PHOTO-TO-PHOTO (P-TO-P)

1. Port xx

SSH 서비스 포트는 22로 규약되어 있지만 보안을 위해 임의의 포트로 변경 하는것도 가능하다.

원하는 포트번호로 변경하고 /etc/services 파일에서 ssh 포트값도 변경해 주면 된다.

포트번호는 1024 이상의 값들을 이용한다. 

2. Protocol 2

SSH 프로토콜은 ver 1과 ver 2가 있는데 SSH1 클라이언트와 SSH2 클라이언트의 접속 요청에 대한 것이다. 보안상 Protocol 1은 사용하지 않고 Protocol 2 만을 사용한다.

(둘다 사용하기 위해서는 Protocol 2,1 을 적어주면 된다.)

3. ListenAddress 0.0.0.0

SSH 서버에서 Listen 할 로컬 호스트 주소를 설정하는 것이다. 여러개의 IP를 사용중일 때 특정 IP로 SSH 접속이 가능토록 설정하는 옵션으로 0.0.0.0은 모든 네트워크를 의미한다.

사용하고자 하는 특정 IP가 있다면 0.0.0.0 대신 적으면 된다.

4. #Hostkey ~

Protocol 1, 2(rsa, dsa) 의 호스트키 위치를 지정한다.

5. KeyRegenerationInterval 1h

자동으로 생성된 키의 유효시간을 지정한다. (기본 3600sec 이고 h를 붙이면 1 hour의 의미이다.)

 이 옵션은 호스트의 세션에 있는 키를 캡쳐해서 암호를 해독하거나 훔친 키를 재사용 하지 못하도록

하기 위함이다.

6. ServerKeyBits 768

서버 키의 비트 길이를 설정한다. 최소 512, 기본 768.

7. SyslogFacility AUTH

syslog 데몬에 의한 로그 facility를 지정한다. sub system 종류 및 내용은 syslog 관련 자료를 참조.

8. LogLevel INFO

로그 레벨(메시지 종류)를 지정한다.

9. LoginGraceTime 2m

지정한 시간내에 로그인 하지 않으면 자동으로 접속을 끊는다. 0값은 무제한.

10. PermitRootLogin no

공격자가 임의의 주소에 root 계정으로 접속이 가능한지 여부를 무한 스캐닝을 통해

알아 낼 수 있다. 따라서 위와 같이 root 계정의 접근을 막고 일반 유저로 접속한 다음 

root 계정을 불러오는 것이 좋다.

11. StrictModes yes

로그인을 허용하기 앞서 파일 모드 및 사용자 홈 디렉토리 소유권과 원격 호스트의 파일들을

ssh 데몬이 체크 할 수 있도록 할 때 사용.

12. MaxAuthTries 6

접속당 최대 인증 시도 횟수. 기본값 6, 3회이상 인증 실패시 로그가 기록된다.

13. #RSAAuthentication yes

RSA 인증을 설정. Protocol 1 에서만 적용되는 옵션이므로 주석처리.

14. #PubkeyAuthentication yes

공개키 인증 설정. Protocol 2에 적용된다.

15. #AuthorizedKeysFile      .ssh/authorized_keys

인증키를 저장할 위치를 지정한다.

16. RhostsRSAAuthentication no

/etc/ssh/ssh_known_hosts 파일에 있는 호스트에 대한 인증을 허용할 것인지 설정한다.

17. HostbasedAuthentication no

호스트 기반의 인증 허용 여부를 결정한다.

18. IgnoreUserKnownHosts yes

RhostsRSAAuthentication, HostbasedAuthentication 인증시 ~/.ssh/knownhosts 파일의

호스트들을 제외할 것인지 설정한다. rhosts 파일을 허용하지 않았으므로 yes로 설정.

19. IgnoreRhosts yes

~/.rhosts와 ~/.shosts 파일 사용여부를 결정한다. 보안상 이유로 사용하지 않는다.

20. PasswordAuthentication yes

패스워드 인증을 허용한다. Protocol 1, 2 모두 적용된다.

21. PermitEmptyPasswords no

패스워드 인증시 비어있는 스트링을 인정할지 여부를 결정한다.

22. ChallengeResponseAuthentication no

Challenge-Response 인증을 허용할지 여부를 설정한다. UsePAM 옵션을 yes로 설정할 경우 이 옵션은 no로 설정해야 한다.

23. #UsePAM no

ChallengeResponseAuthentication을 이용한 PAM 인증을 허용하는 옵션이다. 이 옵션을 yes로 설정하는 경우 열쇠글 인증과 동일하게 적용되므로, 열쇠글 인증 또는 ChallengeResponseAuthentication 옵션을 꺼 놓아야 한다.

- Kerberos 및 GSSAPI 인증에 관한 내용은 필요에 따라 설정.

24. AllowTcpForwarding yes

TCP 포워딩을 가능토록 설정하는 옵션이다.

25. GatewayPorts no

클라이언트에 포워드된 포트로 원격 호스트 들이 접속할 수 있도록 설정하는 옵션이다.

26. X11Forwarding no

원격에서 X11 포워딩을 허용할지 여부를 설정하는 옵션이다.

27. #X11DisplayOffset 10

X11 포워딩이 될 때 디스플레이 offset을 설정. 허용하지 않았으므로 주석 처리.

28. PrintMotd yes

ssh 로그인시 /etc/motd 파일의 내용을 보여줄 것인지 여부결정. 

ssh 로그인을 환영하는 메시지나 공지사항 등을 출력되도록 할 수 있음.

29. PrintLastLog yes

로그인시 지난번 로그인 기록을 보여줄 것인가를 설정.

30. TCPKeepAlive yes

클라이언트의 접속이 끊어졌는지를 체크하기 위해 서버가 일정시간 메시지를 전달한다.

31. PermitUserEnvironment no

~/.ssh/enviroment와 ~/.ssh/authorized_keys 파일의 environment = 옵션을 sshd 데몬에서 처리 되도록 할것 인가를 설정한다.

32. Compression delayed

압축 사용여부를 결정.

33. ClientAliveInterval 0

클라이언트로부터 sshd 데몬이 아무런 데이터를 받지 못하게 되면 암호화된 채널을 통해서

메시지를 클라이언트의 요청에 응답하여 보내는데 이 때의 시간 간격을 초단위로 설정한다. 0은 클라이언트에

메시지를 보내지 않는 것을 의미. Protocol 2에서 적용된다.

34. ClientAliveCountMax 3

서버에게 전달되는 클라이언트의 생존 메시지 회수를 지정한다. 이 옵션으로 지정한 값에

도달하게 되면 sshd 데몬은 클라이언트와의 연결을 끊어 버리고 세션을 종료시킨다.

35. UseDNS yes

클라이언트 호스트 주소를 DNS 해석.

36. PidFile /var/run/sshd.pid

sshd 데몬의 PID를 저장할 파일을 지정한다.

37. MaxStartups 5

로그인하고 있지 않는 최대 접속 수를 설정한다. 이 값을 초과하게 되고 인증이 성공적으로

이뤄지지 않으면 그 다음 접속이 불가능 하다.

38. Subsystem       sftp    /usr/libexec/openssh/sftp-server

sftp는 프로토콜 버전 2에서 사용되는 것으로서 ssh와 같이 ftp의 보안을 

강화하기 위해 사용되는 보안 ftp 프로그램이다.

openssh를 설치하면 /usr/local/ssh/libexec/sftp-server파일이 설치된다.

이것은 sftp 서버용 프로그램으로 클라이언트 sftp프로그램은 설치되지 않는다.

따라서 서버로 가동시키고 원도용 ssh클라이언트 프로그램이나 SSH2를 설치하면

sftp를 사용이 가능하다.

39. UsePrivilegeSeparation yes

# 접속된 프로세스에 대해 상위 권한 없이 chroot로 고립된 형태로 작동

cat > /etc/resolv.conf << "EOF"
# Begin /etc/resolv.conf

domain <Your Domain Name>
nameserver <IP address of your primary nameserver>
nameserver <IP address of your secondary nameserver>

# End /etc/resolv.conf
EOF

CentOS 를 NetInstall 의 방법으로 설치했다면 DHCP(자동-default값) 혹은 Manual(수동) 중에 하나를 선택하여 설치가 진행되었을 것이다. 수동으로 고정(static)아이피를 부여했다면 따로 설정할 일은 없겠지만 기본값으로 제공하는 DHCP 를 이용했다면 서버의 IP를 고정하기 위해 간단한 설정을 곁들여야 한다. 

시스템 전체에 대한 Global한 기본 게이트웨이 주소를 설정과 호스트네임, 네트워킹 연결 허용 여부를 설정한다. 호스트네임은 설치중에 입력한 내용이 반영된다.

# vi /etc/sysconfig/network

NETWORKING=yes

HOSTNAME=uzuro.com   

GATEWAY=192.168.0.1

설정을 변경 후에는 /etc/rc.d/init.d/network restart 로 네트워크를 재시작한다.

네임서버 설정과 기본적으로 사용할 도메인명을 설정한다. 즉 호스트명만을 지정하였을 경우에 호스트명 뒤에 붙게되는 도메인명을 search 행에서 지정한 도메인명으로 사용한다. (ex. ftp -> ftp.uzuro.com 로 자동으로 도메인명이 붙는다). 또한 search 지시자는 여러개의 도메인을 지정할 수도 있는데 최소 1개에서 최대 6개까지 설정 할 수 있으며 첫번째 도메인이 기본도메인이 된다. (ex. search www.uzuro.com uzuro.com) 

리졸버는 달러기호($) 나 세미콜론(;) 으로 시작되는 라인을 주석으로 인식한다.

# vi /etc/resolv.conf

; generated by /sbin/dhclient-script    // DHCP 로 네트워크가 지정된 경우에 한하여 보여진다. 삭제하자

search uzuro.com

nameserver 168.126.63.1

nameserver 168.126.63.2    

설정을 변경 후에는 /etc/rc.d/init.d/network restart 로 네트워크를 재시작한다.

네임서버는 여러개 지정할 수 있고 첫번째 네임서버가 작동하지 않을 경우 다음 네임서버가 작동한다. 

인터넷 서비스 업체 SK 브로드밴드 올레 KT

LG 유플러스 

기본 DNS 서버

219.250.36.130

168.126.63.1 

164.124.107.9 

보조 DNS 서버

210.220.163.82

168.126.63.2 

203.248.242.2 

이 외에도 추가 가능한 지시자들

domain uzuro.com 

domain 지시자를 이용하여 도메인을 설정하였다면 호스트네임을 보고 기본 도메인을 설정하는 것이 아니라 domain 지시자에 의한 값을 우선한다. 만약 resolv.conf 파일에 domain, search 지시자가 둘다 적용되어 있다면 나중에 있는 지시자가 적용된다.

sortlist 210.233.12.150/255.255.255.0

이 지시자는 질의에대한 응답으로 하나이상의 IP 정보를 리턴할때 선호하는 네트워크와 서브넷을 지정하여 리졸버가 여러개의 주소중 원하는 네트워크 IP 주소를 우선적으로 가지도록설정한다.

option -debug

만약 리졸버를 컴파일할때 DEBUG 를 정의하고 했을경우 이 지시자로인해 많은 디버깅정보를 볼 수 있다.

option -ndots

search 리스트의 도메인들을 뒤에 덧붙이기 전에 리졸버가 입력받은 이름을 그대로 탐색할 수 있도록 입력받은 도메인 네임이 반드시 가져야하는 . 의 최소갯수이다.

eth0 은 시스템에 설치되어 잇는 이더넷카드(LanCard)의 명칭으로 첫번째 이더넷카드를 뜻한다. 이 설정파일에서 게이트웨이 및 다른 설정사항들이 다른 설정파일과 중복될 수도 있는데 이 경우 이곳의 설정파일이 우선시되어 적용된다.

아래는 DHCP 모드로 설치했을 경우 설정되어 잇는 내용이다.

# vi /etc/sysconfig/network-scripts/ifcfg-eth0 

DEVICE=eth0

BOOTPROTO=dhcp

HWADDR=XX:XX:XX:XX:XX:XX

NM_CONTROLLED=yes

ONBOOT=yes

TYPE=Ethernet

UUID=XXXXXXX-XXX-XXX-XXX-XXXXXXX

위와 같은 내용을 고정IP 부여를 위해 수정한다.

# vi /etc/sysconfig/network-scripts/ifcfg-eth0 

DEVICE=eth0    // 장치명, 첫번째 이더넷카드 

BOOTPROTO=static    // IP 부여 방식 결정, static 은 고정IP

HWADDR=XX:XX:XX:XX:XX:XX    // 이더넷카드의 MAC 주소

NM_CONTROLLED=no    // GUI 모드에서의 편리한 네트워크설정 허용, TUI에선 필요없음 

ONBOOT=yes    // 시스템 시작시 자동으로 활성화

TYPE=Ethernet    // Ethernet 에 대한 설정

UUID=XXXXXXX-XXX-XXX-XXX-XXXXXXX    // 고유ID를 부여하는 것으로 자동으로 부여됨

BROADCAST=192.168.0.255    // 브로드캐스트 지정

IPADDR=192.168.0.5    // IP 주소 지정

NETMASK=255.255.255.0    // 서브넷마스크 지정

NETWORK=192.168.0.0    // 네트워크  지정

ETHTOOL_OPTS=wol g    // Wake On Lan 기능 활성화, Ethtool 이 필요한데 CentOS 기본 설치되어 있음

USERCTL=no    // 일반사용자의 eth0 제어 가능여부

IPV6INIT=no    // IPV6 사용여부

설정을 변경 후에는 /etc/rc.d/init.d/network restart 로 네트워크를 재시작한다.

이 파일의 설정내용은 거의 고정되어 있고 별도로 설정할 것이 없다. 다만 만약 lo 라는 루프백 이더넷이 사라졌거나 정상적인 작동이 되지 않는다면 파일의 내용을 확인한다.

# vi /etc/sysconfig/network-scripts/ifcfg-lo

DEVICE=lo

IPADDR=127.0.0.1

NETMASK=255.0.0.0

NETWORK=127.0.0.0

# If you're having problems with gated making 127.0.0.0/8 a martian,

# you can change this to something else (255.255.255.255, for example)

BROADCAST=127.255.255.255

ONBOOT=yes

NAME=loopback

어떠한 이유로 IPv6를 중단할려면 아래와 같이 하면된다. 그러나 CentOS 6 FAQ에 의하면 SELinux등과의 호환성 문제로 권장하지 않는다고 한다.

# ifconfig

eth0      Link encap:Ethernet  HWaddr 00:0C:29:0E:82:2F

          inet addr:192.168.0.5  Bcast:192.168.0.255  Mask:255.255.255.0

          inet6 addr: fe80::20c:29ff:fe0e:822f/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:8807 errors:0 dropped:0 overruns:0 frame:0

          TX packets:8376 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:861904 (841.7 KiB)  TX bytes:908676 (887.3 KiB)

기본적으로 ipv6 이 활성화 상태다.

# echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf

# ifconfig

eth0      Link encap:Ethernet  HWaddr 00:0C:29:0E:82:2F

          inet addr:192.168.0.5  Bcast:192.168.0.255  Mask:255.255.255.0

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:8807 errors:0 dropped:0 overruns:0 frame:0

          TX packets:8376 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:861904 (841.7 KiB)  TX bytes:908676 (887.3 KiB)

ipv6 이 비활성화 되었다.