Secure Shell

원격지 호스트 컴퓨터에 접속하기 위해 사용되는 인터넷 프로토콜. 보통 축약해서 SSH라고 부른다. 뜻 그대로 보안 셸이다. 기존의 유닉스 시스템 셸에 원격 접속하기 위해 사용하던 텔넷은 암호화가 이루어지지 않아 계정 정보가 탈취될 위험이 높으므로, 여기에 암호화 기능을 추가하여 1995년에 나온 프로토콜이다. # 기본 포트는 22번. 셸로 원격 접속을 하는 것이므로 기본적으로 CLI 상에서 작업을 하게 된다. 그러나, X.org가 설치된 클라이언트에서 X.org가 설치된 서버로 접속할 경우 ssh 명령어 파라미터로 -X를 주면 GUI 프로그램을 클라이언트에서 창으로 띄울 수 있다.[1] X.org는 현재 대부분 리눅스에서 사용하는 GUI 시스템이므로, 양쪽 리눅스를 GUI로 설치하면 대부분 사용 가능하다. SFTP 기능을 설정 파일(보통 리눅스에선 /etc/ssh/sshd_config)에서 활성화 하면 일부 FTP 클라이언트(FileZilla 등)에서 파일 공유를 위해 접속할 수 있다.

다만 ISP(인터넷 제공자)에 따라 이 22번 포트를 방화벽으로 막아버리는 곳이 존재한다. 악랄한 곳은 아예 사설 IP로 회선을 임대해줘서 모든 인바운드 연결을 막아버리는 곳도 존재. 보통 이런 곳은 인터넷이 포함되었는데도 관리비가 매우 저렴한 원룸이거나, 학생들이 엄한 짓 못하도록 하려는 기숙사거나... 그런 곳들이다. 이런 곳에서는 VPN이나 외부에 중계 서버를 둬서 Remote SSH Tunneling 밖엔 방법이 없다.[2] 보통 22번 포트를 막았다면 20[FTP], 21[FTP], 53[DNS], 80[HTTP], 443[HTTPS], 3389[RDP] 포트도 막혀 있다.

SSH 포트(22번)만 살아있다면 SSH Tunneling 사용해서 방화벽으로 막은 사이트를 접근할 수 있다. 상세 방법

먼저 서버에 SSH 서버를 설치해야 한다. 리눅스의 경우 대부분 배포판의 저장소에서 제공하므로 손쉽게 구할 수 있다.
설치되어 있지 않을 경우, 우분투 또는 일부 데비안 OS라면 sudo apt install openssh-server로 설치할 수 있다.
macOS의 경우 시스템 환경설정 > 공유 > 원격 로그인을 활성화하면 바로 SSH 서버가 작동한다.
윈도우 10의 경우 리눅스 하위시스템(WSL)을 설치하여 리눅스와 동일한 방법으로 사용하면 된다. 다만 WSL에 기본 설치되어 있는 SSH 서버는 제대로 동작하지 않으니 삭제 후 재설치해 주어야 한다.
아니면 설정에서 OpenSSH 서버를 설치할 수 있고 SSH 클라이언트는 기본 설치되어 있기 떄문에 Windows로도 SSH에 접속할 수 있다.

컴퓨터가 켜져 있고 절전모드가 아니어야 접속이 가능함으로 절전모드를 끄고, WOL를 미리 설정하자
Git bash을 설치
Window10 설정 → 앱 → 앱 및 기능 → 선택적 기능 관리 → OpenSSH 서버 설치, OpenSSH 클라이언트는 기본적으로 설치되어 있음,
OpenSSH 서버는 접속을 허용할 컴에는 필수로 설치, 원격접속만 할 거라면 설치를 안해도 무방

Git bash를 열고

cd C:/

ssh-keygen -t rsa

화면 출력

$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which you want to save the key (/home/unity/.ssh/id_rsa):

이후에는 모두 넘긴다.

올바르게 입력했으면 다음과 같은 화면 출력이 나온다. 안나오면 다시해야 됨

$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which you want to save the key (/home/unity/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Passphrases do not match.  Try again.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /c/Users/HJ/.ssh/id_rsa.
Your public key has been saved in /c/Users/HJ/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:ou4e62FYd0vQAcwNqsLc94nCRJpyNSLV+c6cxmY09fk (내 컴퓨터 계정 이름)@DESKTOP-H26****
The key's randomart image is:
+---[RSA 2048]----+
|   .. +o+. |
|  .  o.o.o. |
| . ..+..... . |
| o.=+ .+.  o |
| o=oo.BooS  . |
| .ooo.o%+..  E |
|   .o== o. |
|    o.+ |
|    +* |
+----[SHA256]-----+

다음으로

$ cat id_rsa.pub >> ~/.ssh/authorized_keys|

를 입력하고 엔터를 누른다.

cd ~/.ssh
ls -l id_rsa*
cat id_rsa.pub

입력하면 공개키가 나오는데 이 공개키를 서버(접속을 허용 할 컴퓨터)로 보내야 한다.

1.scp명령어 활용
클라이언트에서

scp $HOME/.ssh/id_rsa.pub (계정)@(받을 컴퓨터의 IP나 도메인):id_rsa.pub

서버에서

cat id_rsa.pub >> authorized_keys

를 입력하면 authorized_keys 파일이 생긴다.

2. 아까 나온 공개키를 복사해서 메일같은 걸로 보낸다.

서버에서 받은 키를 복사한 다음에

cat >> authorized_keys

를 입력하고 엔터치면 밑에 줄로 가는데 그곳에 복사한 공개키를 붙여넣는다.(단축키 Shift+Ins) 그리고 엔터를 누르면 authorized_keys 파일이 생긴다.

접속하는 컴퓨터의 d_rsa.pub파일과 접속 받는 컴퓨터의 authorized_keys 파일의 내용이 같아야 비밀번호의 인증없이 연결이 가능하다

authorized_keys = id_rsa.pub

그리고 이제 방화벽을 해제해야한다.
제어판 → Window Defender 방화벽 → 좌측 상단 고급설정 →인바운드&아웃바운드 규칙

인바운드는 내가 들어 갈때 아웃바운드는 남이 들어 올때를 의미한다.

새규칙을 누르고, 포트를 누른다.
TCP누르고, 특정 원격포트 그리고 옆칸에 자신이 원하는 포트를 입력한다. 22번 포트를 추천한다.
다음 누르고, 연결허용 누르고. 다음누르면 이름을 설정하라고 하는데 아무이름을 지으면 된다. 추천은 22 TCP

같은 방법으로 인바운드도 작업한다.(인바운드는 모두 여는게 편하다.)


외부망 일경우 대상컴퓨터에서 네이버에 접속하여 "내 아이피"라고 검색하면 나오는 숫자 ex)123.123.123.123의 주소를 서버주소에 입력한다.
대상컴퓨터가 공유기를 사용하지 않을 경우에는 이대로 하면 되지만 공유기나 모뎀을 사용 하는 경우는 복잡해 진다.

모뎀을 사용한다면 모뎀회사에 전화해서 모뎀에 포트가 열려있는지 확인 하고 닫혀있으면 열어달라고 해야한다.

공유기에서는 포트포워딩이나 DMZ 또는 Twin-ip나 S-DMZ를 설정 해야 한다.

공유기의 내부 아이피를 입력하여 공유기 관리자 페이지에 접속하고 NAT설정에 들어가 포트포워딩이나 DMZ 또는 Twin-ip나 S-DMZ를 설정한다.

1. 포트포워딩은 공유기에 DHCP때문에 컴퓨터에 사설아이피가 수시로 바뀜으로 DHCP설정에 들어가 IP를 고정해야 한다. 그리고 여는 포트는 통신규칙 TCP 여는 포트는 아무거나 해도 되지만 22를 추천한다.
왜냐하면 다른 포트를 설정하면 접속할 때 ssh (접속할 대상의 컴퓨터에 로그인 된 계정이름)@(서버주소) -p (자신이 연 포트)로 입력해야 한다.

2. DMZ는 컴퓨터에 모든 포트를 여는 설정이다. 하지만 공유기에 DHCP때문에 컴퓨터에 사설아이피가 수시로 바뀜으로 DHCP설정에 들어가 IP를 고정해야 한다.

3. Twin-ip는 쉽게 생각하면 컴퓨터에 렌선을 바로 꽂아 사용하는 것과 비슷하다고 할 수 있다.
다만 S-DMZ와 다르게 사설아이피와 공인아이피로 아이피가 나뉘에 져 있기 때문에 내부에서 접속 할 때는 사설아이피로 접속 해야 한다. 이 때문에 모든 포트가 자동으로 열리며 DHCP설정을 할 필요가 없다.

4. S-DMZ는 Twin-ip와 비슷하지만 공인아이피와 사설아이피가 합쳐저 사용된다. 이 때문에 모든 포트가 자동으로 열리며 DHCP설정을 할 필요가 없다. 따라서 서버열기에는 가장 좋다고 할 수 있다.

그리고 이론적으로 상대방의 아이피만 알면 그 컴퓨터를 해킹 할 수 있기 때문에 되도록 도매인을 사용하여 자신의 ip를 숨기자
공인 아이피가 보통 봐뀌지는 않지만 가끔식 봐뀌는 경우가 있음으로 no-ip의 무료DDNS서비스를 이용하자


이제 ssh설정은 끝났고 접속은 ssh (접속할 대상의 컴퓨터에 로그인 된 계정이름)@(서버주소)
이때 서버주소는 접속할 대상이 되는 컴퓨터의 IP주소나 도메인이다.

만약 같은 공유기를 사용하는 내부망이면 서버컴퓨터에서 Window키 + R를 누르고 cmd를 입력하여 나오는 도스창에 ipconfig를 입력하여 나오는 IPv4주소를 입력하면 된다.
도스창에

Microsoft Windows [Version 10.0.17134.285]
(c) 2018 Microsoft Corporation. All rights reserved.

(자신의 컴퓨터 계정 이름)@DESKTOP-H26**** C:\Users\(자신의 컴퓨터 계정 이름)>

이렇게 출력하면 성공 한 것이다.


이렇게 SSH접속을 하면 도스창 화면이 한 번 초기화되어 검은 도스창만이 반길 것이다. 이게 제대로 연결된 것 이다.
도스창은 절대 닫으면 안된다. 닫아 버렸다면 다시 ssh (접속할 대상의 컴퓨터에 로그인 된 계정이름)@(서버주소) 입력하자
연결된 도스창은 서버컴의 도스창으로 이를 이용 해서 컴퓨터를 제어 할 수있고 자신이 도스를 잘 다루지 못한다면 VNC를 이용하자.

프로그램을 깔고 접속할 대상의 ip또는 도매인을 입력하고 암호를 입력하면 된다.


클라이언트에서 접속할 경우 윈도우라면 PuTTY를 일반적으로 사용하고, macOS나 GNOME이나 KDE가 설치된 리눅스는 기본으로 설치되어 있는 터미널에서 ssh 명령어로 접속하면 된다. 보통 ssh (사용자 이름)@(서버 도메인 주소 or IP 주소)의 형태로 입력하면 된다.[9]

가령 example.com에 접속한다고 치면, 일반적인 클라이언트에서는 보통

이렇게 하면 된다. 가장 줄인게 이거고, 보통은 비밀번호 등이 추가로 요구된다. 또한 리눅스 터미널에서는 ssh [email protected] 등으로 접속이 가능하다. 이것도 대부분 비밀번호[11] 등이 요구된다. GitHub나 GitLab과 같은 곳은 SSH 키를 사용한다. 이 키에는 비밀번호, 식별 이메일 등이 있으며 서버 측은 공개 키만 식별한다. 애초에 개인 키는 공개되어서는 안된다.

SSH connection 기반으로 원격 서버를 로컬 파일 시스템으로 마운트할 수 있다. 우분투 20.04 버전에서도 sshfs을 설치 가능하며, /etc/fstab 을 수정하여 원격 서버의 폴더를 마치 로컬 폴더처럼 사용이 가능하다#설치방법.

윈도우에서는 sshfs 설치는 sshfs-Win과 WinFsp 설치하면 원격 드라이브 연결이 가능하다. 프로그램 설치 후 Windows 커맨드에서 net use 명령어 실행하고 원격 서버의 패스워드를 입력하면 원격 드라이브가 연결된다. Win10 설치기에 의하면 네트워크 드라이브가 읽기 전용으로 마운트된다고 한다. 이는 네트워크 보안 정책의 문제인지, sshfs-win의 문제인지 확인이 필요하다.

net use y: \\sshfs\[your id]@192.168.XXX.XXX!22\[your id] /user:[your id]

셸이 아닌 파일 교환의 용도로 일부 FTP 클라이언트에서도 접속 가능하다.[12] FTP보다 보안이 강화되어 있으나, FTP에 암호화 기능을 추가한 FTPS와는 다르다.