Linux 서버 보안 하드닝 6단계 — 배포 직후 반드시 적용해야 할 실전 체크리스트

로컬 머신에서 SSH 키 생성 (없는 경우)
# Ed25519 키 생성 (RSA 4096 대신 권장)
ssh-keygen -t ed25519 -C "your@email.com" -f ~/.ssh/id_ed25519

# 생성된 공개 키 확인
cat ~/.ssh/id_ed25519.pub

# 서버에 공개 키 복사 (비밀번호 로그인이 아직 가능한 상태에서 실행)
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@your-server-ip

# 키 인증으로 접속 확인 (이 단계가 성공해야 다음으로 진행)
ssh -i ~/.ssh/id_ed25519 user@your-server-ip

/etc/ssh/sshd_config 핵심 보안 설정
# 루트 직접 로그인 금지
PermitRootLogin no

# 비밀번호 로그인 비활성화 (키 등록 후에만 적용)
PasswordAuthentication no

# 빈 비밀번호 계정 접속 금지
PermitEmptyPasswords no

# SSH 프로토콜 버전 (2만 허용)
Protocol 2

# 로그인 시도 최대 횟수
MaxAuthTries 3

# 연결 후 로그인 제한 시간 (초)
LoginGraceTime 30

# 인증된 사용자만 접속 허용 (실제 계정명으로 교체)
AllowUsers deploy ubuntu

# 설정 적용
# sudo systemctl restart sshd

UFW 방화벽 초기 설정
# UFW 상태 확인
sudo ufw status verbose

# 기본 정책: 인바운드 차단, 아웃바운드 허용
sudo ufw default deny incoming
sudo ufw default allow outgoing

# SSH 포트 허용 (반드시 먼저! 안 하면 잠김)
sudo ufw allow 22/tcp

# 웹 서버 포트 허용
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# 특정 IP에서만 SSH 허용 (권장)
# sudo ufw allow from 123.45.67.89 to any port 22

# UFW 활성화
sudo ufw enable

# 규칙 확인
sudo ufw status numbered

UFW 규칙 관리 — 추가/삭제/포트 변경
# 번호로 규칙 삭제
sudo ufw status numbered
sudo ufw delete 3          # 3번 규칙 삭제

# 포트 범위 허용
sudo ufw allow 8000:8080/tcp

# 서비스 이름으로 허용
sudo ufw allow 'Nginx Full'  # 80 + 443

# 규칙 초기화 (주의: 모든 규칙 삭제)
# sudo ufw reset

# UFW 로그 확인
sudo tail -f /var/log/ufw.log

Fail2ban 설치 및 기본 설정
# 설치
sudo apt update && sudo apt install -y fail2ban

# 서비스 시작 및 자동 시작 등록
sudo systemctl enable --now fail2ban

# 설정 파일 복사 (원본은 건드리지 않는다)
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

/etc/fail2ban/jail.local — SSH 차단 설정
[DEFAULT]
# 차단 해제까지 대기 시간 (초) — 10분
bantime  = 600

# 실패 횟수 집계 시간 (초) — 10분
findtime = 600

# 이 횟수 초과 시 차단
maxretry = 5

# 이메일 알림 (선택)
# destemail = admin@yourdomain.com
# action = %(action_mwl)s

[sshd]
enabled  = true
port     = ssh
logpath  = %(sshd_log)s
backend  = %(sshd_backend)s
maxretry = 3

# 설정 적용
# sudo systemctl restart fail2ban

Fail2ban 상태 확인과 IP 차단/해제
# 활성 jail 목록 확인
sudo fail2ban-client status

# SSH jail 상세 상태 (차단된 IP 목록 포함)
sudo fail2ban-client status sshd

# 특정 IP 수동 차단
sudo fail2ban-client set sshd banip 1.2.3.4

# 특정 IP 차단 해제
sudo fail2ban-client set sshd unbanip 1.2.3.4

# 로그 실시간 확인
sudo tail -f /var/log/fail2ban.log

배포 전용 사용자 생성 및 sudo 설정
# 새 사용자 생성
sudo adduser deploy

# sudo 그룹 추가 (전체 sudo 권한)
sudo usermod -aG sudo deploy

# 또는 특정 명령만 허용 (권장)
# /etc/sudoers.d/deploy 파일 생성
sudo visudo -f /etc/sudoers.d/deploy
# 아래 내용 추가:
# deploy ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart app, /usr/bin/docker

# deploy 계정에 SSH 공개 키 등록
sudo mkdir -p /home/deploy/.ssh
sudo cp ~/.ssh/authorized_keys /home/deploy/.ssh/
sudo chown -R deploy:deploy /home/deploy/.ssh
sudo chmod 700 /home/deploy/.ssh
sudo chmod 600 /home/deploy/.ssh/authorized_keys

# 현재 계정의 sudo 권한 확인
sudo -l

자동 보안 업데이트 설정
# 패키지 설치
sudo apt install -y unattended-upgrades apt-listchanges

# 설정 활성화 (대화형)
sudo dpkg-reconfigure --priority=low unattended-upgrades

# 설정 파일 확인 및 수정
sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

# 핵심 설정 (보안 업데이트만 자동 적용)
# Unattended-Upgrade::Allowed-Origins {
#   "${distro_id}:${distro_codename}-security";
# };
# Unattended-Upgrade::AutoFixInterruptedDpkg "true";
# Unattended-Upgrade::Remove-Unused-Packages "true";
# Unattended-Upgrade::Automatic-Reboot "false";  // 자동 재부팅 비활성화

# 테스트 실행 (dry-run)
sudo unattended-upgrade --dry-run --debug

시스템 로그 모니터링 명령어 모음
# SSH 로그인 시도 확인 (Ubuntu/Debian)
sudo journalctl -u ssh --since "1 hour ago" | grep -i "failed|invalid|accepted"

# 최근 로그인 기록
last -n 20
lastb -n 20    # 실패한 로그인

# 현재 접속 중인 사용자
who

# 실시간 인증 로그 확인
sudo tail -f /var/log/auth.log

# 비정상 프로세스 확인
ps aux --sort=-%cpu | head -20

# 열린 포트 확인 (ss 또는 netstat)
ss -tlnp