이번 내용

각 클라우드 공급업체가 가상 OS를 쉽게 구축할 수 있는 시대지만 보안이 소홀해지기 쉽다.(이 기사도 안전성을 고려해야 한다...)
이번에는 안전성을 고려하면서 ssh연결을 간단하게 활용할 수 있다는 논의가 있었기 때문에 비망록으로 기사를 썼다.
※ 이미 사회에 나온 내용은 죄송하지만...

클라우드 있음

어느 클라우드 공급업체든지 ssh용 키(공개 키/비밀 키)로 환경에 접근한다

벤치 서버를 만들어야 함

sshd_config의PasswordAuthentication을 구축한 후 비밀번호 인증으로 변경할 수 있지만 안전성은 아웃

환경의 전제 조건

이번 토론의 내용의 환경 구성을 예로 들면 다음과 같다.
※ 가용성 등은 생략합니다.

Web/AP/DB 서버에 대한 ssh 접근은 페달 서버를 거쳐야 한다

(가능하면) 자전거 서버의 접근원도 제어(이번에는 그림이 보이지 않음)

고객 단말기는 Windows

로 설정

ssh에서 고려하고 싶은 내용

상기 환경의 경우 ssh에서 고려하고자 하는 내용은 다음과 같다.

Web/AP/DB 서버에 액세스하는 데 사용되는 기밀 키를 페달 서버에 보관하고 싶지 않음

(가능하면) 각 키가 다른 키였으면 좋겠다

사용할 도구

Pageant을 사용하면 고려해야 할 내용을 지울 수 있습니다.

Pageant

OpenSSH의 ssh-agent와 비슷한 응용으로 프록시 전송을 실시하기 위해 클라이언트 터미널에서 시작된 Pageant에 기밀 키를 등록하고 점프 서버에서 다른 서버를 경유할 때 이 기밀 키를 사용하여 ssh를 실시한다.

개요도

잘 모르실 수도 있어서 개요도를 썼습니다.
[정상적인 ssh 프로세스]

[Pageant 사용 시]

주의 사항

이 구조를 채택하는 주의사항으로 ssh에서 고려하고자 하는 내용의 2에서 제시한 키가 서로 다른 키가 되고 싶은 요건을 충족시킬 수 있으나Pageant는 위에서 등록된 기밀 키를 순서대로 실행하기 때문에 sshdconfig를 초과하지 않는 MaxAuthTries를 설계해야 합니다.

추가 고려 사항

또한 각 OS 사용자에 대한 준비를 통해 보안을 최소화할 수 있도록 키/기밀 키를 공개하는 그룹을 고려하십시오.
※ 관리할 열쇠가 많아져서 곤란한데..

동작 확인

실제로 동작 방법을 간단하게 기재하다.
다음 내용에 관해서는 이번에는 생략하고 다음과 같이 설정합니다.

Teraterm은 고객 터미널에 설치

고객 터미널에 Pageant 설치

각 서버에 전용 키/개인 키가 있는 경우

Pageant 시작

[Pageant의 시작]
Pageant 검색 및 시작

[시작 확인]
숨겨진 지시기에 나타나다.

[개인 키 등록]
위의 Pageant에서 마우스 오른쪽 버튼을 클릭하고 "Add Key"를 클릭합니다.

상기 다음에 기밀 키를 선택하고 암호문을 입력하십시오.

Pageant의 시작이 완료되었습니다.

Teraterm 시작

[Teraterm 시작]
Teraterm을 시작하여 연결하려는 벤치 서버에 액세스합니다.
인증 화면에서.

사용자 이름 입력

프록시 전달 확인

Pageant 선택

OK 눌러.

[기타 서버의 ssh]
Linux의 ssh-agent는 -A 옵션이 필요하고Pageant의 경우 필요하지 않습니다. 아래와 같습니다.

ssh XX.XX.XX.XX

ssh를 한 후 아래의 "대리 전송 요청을 받아들일까요?"예 를 표시하고 예 를 누릅니다.

아래 화면은 잘 안 보이지만 발판 서버에서 다른 서버로 ssh를 보냈습니다.

마지막으로 주의해야 할 점.

이번 방식(Pageant)은 최종적으로 클라이언트에서 비밀 키를 메모리에 저장하기 때문에 어느 정도의 타협점으로 여겨진다.
또 다른 고려해야 할 점이 많지만 사랑을 끊기는 어렵다.(안전성은 어때!? 난 그렇게 생각해...)