![[첫화면으로]](/raymundo_logo.jpg){kind=logo}
SSHSSHTelnet 대신에 SSH를, FTP 대신에 SFTP 를 사용하는 습관을!!!
클라이언트와 서버의 기본 설정
먼저, 클라이언트의 호스트 키 쌍을 생성한다.
$ ssh-keygen -t rsa1 Generating public/private rsa1 key pair. Enter file in which to save the key (/home/raymundo/.ssh/identity): <-- 그냥 엔터 Created directory '/home/raymundo/.ssh'. Enter passphrase (empty for no passphrase): <-- 그냥 엔터 Enter same passphrase again: <-- 그냥 엔터 Your identification has been saved in /home/raymundo/.ssh/identity. Your public key has been saved in /home/raymundo/.ssh/identity.pub. The key fingerprint is: 9c:e1:c8:65:46:f3:17:08:8d:6c:cb:ba:3e:1d:ca:cd raymundo@raymundus위와 같이 하면, ~raymundo/.ssh/ 아래에 비밀키 화일 identity 와 공개키 화일 identity.pub 가 생긴다. 공개키는 다음과 같은 식으로 되어 있다.
1024 35 128...527 raymundo@raymundus위에서 마지막 필드 raymundo@raymundus 는 단지 키를 알아보기 쉬우라고 붙인 코멘트이다. 자기 좋을 대로 고쳐주면 된다.
이제 위에서 생성한 클라이언트의 공개키를 서버 쪽에 보관해야 한다. 서버의 ~gypark/.ssh/authrized_keys 화일(없으면 새로 만들어 준다)에 저 공개키의 내용을 append 하면 된다. 이때 키의 내용이 길어서 자동으로 줄바꿈이 되지 않도록 주의한다. 즉 한 키는 한 줄에 적어야 한다.
다시 클라이언트 쪽에서, "이 서버에 접속할 때는 SSH Protocol version 1 을 사용하라"고 알려줘야 한다. 클라이언트의 ~raymundo/.ssh/config 화일에 다음과 같이 적어준다.
Host gypark.pe.kr
Protocol 1,2 <-- 1과 2중에 하나만 적으면 그 방식만 사용하라는 뜻이고, 1,2 로 적으면 버전1을 먼저 시도하고 안 되면 2를 하라는 뜻이다
이제는 평소처럼 ssh 로 접속하면 된다. 암호를 넣는 과정을 건너뛰고 로그인이 될 것이다.
서버 쪽에서의 SSH1 설정
만일 다음과 같은 에러가 난다면
$ ssh *******@******.pe.kr Protocol major versions differ: 1 vs. 2이것은 서버 쪽에서 SSH Protocol Version 1 을 지원하지 않는 경우이다. 이 경우는 서버의 설정을 바꿔주어야 한다.
서버의 /etc/ssh/sshd_config 화일을 수정한다.
... Protocol 2,1 <-- "2" 를 "2,1"로 변경 ... HostKey /etc/ssh/ssh_host_key <-- 이 줄이 없다면 추가 ...
/etc/ssh/ssh_host_key 화일이 존재하는지 확인하고, 없다면 클라이언트에서와 마찬가지로 서버의 호스트 키를 생성한다.
# ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_key
이제 sshd 를 재시작한다.
# /etc/init.d/ssh restart Restarting OpenBSD Secure Shell server: sshd.
passphrase 를 사용
위의 설정으로는 로그인 과정이 매우 간편하기는 한데, 서버가 해킹당하던가 하여 비밀키를 타인이 획득하게 되면 서버까지 줄줄이 뚤리게 될 것이다. 따라서 공개키에 passphrase 를 지정할 수 있다. 처음에 ssh-keygen 을 실행할 때 passphrase 를 입력하거나, 이미 생성한 비밀키에 대해서는 ssh-keygen 에 -p 옵션을 써서 passphrase 를 수정해 줄 수 있다.
그런데, 이렇게 하면 이번에는 매번 로그인할 때마다 저 passphrase 를 넣어야 한다. 이것은 암호를 넣는 것만큼 불편하다. 따라서 별도의 agent 프로그램을 사용한다.
key agent 를 사용
개념은, agent 프로그램을 띄우고, 내 비밀키를 등록해 두면 (이 때 passphrase 를 한 번 입력) 그 다음부터는 내 비밀키에 관련된 연산은 이 agent 가 도맡아 하고, SSH 클라이언트는 이 agent 를 사용해 인증 절차를 거친다는 것이다. 따라서 passphrase 를 처음 한 번만 입력하면 그 다음부터는 입력할 필요가 없다.
다음과 같이 agent 를 띄운다
$ ssh-agent SSH_AUTH_SOCK=/tmp/ssh-XX7LNH7N/agent.20929; export SSH_AUTH_SOCK; <-- 이 줄과 SSH_AGENT_PID=20930; export SSH_AGENT_PID; <-- 이 줄을 복사해서 echo Agent pid 20930; $ SSH_AUTH_SOCK=/tmp/ssh-XX7LNH7N/agent.20929; export SSH_AUTH_SOCK; <-- 쉘에서 실행한다 $ SSH_AGENT_PID=20930; export SSH_AGENT_PID; 복사해서 실행하는 게 귀찮으니 다음과 같이 하면 편하다 $ eval `ssh-agent` <-- 자동으로 환경변수 세팅까지 된다 Agent pid 20930 $
이제 ssh-agent 는 계속 물밑에서 수행된다. 종료시키고 싶다면 다음과 같이 한다.
$ ssh-agent -k unset SSH_AUTH_SOCK; <-- 마찬가지로 두 줄을 복사해서 unset SSH_AGENT_PID; echo Agent pid 20930 killed; $ unset SSH_AUTH_SOCK; <-- 쉘에서 실행한다. $ unset SSH_AGENT_PID; 마찬가지로 다음과 같이 간편하게 할 수 있다. $ eval `ssh-agent -k`
일단 agent 가 실행이 되면 다음과 같이 자신의 비밀키를 등록한다.
$ ssh-add Enter passphrase for raymundo@raymundus: <-- passphrase 를 입력 Identity added: /home/raymundo/.ssh/identity (raymundo@raymundus)
이제는 저 agent 를 종료하기 전까지는 별도의 암호 입력이 필요없이 ssh 를 사용할 수 있다.
ssh-agent 를 띄우고 비밀키를 추가하는 것은 각 클라이언트 세션마다 한번씩 해 줘야 한다. 여전히 조금은 불편하다. 그래서 다음과 같은 스크립트를 만든다. (KLDP BBS 의 dk 님께 감사)
do_ssh_agent="t"
if [ -f "$ssh_agent_info" ]; then
. "$ssh_agent_info"
if agent_list=`pgrep -u "$USER" ssh-agent`; then
for agent in $agent_list; do
if [ "$agent" -eq "$SSH_AGENT_PID" ]; then
do_ssh_agent="nil"
break
fi
done
fi
fi
if [ "$do_ssh_agent" == "t" ]; then
eval `ssh-agent | grep -v echo | tee "$ssh_agent_info"`
fi
위 스크립트를 ~/.bash_profile 안에 직접 적던가, 별도의 화일에 저장한후 ~/.bash_profile 에는
. 스크립트이름으로 적어준다. 이러면 한 번 ssh-agent 를 실행할 때 환경변수 정보를 화일에 보관해 두었다가, 다른 쉘이 뜰 때 그 화일을 읽어서 환경변수를 세팅한다. 즉 처음 한 번만 ssh-add 를 해 주면 이후에 다른 세션에서도 사용할 수 있다.
만일 passphrase 를 지정할 경우는
TortoiseCVS 의 경우
TortoiseCVS 는, ssh 프로토콜을 사용할 경우 내부적으로는 putty 를 사용한다. 따라서 위의 PuTTY 의 설정을 했다면 별도로 해 줄 것이 없다. :-)
터널링 등의 이유로 ssh 접속을 하는 거라서 굳이 셸이 뜰 필요는 없을 때:
그냥 ssh -N... &로 백그라운드로 보내고 fg로 올려서 중단할 수도 있지만...
$ ssh -f -N -M -S /tmp/file-sock -L 10000:127.0.0.1:10000 HOST $ ssh \ -f \ # 백그라운드로 보냄 -N \ # 원격 명령을 실행하지 않음(-f 없이 이것만 하면 로그인 후 그 상태에서 진행없이 busy상태로 있게 됨) -M \ # 연결 공유용 마스터로 동작 -S /tmp/file-sock \ # 연결 공유용 소켓 -L 10000:127.0.0.1:10000 \ # 포워드할 포트 HOST
이 연결을 종료할 때는:
$ ssh -S /tmp/file-sock -O exit HOST
-M, -S는 .ssh/config 파일에 적어줄 수도 있음. 접속은 ssh -f -N c1.host1 등으로.
$ cat ~/.ssh/config
Host c1.host1
hostname IP주소
port 포트
# 만약에 이 IP에도 직접 접근할 수 없어서 중간에 다른 서버를 경유해야 한다면
# (ProxyJump 옵션을 쓰거나, ProxyJump가 없는 구버전이라면 아래와 같이)
ProxyCommand ssh 경유서버 -W %h:%p
user 유저네임
# 포워딩할 포트
LocalForward 127.0.0.1:19100 10.0.0.1:9100
# -M
ControlMaster yes
# -S 소켓파일명
ControlPath 소켓파일명
도커 컨테이너 안에서 다른 컨테이너나 호스트로 ssh 접속을 시키려고 하는데, 암호를 입력하는 거야 키 파일을 쓰도록 하면 되지만 첫 접속 때 호스트 키를 known host에 추가하겠냐고 묻는 과정이 있어서 자동화가 안 된다.
# ~/.ssh/config
Host *
StrictHostKeyChecking no
# 커맨드 라인 옵션
ssh -o StrictHostKeyChecking=no HOST
윈도우2016 서버에 ssh 서버 구성
1. 설치
C:\Program Files\ 아래에 압축 해제
C:\Program Files\OpenSSH-Win64 추가
.\install-sshd.ps1 실행하여 서비스 등록
.\ssh-keygen.exe -A 실행하여 호스트 키 생성
2. 퍼블릭 키 로그인 사용
이게 은근히 까다롭다.
C:\ProgramData\ssh\sshd_config 수정
# 아래 단락은 주석처리 #Match Group administrators # AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys # 주석해제...하라고 되어 있긴 한데, # PubkeyAuthentication 는 기본값이 yes라서 굳이 해제하지 않아도 되고 PubkeyAuthentication yes # PasswordAuthentication 를 no로 하면 키 방식 로그인만 되고 비밀번호 입력을 아예 못 하게 되니 주의 PasswordAuthentication no
C:\Users\<자기계정>\.ssh\authorized_keys 파일에 공개키 내용 저장
원래는 여기까지만 해도 잘 되었었는데, 어느날 갑자기 키 로그인이 안 되고 비밀번호 입력을 요구하게 됨.
내 경우는 관리자 권한이 있는 다른 계정 이름이 목록에 있어서 제거하니 그때부터 되긴 했는데, 그 전에는 왜 동작했었는지는 의문
방화벽 등의 문제로 B 서버에 직접 ssh 접속을 할 수가 없고, A서버를 경유하여 접속하려고 할 때
ssh -J a@A b@B
그런데 ssh 버전이 낮으면 -J 파라메터(그리고 여기에 해당하는 ProxyJump옵션)가 지원되지 않는다.
이런 경우는 ProxyCommand 옵션을 이용:
ssh -o 'ProxyCommand=ssh a@A -W %h:%p' b@B # 또는 .ssh/config 파일에 적을 경우 Host B Hostname B User b ProxyCommand ssh a@A -W %h:%p
authorized_keys에 출발지의 공개키가 등록되어 있으면 A에 접속할 때는 공개키 로그인으로 진행
authorized_keys에도 **출발지의 공개키**가 등록되어 있어야 한다. A의 공개키는 소용 없음