태그 보관물: ssh

외부에서 private망에 물린 host로 접속하기 – SSH Jump Host

댓글 남기기

사무실에 있는 내 workstation에는 두개의 LAN이 연결되어 있고 각각 public network와 private network에 연결되어있다. 외부에서 private network에 연결되어 있는 target host에 SSH로 연결 할 때는 먼저 workstation에 ssh로 연결하고, 여기에서 private망에 물려있는 target host로 또 다시 ssh를 연결해야 한다.

하지만 ssh의 -J option을 이용하면 workstation을 jump host로 이용해서 이런 귀찮은 여러번 접속을 피할 수 있다. 다음은 ssh의 -J 옵션에 대한 설명을 man-page에서 발췌해서 의역한 것이다.

-J 목적지
    Jump host에 ssh 연결을 생성한 다음 최종 목적지 호스트로 TCP 포워딩을 설정하여
    연결을 생성합니다. 여러개의 jump host를 명시하려면 콤마를 사용해서 지정해 줄 수
    있습니다. 이 옵션은 ProxyJump 환경설정 예약어에 대한 단축설정 입니다. 
    주의: 일반적으로 명령줄에 작성하는 옵션들은 최종 목적지 호스트에 적용되며 jump host
    들에는 적용되지 않습니다. Jump host에 옵션을 설정하려면 ~/.ssh/config file을
    활용 하세요.

예를 들어 workstation의 public IP가 203.0.113.5, private network에 있는 target의 IP가 192.168.100.5라 할 때 다음과 같이 203.0.113.5를 jump host로 설정해서 한 번에 접속할 수 있다.

ssh -J user@203.0.113.5 user@192.168.100.5

이러한 설정을 .ssh/config에 jump host를 명시해서 설정해 두면 workstation을 jump host로해서 target에 접속할 수 있고 무엇보다도 visual studio code에서도 곧바로 접속할 수 있다는 점이 편하다. 아래의 설정에서 ProxyJump 설정하는 부분을 눈여겨 보자.

Host workstation
  HostName 203.0.113.5
  User user

Host target
  HostName 192.168.100.5
  User user
  ProxyJump workstation

설정 후에는 private IP인 target으로 곧바로 접속 할 수 있다.

ssh target

아마도 비슷한 글:

  1. PlantUML war file 설치
  2. Gitlab test-runner의 FATAL: the “HOME” is not set 문제
  3. 복붙의 함정, 디렉토리를 삭제할 수 없다?
  4. Mac OS X에 PlantUML 환경설정

VNC SSH Tunneling

댓글 남기기

Local VNC server는 접속이 가능하지만 외부에서 접속이 불가능 하다면 SSH tunneling을 설정해서 연결을 시도할 수 있다.

VNC Client에서 SSH Tunneling을 지원하는 경우

SSH tunneling을 지원하는 VNC client인 Remmina와 같은 경우에는 다음과 같이 서버로 localhost:5901을 설정한다. 여기에 서버 IP가 아니라 localhost를 적어주는게 좀 이상해 보이긴 하지만 SSH tunneling을 설정한 상태에서는 localhost의 5901번이 remote server의 VNC service를 제공하도록 연결된다.

그 다음에는 SSH Tunnel 탭을 선택해서 다음과 같이 정보를 입력한다. Enable SSH tunnel을 클릭해서 활성화 하고, 서버의 IP와 SSH가 서비스되는 port번호인 22번을 적어준다(SERVER_IP:<SSH_PORT>). 로그인 방식은 설정에 따라 적어 준다. 나는 SSH key login을 선호하므로 SSH Identity file을 선택하고 private key를 설정해 주었다.

SSH Tunneling 설정이 없는 경우

TigerVNC와 같이 명시적으로 SSH tunneling을 지원하지 않는 경우에는 터미널을 하나 열어서 다음과 같이 SSH tunel을 하나 열어 준다.

다음은 리모트 서버의 5901 포트를 로컬 5999번에 tunelling하는 예이다.

ssh -L 5999:localhost:5901 <user_id>@<vnc_server_ip>

터미널을 그대로 열어둔 상태에서 VNC client를 열어서 로컬의 5999번 포트로 연결한다.

연결

아마도 비슷한 글:

  1. Lightshail Ubuntu 배포판 업그레이드 후 ssh 접속이 안된다.
  2. Lightsail Ubuntu 20.04 업그레이드 후 ssh 접속 불가 현상
  3. [Tip] Hex string을 bash에서 보기
  4. bash에서 자동완성할 때 공백 문자 들어가는 문제

Lightsail Ubuntu 20.04 업그레이드 후 ssh 접속 불가 현상

댓글 남기기

Lightsail의 이미지를 Ubuntu 20.04 LTS로 업그레이드 한 후 web 환경에서 SSH 접속이 되지 않아서 또 망했다며 머리를 쥐어 뜯고 있는데, 우연히, 당연히 안 될 거라고 생각했던 터미널 프로그램을 통한 SSH 접속은 또 되는 기현상을 발견했다. 이 대로도 나쁘진 않지만 좀 찜찜 하기도 하고 해서 좀 더 찾아 보았다.

접속 오류가 발생할 때의 로그를 보면 다음과 같은데,

$ cat /var/log/auth.log|tail
...
sshd[4528]: userauth_pubkey: certificate signature algorithm ssh-rsa: signature algorithm not supported [preauth]
...

이 문제의 해결책에 대해 아주 자세히 설명된 Use RSA CA Certificates with OpenSSH 8.2에 따르면, (Ubuntu 20.04에 포함된) OpenSSH 8.2 부터는 보안 문제로 SHA-1 기반인 ssh-rsa가 기본 CA signature 항목에서 빠지면서 이러한 문제가 발생하게 된다고 한다. 해결 방법은 CASignatureAlgorithms에 ssh-rsa를 지원하도록 명시하는 것이다.

$ cat /etc/ssh/sshd_config|tail
...
# Use RSA CA cert.
# https://ibug.io/blog/2020/04/ssh-8.2-rsa-ca/
CASignatureAlgorithms ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519,rsa-sha2-512,rsa-sha2-256,ssh-rsa

위의 링크에서 제안하는 대로 sshd_config 파일에 CASignatureAlgorithms 항목을 위와 같이 추가 하고 sshd service를 재 실행 하고나니, web 환경 SSH가 잘 동작하게 되었다. 물론, 터미널도 그대로 잘 된다.

아마도 비슷한 글:

  1. Lightshail Ubuntu 배포판 업그레이드 후 ssh 접속이 안된다.
  2. AWS Lightsail에 둥지 틀기
  3. Linux에서 메모리 포인터의 유효성 검증
  4. Docker로 OpenGrok 설치