리눅스 배우기 #10 – OpenSSH 서비스 설정과 보안 구성

들어가기 #

SSH를 처음부터 적극적으로 사용해온 편은 아니었습니다.
예전에는 원격 접속과 파일 전송을 위해 서로 다른 프로토콜을 사용하던 시기가 있었습니다.

당시 대표적으로 사용되던 방식은 다음과 같습니다.

문제는 이 방식들이 모두 평문 통신을 사용했다는 점입니다.
네트워크 중간에서 패킷을 가로채면, 사용자 계정과 비밀번호, 명령어 내용까지 그대로 노출되는 구조였습니다.
보안이라는 개념이 지금만큼 중요하게 다뤄지기 전의 이야기입니다.

이러한 문제를 해결하기 위해 등장한 것이 SSH(Secure Shell) 입니다.
SSH는 원격 접속과 파일 전송을 암호화된 채널 위에서 처리합니다.

• ssh : 원격 접속
• scp : 파일 복사
• sftp : 파일 전송

하나의 패키지를 설치하면 위 세 가지 도구를 함께 사용할 수 있습니다.
이 글에서는 OpenSSH 서비스의 구성과 기본적인 보안 설정 방법을 정리해봅니다.

---

SSH와 암호화 방식 #

SSH는 통신 내용을 암호화하기 위해 키 기반 인증을 사용합니다.
키를 사용하는 방식에는 크게 두 가지가 있습니다.

• 대칭키 방식 (키 1개)
• 비대칭키 방식 (공개키 / 개인키 2개)

SSH는 기본적으로 비대칭키 암호화를 사용합니다.
처음 서버에 접속할 때 서버는 자신의 호스트 공개키를 클라이언트에게 전달합니다.
클라이언트는 이를 known_hosts 파일에 저장하고, 이후부터는 해당 서버의 신원을 검증하는 데 사용합니다.

이 과정 덕분에 중간자 공격을 어느 정도 방어할 수 있습니다.

---

OpenSSH 설정 파일 구조 #

OpenSSH 설정 파일은 /etc/ssh 디렉토리에 위치합니다.
아래는 기본적인 파일 목록입니다.

bashCopy
[root@vm1 .ssh]# ll /etc/ssh
total 564
-rw-r--r--. 1 root root 541716 Dec 23 09:00 moduli
-rw-r--r--. 1 root root   1916 Dec 23 09:00 ssh_config
drwxr-xr-x. 2 root root     28 Dec 23 09:00 ssh_config.d
-rw-------. 1 root root   3674 Dec 23 09:00 sshd_config
drwx------. 2 root root     66 Dec 23 09:00 sshd_config.d
-rw-------. 1 root root    480 Jan 22 11:20 ssh_host_ecdsa_key
-rw-r--r--. 1 root root    162 Jan 22 11:20 ssh_host_ecdsa_key.pub
-rw-------. 1 root root    387 Jan 22 11:20 ssh_host_ed25519_key
-rw-r--r--. 1 root root     82 Jan 22 11:20 ssh_host_ed25519_key.pub
-rw-------. 1 root root   2578 Jan 22 11:20 ssh_host_rsa_key
-rw-r--r--. 1 root root    554 Jan 22 11:20 ssh_host_rsa_key.pub

이 중에서 서버 동작에 직접적인 영향을 주는 파일은 sshd_config 입니다.
클라이언트 설정은 ssh_config, 서버 설정은 sshd_config 라고 구분해서 기억해두면 됩니다.

---

Secure-Shell 서비스 설정 #

SSH 서버 설정은 /etc/ssh/sshd_config 파일에서 수행합니다.

bashCopy
vim /etc/ssh/sshd_config

아래는 실무에서 자주 사용하는 주요 설정 항목들입니다.

포트 변경 #

bashCopy
#Port 22

기본 포트는 22번입니다.
주석을 해제하고 다른 포트로 변경하면 무작위 스캔 공격을 줄이는 데 도움이 됩니다.

---

로그인 대기 시간 제한 #

bashCopy
#LoginGraceTime 2m

접속 후 인증 정보를 입력하지 않으면 지정된 시간이 지나 자동으로 연결이 종료됩니다.
무한 대기 상태를 방지하기 위한 설정입니다.

---

root 계정 로그인 제어 #

bashCopy
#PermitRootLogin prohibit-password

root 계정 직접 접속은 보안상 권장되지 않습니다.
필요하다면 no, without-password, prohibit-password 옵션을 상황에 맞게 선택합니다.

---

인증 시도 횟수 제한 #

bashCopy
#MaxAuthTries 6

비밀번호 또는 키 인증 실패 횟수를 제한합니다.
무차별 대입 공격을 완화하는 역할을 합니다.

---

공개키 인증 파일 위치 #

bashCopy
AuthorizedKeysFile .ssh/authorized_keys

사용자의 홈 디렉토리 아래 .ssh/authorized_keys 파일에 등록된 공개키를 인증에 사용합니다.

---

로그인 배너 설정 #

bashCopy
#Banner none
Banner /etc/issue

로그인 시 출력되는 경고 문구를 설정합니다.
법적 고지나 접근 제한 안내 문구를 작성하는 데 사용됩니다.

---

접근 허용 사용자 제한 #

bashCopy
AllowUsers guru

SSH로 접속 가능한 계정을 명시적으로 제한합니다.
필요한 사용자만 접근하도록 구성하는 것이 보안상 안전합니다.

설정 변경 후에는 반드시 SSH 서비스를 재시작해야 합니다.

bashCopy
systemctl restart sshd

---

SSH 접속 방식 #

SSH는 두 가지 방식으로 사용할 수 있습니다.

인터랙티브 로그인 #

bashCopy
ssh user@host

원격 시스템에 로그인하여 쉘을 사용하는 방식입니다.

명령어 단일 실행 #

bashCopy
ssh user@host command

원격 서버에서 특정 명령어만 실행하고 바로 종료됩니다.
자동화 스크립트에서 자주 사용됩니다.

---

파일 전송 방식 #

SFTP #

bashCopy
sftp guru@192.168.11.128

• get 파일명 : 다운로드
• put 파일명 : 업로드

대화형 인터페이스를 제공하며 비교적 사용이 직관적입니다.

---

SCP #

bashCopy
# 다운로드
scp user@192.168.11.128:/remote/path /local/path

# 업로드
scp /local/path user@192.168.11.128:/remote/path

단일 명령으로 파일을 전송할 수 있어 스크립트에 자주 사용됩니다.

---

공개키 인증 구성하기 #

비밀번호 인증 대신 공개키 인증을 사용하면 보안 수준을 크게 높일 수 있습니다.
구성 순서는 다음과 같습니다.

1. 키 생성 (클라이언트) #

bashCopy
ssh-keygen

공개키와 개인키가 ~/.ssh 디렉토리에 생성됩니다.

---

2. 공개키 서버 등록 #

bashCopy
ssh-copy-id user@server

공개키가 서버의 authorized_keys 파일에 자동으로 등록됩니다.

---

3. SSH 접속 #

bashCopy
ssh user@server

정상적으로 설정되었다면 비밀번호 없이 로그인됩니다.

---

마치며 #

SSH는 단순한 원격 접속 도구가 아니라 보안 통신의 기본 인프라에 가깝습니다.
설정을 어떻게 하느냐에 따라 시스템의 안전 수준이 크게 달라집니다.

이번 글에서는 기본적인 설정과 인증 방식 위주로 정리했습니다.