디지털 시대의 Linux Virtual Private Server(VPS) 보안
데이터와 인프라를 보호하는 데 가장 중요합니다. 이것
포괄적인 가이드에서는 Linux VPS를 보호하는 방법을 탐색합니다.
사이버 위협.
시스템 유지
업데이트됨
One of the most important aspects of securing your Linux VPS is
시스템이 최신인지 확인하세요. 오래된 소프트웨어는
악의적인 행위자가 악용할 수 있는 취약점이 포함되어 있습니다. 방법은 다음과 같습니다.
그것을 해라:
패키지 관리자 사용
대부분의 Linux 배포판은 패키지 관리자를 제공합니다. 예를 들어, 만약
Debian 기반 시스템을 사용하는 경우 다음 명령을 실행할 수 있습니다.
패키지를 업데이트하고 업그레이드하려면:
sudo apt update
sudo apt upgradeCentOS 시스템을 사용하는 경우 yum을 사용하세요.
sudo yum update자동 설정
업데이트
무인 업그레이드를 사용하여 자동 업데이트 설정
Debian 기반 시스템:
Ubuntu와 같은 Debian 기반 시스템에서는 다음을 사용할 수 있습니다.
업데이트 프로세스를 자동화하는 무인 업그레이드 패키지입니다.
- 무인 업그레이드를 설치합니다.
sudo apt install unattended-upgrades- 자동 업데이트 설정을 구성합니다. 구성 편집
파일:
sudo nano /etc/apt/apt.conf.d/50unattended-upgrades- 보안 관련 패키지에 대한 자동 업데이트를 활성화합니다.
Unattended-Upgrade::Allowed-Origins {
"${distro_id}:${distro_codename}-security";
"${distro_id}:${distro_codename}-updates";
"${distro_id}:${distro_codename}-proposed";
"${distro_id}:${distro_codename}-backports";
};- 무인 업그레이드 서비스를 활성화하고 시작합니다.
sudo dpkg-reconfigure -plow unattended-upgrades이 명령은 변경 사항을 확인하라는 메시지를 표시합니다. "예"를 선택하여
자동 업데이트를 활성화합니다.
yum-cron을 켜서 자동 업데이트 설정
CentOS:
CentOS에서는 자동 업데이트를 위해 yum-cron을 사용할 수 있습니다.
- yum-cron을 설치합니다:
sudo yum install yum-cron- yum-cron 서비스를 시작하고 활성화합니다.
sudo systemctl enable yum-cron
sudo systemctl start yum-cron사용
보안 인증을 위한 강력한 비밀번호 및 SSH 키
Linux VPS를 보호하려면 강력한 인증 방법을 사용해야 합니다.
Linux 또는 Windows 클라이언트에서 연결하는 방법은 다음과 같습니다.
강력한 비밀번호와 SSH 키를 효과적으로 사용하세요.
Strong 사용
비밀번호
VPS에서 사용자 계정을 생성할 때 비밀번호가 올바른지 확인하세요.
대문자와 소문자, 숫자 및 특수 문자를 결합한 복잡한
문자. 쉽게 추측할 수 있는 비밀번호는 피하세요.
SSH 키 사용
입증
Linux 클라이언트의 경우:
- Linux 클라이언트에서 SSH 키 쌍을 생성하려면 ssh-keygen을 사용하세요.
명령:
ssh-keygen -t rsa -b 2048공개 키는 기본적으로 ~/.ssh/id_rsa.pub에 저장됩니다.
- 공개 키를 VPS에 복사합니다.
ssh-copy-id user@your_server_ip- SSH 서버의 VPS에서 비밀번호 기반 SSH 로그인을 비활성화합니다.
구성 파일(/etc/ssh/sshd_config):
PasswordAuthentication noWindows 클라이언트의 경우:
- Windows에서는 비슷한 기능을 위해 PowerShell을 사용합니다.
ssh-keygen- PowerShell을 사용하여 공개 키를 VPS에 복사합니다. 바꾸다
IP-주소-OR-FQDN 원격 서버의
주소:
type $env:USERPROFILE\.ssh\id_rsa.pub | ssh root@{IP-ADDRESS-OR-FQDN} "cat >> .ssh/authorized_keys"- SSH 서버의 VPS에서 비밀번호 기반 SSH 로그인을 비활성화합니다.
구성 파일(/etc/ssh/sshd_config):
PasswordAuthentication no방화벽 구현
Linux VPS를 보호하려면 제어할 방화벽을 설정해야 합니다.
들어오고 나가는 트래픽. 방화벽을 구현하는 방법은 다음과 같습니다.
보안 강화:
Debian/Ubuntu에서 ufw(복잡하지 않은 방화벽)를 사용하거나
CentOS의 방화벽:
- 방화벽 관리 도구가 아직 설치되지 않은 경우 설치합니다.
Debian/Ubuntu의 ufw의 경우:
sudo apt install ufwCentOS의 방화벽의 경우:
sudo yum install firewalld- 방화벽을 활성화하기 전에 SSH를 허용하는 규칙을 추가하여
잠김:
Debian/Ubuntu의 ufw의 경우:
sudo ufw allow OpenSSHCentOS의 방화벽의 경우:
sudo firewall-cmd --permanent --add-service=ssh- 방화벽을 활성화하고 기본 규칙을 설정합니다.
Debian/Ubuntu의 ufw의 경우:
sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoingCentOS의 방화벽의 경우:
sudo systemctl start firewalld
sudo systemctl enable firewalld- 변경 사항을 적용하려면 방화벽을 다시 로드하세요.
Debian/Ubuntu의 ufw의 경우:
sudo ufw reloadCentOS의 방화벽의 경우:
sudo systemctl reload firewalld루트 로그인 비활성화
Linux VPS를 보호하려면 루트 액세스를 제한해야 합니다. 방법은 다음과 같습니다
보안 강화를 위해 루트 로그인을 비활성화하려면:
- 새 사용자 생성: 루트 사용자로 VPS에 로그인합니다. 그런 다음 생성
sudo 권한이 있는 새 사용자 계정. newuser를 다음으로 바꾸십시오.
원하는 사용자 이름:
adduser newuser
usermod -aG sudo newuser- .ssh 디렉토리,authorized_keys를 생성하고 다음에 대한 권한을 설정합니다.
새로운 사용자:
mkdir -p /home/newuser/.ssh
touch /home/newuser/.ssh/authorized_keys
chmod 600 /home/newuser/.ssh/authorized_keys
chown -R newuser:newuser /home/newuser/.ssh-
공개 키를 생성하고 복사하십시오.
VPS. -
새 사용자로 로그인하십시오.
-
VPS 연결을 끊고(루트로 연결된 경우) 로그를 남깁니다.
새 사용자 계정을 사용하여 다시 돌아옵니다. 이렇게 하면 수행할 수 있습니다.
sudo를 사용한 관리 작업 -
SSH 구성 편집:
VPS에서 SSH 서버 구성 파일을 엽니다. 이 파일은
일반적으로 /etc/ssh/sshd_config에 있습니다:
sudo nano /etc/ssh/sshd_configPermitRootLogin이라는 줄을 찾아 no로 설정합니다.
PermitRootLogin no파일을 저장하고 텍스트 편집기를 종료합니다.
- SSH 서비스를 다시 시작합니다.
이렇게 변경한 후에는 SSH 서비스를 다시 시작해야 합니다.
적용할 새 설정:
데비안/우분투에서:
sudo systemctl restart sshCentOS에서:
sudo systemctl restart sshdSSH 강화
구성
Linux VPS를 보호하려면 SSH를 더욱 강화해야 합니다.
보안을 강화하고 UFW 규칙이 최신인지 확인하기 위한 구성
날짜. SSH 설정을 강화하고 UFW를 업데이트하는 방법은 다음과 같습니다.
규칙:
- UFW에서 새 SSH 포트를 허용합니다:
UFW(복잡하지 않은 방화벽)를 사용하는 경우 먼저 새 SSH를 허용하세요.
기본 포트를 변경하기 전에 포트를 변경하세요.
# Allow the new SSH port (e.g., 2222)
sudo ufw allow 2222/tcp- UFW 규칙에서 OpenSSH를 제거합니다:
SSH 포트를 변경한 후 이전 OpenSSH를 제거해야 합니다.
UFW 규칙의 서비스(기본 포트 22)에서 새로운
SSH 포트가 허용됩니다.
# Remove the old OpenSSH service (default port 22)
sudo ufw delete allow OpenSSH- SSH 포트를 변경합니다.
기본적으로 SSH는 포트 22를 사용합니다. 기본 포트를 변경하면
자동화된 봇이 찾기 어렵게 만들어 보안을 강화합니다.
귀하의 SSH 서버.
SSH 서버 구성 파일을 엽니다.
sudo nano /etc/ssh/sshd_config포트 22를 읽는 줄을 찾아 포트 번호를 다음으로 변경합니다.
사용되지 않는 다른 포트(예: 2222):
Port 2222- 키 재인증 활성화:
보안을 더욱 강화하기 위해 키 재인증에 대한 시간 제한을 설정할 수 있습니다.
SSH 세션. 즉, SSH 세션을 종료하면
방치하면 일정 시간이 지나면 자동으로 만료됩니다.
SSH 서버 구성에서 다음 줄을 추가하거나 수정합니다.
파일을 선택한 다음 저장하세요.
ClientAliveInterval 300
ClientAliveCountMax 2- UFW 규칙 및 SSH 서비스를 다시 로드합니다.
sudo ufw reload
sudo systemctl restart ssh- 필요한 사항을 변경한 후에는 새 SSH를 설정할 수 있습니다.
다음 명령을 사용하여 연결합니다.
ssh -p <new_port> user@your_server_ipFail2Ban 구현
Linux VPS를 보호하려면 무차별 로그인으로부터 보호해야 합니다.
시도 및 기타 유형의 악의적 활동. Fail2Ban은 유용합니다
이 목적을 위한 도구입니다. Fail2Ban을 구현하는 방법은 다음과 같습니다.
- Fail2Ban 설치:
먼저 패키지 목록을 업데이트하여 최신 버전을 확보하세요.
사용 가능한 패키지:
Debian 기반 시스템(예: Ubuntu)의 경우:
sudo apt updateCentOS의 경우:
sudo yum updateFail2Ban 설치:
Debian 기반 시스템의 경우:
sudo apt install fail2banCentOS의 경우:
sudo yum install fail2ban- Fail2Ban 구성:
Fail2Ban의 기본 구성 파일은 다음 위치에 있습니다.
/etc/fail2ban/jail.conf. 재정의를 만들 수 있습니다.
에 파일을 제출하다 /etc/fail2ban/jail.local 설정을 사용자 정의하려면
기본 구성을 수정하지 않고. 이 파일을 엽니다:
sudo nano /etc/fail2ban/jail.local10분간 IP 주소를 차단하려면 다음 구성을 추가하세요.
(600초) 6번의 로그인 시도 실패 후. 매개변수를 다음과 같이 조정합니다.
필요함:
[sshd]
enabled = true
maxretry = 6
findtime = 600
bantime = 600파일을 저장하고 텍스트 편집기를 종료합니다.
- Fail2Ban 시작 및 활성화:
Fail2Ban을 시작하고 부팅 시 시작되도록 활성화합니다.
sudo systemctl start fail2ban
sudo systemctl enable fail2ban- Fail2Ban 상태 확인:
Fail2Ban의 상태를 확인하여 다음과 같이 작동하는지 확인할 수 있습니다.
예상되는:
sudo fail2ban-client statusSSH 서비스를 모니터링하고 있는지 확인해야 합니다.
여기에서 논의된 6가지 필수 방법은 강력한 방어를 제공합니다.
잠재적인 취약점에 대비합니다. 시스템을 최신 상태로 유지함으로써,
강력한 인증 사용, 방화벽 구성, SSH 강화,
Fail2Ban을 구현하면 VPS를 강화하고 평화를 유지할 수 있습니다.
끊임없이 연결된 세계의 마음. 질문이 있으시면 하지 마세요.
주저하지 말고 지원팀에 문의하세요. 제출하기
표.