ผมขอเล่าก่อน
ที่หน้างานไซต์นึงมีคอม 3 เครื่อง
- คอมให้พนักงานคอยทำงาน (ใช้่ MS account
ฟรีเพราะใช้ไม่เยอะแค่พิมพ์รายงาน)
- คอมควบคุมระบบ SCADA
- คอมรีโมทให้โปรแกรมเมอร์รีโมทเข้ามาซัพพอร์ท
กรณี PLC/SCADA มีบั๊ก (คอมของโปรแรกมเมอรเป็นคอนแทรค
เค้าต้องหาคอมมาเอง)
ปัญหาคือตั้งแต่ประมาณ
ปลายเมษาผมพบปัญหาบัญชีคอม
ของพนักงานเริ่มมีปัญหาโดนล็อคบ่อยจนทำให้
บัญชีโดนระงับชั่วคราว
ผมก็ไปเช็คพบว่ามีเซสชั่นล็อคอินแปลกๆเข้ามา
ผมเลยเตะอุปกรณ์แปลกๆออก และเปิด 2 factor
(เป็น account กลางที่
คนเก่าทำไว้ประสานงานตอนนั้นเลยไม่ค่อยไปแตะ)
ปรากฎโดนล็อคชั่วคราวจนบัญชีถูกล็อคถาวร
ผมเลยแปลกใจละว่าเกิดอะไรขึ้น
พอไปเช็คก็ยังพบเซสชั่นแปลกๆล็อคอินมาอีก
ทั้งๆที่เปิด 2 factor
ต่อมาผมเลยคิดว่าคอมติดอะไรหรือเปล่า
เลยยกคอมเก่าออกเอาคอมสำรองไปแล้ว
สร้างบัญชีใหม่พร้อมเปิด 2 factor ตั้งแต่ต้น
ปรากฎยังบัญชียังโดนล็อคชั่วคราว
ราวๆวันเว้นวันเลยผมก็ไปเช็คเซสชั่น
มันก็มีล็อคอินแปลกๆมา แถมขึ้นว่าล็อคอินสำเร็จด้วย
(ปกติเวลาปลดล็อคผมจะรีโมทเข้าไป
แล้วล็อคอินจากเครื่องนั้นเพื่อเช็คอย่างอื่นด้วย)
คราวนี้เลยลองเปลี่ยนรหัสผ่าน และ
ปิดคอมโปรแกรมเมอร์ที่ใช้รีโมทเข้ามาดู
ก็ยังพบปัญหาเดิมอีก
เซสชั่นแปลกๆก็ยังอยู๋ไอพีก็ไอพีเดียวกัน
จนตอนนี้เริ่มจนละว่าจะทำยังไงดี
เลยอยากได้ความเห็นว่าเดินต่อยังไงดี
ถ้าโปรแกรมรับ input ทาง command line ได้
ลอง manage account ของ remote server เอง
ใช้ keypair จะ manage ง่ายสุด (ถ้าเข้าใจ)
https://learn.microsoft.com/en-us/windows-server/administration/openssh/openssh_keymanagement
ลอง Sign out everywhere ยังอะครับ
ว่าแต่ทำไมถึงใช้ MS account ไม่ใช้ local account ครับ?