이 세상에 하나는 남기고 가자

이 세상에 하나는 남기고 가자

세상에 필요한 소스코드 한줄 남기고 가자

SSH 비밀번호 입력없이 로그인하기

유영재

ssh 사용시 매번 비밀번호를 입력하는 것은 귀찮은 일이다. 그럼에도 불구하고 ssh의 기본 기능에 비밀번호를 미리 입력하는 기능을 제공하지 않는 것은 보안 상의 이유 때문일 것이다. 하지만 비밀번호를 입력하는 귀찮음을 해소하는 것 외에도 스케쥴링 처리 스크립트 등에서 사용자의 비밀번호 입력없이 ssh 접속을 해야할 경우가 있다. 이런 경우에 대비해서 ssh에서는 클라이언트의 공개키를 원격 서버에 미리 등록 시켜두는 방식으로 비밀번호 없이 접속할 수 있는 방법을 제공한다. 사실 이 방법이 보안 상으로도 안전한 편이고 등록하는 과정도 크게 복잡하지 않으므로 가장 권장되는 방법이라고 할 수 있다.

그렇다고 이 방법 외에는 대안이 없는 것은 아니다. expect 명령을 이용해서 비밀번호 입력을 자동화하는 방법과 sshpass를 사용하는 방법이 있다. 사실 sshpass를 몰랐을 때는 expect를 주로 사용했는데 sshpass를 사용하면 훨씬 쉽게 다양한 일을 할 수 있다.

자.. 이제부터 하나씩 방법을 설명하고자 한다. 아래는 CentOS 기준이며 기타 리눅스에서도 거의 동일한 것으로 알고 있다.

1. 공개키 등록 방식

우선 ~/.ssh/id_rsa.pub에 파일이 존재하는지 확인한다. 없다면 아래와 같이 ssh-keygen을 사용해서 개인용 개인키/공개키를 생성한다.

ssh-keygen -t rsa

위 명령을 입력하면 몇가지를 물어보는데 특별한 이유가 없다면 그냥 엔터를 계속 눌러서 완료하면 된다. 이렇게 생성하고나면 개인키는 ~/.ssh/id_rsa로 공개키는 ~/.ssh/id_rsa.pub로 생성된다.

이제는 공개키를 접속하려는 원격 서버에 등록해야 한다. 아래와 같이 직접 해당 서버로 복사하는 방법이 있다.

scp ~/.ssh/id_rsa.pub [user]@[host]:~/.ssh/authorized_keys

그런데 이렇게하면 기존 파일이 존재할 경우 덮어쓰게 되므로 권장하지 않는다. 대신 아래와 같이 ssh-copy-id를 사용하는 것을 권장한다. ssh-copy-id를 사용하면 원격 서버에 authorized_keys 파일이 없다면 생성해주고 있다면 공개키를 추가해 준다.

ssh-copy-id -i ~/.ssh/id_rsa.pub [user]@[host]

여기까지 완료 했다면 비밀번호 없이 ssh 접속이 가능해야 한다. 그런데 간혹 작업을 완료했음에도 불구하고 계속 비밀번호를 물어보는 경우가 있다. 그런 경우는 대부분 원격 서버의 authorized_keys 파일 퍼미션 문제다. 원격 서버에서 퍼미션을 아래와 같은지 확인하고 맞지 않다면 변경해 준다. 대부분의 경우는 접속 문제가 해결된다.

chmod 700 ~/.ssh/
chmod 600 ~/.ssh/authorized_keys

selinux를 사용하고 있는 경우 추가적으로 아래의 처리가 필요할 수 있다.

restorecon -R -v ~/.ssh

# 또는

chcon -t ssh_home_t ~/.ssh/
chcon -t ssh_home_t ~/.ssh/authorized_keys

2. sshpass를 사용하는 방식

sshpass는 ssh와는 직접적인 관련이 없는 프로그램으로 별도 설치가 필요하다. 설치되어 있지 않다면 아래와 같이 설치한다.

yum --enablerepo=epel -y install sshpass

기본적인 사용은 아래와 같이 할 수 있다.

sshpass -p[password] ssh -o StrictHostKeyChecking=no [user]@[host]

위 방식은 서두에서도 이야기 했듯이 비밀번호가 명령 상에 노출되므로 보안상으로는 좋지는 않다. 하지만 필요할 때가 있으니 알아두면 요긴하게 쓰이리라 생각한다. 그리고 sshpass는 접속시 비밀번호를 자동 입력해주는 역할 외에 다음과 같은 일도 할 수 있다.

# 원격 서버에서 command 실행
sshpass -p[password] ssh -o StrictHostKeyChecking=no [user]@[host] [command]
# 원격 서버로 test.txt 파일 복사(scp)
sshpass -p[password] scp -o StrictHostKeyChecking=no test.txt [user]@[host]:~/test.txt

3. expect를 사용하는 방식

sshpass를 사용하면 이 방식은 크게 의미가 없다. 하지만 sshpass를 사용할 수 없는 상황이다. expect를 활용해서 다른 곳에 응용할 수 있으니 참고 차원에서 ssh 자동 로그인 스크립트를 남긴다.

sshlogin 파일로 아래의 내용을 저장하고 실행 권한을 준다.

#! /usr/bin/expect
set idNhost [lrange $argv 0 0]
set password [lindex $argv 1]
spawn ssh $idNhost
expect -re "password: "
send "$password\r"
interact

사용법은 다음과 같다.

./sshlogin [user]@[host] "[password]"
comments powered by Disqus