Linux (CentOS) 에서 계정별로 인터넷 접근을 불가하게 하고 내부망만 가능하게 할 수 있나요 ?

강좌게시판 more

쓰기

Linux (CentOS) 에서 계정별로 인터넷 접근을 불가하게 하고 내부망만 가능하게 할 수 있나요 ?

민사장

2023-02

2023-02-20 00:11:01

조회 1924 추천 0

(1) Linux (CentOS) 에서 계정별로 인터넷 접근을 불가하게 하고 내부망만 가능하게 할 수 있나요 ?

지금 CentOS 보안 업데이트 등의 이유 때문에 Root 계정은 인터넷 접근을 해야 하는데요

일반 유저들은 유저별로 인터넷 접근이 안되게 통제할 수 있는지 궁금합니다. 내부망 (192.168.1.*) 만 접근할 수 있게요.

즉, 폐쇄망을 구성하고 싶은 것입니다.

(2) 그게 아니라면, 192.168.1.1 게이트웨이에서 인터넷 공유를 끊어 버리면 가장 심플한데, 문제는 OS 보안 업데이트만 가능하게 설정할 수 있나요 ? 실제 기업들은 이 문제를 어떻게 해결하고 있는건지 궁금합니다.

가능한 (1) 질문과 (2) 질문에 모두 답변을 들었으면 좋겠네요...

보안 업데이트가 가능한 폐쇄망을 구성하고 싶어요.

짧은글 일수록 신중하게.



김강호 2023-02 폐쇄망을 구축하시면 일정부분의 불편함은 따를 수 밖에 없습니다. 인터넷망과 폐쇄망 사이에 Repo 미러 서버를 하나 두시면 됩니다만, 망분리 특성상 외부와의 접점을 최소화하는 것이 좋으므로 rpm 파일을 수동으로 반입하는 것을 권장드립니다. 폐쇄망을 구축하시면 일정부분의 불편함은 따를 수 밖에 없습니다. 인터넷망과 폐쇄망 사이에 Repo 미러 서버를 하나 두시면 됩니다만, 망분리 특성상 외부와의 접점을 최소화하는 것이 좋으므로 rpm 파일을 수동으로 반입하는 것을 권장드립니다.



민사장 2023-02 관리자는 저 혼자인데 서버가 수십대라서요... ESXi 환경에서 게스트가 수십대입니다. 지금 업데이트는 주기적으로 security 업데이트만 자동으로 하게 걸려있습니다. 그런데 일반 계정의 인터넷 접근은 막고 싶은거죠. RPM 으로 주기적으로 수동으로 하기에는 그건 월급을 받고 회사에서나 할수 있는 일이지 개인이 그렇게 하긴 힘들거든요 관리자는 저 혼자인데 서버가 수십대라서요... ESXi 환경에서 게스트가 수십대입니다. 지금 업데이트는 주기적으로 security 업데이트만 자동으로 하게 걸려있습니다. 그런데 일반 계정의 인터넷 접근은 막고 싶은거죠. RPM 으로 주기적으로 수동으로 하기에는 그건 월급을 받고 회사에서나 할수 있는 일이지 개인이 그렇게 하긴 힘들거든요



김강호 2023-02 어쩔 수 없습니다. 회사도 VM 수천개 돌리면서 관리는 열명 될까말까 한 경우가 많거든요. 어쩔 수 없습니다. 회사도 VM 수천개 돌리면서 관리는 열명 될까말까 한 경우가 많거든요.



민사장 2023-02 네 rpm 을 일일히 손으로 까는 방법은 저도 알고 있는데요, 그렇게 하지 않는, 보안을 가지는 최선의 효율적인 관리방법이 이 글의 질문입니다... 네 rpm 을 일일히 손으로 까는 방법은 저도 알고 있는데요, 그렇게 하지 않는, 보안을 가지는 최선의 효율적인 관리방법이 이 글의 질문입니다...



김강호 2023-02 보안은 욕심 많이 부리면 망가지기 십상입니다.. 덕지덕지 붙여서 해결하려고 하면 나중에 다 돌아옵니다. 보안은 욕심 많이 부리면 망가지기 십상입니다.. 덕지덕지 붙여서 해결하려고 하면 나중에 다 돌아옵니다.



술이 2023-02 방화벽으로 아웃바운드 정책 쓰면 되죠. 리눅스에서 꼭 접근해야되는 사이트와 IP만 열어주면 됩니다. 이런건 OS에서 제한하는것보단 앞단에서 방화벽을 사용하는게 관리적으로 편합니다. 방화벽으로 아웃바운드 정책 쓰면 되죠. 리눅스에서 꼭 접근해야되는 사이트와 IP만 열어주면 됩니다. 이런건 OS에서 제한하는것보단 앞단에서 방화벽을 사용하는게 관리적으로 편합니다.



민사장 2023-02 (1) 방화벽 아웃바운드 정책으로 CentOS 업데이트 Repo URL 들만 허용하라는 말씀이시죠? (2) 그럼 궁금한게 가령 의존성이 필요할수도 있는데 CentOS Repo 외에 밖으로 허용해야 할 URL 이 생기기도 하지 않나요? 이부분은 제가 잘 몰라서... (1) 방화벽 아웃바운드 정책으로 CentOS 업데이트 Repo URL 들만 허용하라는 말씀이시죠? (2) 그럼 궁금한게 가령 의존성이 필요할수도 있는데 CentOS Repo 외에 밖으로 허용해야 할 URL 이 생기기도 하지 않나요? 이부분은 제가 잘 몰라서...



송주환 2023-02 지금까지 올리신 질문들을 취합하여 컨설팅을 받으시는 편이 좋지 않을까 싶습니다. 사후 지원 측면에서도 그렇구요. 지금까지 올리신 질문들을 취합하여 컨설팅을 받으시는 편이 좋지 않을까 싶습니다. 사후 지원 측면에서도 그렇구요.



민사장 2023-02 돈이 벌리는 시스템을 관리하는게 아니라, 컨설팅 비용을 쓰면서까지 할수는 없는 상황입니다. 회사라면 당장 그렇게 했죠.. 돈이 벌리는 시스템을 관리하는게 아니라, 컨설팅 비용을 쓰면서까지 할수는 없는 상황입니다. 회사라면 당장 그렇게 했죠..



dateno1 2023-02 보통은 자체 패키지 업데이트 서버를 둡니다 보통은 자체 패키지 업데이트 서버를 둡니다



민사장 2023-02 이 방법을 혼자 구축해 보려면 구글에 뭐라고 치면 될까요 ? 이 방법을 혼자 구축해 보려면 구글에 뭐라고 치면 될까요 ?



나로와 2023-02 이게 답일텐데요 근데 관리자가 한분이시라니 구축이 가능할까요? 이게 답일텐데요 근데 관리자가 한분이시라니 구축이 가능할까요?



민사장 2023-02 힌트 주신것을 바탕으로 조금 찾아봤는데 https://sky-h-kim.tistory.com/3 이런것 말씀하시는 걸까요 ? 힌트 주신것을 바탕으로 조금 찾아봤는데 https://sky-h-kim.tistory.com/3 이런것 말씀하시는 걸까요 ?



dateno1 2023-02 대략 그런걸 애기하는겁니다 단점은 관리자가 수시로 갱신분을 다시 교체해놔야 합니다 (대신 커널이나 라이브러리등을 관리자가 원하는 버전이나 원하는 커스텀 버전으로 올려두고 그걸 쓰게 할 수 있습니다) 이외에 클라가 많으면 일일히 저장소 설정 변경하는것도 귀찮습니다 (스크립트로 자동화는 되지만....귀찮은건 변함 없음) 그리고 인터넷 막을려면 NTP같은것도 같이 돌려놔야 합니다 대략 그런걸 애기하는겁니다 단점은 관리자가 수시로 갱신분을 다시 교체해놔야 합니다 (대신 커널이나 라이브러리등을 관리자가 원하는 버전이나 원하는 커스텀 버전으로 올려두고 그걸 쓰게 할 수 있습니다) 이외에 클라가 많으면 일일히 저장소 설정 변경하는것도 귀찮습니다 (스크립트로 자동화는 되지만....귀찮은건 변함 없음) 그리고 인터넷 막을려면 NTP같은것도 같이 돌려놔야 합니다



민사장 2023-02 NTP 팁 고맙습니다 NTP 팁 고맙습니다



엠브리오 2023-02 어렵게 생각하면 답이 없습니다. Root로 접근했을때만 공유기에 인터넷 랜케이블을 꼽아서 사용하고 평소엔 빼놓으면 됩니다. 어렵게 생각하면 답이 없습니다. Root로 접근했을때만 공유기에 인터넷 랜케이블을 꼽아서 사용하고 평소엔 빼놓으면 됩니다.



민사장 2023-02 지금은 저혼자 밖에 없지만, 이 시스템을 그대로 사람들과 공동작업을 하려고 하기 때문에 이것이 필요한 것입니다. 공동 작업시에 외부로 소스코드가 유출된다던가 하면 안되거든요. 제가 왜 이것이 필요한지 설명하려면 엄청나게 긴 설명이 필요해서 이런 설명이 불필요하기도 하고... 지금은 저혼자 밖에 없지만, 이 시스템을 그대로 사람들과 공동작업을 하려고 하기 때문에 이것이 필요한 것입니다. 공동 작업시에 외부로 소스코드가 유출된다던가 하면 안되거든요. 제가 왜 이것이 필요한지 설명하려면 엄청나게 긴 설명이 필요해서 이런 설명이 불필요하기도 하고...



박문형 2023-02 +100 네트워크에서 어찌 보면 가장 강력한 방화벽은 랜선을 뽑는 것입니다.. 물리적으로 끊어 버리는 것이죠.. 물론 불편하고 귀찮을 수는 있습니다.. +100 네트워크에서 어찌 보면 가장 강력한 방화벽은 랜선을 뽑는 것입니다.. 물리적으로 끊어 버리는 것이죠.. 물론 불편하고 귀찮을 수는 있습니다..



민사장 2023-02 사람들과 공동 작업하게 될때 일일히 물어보며 랜선을 뺐다꼇다 할수는 없거든요.. 수익이 없다 뿐이지, 보안은 필요한데, 거기에 과도한 관리시간을 투여하고 싶지는 않은 것입니다. 그냥 일반적인 기업들이 관리하는 방식으로 구현하고 싶은데, 일일히 rpm 을 손으로 깐다던지 하지 않는 최선의 방법을 찾고 있습니다. 사람들과 공동 작업하게 될때 일일히 물어보며 랜선을 뺐다꼇다 할수는 없거든요.. 수익이 없다 뿐이지, 보안은 필요한데, 거기에 과도한 관리시간을 투여하고 싶지는 않은 것입니다. 그냥 일반적인 기업들이 관리하는 방식으로 구현하고 싶은데, 일일히 rpm 을 손으로 깐다던지 하지 않는 최선의 방법을 찾고 있습니다.



Noname1 2023-02 netfilter써서 /sbin/iptables -A OUTPUT --match owner ! --uid-owner 0 -d 192.168.1.0/24 -j ACCEPT /sbin/iptables -A OUTPUT --match owner ! --uid-owner 0 -j REJECT 이런식으로 하면 될것같은데 저 match owner 확장이 불안정함니다. 시스템 필수 대몬 ntpd 같은것들도 루트권한으로 돌진 않을테니까 좀 복잡하~지 않을까요? netfilter써서 /sbin/iptables -A OUTPUT --match owner ! --uid-owner 0 -d 192.168.1.0/24 -j ACCEPT /sbin/iptables -A OUTPUT --match owner ! --uid-owner 0 -j REJECT 이런식으로 하면 될것같은데 저 match owner 확장이 불안정함니다. 시스템 필수 대몬 ntpd 같은것들도 루트권한으로 돌진 않을테니까 좀 복잡하~지 않을까요?



dateno1 2023-02 그런게 다 root로 돌아가면 보안이 0점이죠 그런 사소한(?)것들 하나 털린다고 시스템 전체 권한을 뻇길 가능성이 있으니까요 그런게 다 root로 돌아가면 보안이 0점이죠 그런 사소한(?)것들 하나 털린다고 시스템 전체 권한을 뻇길 가능성이 있으니까요



분노의다운힐 2023-02 조금 귀찮을 수는 있는데.. 저라면 커널에서 socket syscall의 초반에 UID가 0(root)인지 검사해서 0이 아니면 -EPERM을 리턴하는 두 줄을 넣을 것 같습니다. 이 커널을 빌드해서 설치한 후에, 업데이트를 할 때 커널 업데이트만 주의하면 되겠죠. 조금 귀찮을 수는 있는데.. 저라면 커널에서 socket syscall의 초반에 UID가 0(root)인지 검사해서 0이 아니면 -EPERM을 리턴하는 두 줄을 넣을 것 같습니다. 이 커널을 빌드해서 설치한 후에, 업데이트를 할 때 커널 업데이트만 주의하면 되겠죠.



송주환 2023-02 내부망 접근도 같이 막힐 것이고, UNIX Socket도 같이 막힐 텐데요. 차라리 BPF로 경계조건을 잘 짜넣는게 나을 것 같습니다. + 시스템에 필요한 모든 서비스와 관련 계정을 생성한 뒤, 마지막 UID를 넘는 경우 블럭시켜도 좋을 것 같네요. 내부망 접근도 같이 막힐 것이고, UNIX Socket도 같이 막힐 텐데요. 차라리 BPF로 경계조건을 잘 짜넣는게 나을 것 같습니다. + 시스템에 필요한 모든 서비스와 관련 계정을 생성한 뒤, 마지막 UID를 넘는 경우 블럭시켜도 좋을 것 같네요.



dateno1 2023-02 시스템에 돌아가는 모든 서비스가 root로 돌아가게 일일히 수정 다 할게 아닌 이상 시스템 작동자체가 문제됩니다 만일 죄다 해당 권한으로 돌아간다면 보안이 문제되겠죠 (애초에 SELinux같은것 다 수정하던지 꺼야 돌아갈꺼고, 하나 털리면 다 털리는걸 볼 수 있겠네요) 시스템에 돌아가는 모든 서비스가 root로 돌아가게 일일히 수정 다 할게 아닌 이상 시스템 작동자체가 문제됩니다 만일 죄다 해당 권한으로 돌아간다면 보안이 문제되겠죠 (애초에 SELinux같은것 다 수정하던지 꺼야 돌아갈꺼고, 하나 털리면 다 털리는걸 볼 수 있겠네요)



분노의다운힐 2023-02 아 내부망은 가능해야 하는군요. 글을 제대로 읽지도 않고.. ㅋ 아 내부망은 가능해야 하는군요. 글을 제대로 읽지도 않고.. ㅋ



흥마 2023-02 방화벽이 없으시면, Proxy Server을 서버를 설정 하는 방법은 어떨까요? 1) 서버들은 모두 외부 인터넷 안 되는 Isolation으로 구성. 2) Isolation 된 서버들을 인터넷 및 Repository를 내부 Proxy Server로 연결 설정. 3) 내부 Proxy Server에서 OS Outbound 방화벽 설정을 함. (개인적으로 Proxy Server는 pfSense와 같은 방화벽 솔루션 사용 하는 것을 권장) 방화벽이 없으시면, Proxy Server을 서버를 설정 하는 방법은 어떨까요? 1) 서버들은 모두 외부 인터넷 안 되는 Isolation으로 구성. 2) Isolation 된 서버들을 인터넷 및 Repository를 내부 Proxy Server로 연결 설정. 3) 내부 Proxy Server에서 OS Outbound 방화벽 설정을 함. (개인적으로 Proxy Server는 pfSense와 같은 방화벽 솔루션 사용 하는 것을 권장)



민사장 2023-02 모두 고맙습니다. 업데이트 레파티토리 서버를 별도로 생성했고, 192.168.?.* 망에 따라 인터넷 망, 폐쇄 망 구분되게 망을 분리했습니다. 게이트웨이 서버를 2대 추가해서 기간계 폐쇄망, 인터넷 가능망, 사용자 폐쇄망 이런 정도로 분리했습니다. 모두 가상화된 서버들이라 작업은 수월했습니다. 모두 고맙습니다. 업데이트 레파티토리 서버를 별도로 생성했고, 192.168.?.* 망에 따라 인터넷 망, 폐쇄 망 구분되게 망을 분리했습니다. 게이트웨이 서버를 2대 추가해서 기간계 폐쇄망, 인터넷 가능망, 사용자 폐쇄망 이런 정도로 분리했습니다. 모두 가상화된 서버들이라 작업은 수월했습니다.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

430/5678

번호	제목Page 430/5678	글쓴이	날짜	조회	추천
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1477549	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1477549 1 백메가
	[필독] 처음 오시는 분을 위한 안내 (726)	정은준1	2014-05	4940676	0
[필독] 처음 오시는 분을 위한 안내 (726) 2014-05 4940676 1 정은준1
104972	2CPU중 한개 제거 (4)	잔비	2022-11	1866	0
2CPU중 한개 제거 (4) 2022-11 1866 1 잔비
104971	선배님들 모니터 연결 도와 주세요~ 제발요 (6)	다큐멘터리	2022-08	1866	0
선배님들 모니터 연결 도와 주세요~ 제발요 (6) 2022-08 1866 1 다큐멘터리
104970	I/O 쉴드가 별도로 제작되는것과 메인보드에 기본 장착된것이 EMI 쉴드에 차이가 있… (3)	겨울나무	2023-02	1866	0
I/O 쉴드가 별도로 제작되는것과 메인보드… (3) 2023-02 1866 1 겨울나무
104969	시놀로지 볼륨 질문드립니다 (2)	전진	2021-08	1866	0
시놀로지 볼륨 질문드립니다 (2) 2021-08 1866 1 전진
104968	AI로 월리 찾기 (4)	epowergate	2023-06	1867	0
AI로 월리 찾기 (4) 2023-06 1867 1 epowergate
104967	비컴) 타인이 무단으로 제 땅으로 수익을 냈다면 무슨 죄에 해당할까요 (12)	수필처럼	2022-12	1867	0
비컴) 타인이 무단으로 제 땅으로 수익을 … (12) 2022-12 1867 1 수필처럼
104966	안녕하세요. pc 문제가 있어 문의 드립니다. ㅠㅠ (3)	부웅빠방	2020-01	1867	0
안녕하세요. pc 문제가 있어 문의 드립니… (3) 2020-01 1867 1 부웅빠방
104965	Intel Optane DDR4-2666 DCPMM Memory 사용 경험을 문의 드립니다. (7)	죠슈아	2023-06	1867	0
Intel Optane DDR4-2666 DCPMM Memory 사… (7) 2023-06 1867 1 죠슈아
104964	IC 제품명, 데이터시트나 호환되는 파트의 정보를 찾고 있습니다. (5)	안형곤	2023-04	1867	0
IC 제품명, 데이터시트나 호환되는 파트의… (5) 2023-04 1867 1 안형곤
104963	물건찾다가 봤는데 (6)	anti2cpu	2021-10	1867	0
물건찾다가 봤는데 (6) 2021-10 1867 1 anti2cpu
104962	다나와하고 3r하고 무슨 일 있었나요 (5)	이매망량2	2023-05	1867	0
다나와하고 3r하고 무슨 일 있었나요 (5) 2023-05 1867 1 이매망량2
104961	3970x 랜더링용으로 좋을까요?ㅇ (6)	마아비아아	2023-07	1867	0
3970x 랜더링용으로 좋을까요?ㅇ (6) 2023-07 1867 1 마아비아아
104960	10Gbe 네트웤카드 관련 문의드립니다.(PCIe 배속 관련) (12)	치킨타올	2021-12	1867	0
10Gbe 네트웤카드 관련 문의드립니다.(PC… (12) 2021-12 1867 1 치킨타올
104959	powershell smbshare module	PINGFAIL	2021-09	1867	0
powershell smbshare module 2021-09 1867 1 PINGFAIL
104958	서비스 실행 스크립트 예제좀 부탁드립니다. (MariaDB)	구십평	2020-05	1867	0
서비스 실행 스크립트 예제좀 부탁드립니… 2020-05 1867 1 구십평
104957	낙뢰 피해 예방 방법 (17)	이희주	2023-06	1867	0
낙뢰 피해 예방 방법 (17) 2023-06 1867 1 이희주
104956	가정에서 그냥 저냥 돌릴만한 델 서버는 어떤게 있을까요 (7)	Elusive4245	2022-07	1867	0
가정에서 그냥 저냥 돌릴만한 델 서버는 … (7) 2022-07 1867 1 Elusive4245
104955	피벗모니터를 세로로 할 경우 티비도 같이 세로로 바뀌는데 (6)	LINKINPARK	2022-04	1867	0
피벗모니터를 세로로 할 경우 티비도 같이… (6) 2022-04 1867 1 LINKINPARK
104954	간단한 스위칭 허브 질문... (9)	멍따쌥	2021-09	1868	0
간단한 스위칭 허브 질문... (9) 2021-09 1868 1 멍따쌥
104953	슈마 DVD 사이즈 2.5" 핫스왑 트레이 모델 질문 (6)	Larry	2023-04	1868	0
슈마 DVD 사이즈 2.5" 핫스왑 트레이… (6) 2023-04 1868 1 Larry