이 문서는 리눅스 시스템에서 Secure Shell (SSH) 프로토콜을 사용하는 방법에 대한 포괄적인 가이드입니다. SSH는 원격 서버에 안전하게 접속하고, 파일을 전송하며, 보안 채널을 통해 다양한 네트워크 서비스를 이용할 수 있게 해주는 필수적인 도구입니다. 이 가이드를 통해 SSH의 기본 개념부터 고급 활용법까지 상세하게 이해하고 적용할 수 있을 것입니다.

SSH (Secure Shell)는 네트워크를 통해 컴퓨터에 원격으로 접근하고 명령을 실행하며, 파일을 안전하게 전송할 수 있도록 하는 암호화된 네트워크 프로토콜입니다. 기존의 안전하지 않은 프로토콜(예: Telnet, FTP)이 평문으로 데이터를 전송하여 스니핑 및 중간자 공격에 취약했던 것과 달리, SSH는 강력한 암호화 기술을 사용하여 모든 통신을 보호합니다.

• 원격 명령 실행: 원격 서버에 로그인하여 터미널 명령을 실행합니다.
• 보안 파일 전송: SCP (Secure Copy Protocol) 및 SFTP (SSH File Transfer Protocol)를 통해 파일을 안전하게 전송합니다.
• 포트 포워딩 (터널링): 암호화된 SSH 터널을 통해 안전하게 네트워크 트래픽을 전달합니다.
• X11 포워딩: 원격 서버의 그래픽 애플리케이션을 로컬 데스크톱에서 실행할 수 있도록 합니다.

SSH는 클라이언트-서버 모델로 작동합니다. SSH 클라이언트는 SSH 서버에 연결을 요청하고, 서버는 클라이언트의 인증을 확인한 후 안전한 통신 채널을 설정합니다. 이 과정에서 대칭키 암호화, 비대칭키 암호화, 해싱 등의 기술이 복합적으로 사용되어 데이터의 기밀성, 무결성, 인증을 보장합니다.

SSH를 효과적으로 사용하기 위해 이해해야 할 몇 가지 핵심 개념들이 있습니다.

• SSH 서버는 기본적으로 TCP 22번 포트를 사용합니다. 보안을 강화하기 위해 이 포트를 변경하는 경우가 많습니다.

SSH는 크게 두 가지 주요 인증 방식을 제공합니다.

• 비밀번호 기반 인증:
  • 가장 간단한 방식입니다. 클라이언트가 사용자 이름과 비밀번호를 서버에 전송하여 인증합니다.
  • 무차별 대입 공격에 취약하므로, 강력한 비밀번호를 사용하고 가능하면 다른 인증 방식과 병행하는 것이 좋습니다.
• 키 기반 인증 (공개키/개인키):
  • 가장 권장되는 보안 방식입니다. 클라이언트와 서버는 한 쌍의 암호화 키를 사용합니다.
  • 공개키 (Public Key): 서버에 저장되며, 누구나 볼 수 있습니다. (예: ~/.ssh/authorized_keys)
  • 개인키 (Private Key): 클라이언트에 저장되며, 절대로 외부에 노출되어서는 안 됩니다. 보통 비밀번호(Passphrase)로 보호됩니다. (예: ~/.ssh/id_rsa)
  • 인증 과정: 클라이언트가 개인키를 사용하여 암호화된 메시지를 서버에 보내면, 서버는 저장된 공개키로 이를 해독하여 클라이언트의 신원을 확인합니다.

• SSH 에이전트는 개인키를 메모리에 로드하여 관리하는 프로그램입니다.
• 개인키에 비밀번호(Passphrase)가 설정되어 있을 경우, 세션 시작 시 한 번만 비밀번호를 입력하면 이후에는 반복해서 입력할 필요 없이 개인키를 사용할 수 있게 해줍니다.

SSH 클라이언트를 사용하여 원격 서버에 접속하는 가장 기본적인 방법과 일반적인 옵션들을 알아봅니다.

기본적인 SSH 접속 명령어 형식은 다음과 같습니다.

ssh ''[사용자명]''@''[호스트명_또는_IP주소]''

• 예시:

ssh [email protected]

  <code>ssh [email protected]</code>

• 기본 포트(22번)가 아닌 경우: -p 옵션을 사용하여 포트를 지정할 수 있습니다.

ssh -p 2222 [email protected]

원격 서버에 처음 접속할 때, SSH 클라이언트는 서버의 '호스트 키'를 확인합니다. 이는 중간자 공격을 방지하기 위함입니다.

The authenticity of host 'example.com (192.168.1.100)' can't be established.
ECDSA key fingerprint is SHA256:.............................
Are you sure you want to continue connecting (yes/no/[fingerprint])?

• 메시지가 표시되면 yes를 입력하여 서버의 호스트 키를 로컬 ~/.ssh/known_hosts 파일에 저장합니다. 이후 같은 서버에 접속할 때는 이 메시지가 나타나지 않습니다.
• 만약 호스트 키가 변경되었다는 경고가 나타나면, 이는 서버가 변경되었거나 중간자 공격의 가능성이 있으므로 주의해야 합니다.

SSH 키 기반 인증은 비밀번호 인증보다 훨씬 안전하고 편리합니다.

ssh-keygen 명령어를 사용하여 공개키와 개인키 쌍을 생성합니다.

ssh-keygen -t rsa -b 4096

• -t rsa: RSA 알고리즘을 사용합니다. (다른 옵션: ed25519, ecdsa)
• -b 4096: 키의 비트 길이를 4096으로 설정합니다. (기본값은 2048)

명령을 실행하면 키를 저장할 경로와 비밀번호(Passphrase)를 묻습니다.

Generating public/private rsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/user/.ssh/id_rsa.
Your public key has been saved in /home/user/.ssh/id_rsa.pub.

• 개인키는 id_rsa (확장자 없음), 공개키는 id_rsa.pub 파일로 생성됩니다.
• Passphrase는 개인키를 암호화하는 비밀번호입니다. 설정하는 것을 강력히 권장합니다.

생성된 공개키를 원격 서버의 ~/.ssh/authorized_keys 파일에 추가해야 합니다. 가장 쉬운 방법은 ssh-copy-id 명령어를 사용하는 것입니다.

ssh-copy-id ''[사용자명]''@''[호스트명_또는_IP주소]''

• 예시:

ssh-copy-id [email protected]

이 명령어는 비밀번호 인증을 사용하여 서버에 접속한 후, 자동으로 공개키를 ~/.ssh/authorized_keys 파일에 추가합니다. ssh-copy-id가 없는 경우, 수동으로 공개키 내용을 복사하여 추가할 수 있습니다.

1.  로컬에서 공개키 내용 확인:
  <code>cat ~/.ssh/id_rsa.pub</code>
2.  원격 서버에 비밀번호로 접속:
  <code>ssh [email protected]</code>
3.  원격 서버에서 ''~/.ssh'' 디렉토리 생성 (없을 경우) 및 권한 설정:
  <code>mkdir -p ~/.ssh</code>
  <code>chmod 700 ~/.ssh</code>
4.  공개키 내용을 ''authorized_keys'' 파일에 추가:
  <code>echo "''[여기에_id_rsa.pub_내용_붙여넣기]''" >> ~/.ssh/authorized_keys</code>
5.  ''authorized_keys'' 파일 권한 설정:
  <code>chmod 600 ~/.ssh/authorized_keys</code>

개인키에 비밀번호가 설정되어 있다면, 매번 접속할 때마다 비밀번호를 입력해야 합니다. SSH 에이전트를 사용하면 이 불편함을 해소할 수 있습니다.

1.  SSH 에이전트 시작:
  <code>eval "$(ssh-agent -s)"</code>
2.  개인키를 에이전트에 추가:
  <code>ssh-add ~/.ssh/id_rsa</code>

• ssh-add 명령어를 실행하면 개인키의 비밀번호를 한 번 입력합니다.
• 이제 에이전트가 실행되는 동안에는 해당 개인키를 사용하는 SSH 접속 시 비밀번호를 다시 입력할 필요가 없습니다.

~/.ssh/config 파일은 SSH 클라이언트의 동작을 사용자 정의하고, 복잡한 접속 정보를 간소화하는 데 사용됩니다.

• 간소화된 명령어: 긴 IP 주소, 사용자 이름, 포트 번호 등을 짧은 별칭으로 대체할 수 있습니다.
• 자동화된 설정: 특정 호스트에 대한 개인키 경로, 포트 포워딩 설정 등을 미리 지정할 수 있습니다.
• 다중 호스트 관리: 여러 서버에 대한 접속 정보를 중앙에서 관리할 수 있습니다.

다음은 ~/.ssh/config 파일의 일반적인 구조와 예시입니다.

Host myserver
  Hostname example.com
  User user
  Port 2222
  IdentityFile ~/.ssh/id_rsa_myserver
  ForwardAgent yes

Host *
  ServerAliveInterval 60
  ServerAliveCountMax 3

• Host: 이 섹션에 대한 별칭 (예: myserver). 이 별칭을 사용하여 ssh myserver와 같이 접속합니다.
• Hostname: 실제 서버의 IP 주소 또는 도메인 이름.
• User: 접속할 사용자 이름.
• Port: 접속할 SSH 포트.
• IdentityFile: 이 호스트에 사용할 개인키 파일의 경로.
• ForwardAgent: SSH 에이전트 포워딩을 활성화할지 여부.
• Host *: 모든 호스트에 적용되는 전역 설정.
• ServerAliveInterval: 서버에 연결이 끊어지지 않았음을 알리는 메시지를 보내는 간격 (초).
• ServerAliveCountMax: 서버 응답이 없을 경우, 연결을 끊기 전까지 보낼 메시지 수.

SSH는 단순한 원격 접속을 넘어 다양한 고급 기능을 제공합니다.

SCP는 SSH를 통해 파일을 안전하게 복사하는 명령어입니다.

• 로컬에서 원격으로 파일 복사:

scp /path/to/local/file.txt [email protected]:/path/to/remote/directory/

• 원격에서 로컬로 파일 복사:

scp [email protected]:/path/to/remote/file.txt /path/to/local/directory/

• 디렉토리 복사 (재귀적): -r 옵션 사용

scp -r /path/to/local/directory/ [email protected]:/path/to/remote/parent_directory/

• 특정 포트 사용: -P 옵션 사용 (대문자 P에 유의)

scp -P 2222 /path/to/local/file.txt [email protected]:/path/to/remote/directory/

SFTP는 SSH를 통해 파일을 전송하는 대화형 프로토콜입니다. FTP와 유사하지만 보안성이 강화되었습니다.

• SFTP 접속:

sftp [email protected]

• 접속 후 사용 가능한 명령어:
  • ls: 원격 디렉토리 목록
  • lls: 로컬 디렉토리 목록
  • get <원격 파일> [로컬 경로]: 원격 파일 다운로드
  • put <로컬 파일> [원격 경로]: 로컬 파일 업로드
  • cd <원격 디렉토리>: 원격 디렉토리 변경
  • lcd <로컬 디렉토리>: 로컬 디렉토리 변경
  • bye 또는 exit: SFTP 세션 종료

SSH 터널링은 암호화된 SSH 연결을 통해 네트워크 트래픽을 전달하여, 보안되지 않은 서비스를 안전하게 사용할 수 있게 합니다.

• 로컬 포트 포워딩 (-L):
  • 로컬 머신의 특정 포트로 들어오는 연결을 SSH 서버를 통해 다른 원격 호스트/포트로 전달합니다.
  • 용도: 방화벽 뒤의 서비스에 접근하거나, 암호화되지 않은 서비스(예: MySQL)를 안전하게 사용.
  • 명령어:

ssh -L ''[로컬포트]'':''[원격호스트]'':''[원격포트]'' ''[SSH사용자]''@''[SSH서버]''

• 예시: 로컬 8080 포트를 통해 db.example.com의 3306 포트(MySQL)에 접속

ssh -L 8080:db.example.com:3306 [email protected]

      이제 로컬에서 ''localhost:8080''으로 접속하면 ''db.example.com:3306''으로 연결됩니다.

• 원격 포트 포워딩 (-R):
  • 원격 SSH 서버의 특정 포트로 들어오는 연결을 SSH 클라이언트를 통해 로컬 호스트/포트로 전달합니다.
  • 용도: 로컬 네트워크 안의 서비스를 외부에서 접근 가능하게 할 때 (NAT 환경 등에서 유용).
  • 명령어:

ssh -R ''[원격포트]'':''[로컬호스트]'':''[로컬포트]'' ''[SSH사용자]''@''[SSH서버]''

• 예시: 원격 서버의 8080 포트를 통해 로컬 웹 서버(localhost:80)에 접근

ssh -R 8080:localhost:80 [email protected]

      이제 원격 서버에서 ''localhost:8080''으로 접속하면 SSH 클라이언트가 실행 중인 로컬 머신의 80번 포트로 연결됩니다.

• 동적 포트 포워딩 (-D):
  • 로컬 머신에 SOCKS 프록시 서버를 생성하고, 이 프록시를 통해 모든 트래픽을 SSH 서버를 거쳐 인터넷으로 라우팅합니다.
  • 용도: 웹 브라우저나 다른 애플리케이션의 트래픽을 SSH 서버를 통해 우회할 때.
  • 명령어:

ssh -D ''[로컬포트]'' ''[SSH사용자]''@''[SSH서버]''

• 예시: 로컬 1080 포트에 SOCKS 프록시 서버 생성

ssh -D 1080 [email protected]

      이제 브라우저의 프록시 설정을 ''SOCKS5, localhost:1080''으로 지정하면 모든 트래픽이 SSH 터널을 통해 전송됩니다.

SSH 서버의 보안을 강화하는 것은 시스템을 외부 위협으로부터 보호하는 데 매우 중요합니다.

• 기본 포트(22번)는 공격자들의 주요 스캔 대상이 됩니다. 임의의 다른 포트 번호(예: 2222, 54321)로 변경하는 것이 좋습니다.
• /etc/ssh/sshd_config 파일을 수정합니다.

    #Port 22
    Port 2222
    

• 변경 후 SSH 서비스 재시작 및 방화벽 설정 업데이트가 필요합니다.

• 키 기반 인증을 완벽하게 설정한 후에는 비밀번호 인증을 비활성화하여 무차별 대입 공격을 방지합니다.
• /etc/ssh/sshd_config 파일을 수정합니다.

    PasswordAuthentication no
    

• 루트 계정은 모든 권한을 가지므로, 직접적인 루트 로그인을 허용하지 않는 것이 보안상 안전합니다. 일반 사용자로 로그인한 후 sudo를 사용하여 권한을 상승시키는 것이 좋습니다.
• /etc/ssh/sshd_config 파일을 수정합니다.

    PermitRootLogin no
    

• 특정 사용자만 SSH 접속을 허용하도록 설정할 수 있습니다.
• /etc/ssh/sshd_config 파일에 다음 줄을 추가합니다.

    AllowUsers user1 user2
    # 또는 AllowGroups sshusers
    

• Fail2ban은 SSH 로그를 모니터링하여 반복적인 로그인 실패 시 해당 IP 주소를 일정 시간 동안 차단하는 도구입니다. 무차별 대입 공격 방지에 매우 효과적입니다.
• 대부분의 리눅스 배포판에서 패키지 관리자를 통해 설치할 수 있습니다.

sshd_config 파일을 수정한 후에는 반드시 SSH 서비스를 재시작해야 변경 사항이 적용됩니다.

• Systemd 기반 (Ubuntu, CentOS 7+ 등):

sudo systemctl restart sshd

• SysVinit 기반 (Debian 8-, CentOS 6- 등):

sudo service ssh restart

SSH는 리눅스 시스템 관리 및 원격 작업에 있어 없어서는 안 될 핵심 프로토콜입니다. 이 가이드에서 다룬 SSH의 기본 개념, 키 기반 인증 설정, 설정 파일 활용, 그리고 고급 기능 및 보안 강화 팁을 통해 사용자는 더욱 안전하고 효율적으로 원격 서버를 관리할 수 있을 것입니다. 강력한 보안 기능과 유연한 활용성을 제공하는 SSH를 숙달함으로써, 여러분의 리눅스 시스템 관리 역량을 한 단계 더 향상시키시길 바랍니다.