DevOps 지식 허브
DevOps 지식 허브

SSH 타임아웃 문제 방지를 위한 모범 사례

견고한 keep-alive 설정을 구현하여 성가신 SSH 세션 끊김을 방지하세요. 이 필수 가이드는 클라이언트 측(`ServerAliveInterval`)과 서버 측(`ClientAliveInterval`) 설정의 차이점을 자세히 설명하며, `~/.ssh/config` 파일을 조정하기 위한 단계별 지침을 제공합니다. 실제적인 값들을 사용하여 공격적인 방화벽 및 NAT 타임아웃을 우회하고, 불안정한 네트워크에서도 안정적이고 지속적인 연결성을 보장하는 방법을 배우세요. 궁극적인 세션 복원력을 위해 `tmux`와 같은 멀티플렉서를 활용하는 방법에 대한 권장 사항도 포함됩니다.

33 조회수

SSH 타임아웃 문제 방지를 위한 모범 사례

SSH(Secure Shell)는 암호화되고 안전한 연결을 제공하여 원격 시스템 관리의 핵심 역할을 합니다. 그러나 타임아웃으로 인해 세션이 예기치 않게 끊기는 것만큼 답답한 일은 거의 없습니다. 이러한 문제는 불안정한 네트워크, 과도한 NAT 장치를 통해 라우팅되는 연결 또는 세션이 일정 기간 유휴 상태로 남아 있을 때 특히 흔합니다.

이 가이드는 시스템 관리자와 개발자가 안정적인 SSH 세션을 능동적으로 유지하기 위해 클라이언트와 서버 양쪽에서 구현할 수 있는 필수 구성 조정 사항을 설명합니다. 내장된 Keep-Alive 메커니즘을 활용하면 네트워크 불안정 또는 비활성 기간 중에도 중요한 작업이 중단되지 않도록 할 수 있습니다.

SSH 타임아웃의 근본 원인 이해

SSH 타임아웃은 특정 기간 동안 양쪽에서 활동이 감지되지 않아 클라이언트와 서버 간의 통신 링크가 단절될 때 발생합니다. 이는 일반적으로 SSH 소프트웨어 자체의 문제가 아니라, 리소스를 절약하기 위해 유휴 연결을 적극적으로 정리하는 중간 네트워크 장치(방화벽, 라우터 및 NAT 테이블)의 문제입니다.

방화벽이 특정 TCP 연결에서 몇 분 동안 트래픽을 감지하지 못하면, 세션이 끊겼다고 가정하고 연결 상태를 삭제합니다. 다음 번에 SSH 클라이언트가 데이터를 전송하려고 하면 서버가 이를 수신하지 못하여 세션 정지 및 결국 타임아웃 오류가 발생합니다.

해결책은 SSH가 Keep-Alive 신호(작은 비데이터 패킷)를 정기적으로 전송하도록 구성하여 중간 장치가 연결을 활성 상태로 인식하도록 하는 것입니다.

1. 클라이언트 측 솔루션: ServerAliveInterval

타임아웃을 방지하는 가장 일반적이고 쉬운 해결책은 SSH 클라이언트가 서버로 주기적으로 Keep-Alive 메시지를 보내도록 구성하는 것입니다. 이는 ServerAliveInterval 지시어로 제어됩니다.

ServerAliveInterval 작동 방식

ServerAliveInterval은 서버로부터 데이터를 수신하지 않은 경우 클라이언트가 서버로 널(null) 패킷을 전송할 시간을 초 단위로 지정합니다. 이 값은 클라이언트 측이 연결 상태를 유지하도록 보장합니다.

~/.ssh/config를 통한 구성

이 방법은 재부팅 및 다른 터미널 세션에서도 지속되는 전역 또는 호스트별 설정을 지정할 수 있으므로 권장됩니다.

클라이언트 구성 파일을 생성하거나 수정합니다. 일반적으로 ~/.ssh/config에 있습니다:

nano ~/.ssh/config

설정을 전역적으로(모든 호스트에) 적용하려면:

Host *
    ServerAliveInterval 60
    ServerAliveCountMax 3

값 설명:

  • ServerAliveInterval 60: 연결이 유휴 상태일 때 클라이언트가 60초마다 Keep-Alive 패킷을 보냅니다.
  • ServerAliveCountMax 3: 클라이언트가 서버로부터 응답을 받지 않고 3개의 Keep-Alive 메시지를 연속으로 보내면 클라이언트가 연결을 종료합니다. (총 타임아웃 지속 시간: 60초 * 3회 시도 = 180초).

명령줄을 통한 구성

임시 수정이 필요하거나 단일 세션에만 설정을 적용하려면 연결 시 -o 옵션을 사용하십시오:

ssh -o "ServerAliveInterval 60" user@remote_host

팁: 30~60초 값은 대부분의 방화벽 규칙(종종 5분 정도로 설정됨)을 우회할 만큼 충분히 자주 발생하지만, 과도한 네트워크 오버헤드를 발생시키지 않아 일반적으로 이상적입니다.

2. 서버 측 솔루션: Keep-Alive 강제 적용

클라이언트 측 솔루션(ServerAliveInterval)이 일반적으로 충분하지만, 많은 사용자가 액세스하는 서버를 관리하는 관리자는 Keep-Alive 설정을 중앙에서 적용하거나 유휴 연결에 대한 엄격한 제한을 설정할 수 있습니다. 이는 SSH 데몬 구성 파일 /etc/ssh/sshd_config에서 수행됩니다.

ClientAliveIntervalClientAliveCountMax 사용

이 지시어는 클라이언트 설정에 대한 서버 측 대응 지시어입니다. 서버가 클라이언트가 여전히 연결되어 있는지 확인하도록 지시합니다.

  1. SSH 데몬 구성 파일을 엽니다:

    bash sudo nano /etc/ssh/sshd_config

  2. 다음 줄을 추가하거나 수정합니다:

    ```config

    서버는 300초(5분) 동안 클라이언트로부터 데이터를 수신하지 못하면 널 패킷을 보냅니다.

    ClientAliveInterval 300

    ClientAliveInterval이 응답 없이 0번 트리거되면 연결을 끊습니다.

    이 값을 0으로 설정하면 서버는 첫 번째 확인 실패 후 즉시 연결을 끊습니다.

    ClientAliveCountMax 0
    ```

ClientAliveCountMax에 대한 참고 사항:

만약 ClientAliveCountMax를 낮은 숫자(예: 0 또는 1)로 설정하면, 서버는 엄격한 유휴 타임아웃을 강제합니다. 예를 들어, ClientAliveInterval 300ClientAliveCountMax 0은 사용자가 5분 동안 완전히 유휴 상태일 경우 서버가 연결이 끊겼다고 가정하고 강제로 연결을 해제한다는 의미입니다. 이는 보안에 유용하지만 사용자에게는 답답할 수 있습니다. 목표가 방화벽이 연결을 끊는 것을 방지하는 것이라면, 여기에 값을 설정하는 것은 클라이언트 측 ServerAliveInterval에 비해 부차적인 경우가 많습니다.

  1. 변경 사항을 적용하려면 SSH 서비스를 다시 시작합니다:

    ```bash
    sudo systemctl restart sshd

    또는

    sudo service sshd restart
    ```

3. 고급 복원력 전략

SSH Keep-Alive는 짧은 비활성 기간을 처리하지만, 완전한 네트워크 중단(예: Wi-Fi 네트워크 변경 또는 일시적인 신호 손실)은 여전히 TCP 연결을 끊을 것입니다. 진정한 복원력을 위해서는 세션 관리 도구를 사용하십시오.

터미널 멀티플렉서 (tmux 또는 screen) 활용

터미널 멀티플렉서는 연결 끊김에 대한 궁극적인 방어 수단입니다. 클라이언트 연결이 끊어지더라도 원격 서버에서 지속되는 세션을 실행합니다. 세션에서 분리하고 나중에 다시 연결(동일하거나 다른 클라이언트에서)하여 중단했던 지점부터 정확히 다시 시작할 수 있습니다.

기본 tmux 워크플로우:

  1. 서버에 연결:
    bash ssh user@remote_host
  2. 서버에서 새 tmux 세션을 시작:
    bash tmux new -s my_session
  3. tmux 세션 내에서 작업.
  4. 연결이 끊기거나 떠나야 할 경우 세션을 분리합니다 (Ctrl+B, 그 다음 D).
  5. SSH를 통해 서버에 다시 연결.
  6. 기존 세션에 다시 연결:
    bash tmux attach -t my_session

SSH Keep-Alive와 TCP Keep-Alive 구별하기

기본 운영 체제의 TCP Keep-Alive 메커니즘을 사용할 수 있으며, 이는 종종 sshd_config 파일의 TCPKeepAlive yes 지시어를 통해 구성됩니다. 그러나 SSH 수준의 Keep-Alive(ServerAliveInterval)가 일반적으로 선호되는 이유는 다음과 같습니다:

  1. 이식성: SSH 지시어는 기본 OS 커널 튜닝과 관계없이 일관되게 작동합니다.
  2. 애플리케이션 계층: SSH Keep-Alive는 애플리케이션 계층 내에서 작동하여 SSH 데몬이 계속 응답하도록 보장합니다.
  3. 방화벽 인식: TCP Keep-Alive는 페이로드 활동만 확인하는 방화벽이나 NAT 장치에 의해 때때로 조용히 차단될 수 있지만, SSH Keep-Alive는 이러한 계층을 성공적으로 통과하도록 특별히 설계되었습니다.

만약 TCPKeepAlive yes를 사용하기로 선택한다면, 실제 인터벌 타이밍은 SSH 구성이 아닌 운영 체제(예: Linux의 net.ipv4.tcp_keepalive_time)에 의해 제어된다는 것을 기억하십시오.

모범 사례 요약

문제 구성 지시어 위치 권장 값 목적
클라이언트 타임아웃 ServerAliveInterval ~/.ssh/config (클라이언트) 30 - 60초 방화벽 드롭 방지를 위해 클라이언트에서 서버로 널 패킷 전송.
클라이언트 연결 끊김 임계값 ServerAliveCountMax ~/.ssh/config (클라이언트) 3 - 5 클라이언트가 연결을 끊기 전까지 놓친 응답 수.
서버 유휴 상태 강제 ClientAliveInterval /etc/ssh/sshd_config (서버) 300초 (5분) 활동 모니터링을 위해 서버에서 클라이언트로 확인 전송.
연결 복원력 해당 없음 서버 세션 tmux 또는 screen 네트워크 오류에도 불구하고 세션 지속성 허용.

클라이언트 머신에 ServerAliveInterval 지시어를 구현함으로써 네트워크 비활성으로 인한 SSH 타임아웃 문제의 대부분을 해결할 수 있습니다. 미션 크리티컬한 작업의 경우, 이 구성을 세션 멀티플렉서와 함께 사용하면 연결 중단에 대한 거의 완전한 면역력을 제공합니다.