CentOS 7 서버의 초기 설정

• 소개
• 전제 조건
• 1 단계 : 표준 사용자 계정 생성
• 2 단계 : 루트 로그인 및 비밀번호 인증 금지
• 3 단계 : 시간대 구성
• 4 단계 : IPTables 방화벽 사용
• 5 단계 : 방화벽을 통한 추가 트래픽 허용

소개

새로 활성화 된 CentOS 7 서버를 프로덕션 시스템으로 사용하려면 먼저 사용자 정의해야합니다. 이 기사에서 가장 중요한 사용자 정의는 이해하기 쉬운 방식으로 제공됩니다.

전제 조건

새로 활성화 된 CentOS 7 서버, SSH 키로 설정하는 것이 좋습니다. 서버에 root로 로그인하십시오.

ssh -l root server-ip-address

1 단계 : 표준 사용자 계정 생성

보안상의 이유로 루트 계정을 사용하여 매일 컴퓨팅 작업을 수행하는 것은 좋지 않습니다. 대신 sudo관리 권한을 얻는 데 사용할 표준 사용자 계정을 만드는 것이 좋습니다 . 이 학습서에서는 joe 라는 사용자를 작성한다고 가정하십시오 . 사용자 계정을 작성하려면 다음을 입력하십시오.

adduser joe

새 사용자의 비밀번호를 설정하십시오. 비밀번호를 입력하고 확인하라는 메시지가 표시됩니다.

passwd joe

을 사용하여 루트 권한을 가질 수 있도록 휠 그룹에 새 사용자를 추가하십시오 sudo.

gpasswd -a joe wheel

마지막으로 로컬 시스템에서 다른 터미널을 열고 다음 명령을 사용하여 SSH 서버를 원격 서버의 새 사용자 홈 디렉토리에 추가하십시오. SSH 키를 설치하기 전에 인증하라는 메시지가 표시됩니다.

ssh-copy-id joe@server-ip-address

키가 설치되면 새 사용자 계정을 사용하여 서버에 로그인하십시오.

ssh -l joe server-ip-address

로그인에 성공하면 다른 터미널을 닫을 수 있습니다. 이제부터는 모든 명령이 앞에옵니다 sudo.

2 단계 : 루트 로그인 및 비밀번호 인증 금지

SSH 키를 사용하여 표준 사용자로 로그인 할 수 있으므로 루트 로그인 및 비밀번호 인증이 모두 허용되지 않도록 SSH를 구성하는 것이 좋습니다. SSH 데몬의 구성 파일에서 두 설정을 모두 구성해야합니다. 따라서를 사용하여 엽니 다 nano.

sudo nano /etc/ssh/sshd_config

를 찾을 에서 PermitRootLogin의 라인을 주석하고 값을 1로 설정되어 있지 아니 .

PermitRootLogin     no

PasswordAuthentication이미 주석 처리를 해제해야하는 행에 대해서도 동일 하게 수행하십시오.

PasswordAuthentication      no

파일을 저장하고 닫습니다. 새 설정을 적용하려면 SSH를 다시로드하십시오.

sudo systemctl reload sshd

3 단계 : 시간대 구성

기본적으로 서버의 시간은 UTC로 제공됩니다. 현지 시간대를 표시하도록 구성하는 것이 가장 좋습니다. 이를 위해서는 /usr/share/zoneinfo디렉토리 에서 국가 / 지역의 영역 파일을 찾아 디렉토리에서 기호 링크를 작성하십시오 /etc/localtime. 예를 들어 미국 동부 지역에있는 경우 다음을 사용하여 심볼릭 링크를 만듭니다.

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

그런 다음 date명령 을 실행하여 시간이 현지 시간으로 제공되는지 확인하십시오 . 출력은 다음과 유사해야합니다.

Tue Jun 16 15:35:34 EDT 2015

출력 의 EDT 는 현지 시간임을 확인합니다.

4 단계 : IPTables 방화벽 사용

기본적으로 새로 활성화 된 CentOS 7 서버의 활성 방화벽 응용 프로그램은 FirewallD입니다. IPTable을 대체하는 것은 좋지만 많은 보안 응용 프로그램은 여전히이를 지원하지 않습니다. 따라서 OSSEC HIDS와 같은 응용 프로그램을 사용하는 경우 FirewallD를 비활성화 / 제거하는 것이 가장 좋습니다.

FirewallD를 비활성화 / 제거하여 시작하겠습니다 :

sudo yum remove -y firewalld

이제 IPTables를 설치 / 활성화하겠습니다.

sudo yum install -y iptables-services
sudo systemctl start iptables

부팅시 IPTable이 자동으로 시작되도록 구성하십시오.

sudo systemctl enable iptables

CentOS 7의 IPTables에는 기본 규칙 세트가 포함되어 있으며 다음 명령으로 볼 수 있습니다.

sudo iptables -L -n

출력은 다음과 유사합니다.

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

이러한 규칙 중 하나가 SSH 트래픽을 허용하므로 SSH 세션이 안전하다는 것을 알 수 있습니다.

이러한 규칙은 런타임 규칙이며 재부팅시 손실되므로 다음을 사용하여 파일에 저장하는 것이 가장 좋습니다.

sudo /usr/libexec/iptables/iptables.init save

이 명령은 규칙을 /etc/sysconfig/iptables파일에 저장 합니다. 자주 사용하는 텍스트 편집기로이 파일을 변경하여 언제든지 규칙을 편집 할 수 있습니다.

5 단계 : 방화벽을 통한 추가 트래픽 허용

특정 시점에 새 웹 사이트를 사용하여 일부 웹 사이트를 호스팅 할 가능성이 높으므로 HTTP 및 HTTPS 트래픽을 허용하려면 방화벽에 새 규칙을 추가해야합니다. 이를 수행하려면 IPTables 파일을여십시오.

sudo nano /etc/sysconfig/iptables

SSH 규칙 바로 다음에 HTTP (포트 80) 및 HTTPS (포트 443) 트래픽에 대한 규칙을 추가하여 파일의 해당 부분이 아래 코드 블록에 표시된 것처럼 표시되도록합니다.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

파일을 저장하고 닫은 다음 IPTables를 다시로드하십시오.

sudo systemctl reload iptables

위의 단계가 완료되면 CentOS 7 서버가 안전하고 생산에 사용할 준비가되었습니다.