운영 서버의 보안은 「한 번 강화 → 끝」이 아니라 「지속 점검」.
기본 체크리스트로 시작.
사용자·인증.
1) root 직접 로그인 비활성화 — sshd_config의 PermitRootLogin no.
2) 비밀번호 인증 끄기 — PasswordAuthentication no(SSH 키만).
3) 강한 비밀번호 정책 — pam_pwquality.
4) 정기적인 사용자 점검 — 안 쓰는 계정 삭제.
5) sudo 권한 최소 원칙.
네트워크.
1) 방화벽 활성화(ufw·firewalld) — 필요한 포트만.
2) SSH 포트 변경(약간의 효과).
3) fail2ban — 무차별 대입 자동 차단.
4) 외부 노출 최소 — 내부 서비스는 LAN만, 또는 VPN.
5) HTTPS 강제 — 평문 통신 안 함.
업데이트·패치.
1) sudo apt update && upgrade 정기.
2) unattended-upgrades — 보안 패치 자동.
3) 알림 — 새 보안 업데이트 알림.
4) EOL 버전 사용 안 함 — 지원 종료된 OS·SW 즉시 교체.
감사·모니터링.
1) auth.log·journalctl 정기 검토.
2) auditd로 중요 파일 변경 추적.
3) Sentry·Sentry로 에러 실시간 알림.
4) 로그를 외부 시스템에 (해킹 시 로그 변조 방지).
5) 정기 보안 점검 — Lynis·OpenVAS 같은 도구.
백업 + 격리.
1) 정기 백업 + 오프사이트.
2) 핵심 시스템과 노출 시스템 분리.
3) 컨테이너·VM으로 격리.
4) 「최소 권한 원칙」 — 모든 서비스가 자기 일에 필요한 최소 권한만.
보안은 「깊이의 방어」 — 한 층이 뚫려도 다음 층.
한 줄 요약
보안 체크리스트 — 사용자·인증(root 차단·키 인증·sudo 최소), 네트워크(방화벽·fail2ban·HTTPS), 업데이트(자동 패치·EOL 회피), 감사(로그·auditd), 백업·격리.
깊이의 방어.
더 알아볼 것
- Lynis — 보안 점검 도구
- CIS Benchmarks
- OpenSSF Scorecard
