사용자 도구

사이트 도구


linux:ssh

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판 이전 판
다음 판
이전 판
linux:ssh [2015/04/09 16:38]
kwon37xi [sshpass]
linux:ssh [2023/01/30 17:19] (현재)
kwon37xi [no matching cipher found.]
줄 5: 줄 5:
   * [[http://server.dzone.com/articles/9-ssh-do%E2%80%99s-and-don%E2%80%99ts|9 SSH Do’s and Don’ts]]   * [[http://server.dzone.com/articles/9-ssh-do%E2%80%99s-and-don%E2%80%99ts|9 SSH Do’s and Don’ts]]
   * [[http://www.cyberciti.biz/faq/linux-unix-test-internet-connection-download-upload-speed/|Linux / Unix: Test Internet Connection Speed From Console Over SSH Command Line]]   * [[http://www.cyberciti.biz/faq/linux-unix-test-internet-connection-download-upload-speed/|Linux / Unix: Test Internet Connection Speed From Console Over SSH Command Line]]
 +  * [[linux:ssh:tunnel|SSH Tunneling]]
 +  * [[linux:asbrucm|asbru-cm]]
 +  * [[linux:pac|PAC]]
 +  * [[:tabby|tabby]]
 +  * [[linux:ssh:keychain|ssh keychain]]
 +  * [[linux:electerm|electerm]]
 +  * [[linux:scp|scp]]
  
 ===== Private Key 생성 ===== ===== Private Key 생성 =====
 <code sh> <code sh>
-ssh-keygen -t rsa+ssh-keygen -t rsa -b 4096 -m pem -C "your_email@example.com"
 </code> </code>
   * Passphrase를 항상 넣는 것이 좋다.   * Passphrase를 항상 넣는 것이 좋다.
   * ''id_rsa'' 파일은 개인키로 자신의 PC(Client)에 둔다.   * ''id_rsa'' 파일은 개인키로 자신의 PC(Client)에 둔다.
   * ''*.pub'' 파일은 공개키로 접속 대상 서버 계정의 ''~/.ssh/authorized_keys'' 파일에 그 내용을 추가한다.   * ''*.pub'' 파일은 공개키로 접속 대상 서버 계정의 ''~/.ssh/authorized_keys'' 파일에 그 내용을 추가한다.
-  * ''~/.ssh''에 있는 파일은 ''600'' 권한으로 설정해야한다.+  * [[git:github|Github]] 참조. 
 +  * ''ssh-keygen'' 최근 버전에서 ''-m pem'' 옵션이 없으면 private Key 헤더가 ''%%-----BEGIN OPENSSH PRIVATE KEY-----%%''로 시작한다면 호환 안되는 경우가 있을 수 있다. 
 +  * [[:upsource|Upsource]] 등 일부 과거 시스템들의 호환성으 높이려면 ''-m pem'' 옵션 추가할 것. 헤더가 ''%%-----BEGIN RSA PRIVATE KEY-----%%''로 시작해야한다. 
 +  * ''~/.ssh''에 있는 파일은 ''600'' 권한으로 설정해야한다. 해당 디렉토리도 권한 확인이 필요하다.<code sh> 
 +chmod 700 ~/.ssh 
 +</code> 
 + 
 +==== 서버의 ''~/.ssh/authorized_keys'' 에 파일추가 ==== 
 +  * [[https://linux.die.net/man/1/ssh-copy-id|ssh-copy-id(1) - Linux man page]] 명령으로 추가 가능. 
 + 
 +<code sh> 
 +ssh-copy-id -f -i id_rsa.pub username@host 
 +</code>
  
 ===== ssh-agent ===== ===== ssh-agent =====
줄 24: 줄 43:
   * 키 등록이 안 될 경우 키 파일의 권한이 **0600**이 맞는지 확인 해 본다.   * 키 등록이 안 될 경우 키 파일의 권한이 **0600**이 맞는지 확인 해 본다.
  
 +<code sh>
 +chmod 600 ~/.ssh/id_rsa*
 +</code>
 +  * [[https://unix.stackexchange.com/questions/90853/how-can-i-run-ssh-add-automatically-without-a-password-prompt|ssh agent - How can I run ssh-add automatically, without a password prompt? - Unix & Linux Stack Exchange]]
 +  * [[https://wiki.gnome.org/Projects/GnomeKeyring/Ssh|Projects/GnomeKeyring/Ssh - GNOME Wiki!]]
 +  * [[linux:ssh:keychain|ssh keychain]]
 +===== ssh-agent forwarding =====
 +  * local PC 에 원격 서버의 private key 를 두고, 이를 bastion 서버에 그대로 포워딩해주고, bastion 서버에서 해당 private key로 원격 서버에 접속 가능하게 한다.
 +  * 이렇게 하면 공용 bastion 서버에 private key를 두지 않기 때문에 좀 더 안전해진다.
 +  * [[https://aws.amazon.com/ko/blogs/security/securely-connect-to-linux-instances-running-in-a-private-amazon-vpc/|Securely Connect to Linux Instances Running in a Private Amazon VPC | AWS Security Blog]]
 +  * [[https://docs.github.com/en/developers/overview/using-ssh-agent-forwarding|Using SSH agent forwarding - GitHub Docs]]
 +  * [[https://sunshout.tistory.com/1893|Deep dive into Kernel :: SSH Agent forwarding]]
 +  * [[https://www.cloudsavvyit.com/25/what-is-ssh-agent-forwarding-and-how-do-you-use-it/|What is SSH Agent Forwarding and How Do You Use It? – CloudSavvy IT]]
 +  * [[https://dev.to/levivm/how-to-use-ssh-and-ssh-agent-forwarding-more-secure-ssh-2c32|SSH Agent Forwarding: How to use SSH properly and what is SSH Agent Forwarding - DEV Community]]
 +  * ''ssh -A'' 옵션으로 포워딩
 ===== SSH 접속 인사 텍스트 ===== ===== SSH 접속 인사 텍스트 =====
   * ''/etc/motd'' 파일 편집하면 SSH 접속시 인사말을 지정할 수 있다.   * ''/etc/motd'' 파일 편집하면 SSH 접속시 인사말을 지정할 수 있다.
 +  * 그런데 ''update-motd'' 애플리케이션이 작동하고 있을 때는 ''/etc/update-motd.d'' 의 스크립트가 순서대로 실행된 결과로 매번 ''/etc/motd'' 파일이 덮어써진다. 
 +  * 따라서 ''update-motd'' 사용시에는 ''/etc/update-motd.d''에 원하는 스크립트를 넣어둬야 한다.
  
 ===== ~/.ssh/config ===== ===== ~/.ssh/config =====
줄 32: 줄 67:
     * [[http://haruair.com/blog/2219|ssh config로 ssh 접속 간편하게 하기]]     * [[http://haruair.com/blog/2219|ssh config로 ssh 접속 간편하게 하기]]
     * [[http://nerderati.com/2011/03/simplify-your-life-with-an-ssh-config-file/|Simplify Your Life With an SSH Config File]]     * [[http://nerderati.com/2011/03/simplify-your-life-with-an-ssh-config-file/|Simplify Your Life With an SSH Config File]]
 +    * 파일 권한<code sh>
 +chmod 600 ~/.ssh/config
 +</code>
   * ''~/.ssh/config''<code sh>   * ''~/.ssh/config''<code sh>
 # 기본형태. ~/.ssh/id_rsa 를 사용할 경우 혹은 일반 비밀번호 인증의 경우 # 기본형태. ~/.ssh/id_rsa 를 사용할 경우 혹은 일반 비밀번호 인증의 경우
줄 37: 줄 75:
     HostName IP 혹은 hostname     HostName IP 혹은 hostname
     User 계정명     User 계정명
 +    IdentitiesOnly yes
  
 # 특정 key 지정 # 특정 key 지정
줄 44: 줄 83:
     PreferredAuthentications publickey     PreferredAuthentications publickey
     IdentityFile ~/.ssh/[private key]     IdentityFile ~/.ssh/[private key]
 +    IdentitiesOnly yes
  
 # github.com git 계정 접속시에 대한 처리 # github.com git 계정 접속시에 대한 처리
 Host github.com Host github.com
 +    HostName github.com
     User git     User git
     IdentityFile ~/.ssh/[github private key]     IdentityFile ~/.ssh/[github private key]
 +    IdentitiesOnly yes
          
 # 동일 2차 도메인 사용시 # 동일 2차 도메인 사용시
줄 55: 줄 97:
     PreferredAuthentications publickey     PreferredAuthentications publickey
     IdentityFile ~/.ssh/[private key]     IdentityFile ~/.ssh/[private key]
 +    IdentitiesOnly yes
 </code> </code>
 +  * [[https://gist.github.com/jexchan/2351996|동일 HostName, 동일 User 다중 Key]] ''Host github.com-SSHID'' 에서 ''Host'' 의 값을 ''github.com-myid'' 형태로 특정 값을 줘서 처리할 수 있고, 그 뒤 부터 ssh ''github.com-myid'' 같은 호출이 정상 작동한다.
 +    * [[https://stackoverflow.com/questions/7927750/specify-an-ssh-key-for-git-push-for-a-given-domain|Specify an SSH key for git push for a given domain - Stack Overflow]]
 +    * [[https://serverfault.com/questions/450796/how-could-i-stop-ssh-offering-a-wrong-key/450807#450807|gitolite - How could I stop ssh offering a wrong key? - Server Fault]] ''IdentitiesOnly yes'' 설정도 주는게 좋다. 그렇지 않으면 우선 순위상에 있는 다른 키 파일들 뒤에 ''IdentityFile''에 설정한 파일이 뒤로 추가되는 형태로 시도된다.(''~/.ssh/id_dsa, ~/.ssh/id_rsa'' 등이 더 우선된다)
 +    * ''ProxyCommand''
 +    * [[https://io.adafruit.com/blog/notebook/2016/09/27/ssh-config-includes/|SSH Config Includes]]
 +      * ''Include ~/.ssh/other_config''
  
 ===== 접속 유지 Keep connection ===== ===== 접속 유지 Keep connection =====
줄 71: 줄 120:
    ServerAliveInterval 60    ServerAliveInterval 60
 </code> </code>
-  * ssh 데몬 재시작+  * 권한 설정<code sh> 
 +chmod 600 ~/.ssh/config 
 +</code> 
 +  * ssh 데몬 재시작<code sh> 
 +sudo service ssh restart 
 +</code> 
 + 
 +혹은 명령행 옵션을 직접 줘도 됨 
 + 
 +<code sh> 
 +ssh  -o ServerAliveInterval=60 hostname 
 +</code>
  
 ===== Text 파일 Gzip 압축 전송 : 다른 서버의 파일을 현재 서버로 전송 ===== ===== Text 파일 Gzip 압축 전송 : 다른 서버의 파일을 현재 서버로 전송 =====
줄 95: 줄 155:
 ===== sshpass ===== ===== sshpass =====
   * ssh, scp 등의 비밀번호를 자동으로 입력해준다.<code sh>   * ssh, scp 등의 비밀번호를 자동으로 입력해준다.<code sh>
 +# 비밀번호가 'SSHPASS' 환경변수로 전달됨.
 +# bash로 부터 받을 때는 export SSHPASS 명시
 +sshpass -e ssh -o StrictHostKeyChecking=no 아이디@호스트주소 명령어
 +
 # 비밀번호 직접입력 # 비밀번호 직접입력
 sshpass -p비밀번호 ssh -o StrictHostKeyChecking=no 아이디@호스트주소 명령어 sshpass -p비밀번호 ssh -o StrictHostKeyChecking=no 아이디@호스트주소 명령어
  
-# 파일+비밀번호 파일. 일반 텍스트로 비밀번호 넣어둠. 파일 권한을 others, group은 읽고 쓰기 못하게 할 것.
 sshpass -f /path/to/passfile ssh -o StrictHostKeyChecking=no 아이디@호스트주소 명령어 sshpass -f /path/to/passfile ssh -o StrictHostKeyChecking=no 아이디@호스트주소 명령어
 +
 +# expect와 함께 sshpass -f 사용시 ~ 을 통한 사용자 디렉토리 지정은 작동하지 않았음.
 </code> </code>
   * [[http://zetawiki.com/wiki/%EB%A6%AC%EB%88%85%EC%8A%A4_sshpass_%EC%82%AC%EC%9A%A9%EB%B2%95|리눅스 sshpass 사용법]]   * [[http://zetawiki.com/wiki/%EB%A6%AC%EB%88%85%EC%8A%A4_sshpass_%EC%82%AC%EC%9A%A9%EB%B2%95|리눅스 sshpass 사용법]]
줄 107: 줄 173:
 <code sh> <code sh>
 ssh myhostname 'bash -s' <<'ENDSSH' ssh myhostname 'bash -s' <<'ENDSSH'
-jstat -gcutil `jps | grep Bootstrap | awk '{print $1}'` 1s+# commands...
 ENDSSH ENDSSH
 </code> </code>
  
 +
 +===== known_hosts 에 미리 호스트 추가 =====
 +  * [[http://bcho.tistory.com/1227|SSH known_host 메모]]
 +  * [[https://linuxhint.com/category/ubuntu/|How to use ssh-keyscan on Ubuntu]]
 +  * [[https://man.openbsd.org/ssh-keyscan.1|ssh-keyscan(1) - OpenBSD manual pages]]
 +<code sh>
 +ssh-keyscan -t rsa host명 >> ~/.ssh/known_host
 +ssh-keyscan -t rsa -f host명들 이들어있는 파일명 >> ~/.ssh/known_host
 +</code>
 +
 +=====  no matching cipher found. =====
 +아래와 같은 오류 발생시..
 +
 +>> no matching cipher found. Their offer: aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc,rijndael128-cbc,rijndael192-cbc,rijndael256-cbc,rijndael-cbc@lysator.liu.se
 +
 +혹은 
 +>> no matching key exchange method found. Their offer: diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
 +
 +
 +''~/.ssh/config'' 마지막에 다음과 같은 설정 추가(알고리즘은 알아서..)
 +<code>
 +Ciphers aes128-cbc,aes192-cbc,aes256-cbc
 +# 필요한 경우
 +KexAlgorithms +diffie-hellman-group1-sha1
 +
 +# Host 를 명시해서 설정하는게 나음
 +Host 123.123.123.123
 +    KexAlgorithms +diffie-hellman-group1-sha1
 +    
 +</code>
 +
 +혹은 명령행에 암호화 방식을 ''-c'' 옵션으로 직접 지정한다.
 +
 +<code sh>
 +ssh -c aes128-cbc kwon37xi@xxx.xx.xx.xx
 +</code>
 +
 +===== no match host key type found =====
 +  * 아래와 같은 형태의 메시지가 나온다면,
 +<code>
 +Unable to negotiate with 192.168.1.1 port 22: no matching host key type found. Their offer: ssh-dss, ssh-rsa
 +</code>
 +  * 위에서와 같이 전역으로 혹은 특정 ''Host'' 에 다음과 같이 설정한다.
 +<code sh>
 +
 +HostkeyAlgorithms ssh-dss,ssh-rsa
 +</code>
 +===== SSH Pipe =====
 +  * [[https://www.maketecheasier.com/ssh-pipes-linux/|How to Use SSH Pipes on Linux]]
 +
 +===== SSH RSA private key 를 공유해도 괜찮은가? =====
 +  * [[https://crypto.stackexchange.com/questions/2706/what-is-the-harm-if-i-publish-an-encrypted-rsa-private-key-publicly|public key - What is the harm if I publish an encrypted RSA private key publicly? - Cryptography Stack Exchange]]
 +  * **강력한 비밀번호로 passphrase를 걸었다면** 괜찮지만, bruteforce 공격에 대비해 주기적으로 바꿔주는게 좋다.
 +
 +
 +===== 참조 =====
 +  * [[https://blog.programster.org/ssh-agent-cheatsheet|SSH Agent Cheatsheet | Programster's Blog]]
  
linux/ssh.1428565117.txt.gz · 마지막으로 수정됨: 2015/04/09 16:38 저자 kwon37xi