CentOS7 - 초기 세팅(2)

/tmp 보안 설정

 

/tmp 디렉터리는 임시파일들을 저장하는 파티션입니다.

​

임시파일들을 저장하는 곳인 만큼 악의적으로 악성파일이 심어질 수도 있기 때문에 보안이 중요합니다.

​

CentOS 7 설치 중 /tmp 파티션을 생성하셨을 경우에만 이어집니다.

​

/tmp 보안 설정을 하기 전 /var/tmp 폴더를 삭제한 후 /tmp 폴더를 심볼릭 링크로 이어 줍니다.

 

# rm -rf /var/tmp
# ln -s /tmp /var/tmp

 

이제 /etc/fstab 파일을 열어 /tmp 파티션에 대한 마운트 설정을 해보겠습니다.

 

# vim /etc/fstab	

. . .
UUID = ********-****-****-********** /tmp  xfs default,nodev,nosuid,noexec    0  0 

/tmp 파티션 설정 줄 중 defaults 뒤에 넣어 주시면 됩니다. 각 설정들의 뜻은 다음과 같습니다.

- nodev : 장치 사용 금지

- nosuid : root 권한 금지

- noexec : 바이너리 파일 실행 금지

 

fstab 설정 후 반영을 위해 /tmp 파티션을 다시 마운트를 해서 적용시켜 줍니다.

 

 

 

 

방화벽(firewalld) 및 selinux 종료

 

firewalld 와 selinux 는 서버 초기 세팅을 원활하고 효율적으로 세팅하기 위해 이 글에서는 종료하는 방법에 대해 알려 드리겠습니다.

​

방화벽과 selinux 를 계속 사용하시는 것을 원하시는 경우 이 과정은 넘어가시기 바랍니다.

​

​

firewalld 서비스 비활성화는 아래와 같이 진행합니다.

 

# systemctl stop firewalld      # 서비스 종료
# systemctl disable firewalld   # 서비스 자동시작 비활성화

 

selinux 를 enforcing 에서 disabled 로 변경합니다.

 

# vim /etc/selinux/config


. . .

SELINUX=disabled     #enforcing 을 disabled로 변경

. . .

 

해당 파일 수정하고 재부팅하시면 다음의 명령어를 통해 selinux 가 disabled 된 것을 확인할 수 있습니다.

 

# getenforce    # 명령어를 이용하여 selinux 확인


# setenforce 0  # setenforce 0를 사용하면 리눅스를 사용하는 동안에만 끌 수 있습니다.

 

 

SSH보안 설정

 

sh 보안 설정은 가장 중요한 보안 설정입니다. 공격자들은 가장 잘 알려진 포트를 통해 공격을 주로 하는데, ssh 포트의 경우 22번으로 알려져 있어 가끔씩 터미널 접속 시 이상한 IP로 접속 실패(무작위 대입 공격)를 했다는 메시지를 확인하실 수 있을 겁니다.(lastb 명령어로도 확인 가능) ssh 포트를 변경하는 것으로 어느 정도 공격을 막을 수 있습니다.(fail2ban 패키지를 설치하여 일정 로그인 실패 횟수가 누적되면 IP 차단되게 설정하시는 것도 추천드립니다.)

​

ssh 포트 변경을 위해 ssh 설정 파일을 열어 봅시다.

 

 

 

 

포트를 원하시는 포트로 수정해 주세요. 단, 알려진 포트랑 겹치지 않게 할당하시는 것을 추천드립니다.

​

ssh 포트 설정 후 바로 ssh 서비스를 재시작을 하면 바로 포트를 변경하실 수 있지만, 방화벽과 selinux를 사용 중이신 경우 다음의 허용 설정을 먼저 하신 후 ssh 서비스를 재시작 해주세요.(ssh 재시작 후 접속이 안될 수 있습니다.)

 

selinux 사용 시 semanage 명령어 활성화를 위해 패키지 설치 후 포트 허용

# yum install policycoreutils-python
# semanage port -a -t ssh_port_t -p tcp 3022

 

firewalld 사용 시 firewall-cmd 명령어로 포트 허용

# firewall-cmd --permanet --zone=public --add-port=3022/tcp
# firewall-cmd --reload

 

이제 ssh 포트 설정을 적용하기 위해 ssh 서비스를 재시작을 하겠습니다.

# systemctl restart sshd

 

netstat 명령어로 ssh 포트가 3022 로 열린 것을 확인하실 수 있습니다.