SSH 허용 IP 대역 설정, 포트 변경
- SSH 접속을 허용할 IP 대역 설정
- SSHD 포트 변경; 22 → xxxxxx
- SELinux 에 포트 추가
- 방화벽에 포트 추가
- 방화벽 / SSHD 재시작
# vi /etc/hosts.allow sshd : xxx.yyy. # vi /etc/hosts.deny sshd: ALL # vi /etc/ssh/sshd_config # Port 22 Port xxxx # semanage port -a -t ssh_port_t -p tcp xxxxx # semanage port -l | grep ssh ssh_port_t tcp 22, xxxxx # firewall-cmd --permanent --zone=public --add-port=xxxxx/tcp # firewall-cmd --list-all | grep xxxxx ports: xxxxxx/tcp # systemctl restart sshd.service # firewall-cmd --reload
참고자료 : CentOS SSH 포트 변경방법 by 주재범, 특정 IP만 SSH 접속 허용하기 by 제타위키, SSH 보안 설정 by 주재범
(웹서비스) robot.txt 설정
검색엔진을 통해 노출할 데이터와 노출하지 않을 데이터의 범위를 정하고 robot.txt 설정;
개발중인 웹서비스는 서비스 루트 ( / )를 disallow 하는 것을 권장
# vi /var/www/html/robot.txt User-agent: * Disallow: /
(웹서비스) 웹 프록시 이용
웹 프록시의 필요성
- WAS의 취약점이 웹에 직접 노출되는 것을 방지
- 특히 Docker를 통해 서비스 하는 경우, docker 데몬이 웹에 바로 노출되지 않도록 할 것
- 동일한 요청에 대해 caching 을 통해 속도 향상
- (참고) WAS(Web Application Server)
- PHP, JSP 등 동적으로 웹페이지를 생성하는 서버
프록시 설정방법
- WAS의 어플리케이션 코드/설정파일에서 프록시 사용 설정
- nginx / apache 서버 proxy 설정
SELinux 및 방화벽 설정
- SELinux (Security-Enhanced Linux)
- 응용프로그램별로 실행권한/포트사용권한 등을 종합적으로 관리
- semanage 를 통해 설정 ( 참고자료 : SELinux by 정광섭, SELinux 설치 by 정광섭 )
- 포트가 막혔을 때, SELinux 에서 deny 하고있는지 확인하고 규칙을 추가할 것 ( 참고자료 : SELinux - httpd 가 WAS port 로 연결 실패 by 정광섭 )