커뮤니티토픽게시판

기존에 CAFE24(이하 호스팅)를 이용하고 있습니다.

 

그러다가 약 3개월 전 부터 테스트 겸 해서 CONOHA(이하 VPS)를 사용하고 있습니다.

 

하지만 아직까지는 호스팅에서 이전은 하지 않고, 테스트 정도의 목적으로 VPS에 동일한 조건으로 설정해둔 상태입니다.

 

호스팅에서 선뜻 VPS로 이전하지 않는 이유는 아무래도 보안입니다.

 

사실 보안이 그리 중요한 사이트는 아니나, 한 순간에 모든 것을 잃을 까봐 걱정 아닌 걱정을 하고 있습니다.

 

서버 지식을 많이 알고 있다면, 그나마 걱정을 덜겠지만, 지금은 사실상 인터넷 검색을 통한 세팅 정도의 수준이라,

 

아무래도 더욱 이전하기 힘든 것 같습니다.

 

하지만, 용량이라던지, 사용할 수 있는 커버리지가 아무래도 VPS가 높다보니 자꾸 VPS로 눈을 돌리고 있습니다.

 

그래서 어쨌든 이전을 목표로 조금씩 준비하고 있습니다!

 

매일 새벽 5시에 백업을 하게 해두었고, 백업된 데이터는 7일을 기점으로 삭제되도록..(아무래도 용량이 있어서..)

 

또 백업 도중에는 사이트 접속을 막기 위해 자동으로 XE의 사이트 잠금 기능이 실행되고, 백업이 완료되면 사이트 잠금 기능이 해제되도록 하였습니다.

 

빠르면 9월, 늦어도 올해안에 이전을 목표로 하고 있는데,

 

과연 서버를 운용할 때 빈번히 해킹시도가 일어나고, 또 잘 뚫리는 지 궁금하더군요...

 

일단 사용 중인 서버는 CENTOS 6.5이고.. XE외에는 딱히.... (SSH도 사용할 때만 열어두고 있습니다.)

 

글을 쓰다보니 두서 없이 작성하게 되었는데요..

 

아무튼 이쯤에서 글을 마치겠습니다..ㅎㅎㅎ

글쓴이 하늘희

profile
てててててて
  • profile

    1. 커스텀 스크립트, 컨트롤 패널, 출처를 알 수 없는 rpm에 의존하지 말고, 정석대로 yum으로 설치하고 yum으로 업데이트하는 습관을 기르면 새로운 보안 취약점이 알려지더라도 패치하기 쉽습니다.

    2. 웬만한 해외서버는 보통 하루에 수만 번씩 ssh로 비번을 무작위 대입하여 로그인 시도가 들어옵니다. 비번은 아주 어렵게 설정하고, 가능하면 root로 직접 로그인하지 못하도록 하고 (PermitRootLogin no) 별도의 계정을 생성해서 sudo를 사용하세요. 여기에 fail2ban까지 설치해 놓으면 평소에 ssh를 꺼놓을 필요는 없습니다. 웹사이트 파일도 root가 아닌 별도의 계정이 소유하도록 해야 간단한 수정을 위해 root로 로그인해야 하는 부담을 덜 수 있습니다.

    3. FTP를 비롯하여 보안이 취약하고 불필요한 서비스는 모두 제거하세요. 웹서버에는 ssh, 아파치 또는 nginx+PHP-FPM, DB, 이렇게 딱 4가지만 돌아가면 됩니다. 방화벽을 22번(ssh), 80번(http), 443번(https) 포트 외에는 모두 방화벽에서 막으세요.

    4. 이쯤 해두면 XE 자체의 버그나 서드파티 자료의 취약점만 신경쓰시면 됩니다. SQL인젝션 등 가장 위험한 종류의 공격에는 XE가 기본적으로 철저하게 방어하고 있으므로, 그때그때 업데이트하면 큰 문제는 없습니다.

    5. 백업 도중에 사이트를 왜 잠그시나요 ㅠㅠ 새벽 5시에 방문하는 사람이 거의 없긴 하겠지만... 그리고 정말로 서버가 통째로 털릴 것이 걱정이라면 서버 내의 다른 경로로 백업하는 것으로는 소용이 없겠죠. 정기적으로 집으로 다운받으셔야 합니다.

  • profile profile
    오 상세한 답변 정말 감사합니다~~!!

    1. 말씀하신 대로 커스텀 자체를 할 줄 모르기에 YUM으로만 설치합니다. 덕분에 마음은 조금 놓이네요!
    2. 알겠습니다! 적용하겠습니다.ㅎㅎ
    3. 불필요한 서비스... 가 뭔지 정확히 모르겠습니다. T^T 왜냐면 centos 기본 설치...(아마 미니멀인듯.. apm도 없이 설치된 상태였습니다.) 현재는 nginx + php-fpm + mariaDB + memcached + vsftpd + crontab 등이 설치되어 있습니다.

    4. XE는 제때 업그레이드만 한다면 큰 걱정은 없겠군요..!

    5. 아무래도 사이트 전체를 압축하다보니 시간이 좀 걸리더라구요..! 그 사이에 혹시나 (올릴 사람은 없겠지만) 글과 자료가 올라왔을 때 백업 데이터에 포함안될 수 있고, 서버 과부하? 등의 문제로... 정기점검 느낌으로 XE 사이트 잠금을 활용하고 있습니다. 한 10분 정도 걸리는 것 같더라구요. ㅎㅎ
  • profile profile

    3. vsftpd는 지워도 됩니다. FTP 접속 프로그램에서 SFTP를 선택하면 SSH를 FTP처럼 사용할 수 있기 때문에, 보안도 향상되고 서버측에서도 불필요한 서비스 하나를 줄일 수 있게 됩니다. (물론 이렇게 하려면 SSH가 항상 돌아가고 있어야겠죠. 위에서 말씀드린 root 비번 강화 등의 조치를 먼저 하세요.)

    5. rsync를 배워보세요. 매일 변경분만 백업할 수 있습니다. 참, 매일 DB 덤프도 뜨고 계시겠죠? 모든 테이블을 InnoDB로 변환하면 mysqldump --single-transaction 옵션을 사용해서 운영중인 사이트의 DB 덤프도 안전하게 뜰 수 있습니다.

  • profile profile
    3. 오.. SFTP 라는 것이 있었군요..! 좋은 정보 감사합니다.

    5. rsync 검색해보도록 하겠습니다..!!
    db 덤프는 mysqldumb -u~~~~-p~~~~~ -e --all-databases > db~~~.sql
    이런식으로 백업하고 있습니다...! 뒤에 옵션에 --single-transaction 을 넣기만 하면 되는 건가요?!

    친절한 답변 정말 감사합니다 _ _) 꾸벅
  • profile profile
    --all-databases보다는 사이트별(DB별)로 따로 백업하는 것이 나중에 복구가 필요할 때 편리합니다.
    information_schema, performance_schema 같은 DB들은 딱히 백업할 필요도 없거든요.
  • profile profile
    넵 아직 정식으로 한 게 아니다보니 그냥 전체를 해버렸습니다...크..

    데이터도 home 폴더 전체로......큭..
  • profile

    제가 서버를 셋팅한 기록들입니다. 참고하시면 도움이 되실 겁니다. (CentOS 7 기준, 뒤져보시면 CentOS 7 업그레이드 방법도 있습니다.)

    http://www.conory.com/note_linux

    그리고 기진곰님 말씀대로 root 비밀번호를 최대한 어렵게 정하세요. 저는 특수문자 + 숫자 + 문자를 혼합하여 10자리 이상을 만들어 쓰고 있습니다.

     

    정기적으로 yum update!!

  • profile profile

    오 좋은 자료 감사합니다. 즐겨찾기 해두었다가 정독해야겠네요..!!

    비번은 저도 특문 숫자 영문대소문자 조합으로 사용하고 있습니다.ㅎㅎ

  • profile

    저도 이번에 さくらのVPS라고 일본 VPS가입했는데 제가 서버를 잘 안다뤄가지고 보안이라든가 튜닝이라든가 참 어렵더라고요. 여기 분들에게 많이 배워야겠습니다. ^^ 일단은 저도 Centos7 + nginx + php-rpm + mariaDB로 세팅해뒀네요.

     

  • profile profile
    맞아요..! 보안이나 튜닝이나... 정말 모르겠더군요..T^T
    아무튼 화이팅입니다..! 최대한 빨리 VPS로 이전해야겠어요...! 맨땅에 헤딩이여도... 하루 빨리 시작하는 게 나을 것 같아서..!