XNUMX๊ฐ์๊ฐ์ ๊ฐ๋ฐ ๋์
์ฃผ์ ๋ณ๊ฒฝ ์ฌํญ :
- ์์ ์ปดํจํฐ์ ๋ํ ๋ฌด์ฐจ๋ณ ๋์
๊ณต๊ฒฉ์ ์ ํญํ๋ ํค ๊ตํ ๋ฐฉ๋ฒ์ ๋ํ ์คํ์ ์ง์์ด ssh ๋ฐ sshd์ ์ถ๊ฐ๋์์ต๋๋ค. ์์ ์ปดํจํฐ๋ ํ๋ ๋น๋์นญ ์ํธํ ์๊ณ ๋ฆฌ์ฆ์ ๊ธฐ์ด๊ฐ ๋๊ณ ๊ธฐ์กด ํ๋ก์ธ์์์๋ ํจ๊ณผ์ ์ผ๋ก ํด๊ฒฐํ ์ ์๋ ์์ฐ์๋ฅผ ์์ธ์๋ก ๋ถํดํ๋ ๋ฌธ์ ๋ฅผ ํด๊ฒฐํ๋ ๋ฐ ๊ทผ๋ณธ์ ์ผ๋ก ๋ ๋น ๋ฆ
๋๋ค. ์ ์ํ๋ ๋ฐฉ๋ฒ์ ์๊ณ ๋ฆฌ์ฆ์ ๊ธฐ๋ฐ์ผ๋ก ํ๋ค.
NTRU ํ๋ผ์ (ํจ์ ntrup4591761), ํฌ์คํธ ์์ ์ํธ ์์คํ ์ฉ์ผ๋ก ๊ฐ๋ฐ๋์์ผ๋ฉฐ ํ์ ๊ณก์ ํค ๊ตํ ๋ฐฉ๋ฒ X25519; - sshd์์ ListenAddress ๋ฐ PermitOpen ์ง์๋ฌธ์ IPv2001 ์์ ์ ๋จ์ํํ๊ธฐ ์ํด "host:port" ๋์ 6๋ ์ ๊ตฌํ๋ ๋ ๊ฑฐ์ "host/port" ๊ตฌ๋ฌธ์ ๋ ์ด์ ์ง์ํ์ง ์์ต๋๋ค. ํ๋ ์ํฉ์์๋ IPv6์ ๋ํด "[::1]:22" ๊ตฌ๋ฌธ์ด ์ค์ ๋์์ผ๋ฉฐ "ํธ์คํธ/ํฌํธ"๋ ์ข ์ข ์๋ธ๋ท(CIDR)์ ๋ํ๋ด๋ ๊ฒ๊ณผ ํผ๋๋ฉ๋๋ค.
- ssh, ssh-agent ๋ฐ ssh-add๋ ์ด์ ํค๋ฅผ ์ง์ํฉ๋๋ค.
ECDSA PKCS#11 ํ ํฐ์์; - ssh-keygen์์๋ ์๋ก์ด NIST ๊ถ์ฅ ์ฌํญ์ ๋ฐ๋ผ ๊ธฐ๋ณธ RSA ํค ํฌ๊ธฐ๊ฐ 3072๋นํธ๋ก ๋์ด๋ฌ์ต๋๋ค.
- ssh์์๋ "PKCS11Provider=none" ์ค์ ์ ์ฌ์ฉํ์ฌ ssh_config์ ์ง์ ๋ PKCS11Provider ์ง์์ด๋ฅผ ์ฌ์ ์ํ ์ ์์ต๋๋ค.
- sshd๋ sshd_config์ "ForceCommand=internal-sftp" ์ ํ์ผ๋ก ์ธํด ์ฐจ๋จ๋ ๋ช ๋ น์ ์คํํ๋ ค๊ณ ์๋ํ ๋ ์ฐ๊ฒฐ์ด ์ข ๋ฃ๋๋ ์ํฉ์ ๋ํ ๋ก๊ทธ ํ์๋ฅผ ์ ๊ณตํฉ๋๋ค.
- SSH์์ ์ ํธ์คํธ ํค ์๋ฝ์ ํ์ธํ๋ ์์ฒญ์ ํ์ํ ๋ "์" ์๋ต ๋์ ์ด์ ํค์ ์ฌ๋ฐ๋ฅธ ์ง๋ฌธ์ด ์๋ฝ๋ฉ๋๋ค(์ฐ๊ฒฐ ํ์ธ ์ด๋์ ๋ํ ์๋ต์ผ๋ก ์ฌ์ฉ์๋ ์๋์ผ๋ก ๋น๊ตํ์ง ์๋๋ก ํด๋ฆฝ๋ณด๋๋ฅผ ํตํด ๋ณ๋๋ก ์์ ๋ ์ฐธ์กฐ ํด์)
- ssh-keygen์ ๋ช ๋ น์ค์์ ์ฌ๋ฌ ์ธ์ฆ์์ ๋ํ ๋์งํธ ์๋ช ์ ์์ฑํ ๋ ์ธ์ฆ์ ์ํ์ค ๋ฒํธ์ ์๋ ์ฆ๊ฐ๋ฅผ ์ ๊ณตํฉ๋๋ค.
- ProxyJump ์ค์ ๊ณผ ๋์ผํ ์๋ก์ด ์ต์ "-J"๊ฐ scp ๋ฐ sftp์ ์ถ๊ฐ๋์์ต๋๋ค.
- ssh-agent, ssh-pkcs11-helper ๋ฐ ssh-add์์ ์ถ๋ ฅ์ ์ ๋ณด ๋ด์ฉ์ ๋๋ฆฌ๊ธฐ ์ํด "-v" ๋ช ๋ น์ค ์ต์ ์ฒ๋ฆฌ๊ฐ ์ถ๊ฐ๋์์ต๋๋ค(์ง์ ๋ ๊ฒฝ์ฐ ์ด ์ต์ ์ ํ์ ํ๋ก์ธ์ค์ ์ ๋ฌ๋ฉ๋๋ค. ์๋ฅผ ๋ค์ด ssh-pkcs11-helper๊ฐ ssh-agent์์ ํธ์ถ๋๋ ๊ฒฝ์ฐ)
- ๋์งํธ ์๋ช ์์ฑ ๋ฐ ํ์ธ ์์ ์ ์ํํ๊ธฐ ์ํด ssh-agent์ ํค ์ ํฉ์ฑ์ ํ ์คํธํ๊ธฐ ์ํด "-T" ์ต์ ์ด ssh-add์ ์ถ๊ฐ๋์์ต๋๋ค.
- sftp-server๋ "openssh.com์ lsetstat" ํ๋กํ ์ฝ ํ์ฅ์ ๋ํ ์ง์์ ๊ตฌํํฉ๋๋ค. ์ด๋ SFTP์ ๋ํ SSH2_FXP_SETSTAT ์์ ์ ๋ํ ์ง์์ ์ถ๊ฐํ์ง๋ง ๋ค์ ๊ธฐํธ ๋งํฌ๋ ํฌํจํ์ง ์์ต๋๋ค.
- ๊ธฐํธ ๋งํฌ๋ฅผ ์ฌ์ฉํ์ง ์๋ ์์ฒญ์ผ๋ก chown/chgrp/chmod ๋ช ๋ น์ ์คํํ๊ธฐ ์ํด sftp์ "-h" ์ต์ ์ ์ถ๊ฐํ์ต๋๋ค.
- sshd๋ PAM์ ๋ํ $SSH_CONNECTION ํ๊ฒฝ ๋ณ์ ์ค์ ์ ์ ๊ณตํฉ๋๋ค.
- sshd์ ๊ฒฝ์ฐ "Match final" ์ผ์น ๋ชจ๋๊ฐ ssh_config์ ์ถ๊ฐ๋์์ต๋๋ค. ์ด๋ "Match canonical"๊ณผ ์ ์ฌํ์ง๋ง ํธ์คํธ ์ด๋ฆ ์ ๊ทํ๋ฅผ ํ์ฑํํ ํ์๋ ์์ต๋๋ค.
- ๋ฐฐ์น ๋ชจ๋์์ ์คํ๋ ๋ช ๋ น ์ถ๋ ฅ์ ๋ณํ์ ๋นํ์ฑํํ๊ธฐ ์ํด sftp์ '@' ์ ๋์ฌ์ ๋ํ ์ง์์ด ์ถ๊ฐ๋์์ต๋๋ค.
- ๋ช
๋ น์ ์ฌ์ฉํ์ฌ ์ธ์ฆ์์ ๋ด์ฉ์ ํ์ํ๋ ๊ฒฝ์ฐ
"ssh-keygen -Lf /path/certificate"๋ ์ด์ CA๊ฐ ์ธ์ฆ์์ ์ ํจ์ฑ์ ๊ฒ์ฌํ๋ ๋ฐ ์ฌ์ฉํ๋ ์๊ณ ๋ฆฌ์ฆ์ ํ์ํฉ๋๋ค. - ๊ทธ๋ฃน ๋ฐ ์ฌ์ฉ์ ์ด๋ฆ์ ๋์๋ฌธ์๋ฅผ ๊ตฌ๋ถํ์ง ์๋ ๋น๊ต ๊ธฐ๋ฅ์ ์ ๊ณตํ๋ ๋ฑ Cygwin ํ๊ฒฝ์ ๋ํ ์ง์์ด ํฅ์๋์์ต๋๋ค. Microsoft ์ ๊ณต OpenSSH ํฌํธ์์ ๊ฐ์ญ์ ํผํ๊ธฐ ์ํด Cygwin ํฌํธ์ sshd ํ๋ก์ธ์ค๊ฐ cygsshd๋ก ๋ณ๊ฒฝ๋์์ต๋๋ค.
- ์คํ์ ์ธ OpenSSL 3.x ๋ถ๊ธฐ๋ฅผ ์ฌ์ฉํ์ฌ ๋น๋ํ๋ ๊ธฐ๋ฅ์ด ์ถ๊ฐ๋์์ต๋๋ค.
- ์ ๊ฑฐ๋จ
์ทจ์ฝ์ (CVE-2019-6111) ๊ณต๊ฒฉ์๊ฐ ์ ์ดํ๋ โโ์๋ฒ์ ์ก์ธ์คํ ๋ ํด๋ผ์ด์ธํธ ์ธก์์ ๋์ ๋๋ ํฐ๋ฆฌ์ ์์ ํ์ผ์ ๋ฎ์ด์ธ ์ ์๋๋ก ํ์ฉํ๋ scp ์ ํธ๋ฆฌํฐ ๊ตฌํ์ ์์ต๋๋ค. ๋ฌธ์ ๋ scp๋ฅผ ์ฌ์ฉํ ๋ ์๋ฒ๊ฐ ํด๋ผ์ด์ธํธ์ ๋ณด๋ผ ํ์ผ๊ณผ ๋๋ ํฐ๋ฆฌ๋ฅผ ๊ฒฐ์ ํ๊ณ ํด๋ผ์ด์ธํธ๋ ๋ฐํ๋ ๊ฐ์ฒด ์ด๋ฆ์ ์ ํ์ฑ๋ง ํ์ธํ๋ค๋ ๊ฒ์ ๋๋ค. ํด๋ผ์ด์ธํธ ์ธก ๊ฒ์ฌ๋ ํ์ฌ ๋๋ ํฐ๋ฆฌ("../")๋ฅผ ๋ฒ์ด๋๋ ์ด๋์ ์ฐจ๋จํ๋ ๊ฒ์ผ๋ก ์ ํ๋์ง๋ง ์๋ ์์ฒญํ ์ด๋ฆ๊ณผ ๋ค๋ฅธ ์ด๋ฆ์ ๊ฐ์ง ํ์ผ์ ์ ์ก์ ๊ณ ๋ คํ์ง ์์ต๋๋ค. ์ฌ๊ท๋ณต์ฌ(-r)์ ๊ฒฝ์ฐ ํ์ผ๋ช ์ธ์๋ ํ์ ๋๋ ํฐ๋ฆฌ์ ์ด๋ฆ๋ ๋น์ทํ ๋ฐฉ์์ผ๋ก ์กฐ์ํ ์ ์๋ค. ์๋ฅผ ๋ค์ด, ์ฌ์ฉ์๊ฐ ํ ๋๋ ํฐ๋ฆฌ์ ํ์ผ์ ๋ณต์ฌํ๋ฉด ๊ณต๊ฒฉ์๊ฐ ์ ์ดํ๋ โโ์๋ฒ๋ ์์ฒญํ ํ์ผ ๋์ .bash_aliases ๋๋ .ssh/authorized_keys๋ผ๋ ์ด๋ฆ์ ํ์ผ์ ์์ฑํ ์ ์์ผ๋ฉฐ scp ์ ํธ๋ฆฌํฐ์ ์ํด ์ฌ์ฉ์์ ๋๋ ํฐ๋ฆฌ์ ์ ์ฅ๋ฉ๋๋ค. ํ ๋๋ ํ ๋ฆฌ.์ ๋ฆด๋ฆฌ์ค์์๋ scp ์ ํธ๋ฆฌํฐ๊ฐ ์ ๋ฐ์ดํธ๋์ด ์์ฒญ๋ ํ์ผ ์ด๋ฆ๊ณผ ํด๋ผ์ด์ธํธ ์ธก์์ ์ํ๋๋ ์๋ฒ์์ ๋ณด๋ธ ํ์ผ ์ด๋ฆ ๊ฐ์ ์ผ์น์ฑ์ ํ์ธํฉ๋๋ค. ๋ง์คํฌ ํ์ฅ ๋ฌธ์๊ฐ ์๋ฒ์ธก๊ณผ ํด๋ผ์ด์ธํธ์ธก์์ ๋ค๋ฅด๊ฒ ์ฒ๋ฆฌ๋ ์ ์์ผ๋ฏ๋ก ๋ง์คํฌ ์ฒ๋ฆฌ์ ๋ฌธ์ ๊ฐ ๋ฐ์ํ ์ ์์ต๋๋ค. ์ด๋ฌํ ์ฐจ์ด๋ก ์ธํด ํด๋ผ์ด์ธํธ๊ฐ scp์์ ํ์ผ ์๋ฝ์ ์ค์งํ๋ ๊ฒฝ์ฐ ํด๋ผ์ด์ธํธ ์ธก ๊ฒ์ฌ๋ฅผ ๋นํ์ฑํํ๊ธฐ ์ํด "-T" ์ต์ ์ด ์ถ๊ฐ๋์์ต๋๋ค. ๋ฌธ์ ๋ฅผ ์์ ํ ํด๊ฒฐํ๋ ค๋ฉด scp ํ๋กํ ์ฝ์ ๊ฐ๋ ์ ์ฌ์์ ์ด ํ์ํ๋ฉฐ, ์ด ํ๋กํ ์ฝ ์์ฒด๋ ์ด๋ฏธ ๊ตฌ์์ด๋ฏ๋ก ๋์ sftp ๋ฐ rsync์ ๊ฐ์ ๋ณด๋ค ํ๋์ ์ธ ํ๋กํ ์ฝ์ ์ฌ์ฉํ๋ ๊ฒ์ด ์ข์ต๋๋ค.
์ถ์ฒ : opennet.ru