6/03, 6/05 CentOS / SSH 클라이언트 설정 /

2014-06-03 오전 9:12  

 

 

/root/.ssh 

Vi known_hosts (ssh로 접속했을 경우) 

원격지주소

암호화방식(RSA, DES)

암호화된 패스워드 값

Man - in -the middle attack

위 변조의 위험이 있는 경고

 

공격의 위험을 감지 하였을 경우 known_hosts를 통째로 삭제할 것. 

 

 

레드헷 설치 프로그램 

1. 자동설치프로그램 => 확장자 .rpm or yum 
2. 수동설치프로그램 => 확장자 .tar.gz  or  

 

참고 홈페이지 

 

 

Scp : 원격복사 

Sftp :  

 

처음으로 소스컴파일(수동설치)을 하는 경우에는 

C프로그래밍과 관련된 패키지가 없으므로 yum으로 설치해준다. 

 

소스컴파일(수동설치) 제거 

Make clean 

 

소스 컴파일시 설치되는 파일들 

/etc/ssh 

           ssh_config                   : 클라이언트 설정파일 

           sshd_config                 : 서버설정파일  

           ssh_host_dsa_key          : DSA 암호화된 개인키(서버) 

           ssh_host_dsa_key.pub    : DSA 암호화된 공개키(클라이언트) 

           ssh_host_rsa_key           : RSA 암호화된 공개키 

           ssh_host_rsa_key.pub      : RSA 암호화된 공개키 

 

/usr/local/bin                           

             scp                          : 원격전송프로그램 

             ssh                          : 클라이언트프로그램 

             ssh-keygen               : 키 생성 프로그램 

             ssh-agent                 : 인증대리인 

             ssh-add                    : 인증대리인+Identity추가 

             sft                           : sftp 프로그램 

 

/usr/local/sbin                         

             sshd                        : 서버프로그램 (d로 끝나면 : 데몬) 

 

 

오늘 사용한 명령어 history 

ssh 192.168.0.43 

exit 

su root 

exit 

ssh localhost 

cd /home 

cd 21-3 

ll 

su 21-3 

ssh 192.168.0.57 

cd .ssh 

ll 

vi known_hosts  

exit 

cd .ssh 

l 

ll 

rm -f known_hosts  

wget ftp://ftp.kaist.ac.kr/pub/OpenBSD/OpenSSH/portable/openssh-5.2p1.tar.gz (카이스트대학 서버에서 다운) 

yum remove -y openssh* (기존 버전 삭제) 

tar xvfz openssh-5.2p1.tar.gz (받은 압축파일 해제) 

yum install -y zilb-devel libgcrypt-devel openssl-devel pam-devel (보안관련요소 설치) 

./configure --prefix=/usr/local --sysconfdir=/etc/ssh --with-pam (ssh 설치) 

make && make install (소스 컴파일) 

make clean   (프로그램 제거) 

 

 

보안키 생성(RSA/DSA) 

 

/usr/local/bin/ssh-keygen -t rsa 

 

 

 

 

서버 환경설정(/etc/ssh/sshd_config)  

 

#vi (~) 입력 하면... 

 

포트 : 22 

 

#Protocol 2,1 

Protocol 2 

#AddressFamily any 

#ListenAddress 0.0.0.0 (ipv4) 

#ListenAddress ::   (ipv6) 

  

# HostKey for protocol version 1 

#HostKey /etc/ssh/ssh_host_key 

# HostKeys for protocol version 2 

#HostKey /etc/ssh/ssh_host_rsa_key 

#HostKey /etc/ssh/ssh_host_dsa_key 

. 

. 

. 

#KeyRegenerationInterval 1h  : 자동으로 생성키의 유효시간이다.  

                                         해킹방지용으로 0값은 무한대이다. 

#ServerKeyBits 768  : 최소값을 512, 기본값은 768개의 암호길이 

. 

. 

. 

#SyslogFacility AUTH 

SyslogFacility AUTHPRIV   syslog : 데몬에 의한 로그 관리, 기본값은 AUTH 

#LogLevel INFO  : 기본값은 INFO 

                         Quiet(기록하지 않음) 

                         FATAL(치명적인 오류) 

                         ERROR, VERBOSE, DEBUGS…(에러 관련) 

. 

. 

. 

#LoginGraceTime 2m  : 로그인 유효시간, 0값은 무제한/ 설정 후 service sshd(데몬명) restart 

#PermitRootLogin yes  : 수퍼계정으로 로그인 가능/불가능 

#StrictModes yes  : 로그인에 앞서 SSHD 데몬이 홈디렉토리 소유권과 원격호스트의 파일들을 체크할 수 있도록 한다. 

#MaxAuthTries 6  : 접속당 최대 인증회수 제한, 기본값은 6이며, 3회 이상 인증 실패 시 로그가 기록 됨 

                        /var/log/btmp 

 

 

 

서버 설치 

패키지 확인	Rpm -qa | grep 패키지명
패키지 설치	Yum또는 wget 또는 tar
환경설정	/etc/~~~~~~~
방화벽 설정	/etc/sysconfig/iptables
데몬 재시작	Service 데몬명 restart

 

 

 

방화벽설정  (vi /etc/sysconfig/iptables) 

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 

보안관련 설정 시 유용, dport메뉴가 중요 

 

 

인증방식 

3. 서버인증 

SSH서버에서 생성된 공개키를 클라이언트 시스템에 저장하여 

다음번 서버에 접속하였을 경우 공개키가 서버와 동일한 지를 

확인하여 인증하는 방식이다. 

 

4. 클라이언트 인증 

• 패스워드 방식 

/etc/ssh/sshd_config항목에서 

PasswordAuthentification   yes 

위 방식을 사용하지 않을 경우에는 yes -> no값으로 변경한다. 

 

• 공개키 인증방식 

Ssh-keygen으로 RSA/DSA 공개키와 개인키를 생성한 후 

Scp와 Sftp를 사용하여 클라이언트에게 안전하게 전송한다. 

파일 저장 위치 : ~/.ssh/    ~ : /home/로그온계정명 

 

공개키 암호화 방식 성공수비 

송신자의 공개키 -----------> 수신자의 비밀키(개인키) 

 

두 개의 키 중 id_rsa.pub공개키를 scp나  sftp를 이용하여 

서버의 사용자 홈 디렉터리에 전송한다. 

 

Vi etc/ssh/sshd_config 

 

PasswordAuthentification   no 

PubkeyAuthentification      yes 

AuthorizedKeysflie           .ssh/authorized 

 

 

• 호스트 기반 인증방식 
• PAM인증방식 (보안의 핵심 : 이중 암호화) 

 

 

2014-06-05 오전 10:10  

호스트 인증방식 (Host-based Authentification) 

 

호스트 인증은 클라이언트의 공개키를 서버의 known_hosts파일에 저장하여 공개키가 일치하는 클라이언트의 접속이 있을 때 패스워드 없이 접속할 수 있도록 해준다. 

 

개인키 /etc/ssh/ssh_host_rsa.key 

공개키 /etc/ssh/ssh-host_rsa.key.pub 

 

1)클라이언트 설정 

Ssh-keygen -t rsa 

 

Vi /etc/ssh/ssh_config 수정 

 

EnableSSHKeygen                yes 

HostbasedAuthentifiication    yes 

 

2)서버설정 

 

scp나 sftp를 사용하여 클라이언트의 공개키를 업로드/전송한다. 

 

 

 

PAM인증방식 

vi /etc/ssh/sshd_config 수정 

 

USerPAM                                     yes 

ChellengeResponseAuthentication     yes 

 

 

 

 

 

 

SSH의 특징 

5. SCP{를 이용한 파일전송 

사용법 

scp 계정@서버주소:복사할파일명 저장파일명 

 

 

 

NFS SERVER (Network File System) 

썬마이크로시스템즈에서 개발한 TCP/IP프로토콜로 리눅스 운영체제 간에 파일을 상호 공유하고자 할 때 사용된다. 

• 원격서버의 특정디렉토리를 로컬디렉토리로 사용한다. 
• CD-ROM/DVD가  없는 경우 공유를 사용한다. 
• 웹서버를 분산시켜 동기화 할 경우에 사용한다. 

 

자바 ---> 유비쿼터스 미들웨어(지니)