Nordic 석재 단조장에서 모루 위 작은 서버 타워에 갑옷판과 황동 자물쇠를 용접하는 NordBastion 북극곰 마스코트, 베이스를 감싸는 사이언 보호 글리프, 호박색 화로 불빛과 호박색 용접 불꽃

방법 안내 · 체크리스트·읽기 10분 · 실습 60분

VPS 강화 — 첫 시간 OPSEC 체크리스트.
8단계. 모든 새 서버에서 실행하세요.

어떤 워크로드든 새 VPS에 올라가기 전 보편적인 출시 전 체크리스트입니다. SSH 키 전용, 사용자 정의 포트, 방화벽, 자동 업데이트, fail2ban, 스냅샷, 문서화된 복구. Debian 12 / Ubuntu 22-24 / Alpine에서 테스트되었습니다.

8단계

01
SSH key auth
02
Disable root + change port
03
Firewall baseline
04
Unattended-upgrades
05
Fail2ban
06
Time + swap
07
Baseline snapshot
08
Recovery doc

단계 01-02 · SSH

비밀번호가 아닌 키 인증. 22번이 아닌 사용자 지정 포트.

랩톱에서 ed25519 키 쌍을 생성하십시오 (더 작고, 더 빠르며, 현대적임):

ssh-keygen -t ed25519 -C "you@laptop"
ssh-copy-id -p 22 root@<vps-ip>
ssh root@<vps-ip>     # should now work without password

VPS에서 /etc/ssh/sshd_config를 편집하십시오:

Port 54871                  # pick a random number 1024-65535
PermitRootLogin no          # use a non-root user with sudo
PasswordAuthentication no   # keys only
PubkeyAuthentication yes

먼저 root가 아닌 sudo 사용자를 생성합니다(adduser bear; usermod -aG sudo bear; ssh-copy-id -p 22 bear@vps), 로그인을 테스트한 다음, sshd를 재시작합니다: systemctl restart sshd. 잠금이 발생하면 패널 콘솔이 SSH 없이 셸 접근을 제공합니다.

Step 03 · 방화벽

인바운드 기본 차단. 필요한 것만 허용 목록에 추가하세요.

apt install -y ufw
ufw default deny incoming
ufw default allow outgoing
ufw allow 54871/tcp      # custom SSH port
ufw allow 80/tcp         # if running a web service
ufw allow 443/tcp        # if running TLS
ufw enable
ufw status verbose

패널을 통해(Networking → Firewall) NordBastion 거점 수준 방화벽에 동일한 규칙 집합을 복제하십시오. 거점 방화벽은 패킷이 VPS에 도달하기 전에 차단하여 볼륨 스캔에 사용되는 CPU를 절약합니다. 심층 방어.

단계 04-05 · 자동 업데이트 + fail2ban

두 개의 패키지, 5분, 실질적인 효과입니다.

apt install -y unattended-upgrades fail2ban
dpkg-reconfigure -plow unattended-upgrades   # accept defaults
systemctl enable --now fail2ban
fail2ban-client status                       # shows sshd jail

unattended-upgrades는 보안 패치를 자동으로 적용합니다. fail2ban은 10분 이내에 인증을 5회 실패한 IP를 1시간 동안 차단합니다. 기본 사용 사례에서는 둘 다 추가 설정이 필요 없으며, 두 가지 모두 누구에게나 작동하는 적극적인 기본값입니다.

단계 06 · 시간 + 스왑

시간대를 UTC로 설정하십시오. 스왑 파일을 추가하십시오.

timedatectl set-timezone UTC

fallocate -l 2G /swapfile
chmod 600 /swapfile
mkswap /swapfile
swapon /swapfile
echo "/swapfile none swap sw 0 0" >> /etc/fstab
free -h                                       # confirm swap is active

서버의 UTC 설정은 모든 시간대의 거점 및 클라이언트 간 로그 상관관계 분석을 단순화합니다. 2-4 GB swapfile은 OOM-kill 급증을 방지합니다. 작은 등급에서는 중요하며 큰 등급에서는 저렴한 보험입니다.

Step 07-08 · 스냅샷 + 복구 문서

깨끗한 상태를 캡처합니다. 복구 경로를 기록하십시오.

스냅샷입니다. 패널에서: 서버 → 사용자 서버 → 스냅샷 → 생성. baseline-hardened-YYYY-MM-DD로 이름을 지정하십시오. NordBastion 스냅샷은 호스트 외부에 있으며, 암호화되어 있고, 몇 초 만에 완료됩니다. 약 90초 만에 복원할 수 있으며 — 업그레이드가 처음 잘못될 때 미래의 자신에게 감사하게 될 것입니다.

복구 문서. 종이 또는 비밀번호 관리자에 다음을 기록하십시오:

NordBastion 계정 이메일 + (비밀번호 자체가 아닌 비밀번호 니모닉)
랩톱에서 SSH 개인 키가 위치하는 곳
사용자 정의 SSH 포트 번호
VPS의 비root sudo 사용자명
복원할 기준 스냅샷의 이름
참고: "패널 콘솔은 SSH 없이 작동합니다 — 잠금 복구에 활용하십시오"

OPSEC은 미래의 자신이 현재의 자신이 잊어버린 것을 복구할 수 있도록 오늘 기록하는 규율입니다. 문서가 완성될 때 단조 작업이 종료됩니다.

FAQ · 보안 강화

질문들, 답변됨.

처음 VPS를 사용하는 고객이 체크리스트를 실행하면서 묻는 8가지 질문.

SSH 키 인증이 실제로 강력한 비밀번호보다 더 안전한가요?

예, 격차가 큽니다. 비밀번호는 — 16자리 랜덤이라 하더라도 — 일부 현실적 위협 모델에서 브루트포스 가능합니다. ed25519 SSH 키는 256비트의 엔트로피를 가지며 브루트포스가 불가능합니다. 또한 키는 그것이 존재하는 디바이스에 묶여 있어 공격자는 키 파일과 그것을 복호화하는 패스프레이즈 둘 다 필요합니다. sshd_config에서 PasswordAuthentication을 완전히 비활성화하면 브루트포스 공격 표면이 0이 됩니다.

SSH 포트를 22에서 임의의 포트로 변경하면 실제로 도움이 됩니까?

결단력 있는 공격자를 막지는 못합니다. 그들은 65,535개의 모든 포트를 스캔합니다. 그러나 22번 포트만 시도하는 봇의 자동화된 잡음을 줄여 주기 때문에 로그가 깨끗해지고 fail2ban의 부담도 낮아집니다. 1024와 65535 사이의 임의 포트를 선택하고 잃어버리지 않을 곳에 적어 두며 방화벽에서 이를 허용하도록 업데이트하세요. 순효과는 약 90% 감소한 로그 잡음입니다.

UFW 또는 nftables — 어느 것?

학습 중이거나 단일 VPS를 운영한다면 UFW가 적합합니다. 친화적인 래퍼이며 구문이 사람에게 읽기 쉽고, 내부적으로 iptables나 nftables 위에 자리합니다. 더 엄격한 규칙 구성, 익명 세트, 또는 다수의 서버를 운영하며 일관성을 원한다면 nftables를 직접 사용하세요. 둘 다 커널 수준에서 동일한 결과를 만들어냅니다.

커널에도 unattended-upgrades를 실행해야 합니까?

보안 패치는 적용해야 합니다. 중요한 CVE를 수정하며, 적용하지 않으면 그대로 노출됩니다. 전체 커널 패키지 업그레이드는 효력을 가지려면 재부팅이 필요하므로 더 위험합니다. unattended-upgrades는 기본적으로 자동 재부팅하지 않습니다. /etc/apt/apt.conf.d/50unattended-upgrades를 읽고 판단하세요. 대부분의 NordBastion 고객은 무인 설정을 "security-only"로 두고 한가한 시간대에 매월 수동으로 재부팅합니다.

이미 비밀번호 인증을 비활성화한 경우 fail2ban이 필요합니까?

엄격히 필수는 아닙니다 — 비밀번호 인증이 꺼지면 SSH에 대한 무차별 대입은 성공할 수 없습니다. Fail2ban은 다른 서비스(메일, 웹 앱 로그인 페이지, 자격 증명 계층이 있는 모든 것)에 여전히 유용합니다. 저렴한 보험입니다: apt install fail2ban, 기본값을 수락하고 계속 진행하십시오. 설치에 걸리는 30초는 더 깨끗한 로그와 제공되는 보너스 서비스 보호의 가치가 있습니다.

전체 디스크 암호화는 어떻습니까?

초기 한 시간 안에 포함되는 항목이 아닙니다. 사용자 보유 키를 통한 전체 디스크 암호화는 커스텀 ISO 설치(부팅 시 누군가 타이핑해야 하는 패스프레이즈로 LUKS 마운트) 또는 향후 제공될 NordBastion의 LUKS-on-provision 옵션(패널 로드맵)이 필요합니다. 현재로서는 디스크가 NordBastion에서 판독 가능하다고 가정하고(극히 드문 소환장 발부 상황), NordBastion의 사법권 보호를 디스크를 안전하게 지키는 계층으로 간주하세요. 위협 모델이 출시 전 FDE를 요구한다면, 레스큐 ISO로 Debian을 LUKS 루트 볼륨에 설치하고 부팅할 때마다 패널 콘솔로 잠금을 해제하세요. 가능하지만 운영 부담이 의미 있게 늘어납니다.

스냅샷은 얼마나 자주 생성해야 하나요?

유용한 세 가지 주기. (1) 의미 있는 변경(패키지 업그레이드, 설정 편집, OS 업그레이드) 전. (2) 일정에 따라 — 모든 운영 워크로드에 대해 주 1회가 합리적 기본값입니다. (3) 각 백업 검증 훈련 전 — 복원이 작동함을 증명할 수 있도록. NordBastion 스냅샷은 호스트 외부에 있고 암호화되어 있으며, VPS 디스크를 소비하지 않고 약 90초 만에 복원할 수 있습니다.

VPS를 모니터링해야 하나요, 그리고 어떻게 해야 하나요?

첫 번째 시간에는 아직 안 됩니다 — 보안 강화를 완료하고, 워크로드를 실행한 후, 모니터링할 가치가 있는 무언가가 생기면 모니터링을 추가하세요. 가벼운 옵션: 두 번째 작은 VPS에 node_exporter + Prometheus + Grafana, 단일 바이너리 자체 호스팅 대시보드로서의 Netdata, 또는 더 간단하게는 공공 포트를 핑하는 무료 티어 외부 업타임 체커(UptimeRobot, BetterStack). 하나를 선택하고 구성한 다음 잊어버리세요 — 모니터링은 조용할 때 가장 유용합니다.