SSH 호스트 모드 인증 구현

OpenSSH 는 SSH 프로토콜을 사용하는 오픈 소스 원격 제어 소프트웨어입니다. OpenSSH 는 기본 사용자 이름+암호 인증 및 인증 방법 외에도 키 쌍 또는 호스트 기반 인증 방법을 사용할 수 있습니다.

비밀 키를 기반으로 SSH 를 인증하는 방법에 대한 많은 정보가 있지만 호스트 ID 를 기반으로 SSH 를 인증하는 방법에 대한 정보는 상당히 혼란스럽다. 이 글은 작가의 최근 실천을 예로 들어 설명한다.

이 실습에는 두 개의 Linux 시스템 * * * 이 있는데 클라이언트의 호스트 이름은 mycentos 이고 IP 주소는192.168.1.25; 서버의 호스트 이름은 woocentos7 이고 IP 주소는192.168.1.6 입니다.

서버와 클라이언트 모두 호스트 인증을 지원하기 위해 SSH 구성 파일을 수정해야 합니다. 서버는 /etc/ssh/sshd_config 파일을 수정하여 HostbasedAuthentication 항목을 yes 로 변경하고 IgnoreRhosts 항목을 no 로 변경해야 합니다. 클라이언트는 /etc/ssh/ssh_config 파일을 수정하고 HostbasedAuthentication 항목을 yes 로 변경하고 EnableSSHKeysign 항목을 yes 로 변경해야 합니다. 서버측 구성 파일을 수정한 후 수정된 구성을 적용하려면 sshd 서비스를 다시 시작해야 합니다. 명령은 systemctl restart sshd 입니다.

서버측에서는 클라이언트의 호스트 이름을 /etc/hosts.equiv 구성 파일에 추가하고 ~/에 클라이언트의 호스트 이름과 해당 사용자 이름 (root, 공백으로 구분) 을 추가해야 합니다. Root 사용자의 shots 파일 및 /etc/ssh/ssh_known_hosts 파일에 있는 클라이언트의 호스트 공개 키 정보 형식은 다음과 같습니다.

마이센토스,192.168.1.25 ECD sa-sha2-nistp 256 aaae 2 vjz ... kk

여기서' MyCentos,192.168.1.25' 는 클라이언트의 호스트 이름과 IP 주소입니다. 따라서 호스트 이름이나 IP 주소를 통해 해당 공개 키 정보를 찾을 수 있습니다 Ssh-key scan-t ECD sa192.168.1.25 > 를 실행할 수 있습니다. 작업을 완료하려면 & gt/etc/ssh/ssh_known_hosts 명령을 사용합니다.

이 작업이 완료되면 이론적으로 클라이언트는 호스트 id 를 확인하여 ssh 로 서버에 로그인할 수 있지만 몇 가지 주의가 필요합니다.

1. 정상 로그인에 영향을 주지 않도록 서버측에서 SELinux (예: setenforce 0) 를 종료하는 것이 좋습니다. SELinux 를 종료한 후에도 클라이언트가 여전히 로그인할 수 없는 경우 서버측 sshd 서비스를 다시 시작할 수 있습니다. 주: SELinux 를 끄지 않으면 호스트 인증 기능을 구현할 수 있어야 하지만 시간 때문에 작성자는 다시 시도하지 않았습니다.

2. 서버 및 클라이언트의 /etc/hosts 파일에는 확인 오류를 묻는 메시지가 나타나지 않도록 상대 호스트의 IP 주소 확인이 있어야 합니다.

3. 서버와 클라이언트의 사용자 구성이 일치해야 합니다.

4. 클라이언트가 로그인할 때 사용자 이름을 추가할 필요가 없습니다. 다른 사용자 (현재 쉘 사용자가 아님) 가 로그인할 때 비밀번호를 입력하라는 메시지가 계속 표시되므로 호스트 인증의 의미가 상실됩니다.

5. 클라이언트가 로그인할 때 ssh -v server_name|server_IP 또는 ssh-vvvv server _ name | server _ IP 명령을 실행하여 자세한 협상 프로세스와 로그인 중 전송을 표시할 수 있습니다