Using ssh

Using ssh

[譯, 윤봉환 el@linuxlab.co.kr]
원문: Matteo Dell'Omodarme

우리가 원격 머신에 텔넷으로 연결할 때면 언제나, 모든 데이터가 로컬 네트워크를 거쳐 나가므로 혹시 침입자가 있다면 그 연결을 엿보거나 데이터를 유출시키는 명령을 끼워 넣는 등 나쁜 짓을 하기란 그리 어렵지 않다. 텔넷이나 FTP, HTTP 등은 대개 여러분의 신상정보나 패스워드 등을 네트워크에 그대로 노출시키지만 성능 좋은 암호화 시스템을 사용하면 네트워크 보안성을 매우 향상시킬 수 있다. 악당들이 여러분의 패킷을 가로채더라도 그 내용을 들여다볼 수 없기 때문이다.

ssh의 매뉴얼 페이지를 보면 이런 말들이 있다: “ssh(secure shell)은 원격 머신에 로긴하고 그 안에 있는 명령들을 실행하는 데 쓰이는 프로그램이다. rlogin이나 rsh 등 보안에 취약한 도구를 대신해서 안전하지 않은 네트워크에서, 신뢰할 수 없는 호스트끼리 서로 연결할 때 오가는 정보를 암호화하여 안전한 통신환경을 제공하려는 목적으로 만들어졌다. X11 연결과 갖가지 TCP/IP 포트들도 안전한 채널로 보낼 수 있다. 패스워드를 비롯한 온갖 비밀 정보들을 암호화하여 안전하게 전송할 수 있는 프로그램으로 강력하며 매우 사용하기 쉽다.”

현재 SSH에는 SSH2와 SSH1 두 가지 프로토콜이 있는데, 이름에서 짐작할 수 있듯이 SSH2는 SSH1 프로토콜을 개선한 것이다. SSH2는 이중-암호화 RSA 키 교환 외에도 다양한 키-교환 방법들을 지원한다. 최근 버전에서는 Diffie-키교환과 DSA, 그리고 RSA를 사용하지 않는 다른 공개 Hellman 키 알고리듬까지도 지원한다.

SSH2는 SSH1과 호환되지만 기본적으로 호환성을 포함하고 있는 것은 아니다: SSH2 서버 혼자서는 SSH1 연결을 관리할 수 없으므로 SSH1 서버가 반드시 있어야 한다.

Obtaining and installing SSH

여러분은 SSH2/SSH1 클라이언트와 서버를 주 FTP 서버인 http://www.ssh.com/이나 미러 사이트를 통해서 구할 수 있다. SSH1 최근 버전은 ssh-1.2.30.tar.gz, SSH2 최근 버전은 ssh-2.3.0.tar.gz이다.(이 글을 옮겨 쓰는 동안 최근 버전은 2.4.0이다. ftp://linux.sarang.net/mirror/ network/daemon/security/ssh/)
설치는 정말 쉽다. 먼저 인터넷을 통해 가져온 SSH1 소스를 풀어놓는다:

tar -zxf ssh-1.2.30.tar.gz

이 명령을 실행한 디렉토리에 ssh-1.2.30 디렉토리가 생길 것이다. 이제 이 디렉토리로 가서 아래 명령으로 컴파일을 위한 환경을 구성한다:

cd ssh-1.2.30
./configure

configure 스크립트는 컴파일 작업에 필요한 라이브러리와 프로그램 등 시스템 정보를 모으는 등 모든 작업환경을 설정한다. 이 스크립트가 일을 마치면 이제 make로 컴파일을 시작한다:

make

컴파일 단계를 마치면 수퍼-유저 권한으로 바이너리, 환경파일, 호스트 키 등을 설치한다:

make install

이 명령은 일반적으로 클라이언트 프로그램(scp1, ssh-add1, ssh-agent1, ssh-askpass1, ssh-keygen1, ssh1)을 /usr/local/bin에 설치하며 서버(sshd1) 프로그램을 /usr/local/sbin에 설치한다. /usr/local/bin 아래에는 실제 실행파일에 대해 또 다른 링크들이 있다(scp, ssh-add 등 끝에 “1”을 뗀 이름들)

다음 단계에서는 SSH2를 설치한다. SSH1을 설치할 때와 같은 방법으로 설치한다:

tar -zxf ssh-2.3.0.tar.gz
cd ssh-2.3.0
./configure
make

그 다음 수퍼 유저 권한으로:

make install

SSH1 - SSH2 호환(Compatibility)

이 글에서는 여러분이 SSH1과 SSH2 둘 모두를 설치했다고 가정한다.

SSH2 서버가 SSH1 연결을 다룰 수 있으려면 /etc/ssh2/ 디렉토리 아래에 있는 SSH2 환경설정 파일을 편집해야 한다.

/etc/ssh2/ 디렉토리에서 ssh2 데몬 프로그램인 sshd2(Secure Shell Daemon)의 설정파일 sshd2_config를 열어 다음 줄을 추가한다:

Ssh1Compatibility yes Sshd1Path /usr/local/sbin/sshd1

sshd1를 함께 쓸 수 있도록 설치디렉토리 정보(/usr/local/sbin/sshd1)를 밝혀둔다. 이렇게 구성하면 sshd2 서버로 들어오는 SSH1 클라이언트 요청을 sshd1 서버로 보낸다:

그 다음 같은 디렉토리에 있는 ssh2_config 파일에 아래 두 줄을 덧붙인다.

Ssh1Compatibility yes
Ssh1Path /usr/local/bin/ssh1

이제 누군가가 SSH1 서버에 접속해야 한다면 ssh2 클라이언트가 ssh1 클라이언트를 불러낼 것이다.

SSH 시작하기

부트할 때 sshd를 시작하는 방법은 두 가지가 있다.

1. /etc/rc.d 디렉터리로 가서 rc.local 파일을 열고 그 끝에 아래 줄을 추가한다:

echo “Starting sshd ....” /usr/local/sbin/sshd

이 경우 다음 번에 컴퓨터가 리부트 될 때 부트과정의 마지막에 sshd가 시작되며 “Starting sshd ....” 메시지가 스크린에 나타난다. 머신을 리부트하지 않고 sshd를 시작하려면 명령라인에 다음 명령을 써 넣는다:

/usr/local/sbin/sshd

2. 다른 방법으로, 시스템에서 System V 스타일 초기화를 사용한다면 sshd2 배포판에
    포함되어 있는 sshd2.startup 스크립트를 이용할 수 있다. 먼저 이 파일 이름을 sshd2로
    바꾸어 /etc/rc.d/init.d 디렉토리에 넣는다. 그 다음에는 rc$number.d 디렉터리
    (Snumber는 여러분의 런레벨이다)로 간다.

자신의 런레벨을 모르겠다면 /etc/inittab 파일에서 initdefault 항목을 찾아본다. 레드햇 계열의 배포판을 사용한다면 다음과 같은 모습일 것이다:

id:5:initdefault

또는

id:3:initdefault

예문에서 id: 다음에 있는 숫자 3, 5가 런레벨이다.

그 다음 rc$number.d 디렉토리로 가서 다음 명령을 실행한다:

ln -s ../init.d/sshd2 S90sshd2

그리고, /etc/rc.d/rc0.d 디렉토리에서 다음 명령을 실행한다:

ln -s ../init.d/sshd2 K90sshd2

/etc/rc.d/rc6.d 디렉토리에도 같은 이름으로 링크를 만들어 둔다.

그 다음이 스크립트를 실행하면 시스템을 리부트 하지 않고 sshd2 데몬을 시작할 수 있다.

/etc/rc.d/init.d/sshd2 start

SSH 연결 열기

sshd를 실행한 다음에 그 환경 구성을 점검하기 위해 ssh 클라이언트를 이용해 서버에 로긴해본다. 여러분의 머신이 host1이라는 이름을 가지고 있고, 로긴 이름이 myname이라고 가정하면 다음과 같은 명령을 사용할 것이다:

ssh -l myname host1

이 경우 ssh2 클라이언트(디폴트 클라이언트)는 host1 22번 포트(디폴트 포트)로 접속을 시도한다. sshd2 데몬은 host1에서 돌고 있다가 그 요청을 받아 myname 유저의 패스워드를 묻는다. 패스워드가 맞다면 로긴을 허락하고 셸을 하나 연다.

ssh 키 만들고 관리하기 (Generating and managing ssh keys)

ssh는 공개키 암호화 방식 등 키(key) 기반의 다른 인증 메커니즘도 지원한다. 각 사용자는 공개 키 인증 방식을 사용하기 위해서 반드시 ssh-keygen 명령을 실행해서(다른 옵션은 없이) 인증키를 먼저 만들어야 한다. 이 명령은 새로운 키 쌍을(공개키와 비밀키) 만들기 위해 여러분에게 비밀문구(passphrase)를 물어올 것이다.

...
Enter passphrase:
Enter the same passphrase again:

$HOME/.ssh2/ 디렉토리 아래에 파일 두 개가 만들어진다: 비밀키와 공개키를 담아두는 id_dsa_1024_a 와 id_dsa_1024_a.pub. (1.2.x 버전에서는 identity와 identity.pub 키가 만들어진다)

host1에는 myname1 계정이, host2에는 myname2 계정이 있다고 가정하자. 그리고 우리가 host1에서 host2로 공개키 인증을 이용해서 로긴하려 한다면 다음 네 단계가 필요하다.

1. 먼저 host1에서 ssh-keygen 명령을 이용해서 키 쌍을 만들어내고, 키 쌍을 보호하기 위해
비밀문구를 고른다.

2. ssh 패스워드 인증을 이용해서 host2로 로긴하고 위에서 작업을 또 한다.
그리고 $HOME/.ssh2 디렉토리로 간 다음, 아래 내용을 넣어 identification이란 이름을
가진 파일을 만든다.

# identification
IdKey id_dsa_1024_a

이 파일은 연결을 시도할 때 sshd가 키 쌍을 확인하기 위해 사용한다.

3. host2에서 host1의 ssh 공개키를 가져온 다음 적당한 이름으로 바꾼다
(예를 들어 host1.pub):

ftp host1
[...]
cd .ssh2
get id_dsa_1024_a.pub host1.pub

host1에서 가져온 공개키 이름을 바꾸었으면 $HOME/.ssh2 디렉토리 아래에 둔다.

4. 마지막으로 아래 내용을 넣어 인증 파일을 만든다:

# authorization
Key host1.pub

이 파일에는 $HOME/.ssh2 디렉토리 아래 믿을만한 ssh 공개 키들의 목록을 보관한다. 인증 파일에 등록된 것과 일치하는 공개키를 가진 사용자로부터 ssh 연결이 시작될 때마다 공개 키 인증 스키마가 가동된다.

앞서 환경 구성을 검사할 때 여러분은 ssh를 이용해서 host1에서 host2로 접속할 수 있었을 것이다. sshd는 반드시 비밀문구(passphrase)를 되묻는데, 만약 그렇지 않고 패스워드를 요구한다면 환경 구성 작업에 어떤 문제가 생긴 것이므로 다시 한번 주의 깊게 1부터 4단계까지 반복한다.

요청된 비밀문구(passphrase)는 여러분의 LOCAL 비밀문구이다(즉, 비밀문구는 host1 공개키를 보호한다)

다음 번에는...

다음 기사에서는 ssh 꾸러미에 포함된 다른 프로그램들과 기능들을 살펴볼 것이다: ssh-agent와 ssh-add (이들은 유용한 비밀문구 관리 프로그램이다), 그리고 sftp와 scp(네트워크를 통해 파일을 전송할 때 비밀을 보호하는 도구들)

▲ top