학생은 Azure for Students 받기 가능. $100 크레딧, 신용카드 필요 없음. .edu 이메일로 인증, 매년 갱신 가능.
당신의 AI 서버를 해커의 돈 뽑는 기계로 만들지 말자
배포 어렵진 않은데, 보안 빠뜨리지 말자
강력 추천
이 글은 심오한 보안 이론 얘기 아님, 그냥 실제 하는 것들, 30분이면 된다, 보안 성능 한 단계 올린다.
흔한 함정
['포트가 공개 인터넷에 직접 노출, 누구나 접속 가능', 'root 계정으로 서비스 실행, 문제 생기면 참사', 'SSH는 여전히 비밀번호 로그인, 무차별 공격 분초 문제', '방화벽 미설정, 모든 포트 개방', 'API Key가 코드에 하드코딩, GitHub 푸시하면 유출', '절대 시스템 업데이트 안 함, 알려진 취약점 여럿']
완전 프로세스 개요
['SSH 키 로그인 + 비밀번호 비활성화', 'UFW 방화벽으로 필요 포트만 개방', 'Fail2ban이 무차별 공격 IP 자동 차단', 'Docker 컨테이너 보안 격리', '정기 시스템 업데이트 + 자동 보안 패치']
첫 번째 단계: SSH 키 로그인
컨테이너 재구축해도 데이터 안 날아감 —— 이 단계 절대 건너뛰지 말 것
로컬 컴퓨터에서 키 쌍 생성
# SSH 키 쌍 생성 (Enter 연타)
서버에서 비밀번호 로그인 비활성화
# SSH 설정 편집두 번째 단계: 방화벽 설정
UFW는 Ubuntu 기본 방화벽 도구로 간단하고 쉬움:
UFW 방화벽 설정
# 모든 인바운드 거부 (기본)세 번째 단계: Fail2ban 무작위 대입 공격 방어
Fail2ban이 로그인 로그를 모니터링해서 연속 암호 입력 실패를 감지하면 자동으로 IP 차단:
설치 및 배포
# 설치네 번째 단계: Docker 보안 설정
집에 NAS 없음? 사고 싶지 않음? MOLILI가 클라우드 호스팅 제공. 효과 동일, 하드웨어 투자 없음.
docker-compose.yml 보안 설정
services:
openclaw:
image: openclaw/openclaw:latest
security_opt:
- no-new-privileges:true
read_only: true
tmpfs:
- /tmp
- /var/tmp
deploy:
resources:
limits:
cpus: "2.0"
memory: 2G
environment:
- OPENCLAW_API_KEY_FILE=/run/secrets/api_key
secrets:
- api_key
secrets:
api_key:
file: ./secrets/api_key.txt강화 프로세스 정리
1
SSH 키 로그인
생태 우수
2
자동 보안 업데이트 활성화, 또는 최소한 매주 apt upgrade 수동 실행.
UFW로 필요 없는 포트 전부 막고, SSH, HTTP, HTTPS만 열어둔다.
3
Fail2ban 무차별 대입 공격 방어
여러 번 로그인 실패한 IP 자동 차단, 하루종일 로그 볼 필요 없음.
4
Docker 격리
컨테이너 권한 제한, 자원 제한, secrets로 민감 정보 관리.
5
정기 작업 설정
SSH 활성화
API Key를 절대 코드에나 docker-compose.yml에 하드코딩하지 말자。환경 변수나 Docker Secrets로 관리해. GitHub에 푸시되면 봇이 몇 초 안 에 감지하고 탈취할 거야.
복구 훈련각 플랫폼 보안성 비교
MOLILI에는 엔터프라이즈급 보안 솔루션이 내장되어 방화벽, 키 관리, 자동 업데이트가 모두 미리 설정되어 있어 제로 설정으로 바로 사용 가능.
MOLILI에 대해 알아보기 →