SSH 또는 Secure Shell 프로토콜은 시스템에 원격으로 로그인하고 원격 시스템에서 명령을 실행하는 데 사용됩니다. SSH 프로토콜을 사용하여 전송되는 데이터는 SSH를 Telnet보다 더 안전하게 만드는 특수 알고리즘으로 암호화됩니다. 기본적으로 OpenSSH는 이 프로토콜을 구현하는 도구입니다.
우리는 무엇을 다룰 것인가?
이 가이드에서는 OpenSSH 서버 구성 파일의 다양한 측면을 살펴봅니다. 지금 시작해 봅시다.
OpenSSH 구성 파일
OpenSSH 클라이언트와 서버 모두에 대한 몇 가지 핵심 파일이 있습니다. 두 가지 유형의 구성 파일이 있습니다.
1. 클라이언트 측 관련 파일: 파일 중 하나가 ssh_config입니다. 시스템 전체 구성 파일입니다. 이 파일은 다음 위치에 있습니다. /etc/ssh/ssh_config.conf
다른 파일은 $HOME/.ssh/config에 있는 사용자별 구성 파일인 config입니다.
호스트의 SSH 프로그램은 이러한 파일에서 또는 명령줄 인터페이스를 통해 구성을 가져옵니다. 앞서 언급한 파일의 경우 시스템 전체 구성 파일인 ssh_config가 사용자별 'config' 파일보다 우선 순위가 부여됩니다.
2. sshd_config: 서버 측과 관련이 있습니다. OpenSSH 서버는 시작할 때 이 파일을 읽습니다.
탐색 SSHD 구성 파일
sshd 구성 파일에는 사용자 정의할 수 있는 많은 지시문이 포함되어 있습니다. 이 파일의 기본 레이아웃을 살펴보겠습니다.
$ 고양이 / 등 / SSH / sshd_config
# 이것은 sshd 서버 시스템 전체 구성 파일입니다. 보다
# 자세한 내용은 sshd_config(5)를 참조하세요.
포트 222수신 주소 0.0.0.0
수신주소 ::
호스트키 / 등 / SSH / ssh_host_key
ServerKeyBits 768
로그인유예시간 600
키 재생성 간격 3600
PermitRootLogin 예
IgnoreRhosts 예
StrictMode 예
X11포워딩 아니오
AllowTcpForwarding 아니요
allowTTY 아니요
X11디스플레이오프셋 10
PrintMotd 예
살아 유지 예
Syslog시설 인증
로그 레벨 정보
Rhosts인증 번호
RhostsRSA 인증 번호
RSA 인증 예
비밀번호 인증 예
AllowEmptyPasswords 아니요
체크메일 번호
'#'으로 시작하는 줄은 주석으로 간주됩니다. 주어진 매개변수 중 일부를 살펴보겠습니다.
1. Port 지시문은 포트 번호를 지정합니다. 이 포트 번호는 SSHD 연결을 수신합니다. 이 포트의 기본값은 표준 포트인 22입니다. 그러나 우리의 경우에는 222로 변경했습니다.
또한 둘 이상의 Port 지시문을 지정할 수 있습니다. 이렇게 하면 sshd 연결을 수신하기 위해 여러 포트를 사용할 수 있습니다.
2. ListenAddress에는 청취할 IP 주소가 포함되어 있습니다. 기본 동작은 서버에 바인딩된 모든 IP 주소에서 수신 대기하는 것입니다. 또한 Port 지시어는 ListenAddress 지시어 뒤에 있어야 합니다.
3. 개인 RSA 호스트 키 파일의 정규화된 경로는 HostKey 지시문에 의해 지정됩니다. 이전의 경우 경로는 다음과 같습니다. /etc/ssh/ssh_host_key .
4. PermitRootLogin 지시문은 yes로 설정된 경우 sshd에 대한 루트 로그인을 허용합니다. hosts.allow 및 hosts.deny 파일을 사용하여 sshd 액세스를 제한하지 않는 한 no로 설정해야 합니다.
5. X11Forwarding 지시문은 yes로 설정된 경우 X Window System 전달을 허용합니다.
6. 어떤 Syslog 시설이 SSHD should use는 SyslogFacility 지시문을 사용하여 지정됩니다. 기본값을 그대로 유지하십시오.
7. Syslog의 로깅 수준은 LogLevel 지시문을 사용하여 지정됩니다.
변경 SSHD 포트
기본적으로 SSHD 또는 OpenSSH 서버 데몬이 TCP 프로토콜의 포트 22를 사용합니다. 테스트 환경에서 이 포트 번호를 다른 값으로 변경하는 것이 좋습니다. 이를 통해 서버 연결을 항상 사용할 수 있습니다.
또한 실행되는 포트에 관계없이 새 sshd_config 파일을 사용하기 전에 구성 구문을 확인하는 것이 좋습니다. 구문을 확인하려면 다음 명령을 사용할 수 있습니다.
$ SSHD -티
루트 사용자만 이 파일을 읽고 쓸 수 있어야 한다는 점도 중요합니다. 즉, sshd_config 구성 파일이 제대로 보호된 경우 이전 명령을 실행하려면 루트 권한이 필요합니다.
이전 구문 확인 명령어를 실행할 때 출력이 표시되지 않으면 파일이 정상임을 의미합니다.
기본 구성 파일 및 포트 수정
경우에 따라 새 인스턴스를 실행하고 싶습니다. SSHD 다른 포트에서. 이는 포트 22가 이미 사용 중이거나 프로덕션 환경에서 이 포트를 변경할 때 일부 위험 영역이 있을 수 있기 때문일 수 있습니다. 이러한 유형의 상황에서는 서버에 대한 대체 구성 파일을 만들 수 있습니다.
새로운 sshd_config 파일을 sshd_config_new로 생성해 봅시다. 이 파일은 일부 다른 서버 매개변수에 사용될 수 있습니다. 이제 이 파일을 포트 번호 100에서 새 서버 구성 파일로 간주하도록 지정하겠습니다.
$ 스도 / usr / 스빈 / SSHD -에프 / 등 / SSH / sshd_config_new -피 100
sshd 데몬은 이제 포트 100에서 수신 대기합니다. 모든 포트 값을 사용할 수 있지만 이미 사용 중인 값은 사용할 수 없습니다.
이제 새 포트가 원하는 대로 작동하는지 확인하겠습니다. 이를 위해 ssh 클라이언트 프로그램을 사용하고 다음 명령을 실행해야 합니다.
$ / usr / 큰 상자 / SSH -피 100 < 아이피 서버의 >
'-p' 옵션은 원격 서버에서 사용할 포트 100을 지정합니다. 로컬에서 테스트하는 경우 서버 IP를 localhost IP로 사용할 수 있습니다.
OpenSSH 구성 문제 해결
때로는 서버가 원하는 대로 작동하지 않습니다. 이러한 경우 '-d' 플래그를 사용하여 OpenSSH 서버 구성 문제를 해결할 수 있습니다. '-d' 플래그를 사용하여 서버는 디버그 모드로 들어가 단일 연결만 처리합니다.
디버그 모드에서 생성되는 출력은 장황합니다. 더 많은 '-d' 플래그를 사용하여 디버깅 수준을 높일 수 있습니다. 새 구성 파일을 사용하여 서버에서 디버그 명령을 실행해 보겠습니다.
$ / usr / 스빈 / SSHD -디 -피 100 -에프 / 등 / SSH / sshd_config_new
이전 명령의 출력은 syslogd의 AUTH 기능을 사용하는 대신 stderr에 기록됩니다.
결론
OpenSSH 데몬 또는 sshd는 많은 관리 인프라의 중요한 부분입니다. 따라서 최적의 운영을 위해 관리할 수 있는 전문 지식이 필요합니다. 이번 글에서는 sshd_config와 같은 OpenSSH 서버 설정 파일에 대해 알아보았습니다.