HOMELAB

Secret Management สำหรับ Homelab: เก็บ API key และ password อย่างไรไม่ให้ปนใน config file

Secret management ใน homelab ไม่จำเป็นต้องเริ่มจากระบบใหญ่ แต่ควรแยก secret ออกจาก config, ลดการ commit token ลง Git, จำกัดสิทธิ์, วาง recovery และมีรอบ rotate ที่ทำได้จริง

Nattapon Chatprechakul

3 min read
Share
ภาพประกอบผู้ดูแล homelab กำลังแยกกุญแจและ token ออกจากไฟล์ config ไปเก็บในกล่องนิรภัย

คนทำ homelab หลายคนเริ่มจากไฟล์ config ง่าย ๆ ครับ เช่น docker-compose.yml, .env, config.yaml, script backup, cron job หรือไฟล์ตั้งค่า reverse proxy พอระบบเริ่มมีหลาย service ขึ้นมา ไฟล์เหล่านี้ก็มักเริ่มมีข้อมูลสำคัญติดมาด้วย เช่น database password, API key, webhook token, SMTP credential, Cloudflare token, access key ของ storage หรือรหัสผ่าน admin ของ service บางตัว

ตอนเริ่มทดลอง วิธีนี้ดูสะดวกมาก เพราะทุกอย่างอยู่ในไฟล์เดียว copy ไปเครื่องใหม่ก็รันได้ แต่ในระยะยาวมันกลายเป็นความเสี่ยงเงียบ ๆ โดยเฉพาะถ้าไฟล์ถูก commit เข้า Git, sync ขึ้น cloud drive, แชร์ผ่าน chat, เก็บ backup แบบไม่เข้ารหัส หรือถูก mount เข้า container กว้างเกินจำเป็น

สำหรับผม secret management ใน homelab ไม่ได้แปลว่าต้องติดตั้ง vault ระดับองค์กรตั้งแต่วันแรก แต่ควรมีหลักคิดชัด ๆ ว่าอะไรคือ secret, อะไรคือ config, ใครควรเข้าถึง, ถ้ารั่วแล้วต้อง rotate อย่างไร และถ้าระบบพังเราจะกู้คืน secret ที่จำเป็นได้จากที่ไหน

สาระตั้งต้นจากแหล่งข้อมูล

ก่อนเขียนให้อยู่ในภาษาที่ใช้ได้จริง ผมสรุปแก่นจากแหล่งอ้างอิงและประสบการณ์ทำระบบเล็กไว้ก่อน:

  1. OWASP Secrets Management Cheat Sheet ย้ำหลักสําคัญ เช่น centralise secret, จำกัดสิทธิ์, automate เท่าที่เหมาะสม, rotate, audit และ monitor การใช้งาน secret
  2. The Twelve-Factor App แยก config ออกจาก code เพื่อให้ deploy ได้ยืดหยุ่นขึ้น แต่ในทางปฏิบัติ secret ที่อยู่ใน environment variable ก็ยังต้องถูกป้องกัน ไม่ใช่ถือว่าปลอดภัยโดยอัตโนมัติ
  3. Docker มีแนวคิดเรื่อง secrets ที่ช่วยให้ container อ่าน secret เป็นไฟล์แยก แทนการฝังค่าลงใน image หรือ command line แต่รูปแบบที่เหมาะขึ้นอยู่กับวิธี deploy และข้อจำกัดของ environment
  4. GitHub secret scanning เป็นตัวอย่างที่ดีว่าการเผลอ commit token ลง repository เป็นปัญหาที่เกิดบ่อยพอจน platform ต้องมีระบบตรวจจับโดยเฉพาะ
  5. สำหรับ homelab จุดสำคัญคืออย่าทำให้ระบบซับซ้อนเกินจนเลิกใช้จริง ทางเลือกที่ดีควรเหมาะกับความสามารถในการ backup, restore, update และ rotate ของเราเอง

ถ้าแปลเป็นภาษาง่าย ๆ secret management คือการทำให้ secret ไม่เดินทางปนกับไฟล์ทั่วไป และทำให้เรายังควบคุมได้เมื่อมีการย้ายเครื่อง, restore backup, เปลี่ยน service, มีคนอื่นมาช่วยดูแล หรือเกิดเหตุ token หลุด

Secret กับ config ต่างกันตรงไหน

Config คือข้อมูลที่บอกให้ระบบทำงานอย่างไร เช่น hostname, port, feature flag, path ของ folder, timezone, log level, URL ของ service ภายใน หรือชื่อ database

Secret คือข้อมูลที่ถ้าคนอื่นได้ไปแล้วสามารถเข้าถึงระบบแทนเราได้ เช่น password, API key, private key, access token, refresh token, webhook secret, session signing key, database credential และ recovery code

ปัญหาคือไฟล์ config จริงมักมีทั้งสองอย่างปนกัน เช่น:

  1. DATABASE_URL=postgres://user:password@db:5432/app
  2. CLOUDFLARE_API_TOKEN=...
  3. SMTP_PASSWORD=...
  4. WEBHOOK_SECRET=...
  5. MINIO_SECRET_KEY=...

ถ้าไฟล์นี้อยู่ในเครื่องเดียวและไม่เคยออกไปไหน ความเสี่ยงอาจดูไม่มาก แต่ชีวิตจริงของ homelab มักมี Git, backup, sync, deploy script, editor plugin, remote access และ automation เข้ามาเกี่ยวข้อง ข้อมูลที่คิดว่าอยู่ในบ้านจึงเดินทางออกไปได้ง่ายกว่าที่คิด

ภาพประกอบ: การแยกไฟล์ config ทั่วไปออกจาก secret ที่ต้องเก็บในที่ปลอดภัยกว่า

ข้อผิดพลาดที่เจอบ่อยใน homelab

ข้อผิดพลาดแรกคือ commit .env หรือ config ที่มี secret ลง Git โดยตั้งใจว่าจะเป็น private repository จึงไม่น่ามีปัญหา แต่ private repository ไม่ใช่ที่เก็บ secret ที่ดีครับ เพราะยังมีความเสี่ยงจากเครื่องที่ clone repo, token ของ Git, backup ของ Git server, CI runner, log ของ pipeline และการเผลอเปลี่ยน repository เป็น public ในอนาคต

ข้อผิดพลาดที่สองคือใช้ secret เดียวกันทุกที่ เช่น password ชุดเดียวกันทั้ง database, admin UI, backup job และ test environment พอรั่วหนึ่งจุดจึงกระทบหลายระบบพร้อมกัน

ข้อผิดพลาดที่สามคือเก็บ secret ใน note หรือ spreadsheet ที่ไม่มีการเข้ารหัส เพราะสะดวกตอนจด แต่ลำบากตอนต้อง revoke, track owner หรือแชร์ให้ service ใช้โดยไม่เปิดให้คนอื่นเห็นมากเกินจำเป็น

ข้อผิดพลาดที่สี่คือไม่มีแผน recovery บางคนแยก secret ออกจาก config ได้แล้ว แต่เก็บไว้ในเครื่องเดียวโดยไม่มี backup หรือไม่มีวิธีเข้าถึงถ้า password manager, NAS หรือเครื่องหลักพัง

ข้อผิดพลาดสุดท้ายคือทำระบบซับซ้อนเกินไป เช่นติดตั้ง secrets vault ทั้งชุดเพื่อ service ส่วนตัวไม่กี่ตัว แต่ไม่มีเวลาตั้ง backup, TLS, access policy, monitoring และ update ให้ดี สุดท้ายระบบที่ควรลดความเสี่ยงกลับกลายเป็นภาระใหม่

ตัวเลือกแบบ practical สำหรับ homelab

ไม่มีวิธีเดียวที่เหมาะกับทุกบ้าน ผมมองเป็นระดับความซับซ้อนมากกว่า

ระดับแรกคือใช้ password manager เป็นแหล่งอ้างอิงหลัก เหมาะกับ secret ที่คนต้องหยิบใช้ เช่น admin password, recovery code, API token ที่เปลี่ยนไม่บ่อย หรือ credential ของ service ที่ยังไม่มี automation เยอะ ข้อดีคือ backup และ sync มักทำได้ดีถ้าเลือกเครื่องมือที่น่าเชื่อถือ ข้อเสียคือการเอา secret ไปใช้กับ container หรือ script อัตโนมัติยังต้องออกแบบเพิ่ม

ระดับที่สองคือใช้ไฟล์ secret แยกจาก config เช่น .env ที่ไม่ commit, directory ที่ permission แคบ, หรือไฟล์ที่ mount เข้า container เฉพาะ service ที่ต้องใช้ วิธีนี้ง่ายและเข้ากับ homelab มาก แต่ต้องมี .gitignore, permission, backup และ naming convention ที่ชัด

ระดับที่สามคือใช้ไฟล์เข้ารหัส เช่น SOPS, age หรือ GPG สำหรับ secret ที่ต้องเก็บคู่กับ repo เพื่อให้ deploy ซ้ำได้ แต่ตัว secret ยังไม่เป็น plain text ใน Git วิธีนี้เหมาะกับคนที่คุ้นกับ Git และ automation แต่ต้องจัดการ key สำหรับ decrypt ให้ดี ไม่อย่างนั้น restore ยาก

ระดับที่สี่คือใช้ secrets manager หรือ vault เฉพาะทาง เหมาะเมื่อมีหลาย service, หลายเครื่อง, automation เยอะ, ต้อง rotate บ่อย หรือมีคนใช้งานร่วมกัน ข้อดีคือ control และ audit ดีขึ้น ข้อเสียคือเพิ่มระบบสำคัญอีกตัวที่ต้องดูแลจริงจัง

ภาพประกอบ: การเปรียบเทียบตัวเลือก secret management สำหรับ homelab ตั้งแต่ password manager ไปจนถึง secrets service

สำหรับ homelab ทั่วไป ผมมักแนะนำให้เริ่มจากระดับแรกและระดับสองก่อน คือเก็บ human-facing secret ใน password manager และแยก runtime secret เป็นไฟล์ที่ไม่เข้า Git จากนั้นค่อยขยับไปไฟล์เข้ารหัสหรือ vault เมื่อ pain point ชัดเจนจริง ๆ

วิธีจัดโครงสร้างไฟล์ให้รั่วน้อยลง

ตัวอย่างโครงสร้างที่เข้าใจง่ายคือแยกไฟล์ออกเป็น 3 กลุ่ม:

  1. compose.yml หรือ config.yml ที่ commit ได้ เพราะไม่มี secret
  2. .env.example ที่ commit ได้ เพื่อบอกว่าต้องมีค่าอะไรบ้าง แต่ใส่ค่าปลอมเท่านั้น
  3. .env หรือ secrets/ ที่ไม่ commit และถูก backup แบบควบคุม

ใน .gitignore ควรระบุชัดเจนว่าไฟล์ secret ไม่เข้า repo เช่น .env, .env., secrets/, .key, *.pem หรือ path เฉพาะของ project นั้น ๆ

สิ่งที่ควรระวังคือ .env.example ต้องไม่เผลอมี secret จริง บางทีมคัดลอกจาก .env แล้วลบไม่หมด ทำให้ตัวอย่างกลายเป็นข้อมูลรั่วโดยไม่ตั้งใจ

อีกแนวทางที่ดีคือแยกสิทธิ์ตาม service เช่น database password ของ photo app ไม่ควรใช้ร่วมกับ automation อื่น และ token ที่ใช้สำหรับ DNS challenge ไม่ควรมีสิทธิ์กว้างเกินกว่าที่จำเป็น ถ้าสร้าง token แบบ scope แคบได้ ควรทำตั้งแต่แรก

Environment variable ไม่ใช่คําตอบสุดท้าย

หลายคู่มือแนะนำให้ใส่ secret ใน environment variable ซึ่งดีกว่าการฝังลง source code หรือ image แต่ไม่ได้แปลว่าปลอดภัยเสมอไป

Environment variable อาจโผล่ใน process inspection, debug output, crash report, container inspect, CI log หรือ shell history ได้ ขึ้นอยู่กับ platform และวิธีใช้งาน ถ้าต้องใช้จริงก็ควรทำให้แคบที่สุดและไม่ echo ค่าออก log

สำหรับ container บางกรณี การ mount secret เป็นไฟล์ที่อ่านได้เฉพาะ service อาจจัดการง่ายกว่า เช่นให้ application อ่านจาก path ที่กำหนด หรือใช้ convention อย่าง *_FILE ถ้า image นั้นรองรับ วิธีนี้ช่วยลดการใส่ secret ลง command line หรือ compose file โดยตรง

ประเด็นไม่ใช่ว่า environment variable ห้ามใช้ แต่คืออย่าเข้าใจว่าการย้าย secret จาก config file ไป env แล้วงานจบ ต้องดูด้วยว่า secret นั้นถูกเห็นโดยใคร ถูก log ที่ไหน และ rotate อย่างไร

Backup และ recovery ต้องคิดตั้งแต่แรก

Secret management ที่ดีแต่กู้คืนไม่ได้คือปัญหาอีกแบบหนึ่งครับ ถ้า NAS พัง เครื่องหลักหาย หรือ password manager account เข้าไม่ได้ เราต้องยังมีวิธีกู้ระบบสำคัญกลับมา

สิ่งที่ควรถามคือ:

  1. Secret ที่จำเป็นต่อการ restore อยู่ที่ไหน
  2. Backup ของ secret ถูกเข้ารหัสหรือไม่
  3. ใครหรืออุปกรณ์ใดมีสิทธิ์ decrypt
  4. ถ้าเครื่องหลักหาย ยังเข้าถึง password manager หรือ recovery key ได้ไหม
  5. เคยลอง restore secret พร้อม config จริงหรือยัง

เรื่องนี้เชื่อมกับ Backup 3-2-1 แบบเข้าใจง่าย โดยตรง เพราะ secret บางตัวเป็นกุญแจสำหรับเปิดระบบ backup เอง ถ้า backup มีครบแต่กุญแจหาย ก็ยัง restore ไม่ได้

Rotation ไม่ต้องบ่อยแบบไร้เหตุผล แต่ต้องทำเป็น

หลายคนได้ยินคำว่า rotate secret แล้วคิดว่าต้องเปลี่ยนทุกเดือนทุกตัว ซึ่งสำหรับ homelab อาจกลายเป็นงานที่ทำไม่ไหวและเพิ่มความเสี่ยงจากการแก้ผิด

แนวทางที่ practical คือ rotate ตามเหตุการณ์และระดับความเสี่ยง เช่น:

  1. secret หลุดเข้า Git หรือ log
  2. แชร์ token ให้คนอื่นใช้ชั่วคราวแล้วงานจบ
  3. ย้าย service หรือเปลี่ยนเครื่อง
  4. เลิกใช้ integration นั้นแล้ว
  5. มีเหตุสงสัยว่าเครื่องหรือบัญชีถูกเข้าถึงผิดปกติ
  6. เป็น token สิทธิ์สูง เช่น DNS, cloud, email, backup หรือ admin API

เวลา rotate ควรมีขั้นตอนสั้น ๆ ว่าเปลี่ยนที่ไหน อัปเดต service ไหน restart อะไร ตรวจอย่างไรว่าใช้ secret ใหม่แล้ว และ revoke secret เก่าเมื่อไร

ภาพประกอบ: workflow การ rotate, revoke, backup และทดสอบ recovery ของ secret ใน homelab

Checklist เริ่มต้น

ถ้าจะปรับ homelab ให้จัดการ secret ดีขึ้น ผมแนะนำให้เริ่มจากรายการนี้:

  1. ค้นหา secret ใน repo และ config folder ด้วยตัวเองก่อน เช่นคำว่า password, token, secret, key, api
  2. ย้าย secret ออกจากไฟล์ที่ commit เข้า Git
  3. ทำ .env.example หรือ config template ที่ไม่มีค่าจริง
  4. เพิ่ม .gitignore ให้ครอบคลุมไฟล์ secret
  5. เก็บ human-facing secret ใน password manager
  6. แยก runtime secret เป็นไฟล์หรือ secret mount ที่ service อ่านเท่าที่จำเป็น
  7. ลด scope ของ token ให้แคบที่สุด
  8. ตั้งชื่อ secret ให้รู้ว่าใช้กับ service ไหน แต่ไม่ใส่ค่าจริงในชื่อไฟล์หรือ comment
  9. backup secret ด้วยวิธีที่เข้ารหัสและ restore ได้จริง
  10. เขียนขั้นตอน rotate สำหรับ token สำคัญ 3-5 ตัวแรก

ไม่จำเป็นต้องทำครบทุกอย่างในวันเดียว จุดสำคัญคือเริ่มจาก secret ที่มี blast radius สูงก่อน เช่น DNS token, cloud token, backup credential, email SMTP credential, database admin password และ private key ที่เปิดทางเข้า service สำคัญ

อ่านต่อที่เกี่ยวข้อง

สรุป

Secret management สำหรับ homelab ไม่ต้องเริ่มจากเครื่องมือใหญ่เสมอไป แต่ควรเริ่มจากวินัยพื้นฐาน: แยก secret ออกจาก config, ไม่ commit token ลง Git, จำกัดสิทธิ์, backup แบบกู้คืนได้ และรู้วิธี rotate เมื่อ secret หลุดหรือหมดความจำเป็น

เครื่องมือที่ดีที่สุดคือเครื่องมือที่เราดูแลต่อได้จริง ถ้า homelab มีไม่กี่ service password manager บวกไฟล์ secret ที่ไม่เข้า Git อาจเพียงพอแล้ว แต่ถ้าเริ่มมีหลายเครื่อง หลาย automation และหลายคนเกี่ยวข้อง ค่อยพิจารณาไฟล์เข้ารหัสหรือ secrets manager เฉพาะทาง

สุดท้าย secret ไม่ควรถูกมองเป็นค่าตั้งค่าเล็ก ๆ ที่แทรกไว้ตรงไหนก็ได้ เพราะมันคือกุญแจของระบบ ถ้ากุญแจถูกวางปนกับเอกสารทั่วไป วันหนึ่งเราอาจไม่รู้ด้วยซ้ำว่ามันหลุดไปตั้งแต่เมื่อไรครับ

แหล่งอ้างอิง

Cybersecurity · Homelab · Technology — written in Thai & English
LinkedIn · RSS Feed · About · Subscribe