DevOps 도구 및 베스트 프랙티스 마스터 - DevOps 지식 허브 DevOps 도구 및 베스트 프랙티스 마스터 - DevOps 지식 허브

고급 SSH 클라이언트 설정으로 최적의 성능과 보안 구성하기

별칭, 연결 유지, 키, 암호화, 압축, 배스천 접속 등 실용적인 SSH 예제와 함께 `~/.ssh/config`를 구성하는 방법을 알아봅니다.

고급 SSH 클라이언트 설정으로 최적의 성능과 보안 구성하기

보안 연결 설정은 일반적으로 ssh user@host 명령어로 시작하는 원격 시스템 관리의 첫 단계입니다. 여러 서버를 관리할 때 ~/.ssh/config 파일의 SSH 클라이언트 설정을 사용하면 연결을 안정적이고 반복 가능하게 유지하며 오류 가능성을 줄일 수 있습니다.

이 파일 하나로 호스트 별칭, ID 파일, 연결 유지 동작, 암호화, 압축, 배스천 라우팅을 정의할 수 있어 긴 명령줄을 다시 입력할 필요가 없습니다.

SSH 설정 파일 이해하기

클라이언트 측 SSH 동작의 주요 제어 센터는 ~/.ssh/config에 위치한 설정 파일입니다. 이 파일이 없으면 안전하게 생성할 수 있습니다. 이 파일을 사용하면 Host별 설정을 정의할 수 있어, 프로덕션 서버와 테스트 환경에 각각 다른 설정을 적용할 수 있습니다.

설정 파일 구조

설정은 전역적으로(상단에) 또는 특정 Host 블록 내에 적용되는 지시문으로 구성됩니다. Host 블록 내의 설정은 전역 설정을 재정의합니다.

# 재정의되지 않는 한 모든 연결에 적용되는 전역 설정
Host *
    ServerAliveInterval 60

# 개발 서버에 대한 특정 설정
Host devserver
    HostName 192.168.1.100
    User developer_user
    Port 2222
    IdentityFile ~/.ssh/id_rsa_dev

연결 지속성 및 타임아웃 최적화

특히 불안정한 네트워크나 VPN을 사용할 때 빈번한 연결 끊김은 생산성을 크게 저하시킬 수 있습니다. SSH 클라이언트는 연결을 유지하기 위한 메커니즘을 제공합니다.

연결 유지 메커니즘

방화벽이나 라우터의 비활성 설정으로 인해 유휴 연결이 타임아웃되는 것을 방지하려면 클라이언트가 주기적으로 "널 패킷"을 보내도록 설정할 수 있습니다.

  • ServerAliveInterval: 데이터를 수신하지 않은 경우 클라이언트가 연결을 활성 상태로 유지하기 위해 서버에 메시지를 보내는 시간(초)을 지정합니다. 일반적으로 60 값을 사용합니다.
  • ServerAliveCountMax: 서버로부터 응답 없이 클라이언트가 재시도하는 횟수를 지정하며, 이 횟수를 초과하면 연결이 끊깁니다.

안정성을 위한 예제 설정:

Host stable-server
    HostName production.example.com
    User sysadmin
    ServerAliveInterval 30
    ServerAliveCountMax 3

이 설정은 30초마다 널 패킷을 보냅니다. 응답 없이 3번 패킷을 보내면 클라이언트가 연결을 끊습니다.

연결 타임아웃

서버가 다운되었거나 연결할 수 없을 때 연결 시도가 무기한 중단되는 것을 방지하려면 초기 연결 단계에 대한 타임아웃을 설정할 수 있습니다.

  • ConnectTimeout: SSH 클라이언트가 연결 시도를 중단하기 전에 기다리는 최대 시간(초)을 정의합니다.

클라이언트 강화를 통한 보안 강화

서버 설정이 보안 태세의 많은 부분을 결정하지만, 클라이언트는 보안 기본 설정을 적용하고 복잡한 인증을 간소화할 수 있습니다.

키 기반 인증 강제

중요한 서버의 경우 항상 키 기반 인증을 강제하고 비밀번호 프롬프트를 비활성화해야 합니다. PreferredAuthentications 지시문은 클라이언트가 시도하는 인증 방법의 순서와 유형을 제어합니다.

공개 키 인증을 우선시하려면:

Host critical-db
    HostName db.internal.net
    PreferredAuthentications publickey
    PubkeyAuthentication yes
    PasswordAuthentication no

ID 파일 지정

여러 키 쌍(예: 업무용, 개인 프로젝트용 등)을 사용하는 경우 IdentityFile을 사용하여 특정 키를 특정 호스트에 매핑할 수 있습니다.

Host gitlab.work.com
    IdentityFile ~/.ssh/id_rsa_gitlab_work

Host github.com
    IdentityFile ~/.ssh/id_rsa_personal

보안 모범 사례: 개인 키의 권한을 제한적으로 설정하세요(예: chmod 600 ~/.ssh/id_rsa).

성능 최적화: 암호화 및 압축

SSH 성능은 암호화에 사용되는 암호화 알고리즘과 데이터 압축 오버헤드에 의해 영향을 받을 수 있습니다.

암호 선택

최신 SSH 클라이언트는 다양한 암호를 지원합니다. Ciphers를 사용하여 선호하는 목록을 지정하면 클라이언트와 서버 모두에서 지원하는 강력하고 빠른 알고리즘을 사용하거나, 레거시 하드웨어가 필요한 경우 이전 표준을 강제할 수 있습니다.

현대적이고 선호되는 암호에는 종종 AES-GCM 구현이 포함됩니다.

Host fast-connection
    HostName remote.fastlane.io
    Ciphers [email protected],[email protected],[email protected]

압축

데이터 압축(Compression)은 매우 느린 링크에서 세션 속도를 높일 수 있지만, 양쪽 끝에 CPU 오버헤드를 추가합니다. 일반적으로 빠른 네트워크에서는 비활성화됩니다.

  • Compression no: (기본값) 압축 없음.
  • Compression yes: ZLIB 알고리즘을 사용하여 압축을 활성화합니다.
Host slow-wan-link
    Compression yes

별칭 및 ProxyJump로 연결 간소화

~/.ssh/config의 가장 강력한 기능 중 하나는 배스천 호스트(점프박스)를 통한 연결과 같은 복잡한 연결 경로를 단순화하는 것입니다.

호스트 별칭

매번 전체 서버 이름과 사용자를 입력하는 대신 간단한 별칭을 만들 수 있습니다.

Host web
    HostName 172.16.0.50
    User alice

이제 ssh web 명령어로 간단히 연결할 수 있습니다.

배스천 호스트를 위한 ProxyJump

ProxyJump 지시문(또는 이전 버전인 ProxyCommand)을 사용하면 클라이언트가 최종 대상에 도달하기 전에 중간 서버를 통해 자동으로 터널링할 수 있습니다. 이렇게 하면 별도의 ssh 호출이나 nc(netcat) 설정이 필요하지 않습니다.

jumpbox를 통해 database에 연결하려면:

Host jumpbox
    HostName 203.0.113.5
    User bastion_user

Host database
    HostName 10.0.0.5
    User db_user
    ProxyJump jumpbox

이제 ssh database 명령어는 자동으로 jumpbox에 먼저 연결한 다음 database 서버로 세션을 전달합니다.

핵심 요약

~/.ssh/config 파일은 반복적인 SSH 명령어를 명확하고 이름이 지정된 프로필로 전환하는 곳입니다. 별칭, User, HostName, IdentityFile, ServerAliveInterval로 시작한 다음, 환경에 필요한 경우에만 ProxyJump, 암호 기본 설정 또는 압축을 추가하세요. 엄격한 옵션을 전역적으로 적용하기 전에 이전 호스트에서 테스트하여 더 좁은 SSH 기능 세트를 지원하는 서버에서 잠기지 않도록 하세요.