[Linux] SSH 버전 업그레이드: 보안을 지키는 가장 확실한 방법

 

안녕하세요. 주식회사 서버몬 입니다.

보안을 강화하는 가장 기본적인 방법 중 하나는 시스템 구성 요소를 최신 상태로 유지하는 것입니다. 

그중에서도 SSH(Secure Shell)는 서버에 원격으로 접속할 때 사용하는 핵심적인 프로토콜로, 오래된 버전을 사용하는 경우 알려진 취약점에 노출될 위험이 큽니다. 이 글에서는 SSH 버전 업그레이드의 필요성과 그 방법을 자세히 알아보고, 안전한 서버 운영을 위한 팁도 함께 소개합니다.

 

보안업데이트 필요

 

지난 7월 KISA 측에서 Openssh 취약점에 대한 발표가 있었습니다.

https://knvd.krcert.or.kr/detailSecNo.do?IDX=6232

 

 

SSH 를 WAN 네트워크에 직접 노출하는 경우는 드물지만 취약점에 대한 조치가 필요합니다.

이번 포스트에서는 컴파일 설치와 서드파티 레포지토리를 이용하여 업그레이드 하는 방법에 대해서 설명 합니다.

 

운영환경 분석

 

현재 운영되는 OS 는 RockyLinux9 버전을 사용중이고 기본 제공 버전인 SSH는 "OpenSSH_8.7p1" 를 사용중 입니다.

[root@localhost ~]# ssh -V
OpenSSH_8.7p1, OpenSSL 3.2.2 4 Jun 2024

 

 

컴파일 설치

 

Red Hat 기반의 배포판(RHEL, CentOS, Rocky Linux 등)은 보수적인 업데이트 정책을 따릅니다.

이는 보안과 안정성 측면에서는 장점이 있지만, 최신 기능이 필요한 사용자에게는 제약이 될 수 있습니다.
대표적인 예로, OpenSSH의 최신 기능이나 취약점 패치가 배포판의 기본 저장소에 빠르게 반영되지 않는 경우가 많습니다.

최신 버전의 OpenSSH를 소스 컴파일 방식으로 설치하는 과정을 단계별로 정리하겠습니다.

 

사전 구성

1. 기존 OpenSSH 패키지 제거
기본 저장소에서 설치된 OpenSSH는 구버전 이기에  충돌을 방지하기 위해 먼저 제거합니다.
sudo yum remove openssh openssh-server openssh-clients

⚠️ 주의사항
원격 서버에서 작업 중이라면 SSH 세션이 끊기므로, 반드시 로컬에서 직접 접속한 상태에서 진행하거나, SSH 외의 대체 접속 수단 (예: KVM, iDRAC, VNC 등)을 확보한 상태에서 실행해야 합니다.

2. 의존성 패키지 설치
OpenSSH를 소스에서 빌드하거나 일부 Third Party 저장소를 사용할 경우, 필요한 라이브러리들이 존재합니다. 아래 명령어로 관련 패키지를 설치합니다.
sudo yum install -y make gcc tar wget vim zlib-devel openssl-devel pam-devel libselinux-devel

 

Openssh 설치

 

1. OpenSSH 소스 다운로드 및 압축 해제
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-10.0p1.tar.gz
tar -xvf openssh-10.0p1.tar.gz
cd openssh-10.0p1

2. 컴파일 구성 및 설치
필요한 옵션을 지정하여 configure 스크립트를 실행합니다.
./configure --prefix=/usr/local/openssh \
--with-ssl-dir=/usr/bin \
--with-privsep-user=sshd \
--with-zlib \
--with-pam \
--with-selinux

컴파일 및 설치:
make && sudo make install

3. PAM 구성
OpenSSH가 PAM 인증을 사용할 수 있도록 설정합니다.
sudo cp ./contrib/sshd.pam.generic /etc/pam.d/sshd
sudo vim /etc/pam.d/sshd

pam_cracklib.so 대신 pam_pwquality.so를 사용하는 구문으로 변경:
auth       required     pam_unix.so shadow nodelay
account    required     pam_nologin.so
account    required     pam_unix.so
password   required     pam_pwquality.so
password   required     pam_unix.so shadow nullok use_authtok
session    required     pam_unix.so
session    required     pam_limits.so

4. SSH 설정 파일 수정
sudo vi /usr/local/openssh/etc/sshd_config

다음과 같이 주요 옵션을 설정합니다
Port 2022
UsePAM yes
PermitRootLogin yes
PasswordAuthentication yes

5. Systemd 서비스 등록
OpenSSH를 systemd에 등록하여 부팅 시 자동으로 실행되도록 합니다.
sudo vi /etc/systemd/system/opensshd.service

[Unit]
Description=OpenSSH server daemon
After=network.target sshd-keygen.target
Wants=sshd-keygen.target

[Service]
Type=notify
ExecStart=/usr/local/openssh/sbin/sshd -D $OPTIONS
ExecReload=/bin/kill -HUP $MAINPID
KillMode=process
Restart=on-failure
RestartSec=42s

[Install]
WantedBy=multi-user.target

6. SELinux 정책 구성
OpenSSH가 SELinux 환경에서 정상 동작하도록 정책을 적용합니다.
sudo yum install -y setools setools-console setroubleshoot

sudo ausearch -c 'sshd-session' --raw | audit2allow -M my-sshd-session
sudo semodule -X 300 -i my-sshd-session.pp

sudo ausearch -c 'sshd' --raw | audit2allow -M my-sshd
sudo semodule -X 300 -i my-sshd.pp

sudo ausearch -c 'bash' --raw | audit2allow -M my-bash
sudo semodule -X 300 -i my-bash.pp

sudo semanage port -a -t ssh_port_t -p tcp 2022

7. 서비스 재시작 및 부팅 시 자동 실행 설정
sudo systemctl daemon-reload
sudo systemctl enable opensshd
sudo systemctl restart opensshd

8. 방화벽 설정
사용 포트(2022)를 방화벽에 허용합니다.
sudo firewall-cmd --permanent --add-port=2022/tcp
sudo firewall-cmd --reload

 

업그레이드 확인

 

systemctl status opensshd 으로 확인 했을때 opensshd 서비스가 동작중임을 확인 할 수 있습니다.

 

ssh -V 으로 확인 했을때 최시 버전인 10.0p2 버전이 적용 되었습니다.

 

외부 저장소 사용

 

Raven 저장소는 다양한 최신 패키지를 제공하는 비공식 저장소로,

RHEL 9 기반 시스템에서 최신 OpenSSH 설치에 활용할 수 있습니다.

1. Raven 저장소 추가
먼저 레포지토리를 시스템에 등록합니다.
sudo yum install -y https://pkgs.sysadmins.ws/el9/base/x86_64/raven-release.el9.noarch.rpm

2. yum-utils 설치
저장소 관리에 필요한 도구를 설치합니다.
sudo yum install -y yum-utils

3. Extras 저장소 활성화
Raven 저장소에서 제공하는 추가 패키지를 사용할 수 있도록 raven-extras를 활성화합니다
sudo yum-config-manager --enable raven-extras

4. OpenSSH 업그레이드
이제 시스템의 OpenSSH 관련 패키지를 업그레이드합니다.
sudo yum upgrade openssh*

5. 업그레이드 확인
정상적으로 업그레이드되었는지 버전을 확인해봅니다.
ssh -V
OpenSSH_9.8p1, OpenSSL 3.2.2 4 Jun 2024

 

 

 

감사합니다.

 

 

1U서버 / 2U서버 / AI서버 / alyac / APC / APC UPS / backup / carepack / centos / chakramax / cuda / DAS / DB / DB서버 / defog / DEFOG랙 / dell5820 / dell5820t / dell7920 / dellpoweredge / dellr240 / dellr340 / dellr350 / dellr450 / dellr540 / dellr630 / dellr640 / dellr740 / dellr750 / dellserver / dellt40 / dellt440 / dellt5820 / dell서버 / DELL서버CPU / DELL서버RAID컨트롤러 / DELL서버SAS하드디스크 / DELL서버가격비교 / DELL서버가격비교견적 / DELL서버견적 / DELL서버구매 / DELL서버디스크교체 / DELL서버메모리 / dell서버서버몬 / DELL서버펌웨어 / DELL서버하드디스크구매 / dell옵션 / dell워크스테이션 / dl20 / dl20gen10 / dl20gen11 / dl360 / dl360gen10 / dl360gen11 / dl380 / dl380g10 / dl380gen10 / dl380gen11 / ECC메모리 / EDFOG랙가격 / embedded / est security / ESTSOFT / FIRMWARE / GPU / gpu서버 / gpu타워형서버 / greenlake / HA솔루션 / HP GPU / hp hdd / hpdl20 / HPDL20Gen10 / hpdl360 / hpdl360gen10 / hpdl380 / hpdl380g10 / HPDL380Gen10 / HPE / HPE GPU / hpe hdd / hpe rok / HPE Service Pack for Proliant / HPE SPP / hpe ssa / hpedl20 / hpedl20gen10 / hpedl360gen10 / hpe서버 / HPE서버CPU / HPE서버RAID컨트롤러 / HPE서버SAS하드디스크 / HPE서버가격비교 / HPE서버가격비교견적 / HPE서버견적 / HPE서버구매 / HPE서버드라이버설치 / HPE서버디스크교체 / HPE서버메모리 / HPE서버비용 / hpe서버소음 / HPE서버펌웨어 / HPE서버하드디스크구매 / hpe옵션 / hpe정품 / hpgen10 / hpml30 / hpserver / hpz2 / hpz4 / hpz4g4 / hpz6g4 / hpz8g4 / hp마이크로서버 / hp서버 / hp서버cto / hp서버pc / HP서버메모리 / hp서버소음 / hp서버컴퓨터 / HP서버파워 / HP서버펌웨어 / HP서버하드디스크 / hp옵션 / hp워크스테이션 / hp정품 / hp프로라이언트 / HYPER BACKUP / ibm서버 / ilo / Intelligent Provisioning / internetdisk / KVM / KVM 기술지원비(비용) / KVM 설치비 / L2스위치 / L3스위치 / LENONO서버SAS하드디스크 / lenovop620 / lenovor650 / LENOVO서버 / LENOVO서버CPU / LENOVO서버RAID컨트롤러 / LENOVO서버가격비교 / LENOVO서버가격비교견적 / LENOVO서버견적 / LENOVO서버구매 / LENOVO서버디스크교체 / LENOVO서버메모리 / LENOVO서버하드디스크구매 / LENOVO펌웨어업데이트 / Linux / ML30 / ml30gen10 / ml30gen11 / ML350GEN10 / ml350gen11 / ML360 / MS CSP / MSSQL / MSSQL 기술지원비(비용) / MSSQL 설치비 / MYSQL / MySQL 기술지원비(비용) / MySQL 설치비 / NAS / NVIDIA / Office 365 / oneview / orange / OS설치 / PA-410 / PA-440 / paloalto / poweredger740 / poweredger750 / precision5820 / QUADRO / r240 / r250 / r340 / r360 / r440 / r550 / r650 / r660 / r740 / r750xs / r760 / r760xs / RAID / redhat / RHEL설치 / RMS랙 / rocky / s100i / securedisk / server / serverpc / smart storage administrator / SPP / sql server / sr250 / sr650 / SYNOLOGY / SYNOLOGY나스 / t150 / t360 / UPS / UPS기술지원 / UPS납품 / UPS설치 / V3 / veeam / vroc / windows server / Windows서버설치 / XEON서버 / z8g4 / 가상서버 / 가성비서버 / 기술지원비(비용) / 나스기술지원 / 나스설치지원 / 네트워크스위치 / 네트워크장비 / 더블테이크 / 데이터베이스 / 델5820 / 델서버 / 델서버비용 / 델서버펌웨어업데이트 / 델옵션 / 델워크스테이션 / 델컴퓨터워크스테이션 / 디포그 / 디포그랙 / 디포그랙가격 / 딥러닝 / 딥러닝pc / 딥러닝서버 / 랙 / 랙(RACK) 기술지원비(비용) / 랙(RACK) 설치비 / 랙납품설치 / 랙설치 / 레노버p620 / 레노버서버 / 레노버워크스테이션 / 레노보서버 / 레노보서버펌웨어 / 레드헷설치 / 레이드 / 레이드구성 / 록키리눅스 / 리눅스 / 리눅스 기술지원비(비용) / 리눅스 설치비 / 리눅스서버 / 리눅스서버설치 / 리눅스서버트러블슈팅 / 리눅스트러블슈팅 / 문서보안 / 문서중앙화 / 미니서버 / 미니서버랙 / 미니서버렉 / 미디어서버 / 방화벽 / 방화벽 기술지원비(비용) / 방화벽 설치비 / 방화벽엔지니어 / 백업 / 백업 기술지원비(비용) / 백업 서버 / 백업서비스 / 백업솔루션 / 보안솔루션 / 보안솔루션구매 / 보안솔루션설치 / 보안툴 / 빔백업 / 샤크라맥스 / 서버 / 서버 기술지원비(비용) / 서 버 랙마운트비용 / 서버 설치비 / 서버 장애조치비용 / 서버CPU / 서버MEMORY / 서버OS설치 / 서버pc / 서버가격 / 서버가속기 / 서버견적 / 서버교체 / 서버구매 / 서버구입 / 서버구축 / 서버기술지원 / 서버납품 / 서버디스크장애처리 / 서버랙 / 서버렉 / 서버렉마운트 / 서버메모리 / 서버 몬 / 서버몬기술지원 / 서버백업 / 서버보안 / 서버부품 / 서버엔지니어 / 서버옵션 / 서버용GPU / 서버용PC / 서버용그래픽카드 / 서버용메모리 / 서버 / 컴퓨터 / 서버용하드디스크 / 서버재고 / 서버컴 / 서버컴퓨터 / 서버트러블슈팅 / 서버판매 / 서버하드 / 서버호스팅 / 스위치 / 스위치 기술지원비(비용) / 스위치 설치비 / 스토리지 / 스토리지 기술지원비(비용) / 스토리지 랙마운트비용 / 스토리지 설치비 / 스토리지 장애조치비용 / 스토리지납품설치 / 스토리지서버 / 시놀로지DS918 / 시놀로지HyperBackup / 시놀로지나스 / 시놀로지나스백업 / 시놀로지하이퍼백업 / 시큐어디스크 / 안랩 / 알약 / 앱서버 / 오피스 365 / 우분투설치 / 워크스테이션 / 워크스테이션pc / 워크스테이션컴퓨터 / 윈도우서버 / 윈도우서버2016 / 윈도우서버2019 / 윈도우서버2022 / 윈도우서버설치 / 윈도우서버컴퓨터 / 윈도우서버트러블슈팅 / 윈도우즈 기술지원비(비용) / 윈도우즈 설치비 / 이스트소프트 / 이스트 시큐리티 / 이중화솔루션 / 이중화솔루션구매 / 이중화솔루션설치 / 인터넷디스크 / 임베디드 / 저가서버 / 저렴한서버 / 정품서버 / 정품서버옵션 / 제온서버 / 젠서버 / 중고서버 / 중고워크스테이션 / 카보나이트 / 카스퍼스키 / 컴퓨터서버 / 케어팩 / 타워서버 / 타워형서버 / 팔로알토 / 페도라설치 / 프로라이언트