SSH 보안을 강화시키기 위한 여러가지 설정을 정리

1. 개요

• 리눅스를 OS로 사용하는 서버에 접속하고자 할 때 SSH를 이용 이에 SSH를 통한 해킹시도(계정탈취)를 차단하기 위한 보안설정을 정리

• SSH 란?

  • Secure Shell의 줄임말, 원격 호스트에 접속하기 위해 사용되는 네트워크 프로토콜, 컴퓨터 간의 통신을 할 때 보안적으로 안전하게 통신을 위해 암호화기능을 제공 ※ Shell : 커널과 사용자 간의 다리 역할을 하는 인터페이스

    • Telnet을 이용한 원격접속에서 SSH를 이용한 접속으로 변경 ☞ 이유는 보안강화 측면, Telnet은 암호화를 제공하지 않아 보안상 취약, 이를 보완한 것(암호화)이 SSH

2. 보안설정

　🎯 적용대상: CentOS, Rocky, Alma Linux 를 대상

　이하의 설정방법을 정리해두고자 함.

1. 접속포트 변경
2. root 계정 원격접속 차단
3. 세션 타임아웃
4. 로그인 시도 횟수 제한

3. 접속포트 변경

• 이유 🤦🏻‍♂️ ssh 접속의 default 포트는 22, default 포트는 익히 알려져 많은 접속시도에 노출 포트변경을 통해 무분별한 접속시도를 회피하고자 함 ☞ nmap 등의 툴을 이용하면 포트확인 가능

• How to

  　1. ssh 설정파일 수정
    2. SELinux 설정
    3. 방화벽 설정
    4. ssh daemon 재시작
    5. 포트 open여부 확인
    6. 재접속

  • Step 1. ssh 설정 파일 수정 설정파일(sshd_config) 내의 port를 변경하고자 하는 포트번호로 변경 & 저장

    22222 포트로 변경하는 예)

    # vi /etc/ssh/sshd_config

    #Port 22
    Port 22222

  • Step 2. SELinux 설정 SELinux를 활성화상태 내 포트 허용

    # semanage port -a -t ssh_port_t -p tcp 22222

  • Step 3. 방화벽 설정 방화벽 내 22222 포트 허용 및 정책 적용

    # firewall-cmd --permanent --zone=public --add-port=22222/tcp
    # firewall-cmd --reload

  • Step 4. ssh 재실행

    # systemctl restart sshd.service

  • Step 5. 설정한 포트가 열려있는지 확인

    $ netstat -nap | grep 22222

  • Step 6. 재접속

    $ ssh root@xxx.xxx.xxx.xxx -p 22222

4. root 계정 원격접속 차단

• 이유 및 목적 root 계정은 기본적으로 생성되는 관리자 계정 ssh 기본설정에서는 root 로그인이 허용상태이며 공격자로부터 무분별한 root 계정을 통한 ssh 접속시도 가능성 존재, 이를 방지하기 위해 root 계정을 통한 접속차단 설정

• How to

  　1. root 이외 접속계정 생성
    2. ssh 설정파일(sshd_config) 수정
    3. ssh daemon 재시작
    4. 확인

  • Step 1. root 이외 접속계정 생성

    $ adduser user1

  • Step 2. ssh 설정파일(sshd_config) 수정

    # vi /etc/ssh/sshd_config

    ssh-key를 이용한 로그인을 허용하는 경우: prohibit-password root 로그인자체를 막는 경우: no

    #PermitRootLogin prohibit-password 
    PermitRootLogin prohibit-password     # ssh-key 로그인 허용

    #PermitRootLogin prohibit-password 
    PermitRootLogin no                    # root 계정을 통한 원격로그인 차단

  • Step 3. ssh daemon 재시작

    # systemctl restart sshd.service

  • Step 4. 확인

    $ ssh user1@xxx.xxx.xxx.xxx -p 22222

  📣 참고 rocky, alma linux의 경우, 이하의 파일 설정을 변경해야함❗️

  • 이하의 파일내용 확인 및 변경

    /etc/ssh/sshd_config.d/01-permitrootlogin.conf
    
    [변경 전]
    PermitRootLogin yes
    
        ↓
    
    [변경 후]
    PermitRootLogin no

  • 설정내용 확인

    # sshd -T

5. 세션 타임아웃

• 이유 및 목적 ssh를 연결해 놓으면 사용자가 연결을 끊지 않는 이상, 계속 연결된 상태 연결이 유지된 상태는 보안상 위험하므로, 일정 시간이 지나면 자동으로 연결이 끊어지도록 설정해서 보안을 강화

• How to (ssh설정변경을 이용)

  　1. ssh 설정파일(sshd_config) 수정
   2. ssh daemon 재시작
   3. 확인

  • Step 1. ssh 설정파일(sshd_config) 수정

    # vi /etc/ssh/sshd_config
    

  sshd_config 파일 내부 [변경 전] #ClientAliveInterval 0 #ClientAliveMax 3

      ↓

  [변경 후] ClientAliveInterval 100 ClientAliveCountMax 3

  ClientAliveInterval: 클라이언트 살아있는지 확인하는 간격
  ClientAliveCountMax: 클라이언트 응답 없어도 접속 유지하는 횟수
  
  참고) ClientAliveInterval = 100, ClientAliveCountMax = 3 이면 300초(5분) 후 접속 끊김

  최대접속유지시간 = ClientAliveInterval × ClientAliveCountMax

            = 100 × 3
            = 300 초

  
  * Step 2. ssh daemon 재시작

  systemctl restart sshd.service

  
  * Step 3. 확인

  cat /etc/ssh/sshd_config | grep Client

  ```

• 💡 참고) 다른방법: profile 내 세션 타임아웃을 설정(10초) profile 내 세션타임(10초)을 설정

  # vi /etc/profile
  export TMOUT=10

  profile을 적용

  # source /etc/profile

6. 로그인 시도 횟수 제한

• 이유 및 목적 로그인 시도횟수를 제한함으로써 보안성 강화

• How to

  　1. ssh 설정파일(sshd_config) 수정
   2. ssh daemon 재시작
   3. 확인

  • Step 1. ssh 설정파일(sshd_config) 수정

    # vi /etc/ssh/sshd_config
    

  sshd_config 파일 내부 [변경 전] #MaxAuthTries 6

      ↓

  [변경 후] MaxAuthTries 3

  
   * Step 2. ssh daemon 재시작

  systemctl restart sshd.service

  
   * Step 3. 확인

  cat /etc/ssh/sshd_config | grep MaxAuthTries

7. References

• [Linux] 방화벽 또는 포트 열려있는지 확인
• Rocky linux SSH 접속가능 / 포트 변경하는 방법
• [Linux] SSH 보안설정 #1 (SSH root접속 제한, SSH 포트 변경)
• 리눅스서버 SSH 접속 보안 설정하기
• [Linux] SSH timeout Configuration
• ssh 연결 타임 아웃 지정(ssh connection timeout)
• ssh Connection Timeout 설정

REST

1. 개념

REpresentational State Transfer 의 약자

• WEB과 같은 분산 하이퍼미디어 시스템을 위한 소프트웨어 아키텍처의 한 형식, 리소스 지향 아키텍처
• 자원을 이름(자원의 표현)으로 구분해 해당 자원의 상태(정보)를 주고 받는 모든 것
  • 자원(resource)의 표현(representation)에 의한 상태 전달을 뜻함

• 웹에 존재하는 모든 자원(이미지, 동영상, DB자원)에 고유한 URI를 부여해 활용하는 것으로, 자원에 대한 주소를 지정하는 방법론을 의미

• REST 형식을 따르는 시스템을 RESTful 하다고 함

  ※ RESTful 이란
   REST API의 설계 규칙을 올바르게 지킨 시스템을 RESTful 하다고 할 수 있음
   모든 CRUD 기능을 POST로 처리하는 API 혹은 URI 규칙을 올바르게 지키지 않는 API는
   REST API를 사용하였지만 RESTful 하지 못한 시스템이라 할 수 있다

• HTTP URI (Uniform Resource Identifier)를 통해 자원 (Resource)을 명시하고 HTTP Method (POST, GET, PUT, DELETE, PATCH 등)를 통해 해당 자원 (URI)에 대한 CRUD Operation 을 적용하는 것을 의미

  ※ CRUD operation 이란
  CRUD는 대부분의 컴퓨터 소프트웨어가 가지는 기본적인 데이터 처리 기능인 
  Create(생성), Read(읽기), Update(갱신), Delete(삭제)를 묶어서 일컫는 말로 
  REST에서의 CRUD Operation 동작 예시는 이하와 같음
  
    Create : 데이터 생성(POST)
    Read   : 데이터 조회(GET)
    Update : 데이터 수정(PUT, PATCH)
    Delete : 데이터 삭제(DELETE)

2. REST 의 구성요소

REST는 다음의 3가지로 구성

1. 자원 (Resource) - URI

   • 모든 자원에는 고유한 ID가 존재, 이 자원은 Server에 존재
   • 자원의 식별은 HTTP URI

2. 자원에 대한 행위 (Verb) - HTTP Method

   • HTTP Method를 통해 CRUD 적용

     HTTP Method	Operation	설명
     POST	Create	데이터 조회, URI가 가진 정보를 검색하기 위해 서버에 요청
     GET	Read	데이터 생성, 클라이언트에서 서버로 전달하려는 정보를 보냄
     PUT	Update	데이터 수정, 데이터 전체를 수정
     PATCH	Update	데이터 수정, 데이터 일부만 수정
     DELETE	Delete	데이터 삭제, (안전성 문제로 대부분 서버에서 비활성화)

3. 표현 (Representation of Resource)

   • Client와 Server 간의 데이터를 주고받는 형태로 JSON, XML, TEXT 등 HTTP 헤더에 지정된 Content-Type 중의 하나

3. REST 의 특징

1. Server-Client 구조

   • Server는 API 제공, 비즈니스 로직 처리 및 저장에 대한 책임
   • Client는 사용자 인증이나 컨텍스트(세션, 로그인 정보)등을 직접 관리하는 책임
   • 각각의 역할이 확실히 구분되기 때문에 클라이언트와 서버에서 개발해야 할 내용이 명확해지고 서로간 의존성이 줄어들게 됨

2. 무상태(Stateless)

   • HTTP는 Stateless 프로토콜, REST 역시 무상태성을 가짐, 클라이언트의 Context를 서버에 저장하지 않음 → 작업을 위한 상태정보를 따로 저장 & 관리하지 않음
   • 세션 및 쿠키를 별도로 저장하고 관리하지 않기 때문에 API 서버는 들어오는 요청만을 단순히 처리하면 됨, 이에 서비스의 자유도가 높아지고 서버에서 불필요한 정보를 관리하지 않음으로써 단순한 구현이 가능

3. 캐시 처리 가능(Cachealble)

   • HTTP 프로토콜을 그대로 사용하므로, WEB에서 사용하는 기존의 인프라를 그대로 활용 가능 → HTTP가 갖는 캐싱 기능 적용가능
   • 대량의 요청을 효율적으로 처리가능

4. 계층화(Layered System)

   • API 서버는 순수 비즈니스 로직을 수행하고 그 앞단에 사용자 인증, 암호화, 로드밸런싱 등을 수행하는 계층을 추가하여 구조상의 유연성을 가짐
   • Proxy, Gateway와 같은 네트워크 기반의 중간매체를 사용할 수 있음
   • Client는 Server와 직접 통신하는지, 중간 서버와 통신하는지는 알 수 없음

5. 인터페이스 일관성(Uniform Interface)

   • URI로 지정한 자원에 대한 조작을 통일되고 한정적인 인터페이스로 수행 HTTP 표준에만 따른다면 모든 플랫폼에 사용가능, 느슨한 결함 형태를 가짐 → 특정언어나 기술에 종속되지 않음

6. 자체 표현 구조

   • 동사(Method) + 명사(URI)로 이루어져있으며 어떤 메소드에 무슨 행위를 하는지 알 수 있으며 REST API 자체가 매우 쉬워서 API 메세지 자체만 보고도 API 이해가능

4. REST 의 장점 및 단점

• 장점

  • 쉬운 사용
    • HTTP 프로토콜 인프라를 그대로 사용하므로 별도의 인프라를 구축할 필요가 없음
  • 클라이언트-서버 역할의 명확한 분리
    • REST의 특징이 Stateless에 따라 서버는 클라이언트의 Context를 유지할 필요가 없음
  • 특정 데이터 표현 사용가능
    • 헤더 부분에 URI 처리 메소드를 명시하고 필요한 실제 데이터를 ‘Body’에 표현할 수 있도록 분리, 이에 JSON, XML 등 원하는 Representation 언어로 사용 가능

• 단점

  • 표준 자체가 존재하지 않음
    • REST는 설계 가이드일 뿐 표준 자체가 존재하지 않음, 정의가 필요
  • HTTP Method의 한계
    • HTTP Method 형태가 제한적

REST API

REST API 란? REST의 원리를 따르는 API를 의미 REST API 를 올바르게 설계하기 위해서는 지켜야 하는 몇가지 규칙이 있음, 이하 규칙을 소개

참고) API (Application Programming Interface) 란? 애플리케이션 소프트웨어를 구축하고 통합하기 위한 정의 및 프로토콜 세트

REST API 설계 예시

1. URI 는 동사보다 명사를, 대문자보다는 소문자를 사용 (×) http://example.com/Running/ (○) http://example.com/run/

2. 마지막에 슬래시(/)를 포함하지 않음 (×) http://example.com/Running/ (○) http://example.com/run/

3. 언더바 대신 하이픈을 사용 (×) http://example.com/test_blog (○) http://example.com/test-blog

4. 파일확장자는 URI 에 포함하지 않음 (×) http://example.com/photo.jpg (○) http://example.com/photo

5. 행위를 포함하지 않음 (×) http://example.com/delete-post/1 (○) http://example.com/post/1

Reference

• https://meetup.nhncloud.com/posts/92

0. 내용

• Splash screen 구현
  1. flutter_native_splash 이용
  2. 직접 구현

1. Splash screen 구현

1. flutter_native_splash 이용

구체적으로는 pub.dev에 기재된 내용임, 간단한 순서로는 ① package 다운로드 ② 설정파일(pubspec.yaml) 수정 및 이미지 적용 ③ run the package

1. package 다운로드

   • Run this command

     $ flutter pub add flutter_native_splash

   • pubspec.yaml 내의 dependencies 확인

     # pubspec.yaml 내 dependencies    
     dependencies:
      flutter_native_splash: ^2.2.17

2. 설정파일(pubspec.yaml) 수정 및 이미지 적용

   • pubspec.yaml 내용수정 　※ flutter_native_splash.yaml 를 만들어서 설정하는 것도 가능

     # pubspec.yaml 설정을 추가 
     flutter_native_splash:
      fullscreen: true
      image: assets/flutter_logo.png
      color: '#FFFFFF'
      android: true
      ios: true
      web: false
     
      android_12:
        color: '#000000'
        image: assets/flutter_logo.png

   • 로고 이미지 생성 및 추가

     • assets 생성 및 하위에 이미지 추가
     • pubspec.yaml 내 assets 설정수정

     # pubspec.yaml 내 assets설정 수정 
     flutter:
      assets:
        - assets/

     ※ flutter.dev 내의 이미지를 이용

   3. 실행 및 확인

      • pubspec.yaml 설정의 경우

        $ flutter pub run flutter_native_splash:create

      • flutter_native_splash.yaml 을 신규작성한 경우

        $ flutter pub run flutter_native_splash:create -- path="flutter_native_splash.yaml 경로"

      • 확인 (좌: API Lv.28, 우: API Lv.33)
      • 이슈사항
      • Android 12 에서 발생하는 이슈사항으로 패키지 적용후 처음 App기동시에는 이미지가 보이지 않으나, 그 이후부터는 제대로 표시됨. github repository 내의 issues 확인 → API Lv.31~32에서는 이슈사항과 동일함 확인, But Lv.33에는 제대로 동작

2. 직접 코드로 구현

1. splash_screen 화면 작성

   // lib/splash_screen.dart
   class SplashScreen extends StatefullWidget {
   @override
   state<SplashScreen> createState() => _SplashScreenState();
   }
   
   class _SplashScreenState extends State<SplashScreen> {
   @override
   void initState() {
    super.initState();
   
    Timer(const Duration(milliseconds: 3000), () =>
      Navigator.pushReplacement(context, 
        MaterialPageRoute(builder: (context) => 
          const MyHomePage(title: 'Flutter Demo Home Page')
        )
      )
    );  // Timer
   }
   
   @override
   Widget build(BuildContext context) {
    // Building the splash screen here 
   return const Scaffold(
     appBar: null,
     body: Center(
       child: Text('Splash Screen')
     )
   );
   }
   }

2. main.dart 내의 내용 수정

   // lib/main.dart
   
   class MyApp extends StatelessWidget {
   @override
   Widget Build(BuildContext context) {
    return MaterialApp(
      title: 'Flutter Demo',
      theme: ThemeData(
        primarySwatch: Colors.blue,
      ),
      home: const SplashScreen()
    );
   }
   }

3. 이슈사항

   • android 시작화면이 flutter가 그리는 첫화면보다 먼저나오는 현상

2. References

• flutter_native_splash in pub.dev
• animated_splash_screen in pub.dev

• (실제) 설치환경
  • zabbix version: 5.0.16
  • OS: CentOS 7.9.xx
  • DB: 10.6.4-MariaDB
  • Web Server: Nginx 1.20.1

2. Zabbix Server 설치 및 설정

1. Install Zabbix repository ※ RPM repository : zabbix-release-5.0-1.el7.noarch.rpm

   ＃ rpm -Uvh https://repo.zabbix.com/zabbix/5.0/rhel/7/x86_64/{RPM_repository}
   ＃ yum clean all

2. Install Zabbix server and agent

   ＃ yum install zabbix-server-mysql zabbix-agent

3. Install Zabbix frontend

   ＃ yum install centos-release-scl
   ＃ yum install zabbix-web-mysql-scl zabbix-nginx-conf-scl

     /etc/yum.repos.d/zabbix.repo
   
   [zabbix-frontend]
   ...
   enabled=1
   ...
   

4. DB 설정

   • DB 초기화

     ＃ mysql -uroot -p password
     mysql> create database zabbix character set utf8  collate utf8_bin;
     mysql> create user zabbix@localhost identified by 'password';
     mysql> grant all privileges on zabbix.* to zabbix@localhost;
     mysql> quit;
     

     
     
   • Schema 적용

     ＃ zcat /usr/share/doc/zabbix-server-my*/create.sql.gz | mysql -uzabbix -p zabbix
     

     
     
   • DB설정(zabbix server)

     /etc/zabbix/zabbix_server.conf 내의 편집 (Line: 125)
     
     

   DBPassword=password ← 설정한 패스워드

5. PHP 설정

   • 주석제거 및 서버명 설정

     /etc/opt/rh/rh-nginx116/nginx/conf.d/zabbix.conf 내의 편집
     
     

   listen 80;

   server_name example.com;

   • acl_users 내 apache, nginx 추가

     /etc/opt/rh/rh-php72/php-fpm.d/zabbix.conf 내의 편집
     
     

   listen.acl_users = apache,nginx

   • timezone 변경 → Asia/Seoul

     /etc/opt/rh/rh-php72/php-fpm.d/zabbix.conf 내의 편집
     
     

   ; php_value[date.timezone] = Europe/Riga → php_value[date.timezone] = Asia/Seoul

6. Zabbix Server 및 Agent 기동

   • 서비스 기동 및 등록

     # systemctl restart zabbix-server zabbix-agent rh-nginx116-nginx rh-php72-php-fpm
     # systemctl enable zabbix-server zabbix-agent rh-nginx116-nginx rh-php72-php-fpm
     

7. Done!

3. Zabbix Agent 설치 및 설정

1. CentOS 7 - Zabbix Agent 설치 (감시대상 서버)
   • RPM 패키지 설치 From Zabbix repository

     # rpm -ivh {repo path}/zabbix-agent-5.0.17-1.el7.x86_64.rpm
     

     ※ Repository PATH: http://repo.zabbix.com/zabbix/5.0/rhel/7/x86_64
     
2. Zabbix Agent 설정
   • /etc/zabbix/zabbix_agentd.conf 편집

     Server=xxx.xxx.xxx.xxx  →  zabbix server IP
     #ServerActive=xxx.xxx.xxx.xxx  →  zabbix server IP
     Hostname=xxx.xxx.xxx.xxx  →  zabbix agent server IP
     

     
     
3. Zabbix Agent 서비스 구동 및 등록
   • 서비스 기동 및 등록

     # systemctl start zabbix-agent
     # systemctl enable zabbix-agent
     

     
     
4. 방화벽 포트설정
   • /etc/firewalld/zones/public.xml 내 추가

     ＜port protocol="tcp" port="10050"/＞
     

   • 방화벽 설정적용 및 확인

     ＃ firewall-cmd --reload
     ＃ firewall-cmd --list-ports
     

     
     
5. Done!

4. References

• zabbix.com
• Zabbix 설치 for CentOS6
• Installing Zabbix Agent on CentOS
• Installing Zabbix Agent on Win10

1. Python 소개

• 파이썬이란?

  파이썬 in Wikipedia

  1991년 귀도 반 로섬이 발표한 고급 프로그래밍 언어 플랫폼에 독립적이며 인터프리터식, 객체지향적, 동적 타이핑(dynamically typed) 대화형 언어 데이터 분석 영역에서 가장 많이 사용하고 있는 언어

• 특징

  • 오픈소스 → 누구나 무료로 사용가능
  • 기능 업그레이드중이며, 패키지를 통해 고급기능 사용가능
  • 동적 타이핑(dynamically typed)
  • 모듈, 클래스, 객체와 같은 언어의 요소가 내부에서 접근가능

2. Anaconda 소개

• 아나콘다(Anaconda)란?
  머신러닝이나 데이터 분석 등에 사용하는 많은 패키지가 기본적으로 포함된 파이썬 배포판 위에 언급한 분야를 파이썬으로 접근하고자 할 때 세팅이 매우 용이

3. Anaconda 설치

• Download the graphical macOS Installer (anaconda.com)

  

• Steps for installing anaconda

  • 
  • 
  • 
  • 

4. Jupyter Notebook 실행

• Launch a Jupyter notebook

  $ [Anaconda 설치 path]/bin/jupyter-notebook

  

  • Initial Page

• Done

5. References

• Anaconda.com
• Jupyter Notebook 사용법