OS Baseline Short Runbook

이 문서를 볼 때

• Rocky Linux 설치 직후 공통 운영 기준을 적용할 때
• 서비스 설치 전 OS baseline을 점검할 때
• SSH, SELinux, firewalld, Fail2ban, journald, mount hardening을 확인할 때

먼저 필요한 입력값

• 운영자 계정명
• SSH 포트
• SSH 노출 형태: internal 또는 public
• SSH 허용 CIDR
• 운영자 공개키
• /tmp, /var/tmp, /home, /var mount 구조
• 서버가 gateway/reverse proxy 역할을 하는지 여부

작업 순서

1. OS bootstrap 실행 가능 여부 확인
2. 운영자 계정과 SSH 정책 결정
3. SELinux Enforcing 유지 확인
4. firewalld 기본 정책 적용
5. Fail2ban 적용 여부 판단
6. journald 용량 정책 적용
7. sysctl, cron.allow, core dump 제한 확인
8. mount hardening은 디스크 구조 확인 후 수동 적용
9. gateway egress 통제가 필요한 경우 nftables 문서 확인

중단 조건

• SSH 변경 후 재접속 가능한 별도 세션이나 콘솔이 없음
• PROFILE=public인데 운영자 공개키가 없음
• SSH 허용 CIDR이 확정되지 않았는데 외부 노출 서버임
• /home을 작업 경로로 쓰는지 결정되지 않았는데 noexec 적용을 요청
• mount/fstab 대상 디바이스가 확정되지 않음

검증 명령

systemctl is-active sshd firewalld fail2ban
systemctl is-enabled dnf-automatic.timer
getenforce
firewall-cmd --list-all
journalctl --disk-usage
sysctl kernel.kptr_restrict fs.suid_dumpable
cat /etc/cron.allow
findmnt

상세 문서

• OS Bootstrap Runbook
• Rocky Linux 초기 설치 및 운영 기본 정책
• 사용자 생성
• 사용자 및 SSH 설정
• SSH 공개키
• SELinux Port
• Firewalld
• Fail2ban
• SSH Hardening
• System Hardening
• /var 하위 표준 디렉토리
• Main Gateway 보안 운영
• journald 로그 정책
• nftables Gateway Egress 통제
• nftables 자동 로드