SSH 인증 방식

728x90

📌INDEX

SSH 파일
패스워드 기반 SSH 인증
키 기반 SSH 인증
SSH 키 생성
SSH 키 미리받기
서버에 키 등록
SSH 접속

✔️ SSH 파일

/etc/ssh/<Key_Pair>

서버의 키 쌍 : public키, private키

/etc/ssh/ssh_config

ssh 서비스 설정파일(클라이언트)

/etc/ssh/sshd_config

sshd 서비스 설정파일(서버)
패스워드 인증방식 비활성화가 default

PasswordAuthentication no

키 기반 인증방식은 활성화가 default

GSSAPIAuthentication yes

~/.ssh/<Key_Pair>

Client(계정)의 키 쌍

~/.ssh/known_hosts

접속했던 호스트를 기록(핑거프린트)
한번 기록되고 나면 이후 접속할 때 물어보지 않음
계정을 바꿔서 접속하면 다시 물어봄 -> 홈 디렉토리가 바뀌기 때문

~/.ssh/authorized_keys

상대방의 공개키를 저장

~/.ssh/config

ssh 로그인 시 옵션을 사전 세팅
등록해놓으면 window에서 ssh 명령을 통해 매우 간편하게 접속
예시

Host controller
    HostName 192.168.100.10
    User vagrant
    IdentityFile C:\Users\Playdata\vagrant\ansible\.vagrant\machines\controller\virtualbox\private_key

Host node1
    HostName 192.168.100.11
    User vagrant
    IdentityFile C:\Users\Playdata\vagrant\ansible\.vagrant\machines\node1\virtualbox\private_key

Host node2
    HostName 192.168.100.12
    User vagrant
    IdentityFile C:\Users\Playdata\vagrant\ansible\.vagrant\machines\node2\virtualbox\private_key

ssh controller

ssh node1

ssh node2

파일 수정 후에는 변경사항이 반영되도록 sshd 서비스 재시작

sudo systemctl restart sshd

✔️ 패스워드 기반 SSH 인증

A(Client) ---SSH---> B(Server)

1. A는 B의 공개키 수령

/etc/ssh/ssh_host_<Algorithm>.pub
Algoritm
- RSA
- DSA
- ECDSA

2. (B 시스템 최초 접속 시) A 시스템 사용자에게 B의 공개키(지문)이 맞는지 확인

3. A의 ~/.ssh/known_hosts에 B의 공개키 등록

4. ID/PW 인증

✔️ 키 기반 SSH 인증

A(Client) ---SSH---> B(Server)

1. A에서 (인증용) 키 쌍 생성

ssh-keygen
- ~/.ssh/id_rsa: 개인키
- ~/.ssh/id_rsa.pub: 공개키

2. B에 A의 공개키를 등록

B의 ~/.ssh/authorized_keys에 A의 공개키 등록
EC2 인스턴스 : A에서 지정한 A의 공개키 등록
BM/VM : ssh-copy-id 명령을 통해 공개키 복사
- B에 패스워드 인증방식이 활성화되어있어야함

3. (B 시스템에 최초 접속시) A 시스템의 사용자에게 B의 공개키(지문) 맞는지 확인

4. A의 ~/.ssh/known_hosts 파일에 B의 공개키 등록

B의 IP/Domain
B의 공개키

5. A의 개인키로 인증

기본 로그인 사용자

Amazon Linux: ec2-user
Ubuntu: ubuntu
Debian: debian
Centos: centos
RHEL: cloud-user
vagrant: vagrant
...

✔️ SSH 키 생성

ssh-keygen [옵션]
ssh key를 생성, 관리 및 변경하는 명령어
private 키는 default로 ~/.ssh/id_rsa 생성
- public 키는 같은 위치에 id_rsa.pub로 생성
옵션이 없으면 키를 생성
- ~/.ssh/id_<Algorithm> 키 생성
옵션
- -t : (type) 알고리즘을 지정
- -f : (file) 키 파일의 파일 이름 지정
- -l : (list) 지정한 공개 키 파일의 지문을 표시
- -b : (bit) 키의 크기 지정
  - default : 2048
  - 크기를 늘릴 수록 보안이 강화됨
생성 후에 passphrase를 설정하라고함
- 보안을 위해서 설정하는 것이 좋음

예시

ecdsa 알고리즘의 키쌍 생성

ssh-keygen -t ecdsa

(서버의)/etc/ssh/ssh_host_ecdsa_key.pub 공개키 지문 확인⭐
- 미리 준비된 서버의 경우 이렇게 지문을 확인하는 것이 best
- But, EC2 인스턴스의 경우 만들어질 때 key가 생성되기 때문에 미리 확인할 방법이 없음

ssh-keygen -l -f /etc/ssh/ssh_host_ecdsa_key.pub

✔️ SSH 키 미리 받기

ssh-keyscan [옵션] [대상IP]
대상의 공개키를 미리 받아볼 수 있는 명령어
맹점 : 네트워크를 통해 전달받는 것이기 때문에 중간에 해커가 가로채서 잘못될 정보를 줄 수도 있음
옵션
- -t : 알고리즘 타입 지정해서 확인

예시

서버(IP)의 rsa 알고리즘의 공개키 확인

ssh-keyscan -t rsa 192.168.100.11

파이프라인(|)을 활용하여, 서버(IP)의 핑커프린트(지문) 바로 확인⭐
- 파이프라인 앞 명령의 출력이 파이프라인 뒤 '-'로 들어감

ssh-keyscan -t ecdsa 192.168.100.11 | ssh-keygen -l -f -

미리 서버의 공개키 known_hosts에 미리 등록하기⭐
- 핑거프린트를 물어보지 않음
- but, 등록해도 서버가 암호인증(sshd_config)을 활성화해둬야 접속됨
  - 키를 등록하기 위해서는 암호 인증이 가능해야함

ssh-keyscan -t ecdsa 192.168.100.11 >> ~/.ssh/Known_hosts

ssh-keyscan -t ecdsa 192.168.100.12 >> ~/.ssh/known_hosts

✔️ 서버에 키 등록

ssh-copy-id [대상 IP]
클라이언트(Client)의 공개키가 서버의 ~/.ssh/authorized_keys에 등록됨
등록 후에는 패스워드를 물어보지 않음

ssh-copy-id 192.168.100.11

계정을 지정해주지 않으면 클라이언트의 계정을 그대로 사용
명확하게 하기 위해서는 계정을 지정해주는 것이 좋음

ssh-copy-id vagrant@192.168.100.11

✔️ SSH 접속

ssh로 접속할 때 계정을 지정하지 않으면, 현재 클라이언트의 계정을 그대로 사용
서버에 접속할 때, 계정의 패스워드를 물어봄
계정을 바꿔서 접속하면 핑거프린트 다시 물어봄
- 홈 디렉토리가 바뀌기 때문

Windows -> Vagrant SSH 접근

vagrant를 이용하면 자동으로 키 기반 인증
- .vagrant 파일은 절대 수동으로 변경,조작,삭제하면 안됨
- 키 위치(클라이언트의 키) : .vagrant/machines/[vm명]/virtualbox/private_key
- 아래 두개의 명령어는 동일한 명령어 : vagrant가 간편하게 처리해주는 것

vagrant ssh controller

ssh -i .\vagrant\machines\controller\virtualbox\private_key vagrant@192.168.100.10

참고) 만약 ssh 키가 노출, 유출된 경우 서버쪽 키 파일을 모두 지우고 재부팅하면 키 파일들 새롭게 만들어짐