OCI 에서 우분투 생성직후에 해줘야 하는거(feat. ubuntu 24.04)

미니멀 버전을 설치했다.
풀버전 보다는 서버에 부하가 덜 가지 않을까 하는 막연한 생각에 ,.....

기본 명령어 - 업데이트, 업그레이드, 기본 설치

- 이걸 해줘야 미니멀 버저는 레포설치가 가능해진다.
- apt-get install -y vim net-tools tcpdump firewalld

시간대, 시간동기화

timedatectl set-timezone Asia/Seoul
- 서울 시간으로 바꿔주고
- timedatectl로 ntp 확인

암호설정

ubuntu@ciongu:~$ sudo passwd root
New password: 
Retype new password: 
passwd: password updated successfully
ubuntu@ciongu:~$ sudo passwd ubuntu
New password: 
Retype new password: 
passwd: password updated successfully
ubuntu@ciongu:~$ 

OCI 접속 오류

본ssh로 잘 접속이 되던게 잘 안되는 경우 1. ssh 비공개키 분실 2. 방화벽 설정 오류- 서버 방화벽 설정하다 막히는 경우가 있다. 가끔씩 iptable 에서 중복적으로 설정이 되버리면서 막히는 경우가 있다. 이럴때는 오라클클라우드 콘솔로 들어가 줘야 한다. home - compute - vm - 1개 선택 - OS Management 에서 아래쪽에 보면

tech-siteJaegon Lee

ssh 22번이 아닌 포트 열기
- lastb로 보면 수많은 22번 포트 공격이 brute force로 들어오는걸 알수 있다.
대부분 중국 아니면 러시아 인듯
systemctl daemon-reload
systemctl enable --now ssh
- 24버전부터는 요렇게 해줘야 22번이 아닌 포트가 열린다.
vi /etc/ssh/sshd_config
- permit root login yes
- PasswordAuthentication yes
소용없다. 그래도 공격이 들어옮

서버 방화벽설정 - firewalld, ufw, iptables, host-allow 등등

집, VPN, 사무실은 ip째로 열어주고, http,https를 제외하고는 포트는 차단
특히 ssh를 차단해야 무작위로 시도하는 봇에 노출이 되지 않는다.
lastb -10 명령어만 보아도 얼마나 문(?)을 많이 두드리는지 알 수 있다.

Linux기본설정(2)brute force 공격 대응

여기저기서 봇들이 공격한다. 러시아나 중국쪽이 아닐까 라는 편견이 있다. 그래서! 나는 회사, 집 특정 ip만 22번 포트를 쓸수 있게 한다. firewalld 로 특정 IP만 전체 IP를 허용하는 것이다. IP를 허용하면 좋은이유는 ftp나 mysql, nfs를 열어야 될때 외부허용을 굳이 할필요없는 관리PC는 별도로 허용할 필요가 없다. 집, 사무실, VPN IP만 허용해주면 외부에

tech-siteJaegon Lee

공개키로 비밀번호 없이 접소(보안강화, root접속)

cp ~ubuntu/.ssh/authorized_keys ~/.ssh/authorized_keys
이걸 안해주면 root로 ppk파일로 접속이 안된다.

리눅스 기본설정(3)-비밀번호 없이 ssh 접속하기

putty gen으로 하는 방법과 keygen으로 하는 방법이 있는데 2번째 방법 ubuntu@blue:~/.ssh$ ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/home/ubuntu/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved

tech-siteJaegon Lee

OCI root 접속 방법

권장은 ubuntu 나 rocky로 접속을 권장한다. 하지만 클러스터링이 제약이 너무 많아 root 로그인이 허용해줘야 한다. root@ciongu:~# cat /etc/ssh/sshd_config|grep -i root #PermitRootLogin prohibit-password # the setting of “PermitRootLogin prohibit-password”. #ChrootDirectory none root@ciongu:~# cat /etc/ssh/sshd_config.d/60-cloudimg-settings.conf PasswordAuthentication no 아무리 봐도 root로그인이 안될

tech-siteJaegon Lee

자동 크론탭 설정(백업, 업데이트)

apt install -y cron
systemctl enable --now cron
apt-get install cron-apt
vi /etc/cron.d/cron-apt
crontab -e

도커설치

https://docs.docker.com/engine/install/ubuntu/
한개의 VM에 여러 프로그램을 설치하다 보면 오류가 많이 생긴다.
그리고 도커를 이용하면 한개의 VM으로 여러개의 워드프레스도 이요할 수 있다.

OCI에서 vm생성후 SSH 접속할때
puttygen으로 기존 ppk파일 가져와서 rsa키 복붙
생성하고 반드시 putty가 아닌 mobaterms로 접속하자
putty로 ppk가 잘 인식이 안되는 듯
* 무료 프리티어 계정이 있었는데 VM생성을 여러번 재시도하자 권한이 차단되어 버리고 후에는 계정도 차단. 그때 mobaterm으로 한번 시도했었어도...

그리고 프리티어로 만든 VM으로 부하가 많이 되는 작업, 예를 들어 채굴같은 게 계속되면 차단되어 버린다.