[Linux] 우분투(Ubuntu) SSH 보안 설정

 

 

[한빛미디어]이것이 우분투 리눅스다 : 우분투 리눅스 설치부터 네트워크와 서버 구축 운영까지

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

 

 

 

 

 

 

🚀 [Linux] 우분투(Ubuntu) 

    🔽 SSH 보안 설정

        📦 클라이언트 IP를 통한 접속 허용/차단 정책 만들기 (feat. TCP Wrapper)

주니는 현재 Ansible을 가지고, 각 Client(클라이언트) Server(서버)와 연결하는 작업을 하려고 해요.

이 때, Ansible은 각 클라이언트와 SSH를 통해 연결을 해줘야 하고, 자동화 작업에 따라 root 권한이 필요할 수 있기 때문에 root로 접속하도록 설정해 줄거에요.

하지만, root는 슈퍼 권한 즉, 슈퍼 유저(Super User)이기 때문에 보안을 조금 신경써 보도록 할거에요.

이번 글에서는 해당 내용에 대해 정리해 보도록 하겠습니다.

 

최초 접속 허용할 클라이언트의 IP를 등록해 주도록 해 볼게요.

vim /etc/ssh/sshd_config 34번째 수정 전

 

 

vim /etc/ssh/sshd_config 34번째 수정 뒤

 

 

vim /etc/ssh/sshd_config 40 ~ 48번째 추가

 

 

그런 뒤 위와 같이 접속을 허용할 계정과 IP 등을 넣어 주었어요.

AllowUsers는 접속을 허용하는 내용이고, DenyUsers는 접속을 차단하는 내용이에요.

참고로 DenyUsers 만을 이용하면 지정한 사용자 외 모든 사용자의 SSH 사용을 허가하게 됩니다.
그렇게 되면 헷갈릴 수 있기 때문에 AllowUsers와 DenyUsers를 혼용해서 사용하는걸 권고하지 않고 있어요요.

이 때, White List(허용할 것만 허용하고, 나머지는 차단) 방식인 AllowUsers로만 정책을 만드는게 좋다고 합니다.

vim /etc/hosts.allow

위와 같이 허용할 클라이언트의 IP 대역을 입력해 주었어요.

💡 참고 사항
/etc/hosts.allow | /etc/deny.allow 작성 방식
∙ /etc/hosts.allow에 정책을 추가하면 허용 정책
∙ /etc/hosts.deny에 정책을 추가하면 차단 정책

 

SSH 접속 관련 특정 IP 정책
sshd: 192.168.0.2

SSH 접속 관련 특정 IP 대역 정책
sshd: 192.168.0

위와 같이 설정하면 192.168.0 이하 모든 대역 관련 정책

반응형

허용할 IP 외에는 모두 접속할 수 없도록 차단할 것이기 때문에 차단 정책도 만들어 주도록 할게요.

vim /etc/hosts.deny

 

이렇게 허용 정책에 등록된 IP 외에 모든 클라이언트는 SSH를 통해 접속하지 못하게 차단 정책을 만들어 주었어요.

 

다음 글에서는 Fail2ban을 통해 좀 더 안전한 환경을 만들고 구성해 보도록 할게요.

[한빛미디어]이것이 우분투 리눅스다 : 우분투 리눅스 설치부터 네트워크와 서버 구축 운영까지

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."