리눅스를 설치한 후 반드시 해야 할 설정 10가지를 정리해 보았습니다.
이 설정들은 보안, 성능, 편의성을 향상시키는 데 도움이 됩니다.
1. 패키지 업데이트 및 업그레이드
설치 직후 최신 보안 패치와 소프트웨어를 적용해야 합니다.
클라우드 환경이라면 외부 통신이 가능한 경우 바로 명령을 실행할 수 있겠지만 대부분의 기업의 환경은 폐쇠적이므로 벤더에서 제공하는 가장 최신의 버전에 포함된 패키지로 업데이트 하는 방법이 있겠습니다.
최신 패키지로 업데이트 하는 이유는 그간 많은 보안 및 버그 수정사항이 픽스되어 최신 패키지로 배포되기 때문입니다.
벤더 권장사항이기도 합니다.
경우에 따라 패키지가 많이 설치되어 있다면 그만큼 보안취약점의 영향도의 범위가 넓어지므로, 설치시 가급적 "최소설치 i.e. minimal"로 설치하여 상황에 따라 필요 패키지를 설치하는 방식으로 운영하는것이 권장됩니다.
sudo apt update && sudo apt upgrade -y # Debian/Ubuntu
sudo dnf update -y # RHEL/Fedora/Rocky
sudo pacman -Syu # Arch Linux2. 호스트네임 설정
서버나 시스템을 쉽게 식별할 수 있도록 호스트네임을 변경합니다.
sudo hostnamectl set-hostname my-server
3. 타임존 및 NTP 동기화
정확한 시간을 유지하기 위해 타임존을 설정합니다.
sudo timedatectl set-timezone Asia/Seoul
4. chronyd를 통한 타임서버 동기화
chrony 설치
sudo dnf install -y chrony rhel/rocky
sudo apt install -y chrony ubuntu/debian
chrony 서비스 활성화 및 시작
sudo systemctl enable --now chronyd
NTP 서버 설정
NTP 서버를 변경하려면 /etc/chrony.conf 파일을 수정합니다.
sudo vi /etc/chrony.conf
기본 NTP 서버를 원하는 서버로 변경:
server time.google.com iburst
server time.cloudflare.com iburst
server 1.kr.pool.ntp.org iburst
server 2.kr.pool.ntp.org iburst
변경 후 chronyd 재시작:
sudo systemctl restart chronyd
시간 즉시 동기화
sudo chronyc makestep5. SSH 보안 설정 ( KISA 에서 제공하는 각 리눅스 배포판 별 보안취약가이드 조사 / 조치 내용 일부)
root 직접 로그인 제한
sudo sed -i 's/#PermitRootLogin prohibit-password/PermitRootLogin no/' /etc/ssh/sshd_config
포트 변경 예:2222
sudo sed -i 's/#Port 22/Port 2222/' /etc/ssh/sshd_config
ssh 제시작
sudo systemctl restart sshd
2021년도 자료이지만 보안 취약 개요를 확인할 수 있고 조치 방법이 명시되어 있으므로 보안조치의 이해를 돕기 위한 자료로 참고하시는게 좋습니다.
https://www.kisa.or.kr/2060204/form?postSeq=12&page=1
KISA 한국인터넷진흥원
www.kisa.or.kr
6. 방화벽 설정 (UFW or Firewalld)
Debian/Ubuntu (UFW)
sudo ufw allow 22/tcp # SSH 허용
sudo ufw enable
sudo ufw status
RHEL/Fedora/Rocky (Firewalld)
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload
7. 불필요한 서비스 비활성화
시스템 부팅 시 자동으로 실행되는 불필요한 서비스를 비활성화하여 보안을 강화하고 불필요한 리소스를 제거하여 관리적인 측면을 용이하게 합니다.
sudo systemctl disable cups # 예: 프린터 서비스 비활성화
sudo systemctl disable bluetooth
sudo systemctl disable avahi-daemon8. 기본 사용자 계정 및 sudo 권한 설정
root 계정 대신 일반 사용자 계정을 생성하고 sudo 권한을 부여합니다.
sudo adduser myuser
sudo usermod -aG sudo myuser # Debian/Ubuntu
sudo usermod -aG wheel myuser # RHEL/Fedora
9. 필수 패키지 및 유틸리티 설치
편리한 시스템 운영을 위해 기본적인 패키지를 설치합니다.
Debian/Ubuntu
sudo apt install -y vim htop net-tools curl git tmux rear
RHEL/Fedora/Rocky
sudo dnf install -y vim htop net-tools curl git tmux rear
10. 백업 설정
중요한 데이터를 보호하기 위해 정기적인 백업을 설정합니다.
rsync 사용 rsync는 증분 백업이 가능한 복사 툴입니다. 파일 단위의 복사/백업에서 권장됩니다.
rsync -av --delete /home /backup/
rear 사용 rear는 OS수준의 백업을 수행할 때 사용하는 툴입니다. 현업에서 많이 사용되므로 추후 다뤄보도록 하겠습니다.
rear -v -d mkbackuprear에 대한 설명은 아래 링크를 참조해주세요.
강력한 리눅스백업 리눅스복구 솔루션: REAR란 무엇인가? 주요 기능 사용법
리눅스 시스템을 운영하다 보면 장애나 재해로 인해 시스템을 복구해야 하는 상황이 발생할 수 있습니다. 이때 가장 중요한 것이 바로 백업 및 복구 솔루션입니다. 오늘은 리눅스 환경에서 강력
linux89.tistory.com
이 10가지 설정을 마치면 보다 안정적이고 안전한 리눅스 환경을 구축할 수 있습니다.