안녕하세요. xe로 웹에 재미들여서 현재 node.js로 간단한 웹게임을 개발하고 있는 학생입니다.
문제는 제가 할 줄 아는 게 자바스크립트와 html 뿐이다보니
게임 내적인 부분은
서버측에서만 연산을하고 클라이언트 쪽에서는 정보 전달과 전송만을 하도록 만들어 손을 봤는데
게임 외적, 그러니까 서버 자체의 보안 같은 건 아는게 전혀 없어서 어떻게 해야할지 그저 막막하기만 합니다.
현재 디지털오션호스팅에서 centos에 노드js만 깔아서 쓰고있습니다.
보안은 호스팅업체 기본 설정으로 충분한가요? 불충분하다면 보안자문을 구할만한 곳이 있을까요?
질문이 너무 막연한가요? 제가 서버 보안에 관해선 아는게 전혀없어서... 죄송합니다ㅠㅠ
일반적인 서버 보안은 1) 정기적으로 업데이트하고 2) 방화벽을 사용하고 3) FTP 등 불필요한 서비스를 제거하고 4) 모든 계정의 비번을 아주 어렵게 해두면 큰 문제가 발생하지 않습니다.
여기서 업데이트는 yum을 사용한 O/S 자체 업데이트와 npm으로 설치한 패키지 업데이트, 양쪽 모두를 의미합니다. npm처럼 O/S와 별도로 돌아가는 패키지 관리자는 잊어버리는 분들이 많더군요.
그 밖에는 게임 소스의 문제입니다. 웹으로 접근하는 프로그램이 아니라면 XSS나 CSRF는 별로 걱정하지 않아도 될 수도 있지만, SQL 인젝션 같은 것은 여전히 조심해야 하죠. 심지어 NoSQL을 사용해도 인젝션이 가능한 사례도 봤습니다 ㄷㄷㄷ