Rocky Linux 8.10 Base Image를 구축한 후, 보안을 강화하는 것은 필수적인 과정입니다. 본 가이드는 서버 보안 최적화를 위한 주요 점검 항목을 정리하여 검색 최적화된 형태로 제공합니다.
1. Rocky Linux 8.10 보안 업데이트 및 패치 적용
Rocky Linux는 최신 보안 패치를 적용해야 안정적인 운영이 가능합니다.
🔹 최신 패치 적용
dnf update -y- 최신 보안 업데이트를 적용하여 보안 취약점을 최소화합니다.
- 자동 업데이트를 설정하여 지속적인 보안 유지.
2. 불필요한 서비스 비활성화 | Rocky Linux 8.10 보안 강화
기본 설치된 불필요한 서비스는 공격의 대상이 될 수 있습니다.
🔹 현재 활성화된 서비스 확인
systemctl list-unit-files --type=service | grep enabled🔹 불필요한 서비스 중지 및 비활성화
systemctl stop <서비스명>
systemctl disable <서비스명>✅ 보존해야 할 필수 서비스
- sshd (원격 접속)
- firewalld (방화벽)
- chronyd (시간 동기화)
⚠️ 주의: 사용하지 않는 서비스는 반드시 비활성화하세요.
3. SSH 보안 설정 | Rocky Linux 원격 접속 보호
SSH 설정을 강화하여 불법 접근 및 무차별 대입 공격(Brute-force Attack) 을 방지해야 합니다.
🔹 SSH 보안 설정 변경
파일: /etc/ssh/sshd_config
PermitRootLogin no
PasswordAuthentication no
X11Forwarding no
AllowUsers <허용할 사용자>✅ SSH 재시작
systemctl restart sshd✅ SSH 키 기반 인증 활성화
mkdir -p ~/.ssh
chmod 700 ~/.ssh
touch ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys🔹 Fail2Ban 설정 (SSH 무차별 대입 공격 방어)
dnf install fail2ban -y
systemctl enable --now fail2ban- 로그인 실패가 반복되면 자동 차단.
4. 방화벽 설정 (Firewalld) | Rocky Linux 네트워크 보안
Rocky Linux 8.10에서 기본 방화벽을 설정하여 불필요한 포트 차단이 필요합니다.
🔹 Firewalld 활성화 및 기본 설정
systemctl enable --now firewalld
firewall-cmd --list-all✅ 필요한 포트만 개방
firewall-cmd --add-service=ssh --permanent
firewall-cmd --add-service=http --permanent
firewall-cmd --reload✅ 특정 IP만 허용
firewall-cmd --add-source=192.168.1.0/24 --permanent
firewall-cmd --reload✅ TCP Wrapper 설정 (접근 제한)
파일: /etc/hosts.allow
sshd: 192.168.1.0/24파일: /etc/hosts.deny
ALL: ALL- 허용된 IP 외 모든 접근 차단.
5. 사용자 계정 및 권한 관리 | Rocky Linux 보안 정책
불필요한 계정은 반드시 삭제하고, sudo 권한을 최소화해야 합니다.
🔹 사용자 계정 점검
cat /etc/passwd | awk -F: '$3 >= 1000 {print $1}'
userdel <사용자명>✅ sudo 최소 권한 부여
파일: /etc/sudoers
<사용자명> ALL=(ALL) ALL✅ 강력한 비밀번호 정책 적용
파일: /etc/security/pwquality.conf
minlen = 12
dcredit = -1
ucredit = -1
ocredit = -1
lcredit = -16. 시스템 로그 및 모니터링 | 보안 침해 감지
서버의 보안 이상을 감지하려면 로그 모니터링이 필수입니다.
🔹 로그 확인
journalctl -xe
tail -f /var/log/secure✅ Auditd 설치 및 설정 (파일 무결성 검사)
dnf install audit -y
systemctl enable --now auditd파일: /etc/audit/rules.d/audit.rules
-w /etc/passwd -p wa -k passwd_change
-w /var/log/ -p wa -k log_monitor✅ Tripwire 설정 (시스템 무결성 검사)
dnf install tripwire -y
tripwire --init- 시스템 변조 탐지 가능.
7. 커널 보안 강화 | Rocky Linux 보호
커널 보안 설정을 적용하면 DoS 공격 및 스푸핑 공격 방어가 가능합니다.
🔹 IP Spoofing 방지
파일: /etc/host.conf
order bind,hosts
nospoof on🔹 커널 보안 설정 (sysctl.conf)
파일: /etc/sysctl.conf
net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.tcp_syncookies = 1✅ 설정 적용
sysctl -p8. 자동화 및 보안 점검 도구 | Rocky Linux 8.10 보안 점검
자동화된 보안 점검 도구를 활용하면 지속적인 보안 유지가 가능합니다.
🔹 Lynis 보안 감사 도구 설치
dnf install lynis -y
lynis audit system✅ 주요 보안 취약점 점검 가능
✅ 보안 강화 추천 설정 제공
🔹 ClamAV 설치 (악성코드 검사)
dnf install clamav clamav-update -y
freshclam
clamscan -r /- 주기적인 악성코드 검사 수행.
9. 백업 및 복구 전략 | Rocky Linux 안정성 확보
정기적인 백업은 필수!
🔹 파일 백업
tar -czf /backup/system_backup_$(date +%F).tar.gz /etc /home /var/log🔹 스냅샷 및 복구
- Rocky Linux 스냅샷 생성 및 복원하여 비상 복구 대비.
🔎 Rocky Linux 8.10 Base Image 보안 점검 요약
✅ 최신 보안 패치 적용
✅ 불필요한 서비스 비활성화
✅ SSH 보안 강화 (키 인증, 비밀번호 로그인 차단)
✅ 방화벽 설정 최적화
✅ 사용자 계정 및 sudo 권한 최소화
✅ 시스템 로그 모니터링 강화
✅ 커널 보안 설정 적용
✅ 자동화된 보안 점검 도구 활용
✅ 주기적인 백업 및 복구 전략 적용
🚀 Rocky Linux 8.10 Base Image를 안전하게 운영하려면 위의 보안 점검을 철저히 수행하세요!
더 많은 보안 설정이 필요하면 문의 주세요.