업데이트

---

업데이트는 가장 중요합니다.
홈서버에 설치된 서비스들의 기능 개선 업데이트도 있겠지만 우분투 시스템 내부 보안 업데이트와 서비들의 보안 업데이트도 있을 수 있기에 한번에 SSH 접속을 했을 때 업데이트가 있다고 하면 바로바로 해주시는 것이 좋습니다.

sudo apt update && sudo apt upgrade -y

업데이트 후 가끔 *** System restart required *** 메세지가 보일 수 있는데 이땐 아래 명령어를 통해 홈서버를 재시작 해주도록 합시다.

sudo reboot

root 계정 비밀번호 생성

---

우분투 설치 후 최고 권한을 가질 수 있는 root 계정의 비밀번호를 최초 1번 설정 해줘야 합니다.

아래 명령어를 입력한 뒤 상황에 맞게 행동하면 됩니다.

sudo passwd

혹시 [sudo] password for [user]: 와 비슷한 문구가 뜨면 sudo 명령어를 사용하기 위한 인증 과정으로 사용자 계정의 비밀번호를 입력하시면 됩니다.
위 문구가 보이지 않는다면 아래의 비밀번호 설정 부분을 쭉 하시면 됩니다.

다음과 같은 문구가 보인다면 사용할 root 계정의 비밀번호를 2번 입력해주시면 됩니다.

New password:
Retype the password:

이제 루트 계정으로 접속해보도록 하겠습니다.
아래 명령어를 입력한 뒤 설정한 root 계정의 비밀번호를 입력해보세요.

su -

그러면 다음과 같이 커맨드 환경이 $ 에서 # 으로 바뀐 것이 보입니다.

이 상태일 때는 모든 명령어 앞에 sudo 를 붙일 필요가 없습니다.
홈서버 관리를 좀 오래 해야할 경우 루트 계정에 접속한 뒤 sudo 를 빼고 작업하는 것이 편하실 겁니다.

아래 명령어는 로그아웃 명령어입니다.

exit

su - 를 통해 접속한 root 계정에서 사용할 경우 su - 를 사용하기 전의 사용자 계정으로 돌아갈 수 있고 사용자 계정에서 사용할 경우 SSH 연결을 종료할 수 있습니다.

SSH 계정 제한

---

사용자 계정 외 다른 계정으로 SSH 접속을 하지 못하도록 설정해야 합니다.

vim 으로 SSH 설정 파일을 열고 아래 내용을 추가하시면 됩니다.

sudo vim /etc/ssh/sshd_config

다음 내용 중 [계정명] 부분을 자신의 사용자 계정명으로 바꾸고 제일 아래 줄에 입력하세요.

AllowUsers [계정명]

설정 내용을 반영하기 위해 SSH 서비스를 재시작 합시다.

sudo service sshd restart

방화벽 - iptables

---

개요

iptables는 리눅스에서 기본으로 제공하는 방화벽을 설정해주는 도구이고 이것을 이용해 서버의 포트들을 관리해봅시다.

ufw라는 편리한 도구가 있지만 어짜피 iptables의 규칙을 대신 생성해주는 역할이므로 사용하지 않고 직접 해보도록 하겠습니다.

조금 어려울 수 있겠지만 iptables를 잘 이해하고 넘어간다면 홈서버의 보안을 더욱 잘 다룰 수 있게 됩니다.


다음 명령어는 방화벽의 상태를 보여주는 명령어 입니다.

sudo iptables -L

3개의 체인이 보이고 모든 체인의 정책이 허용되어 있습니다.

정책 종류

• INPUT 서버를 목적지로 하여 들어오는 모든 패킷은 이 체인을 거침
• OUTPUT 서버에서 만들어진 모든 패킷은 이 체인을 거쳐서 다른 곳으로 가게 됨
• FORWARD 이 체인은 INPUT 체인을 통해 들어온 패킷 중 목적지가 서버가 아닌 패킷이 거친 후 다른 곳으로 가게 되는 체인임

초기화

우리가 다뤄 볼 체인은 INPUT 하나입니다.
건드리지 않았더라면 이미 초기 상태이겠지만 잘못 입력했을 경우를 대비해 전체 초기화 하는 법은 다음과 같습니다.

sudo iptables -F
sudo iptables -X 
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT

iptables 옵션

• -F 체인들의 모든 규칙을 삭제
• -X 규칙이 없는 모든 체인 삭제
• -P 해당 체인의 기본 정책을 설정

설정

1. 로컬에서 로컬로(Loopback)의 모든 접속은 허용한다.
2. 22번 포트(SSH)로 들어오는 것을 허용한다.
3. 패키지 업데이트에 관한 패킷들을 허용한다.
   새로운 연결 요청이지만, 기존의 연결과 관련된 패킷(RELATED)과 새로운 연결 요청에 관한 그후의 패킷(ESTABLISHED)을 허용하는 것인데 그냥 패키지 업데이트를 허용하는 것이라 생각하면 된다.
4. 위에서 허용하지 않는 모든 패킷은 DROP(폐기) 처리 한다.
5. 서버를 거쳐 다른곳으로 가는 모든 패킷도 DROP(폐기) 처리 한다.

sudo iptables -A INPUT -s 127.0.0.1 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT 
sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP

잘 설정 되었는지 확인해봅시다.
아래 명령어를 입력 후 출력 화면이 다음 사진과 같다면 정상적으로 된 것입니다.

sudo iptables -L

규칙 제거

sudo iptables -D INPUT [규칙 위치]

INPUT 체인명인데 다른 체인들은 다루지 않고 항상 INPUT 만 설정할 것입니다.
[규칙 위치] 제거하고자 하는 규칙이 몇 번째 줄에 있는지 입력해주시면 됩니다.

만약 잘못된 정보가 입력되었으면 초기화 명령어를 입력한 후 다시 설정해도 되지만 잘 설정된 것들도 다시 입력해야하는 불편함이 생기니 규칙 제거 명령어도 알아두는 것이 좋습니다.

하지만 여기서 끝이 아닙니다.
우분투 서버가 재부팅 되면 설정이 모두 사라지게 되므로 설정을 저장을 해야 하기에 방화벽 관리 패키지를 설치하여 저장하도록 합시다.

저장

sudo apt install iptables-persistent

설치 도중 위와 같은 그림이 2번 뜨는데 각각 현재 설정을 IPv4 와 IPv6에 대해 저장할 것인지 물어보는 것이므로 Yes 를 선택해 주세요.

아래 명령어는 방화벽 관리 패키지를 이용해 설정을 저장하고 적용하는 명령어 입니다.
항상 방화벽 설정을 하고난 뒤에 저장 및 갱신해주는 습관을 들여야 합니다.

sudo netfilter-persistent save
sudo netfilter-persistent reload

침입 차단 - fail2ban

---

개요

fail2ban 은 비밀번호를 무작위로 대입해서 로그인을 시도하는 해커들로부터 홈서버를 보호해줍니다.
똑같은 IP로 n번 로그인 실패를 했을 경우 정해진 시간 접속이 불가능 하게 설정할 수 있습니다.

보통 SSH 에 많이 적용하고 나중에 설치해볼 클라우드 스토리지의 로그인 페이지 에서도 fail2ban 을 사용해서 접속을 불가능 하도록 할 것입니다.

필요성 파악

아래 명령어를 입력해보세요.

journalctl -f

우리의 홈서버에 침투중인 상황을 실시간으로 볼 수 있습니다.
위 사진은 나중에 찍은 사진이고 제가 fail2ban을 처음 도입하려고 했을 당시 1초에 몇번씩 접속 시도를 하고 있다는것을 알게 되었고 겉으로는 아무 이상 없어 보였던 홈서버가 공격을 받고 있다는 사실에 충격을 먹었습니다.

Ctrl + C 키를 입려가면 모니터링하던 곳에서 빠져나올 수 있습니다.

설치

아래 명령어를 입력하면 설치가 되고 설치와 동시에 fail2ban이 동작을 시작하게 되어 방어를 해줍니다.

sudo apt install fail2ban

fail2ban 이 만들어 낸 체인을 확인해봅시다.

sudo iptables -L

기존에 있던 세 종류의 체인 말고 f2b-sshd 라는 체인이 생겼습니다.

무한 출력!

이제 이 체인에 많은 규칙들이 생길 것이며 앞으로 sudo iptables -L 명령어를 입력하게 되면 너무 많은 규칙 때문에 출력이 끝나질 않을 것입니다.
추후에 방화벽 규칙을 추가한 뒤 확인 하려면 체인명을 붙인 sudo iptables -L INPUT 명령어를 사용하시길 바랍니다.

설정

fail2ban 에 대한 감옥파일 jail.local 파일을 만든 뒤 내용을 상황에 맞게 수정합시다.

sudo vim /etc/fail2ban/jail.local

[DEFAULT]
ignoreip=192.168.0.0/24
bantime=86400
maxretry=5
findtime=86400

[sshd]
enabled = true
port=22
filter=sshd
logpath=/var/log/auth.log

[DEFAULT] fail2ban에 지정할 모든 서비스에 대한 설정 입니다.
[sshd] ssh 접속 서비스에 대한 설정 입니다.

• ignoreip 설정을 적용하지 않을 IP 리스트 입니다.
  보통 내부에서의 접속들은 fail2ban을 적용하지 않습니다.
  자신의 홈서버가 외부로 바로 연결되어 있거나 내부에서도 안전하지 않으신 분들은 이 옵션을 사용하지 마세요.
• bantime 이상 접속을 감지했을 때 접속을 불가능하게 할 초 단위 의 시간입니다.
• maxretry 허용해 줄 횟수 입니다.
  로그인 가능 횟수라 보시면 됩니다.
• findtime 이상 접속의 횟수를 총괄 낼 초 단위 의 시간 입니다.
• enable 동작 여부를 나타냅니다.
• port 감지할 포트 입니다.
• filter 이상 동작이라고 판단할 문자열 입니다.
  정규식(Regex)를 사용할 수 있습니다.
• logpath 필터링 할 전체 문자열 파일입니다.

옵션들을 통해 한 줄 요약하면 다음과 같습니다.

fail2ban 서비스는 logpath 에서 filter 항목을 찾아 findtime 시간 동안 maxretry 횟수 만큼 접속을 시도한 IP를 bantime 시간동안 차단합니다.

적용

sudo service fail2ban restart

확인

sudo fail2ban-client status sshd

차단 풀기

본인의 홈서버인데 비밀번호를 잘못 쳐서 fail2ban 이 차단해버린다면 당황할 것입니다.
아래 명령어로 차단을 풀 수 있습니다.

sudo fail2ban-client set sshd unbanip [ip]

[ip] 는 본인이 접속을 시도한 PC의 외부 IP 를 입력하시면 됩니다.

2단계 인증 - OTP

---

자신의 홈서버에 중요 파일들이 많고 SSH 접속을 제일 안전하게 지키는 방법으로 OTP 인증이 있습니다.

서비스 설치

Google Authenticator 을 설치해 줍시다.

sudo apt install libpam-google-authenticator

Google OTP 앱 설치

자신의 스마트폰에서 다운받으시면 됩니다.
https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

설정

사용자 계정 터미널에서 아래 명령어를 입력해서 질문들에 답을 하고 구글 Authenticator 설정을 하면 됩니다.

google-authenticator

Do you want authentication tokens to be time-based? (y/n)

터미널 화면을 최대화 해준 뒤 y 를 입력해서 시간 기반으로 인증하겠다고 해줍니다.

입력 후 터미널 화면에 QR코드가 보이실 겁니다.
좀 전에 다운 받았던 앱을 실행 해서 우측 하단의 + 버튼을 클릭 후 QR 코드 스캔 항목을 눌러줍니다.
터미널에 출력된 QR코드를 찍어주세요.

이제 터미널 아래쪽에 emergency scractch codes 라고 8자리의 숫자가 여러 줄 보이실 텐데 이것들을 복사해서 따로 보관해두시길 바랍니다.

Do you want me to update your "/home/user/.google_authenticator" file? (y/n)

y 를 입력해서 설정 파일을 업데이트 해줍시다.

Do you want to disallow multiple uses of the same authentication token?
This restricts you to one login about every 30s,
but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n)

y 를 인증 토큰 재사용(중간자 공격)을 막아 줍시다.

By default, a new token is generated every 30 seconds by the mobile app.
In order to compensate for possible time-skew between the client and the server,
we allow an extra token before and after the current time.
This allows for a time skew of up to 30 seconds between authentication server and client.
If you experience problems with poor time synchronization,
you can increase the window from its default size of 3 permitted codes
(one previous code, the current code, the next code) to 17 permitted codes
(the 8 previous codes, the current code, and the 8 next codes).
This will permit for a time skew of up to 4 minutes between client and server.
Do you want to do so? (y/n)

n 을 입력하시면 됩니다.
시간이 부정확 해도 인증되게 할 것이냐는 것인데 국내에서 시간 설정 문제가 생기는 일이 거의 없었습니다.
해외에서는 접속을 안해봐서 모르겠습니다.

If the computer that you are logging into isn't hardened against brute-force login attempts,
you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting? (y/n)

y 를 입력해서 무차별 대입 공격을 막습니다.
fail2ban 과 비슷하게 30초 동안 3번의 시도만 허용한다고 되어있습니다.

SSH 설정

SSH 접속 시 아까 설치한 Google Authenticator 에서 인증을 하도록 해야합니다.

sudo vim /etc/pam.d/sshd

제일 하단에 다음 문자열을 추가 하시면 됩니다.

auth required pam_google_authenticator.so nullok

nullok 는 한 사용자만 Google Authenticator 인증을 사용하게 하는 것이므로 SSH로 접속할 수 있는 계정이 다수일 경우 이 옵션을 지우시면 됩니다.

sudo vim /etc/ssh/sshd_config

vim 찾기 명령

명령 모드 에서 /[찾을내용] 을 입력하면 해당 문자열이 있는 라인으로 이동하게 됩니다.

위 방법을 통해 아래 내용을 수정해주세요.
또한 제일 앞에 # 이 있을 경우 주석 처리이니 삭제 해주도록 하세요.

ChallengeResponseAuthentication yes
UsePAM yes

이제 SSH 서비시에 변경 사항을 적용합시다.

sudo service sshd restart

접속

Putty 접속 시 아래 내용이 출력 될 것입니다.

login as:
Keyboard-interactive authentication prompts from server:
| Password:
| Verification code:
End of keyboard-interactive prompts from server

• login as 사용자 계정명 입력
• Password 사용자 비밀번호 입력
• Verification code 스마트폰 Google OTP 에 표시되는 숫자 6자리 입력

위 항목들을 모두 입력하면 2단계 인증을 통한 SSH 접속이 완료됩니다.

트러블 슈팅

수동 IP 설정을 하셨더라면 이 문구를 보셨을 겁니다.
이번 설정은 원격 접속에 대한 설정으로 서비스 재시작을 한 후 접속이 원할 치 안하면 모니터와 키보드를 연결해서 다시 설정 해줘야 합니다.