OpenSSH Server

소개

OpenSSH 는 강력한 도구 모음에 대한 원격 제어 및 데이터 전송 간에,네트워크로 연결된 컴퓨터입니다. 당신은 또한 중 일부에 대해 배울 수있는 구성 설정 가능한 OpenSSH 서버 응용 프로그램을 변경하는 방법에 Ubuntu 시스템입니다.

OpenSSH 는 원격으로 제어,또는 컴퓨터간에 파일을 전송하기위한 도구의 보안 쉘(SSH)프로토콜 제품군의 자유롭게 사용할 수있는 버전입니다. 전통적인 도구를 사용하여 이러한 기능과 같은 telnet 또는 rcp,불안하고 전송하는 사용자의 암호를 일반 텍스트할 때 사용됩니다. OpenSSH 제공하는 서버 디몬 및 클라이언트 도구를 촉진하는 안전한 암호화 원격 제어와 파일을 전송 작업을 효과적으로 대체하면 기존 도구입니다.

OpenSSH 서버 구성 요소 인 sshd 는 클라이언트 도구 중 하나에서 클라이언트 연결을 지속적으로 수신합니다. 연결 요청이 발생하면 sshd 는 연결하는 클라이언트 도구 유형에 따라 올바른 연결을 설정합니다. 는 경우,예를 들어,원격 컴퓨터가 연결 ssh 클라이언트 응용 프로그램,예를 들어,윈도우 서버 설정을 원격 제어한 후 세션에 인증이 있습니다. 원격 사용자가 scp 를 사용하여 OpenSSH 서버에 연결하면 openssh 서버 데몬이 인증 후 서버와 클라이언트 간에 안전한 파일 복사본을 시작합니다. OpenSSH 는 일반 암호,공개 키 및 Kerberos 티켓을 포함한 많은 인증 방법을 사용할 수 있습니다.

설치

OpenSSH 클라이언트 및 서버 응용 프로그램의 설치는 간단합니다. 를 설치하 OpenSSH 클라이언트 응용 프로그램에서 우분투스템,이 명령을 사용하는 단말에서 프롬프트

sudo apt install openssh-client

을 설치하는 예를 들어,윈도우 서버 응용 프로그램 및 관련 지원 파일을 사용하여 이 명령에서는 터미널 프롬프트

sudo apt install openssh-server

구성

구성할 수 있습의 기본 동작 예를 들어,윈도우 서버 응용 프로그램,sshd, 에 의해 파일을 편집/etc/ssh/sshd_config. 에 대한 자세한 내용 설정 지시어가 이 파일에 사용된,당신이 볼 수 있는 적절한 매뉴얼 페이지를 다음과 같은 명령행에서는 터미널 프롬프트

man sshd_config

많은 지시어에서 sshd 구성 파일제어와 같은 것 통신 설정,그리고 인증 모드가 있습니다. 다음은/etc/ssh/sshd_config파일을 편집하여 변경할 수있는 구성 지시문의 예입니다.

팁

이전에 구성 파일을 편집하는 원본 파일의 복사본을 보호하고 그것을 쓰는 것입니다 그래서 원래의 설정을 참조하고 재사용할 필요합니다.

사본을/etc/ssh/sshd_config파일 보호하고 그것을 쓰는 다음과 같은 명령행에서는 터미널 프롬프트

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.originalsudo chmod a-w /etc/ssh/sshd_config.original

또한 이후 지 ssh 서버를 의미할 수 있습을 잃고 당신의 방법에 도달하는 서버의 구성 후 변경하고 다시 시작하기 전에 서버:

sudo sshd -t -f /etc/ssh/sshd_config

의 예는 다음과 같습니다 설정 지시어를 변경할 수 있습니다:

• 설정하 OpenSSH TCP 포트 2222 신의 기본 TCP port22,변경,항구 지침과 같은:

포트 2222

• 을 예를 들어,윈도우 서버는 내용이 표시의/etc/issue.net/etc/ssh/sshd_configfile:

배너/etc/issue.net

를 변경한 후/etc/ssh/sshd_config파일의 파일을 저장,그리고 다시 시작 sshd 서버 응용 프로그램 변경 사항을 적용 하에서 다음 명령을 사용하여 터미널 프롬프트

sudo systemctl restart sshd.service

경고

다른 많은 설정 지시어에 대한 sshd 를 변경할 수 있는 서버 응용 프로그램의 동작합니다. 것,그러나,귀하의 유일한 방법에 액세스하는 서버는 ssh,그리고 당신은 실수를 구성하는 sshd 을 통해/etc/ssh/sshd_config파일을 찾을 수 있습니다 당신은 당신의 서버에 다시 시작 합니다. 또한 잘못된 directive 지시어를 제공합 sshd 서버를 거부할 수 있다,그래서 될 수 있는 이 파일을 편집하는 경우에는 원격 서버에 있습니다.

SSH 키

SSH 는 암호가 필요없이 두 호스트간에 인증을 허용합니다. SSH 키 인증은 개인 키와 공개 키를 사용합니다.

키를 생성합,터미널에서 프롬프트를 입력:

ssh-keygen -t rsa

이를 생성합니다 키를 사용하는 RSA 알고리즘이 있습니다. 이 글을 쓰는 시점에서 생성 된 키는 3072 비트를 갖습니다. -b옵션을 사용하여 비트 수를 수정할 수 있습니다. 예를 들어,를 생성하는 키와 4096 비트를 수행할 수 있습니다.

ssh-keygen -t rsa -b 4096

프로세스 동안 메시지가 표시됩니다 암호를 입력합니다. 키를 생성하라는 메시지가 표시되면 Enter 를 누르기 만하면됩니다.

기본적으로 공개키가 저장된 파일에~/.ssh/id_rsa.pub~/.ssh/id_rsaid_rsa.pub~/.ssh/authorized_keys에 의해 입력:

ssh-copy-id username@remotehost

마지막으로 두 배 확인에 대한 사용 권한을authorized_keys만,파일의 인증된 사용해 읽기 및 쓰기 권한이 있습니다. 권한이 올바르지 않은 경우 다음을 변경하여 변경하십시오:

chmod 600 .ssh/authorized_keys

이제 암호를 묻는 메시지가 표시되지 않고 호스트에 SSH 할 수 있어야합니다.

공개 키 서버에서 키 가져 오기

요즘 많은 사용자가 이미 런치 패드 또는 github 와 같은 서비스에 등록 된 ssh 키를 가지고 있습니다. 들을 쉽게 가져올 수 있다:

ssh-import-id <username-on-remote-service>

prefixlp:gh:을 만들 것입구에서 가져올 github 대신 합니다.

두 요소 인증 u2f/FIDO

OpenSSH8.2u2f/FIDO 하드웨어 인증 장치에 대한 지원이 추가되었습니다. 이러한 장치를 제공하는 데 사용되는 추가 계층의 보안에 최고의 기존 핵심 기반 인증으로 토큰 하드웨어 요구를 존재하는 것을 완료 인증이 있습니다.사용 및 설정이 매우 간단합니다. 유일한 추가 단계는 하드웨어 장치와 함께 사용할 수있는 새로운 키 페어를 생성하는 것입니다. 는 두 가지 주요 형태가 사용될 수 있습니다:ecdsa-sked25519-sk. 전자는 더 광범위한 하드웨어 지원을 제공하는 반면,후자는 더 최근의 장치가 필요할 수도 있습니다.

키 페어가 생성되면 일반적으로 openssh 에서 다른 유형의 키를 사용하는 것처럼 사용할 수 있습니다. 유일한 요구 사항은 개인 키를 사용하기 위해 u2f 장치가 호스트에 있어야한다는 것입니다.

예를 들어,플러그 U2F 에서 장치 및 키 쌍을 생성하여 함께 사용:

$ ssh-keygen -t ecdsa-skGenerating public/private ecdsa-sk key pair.You may need to touch your authenticator to authorize key generation. <-- touch deviceEnter file in which to save the key (/home/ubuntu/.ssh/id_ecdsa_sk): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/ubuntu/.ssh/id_ecdsa_skYour public key has been saved in /home/ubuntu/.ssh/id_ecdsa_sk.pubThe key fingerprint is:SHA256:V9PQ1MqaU8FODXdHqDiH9Mxb8XK3o5aVYDQLVl9IFRo ubuntu@focal

지금 바로 픽업 공공 부분을 서버를~/.ssh/authorized_keys그리고 당신은 갈 준비가 되어:

$ ssh -i .ssh/id_ecdsa_sk [email protected] user presence for key ECDSA-SK SHA256:V9PQ1MqaU8FODXdHqDiH9Mxb8XK3o5aVYDQLVl9IFRo <-- touch deviceWelcome to Ubuntu Focal Fossa (GNU/Linux 5.4.0-21-generic x86_64)(...)[email protected]:~$