[보안 취약점 점검] 리눅스(Linux) 환경 2-1편 - Rocky Linux 보안

안녕하세요.

글로벌 IT Service Leader 주식회사 #다인엔시스 입니다.

 

지난 1편에서는 Ubuntu와 Rocky Linux의 공통 보안 구조를 소개했다면,
이번 글은 Rocky Linux 단독 편으로 알아보겠습니다.

 

특히 GPU 서버·개발자 버전(Developer Tools 포함) 설치 기준으로
Rocky Linux가 자동으로 충족하는 보안 항목과
여전히 추가 조치가 필요한 항목을
KISA 보안약점 기준을 근거로 상세하게 정리했습니다.

 

 

Rocky Linux 설치로 충족되는 보안항목

(※ GPU 서버 + Developer Tools 설치 기준)

Rocky Linux는 RHEL 기반 배포판으로,
기본 설치만으로도 기업형 보안 기본값이 잘 구성되어 있습니다.

아래 항목들은 OS 설치만으로 이미 KISA 보안점검 기준을 통과하는 항목입니다.

 

항목 번호는 ‘소프트웨어 보안약점 진단가이드(2021)’ 기준이며,
기관·버전별로 일부 차이가 있을 수 있습니다.

✔ 1) 계정·인증 관련 (KISA 항목 16~24 관련)

● root 계정이 잠겨 있지 않더라도, KISA 16~18번을 부합합니다.

• /etc/shadow 해시 기반 암호 저장
• SHA512 기반 암호화 알고리즘 사용 (KISA 20번: 안전한 암호 알고리즘 기준 충족)

Rocky Linux 9.x 설치 시 /etc/login.defs 기준으로
기본 비밀번호 해시는 SHA-512를 사용하도록 설계되어 있어
KISA 보안가이드가 요구하는 “중요정보 해시 기반 저장” 요구사항을 충족할 수 있습니다.
(세부 정책은 각 기관의 패스워드 정책에 따라 보완 필요)

● 기본적으로 SSH는 패스워드 인증 허용 상태

• 암호 저장·검증 자체는 강력한 해시 기반
  → 16~18번 항목(중요정보 평문 저장, 노출 금지) 충족

● sudo 기본 구성 안전

• wheel 그룹 권한 최소화
  → 접근제어 측면(22번, 인증·인가 구조) 기본 충족

---

✔ 2) 파일 권한·시스템 기본 정책 (KISA 48~51 관련)

Rocky 기본 파일 권한 구조는 KISA 48~51 조건에 부합합니다.

파일/경로기본	권한보안	기준 충족 여부
/etc/passwd	644	O (시스템 기본)
/etc/shadow	000 또는 600	O
/etc/ssh/*	시스템 보안 설계 기준 충족	O
/var/log/*	600~640	O

기본 설치에는 passwd, sudo 등 필수 setuid 바이너리만 포함되며
별도 서비스나 애플리케이션 설치 전에는
불필요한 world-writable 디렉터리가 거의 없는 구조입니다.
(실제 환경에서는 정기적으로 find 명령으로 setuid/world-writable 파일을 점검하는 것이 권장됩니다.)
그럼에도, 환경설정 48~51번 항목 대부분 충족합니다( 이 수준의 권한은 일반적인 Rocky 9 기본값과 일치 )

---

✔ 3) SELinux – 가장 강력한 기본 보안 기능

(KISA 66~72 플랫폼 특화 항목 충족)

Rocky Linux는 기본값이 SELinux = enforcing 입니다.

( 설치 직후 getenforce 명령을 실행하면 기본 상태는 Enforcing이며,
/etc/selinux/config에서도 SELINUX=enforcing, SELINUXTYPE=targeted 값이 설정된 것을 확인할 수 있습니다. )

• 프로세스/서비스 격리
• 파일 라벨 기반 접근 제어
• 네트워크/서비스 권한 제한

이는 KISA 66~72 ‘플랫폼 특화 보안 항목’ 대부분을 자동 충족합니다.
(특히 66, 67, 70번: 권한 오남용·기본 서비스 노출 방지)

---

✔ 4) 개발자 버전 설치 시 기본 패키지 구조

GPU 서버 구축을 위해 Developer Tools 혹은 Minimal + 개발 패키지를 설치해도
다음 항목들은 기본적으로 안전합니다.

• /usr/bin 실행 파일들은 Red Hat 인증 패키지
• 패키지 검증(GPG signed) 적용
  → KISA 15번(무결성 검사 없는 코드 다운로드) 충족
  → KISA 59~60번("패치 미적용 외부 라이브러리")의 기본 조건 충족

Rocky 프로젝트는 모든 안정 RPM 패키지를 GPG 서명하며,
dnf / yum 은 기본적으로 이 서명을 검증해
서명되지 않았거나 잘못된 패키지는 설치를 거부하도록 되어 있습니다.

 

보안 취약점 진단 시 조치가 필요한 항목

 

🟦 1) SSH 보안 강화 (KISA 16~24 + 48~51 관련)

기본 상태는 안전하지만, 운영 환경에서는 반드시 조치 필요합니다.

 

✔ 필요 조치

/etc/ssh/sshd_config

 

① root SSH 로그인 차단

PermitRootLogin no

 

② 패스워드 인증 차단 → 키 기반 인증 사용

PasswordAuthentication no

 

③ SSH 포트 변경 (필수 아님, 공격 노이즈 감소)

Port 2222

 

④ 인증 실패 시 lockout 적용 → Fail2ban 설치

dnf install -y fail2ban
systemctl enable --now fail2ban

 

포트 변경은 근본적인 보안 기능이라기보다는
대량 스캔·무차별 대입 공격의 노이즈를 줄이는 효과에 가깝습니다.

---

🟦 2) 불필요 서비스 제거 (KISA 50번 항목 관련)

Rocky Developer Tools 설치 시 다음 패키지가 설치될 수 있습니다.

• rpcbind
• avahi-daemon
• cups
• postfix (기본 설치될 때 있음)

✔ 조치

systemctl disable --now rpcbind 
systemctl disable --now avahi-daemon
systemctl disable --now cups 
systemctl disable --now postfix

실제 설치된 서비스 목록은 systemctl list-unit-files --type=service등으로 확인 후,
역할에 맞지 않는 데몬만 선별적으로 비활성화하는 것이 안전합니다.

---

🟦 3) 패키지 업데이트 & 보안 패치 (KISA 59~60 관련)

Rocky는 패키지 안정성이 높지만
기본 설치 후 업데이트를 하지 않은 상태는 취약합니다.

✔ 조치

dnf update -y

 

자동 보안 업데이트 설정

dnf install dnf-automatic 
systemctl enable --now dnf-automatic.timer

 

운영 중인 서비스라면 자동 재부팅 여부, 야간 점검 시간 등을 고려해
테스트 서버 → 운영 서버 순서로 업데이트 정책을 설계하는 것이 권장됩니다.

---

🟦 4) 로그 및 감사 설정 (KISA 52~55 관련)

기본 로그는 저장되지만, 감사 정책은 최소 수준입니다.

✔ auditd 활성화

dnf install audit 
systemctl enable --now auditd

 

✔ 중요 이벤트 모니터링 규칙 추가

echo "-w /etc/passwd -p wa -k passwd_changes" >> /etc/audit/rules.d/audit.rules 
echo "-w /etc/shadow -p wa -k shadow_changes" >> /etc/audit/rules.d/audit.rules

audit 규칙은 서비스 특성에 따라 추가/조정이 필요하며,
기본 OS 계정 정보 외에 sudo 사용 이력, 중요 설정 파일(
/etc/ssh/sshd_config등)도 함께 감시하는 것이 좋습니다.

---

🟦 5) /tmp 파일시스템 보호 (KISA 48~51 관련)

기본 설치에서는 /tmp가 noexec이 아닙니다.

 

공격자가 임시 파일로 악성 스크립트를 실행할 수 있어
리눅스 환경 취약점으로 자주 언급됩니다.

 

✔ 조치

/etc/fstab에 다음 추가

tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev 0 0

 

적용:

mount -o remount /tmp

 

---

🟦 6) 방화벽 정책 강화 (KISA 48, 50 항목)

Rocky Linux는 firewalld 기본 활성화지만
실제 포트 허용 정책은 환경에 따라 매우 과도할 수 있음

✔ 조치

포트 확인

firewall-cmd --list-all

 

정책 설정

firewall-cmd --permanent --remove-service=ssh 
firewall-cmd --permanent --add-port=2222/tcp 
firewall-cmd --reload

 

---

🟦 7) Docker / 컨테이너 사용 시 추가 조치 (KISA 71~72 관련)

GPU 서버는 컨테이너 환경(NVIDIA-Docker 등)을 많이 사용합니다.

기본값은 취약할 수 있습니다.

✔ 조치

• rootless docker 사용
• docker sock 권한 제한
• container user namespace mapping 적용
• 이미지 서명/스캔(Cosign, Trivy) 적용

---

3. Rocky Linux 보안 점검 요약표

(기본 충족 vs 추가 조치 필요)

항목	기본 설치 충족	추가 조치 필요
비밀번호/해시 저장	✔
SELinux enforcing	✔
기본 파일 권한	✔
sudo 최소 권한	✔(부분)	⚠ 세부정책 필요
SSH 보안	⚠ 기본은 안전, 운영환경 미흡	✔
불필요 서비스	❌	✔
패키지 최신화	❌	✔
로그·감사 정책	⚠ 부분 충족	✔
/tmp 보호	❌	✔
방화벽 정책	⚠	✔
컨테이너 보안	❌	✔

 

마치며

이번 글에서는 Rocky Linux 보안약점 진단 기준을
GPU 서버·개발자버전 설치 환경 기준으로 다음과 같이 정리했습니다.

 

✔ 기본 설치만으로 충족하는 항목

• SELinux enforcing
• 안전한 암호화/해시 구조
• 안전한 기본 파일 권한
• 서명된 패키지(GPG)

✔ 반드시 조치해야 하는 항목

• SSH 보안
• 불필요 서비스 제거
• 패키지 보안 업데이트
• auditd 기반 감사 정책 강화
• /tmp 보호 설정
• 방화벽 서비스 최소화
• 컨테이너 기반 GPU 서버의 추가 보안조치

위 내용이 도움이 되셨으면 좋겠습니다,

다음 편에서 찾아뵙겠습니다.

감사 합니다.

 

---

* 참조사항

- Rocky 공식 문서  

- KISA 가이드라인 : 주요정보통신기반시설 기술적 취약점 상세가이드

 

 

다른 내용이 궁금하시다면 아래의 카테고리를 참고해주세요

DAINNSYS/다인엔시스/다인엔시스기술지원/스위치/스위치 기술지원비(비용)/스위치 설치비/방화벽/방화벽 기술지원비(비용)/방화벽 설치비/랙/랙(RACK) 기술지원비(비용)/랙(RACK) 설치비/KVM/KVM 기술지원비(비용)/KVM 설치비/스토리지/스토리지 기술지원비(비용)/스토리지 설치비/스토리지 랙마운트비용/스토리지 장애조치비용/서버/서버 기술지원비(비용)/서버 설치비/서버 랙마운트비용/서버 장애조치비용/윈도우서버/윈도우즈 기술지원비(비용)/윈도우즈 설치비/리욱스/Linux/리눅스 기술지원비(비용)/리눅스 설치비/DB/데이터베이스/MySQL 기술지원비(비용)/MySQL 설치비/MSSQL 기술지원비(비용)/MSSQL 설치비/백업 기술지원비(비용)/HPE서버비용/HPE/DL20/DL20GEN10/ML30/ML30GEN10/ML360/ML350GEN10/DL360/DL360Gen10/DL380/DL380Gen10/LENOVO서버/레노보서버/델서버/델서버비용/DELLR540/DELLR750/HP서버/서버엔지니어/서버기술지원/서버디스크장애처리/방화벽/방화벽엔지니어/APC UPS/UPS/UPS설치/UPS기술지원/UPS납품/서버렉마운트/HPE Service Pack for Proliant/HPE SPP/SPP/Intelligent Provisioning/시놀로지나스/나스기술지원/SYNOLOGY/SYNOLOGY나스/시놀로지DS918/시놀로지하이퍼백업/HYPER BACKUP/시놀로지HyperBackup/시놀로지나스백업/서버백업/서버트러블슈팅/리눅스트러블슈팅/보안솔루션/시큐어디스크/인터넷디스크/이스트소프트/알약/카스퍼스키/ESTSOFT/V3/안랩/소포스/SOPHOS/카보나이트/더블테이크/이중화솔루션/HA솔루션/Windows서버설치/왼도우서버설치/윈도우서버2019/윈도우서버2016/MSSQL/MYSQL/디포그랙/DEFOG랙/디포그랙가격/EDFOG랙가격/RMS랙/서버납품/랙납품설치/랙설치/나스설치지원/스토리지납품설치/윈도우서버트러블슈팅/리눅스서버트러블슈팅/HPE서버펌웨어/HP서버펌웨어/HPE서버/FIRMWARE/DELL서버펌웨어/델서버펌웨어업데이트/레노보서버펌웨어/LENOVO펌웨어업데이트/HPE서버드라이버설치/HPE서버구매/DELL서버구매/LENOVO서버구매/보안솔루션구매/이중화솔루션구매/보안솔루션설치/이중화솔루션설치/HPE서버가격비교/DELL서버가격비교/LENOVO서버가격비교/HPE서버가격비교견적/DELL서버가격비교견적/LENOVO서버가격비교견적/HPE서버견적/DELL서버견적/LENOVO서버견적/HPE서버디스크교체/DELL서버디스크교체/LENOVO서버디스크교체/HPE서버RAID컨트롤러/HPE서버RAID컨트롤러/DELL서버RAID컨트롤러/LENOVO서버RAID컨트롤러/HP서버하드디스크/HPE서버하드디스크구매/DELL서버하드디스크구매/LENOVO서버하드디스크구매/HPE서버SAS하드디스크/DELL서버SAS하드디스크/LENONO서버SAS하드디스크/HPE서버메모리/DELL서버메모리/LENOVO서버메모리/HP서버메모리/HPE서버CPU/DELL서버CPU/LENOVO서버CPU/서버CPU/서버메모리/서버MEMORY/ECC메모리/서버용메모리/서버용하드디스크/서버용그래픽카드/쿼드로P400/QUADRO그래픽카드/QUADRO/우분투설치/서버보안/네트워크장비/네트워크스위치/L2스위치/L3스위치/OS설치/서버OS설치/리눅스서버설치/우분투설치/페도라설치/레드헷설치/RHEL설치/워크스테이션/서버/hp워크스테이션/서버컴퓨터/델워크스테이션/hp서버/미니서버랙/중고서버/hpz4/dell워크스테이션/서버pc/hpz4g4/중고워크스테이션/hpz440/레노버p620/서버용컴퓨터/델서버//레노버워크스테이션/hpz420/dell서버/인스퍼/INSPURE/인스퍼서버/R760/R750//R250/R350/R750xs/GPU서버/AI서버/HPPC구매/델서버견적/델워크스테이션견적/A100/A6000/A5000/A4000/A2000/T400/다인월드/DAINWORLD/델서버쇼핑몰