Ubuntu 서버 보안 강화 방법 - 1

안녕하세요. 

카르다노 (Cardano) Yabak pool을 운영하면서, 우분투/리눅스를 접하게 되었습니다.

많은 개발자분들이나 공부하시는 분들이 우분투를 사용하고 계시는데, 여러가지 유익한 것들을 모아보았습니다.

---

1. 시스템 업데이트

침입자가 시스템에 액세스하는 것을 방지하려면 최신 패치로 시스템을 최신 상태로 유지하는 것이 매우 중요합니다.

sudo apt-get update -y && sudo apt-get upgrade -y
sudo apt-get autoremove
sudo apt-get autoclean

자동 업데이트를 활성화하면 수동으로 설치할 필요가 없습니다.

sudo apt-get install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades

기본적으로 활성화되면 무인 업그레이드 서비스는 보안 업데이트만 자동으로 설치합니다. 무인 업그레이드 구성에 대한 자세한 내용은 예를 들어 Ubuntu 20.04에서 무인 업그레이드를 설정 및 구성하는 방법을 참조하세요.

---

2. 루트 계정 비활성화

시스템 관리자는 서버 보안을 유지하기 위해 루트로 자주 로그인해서는 안 됩니다. 대신 낮은 수준의 권한이 필요한 sudo 실행을 사용할 수 있습니다.

# 루트 계정을 비활성화하려면 -l 옵션을 사용하면 됩니다.
sudo passwd -l root

# 어떤 타당한 이유로 계정을 다시 활성화해야 하는 경우 -u 옵션을 사용하면 됩니다.
sudo passwd -u root

---

3. 공유 메모리 보안 (Securing Shared Memory)

가장 먼저 해야 할 일 중 하나는 시스템에서 사용되는 공유 메모리를 보호하는 것입니다. 모르는 경우 실행 중인 서비스에 대한 공격에 공유 메모리가 사용될 수 있습니다. 따라서 시스템 메모리의 해당 부분을 보호하십시오.

한 가지 예외적인 경우
해당 메모리 공간을 읽기/쓰기 모드로 마운트해야 하는 이유가 있을 수 있습니다(예: 공유 메모리에 대한 액세스가 필요한 **Chrome**과 같은 특정 서버 애플리케이션 또는 Google Chrome과 같은 표준 애플리케이션). 이 경우 아래 지침과 함께 fstab 파일에 대해 다음 줄을 사용하십시오.

none /run/shm tmpfs rw,noexec,nosuid,nodev 0 0

위의 줄은 읽기/쓰기 액세스 권한은 있지만 프로그램 실행 권한, 실행 중인 프로그램의 UID 변경 권한, 네임스페이스에 블록 또는 문자 장치 생성 권한은 없는 공유 메모리를 마운트합니다. 이는 기본 설정에 비해 보안이 향상되었습니다.
주의해서 사용하세요
시행착오를 거치면서 일부 애플리케이션(예: Chrome)이 읽기 전용 모드에서 공유 메모리와 작동하지 않는다는 것을 발견할 수 있습니다. 최고의 보안과 애플리케이션과의 호환성을 위해 이 보안 공유 메모리 설정을 구현하는 것은 가치 있는 노력입니다.

다음을 편집합니다. /etc/fstab

sudo nano /etc/fstab

파일 맨 아래에 다음 줄을 삽입하고 저장/닫습니다.

tmpfs /run/shm tmpfs ro,noexec,nosuid 0 0

변경 사항을 적용하려면 노드를 재부팅하세요.

sudo reboot