콘솔 액세스

Linux 콘솔 액세스 보안을 위한 모범 사례

C05348A3-9AB8-42C9-A6E0-81DB3AC59FEB
           

Linux 서버는 운영 체제의 안정성과 "헤드리스" 구성에서 원격으로 쉽게 관리할 수 있기 때문에 인기가 높아졌습니다. SSH 액세스는 여전히 Linux 서버를 관리하는 데 매우 널리 사용되는 방법이지만 선호하는 클라우드 제공업체의 서버를 배포하는 즉시 시스템 로그 분석을 통해 해커가 SSH에 연결을 시도하는 속도와 빈도가 표시됩니다. 상자. . 취약한 Linux 서버는 해커가 자신의 흔적을 덮고 더 중요한 대상을 해킹하고, DDOS(분산 서비스 거부) 공격을 위한 봇으로 사용하고, 암호화 통화를 채굴하기 위한 출발점으로 사용하기 위해 높이 평가합니다.

모든 클라우드 제공업체는 공유 책임 모델 덕분에 가상 머신에서 운영 체제를 보호하는 것이 귀하의 책임임을 명시합니다! 적당히 좋은 시스템 관리자가 되는 방법을 배우고 싶지 않다면, 당신을 도울 자격이 있는 사람을 찾으십시오.

다음은 서버를 보호하는 데 도움이 되는 몇 가지 팁입니다.

  1. 서버를 배포할 때 가장 먼저 해야 할 일은 패치를 적용하는 것입니다. 서버를 정기적으로 자주 패치하도록 하십시오. 변명의 여지가 없습니다!
  2. 꼭 필요한 경우가 아니면 서버로 들어오는 SSH 연결을 전혀 허용하지 마십시오. 많은 클라우드 공급자는 AWS Systems Manager와 같은 웹 기반 콘솔을 통해 서버에 대한 콘솔 액세스를 허용합니다. 예, 때때로 약간 서툴 수 있지만 시스템을 안전하게 유지합니다. 예, 그것은 SCP를 사용하여 시스템에 파일을 복사할 수 없다는 것을 의미하지만, 필요하다면 어쨌든 틀렸습니다!
  3. SSH에 대한 인바운드 연결을 허용해야 하는 경우 보안 그룹(또는 동급) 및 방화벽 규칙을 사용하여 IP 주소, 집 또는 직장 서브넷에서만 액세스를 제한하십시오. 세상에 공개하지 마세요!
  4. 22 이외의 포트에서 실행되도록 SSH를 변경하는 것은 문제가 되지 않지만 서버를 보호하기 위해 SSH에 의존하지 마십시오. 서버를 찾고 포트 스캔을 수행하여 열려 있는 모든 포트를 찾습니다.
  5. 모든 응용 프로그램에 대한 기본 암호를 시스템에 남겨두지 마십시오! 기본 Raspberry Pi는 모두에게 잘 알려져 있으며 공용 서버를 사용하고 있다고 광고할 수도 있습니다. 분명히 기본 암호를 고유하고 안전한 암호로 변경하십시오.
  6. 암호 대신 SSH 키를 사용하여 무차별 대입 공격을 방지하십시오.
  7. SSH 키 외에도 MFA(Multi-Factor Solution)를 사용하며 Google, Duo 및 기타 공급업체에서 무료로 사용할 수 있습니다.
  8. 루트 계정에 SSH 액세스를 허용하지 마십시오. sudo 명령을 실행하기 위해 암호를 요구하도록 SSH 계정을 구성하십시오. 시스템에 액세스하는 경우 작동하게 만드십시오!
  9. SSH 액세스를 허용하지 않는 서비스 계정으로 모든 애플리케이션을 실행합니다.
  10. 서버 로그를 자주 모니터링하고 의심스러운 프로세스나 비정상적인 활동의 징후를 찾으십시오. 그렇게 하는 것은 클라우드 공급자가 아니라 귀하의 책임입니다. 시스템에서 발생하는 비정상적인 활동에 대해 경고할 수 있지만 사용자를 차단하고 계정을 폐쇄할 수도 있습니다!
  11. 서버리스 옵션을 찾으십시오. 많은 사람들이 Linux 서버를 배포하는 것이 가장 잘 알고 있기 때문에 Lambda 및 Google 기능과 같이 자체 서버를 실행하지 않는 약간 더 복잡한 솔루션이 있을 수 있습니다.

나는 그들과 전혀 관련이 없지만 DigitalOcean 은 다음과 같은 권장 사항 중 일부를 설정하는 방법에 대한 훌륭한 가이드를 제공합니다.

거기에서 안전하게 Linux를 책임감 있게 유지하십시오!

댓글을 게시했습니다: 0

Tagged with:
Ssh