우분투 처음 설치후 개인서버 초기세팅법

by

우분투(Ubuntu)를 처음 설치한 후에는 시스템을 안전하게 보호하는 몇 가지 초기 보안 설정이 있습니다. 이곳에서는 주요한 설정 몇 가지를 살펴보겠습니다.

1.자동 업데이트 비활성화


1) 설정 파일 있는 디렉토리로 이동

$ cd /etc/apt/apt.conf.d

2) 10periodic 파일 수정

# From
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Download-Upgradeable-Packages "0";
APT::Periodic::AutocleanInterval "0";

# To
APT::Periodic::Update-Package-Lists "0";
APT::Periodic::Download-Upgradeable-Packages "0";
APT::Periodic::AutocleanInterval "0";
APT::Periodic::Unattended-Upgrade "0";

3) 20auto-upgardes 파일 수정

# From
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";

# To
APT::Periodic::Update-Package-Lists "0";
APT::Periodic::Unattended-Upgrade "0";

2. 보안설정

1) Root 로그인 차단설정

root 계정에 대한 보안 설정은 /etc/ssh/sshd_config 파일에 있습니다.

~# vi /etc/ssh/sshd_config

# 기존 - Ubuntu
PermitRootLogin yes

# no로 변경
PermitRootLogin no

2) 로그인 시도 회수 수정을 통한 제한

이 옵션을 지정하게 되면 지정한 횟수 이상으로 로그인을 실패했을 때 접속이 강제 종료되는데, 기본값은 6회이니 적절하게 수정하시면 됩니다.

# 기존
#MaxAuthTries 6

# 변경
MaxAuthTries 3

설정을 수정하고 파일을 저장한 후에 sshd 데몬을 재시작합니다.

~# systemctl restart sshd


데몬 재시작 후 로그인을 시도해보면 로그인이 실패하는 것을 확인하실 수 있습니다.

SSH로 접속을 하면 성공, 실패에 대한 로그가 모두 남게 되는데, 이 로그를 주기적으로 확인하는 것이 좋습니다.

*접속실패시 로그 확인법

~# last -f /var/log/btmp

# 또는
~# lastb
Ncloud 리눅스서버 SSH 접속 보안 설정하기
* 접속 성공시 로그 확인법

~# last -f /var/log/wtmp

3 ) IP Spoofing 공격 대비

vi /etc/sysctl.conf 경로로 진입 IP Spoofing 설정을 하는 이유는 자신의 네트워크가 Spoofing 공격에 악용되지 않지 않게 하기 위함 입니다. #IP Spoofing protection net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 #Ignore ICMP broadcast requests net.ipv4.icmp_echo_ignore_broadcasts = 1 #Disable source packet routing net.ipv4.conf.all.accept_source_route = 0 net.ipv6.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 net.ipv6.conf.default.accept_source_route = 0 #Ignore send redirects net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 #Block SYN attacks net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 2048 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_syn_retries = 5 #Log Martians net.ipv4.conf.all.log_martians = 1 net.ipv4.icmp_ignore_bogus_error_responses = 1 #Ignore ICMP redirects net.ipv4.conf.all.accept_redirects = 0 net.ipv6.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv6.conf.default.accept_redirects = 0 #Ignore Directed pings net.ipv4.icmp_echo_ignore_all = 1

위 명령어 입력 및 wq!로 저장 후
sysctl -p 명령어로 방금 설정한 파일을 재로드

3. 백신 소프트웨어 설치

리눅스는 다른 운영 체제보다 바이러스나 악성 코드에 덜 취약하지만, 백신 소프트웨어를 설치하는 것이 좋습니다. ClamAV는 우분투 소프트웨어 센터를 통해 설치할 수 있는 인기 있는 오픈 소스 백신 소프트웨어입니다.이것들은 우분투를 처음 설치한 후에 구성할 수 있는 초기 보안 설정 중 일부입니다. 이러한 단계를 따르면 시스템을 잠재적인 보안 위협으로부터 보호할 수 있습니다.

핵심 테그 TAG: Ubuntu, 보안 설정, 자동 업데이트, 방화벽, 암호 설정, root 계정 비활성화, 백신 소프트웨어