ssh (System Services)

사용자가 SSH를 사용하여 CLI 세션을 통해 분할된 Junos OS 플랫폼에 SSH 터널을 생성할 수 있도록 합니다.

Junos OS 릴리스 22.2R1부터 보안 강화를 위해 TCP 포워딩 기능을 기본적으로 비활성화했습니다. TCP 전달 기능을 사용하려면 [edit system services ssh] 계층 수준에서 문을 구성할 allow-tcp-forwarding 수 있습니다. 또한 [edit system services ssh] 계층 수준에서 및 no-tcp-forwarding 문을 더 이상 사용하지 않습니다tcp-forwarding.

소프트웨어가 사용자 인증을 시도할 때 다른 사용자 인증 방법을 시도하는 순서를 구성합니다. 각 로그인 시도에 대해 소프트웨어는 암호가 일치할 때까지 첫 번째 인증 방법부터 시작하여 인증 방법을 순서대로 시도합니다.

• 기본: 명령문을 포함하지 authentication-order 않으면 사용자는 구성된 암호를 기반으로 확인됩니다.

• 구문: 다음 인증 방법 중 하나 이상을 시도해야 하는 순서대로 지정하십시오.

  • ldaps- LDAP 인증 서비스를 사용합니다.

  • password- 계층 수준에서 문 [edit system login user] 과 함께 authentication 사용자에 대해 구성된 암호를 사용합니다.

  • radius- RADIUS 인증 서비스를 사용합니다.

  • tacplus- TACACS+ 인증 서비스를 사용합니다.

사용자의 공개 키를 조회하는 데 사용할 명령 문자열을 지정합니다.

authorized-keys-command를 실행하는 계정의 사용자를 지정합니다.

인증에 사용할 수 있는 보안 주체 목록을 지정합니다. 이 명령을 통해 추가된 보안 주체는 명령으로 authorized-principals-file 추가된 보안 주체를 보완합니다.

AuthorizedPrincipals SSH 인증서 기반 인증을 위해 /var/etc에서 파일을 구성합니다. 이 파일에는 이름 목록이 포함되어 있으며, 그 중 하나는 인증을 위해 수락하기 위해 인증서에 나타나야 합니다.

SSH 인증서 기반 인증을 위해 파일에 있는 AuthorizedPrincipals 허용된 인증서 프린시펄 목록을 생성하는 데 사용할 프로그램을 지정하십시오.

SSH 서버가 암호화 및 복호화 기능을 수행하는 데 사용할 수 있는 암호 세트를 지정합니다.

• 값: 다음 암호 중 하나 이상을 지정하십시오.

  • 3des-cbc—CBC(Cipher Block Chaining) 모드의 DES(Triple Data Encryption Standard).

  • aes128-cbc—CBC 모드의 128비트 AES(Advanced Encryption Standard).

  • aes128-ctr—카운터 모드에서 128비트 AES.

  • aes128-gcm@openssh.com—Galois/Counter 모드의 128비트 AES.

  • aes192-cbc—CBC 모드에서 192비트 AES.

  • aes192-ctr—카운터 모드에서 192비트 AES.

  • aes256-cbc—CBC 모드에서 256비트 AES.

  • aes256-ctr—카운터 모드에서 256비트 AES.

  • aes256-gcm@openssh.com—Galois/Counter 모드에서 256비트 AES.

  • chacha20-poly1305@openssh.com—ChaCha20 스트림 암호 및 Poly1305 MAC.

sshd가 클라이언트로부터 메시지를 다시 수신하지 않고 보낼 수 있는 클라이언트 활성 메시지 수를 구성합니다. 클라이언트 활성 메시지가 전송되는 동안 이 임계값에 도달하면 sshd는 클라이언트 연결을 끊고 세션을 종료합니다. 클라이언트 활성 메시지는 암호화된 채널을 통해 전송됩니다. client-alive-interval 명령문과 함께 사용하여 응답하지 않는 SSH 클라이언트의 연결을 끊습니다.

• 기본값: 메시지 3개

• 범위: 0-255개 메시지

시간 초과 간격을 초 단위로 구성하며, 그 후 클라이언트로부터 데이터가 수신되지 않은 경우 sshd는 암호화된 채널을 통해 메시지를 보내 클라이언트로부터 응답을 요청합니다. 이 옵션은 SSH 프로토콜 버전 2에만 적용됩니다. client-alive-count-max 문과 함께 사용하여 응답하지 않는 SSH 클라이언트의 연결을 끊습니다.

• 기본값: 0초

• 범위: 1초에서 65535초까지

SSH 서버가 키 지문을 표시할 때 사용하는 해시 알고리즘을 지정합니다.

• 값: 다음 중 하나를 지정합니다.

  • md5—SSH 서버가 MD5 알고리즘을 사용하도록 활성화합니다.

  • sha2-256—sha2-256 알고리즘을 사용하도록 SSH 서버를 활성화합니다.

• 기본값: sha2-256

HostCertificate SSH 인증서 기반 인증을 위해 /etc/ssh/sshd_config에서 파일을 구성합니다. 이 파일에는 서명된 호스트 인증서가 포함되어 있습니다.

Junos OS가 인증된 SSH 키를 기록할 수 있도록 합니다. log-key-changes 문이 구성되고 커밋되면 Junos OS는 각 사용자에 대해 인증된 SSH 키 세트(추가 또는 제거된 키 포함)에 변경 사항을 기록합니다. Junos OS는 명령문이 마지막으로 구성된 이후의 차이점을 log-key-changes 기록합니다. log-key-changes 문이 구성되지 않은 경우 Junos OS는 승인된 모든 SSH 키를 기록합니다.

• 기본: Junos OS는 인증된 모든 SSH 키를 기록합니다.

SSH 서버가 메시지를 인증하는 데 사용할 수 있는 MAC(메시지 인증 코드) 알고리즘 집합을 지정합니다.

• 값: 메시지를 인증하기 위해 다음 MAC 알고리즘 중 하나 이상을 지정합니다.

  • hmac-md5—MD5(Message-Digest 5)를 사용하는 해시 기반 MAC

  • hmac-md5-96—MD5를 사용하는 96비트 해시 기반 MAC

  • hmac-md5-96-etm@openssh.com—MD5를 사용하는 해시 기반 Encrypt-then-MAC 96비트

  • hmac-md5-etm@openssh.com—MMD5를 사용하는 해시 기반 Encrypt-then-MAC

  • hmac-sha1—보안 해시 알고리즘-1(SHA-1)을 사용하는 해시 기반 MAC

  • hmac-sha1-96—SHA-1을 사용하는 96비트 해시 기반 MAC

  • hmac-sha1-96-etm@openssh.com—SHA-1을 사용하는 해시 기반 Encrypt-then-MAC의 96비트

  • hmac-sha1-etm@openssh.com—SHA-1을 사용하는 해시 기반 Encrypt-then-MAC

  • hmac-sha2-256—보안 해시 알고리즘-2(SHA-2)를 사용하는 256비트 해시 기반 MAC

  • hmac-sha2-256-etm@openssh.com—SHA-2를 사용하는 해시 기반 Encrypt-then-Mac

  • hmac-sha2-512—SHA-2를 사용하는 512비트 해시 기반 MAC

  • hmac-sha2-512-etm@openssh.com—SHA-2를 사용하는 해시 기반 Encrypt-then-Mac

  • umac-128-etm@openssh.com—RFC4418에 지정된 UMAC-128 알고리즘을 사용한 암호화 후 MAC

  • umac-128@openssh.com—RFC4418에 지정된 UMAC-128 알고리즘

  • umac-64-etm@openssh.com—RFC4418에 지정된 UMAC-64 알고리즘을 사용한 Encrypto-then-MAC

  • umac-64@openssh.com—RFC4418에 지정된 UMAC-64 알고리즘

사용자 인증 전에 SSH 서버가 수락할 사전 인증 SSH 패킷의 최대 수를 정의합니다.

• 범위: 20 - 2147483647 패킷

• 기본: 128패킷

단일 SSH 연결당 허용되는 최대 ssh 세션 수를 지정합니다.

• 범위: 1-65535개 세션

• 기본값: 10개 세션

SSH 챌린지 응답 기반 인증 방법을 사용하지 않도록 설정합니다.

SSH 암호 기반 인증 방법을 사용하지 않도록 설정합니다.

SSH에 대한 암호 기반 인증과 시도 응답 기반 인증을 모두 비활성화합니다.

시스템 전체에서 공개 키 인증을 비활성화합니다. [edit system login user user-name authentication] 계층 수준에서 no-public-keys 명령문을 지정하는 경우 특정 사용자에 대한 공개 키 인증을 비활성화합니다.

들어오는 SSH 연결을 수락할 포트 번호를 지정합니다.

• 기본값: 22

• 범위: 1에서 65535까지

SSH(Secure Shell) 프로토콜 버전을 지정합니다.

Junos OS 릴리스 19.3R1 및 Junos OS 릴리스 18.3R3부터 모든 SRX 시리즈 디바이스의 [edit system services ssh protocol-version] 계층 수준에서 비보안 SSH 프로토콜 버전 1(v1) 옵션을 제거했습니다. SSH 프로토콜 버전 2(v2)를 기본 옵션으로 사용하여 시스템 및 애플리케이션을 원격으로 관리할 수 있습니다. v1 옵션이 더 이상 사용되지 않으면 Junos OS는 OpenSSH 7.4 이상 버전과 호환됩니다.

19.3R1 및 18.3R3 이전의 Junos OS 릴리스는 시스템 및 애플리케이션을 원격으로 관리하는 옵션을 계속 지원합니다 v1 .

• 기본값: v2—SSH 프로토콜 버전 2는 Junos OS 릴리스 11.4에 도입된 기본값입니다.

액세스 서비스의 프로토콜(IPv6 또는 IPv4)당 분당 최대 연결 시도 횟수를 구성합니다. 예를 들어, 속도 제한을 10으로 설정하면 분당 10번의 IPv6 SSH 세션 연결 시도와 분당 10번의 IPv4 세션 연결 시도가 허용됩니다.

• 범위: 1개에서 250개까지 연결

• 기본값: 150개 연결

세션 키를 재협상하기 전에 제한을 지정합니다.

SSH를 통해 사용자 액세스를 제어합니다.

• allow—사용자가 SSH를 통해 루트로 디바이스에 로그인할 수 있도록 허용합니다.

• 거부—사용자가 SSH를 통해 루트로 디바이스에 로그인하는 것을 비활성화합니다.

• deny-password—인증 방법(예: RSA 인증)에 암호가 필요하지 않은 경우 사용자가 SSH를 통해 루트로 디바이스에 로그인할 수 있도록 허용합니다.

• 기본: deny-password 는 대부분의 시스템에서 기본값입니다.

  MX 시리즈 라우터용 Junos 릴리스 17.4R1부터 루트 로그인 deny의 기본값은 입니다. 이전 Junos OS 릴리스에서 MX240, MX480, MX960, MX2010 및 MX2020의 기본 설정은 였습니다 allow.

들어오는 SFTP(SSH 파일 전송 프로토콜) 연결을 전역적으로 사용하도록 설정합니다. 명령문을 구성 sftp-server 하면 인증된 디바이스가 SFTP를 통해 디바이스에 연결할 수 있습니다. sftp-server 구성에 문이 없으면 SFTP가 전역적으로 비활성화되고 어떤 디바이스도 SFTP를 통해 디바이스에 연결할 수 없습니다.

TrustedUserCAKey SSH 인증서 기반 인증을 위해 /etc/ssh/sshd_config에서 파일을 구성합니다. 이 파일에는 SSH 인증서의 공개 키가 포함되어 있습니다.