Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

Lightsail에서 실행되는 Linux 서버를 보호하기 위한 모범 사례는 무엇입니까?

3분 분량

Linux를 실행하는 Amazon Lightsail 인스턴스의 시스템 관리자입니다. 데이터를 보호하는 데 사용할 수 있는 서버 보안 모범 사례를 알고 싶습니다.

해결 방법

다음은 기본적인 Linux 서버 보안 모범 사례입니다. 이 목록은 전체 목록이 아닙니다. 로컬 시스템 관리자의 경우 요구 사항 및 사용 사례에 따라 구성해야 하는 복잡한 설정이 많이 있습니다.

Linux 서버와 주고받는 데이터 통신을 암호화합니다

파일 전송에는 SCP, SSH, rsync 또는 SFTP를 사용합니다. FTP와 텔넷은 안전하지 않으므로 사용하지 마십시오. 보안(HTTPS) 연결을 유지하려면 서버에 SSL/TLS 인증서를 설치하고 구성하세요.

소프트웨어를 줄여 Linux의 취약점을 최소화하고 정기적으로 보안 감사를 수행합니다

소프트웨어나 패키지의 취약점을 피하려면 불필요한 소프트웨어를 설치하지 마세요. 가능하면 불필요한 패키지를 모두 식별하여 제거하세요.

Linux 커널과 소프트웨어를 최신 상태로 유지

보안 패치는 Linux 서버 유지 관리의 중요한 부분입니다. Linux는 시스템을 최신 상태로 유지하는 데 필요한 모든 도구를 제공합니다. 버전 간에 쉽게 업그레이드할 수 있습니다. 모든 보안 업데이트가 출시되는 즉시 검토 및 적용하고, 사용 가능한 최신 커널로 업데이트해야 합니다. 모든 보안 업데이트를 적용하려면 yum, apt-get 또는 dpkg 와 같은 Linux 배포판 기반의 패키지 관리자를 사용하세요.

Linux 보안 확장 프로그램 사용

Linux에는 잘못 구성되거나 손상된 프로그램을 방지하는 데 사용할 수 있는 보안 기능이 있습니다. 가능하면 SELinux 및 기타 Linux 보안 확장을 사용하여 네트워크 및 기타 프로그램에 제한을 적용하십시오.

루트 로그인 끄기

루트 사용자로 로그인하지 마세요. 필요한 경우 sudo를 사용하여 루트 수준 명령을 실행하는 것이 가장 좋습니다. Sudo는 시스템의 보안을 강화하며 다른 사용자 및 관리자와 자격 증명을 공유하지 않습니다. 자세한 내용을 보려면 Red Hat 웹 사이트의 루트 액세스 금지를 참조하세요.

SS 또는 netstat를 사용하여 수신 네트워크 포트를 찾고 다른 모든 포트를 닫거나 제한

ss 또는 netstat를 사용하여 시스템의 네트워크 인터페이스에서 수신 중인 포트를 찾을 수 있습니다. 열려 있는 포트는 침입의 증거일 수 있습니다. 자세한 내용을 보려면 Red Hat 웹사이트에서 Linux 네트워킹: ss를 통한 소켓 통계 및 Linux 네트워킹: netstat의 13가지 용도를 참조하세요.

추가 보안을 위해 Linux 서버에 Lightsail 방화벽 및 OS 수준 방화벽 구성

Lightsail 방화벽을 사용하여 트래픽을 필터링하고 서버에 필요한 트래픽만 허용할 수 있습니다. 운영 체제 수준 방화벽은 Linux 커널이 제공하는 방화벽을 구성할 수 있는 사용자 공간 응용 프로그램입니다. Linux 배포판에 따라 iptables, ufw, firewalld 등을 사용할 수 있습니다. iptables 및 firewalld에 대한 자세한 내용을 보려면 Red Hat 웹 사이트에서 iptables를 사용하여 IP 세트 설정 및 제어 및 방화벽 사용을 참조하세요. ufw에 대한 자세한 내용을 보려면 ubuntu 웹 사이트의 보안 - 방화벽을 참조하세요.

auditd를 사용하여 시스템 감사

auditd를 사용하여 시스템을 감사하세요. Auditd는 디스크에 감사 레코드를 기록합니다. 또한 시스템 로그인, 인증, 계정 수정, SELinux 거부와 같은 시스템 활동을 모니터링합니다. 이러한 기록은 악의적인 활동이나 무단 액세스를 식별하는 데 도움이 됩니다. 자세한 내용을 보려면 Red Hat 웹 사이트에서 auditd를 사용한 Linux 시스템 감사 구성을 참조하십시오.

IDS 설치

fail2ban 또는 denyhost를 침입 탐지 시스템(IDS)으로 사용하십시오. **Fail2ban ** 및 denyhost는 로그 파일을 스캔하여 너무 많은 로그인 시도 실패를 검사하고 악의적인 활동의 징후가 보이는 IP 주소를 차단합니다.

정기적으로 백업 생성

자세한 내용을 보려면 Amazon Lightsail의 스냅샷을 참조하세요.

사용자, 그룹 등에 대한 파일 및 디렉터리에 대한 읽기, 쓰기 및 실행 권한(777)을 피하세요

chmod를 사용하여 웹 루트 디렉토리 또는 문서 루트와 같은 파일 및 디렉터리에 대한 액세스를 제한할 수 있습니다. 자세한 내용을 보려면 Red Hat 웹사이트에서 Linux 권한: chmod 소개를 참조하세요. 인증된 사용자에게만 액세스를 제공하려면 권한을 편집합니다. 자세한 내용을 보려면 Red Hat 웹사이트에서 사용자, 그룹 및 기타에 대한 Linux 권한을 관리하는 방법을 참조하세요.