🏠우분투 홈 서버 구축기 - 서버 기본 설정🏠

개요

---

본 시리즈는 Ubuntu Server 20.04 버전을 기준으로 한다.

우분투 설치를 완료한 직후의 작업들에 대해 기술할 예정이다.
필자는 물리 서버(Mele Quieter2)에서 작업을 진행했지만 AWS나 GCP 등의 클라우드 플랫폼에서도 동일하게 적용할 수 있다.

단, AWS나 GCP 상에서 외부와 인스턴스 간 통신에 대한 방화벽 설정은 되어있다고 가정한다.

필자가 사용 중인 물리 서버(Mele Quieter2)에 대한 자세한 내용은 🏠우분투 홈 서버 구축기 - 시작하며🏠를 참고하면 된다.

---

1. 패키지 업그레이드

sudo apt update && sudo apt upgrade

먼저 패키지 업데이트 및 업그레이드를 진행한다.

---

2. 시간대 설정

timedatectl

위 명령어로 현재 우분투 서버에 설정된 시간대를 확인한다.

sudo dpkg-reconfigure tzdata

위 명령을 실행하면 다음과 같이 시간대를 선택할 수 있는 화면이 출력된다.

필자는 Asia/ Seoul로 설정했다.

---

3. SSH 사용자 제한

서버 보안을 위해 허용된 사용자만(Whitelist) SSH을 통한 서버 접속을 허용할 예정이다.

SSH 설정 파일인 sshd_config 파일을 nano 에디터를 이용해서 연다.
필자는 nano 에디터를 이용하지만 vi를 사용해도 무방하다.

sudo nano /etc/ssh/sshd_config

아래 내용을 파일의 마지막 라인에 추가한다.(추후 수정을 용이하게 하기 위함)

AllowUsers {user}

e.g.

AllowUsers ubuntu

다수의 사용자를 추가할 경우 공백을 기준으로 구분한다.

e.g.

AllowUsers user1 user2

반대로 특정 사용자만 접속하지 못하도록 하려면(Blacklist) 다음과 같이 입력하면 된다.

e.g.

DenyUsers user1 user2

변경 사항을 저장하기 위해 SSH 데몬을 리로드 한다.

sudo systemctl reload sshd

---

4. 방화벽 설정

우선 우분투의 기본 방화벽인 ufw를 비활성화한다.

sudo ufw disable

iptables는 서버를 재부팅하면 설정값이 초기화되기 때문에 설정값을 유지할 수 있게 해주는 iptables-persistent 패키지를 설치한다.

sudo apt install iptables-persistent -y

설치 과정 중에 현재의 IPv4, IPv6 규칙을 저장할지 물어보는데 우분투 서버를 처음 설치한 직후에는 설정된 규칙이 없기 때문에 Yes나 No 중 어느 것을 선택해도 상관이 없다.

iptables 규칙을 생성하기 앞서 iptables를 초기화한다.

sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT

-F는 각 체인 안에 설정된 모든 규칙을 삭제한다.
-X는 기본 체인을 제외한 모든 체인을 삭제한다.
-P는 기본 정책을 설정한다.

INPUT, FORWARD, OUTPUT은 모두 ACCEPT로 초기화

변경 사항을 저장하고 iptables를 리로드 한다.

sudo netfilter-persistent save
sudo netfilter-persistent reload

localhost 접속을 허용한다.

sudo iptables -A INPUT -i lo -j ACCEPT

related와 established 패킷 접속 허용한다.

sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

ssh, http, https 포트를 개방한다.

sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

본 시리즈에서는 다음과 같은 구성으로 RDP와 중계 서버를 구성하는데

외부 클라이언트(브라우저) <-> 중계 서버(Guacamole) <-> RDP(우분투 서버)

한 서버에 Guacamole와 xrdp가 모두 설치되어 있기 때문에 Guacmole가 RDP를 중계할 대상은 localhost이다. 따라서 방화벽에서 RDP 포트를 따로 개방해 줄 필요가 없다.

만약 별도의 3rd party RDP 클라이언트나 윈도우의 원격 데스크톱 연결 기능을 이용할 예정이라면 다음 명령어를 이용해 RDP가 사용할 3389 포트를 개방한다.

sudo iptables -A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT

다시 한번 강조하지만 위 명령어는 별도의 3rd party RDP 클라이언트나 윈도우의 원격 데스크톱 연결 기능을 이용할 예정인 경우에만 사용해야 한다.

3389 포트를 개방하게 되면 서버 보안이 취약해질 수 있다.

이제 개방한 규칙을 제외한 모든 Inbound 패킷을 차단한다.

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP

서버에서 외부로 나가는 Outbound 패킷은 전부 허용한다

sudo iptables -P OUTPUT ACCEPT

설정 내용을 확인한다.

sudo iptables -S

변경 사항을 저장하고 iptables를 리로드 한다.

sudo netfilter-persistent save
sudo netfilter-persistent reload

---

마치며

이번 포스팅에서는 우분투 서버를 설치한 직후의 작업들에 대해 다뤄봤다.
다음 포스팅에서는 우분투 서버에 데스크톱 환경 및 xrdp를 설치하고 자주 발생하는 오류를 해결하는 과정을 다룰 예정이다.