SSH 서버 기본 구성 - Amazon Linux 2023

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SSH 서버 기본 구성

몇 년 전의 SSH 클라이언트가 있는 경우 인스턴스에 연결할 때 오류가 발생할 수 있습니다. 일치하는 호스트 키 유형을 찾지 못했다는 오류 메시지가 표시되면 SSH 호스트 키를 업데이트하여 이 문제를 해결하세요.

ssh-rsa 서명 기본 비활성화

AL2023 에는 기존 ssh-rsa 호스트 키 알고리즘을 비활성화하고 축소된 호스트 키 세트를 생성하는 기본 구성이 포함되어 있습니다. 클라이언트는 ssh-ed25519 또는 ecdsa-sha2-nistp256 호스트 키 알고리즘을 지원합니다.

기본 구성에서는 다음과 같은 키 교환 알고리즘을 모두 사용할 수 있습니다.

  • curve25519-sha256

  • curve25519-sha256@libssh.org

  • ecdh-sha2-nistp256

  • ecdh-sha2-nistp384

  • ecdh-sha2-nistp521

  • diffie-hellman-group-exchange-sha256

  • diffie-hellman-group14-sha256

  • diffie-hellman-group16-sha512

  • diffie-hellman-group18-sha512

기본적으로 AL2023은 ed25519ECDSA 호스트 키를 생성합니다. 클라이언트는 ssh-ed25519 또는 ecdsa-sha2-nistp256 호스트 키 알고리즘을 지원합니다. SSH로 인스턴스에 연결할 때 호환 가능한 알고리즘(예: ssh-ed25519 또는ecdsa-sha2-nistp256)을 지원하는 클라이언트를 사용해야 합니다. 다른 키 유형을 사용해야 하는 경우 사용자 데이터의 cloud-config 프래그먼트로 생성된 키 목록을 재정의하세요.

다음 예제에서 cloud-configecdsaed25519 키를 사용하여 rsa 호스트 키를 생성합니다.

#cloud-config 
 ssh_genkeytypes: 
 - ed25519 
 - ecdsa 
 - rsa

공개 키 인증에 RSA 키 페어를 사용하는 경우 SSH 클라이언트가 rsa-sha2-256 또는 rsa-sha2-512 서명을 지원해야 합니다. 호환되지 않는 클라이언트 사용 중에 업그레이드할 수 없는 경우 인스턴스에서 ssh-rsa 지원을 다시 활성화하세요. ssh-rsa지원을 다시 활성화하려면 다음 명령을 사용하여 LEGACY 시스템 암호화 정책을 활성화하십시오.

$ sudo dnf install crypto-policies-scripts
$ sudo update-crypto-policies --set LEGACY

호스트 키 관리에 대한 자세한 내용은 Amazon Linux 호스트 키를 참조하십시오.