ITinfra

서버 보안은 기업의 IT 인프라에서 가장 중요한 요소 중 하나입니다. 오늘날 점점 증가하는 보안 위협 속에서 시스템 관리자는 서버의 보안 설정을 강화해야 할 책임이 있습니다. 이번 글에서는 Linux, Windows Server, AIX의 보안 설정을 단계별로 설명하고 실무에서 바로 활용할 수 있는 팁을 제공하겠습니다.

1. Linux 보안 강화 설정

1) SSH 보안

• 기본 포트 변경: 기본 포트 22는 공격에 가장 많이 노출됩니다. SSH 설정 파일(/etc/ssh/sshd_config)에서 포트를 변경해보세요.

Port 2222  # 예: 2222로 포트 변경

• 루트 로그인 차단: 루트 계정으로 직접 로그인하는 것은 보안 위험을 높입니다. 설정 파일에서 PermitRootLogin을 no로 변경해 차단합니다.

PermitRootLogin no

• 키 기반 인증 설정: 비밀번호 대신 공개 키를 사용해 보안성을 높입니다. /etc/ssh/sshd_config에서 PasswordAuthentication을 no로 설정하세요.

PasswordAuthentication no

2) 방화벽 설정

• UFW: Ubuntu 기반 시스템에서 쉽게 사용할 수 있는 방화벽 도구입니다. 기본 규칙을 설정하고 필요한 포트만 허용하세요.

sudo ufw enable
sudo ufw allow 80/tcp  # HTTP 포트 허용
sudo ufw allow 443/tcp  # HTTPS 포트 허용

• firewalld: RHEL 계열에서 사용합니다. 서비스와 영역을 설정해 보다 세분화된 보안 정책을 적용할 수 있습니다.

sudo firewall-cmd --add-service=http --permanent
sudo firewall-cmd --reload

3) 로그 모니터링

• 로그 관리: journalctl 명령을 사용해 시스템 로그를 점검하고, 자동화된 알림을 설정해 중요한 로그 이벤트를 실시간으로 감시합니다.

journalctl -xe  # 최근 에러 로그 확인

실무 팁:
정기적으로 시스템을 업데이트하고 불필요한 서비스는 비활성화해 공격 표면을 줄이세요. cron을 이용해 자동 패치 스크립트를 작성하는 것도 좋습니다.

2. Windows Server 보안 강화

1) Active Directory 보안

• 권한 최소화: 사용자 계정에 최소 권한만 부여해 보안을 강화합니다. 그룹 정책(GPO)을 활용해 사용자와 컴퓨터에 대한 정책을 설정합니다.
• 감사 정책 설정: 보안 로그를 모니터링하고 비정상적인 활동을 감지합니다. gpedit.msc에서 로컬 보안 정책을 구성하세요.
  • 로그온 실패: 실패한 로그인 시도를 기록해 무차별 공격을 감지합니다.
  • 계정 변경: 사용자 계정에 대한 변경 내역을 모니터링합니다.

2) WSUS 설정

• Windows Update Server 관리: WSUS(Windows Server Update Services)를 사용해 보안 패치를 중앙에서 관리합니다. 모든 클라이언트 시스템이 최신 보안 업데이트를 적용하도록 설정합니다.
• 자동 승인: 중요 업데이트를 자동 승인하도록 설정해 신속히 패치를 적용합니다.

3) BitLocker

• 드라이브 암호화: BitLocker를 사용해 디스크 전체를 암호화하고 물리적인 데이터 유출을 방지합니다. TPM(신뢰할 수 있는 플랫폼 모듈)을 사용해 추가 보안을 설정하세요.
  • BitLocker 활성화: Control Panel > System and Security > BitLocker Drive Encryption에서 설정할 수 있습니다.

4) RDP 보안

• 포트 변경: RDP의 기본 포트 3389를 변경해 공격을 방지합니다. 레지스트리 편집기를 사용해 포트를 변경하세요.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber

• 네트워크 레벨 인증: RDP 연결 시 추가 인증 단계를 추가해 보안을 강화합니다. 서버 관리자에서 설정할 수 있습니다.

실무 팁:
Windows Defender와 같은 내장 보안 솔루션을 활성화하고, EDR 솔루션을 도입해 실시간으로 위협을 탐지하세요. PowerShell을 이용해 자동화된 보안 점검 스크립트를 실행하는 것도 추천합니다.

추가 팁: IT 보안에 대한 최신 동향

1) 제로 트러스트(Zero Trust) 보안 모델

• 설명: 모든 접근을 신뢰하지 않고 검증하는 보안 모델입니다. 네트워크 내외부를 불문하고 모든 요청을 검증해 보안을 강화합니다.
• 도입 방법: MFA(다중 인증)와 마이크로세그먼테이션을 사용해 네트워크를 보호하세요.

2) 보안 자동화

• Ansible: 보안 설정을 자동화하고 반복 작업을 줄일 수 있습니다. SSH 키 배포, 방화벽 설정 등을 자동화할 수 있습니다.
• 실행 예시: Ansible Playbook을 사용해 여러 서버의 보안 설정을 동시에 관리하세요.

3) 클라우드 보안

• 온프레미스 vs. 클라우드 보안: 두 환경에서 보안 요구 사항이 다릅니다. 클라우드 환경에서는 CSP의 보안 도구를 활용하고, 데이터 암호화를 필수로 적용하세요.
•  

결론:

이 글에서 설명한 보안 설정을 활용해 여러분의 시스템을 더욱 안전하게 보호할 수 있습니다. 각 서버에 적합한 보안 정책을 적용하고, 정기적인 점검과 모니터링으로 위협을 최소화하세요. 앞으로도 지속적인 보안 개선을 통해 IT 인프라를 안전하게 운영하시길 바랍니다.

서버나 idc에서는 외부망이 막혀있는 경우가 많다.

매번 필요한 패키지를 usb나 ubuntu에 업로드해서 rpm 정합성을 맞추면서 설치하기란 어렵다.

그럴때 iso를 설치 후 local 저장소에 repository를 구성하면 이와 같은 번잡함이 해결된다.

1. CD MOUNT

  # mount /dev/sr0 /mnt

2. cdrom에 있는 install 파일 복사

   # find ./mnt -name "*.deb" | cpio -pdm /media/Repository/ubuntu-repository/

3. 스크립트 만들기

vi /bin/update-mydebs 로 만든다.

4. source.list 만들기

5. update-mydebs 실행

6. apt-get update 및 upgrade