🔐 해킹 시도가 늘었다: UFW, Fail2Ban, SSH 하드닝, auditd로 서버 요새 만들기

“최근 서버에 해킹 시도가 급증했습니다. 보안 강화가 시급합니다.”

보안팀장의 이 말로 마지막 미션이 시작됐습니다. 사실 이 미션 전까지는 방화벽 설정 정도가 보안의 전부라고 생각했습니다. 그런데 직접 해보고 나서, 보안은 여러 겹의 방어선을 쌓는 것임을 깨달았습니다. 이번 포스팅은 그 방어선들을 직접 쌓은 기록입니다.

---

📋 4가지 보안 레이어

레이어	기술	역할
1️⃣	UFW (방화벽)	허용된 포트만 열고 나머지 전부 차단
2️⃣	Fail2Ban	반복 실패 IP 자동 탐지 및 차단
3️⃣	SSH 하드닝	키 인증 + root 직접 로그인 차단
4️⃣	auditd	중요 파일 변경 사항 실시간 감사 기록

이 네 가지는 각자 다른 위협을 막습니다. UFW는 외부에서 문을 못 열게, Fail2Ban은 문을 두드리는 수상한 사람을 잡고, SSH 하드닝은 문 자물쇠를 교체하고, auditd는 내부에서 누가 뭘 건드렸는지 CCTV로 찍어두는 역할입니다.

---

Step 1: UFW 방화벽 — 필요한 문만 열어두기 🚪

UFW(Uncomplicated Firewall)는 리눅스 방화벽 도구입니다. 기본 정책을 “모두 차단”으로 두고, 필요한 포트만 하나씩 허용하는 방식으로 운영합니다.

Rate Limiting 기능도 있습니다. ufw limit ssh는 SSH 포트에 짧은 시간 안에 너무 많은 연결 시도가 오면 자동으로 제한합니다.

sudo ufw default deny incoming   # 기본: 들어오는 건 전부 차단
sudo ufw default allow outgoing  # 기본: 나가는 건 허용
sudo ufw allow ssh               # SSH (22번)
sudo ufw allow 80/tcp            # HTTP
sudo ufw allow 443/tcp           # HTTPS
sudo ufw limit ssh               # SSH Rate Limiting 활성화
sudo ufw enable

---

Step 2: Fail2Ban — 공격자를 자동으로 잡아 가두기 🪤

Fail2Ban은 로그 파일을 실시간으로 감시합니다. 짧은 시간 안에 로그인을 여러 번 실패하는 IP를 발견하면, 자동으로 방화벽 규칙을 추가해서 그 IP를 차단합니다.

sudo apt update && sudo apt install fail2ban -y

설정은 jail.conf를 직접 수정하지 않고 jail.local을 새로 만들어 관리합니다. 원본 파일을 보존하기 위한 좋은 습관입니다.

핵심 설정 내용:

[DEFAULT]
bantime = 1h       # 차단 시간: 1시간
findtime = 10m     # 감시 기간: 최근 10분
maxretry = 5       # 최대 허용 실패 횟수: 5회

# 화이트리스트 — 관리자는 절대 차단되면 안 됩니다!
ignoreip = 127.0.0.1/8 192.168.56.1 192.168.10.0/24

banaction = ufw    # UFW 방화벽으로 차단 수행

[sshd]

enabled = true port = ssh maxretry = 3 # SSH는 위험도가 높으므로 3회만 허용 bantime = 24h # SSH 공격자는 24시간 차단

화이트리스트(ignoreip)가 매우 중요합니다. 관리자가 실수로 비밀번호를 여러 번 틀렸을 때 본인이 차단되는 최악의 상황을 막아줍니다.

검증 방법:

# 서비스 상태 확인
sudo fail2ban-client status
# 결과: Jail list: sshd  ← SSH 감옥 활성화 확인

# 화이트리스트 적용 확인
sudo fail2ban-client get sshd ignoreip
# 결과: 192.168.10.0/24 포함 여부 확인

설정 항목별 의미:

항목	설정값	효과
ignoreip	192.168.10.0/24 등	관리자 네트워크는 차단 면제
banaction	ufw	UFW를 통해 차단 규칙 생성
bantime (SSH)	24h	SSH 공격자는 하루 동안 접근 불가
maxretry (SSH)	3	3회 실패 시 즉시 차단

---

Step 3: SSH 하드닝 — 자물쇠를 비밀번호에서 열쇠로 교체하기 🔑

기본 SSH는 비밀번호 로그인을 허용합니다. 비밀번호는 추측할 수 있지만, 키 파일은 추측 자체가 불가능합니다.

SSH 하드닝의 핵심 설정 항목들:

# /etc/ssh/sshd_config 수정 사항

PermitRootLogin no          # root 직접 로그인 금지
PasswordAuthentication no   # 비밀번호 로그인 금지 (키 인증만 허용)
PubkeyAuthentication yes    # 공개키 인증 활성화
MaxAuthTries 3              # 인증 시도 최대 3회
LoginGraceTime 30           # 로그인 대기 시간 30초로 제한

PermitRootLogin no는 공격자가 root 계정으로 직접 접속하는 것을 원천 차단합니다. 설령 root 비밀번호를 알아도 접속이 불가능합니다.

⚠️ 주의: PasswordAuthentication no로 설정하기 전에 반드시 SSH 키를 먼저 등록해야 합니다. 그렇지 않으면 자신도 서버에 접속할 수 없게 됩니다.

---

Step 4: auditd — 내부 CCTV 설치하기 📹

외부 공격은 Fail2Ban과 UFW가 막지만, 내부에서 누군가 설정 파일을 건드린다면? 이를 추적하는 게 auditd(감사 시스템) 입니다. 커널 레벨에서 파일 접근/변경 행위를 기록합니다.

감사 규칙(security.rules) 핵심 내용:

# 1. 계정 정보 변경 감시 (passwd, shadow 등)
-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity

# 2. 관리자 권한(sudo) 설정 변경 감시
-w /etc/sudoers -p wa -k sudoers

# 3. SSH 서버 설정 변경 감시
-w /etc/ssh/sshd_config -p wa -k sshd_config

# 4. 파일 삭제/이름 변경 행위 감시
-a always,exit -F arch=b64 -S unlink -S rename -k delete

-w 파일경로 -p wa는 해당 파일을 쓰거나(w) 속성을 변경(a)할 때 기록하라는 의미입니다. -k 태그명은 나중에 검색할 때 쓸 태그입니다.

검증 시나리오: 중요 파일을 건드려서 auditd가 제대로 기록하는지 확인합니다.

# 일부러 passwd 파일 건드리기
touch /etc/passwd

# 로그 확인
sudo ausearch -k identity

로그에서 핵심 정보:

• auid: 실제 수행 계정 (minsoo — sudo로 실행해도 원래 계정 추적 가능)
• exe: 실행한 명령어 (/usr/bin/touch)
• path: 대상 파일 (/etc/passwd)

root 권한으로 실행해도 원래 계정을 정확히 식별한다는 점이 auditd의 핵심 가치입니다.

---

🏁 최종 검증 결과

구분	테스트 항목	결과
Fail2Ban	서비스 상태	✅ Active (running)
Fail2Ban	SSH 감옥 활성화	✅ sshd 감옥 동작 중
Fail2Ban	화이트리스트 적용	✅ 192.168.10.0/24 등록 확인
auditd	감사 규칙 로드	✅ auditctl -l 규칙 적용 확인
auditd	로그 기록 테스트	✅ touch /etc/passwd 시 auid=minsoo 기록됨

---

💡 미션을 마치며: 보안은 겹겹이 쌓는 것

이번 미션을 마치고 나서 보안을 바라보는 시각이 완전히 바뀌었습니다.

UFW로 문을 잠그고, Fail2Ban으로 문을 두드리는 수상한 사람을 쫓고, SSH 하드닝으로 자물쇠를 더 강한 것으로 바꾸고, auditd로 내부를 CCTV로 기록하는 — 이 네 겹의 방어선이 모두 갖춰져야 비로소 “보안을 신경 쓴 서버”라고 할 수 있습니다.

보안은 특정 도구 하나가 해결하는 게 아닙니다. 여러 겹의 방어선이 서로 보완하는 구조를 만드는 것입니다.

이 다섯 번의 딥다이브를 통해 웹 서버부터 보안까지, 실제 서비스를 운영하는 데 필요한 기초 인프라 전체를 직접 손으로 구축해봤습니다. 이론으로만 알던 개념들이 손에 잡히는 경험으로 바뀐 것, 그게 이번 딥다이브의 가장 큰 수확이었습니다. 🔐