본문 바로가기

ssh6

Fail2ban 고급편 + UFW 튜닝, 그리고 Nginx/HAProxy와 SSH 터널의 역할 분리 전략 Fail2ban 고급편 + UFW 튜닝, 그리고 Nginx/HAProxy와 SSH 터널의 역할 분리 전략이전 글에서 Fail2ban + UFW로 SSH 브루트포스를 막는 기본 구성을 만들었습니다. 이번에는 공격 강도에 따라 차단 시간이 늘어나는 증가형 정책, 화이트/블랙 리스트 운영, GeoIP 차단, Webhook 알림까지 확장하고, HTTP 계층(nginx/haproxy)에서 레이트 리밋과 4xx/5xx 연동으로 애플리케이션 보호까지 완성합니다. 마지막으로 SSH 터널과 프록시(nginx/haproxy)의 역할을 명확히 분리하는 운영 규칙을 제시합니다.1) 증가형 차단 정책으로 “같은 IP 반복 공격” 제압한 번 막아도 같은 IP가 계속 두드리면 차단 시간을 점점 늘리는 게 효과적입니다. Fail2b.. 2025. 10. 26.
SSH 포트 포워딩·리버스 터널 완전 정복: 개발/운영 실전 보안 가이드(OpenSSH) SSH 포트 포워딩·리버스 터널 완전 정복: 개발/운영 실전 보안 가이드(OpenSSH)VPN 없이도 SSH만으로 내부 포트 접근과 외부 노출을 유연하게 만들 수 있습니다.이 글은 로컬/원격/동적(프록시) 포워딩과 리버스 터널까지, 실무에서 쓰는 보안 규칙과감사(로그)·자동화 팁을 한 번에 정리합니다. Jump 서버(바스천), ProxyJump, ~/.ssh/config템플릿, systemd 서비스 등록, 위험한 패턴 차단까지 포함합니다.1) 용어·개념 한 장 요약 -L (Local Forward): 내 PC(클라이언트)에 포트를 열고, SSH 서버를 경유해 원격 대상으로 전달. -R (Remote/Reverse Forward): SSH 서버(또는 서버 측)에 포트를 열고, 내 PC로 역방향 전달. .. 2025. 10. 26.
SSH 보안 단단하게: Fail2ban + UFW로 무차별 대입 차단(필터/액션/알림/점검 루틴) SSH 보안 단단하게: Fail2ban + UFW로 무차별 대입 차단(필터/액션/알림/점검 루틴)패스워드 로그인만 열어두면 SSH는 몇 분도 안 되어 무차별 대입(Brute-force) 시도로 가득 찹니다.공개키 로그인 + 비번 금지가 1순위지만, 네트워크 차단 계층도 함께 두면 훨씬 안전합니다.이 글은 Ubuntu 24.04 기준으로 Fail2ban을 설치·튜닝하여 UFW와 연동하고,메일/Slack 알림, 화이트리스트, 퀵 테스트, 주간 리포트까지 한 번에 세팅합니다.1) 선행 보안(필수)# 1) 공개키 로그인만 허용sudo nano /etc/ssh/sshd_config# PasswordAuthentication no# PubkeyAuthentication yes# PermitRootLogin proh.. 2025. 10. 25.
UFW 방화벽 실전: 웹(80/443)만 열고 나머지 닫기 + 포트스캔 방어(IPv4/IPv6, 로그, 테스트까지) UFW 방화벽 실전: 웹(80/443)만 열고 나머지 닫기 + 포트스캔 방어(IPv4/IPv6, 로그, 테스트까지)새 서버의 1순위 작업은 기본 차단(deny) 정책을 세우고 웹(80/443)만 허용하는 것입니다.Ubuntu 24.04 LTS 기준으로 UFW 설치→기본정책→허용 포트→SSH 안전화를 거쳐, 포트스캔 방어(제한/드롭 규칙), IPv6 대응, 로그·모니터링, nmap으로 검증까지 한 번에 마무리합니다.중간중간 “잠김(자해)”을 피하기 위한 롤백 요령도 함께 적었습니다.0) 준비 & 원칙 항상 SSH 연결이 열려 있는 기존 터미널을 유지한 채, 다른 창에서 테스트합니다. SSH 포트가 22가 아니면, 방화벽 활성화 전에 해당 포트를 먼저 allow 합니다. 클라우드 보안그룹(EC2 SG,.. 2025. 10. 19.
서버 첫 보안: SSH 포트 변경 + 공개키 로그인 + 루트 접속 차단(Ubuntu 24.04 기준) 서버 첫 보안: SSH 포트 변경 + 공개키 로그인 + 루트 접속 차단(Ubuntu 24.04 기준)퍼블릭 클라우드든 온프레미스든, 새 서버를 받으면 제일 먼저 SSH 보안부터 잡아야 합니다.이 글은 Ubuntu 24.04 LTS 기준으로 공개키 인증을 기본으로 만들고, 비밀번호 로그인을 끄고, 루트 접속을 막고, SSH 포트를 변경하는 순서를“잠김 사고 없이” 안전하게 따라갈 수 있도록 정리했습니다. 마지막엔 UFW 방화벽과 fail2ban까지 연결합니다.0) 큰 그림(실수 방지 체크) 1) 새 관리자 계정 생성 → 2) SSH 공개키 배포 → 3) 새 포트 오픈(UFW) → 4) sshd_config 수정 → 5) 서비스 재시작 → 6) 테스트 접속 OK 확인 → 7) 비밀번호/루트 로그인 차단 .. 2025. 10. 19.
UFW 방화벽 실전 규칙: SSH 잠그고, 웹만 열고, 포트스캔 막기 UFW 방화벽 실전 규칙: SSH 잠그고, 웹만 열고, 포트스캔 막기운영 서버의 최소 보안은 기본 차단(deny) 후 필요한 포트만 허용하는 것입니다. 이 글에서는 UFW로 SSH를 안전하게 열고(필요 시 접속지 제한/속도 제한), 웹(80/443)만 개방하며, 간단한 포트스캔 무의미화를 위한 before.rules 강화까지 다룹니다.1) 기본 정책sudo apt -y install ufwsudo ufw default deny incomingsudo ufw default allow outgoing2) SSH 안전 개방기본 포트(22) 유지 시 limit 규칙으로 과도 접속 차단가능하면 접속지 IP를 지정(사무실/점프호스트)하여 표면 축소# 2-1) SSH rate limit (폭주 방지)sudo ufw .. 2025. 10. 6.

티스토리툴바