ssh 란

안녕하세요

뚱보프로그래머 입니다.

 

ssh

1. SSH 개요

SSH는 현재 SSH1,SSH2, OPENSSH 등이 배포되었으며 리눅스에는 기본적으로 OPENSSH가 탑재되어 있다.

SSH는 rlogin이나 rsh와 같은 BSD쪽의 service들이 보안에 아주 취약한 점을 대체하기 위하여 나온 원격 login 프로그램이다. 일반 login 프로그램들이 packet을 전송할때 plain text(평문)로 전달을 하기 때문에 password를 쉽게 가로챌수 있는 것(예: sniffer)에 비해 ssh는 packet자체를 암호화를 하여 보내기 때문에 원격 관리에 유용하다.

 

2. SSH 설치

1) 설치 확인

[root @edu00 linux]#rpm -qa | grep openssh

openssh-*

openssh-askpass*

openssh-server*

openssh-clients*

openssh-askpass-gnome*

 

2) 설정 파일 확인

[root @edu00 linux]#ls /etc/ssh

primes   ssh_config          ssh_host_dsa_key           ssh_host_dsa_key.pub   

ssh_host_key     ssh_host_key.pub            ssh_host_rsa_key            ssh_host_rsa_key.pub    

sshd_config

 

3) 환경 설정 파일

환경설정 파일은 /etc/ssh 디렉토리

설정 파일은 ssh_config(클라이언트), sshd_config(서버)

 

4) 서버 설정

[root @edu00 linux]#cd /etc/ssh

[root @edu00 ssh]#vi sshd_config

--------------------------------------------------------------------

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# This is the sshd server system-wide configuration file.  See sshd(8)  for more information.

Port 22                                           <- 다른 데몬의 포트와 중복되어서는 안된다.

Protocol 2,1                                   <- 우선순위는 2

ListenAddress 0.0.0.0                   <- 허용 IP, 모든 IP

#ListenAddress ::

HostKey /etc/ssh/ssh_host_key                <- hostkey 파일의 절대경로, 암호 해독할 key값

HostKey /etc/ssh/ssh_host_rsa_key

HostKey /etc/ssh/ssh_host_dsa_key

ServerKeyBits 768

LoginGraceTime 600                                  <- lonin 시간을 설정

KeyRegenerationInterval 3600

PermitRootLogin yes                                  <- root login 허용

#

# Don't read ~/.rhosts and ~/.shosts files

IgnoreRhosts yes                                       <- 원격접속 불허(rcp, rlogin..)

# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication

# IgnoreUserKnownHosts yes

StrictModes yes

X11Forwarding yes                                     <- X-window용 프로그램 실행 가능

X11DisplayOffset 10

PrintMotd yes

KeepAlive yes

 

# Logging

SyslogFacility AUTHPRIV

LogLevel INFO

# obsoletes QuietMode and FascistLogging

 

RhostsAuthentication no

#

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts

# RhostsRSAAuthentication no

#

RSAAuthentication yes

 

# To disable tunneled clear text passwords, change to no here!

PasswordAuthentication yes

PermitEmptyPasswords no                         <- Null password를 가진 계정은 접속 불허

 

# Comment to enable s/key passwords or PAM interactive authentication

# NB. Neither of these are compiled in by default. Please read the

# notes in the sshd(8) manpage before enabling this on a PAM system.

#ChallengeResponseAuthentication no

#SkeyAuthentication no

KbdInteractiveAuthentication yes

 

# To change Kerberos options

#KerberosAuthentication no

#KerberosOrLocalPasswd yes

#AFSTokenPassing no

#KerberosTicketCleanup no

 

# Kerberos TGT Passing does only work with the AFS kaserver

#KerberosTgtPassing yes

 

CheckMail yes                 <- ssh로 접속했을 때 메일 유무 확인

#UseLogin no

 

MaxStartups 10:30:60

#Banner /etc/issue.net    <- 로그인시에 사용자의 정보를 출력

#ReverseMappingCheck yes

Subsystem                       sftp       /usr/libexec/openssh/sftp-server

 

 

5) 사용

#ssh 192.168.1.1

<- 옵션이 없으면 local 사용자 계정으로 접속, local에 root로 접속되었다면 root로 접속

#ssh webmaster@192.168.1.1

#ssh root@192.168.1.1

  

3. Secure ftp (sftp)

 

1)  설정 확인

[root @edu00 linux]#vi /etc/ssh/sshd_config

---------------------

Subsystem         sftp       /usr/libexec/openssh/sftp-server

MaxStartups        10:30:60

-----------------------

[root @edu00 linux]#/etc/rc.d/init.d/sshd restart

 

2)  sftp 클라이언트 설치

OPENSSH를 설치하면 sftp는 기본적으로 설치가 되지만 혹시 설치가 되어 있지 않으면 따로 패키지를 구하여 설치하여야 한다.

해당 패키지는 OPENSSH 패키지를 구한 사이트를 참조한다.

[root @edu00 linux]#rpm -Uvh sftp*.rpm

 

3) 실행

[root @edu00 linux]#sftp 192.168.1.1

root@192.168.1.1's password:

sftp>

 

4. SCP (Secure CoPy)

패킷을 암호화해서 송수신하며 원격 시스템의 파일을 로컬로 복사할 수 있다.

 

1)  Client의 파일을 Server로 copy하는 경우  -- FTP의 Upload

[root @edu00 linux]#scp -p /home/linux/a.txt 192.168.1.1:/root

root@192.168.1.1's password:

a.txt 100% |********************************************************| 23          00:00

 

[root @edu00 linux]#scp -pr /home/linux 192.168.1.1:/root

: -r 옵션은  디렉토리를 포함하여 copy한다.

 

2)  Client에서 Server에 있는 파일을 복사해오는 경우 -- FTP의 Download

[root @edu00 linux]#scp -pr 192.168.1.1:/home/linux/b* /home

root@192.168.1.1's password:

b.txt  100% |*******************************************************| 23         00:00

: 원격 서버(192.168.1.1)의 /home/linux 디렉토리 하위를 대상으로 b로 시작하는 모든 파일이나

디렉토리를 /home으로 복사

 

[root @edu00 linux]#scp -pr * 192.168.1.1:/home

: 현재 디렉토리의 파일 및 하위 디렉토리를 192.168.1.1 서버의 /home으로 모두 복사