[보안] SSH 원격 호스트 접속

SSH 

실행 일자: 2022/02/27
완료: Yes

SSH

1. 학습 목적

• SSH 키 기반 인증 구성 방법 이해
• 간단한 에러 처리

---

2. 내용 정리

정의

• 서버를 관리하고 통신하는 데 사용되는 암호화 프로토콜

방법

• 비밀번호 인증 방식 → 브루트포스 공격에 취약할 수 있음
• 키 기반 인증 방식 → 일반적으로 제일 안전, 로컬에 있는 개인키 탈취 시 문제

키 기반 인증 방식

• SSH 키는 쌍으로 존재 → 공개키, 개인키
• 개인키 → 클라이언트에서 유지, 절대 비밀 유지 필수
• 공개키 → 개인 키로 해독할 수 있는 메시지를 암호화하는 데 사용

키 기반 인증 프로세스

• ssh-keygen 명령어로 SSH 키 쌍 생성
• 로그인 시 공개키를 서버에 복사
• 아래와 같은 문구가 뜨는 경우는 로컬 컴퓨터가 원격 호스트를 처음 연결할 때 발생하는 문구

 The authenticity of host '203.0.113.1 (203.0.113.1)' can't be established.
 ECDSA key fingerprint is fd:fd:d4:f9:77:fe:73:84:e1:55:00:ad:d6:6d:22:fe.
 Are you sure you want to continue connecting (yes/no)? yes

• 위에서 작성된 fingerprint 내용은 ~/.ssh/known_hosts 에 저장된다.
• IF 원격 호스트 정보가 변경되면, RSA키 값이 달라지고 접속 시 경고 문구가 뜸 (REMOTE HOST HAS CHANGED)
• 정상 작동했을 때에는 내 로컬 컴퓨터에 있는 ~/.ssh/id_rsa.pub 에 있는 키를 원격 서버의 ~/.ssh/authorized_keys 경로에 파일이 추가가 됨

이점

• 개인키는 네트워크에 절대 노출되지 않는다. 암호는 로컬 시스템의 키를 해독하는 데만 사용
• 개인키는 제한된 디렉토리에 보관된다. 보안성이 높다.
• → 가끔 개인키를 다른 디렉토리에 복사해서 접속하려고 할 때 권한 에러가 뜬다면 `chmod 400 [directory]` 명령어를 사용하면 정상 작동한다.
• 개인 SSH 암호키를 해독하려면 공격자는 이미 루트 시스템 권한을 탈취한 상태이다.

발생 했던 에러들

• [WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!] 해결 방법
  • known_hosts 파일을 삭제 or 명령어 ssh-keygen -R [Remote Host IP] 실행
• [Too Open Permmision Error] 해결 방법
  • chmod 400 [ssh key가 있는 디렉토리 및 파일] 명령어 실행