำเป็น: ปิดการใช้งานโมดูล Apache หรือ Nginx ที่คุณไม่ได้ใช้ เพื่อลด Attack Surface
  • ModSecurity (WAF): Web Application Firewall (WAF) เช่น ModSecurity สามารถช่วยป้องกันการโจมตีระดับ Application เช่น SQL Injection, XSS ได้ครับ
  • การจำกัดทรัพยากร: กำหนดค่า MaxClients/Workers หรือ Connection Limits เพื่อป้องกันการโจมตี DoS ที่พยายามใช้ทรัพยากรเซิร์ฟเวอร์จนหมด
  • การตั้งค่า HTTP Security Headers: เช่น Content-Security-Policy, X-Content-Type-Options, Strict-Transport-Security เพื่อเพิ่มความปลอดภัยให้กับเบราว์เซอร์ของผู้ใช้

การสำรองข้อมูลและการกู้คืน (Backup and Recovery)

มาตรการ Hardening ทั้งหมดก็ไม่สามารถรับประกันความปลอดภัย 100% ได้ครับ การสำรองข้อมูล (Backup) ที่ดีคือ “ประกันชีวิต” สำหรับเซิร์ฟเวอร์ของคุณ

ความสำคัญของการสำรองข้อมูล

การสำรองข้อมูลเป็นสิ่งจำเป็นอย่างยิ่งเพื่อป้องกันข้อมูลสูญหายจากเหตุการณ์ที่ไม่คาดฝัน เช่น ฮาร์ดแวร์ล้มเหลว, การโจมตีด้วย Ransomware, หรือความผิดพลาดของผู้ใช้งานครับ

กลยุทธ์ 3-2-1

เป็นแนวทางปฏิบัติที่ดีในการสำรองข้อมูล:

  • 3: มีสำเนาข้อมูลอย่างน้อย 3 ชุด (ต้นฉบับ 1, สำรอง 2)
  • 2: จัดเก็บสำเนาข้อมูลในสื่อเก็บข้อมูลที่แตกต่างกันอย่างน้อย 2 ชนิด (เช่น HDD, SSD, Cloud Storage)
  • 1: เก็บสำเนาข้อมูลไว้นอกสถานที่อย่างน้อย 1 ชุด (Offsite Backup)

การทดสอบการกู้คืน

การมี Backup ไม่ได้หมายความว่าคุณปลอดภัยเสมอไปครับ คุณต้องทดสอบการกู้คืนข้อมูลเป็นประจำเพื่อให้มั่นใจว่า Backup ที่มีอยู่สามารถใช้งานได้จริงเมื่อเกิดเหตุฉุกเฉินครับ

อ่านเพิ่มเติมเกี่ยวกับกลยุทธ์การสำรองข้อมูล

การตรวจสอบความปลอดภัยอย่างสม่ำเสมอ (Regular Security Audits)

การ Hardening ไม่ใช่เรื่องที่ทำครั้งเดียวแล้วจบไปครับ โลกของภัยคุกคามมีการพัฒนาตลอดเวลา การตรวจสอบและปรับปรุงอย่างสม่ำเสมอจึงเป็นสิ่งจำเป็น

การใช้เครื่องมือประเมินช่องโหว่ (Vulnerability Scanners)

เครื่องมือเช่น Nessus, OpenVAS หรือ Nmap สามารถช่วยสแกนหาช่องโหว่ที่รู้จักบนเซิร์ฟเวอร์ของคุณได้ครับ ควรทำการสแกนเป็นประจำและแก้ไขช่องโหว่ที่พบ

การตรวจสอบ Log เป็นประจำ

อย่างที่กล่าวไปในหัวข้อ Log Files การตรวจสอบ Log อย่างสม่ำเสมอจะช่วยให้คุณตรวจพบความผิดปกติหรือการโจมตีได้ตั้งแต่เนิ่น ๆ ครับ

การอัปเดตและทบทวนนโยบายความปลอดภัย

ทบทวนนโยบายความปลอดภัยของคุณเป็นประจำ เพื่อให้แน่ใจว่ายังคงสอดคล้องกับภัยคุกคามและเทคโนโลยีล่าสุด และทำการปรับปรุงตามความเหมาะสมครับ

คำถามที่พบบ่อย (FAQ)

1. การ Hardening Server Linux จำเป็นสำหรับทุกคนหรือไม่?

ครับ การ Hardening Server Linux จำเป็นสำหรับทุกคนที่ใช้งานเซิร์ฟเวอร์ Linux ไม่ว่าจะเป็นส่วนตัวหรือองค์กร เพราะภัยคุกคามทางไซเบอร์มีอยู่รอบตัวและสามารถโจมตีเซิร์ฟเวอร์ใดก็ได้ที่มีช่องโหว่ครับ การป้องกันไว้ดีกว่าแก้ไขเสมอ

2. ควรเริ่ม Hardening จากส่วนไหนก่อน?

ควรเริ่มต้นจากการอัปเดตระบบปฏิบัติการและซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดก่อนเป็นอันดับแรกครับ จากนั้นจึงตามด้วยการตั้งค่า Firewall, การรักษาความปลอดภัย SSH, และการจัดการผู้ใช้งานและสิทธิ์ครับ

3. ถ้าเซิร์ฟเวอร์ของฉันอยู่เบื้องหลัง NAT หรือ VPN ยังจำเป็นต้องมี Firewall ภายในเซิร์ฟเวอร์อีกหรือไม่?

ครับ ยังจำเป็นต้องมี Firewall ภายในเซิร์ฟเวอร์อยู่ดี แม้ว่าจะมี Firewall หรือ NAT อยู่ภายนอกแล้วก็ตาม Firewall ภายในจะทำหน้าที่ป้องกันการโจมตีจากภายในเครือข่าย หรือป้องกันการโจมตีที่สามารถทะลุ Firewall ภายนอกเข้ามาได้ ซึ่งเป็นการเพิ่มชั้นการป้องกันตามแนวคิด Defense in Depth ครับ

4. การใช้ Key-based Authentication สำหรับ SSH ปลอดภัยกว่า Password Authentication อย่างไร?

Key-based Authentication ใช้คู่กุญแจเข้ารหัสที่มีความซับซ้อนสูงและยาวกว่ารหัสผ่านทั่วไปมากครับ ทำให้การ Brute-force หรือการเดารหัสผ่านแทบเป็นไปไม่ได้ นอกจากนี้ Private Key ยังถูกเก็บไว้บนเครื่อง Client อย่างปลอดภัยและมักมีการเข้ารหัสด้วย passphrase อีกชั้นหนึ่งครับ

5. ควรตรวจสอบ Log Files บ่อยแค่ไหน?

ความถี่ในการตรวจสอบ Log ขึ้นอยู่กับความสำคัญของเซิร์ฟเวอร์และปริมาณกิจกรรมที่เกิดขึ้นครับ สำหรับเซิร์ฟเวอร์ที่สำคัญและมีกิจกรรมสูง ควรตรวจสอบทุกวัน หรือตั้งค่าระบบแจ้งเตือนอัตโนมัติเมื่อเกิดเหตุการณ์สำคัญครับ สำหรับเซิร์ฟเวอร์ที่มีกิจกรรมน้อย อาจตรวจสอบสัปดาห์ละครั้งก็ได้ครับ

6. การ Hardening จะส่งผลต่อประสิทธิภาพของเซิร์ฟเวอร์หรือไม่?

มาตรการ Hardening ส่วนใหญ่ เช่น การปรับแต่ง Firewall, การจัดการผู้ใช้, หรือการตั้งค่า SSH จะส่งผลต่อประสิทธิภาพของเซิร์ฟเวอร์น้อยมาก หรือแทบไม่มีเลยครับ แต่การรันเครื่องมือสแกน Rootkit หรือ Vulnerability Scanner อาจใช้ทรัพยากรชั่วคราวขณะทำงานครับ การ Hardening ที่ดีจะช่วยให้เซิร์ฟเวอร์ทำงานได้อย่างปลอดภัยและมีเสถียรภาพในระยะยาวครับ

สรุปและ Call-to-Action

การ Hardening Server Linux ไม่ได้เป็นเพียงแค่การตั้งค่าทางเทคนิคเท่านั้นครับ แต่เป็นกระบวนการที่ครอบคลุมตั้งแต่การทำความเข้าใจความเสี่ยง การนำหลักการความปลอดภัยมาใช้ ไปจนถึงการบำรุงรักษาและตรวจสอบอย่างสม่ำเสมอ การลงทุนในความปลอดภัยของเซิร์ฟเวอร์ Linux คือการลงทุนในความต่อเนื่องของธุรกิจ ชื่อเสียง และความไว้วางใจของลูกค้าครับ

บทความนี้ได้พาคุณเจาะลึกถึงแง่มุมต่าง ๆ ของการ Hardening Server Linux ด้วยเทคนิคและตัวอย่างคำสั่งที่นำไปใช้ได้จริง เราหวังว่าข้อมูลเหล่านี้จะเป็นประโยชน์และช่วยให้คุณสามารถเสริมสร้างความปลอดภัยให้กับเซิร์ฟเวอร์ของคุณได้อย่างมั่นใจครับ จงจำไว้ว่า “ความปลอดภัยไม่ใช่ปลายทาง แต่เป็นกระบวนการ” ครับ

หากคุณกำลังมองหาผู้เชี่ยวชาญด้าน Linux Server หรือต้องการคำปรึกษาเพิ่มเติมเกี่ยวกับการ Hardening และความปลอดภัยของระบบ ท่านสามารถติดต่อทีมงาน SiamLancard.com ได้ตลอดเวลาครับ เราพร้อมให้บริการด้วยประสบการณ์และความเชี่ยวชาญ เพื่อให้เซิร์ฟเวอร์ของคุณทำงานได้อย่างเต็มประสิทธิภาพและปลอดภัยสูงสุดครับ

บทความที่เกี่ยวข้อง

Siam2R.com — Portfolio งาน IT · XM Signal — Free Forex EA Download

Related Articles
จัดส่งรวดเร็วส่งด่วนทั่วประเทศ
รับประกันสินค้าเคลมง่าย มีใบรับประกัน
ผ่อนชำระได้บัตรเครดิต 0% สูงสุด 10 เดือน
สะสมแต้ม รับส่วนลดส่วนลดและคะแนนสะสม

ติดต่อเรา | LINE: @siamlancard

Facebook | YouTube | LINE OA

เว็บในเครือ: SiamCafe.net | iCafeForex.com | Siam2R.com | XMSignal.com

© 2026 SiamLancard — จำหน่ายการ์ดแลน อุปกรณ์ Server และเครื่องพิมพ์ใบเสร็จ

SiamLancard
Logo
Free Forex EA Download — XM Signal · EA Forex ฟรี
iCafeForex.com - สอนเทรด Forex | SiamCafe.net
Shopping cart