CentOS SSH 설정

CentOS SSH 설정

 

 

 

서비스 시작/중지/재시작

service sshd start/stop/restart

 

 

설정 파일

/etc/ssh/sshd_config

 

# Port 22

임의의 포트를 사용하여 서비스 할 수 있다.

(1024 이상의 포트 사용할것)

 

*주의

포트 변경 시 iptables 에 사용할 포트 번호를 허용해주지 않으면 드랍 되어 접속이 안될 수 있다.

 

1) iptables 파일 수정

vi /etc/sysconfig/iptables

 

2) 허용할 포트를 입력하여 추가(예 1234 포트)

-A INPUT -m state --state NEW -m tcp -p tcp --dport 1234 -j ACCEPT

 

3) iptables 재시작

service iptables restart

or

/etc/init.d/iptables restart

 

Protocol 2

보안상 Protocol 1은 사용하지 않고 Protocol 2 사용한다.

(둘다 사용을 원할땐 Protocol 2,1)

#ListenAddress 0.0.0.0

SSH 서버의 IP가 여러개일 경우 특정 IP로 SSH 접속 가능하게 할때 설정한다.

(0.0.0.0 은 서버의 IP 전부 접속 가능)

 

 

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key

Protocol 1 호스트 키값이 저장되어있는 파일 위치

 

 

# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key

Protocol 2 호스트 키값이 저장되어있는 파일 위치

 

 

#KeyRegenerationInterval 1h

자동으로 생성된 키의 유효시간

(기본값은 3600초)

키를 캡쳐해서 암호를 해독하거나, 훔친키를 재사용하지 못하게 하기 위함

 

 

#ServerKeyBits 1024

서버의 암호키 생성시 이용하는 bit 수를 지정

(최소값 512, 기본값 768)

 

 

SyslogFacility AUTHPRIV

syslogd를 이용하여 로그를 기록할 방식 선택

AUTH - 사용자 인증에 관련한 메시지

AUTHPRIV - 인증 절차에 관련한 메시지

 

 

#LogLevel INFO

로그 기록 수준을 지정

(기본값 INFO, 그외 QUIET(기록하지않음) , FATAL(치명적오류) , ERROR,VERBOSE,DEBUGS)

 

 

#LoginGraceTime 2m

로그인 제한시간 지정.

해당 시간 내 로그인하지 않으면 접속을 끊는다.

(기본값 2분, 0은 무제한)

 

 

PermitRootLogin no

root 로그인 허용여부 설정

yes 설정시 보안에 취약해진다.

no 설정 할것.

 

 

#StrictModes yes

사용자 홈 디렉토리인 /home/username 의 권한값 등을 체크하도록 설정되어 있는 지시자

 

 

#MaxAuthTries 6

접속당 최대 인증 시도 횟수 지정

(기본값 6, 3회 이상 인증 실패시 로그 기록)

 

 

#RSAAuthentication yes

RSA 인증 옵션. Protocol 1 에서만 적용되는 옵션

 

 

#PubkeyAuthentication yes

공개키 인증 허용 여부 설정. Protocol 2 에서만 적용되는 옵션

 

 

#AuthorizedKeysFile    .ssh/authorized_keys

공개키 인증 허용시 공개키가 저장되어 있는 파일 위치 지정

 

 

#RhostsRSAAuthentication no

/etc/ssh/ssh_known_hosts 파일에 있는 호스트에 대한 인증 허용 여부 설정

 

 

#HostbasedAuthentication no

호스트 기반으로 인증할 것인지 여부 설정

(기본값 no 권장)

 

#IgnoreUserKnownHosts no
RhostsRSAAuthentication 과 HostbasedAuthentication 인증시 ~/.ssh/knownhosts 파일에 있는 호스트들을 제외할 것인지 설정

#IgnoreRhosts yes

~/.rhosts 와 ~/.shosts 파일 사용 여부 설정

 

 

 

#PermitEmptyPasswords no

패스워드 없이 접속 허용할지 설정

 

 

PasswordAuthentication yes
접속시 패스워드 인증 허용 여부 설정

(Protocol 1, 2 모두 적용)

 

ChallengeResponseAuthentication no
Challenge Response 인증을 허용할지 여부를 설정
(UsePAM 옵션을 yes로 설정할 경우 이 옵션은 no로 설정해야 한다.)

 

 

UsePAM yes

ChallengeResponseAuthentication을 이용한 PAM 인증을 허용하는 옵션

이 옵션을 yes로 설정하는 경우 열쇠글 인증과 동일하게 적용되므로, 열쇠글 인증 또는 ChallengeResponseAuthentication 옵션을 꺼 놓아야 한다.

- Kerberos 및 GSSAPI 인증에 관한 내용은 필요에 따라 설정.

 

#AllowTcpForwarding yes

TCP 포워딩을 허용할지 여부 설정

 

 

#GatewayPorts no

클라이언트에 포워드된 포트로 원격 호스트 들이 접속할 수 있도록 할지 여부 설정

 

X11Forwarding yes

원격에서 X11 포워딩 할지 여부 설정

 

 

#X11DisplayOffset 10

X11 포워딩이 될 때 디스플레이 offset 설정

 

#PrintMotd yes

로그인 후 /etc/motd 파일의 내용을 보여줄 것인지 여부 설정

 

 

#PrintLastLog yes

로그인 후 마지막 접속한 유저의 시간 및 IP를 출력할지 여부 설정

 

 

 

#TCPKeepAlive yes

클라이언트의 접속이 끊어졌는지 확인하기위해 서버가 일정시간 메시지를 보낼지 여부 설정

 

#PermitUserEnvironment no

~/.ssh/enviroment 와 ~/.ssh/authorized_keys 파일의 environment = 옵션을 sshd 데몬에서 처리 되도록 할 것 인지 여부 설정

 

 

#Compression delayed

압축 사용 여부 설정

 

 

#ClientAliveInterval 0

클라이언트로부터 sshd 데몬이 아무런 데이터를 받지 못하게 되면 암호화된 채널을 통해서 메시지를 클라이언트의 요청에 응답하여 보내는데 이 때의 시간 간격을 초단위로 설정한다. 0은 클라이언트에 메시지를 보내지 않는 것을 의미. Protocol 2에서 적용된다.

 

 

#ClientAliveCountMax 3

서버에게 전달되는 클라이언트의 생존 메시지 회수를 지정한다. 이 옵션으로 지정한 값에 도달하게 되면 sshd 데몬은 클라이언트와의 연결을 끊어 버리고 세션을 종료시킨다.

 

#UseDNS yes

클라이언트 호스트 주소를 IP로 해석 되도록 할 것인지 설정

 

 

#PidFile /var/run/sshd.pid

sshd 데몬의 PID를 저장할 파일 위치 지정

 

 

#PermitTunnel no

ssh 터널링 허용 여부 설정

[참고] http://cholchori.tistory.com/690

 

 

#ChrootDirectory none

가상 root 디렉토리 설정

 

 

#Banner /etc/issue.net

로그인 전 배너 파일 위치 설정

 

 

Subsystem    sftp    /usr/libexec/openssh/sftp-server

ssh에 의해 sftp 서버를 이용할 수  있도록 설정

 

 

 

[참고] http://webdir.tistory.com/119

[참고] http://faq.hostway.co.kr/Linux_ETC/4181