📘[Server] 내 우분투 서버 보안 설정하기

보안 설정..?

친구한테 내 서버를 만들었는데, 여기에 진행 중인 프로젝트를 배포하는 것은 어떤지 의견을 제시해봤다.
친구는 자기도 서버를 구축해봤는데, 그게 연결 해놓은 인터넷이 위험할 경우가 생길 수도 있다고 했다.
보안적인 측면에서 위험 요소가 있으면, 인터넷은 물론이고 배포해놓은 서비스의 데이터 또한 한 번에 위험에 노출되기 때문에 보안 설정에 대해서 궁금해졌다.
VPN을 사용하는 방법도 있고, 단순하게 인터넷을 따로 개통해서 그걸 쓰는 방법도 있고.. 다양한 방법들이 있다.
나는 우선 내 서버에 접속하는 클라이언트에 대한 보안 설정을 하는게 어떨까 하는 생각에 ChatGPT에게 물어봤다.

이후에 구글링과 여러 블로그 포스팅도 참고하면서 보안성이 향상된 서버를 구축해볼거임!

1. SSH 기본 설정 변경

SSH 포트 변경

기본적으로 SSH는 22번 포트를 사용한다.

이를 변경하여 자동 스캔 공격 을 방지할 수 있다.

sudo nano /etc/ssh/sshd_config

• sshd_config 에 접속

Port 2222

• 포트 변경

sudo systemctl restart ssh 

• SSH 데몬 재시작

루트 로그인 비활성화

루트 계정으로 직접 접속하는 것을 비활성화한다.

sudo nano /etc/ssh/sshd_config

• sshd_config 에 접속

PermitRootLogin no

• PermitRootLogin 설정 no 로 변경

sudo systemctl restart ssh

• 암호 인증 비활성화 및 공개 키 인증 사용
• 암호 인증을 비활성화하고, 공개 키 인증을 사용하도록 설정한다.

sudo nano /etc/ssh/sshd_config

• sshd_config 에 접속

PasswordAuthentication no

• PasswordAuthentication 설정 no로 변경

sudo systemctl restart ssh

• SSH 데몬 재시작

# 클라이언트 컴퓨터
ssh-keygen -t rsa
# ssh-copy-id username@server_ip
ssh-copy-id -i /path/to/your_rsa_key.pub user@server_ip -p [PORT]

• 공개 키 인증을 설정하려면, 클라이언트 컴퓨터에서 공개 키를 생성하고, 서버에 업로드 해야한다.
• ssh-copy-id username@server_ip 를 했는데, 서버에 전송이 안된 듯하다..
• 그래서 ssh-copy-id -i /path/to/your_rsa_key.pub user@server_ip -p [PORT]를 사용해서 .pub키를 보내줬다.

# 서버 컴퓨터
cd .ssh/
cat authorized_keys

• 서버 측 컴퓨터에서 키가 정상적으로 넘어왔는지 확인해보자!
• 줄 수가 늘어났으면 넘어온거임.

# 다시 클라이언트 컴퓨터
Host server_alias
    HostName server_ip
    Port 2222
    User user
    IdentityFile /path/to/your_rsa_key

• 이렇게 설정해놓으면 내 서버에 접속할 때 ssh server_alias 명령어 입력하면 들어가진다!
• 나는 server_alias를 my_ubuntu로 했다!

ssh my_ubuntu

• 그럼 접속할 때, 아까 설정한 rsa키를 만들 때 설정한 비밀번호를 입력해야 접속할 수 있다!

2. 방화벽 설정

우분투의 기본 방화벽인 UFW를 설정하여 필요한 포트만 열어준다.

sudo ufw allow 2222/tcp
sudo ufw enable
sudo ufw status

3. Fail2Ban 적용

sudo apt update
sudo apt install fail2ban

• Fail2Ban은 SSH 로그인 시도를 모니터링하고, 여러 번 실패한 IP를 차단한다.

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

• 기본 설정 파일을 복사하여 사용자 설정 파일을 만들어준다.

sudo nano /etc/fail2ban/jail.local

• 사용자 설정 파일을 편집한다.

[sshd]
enabled = true
port = 2222
filter = sshd
logpath = /var/log/auth.log
maxretry = 5

• 사용자 설정 파일에서 [sshd] 섹션을 찾아 위와 같이 변경해준다.

sudo systemctl restart fail2ban

• Fail2Ban을 재시작한다.

2단계 인증 설정(Google Authenticator)

2단계 인증을 사용하면 보안을 더욱 강화할 수 있다.

여기선 Google Authenticator를 사용한다.

sudo apt install libpam-google-authenticator

• libpam-google-authenticator를 설치한다.

google-authenticator

• 각 사용자 계정에서 Google Authenticator를 설정한다.

sudo nano /etc/pam.d/sshd

• /etc/pam.d/sshd파일을 연다.

auth required pam_google_authenticator.so

• 위의 줄을 추가하여 PAM 모듈을 추가한다.

sudo nano /etc/ssh/sshd_config

• sshd_config 파일을 연다.

ChallengeResponseAuthentication yes

• ChallengeResponseAuthentication 옵션을 yes로 바꿔준다.

sudo systemctl restart ssh

• SSH 데몬을 재시작한다.

참고자료

내 우분투 서버에 아무나 접속할 수 없도록 보안설정 하는 방법 알려줘