Linux VPS 서버는 내장된 Linux 보안 모델을 통해 Windows 시스템보다 더 나은 보안을 제공합니다. 그러나 어떤 시스템도 방탄은 없습니다. 해커들은 매일 수백만 대의 서버를 적극적으로 검사하여 민감한 데이터를 악용하거나 대규모 공격에 서버를 사용하기 위한 취약점을 검색합니다.
Linux 서버를 보호하는 방법을 배우려면 신중한 구성이 필요합니다. 새로운 VPS 설치에는 보안보다 접근성을 우선시하는 기본 설정이 함께 제공됩니다. Linux 서버 구현을 보호하는 방법을 이해하면 시스템 기능을 유지하면서 진화하는 위협으로부터 보호할 수 있습니다. 이 가이드에서는 Linux 서버 인프라를 보호하고 취약한 시스템을 일반적인 공격을 막아내는 요새로 전환하는 20가지 필수 단계를 보여줍니다.
리눅스 VPS란 무엇입니까?
Linux VPS(Virtual Private Server)는 다른 사용자와 분리된 전용 리소스를 사용하여 클라우드 플랫폼에서 실행됩니다. 하나의 손상된 계정이 다른 계정에 영향을 미칠 수 있는 공유 호스팅과 달리 보안 VPS 호스팅은 환경을 격리합니다. 그러나 공격자는 여전히 보안되지 않은 VPS 서버를 표적으로 삼아 데이터를 훔치거나, 악성 코드를 설치하거나, 다른 시스템에 대한 공격을 시작합니다.
주문할 때 리눅스 VPS 구매 호스팅을 사용하면 운영 체제에 기본 설정이 사전 설치되어 제공됩니다. 이러한 기본 구성은 보안보다 사용 편의성을 우선시하므로 서버가 일반적인 취약점을 검색하는 자동화된 공격에 노출됩니다. VPS 서버로 보안 클라우드 데이터를 구현하려면 기본 설치 이상의 사전 조치가 필요합니다.
Linux VPS를 보호해야 하는 이유
보안되지 않은 서버는 온라인에 접속한 후 몇 시간 내에 표적이 됩니다. 이제 조직은 다음과 같은 상황에 직면해 있습니다. 주당 평균 1,876건의 사이버 공격, 이는 전년 대비 75% 증가한 수치입니다. Linux 서버 인프라를 보호하는 방법을 이해하면 시스템을 손상시킬 수 있는 이러한 지속적인 위협으로부터 보호할 수 있습니다.
가장 위험한 측면은 정교한 공격이 탐지되지 않는 경우가 많다는 것입니다. 공격자는 명백한 침입 징후 없이 데이터에 액세스하고 통신을 모니터링하거나 서버 리소스를 사용할 수 있습니다. 안전한 VPS 호스팅에는 공격자가 자신의 존재를 알리지 않기 때문에 사전 조치가 필요합니다. 비정상적인 활동을 발견할 때쯤이면 이미 심각한 피해가 발생했을 수 있습니다.
Linux 보안 모델(LSM)
Linux에는 중요한 시스템 구성 요소에 대한 무단 액세스를 거부하는 내장 보안 기능이 포함되어 있습니다. 다이어그램이 포함된 Linux 보안 모델은 액세스 제어가 파일, 프로세스 및 사용자 상호 작용을 보호하는 방법을 보여줍니다. 이로 인해 다른 운영 체제에 비해 악용을 더 어렵게 만드는 여러 보안 계층이 생성됩니다.
그러나 LSM은 잘못된 구성, 취약한 암호 또는 오래된 소프트웨어로 인한 공격을 방지할 수 없습니다. 이는 Linux 서버를 보호하는 방법에 대한 기반을 제공하지만 효과적인 실행을 위해서는 적절한 구현이 필요합니다. 우분투 VPS 호스팅 및 기타 Linux 배포판.
Linux VPS를 보호하는 20가지 방법
이러한 보안 조치는 기본 구성 변경에서 고급 모니터링 시스템으로 진행됩니다. Linux 서버 환경을 보호하는 방법을 익히려면 이러한 단계를 체계적으로 구현하여 일반적인 공격 벡터에 저항하는 안전한 Linux 서버를 구축해야 합니다.
각 기술은 공격자가 일반적으로 악용하는 특정 취약점을 해결합니다. 방법은 모든 서버에 필요한 기본 구성부터 고급 위협 탐지를 위한 정교한 모니터링 시스템까지 다양합니다. 일부 조치는 즉각적인 보호를 제공하는 반면 다른 조치는 장기적인 보안 탄력성을 생성합니다. 구현 순서가 중요합니다. 기본 강화 단계가 고급 모니터링 도구보다 먼저 이루어져야 합니다. 이러한 20가지 전략을 함께 사용하면 서버의 공격 표면을 크게 줄이는 중복되는 보안 계층이 만들어집니다.
1. 소프트웨어를 최신 상태로 유지
오래된 소프트웨어에는 공격자가 악용할 수 있는 알려진 보안 취약점이 포함되어 있습니다. 소프트웨어 개발자는 이러한 취약점을 해결하는 패치를 정기적으로 출시하여 업데이트를 Linux 서버 시스템 보안을 위한 첫 번째 방어선으로 삼습니다.
중요한 보안 패치에 대한 자동 업데이트를 구성합니다.
# Ubuntu/Debian
sudo apt update && sudo apt upgrade -y
# CentOS/RHEL
sudo yum update -y수동 검토가 필요한 보안 패치에 대한 최신 정보를 얻으려면 사용 가능한 업데이트에 대한 이메일 알림을 설정하세요.
2. 루트 로그인 비활성화
모든 Linux 서버에는 시스템에 무제한으로 액세스할 수 있는 "루트" 사용자 계정이 포함되어 있습니다. 해커는 이 계정이 항상 존재한다는 것을 알고 있으므로 다음과 같이 목표로 삼습니다. 무차별 공격 비밀번호를 추측하고 완전한 서버 제어권을 얻으려면
루트 액세스를 비활성화하기 전에 새 관리 사용자를 생성하십시오.
# Create new user
sudo adduser adminuser
sudo usermod -aG sudo adminuser
# Disable root login in SSH configuration
sudo nano /etc/ssh/sshd_config
# Change: PermitRootLogin no
sudo systemctl restart sshd이로 인해 공격자는 사용자 이름과 비밀번호를 모두 추측해야 하므로 보안이 크게 강화됩니다.
3. SSH 키 쌍 생성
비밀번호 기반 로그인은 특히 비밀번호가 취약한 경우 취약할 수 있습니다. SSH 키 인증은 보다 안전한 대안을 제공합니다. 비밀번호 대신 암호화 키를 사용하면 더욱 강력하고 해독하기 어려운 인증 방법을 확보할 수 있습니다.
이 보안 조치는 다음과 같은 점에서 특히 중요합니다. 도난당한 자격 증명은 데이터 침해의 24%에서 초기 공격 벡터 역할을 합니다. 보안 연구에 따르면. 이러한 공격은 다른 어떤 방법보다 탐지하고 격리하는 데 시간이 더 오래 걸리므로 SSH 키를 통한 예방이 필수적입니다.
보안 인증을 위해 SSH 키 쌍을 생성합니다.
ssh-keygen -t rsa -b 4096
ssh-copy-id username@server-ipSSH 키의 길이는 최대 4096비트일 수 있으므로 복잡한 비밀번호보다 훨씬 더 안전합니다.
4. 2단계 인증 활성화
이중 인증은 비밀번호 외에 두 번째 확인 단계를 추가합니다. 공격자가 귀하의 비밀번호를 알아내더라도 두 번째 인증 요소 없이는 귀하의 서버에 접근할 수 없습니다.
2단계 인증 설치 및 구성:
sudo apt install libpam-google-authenticator
google-authenticator서버 액세스를 위한 시간 기반 코드를 생성하도록 모바일 인증기 앱을 구성하세요.
5. SSH 포트 변경
기본 SSH 포트(22)는 자동화된 검색 도구로부터 지속적인 공격 시도를 수신합니다. 사용자 지정 포트로 변경하면 이러한 자동화된 공격에 대한 노출이 줄어듭니다. 이를 감안할 때 전 세계 평균 데이터 유출 비용은 488만 달러에 이르렀습니다. 2024년에는 포트 변경과 같은 간단한 보안 조치라도 자동화된 위협으로부터 귀중한 보호 기능을 제공합니다.
대부분의 Linux 배포판의 경우:
sudo nano /etc/ssh/sshd_config
# Find: #Port 22
# Change to: Port 2222 (choose a port between 1024-65535)
sudo systemctl restart sshdUbuntu 23.04 이상 버전의 경우:
sudo nano /lib/systemd/system/ssh.socket
# Update ListenStream=2222
sudo systemctl daemon-reload
sudo systemctl restart ssh.service중요한: 현재 세션을 닫기 전에 새 포트를 테스트하십시오.
# Test connection in a new terminal
ssh username@server-ip -p 2222새 포트를 허용하도록 방화벽 규칙을 업데이트하세요.
sudo ufw allow 2222
sudo ufw delete allow 22 # Remove old rule after testing연결할 때 새 포트를 지정해야 합니다. SSH 사용자 이름@서버-IP -p 2222
6. 사용하지 않는 네트워크 포트 및 IPv6 비활성화
개방형 네트워크 포트는 공격자에게 진입점을 제공합니다. 실행 중인 각 서비스는 잠재적인 취약점을 생성하므로 불필요한 서비스 및 관련 포트를 비활성화합니다.
현재 열려 있는 포트 보기:
sudo netstat -tulpn
# Alternative command
sudo ss -tulpn사용 iptables 방화벽 규칙을 관리하고 불필요한 포트를 닫습니다.
필요하지 않은 경우 IPv6을 비활성화합니다.
sudo nano /etc/sysctl.conf
# Add these lines:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
# Apply changes
sudo sysctl -p
# Verify IPv6 is disabled
cat /proc/sys/net/ipv6/conf/all/disable_ipv6
# Should return 1네트워크 구성 업데이트(실제 netplan 파일 찾기):
# Find netplan configuration files
ls /etc/netplan/
# Edit your specific configuration file
sudo nano /etc/netplan/[your-config-file].yaml
# Comment out IPv6 configuration lines
sudo netplan apply7. 방화벽 구성
방화벽은 서버에 도달할 수 있는 네트워크 트래픽을 제어합니다. 지정된 포트를 통한 합법적인 트래픽을 허용하면서 무단 연결을 차단합니다.
빠른 UFW 설정:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw enable필수 방화벽 규칙:
| 목적 | 명령 | 결과 |
| HTTP 허용 | sudo ufw 허용 80 | 웹 트래픽이 허용됨 |
| HTTPS 허용 | sudo ufw 허용 443 | 안전한 웹 트래픽 |
| 사용자 정의 SSH 포트 허용 | sudo ufw 허용 2222 | 사용자 정의 포트의 SSH |
| 특정 IP 차단 | sudo ufw 192.168.1.100에서 거부 | IP가 완전히 차단되었습니다. |
방화벽 상태를 확인하세요.
sudo ufw status verbose이 구성은 SSH 연결을 제외한 모든 수신 트래픽을 차단합니다.
8. 안티맬웨어 및 안티바이러스 애플리케이션 설치
Linux 시스템은 데이터를 훔치거나 암호화폐를 채굴하거나 공격자에게 백도어 액세스를 제공하는 악성 코드에 감염될 수 있습니다. 맬웨어 방지 소프트웨어는 이러한 위협이 시스템을 손상시키기 전에 이를 감지하고 제거합니다.
포괄적인 바이러스 검사를 위해 ClamAV를 설치하세요.
sudo apt install clamav clamav-daemon clamav-freshclam
sudo freshclam
sudo systemctl enable clamav-freshclam
sudo systemctl start clamav-freshclam중요한 디렉터리에 대해 수동 검사를 실행합니다.
sudo clamscan -r /home --infected --remove --bell
sudo clamscan -r /var/www --infected --remove보호 기능을 강화하려면 ClamAV와 함께 Maldet을 설치하세요.
# Verify URL availability before downloading
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzf maldetect-current.tar.gz
cd maldetect-*
sudo ./install.sh
# Note: Always verify download URLs from official sources before usecron을 사용하여 일일 자동 검사를 예약합니다.
# Add to crontab: Daily scan at 2 AM
0 2 * * * /usr/bin/clamscan -r /home --quiet --infected --remove9. 루트킷 스캐너 설치
루트킷은 운영 체제 내부 깊숙이 숨어 있는 악성 프로그램으로, 표준 바이러스 백신 소프트웨어에서는 탐지되지 않는 경우가 많습니다. 일반적인 탐지 방법으로는 눈에 띄지 않으면서 공격자에게 시스템에 대한 지속적인 액세스 권한을 제공할 수 있습니다.
루트킷 탐지를 위해 Chkrootkit을 설치하고 구성합니다.
sudo apt install chkrootkit
sudo chkrootkit | grep INFECTED추가 루트킷 보호를 위해 RKHunter를 설치하십시오.
sudo apt install rkhunter
sudo rkhunter --update
sudo rkhunter --propupd
sudo rkhunter --check자동화된 주간 루트킷 검사 생성:
# Add to crontab: Weekly rootkit scan every Sunday at 3 AM
0 3 * * 0 /usr/bin/rkhunter --cronjob --update --quiet
0 4 * * 0 /usr/bin/chkrootkit | grep INFECTED > /var/log/chkrootkit.log루트킷이 감지되면 즉시 서버를 격리하고 전체 OS 재설치를 고려하십시오. 시스템 무결성을 유지하면서 루트킷을 완전히 제거하는 것은 매우 어려울 수 있습니다.
10. 침입 방지를 위해 Fail2Ban 사용
Fail2Ban은 로그인 시도를 모니터링하고 반복적인 로그인 시도 실패와 같은 악의적인 동작을 나타내는 IP 주소를 자동으로 차단합니다.
빠른 설치:
sudo apt install fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local필수 SSH 보호 설정:
[sshd]
enabled = true
port = ssh
maxretry = 3
bantime = 3600
findtime = 600주요 구성 값:
| 환경 | 값 | 의미 |
| 최대 재시도 | 3 | 차단 전 시도 실패 |
| 반타임 | 3600 | 차단 기간(1시간) |
| 발견 시간 | 600 | 시간 창(10분) |
시작 및 활성화:
sudo systemctl start fail2ban
sudo systemctl enable fail2ban금지된 IP를 확인하세요.
sudo fail2ban-client status sshd11. SELinux를 켜세요
SELinux(보안 강화 Linux)는 프로그램이 손상된 경우에도 프로그램이 수행할 수 있는 작업을 제한하는 필수 액세스 제어 기능을 제공합니다. 표준 Linux 권한을 넘어서는 추가 보안 계층을 생성합니다.
SELinux를 확인하고 활성화합니다.
sestatus
sudo setenforce enforcingSELinux 정책은 손상된 애플리케이션이 승인되지 않은 시스템 리소스에 액세스하는 것을 방지합니다. 다음을 따르세요 SELinux를 최대한 활용하기 위한 간단한 지침 최적의 구성을 위해.
12. 파일, 디렉터리, 이메일 보호
공격자가 시스템 액세스 권한을 얻더라도 중요한 파일을 암호화하여 무단 액세스로부터 보호합니다. 이는 민감한 데이터를 처리하는 보안 파일 서버 Linux 구성에 필수적입니다.
파일 암호화에 GPG를 사용하십시오.
gpg --cipher-algo AES256 --compress-algo 1 --s2k-mode 3 --s2k-digest-algo SHA512 --s2k-count 65536 --symmetric filename액세스를 제한하려면 적절한 파일 권한을 설정하십시오.
chmod 600 sensitive-file # Owner read/write only
chmod 700 private-directory # Owner access only13. 정기적으로 백업을 수행하십시오.
정기적인 백업을 통해 보안 사고, 하드웨어 오류 또는 우발적인 데이터 손실로부터 복구할 수 있습니다. 자동 백업은 사람의 실수로 인한 위험을 줄이고 안전한 VPS 호스팅 전략의 중요한 구성 요소를 형성합니다.
자동화된 백업 스크립트를 생성합니다:
#!/bin/bash
tar -czf /backup/$(date +%Y%m%d)-system.tar.gz /home /etc /var/log3-2-1 백업 규칙에 따라 오프사이트 저장소를 포함한 여러 위치에 백업을 저장합니다.
14. 디스크 파티셔닝 생성
디스크 파티셔닝은 시스템 파일을 사용자 데이터와 분리하여 파티션 하나가 손상되더라도 손상을 제한합니다. 또한 한 영역의 디스크 공간 고갈이 전체 시스템에 영향을 미치는 것을 방지합니다.
권장 파티션 구성표:
/신병 – 500MB (부팅 파일)
/ – 20GB (시스템 파일)
/집 – 50GB (사용자 데이터)
/var – 10GB (로그 및 데이터베이스)
/tmp – 2GB (임시 파일)
교환 – 2GB (가상 메모리)
보안 제한 사항이 있는 임시 파티션을 마운트합니다.
# Add to /etc/fstab for permanent mounting
echo "tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev,size=2G 0 0" >> /etc/fstab
echo "tmpfs /var/tmp tmpfs defaults,noexec,nosuid,nodev,size=1G 0 0" >> /etc/fstab# 바로 신청하세요
sudo mount -a파티션 보안을 확인하십시오.
mount | grep -E "(noexec|nosuid|nodev)"
df -h # Check disk usage by partition그만큼 노엑섹 옵션은 악성 실행 파일이 실행되는 것을 방지합니다. 노수드 set-user-ID 비트를 비활성화하고 노드 임시 디렉토리에서 장치 파일 생성을 방지합니다.
15. 서버 로그 모니터링
서버 로그는 모든 시스템 활동을 기록하여 보안 사고에 대한 조기 경고 신호를 제공합니다. 정기적인 로그 모니터링은 비정상적인 패턴이 심각한 위협이 되기 전에 식별하는 데 도움이 됩니다.
모니터링할 주요 로그:
| 로그 파일 | 목적 | 명령 |
| /var/log/auth.log (데비안/우분투)<br>/var/로그/보안 (센트OS/RHEL) | 로그인 시도 | sudo tail -f /var/log/auth.log<br>sudo tail -f /var/log/secure |
| /var/log/syslog (데비안/우분투)<br>/var/log/메시지 (센트OS/RHEL) | 시스템 메시지 | sudo tail -f /var/log/syslog<br>sudo tail -f /var/log/messages |
| /var/log/apache2/access.log (데비안/우분투)<br>/var/log/httpd/access_log (센트OS/RHEL) | 웹 트래픽 | sudo tail -f /var/log/apache2/access.log<br>sudo tail -f /var/log/httpd/access_log |
| /var/log/fail2ban.log | 차단된 IP | sudo tail -f /var/log/fail2ban.log |
빠른 로그 분석 명령:
# Failed login attempts (adjust path for your distribution)
sudo grep "Failed password" /var/log/auth.log | tail -10
# Successful logins
sudo grep "Accepted" /var/log/auth.log | tail -10
# Large file transfers (adjust path for your web server)
sudo awk '{print $10}' /var/log/apache2/access.log | sort -n | tail -10자동화된 로그 모니터링:
# Install logwatch for daily summaries
sudo apt install logwatch
sudo logwatch --detail Med --mailto [email protected] --service All로그 파일이 너무 많은 디스크 공간을 소비하지 않도록 로그 회전을 설정합니다.
16. 강력한 비밀번호를 사용하세요
강력한 비밀번호는 무차별 대입 공격과 사전 공격을 방지합니다. 최신 컴퓨팅 성능을 사용하면 취약한 비밀번호를 몇 분 안에 해독할 수 있습니다.
비밀번호 요구사항:
- 최소 12자
- 대문자, 소문자, 숫자 및 기호 혼합
- 사전에 나온 단어나 개인정보가 없습니다.
- 각 계정마다 고유함
비밀번호 관리자를 사용하여 복잡한 비밀번호를 안전하게 생성하고 저장하세요. 다이어그램 원칙을 갖춘 다른 Linux 보안 모델과 결합된 강력한 비밀번호는 무단 액세스로부터 보호하는 여러 방어 계층을 형성합니다.
17. FTP보다 SFTP를 선호하세요
표준 FTP는 데이터와 자격 증명을 일반 텍스트로 전송하여 네트워크 도청자가 볼 수 있도록 합니다. SFTP는 모든 데이터 전송을 암호화하여 민감한 정보를 보호하고 안전한 파일 서버 Linux 아키텍처를 지원합니다.
SFTP 전용 액세스 구성:
sudo nano /etc/ssh/sshd_config
# Add: Subsystem sftp internal-sftp보안 위험을 제거하려면 표준 FTP 서비스를 비활성화하십시오.
sudo systemctl disable vsftpd
sudo systemctl stop vsftpd18. CMS 자동 업데이트 활성화
콘텐츠 관리 시스템(WordPress, Drupal, Joomla)은 보안 패치를 자주 출시합니다. 자동 업데이트를 활성화하면 중요한 취약점이 즉시 패치됩니다.
WordPress의 경우 wp-config.php에 추가합니다.
define('WP_AUTO_UPDATE_CORE', true);
add_filter('auto_update_plugin', '__return_true');
add_filter('auto_update_theme', '__return_true');업데이트 로그를 모니터링하여 호환성과 기능을 확인하세요.
19. 익명 FTP 업로드 비활성화
익명 FTP를 사용하면 누구나 인증 없이 서버에 파일을 업로드할 수 있습니다. 이로 인해 서버가 불법 콘텐츠, 맬웨어를 호스팅하거나 공격 배포 지점이 될 수 있습니다.
인증을 요구하도록 vsftpd를 구성합니다:
sudo nano /etc/vsftpd.conf# 익명 액세스 비활성화
anonymous_enable=NO# 로컬 사용자 인증 활성화
local_enable=YES
write_enable=YES
local_umask=022# 사용자를 자신의 홈 디렉토리로 제한
chroot_local_user=YES
allow_writeable_chroot=YES# 보안 설정
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NOFTP 서비스를 다시 시작합니다.
sudo systemctl restart vsftpd
sudo systemctl enable vsftpd제한된 권한으로 FTP 사용자 계정을 만듭니다.
sudo adduser ftpuser
sudo usermod -d /var/ftp/uploads ftpuser
sudo chown ftpuser:ftpuser /var/ftp/uploads
sudo chmod 755 /var/ftp/uploads의심스러운 활동이 있는지 FTP 액세스 로그를 모니터링하세요.
sudo tail -f /var/log/vsftpd.log20. 무차별 대입 보호 구성
Fail2Ban을 넘어 여러 계층의 무차별 대입 보호를 구현하여 정교한 자동화 공격을 방어합니다.
추가 보호 구성:
# Limit SSH connection attempts
sudo nano /etc/ssh/sshd_config
# Add: MaxAuthTries 3
# Add: ClientAliveInterval 300
# Add: ClientAliveCountMax 2포괄적인 보호를 위해 Fail2Ban과 함께 DenyHosts와 같은 도구를 사용하십시오.
결론
Linux VPS를 보호하려면 기본 구성 변경부터 고급 모니터링 시스템까지 여러 방어 계층을 구현해야 합니다. 침입 감지 및 자동 모니터링과 같은 정교한 도구를 추가하기 전에 기본적인 보안 조치(소프트웨어 업데이트, 방화벽 구성, SSH 강화)부터 시작하세요.
보안 Linux 서버에는 일회성 구성이 아닌 지속적인 유지 관리가 필요합니다. 위협이 진화함에 따라 정기적으로 로그를 검토하고, 소프트웨어를 업데이트하고, 보안 조치를 조정하십시오. 적절한 보안 구성에 대한 투자는 비용이 많이 드는 데이터 침해를 방지하고 시스템 안정성을 유지합니다.
이러한 보안 조치는 함께 작동합니다. 단일 기술이 완벽한 보호를 제공할 수는 없습니다. 20가지 전략을 모두 구현하면 일반적인 공격에 대한 서버의 취약성을 크게 줄이는 중복된 보안 계층이 생성됩니다. 보안 파일 서버 Linux 구성이 필요하든 일반 보안 VPS 호스팅 보호가 필요하든 이러한 기본 단계는 필수 보안을 제공합니다.
