4.3.11. SSH 보안

SSH 는 컴퓨터에 로그인하는 데 암호화 키를 사용할 수 있도록 지원합니다. 이는 암호만 사용하는 것보다 훨씬 안전합니다. 이 방법을 다른 인증 방법과 결합하면 다단계 인증으로 간주될 수 있습니다.If you combine this method with other authentication methods, it can be considered a multi-factor authentication. 여러 인증 방법 사용에 대한 자세한 내용은 4.3.11.2절. “다중 인증 방법” 을 참조하십시오.

인증에 암호화 키를 사용하려면 /etc/ssh/sshd_config 파일의 PubkeyAuthentication 구성 지시문을 yes 로 설정해야 합니다. 이는 기본 설정입니다. 로그인에 암호를 사용할 수 없도록 PasswordAuthentication 지시문을 no 로 설정합니다.

ssh-keygen 명령을 사용하여 SSH 키를 생성할 수 있습니다. 추가 인수 없이 호출되는 경우 2048비트 RSA 키 세트를 생성합니다. 키는 기본적으로 ~/.ssh/ 디렉터리에 저장됩니다. -b 스위치를 사용하여 키의 bit-strength를 수정할 수 있습니다. 2048비트 키를 사용하면 일반적으로 충분합니다. Red Hat Enterprise Linux 7 시스템 관리자 가이드의 OpenSSH 구성 장에는 키 쌍 생성에 대한 자세한 정보가 포함되어 있습니다.

~/.ssh/ 디렉터리에 두 개의 키가 표시되어야 합니다. ssh-keygen 명령을 실행할 때 기본값을 수락한 경우 생성된 파일의 이름은 id_rsa 및 id_rsa.pub 이고 개인 및 공개 키를 각각 포함합니다. 항상 개인 키를 노출에서 보호하여 다른 사람이 읽을 수 없도록 해야 하지만 파일의 소유자가 읽을 수 없도록 해야 합니다. 그러나 공개 키는 로그인할 시스템으로 전송되어야 합니다. ssh-copy-id 명령을 사용하여 서버에 키를 전송할 수 있습니다.

~]$ ssh-copy-id -i [user@]server

또한 이 명령은 공개 키를 서버의 ~/.ssh/authorized_keys 파일에 자동으로 추가합니다. sshd 데몬은 서버에 로그인하려고 할 때 이 파일을 확인합니다.

암호 및 기타 인증 메커니즘과 마찬가지로 SSH 키를 정기적으로 변경해야 합니다. 이 작업을 수행하면 authorized_keys 파일에서 사용되지 않은 키를 제거해야 합니다.