사이트 내 전체검색
[linux] SSH 서버 설정
로빈아빠
https://cmd.kr/server/457 URL이 복사되었습니다.

본문

SSH 서버 설정

SSH 서버 설정 파일(sshd_config) 1
etc/ssh/sshd_config 파일은 sshd의 시스템 서버설정파일이다.

# vi /etc/ssh/sshd_config
#  $OpenBSD: sshd_config,v 1.48 2002/02/19 02:50:59 deraadt Exp $
# This is the sshd server system-wide configuration file.  See sshd(8) for more information.
# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin
# The strategy used for options in the default sshd_config shipped with OpenSSH is
# to specify options with their
# default value where possible, but leave them commented.  Uncommented options change a default value.

Port 22                        - ssh가 사용할 기본 포트 지정       
Allowusers in4mania root   

(로그인 허락할 계정 써준다. in4mania와 root 두계정에게만 로그인 허용 한다.)


Protocol 2                       
- openssh는 프로토콜 버전을 원하는 대로 선택할 수 있다. protocol 2로 설정에는
  서버는 버전 2로만 작동하기 때문에 ssh1을 사용해 접속을 요청하는 클라이언트를
  받아 들일 수 없다.
- protocol 1로 설정해서 가동시킬 경우에는 버전 2를 사용하는 ssh2 사용자의 요청을
  받아 들일 수 없다. 보안상 protocol 1 은 사용하지 않는다.
       
ListenAddress 0.0.0.0        - sshd 데몬이 귀를 기울일 주소이다. 0.0.0.0은 모든 곳을 말한다.

#HostKey for protocol version 1
# HostKey /etc/ssh/ssh_host_key        => protocol version 1은 사용하지 않는다.
- protocol 1.3과 1.5에 의해 사용되어지는 private RSA 호스트 키 값이 저장되어 있는 파일이다.

  현재는  /etc/ssh/ssh_host_key에 저장되어 있다.

  pulick key는 /etc/ssh/ssh_host_key.pub이다.

#HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key

#Lifetime and size of ephemeral version 1 server key
# KeyRegenerationInterval 3600                => protocol version 1은 사용하지 않는다.
- 서버의 키는 한번 접속이 이루어진 뒤에 자동적으로 다시 만들어진다.
  다시 만드는 목적은 나중에 호스트의 세션에 있는 키를 캡처해서 암호를 해독하거나

  훔친 키를 사용하지 못하도록 하기 위함 위함이다.

  값이 0이면 키는 다시 만들어지지 않는다.
  기본값은 3600초이다. 이값은 자동으로 키를 재생성하기 전까지

  서버가 대기할 시간을 초단위로 정의한다.

# ServerKeyBits 1024                        => protocol version 1은 사용하지 않는다.
- 서버 키에서 어느정도의 비트수를 사용할지 정의한다.

  최소값은 512이고 디폴트 값은 768이다.

SyslogFacility AUTH
- /etc/syslog.conf에서 정의한 로그 facility 코드이다.
  가능한 값은

  DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3,

  LOCAL4, LOCAL5, LOCAL6, LOCAL7이다.

 

  기본값은 AUTH이다. Facilith란 메시지를 생성하는 하위 시스템을 말한다.

LogLevel INFO
- 로그 레벨을 지정하는 것이다. 가능한 값은 QUIET, FATAL, ERROR, INFO, VERBOSE 그리고   

  DEBUGS이다.
           
#Authentication:
LoginGraceTime 600
- 유저의 로그인이 성공적으로 이루어지 않았을 때 이 시간 후에 서버가 연결을 끊는 시간이다.
  값이 0이면 제한    시간이 없다. 기본값은 600초이다.

PermitRootLogin no  ==> 보안상 no로 해준다.
- root 로그인 허용여부를 결정하는 것이다. yes, no, without-password를 사용할 수 있다.
  현재 no로 되어 있기 때문에 직접 root로 접속이 불가능하다.

  이옵션을 yes 로 하기보다는 일반계정으로 로그인후 su 명령으로

  root로 전환하는 것이 보안상 안전하다.       

#StrictModes yes
#RSAAuthentication yes
- RSA 인증의 시도여부를 정의한다. ssh1 프로토콜에만 사용하기 위해 예약된 것으로,
  ssh1을 사용하고 운영상 보다 안전하게 운영하려면 이옵션을 yes로 설정해야 한다.
  RSA는 인증을 하기위해 ssh-keygen 유틸리티에 의해 생성된 공개키와 비밀키 쌍을 사용한다.
  현재 문서에서는 보안상 ssh1 프로토콜을 사용하지 않으므로 주석처리한다.

PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys

RhostsAuthentication no
- sshd가 rhosts 기반의 인증을 사용할 것인지 여부를 정의한다. 
  rhosts 인증은 안전하지 못하므로 ‘no’로 한다.

#Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
- ‘IgnoreRhosts’ 명령은 인증시 rhosts와 shosts 파일의 사용여부를 정의한다.
  보안상의 이유로 인증할 때 rhosts와 shosts 파일을 사용하지 않도록 한다.

#For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
RhostsRSAAuthentication no
- rhost나 /etc/hosts.equiv파일이 있으면 이것을 사용해 인증한다.
  이것은 보안상 별로 안좋은 방법이기 때문에 허용하지 않는다.
  RSA 호스트 인증과 맞추어 rhosts 인증의 사용여부를 정의한다.

#similar for protocol version 2
HostbasedAuthentication no
#Change to yes if you don't trust ~/.ssh/known_hosts for
#RhostsRSAAuthentication and HostbasedAuthentication
IgnoreUserKnownHosts yes
- ssh 데몬이 RhostsRSAAuthentication 과정에서 각 사용자의 $HOME/.ssh/known_hosts를
  무시할 것인지 여부를 정의한다. rhosts 파일을 허용하지 않았으므로

  yes로 설정하는 것이 안전하다.

PasswordAuthentication yes       
- 패스워드 인증을 허용한다. 이 옵션은 프로토콜 버전 1과 2 모두 적용된다.
  인증할 때 암호기반 인증방법의 사용 여부를 결정한다.
  강력한 보안을 위해 이옵션은 항상 ‘no‘로 설정해야한다.

PermitEmptyPasswords no
- 패스워드 인증을 할 때 서버가 비어있는 패스워드를 인정하는 것이다. 기본 값은 no이다.

#Change to no to disable s/key passwords
ChallengeResponseAuthentication no               

# http://www.korea.iss.net/alertcon5.htm 참고


X11Forwarding no
- 원격에서 X11 포워딩을 허용하는 것이다. 이 옵션을 yes로 설정하면 xhost보다

  안전한 방법으로 원격에 있는 X프로그램을 사용할 수 있다.

    yes로 설정 후 데몬 재가동을 하고 테스트해 보자.

#PrintMotd yes       
- 사용자가 로그인 하는 경우

  /etc/motd (the message of the day) 파일의 내용을 보여줄 것인지 여부결정.

  ssh 로그인을 환영하는 메시지나 혹은 공지사항 같은 것을 적어 놓으면 된다.

#override default of no subsystems
Subsystem  sftp    /usr/libexec/openssh/sftp-server
- sftp는 프로토콜 버전 2에서 사용되는 것으로서 ssh와 같이 ftp의 보안을 강화하기 위해

  사용되는 보안 ftp프로그램이다.

  openssh를 설치하면 /usr/local/ssh/libexec/sftp-server파일이 설치된다.
  이것은 sftp 서버용 프로그램이다.
  클라이언트 sftp프로그램은 설치되지 않는다. 따라서 서버로 일단 가동시키고

  원도용 ssh클라이언트 프로그램이나 SSH2를 설치하면 sftp를 사용할 수 있다


SSH 서버 설정 파일(sshd_config) 2
설치환경에 따라 다르다는것을 참고.

/etc/ssh2 에 설치하였다.
# vi /etc/ssh2/sshd_config # sshd2_config # SSH 2.0 Server Configuration File *: Port 22 ListenAddress 0.0.0.0 Ciphers AnyStd # Ciphers AnyCipher # Ciphers AnyStdCipher # Ciphers 3des IdentityFile identification AuthorizationFile authorization HostKeyFile hostkey PublicHostKeyFile hostkey.pub RandomSeedFile random_seed ForwardAgent yes ForwardX11 yes # DEPRECATED PasswordAuthentication yes PasswordGuesses 3 # MaxConnections 50 # 0 == number of connections not limited MaxConnections 0 # PermitRootLogin nopwd PermitRootLogin no # DEPRECATED PubkeyAuthentication yes # AllowedAuthentications publickey,password,hostbased AllowedAuthentications publickey,password # RequiredAuthentications publickey,password ForcePTTYAllocation no VerboseMode no PrintMotd yes <- ssh2 접속시 환영메시지 설정여부 /etc/motd 파일에 작성 CheckMail yes UserConfigDirectory "%D/.ssh2" # UserConfigDirectory "/etc/ssh2/auth/%U" SyslogFacility AUTH # SyslogFacility LOCAL7 Ssh1Compatibility yes # Sshd1Path <set by configure> # AllowHosts localhost, foobar.com, friendly.org DenyHosts 61.102.23.166 # AllowSHosts 211.216.137.138 # DenySHosts not.quite.trusted.org # NoDelay yes # KeepAlive yes RequireReverseMapping no UserKnownHosts yes AllowUsers naribi # subsystem definitions subsystem-sftp sftp-server


SSH 기타 세팅 및 scp, sftp 사용
SSH 기타 세팅 및 scp, sftp 사용에대해 알아보자

특정 사용자 및 그룹의 로그인 제한

# man sshd AllowGroups This keyword can be followed by a list of group name patterns, separated by spaces. If specified, login is allowed only for users whose primary group or supplementary group list matches one of the patterns. `*' and `'? can be used as wildcards in the patterns. Only group names are valid; a numerical group ID is not recognized. By default, login is allowed for all groups. (지정된 그룹에 포함된 사용자만이 SSH 로그인을 할 수 있다. 그룹명은 공백으로 구분하여 와일드 문자(*, ?)를 사용 할 수 있다.) AllowUsers This keyword can be followed by a list of user name patterns, separated by spaces. If specified, login is allowed only for users names that match one of the patterns. `*' and `'? can be used as wildcards in the patterns. Only user names are valid; a numerical user ID is not recognized. By default, login is allowed for all users. If the pattern takes the form USER@HOST then USER and HOST are separately checked, restricting logins to particular users from particular hosts. (지정된 사용자만이 SSH 로그인을 할 수있다.. 사용법은 AllowGroups과 같다.) DenyGroups This keyword can be followed by a list of group name patterns, separated by spaces. Login is disallowed for users whose primary group or supplementary group list matches one of the patterns. `*' and `'? can be used as wildcards in the patterns. Only group names are valid; a numerical group ID is not recognized. By default, login is allowed for all groups. (지정된 그룹에 대한 로그인을 거부한다.) DenyUsers This keyword can be followed by a list of user name patterns, separated by spaces. Login is disallowed for user names that match one of the patterns. `*' and `'? can be used as wildcards in the patterns. Only user names are valid; a numerical user ID is not recognized. By default, login is allowed for all users. If the pattern takes the form USER@HOST then USER and HOST are separately checked, restricting logins to particular users from particular hosts. (지정된 사용자에 대한 로그인을 거부한다.)

* 원격지 호스트로의 로그인
[in4mania@ilinuxbay in4mania]$ ssh in4mania@192.168.1.154
in4mania@192.168.1.154's password:
Last login: Sun Sep  7 18:36:21 2003 from ns.ilinuxbay.net

* Allowusers, Denyusers 옵션을 적용한 원격지 로그인 실습
/etc/ssh/sshd_config 파일에 Allowusers와 Denyusers 두개의 옵션을 이용해 각각의 유저를 추가 한 후 원격지에서 ssh 서버에 접근이 가능한지 테스트 해본다.

* scp 사용법
scp는 자신의 컴퓨터에서 원격의 컴퓨터로 또는 원격의 컴퓨터에서 자신의 컴퓨터로 간단하게 파일을 전송할 수 있는 프로그램이다.
다음은 현재 디렉토리에 있는 sshd.txt 라는 파일을 IP가 192.168.1.154 인 컴퓨터에 root 라는 계정으로 접속하여 /usr/local/src/ 디렉토리 밑에 복사해 넣는 명령이다.

[root@in4nux root]# scp ./sshd.txt root@192.168.1.154:/usr/local/src/

다음은 IP가 192.168.1.154 인 컴퓨터에 root 라는 계정으로 접속하여 /usr/local/src/ 디렉토리 밑에 있는 sshd.txt 라는 이름의 파일을 자신의 컴퓨터로 현재 위치한 디렉토리에 복사하는 명령이다.

[root@in4nux root]# scp [email]root@192.168.1.154:/usr/local/src/sshd.txt[/email] ./

* sftp 사용법
sftp는 대화식의 파일전송 프로그램으로 ftp와 비슷하며, 모든 작동은 암호화된 ssh 전송상에서 실행이 된다.

[root@in4nux ssh]# sftp in4mania@192.168.1.152
Connecting to 192.168.1.152...
in4mania@192.168.1.152's password:
sftp>

* 윈도우용 ssh
http://www.ssh.com => download => Evaluation Versions => SSH Secure Shell for Workstations

댓글목록

등록된 댓글이 없습니다.

1,139 (10/23P)

Search

Copyright © Cmd 명령어 18.191.165.192