아무래도 xetown에서는 서버 전문가 분들이 많으실 것 같아서 질문드립니다.
다름이 아니라 리눅스로 간단한 서버를 좀 배워보고자하는데 보안이 걱정이라서요. root계정으로 서버 구동시키는데 보통은 docker나 다른 계정을 생성해서 구동시키더라고요. 다만 전 배우는 상황이라서 ssh는 안 사용하고 직접 연결시켜서 사용중인데 혹시 ssh를 사용하지 않음에도 root 계정을 통한 서버 설치 및 구동은 위험한지 궁금합니다.
| PHP | PHP 7.4 |
|---|
-
-
?
결국 계정을 분리하는 것이 중요하군요,,, 감사합니다!
ssh를 사용하지 않는다는 것은 SFTP나 FTP telnet ssh모두 일체 안 사용하고 연습용도라서 pc에 리눅스 깔아서 모니터 연결해서 사용한다는 의미였습니다! -
"ssh는 안 사용하고 직접 연결시켜서"가 무슨 뜻인지 모르겠네요.
PHP나 MySQL 같은 프로그램을 설치하고 구동하려면 당연히 root 권한이 필요하지요. sudo나 su를 사용해서 권한을 취득하더라도 마찬가지입니다. sudo를 사용할 수 있는 계정이 사실상 root와 같은 파워를 갖게 되니까요.
무엇을 사용하느냐 마느냐보다는 어떻게 사용하느냐가 더 중요합니다. ssh는 리눅스를 구성하는 수많은 프로그램들 중에서도 가장 완벽에 가까운 보안성을 자랑하는 도구입니다. FTP 따위와는 차원이 달라요. root 계정 사용 최소화, root 계정 비번 제거하고 키파일만 사용, 기본 포트 변경, 로그인 실패하는 IP 자동 차단 등 제대로 사용하기만 한다면 다른 어떤 프로그램보다도 안전합니다.
도커는 그냥 특정한 프로그램을 나무궤짝 안에 넣고 돌리는 것입니다. 소음은 좀 줄어들지 몰라도, 강철로 만든 금고가 아니기 때문에 안에서 총을 쏘면 밖에 있어도 맞습니다. (도커 내에서 root 권한을 취득한 공격자가 도커 밖으로 나오는 것을 완전히 차단할 수 없음) 따라서 도커는 보안장치보다는 그냥 편의장치라고 생각하시는 것이 좋습니다. 게다가 도커도 결국 ssh에서 설치하고 관리하는 것이니, 어쨌거나 ssh 보안은 지켜야지요.
-
?
ssh를 사용하지 않는다는 것은 SFTP나 FTP telnet ssh모두 일체 안 사용하고 연습용도라서 pc에 리눅스 깔아서 모니터 연결해서 사용한다는 의미였습니다!
root계정 대신 다른 계정들을 만들어 사용하는 것이 중요하겠군요 감사합니다! -
?
운영자가 서버를 물리적으로 직접 만질 수 있는 위치에 있어서 아예 ssh, ftp 등 원격접속을 다 막아놓는다면 가장 안전하긴 하겠지요. 그러나 IDC에 있는 실서버는 그렇게 하기 어려우니까 그나마 가장 든든한 ssh를 집중적으로 보호하는 것입니다.^^
-
?
원격접속만 다 막아도 어느정도 보안은 해결된다는 말씀이신가요? 답변 감사합니다!
-
이해하기 쉽게, 해커 입장에서 생각해보면 답이 나올 것 같습니다 ~
해커가 좋아할 사이트 :
(1) telnet, rlogin, ftp 등의 비보안 연결을 허용한다. (너무 고마움)
(2) root ID로 직접 로그인(password만 입력하여)을 허용한다 (너무 고마움)
(3) root ID로의 직접 로그인은 허용하지 않지만, 다른 ID로는 직접 로그인을 허용한다(고마움)
해커가 싫어할 사이트 :
(4) ssh 및 sftp 등의 보안 연결만 쓴다. (싫음)
(5) root ID로의 접속을 허용하기는 하는데, 암호가 아닌 key를 요구한다 (너무 싫음)
(6) root ID로의 접속을 허용하지 않아서, 일반 유저로 접속하려니까 암호가 아닌 key를 요구한다 (너무너무 싫음)
질문하신 내용은 (1)과 (2)로 한다는 뜻 같은데... 참으로 고마운 서버가 될 것 같습니다 ~~~ ㅎㅎ -
?
ssh를 사용하지 않는다는 것은 SFTP나 FTP telnet ssh모두 일체 안 사용하고 연습용도라서 pc에 리눅스 깔아서 모니터 연결해서 사용한다는 의미였습니다!
key를 요구한다는 것이 .key파일 말씀하는 것인가요? 한번 찾아보고 잘 적용해보겠습니다. 감사합니다!
그래서 계정을 분리하여 해당 계정에 할당된 디렉토리 하나에 사이트 운영에 필요한 권한만 주면 그 계정이 해킹당하더라도 문제가 되지 않지요.
그래서 계정을 최대한 분리하는 겁니다.
root은 서버의 전체권한을 탈취당할수있으니 되도록이면 잘 안쓰는겁니다 ㅎㅎ