DevOps 도구 및 베스트 프랙티스 마스터 - DevOps 지식 허브 DevOps 도구 및 베스트 프랙티스 마스터 - DevOps 지식 허브

SSH 포트 충돌: 포트 식별 및 변경 방법

포트 충돌로 인한 SSH 연결 문제를 해결합니다. 이 가이드는 시스템 명령어(`ss`/`netstat`)를 사용하여 활성 SSH 포트를 확실히 식별하는 방법과 설정 파일(`sshd_config`)을 안전하게 수정하고 방화벽을 업데이트하여 새 포트 번호로 전환하는 단계별 방법을 제공하여 잠금을 방지합니다.

SSH 포트 충돌: 포트 식별 및 변경 방법

SSH는 일반적으로 TCP 포트 22에서 수신 대기하지만, 실제 서버가 항상 그렇게 깔끔하지는 않습니다. 클라우드 이미지에서는 SSH가 2222로 이동되어 있을 수 있습니다. 컨테이너 호스트는 여러 SSH 유사 서비스를 다른 포트를 통해 게시할 수 있습니다. 강화 스크립트가 몇 달 전에 sshd_config를 변경했을 수 있습니다. 또는 다른 프로세스가 이미 동일한 주소와 포트에 바인딩되어 있어 sshd가 시작되지 않을 수 있습니다.

포트 문제는 일반적으로 Connection refused 또는 Connection timed out으로 나타납니다. 차이점이 중요합니다: refused는 일반적으로 호스트에 도달했지만 해당 포트에서 연결을 수락하는 서비스가 없음을 의미합니다. Timeout은 일반적으로 방화벽, 경로, 보안 그룹 또는 네트워크 경로가 트래픽을 차단했음을 의미합니다.

SSH 포트 충돌 이해

포트 충돌은 두 개의 다른 네트워크 서비스가 정확히 동일한 TCP 또는 UDP 포트 번호에서 들어오는 연결을 수신 대기하려고 할 때 발생합니다. 한 번에 하나의 프로세스만 IP 주소의 특정 포트에 바인딩할 수 있으므로, 시작을 시도하는 두 번째 서비스는 일반적으로 실패하거나 구성된 경우 다른 포트로 기본 설정됩니다.

SSH의 경우, 실제 바인딩 충돌은 sshd가 구성된 주소와 포트에서 수신 대기할 수 없음을 의미합니다. 더 일반적인 문제는 더 간단합니다: SSH는 한 포트에서 수신 대기 중이지만 클라이언트나 방화벽은 다른 포트를 사용하고 있습니다.

포트와 관련된 일반적인 연결 문제

SSH 연결 문제를 해결할 때 포트 문제는 종종 다음과 같이 나타납니다:

  1. Connection Refused: 일반적으로 대상 머신에 도달할 수 있지만 지정된 포트에서 활성 서비스가 수신 대기 중이 아님을 의미합니다(잘못된 포트를 사용했거나 SSH 서비스가 시작되지 않음).
  2. Connection Timeout: 종종 해당 포트로 향하는 트래픽이 방화벽(호스트 기반 또는 네트워크 기반)에 의해 차단되거나 호스트 자체에 연결할 수 없음을 나타냅니다.

1단계: 현재 활성 SSH 포트 식별

변경하기 전에 SSH 데몬이 실제로 사용 중인 포트를 확인해야 합니다. 이를 위해서는 관리자 액세스(일반적으로 콘솔 또는 기존 성공적인 연결을 통해)가 필요합니다.

A. SSH 설정 파일 확인

SSH 설정의 기본 위치는 sshd_config 파일입니다. 포트 지시문은 sshd가 수신 대기할 포트를 지정합니다.

위치: /etc/ssh/sshd_config (Linux/Unix 시스템에서 일반적)

nano 또는 vim과 같은 텍스트 편집기를 사용하여 파일을 검사합니다:

sudo nano /etc/ssh/sshd_config

Port로 시작하는 줄을 찾습니다. 주석 처리된 경우, 다른 포함된 설정 파일이 재정의하지 않는 한 OpenSSH는 기본 포트 22를 사용합니다.

#Port 22
Port 2222

또한 포함된 설정 스니펫을 확인합니다:

grep -R "^[[:space:]]*Port" /etc/ssh/sshd_config /etc/ssh/sshd_config.d 2>/dev/null

B. netstat 또는 ss로 수신 소켓 확인

서비스가 현재 바인딩된 포트를 확인하는 가장 권위 있는 방법은 운영 체제의 네트워크 수신 소켓을 확인하는 것입니다. 현대적인 도구는 ss이지만 netstat도 여전히 널리 사용됩니다.

ss 명령 사용 (최신 시스템에서 권장):

이 명령은 모든 TCP 리스너(-t)를 프로세스(-p)와 함께 표시하고 SSH 서비스(grep sshd)로 필터링합니다.

sudo ss -tlpn | grep sshd

예제 출력 (기본 포트):

LISTEN 0      128    0.0.0.0:22               0.0.0.0:*    users:(("sshd",pid=1234,fd=3))

예제 출력 (사용자 정의 포트 2222):

LISTEN 0      128    0.0.0.0:2222             0.0.0.0:*    users:(("sshd",pid=1234,fd=3))

netstat 사용 (대안):

sudo netstat -tulpn | grep sshd

포트(예: 2222)를 식별한 후에는 원격 클라이언트에서 연결할 때 해당 포트 번호를 사용해야 합니다.

2단계: SSH 포트 안전하게 변경

SSH 포트를 변경하는 것은 일반적인 보안 강화 관행입니다. 중요: 새 설정이 작동하는지 확인하기 전에 포트를 변경하지 마십시오. 그렇지 않으면 잠길 위험이 있습니다.

A. 포트 변경을 위한 안전한 순서

액세스 손실을 방지하려면 다음 단계를 정확히 따르십시오:

  1. 방화벽 액세스 확인: SSH 서비스를 다시 시작하기 전에 호스트 기반 방화벽(예: ufw 또는 firewalld)에서 포트가 열려 있는지 확인합니다.
  2. 설정 편집: /etc/ssh/sshd_config를 새 포트 번호로 수정합니다.
  3. 설정 구문 테스트: 다시 시작하기 전에 설정 구문을 테스트합니다.
  4. SSH 서비스 다시 시작: 변경 사항을 적용합니다.
  5. 원격 연결 테스트: 별도의 터미널 세션에서 포트를 사용하여 즉시 연결을 시도합니다.
  6. 이전 포트 규칙 제거 (선택 사항): 확인 후 방화벽에서 이전 포트(22)를 닫습니다.

B. /etc/ssh/sshd_config 수정

선호하는 편집기를 사용하여 설정 파일을 엽니다:

sudo nano /etc/ssh/sshd_config

Port 줄을 찾습니다. 기존 값을 변경하거나 새 Port 지시문의 주석을 해제/추가합니다. 22에서 2222로 변경해 보겠습니다.

# 이 줄을 변경:
Port 2222

파일을 저장하고 닫습니다.

C. 호스트 기반 방화벽 업데이트 (중요 단계)

이 단계를 건너뛰면 서비스가 다시 시작된 후 연결이 시간 초과로 실패합니다.

UFW 사용 (Ubuntu/Debian):

# 1. 새 포트 허용
sudo ufw allow 2222/tcp

# 2. 나중에 이전 포트 규칙을 제거하려면 (테스트 후):
# sudo ufw delete allow 22/tcp

sudo ufw status verbose

Firewalld 사용 (RHEL/CentOS/Fedora):

# 1. 새 포트를 영구적으로 허용
sudo firewall-cmd --permanent --add-port=2222/tcp

# 2. 방화벽 규칙 다시 로드
sudo firewall-cmd --reload

D. SSH 데몬 테스트 및 다시 로드

변경 사항을 적용하기 전에 항상 설정 파일 구문을 테스트하십시오:

sudo sshd -t

구문이 깨끗하면 서비스를 다시 로드하거나 다시 시작합니다:

sudo systemctl reload sshd
# 시스템에서 ssh 서비스 이름을 사용하는 경우:
# sudo systemctl reload ssh

그런 다음 상태를 확인합니다:

sudo systemctl status sshd

현재 SSH 세션을 열어 두고 아무것도 닫기 전에 별도의 터미널에서 새 포트를 테스트하십시오.

E. 새 포트를 통해 연결

클라이언트 머신에서 이제 ssh 명령과 함께 -p 플래그를 사용하여 새 포트를 명시적으로 지정해야 합니다:

ssh username@your_server_ip -p 2222

연결이 성공하면 포트 변경이 작동한 것입니다. 그런 다음에만 이전 방화벽 규칙을 제거해야 합니다.

경고: 포트를 변경하고 방화벽에서 열지 못하거나 sshd가 다시 로드되지 않으면 잠길 수 있습니다. 콘솔, 직렬, 클라우드 복구 또는 다른 관리 경로를 사용할 수 있도록 유지하십시오.

포트 변경 후 연결 실패 문제 해결

포트를 변경한 후 오류가 발생하면 다음 빠른 체크리스트를 따르십시오:

오류 증상 가능한 원인
Connection Refused 1. sshd가 시작되지 않음 (systemctl status sshd 확인). 2. 클라이언트 명령에서 잘못된 포트를 지정함. 3. 방화벽이 이전 포트(22)의 트래픽은 허용하지만 새 포트(2222)는 차단함.
Connection Timeout 1. 호스트가 다운됨. 2. 호스트 방화벽(UFW/firewalld)이 새 포트의 패킷을 적극적으로 드롭함. 3. 네트워크 인프라 방화벽이 포트를 차단함.

데몬이 수신 대기 중인지 확인하려면 서버 측에서 sudo ss -tlpn | grep sshd를 다시 실행하십시오.

포트 변경에 대한 더 안전한 접근 방식

설정 파일만 신뢰하지 말고 방화벽만 신뢰하지 마십시오. 세 가지 계층을 모두 확인하십시오: sshd_config가 예상하는 포트를 말하고, sssshd가 실제로 그곳에서 수신 대기 중임을 보여주며, 방화벽 또는 클라우드 보안 그룹이 트래픽이 도달하도록 허용합니다. 이 세 가지가 일치하면 클라이언트 명령은 간단합니다:

ssh -p 2222 username@your_server_ip

SSH 포트를 변경하면 포트 22에 대한 시끄러운 자동 스캔을 줄일 수 있지만, 키 인증, 합리적인 방화벽 규칙, 패치된 시스템 및 적절한 경우 비밀번호 로그인 비활성화를 대체하지는 않습니다.