[KDT:K-digital training 과정] 리눅스 3일차 - 리눅스의 원격접속(SSH, SCP(파일 복사), SUPERPUTTY(PUTTY), Rlogin, TigerVNC 등)

원격 접속: SSH, SCP(파일 복사), SUPERPUTTY(PUTTY), Rlogin, TigerVNC 등

Remote Access(원격 접속)

리모트 액세스에는 putty, vnc ssh, telnet,rlogin 등이 있는데 이들로 접속해서 서버 머신, 라우터/스위치 등 장비를 관리할 수 있다.

이중에서 vnc는 graphic 접속이고 나머지는 console 접속이다.

최근에 Windows에서는 Remote Desktop으로 접속하는 추세이다.

 

로컬과 원격

Linux 서버 시스템에 로컬과 원격에서 접속할 수 있는데

 

로컬: 해당 서버 머신에서 직접 접속하는 것이고,

 

원격: 관리 목적상 다른 시스템에서 서버 머신에 접속하는 것을 말한다.

 

서비스 게시 과정

 

서버에서 어느 서비스를 게시할 때에는 해당 서비스 모듈을 설치하고

 

필요하면 설정 파일을 목적에 맞게 변경하고

 

해당 서비스를 실행시켜 두고

 

방화벽을 열어두고(외부에서 접속이 가능해야 서비스를 이용 가능하다.)←반드시 방화벽을 손 봐 줘야 한다.

 

netstat와 같은 명령어로 포트가 열려 있고 서비스가 시작되어 있는지 확인하고

 

클라이언트들이 들어와서 사용하게 한다.

 

방화벽

 

firewall로 설정 방법은 두 가지다.

JavaScript

복사

1. firewall-config 해서 GUI로 설정

​

JavaScript

복사

2. firewall-cmd —permanent —zone=public —add-port=5903/tcp 명령어로 열어준다.

​

설정 한 후에는 firewall-cmd —reload로 적용시켜준다.

 

 

iptables

⇒iptables라는 도구를 사용해서 방화벽을 관리할 수도 있다.

JavaScript

복사

iptables -A INPUT -p tcp multiport —dports 5901:5903 -j ACCEPT

​

 

SSH(Secure Shell)

암호화된 연결이기 때문에 key가 있어야 한다

 

 

 

ssh user@host_name 식으로 연결

⇒host_name에 IP 주소를 쓸 수도 있다.

⇒host_name을 사용하려면 /etc/hosts 파일에 192.168.100.129 ubuntu 식으로 IP 주소와 host_name을 mapping(밑에 내리면 설명 있음)해서 넣어두면 된다.

 

 

SSH 연결에서는 반드시 key를 묻는데 이는 나중에 https, sftp, …s 가 들어가는 보안 연결을 위해서이다.

원격(remote site)에서 root 사용자로 로그인하는 것을 일반적으로 SSH, Telnet, VNC 등의 도구에서는 막고 있다.

이미 한 번 연결하면 키를 내장한다. 따라서 다음 접속 시 키를 묻지 않는다.

 

 

SSH + 명령어: ssh centos@centos head -2 /etc/passwd: 뒤에 명령어를 붙이면 실제 연결 없이 명령어를 실행해서 타켓의 정보를 추출할 수 있다.

 

 

 

 

→로그가 남지 않는다.

 

tty

사용중인 콘솔(터미널)의 번호를 알려준다.

 

 

SSH로 우분투(클라이언트) 머신에서 센토스(서버) 머신으로 접속을 했고, 0번 콘솔은 센토스에 열려 있기 때문에 그 다음 콘솔인 1번 콘솔을 받았다.

 

who/w

접속된 사용자 정보를 보여준다.

서버에 외부에서 접속한 사용자들(multi-user, multi-task)을 본다면 who, w를 사용하면 된다.

 

 

 

 

 

shutdown으로 외부 원격접속 머신 연결 끊어내기

JavaScript

복사

shutdown -h +1 In one minute, system going down... save ur jobs…

​

센토스에서 명령어를 입력했는데 우분투에도 적용되어 쫒겨날 것이다.

 

 

쫓겨나서 connection이 closed 되었다.

 

Bash

현재 나와있는 쉘

사용자가 명령어를 입력하는 곳을 쉘(프롬프트)라고 하는데 리눅스의 기본 쉘이 Bash쉘이다.

 

 

 

프로세스 넘버로 우분투 콘솔 종료시키기

JavaScript

복사

kill -9 3031

​

 

 

첫 번째로 접속해서 0번 콘솔(pts/0)을 받았다.

 

/etc/hosts파일의 매핑

 

 

IP 주소와 호스트명을 매칭해줘서 ip 주소 대신 호스트명으로 접속할 수 있다.

ssh centos(사용자명)@centos(호스트명, ip주소를 써도 된다)등으로 접속할 수 있게 해준다.

 

SCP

암호화된 복사/전송으로, ssh를 이용한 파일 복사다.

이 도구는 ssh에 기반하므로 역시 키가 있어야 한다.

→Windows 11에서도 소프트웨어적인 *bit locker(밑에 설명 있음)를 사용해서 이 시스템이 접속한 HDD/USB/SDcard는 데이터가 자동으로 암호화 된다.

JavaScript

복사

scp /etc/hosts root@centos:/etc/hosts

​

우분투에서 scp로 root사용자 centos /etc/hosts 위치로 파일을 전송했다.

 

 

센토스에서 확인해보니까 비어있었던 파일이 대체되었다.

 

*Bit Locker

Microsoft Windows 운영 체제에 내장된 디스크 암호화 기능

이 기능은 컴퓨터의 데이터를 보호하기 위해 전체 드라이브를 암호화하는 데 사용됨

Windows 11에서도 소프트웨어적인 bit locker를 사용해서 이 시스템이 접속한 HDD/USB/SDcard는 데이터가 자동으로 암호화 된다.

 

Puppet

노드(클라이언트)들이 서버에 자동으로 들어가서 변경사항을 업데이트하는 클라우드 기술

 

Ansible

반대로 서버가 노드(클라이언트)들에 직접 들어가서 변경사항을 업데이트 시켜주는 클라우드 기술

 

SuperPutty

Putty를 확장한 도구로 SuperPutty가 있다.

SuperPuTTY는 Windows 환경에서 SSH (Secure Shell) 및 Telnet 세션을 관리하는 데 사용되는 애플리케이션입니다. 기본적으로 PuTTY는 각 세션마다 별도의 창을 열지만, SuperPuTTY는 여러 개의 PuTTY 세션을 하나의 창에서 탭으로 관리할 수 있게 해줍니다.

하나의 Putty에서 여러 Linux 머신에 연결해서 일괄 작업을 하게 해준다.

→XShell도 널리 사용된다.

이를 확장한 것이 Puppet/Ansible이다.

 

실습

슈퍼푸티 실행화면

 

 

 

경로 지정

 

 

 

연결을 해준다.

 

 

 

연결해주고, 연결 창을 연 채로 또 다른 연결을 한다.

 

 

 

Putty와 다르게 SuperPutty는 여러 개의 Linux 머신에 연결된다!(작업 가능)

 

 

 

Rlogin

역시 SSH, Putty, SuperPutty 처럼 원격접속 도구이다.

원격 시스템에 로그인하여 커맨드를 실행하게 해주는 UNIX 및 UNIX 계열 운영체제의 프로그램이다.

rlogin은 터미널 에뮬레이션을 제공하며, 사용자는 마치 직접 해당 컴퓨터에 앉아 작업하고 있는 것처럼 원격 호스트에서 작업을 수행할 수 있다.

그러나 rlogin은 본질적으로 보안에 취약하다. rlogin을 사용하여 데이터를 전송하면, 그 데이터는 네트워크를 통해 평문으로 전송되므로, 가능한 경우 ssh(Secure Shell)와 같은 보안이 강화된 대안을 사용하는 것이 좋다. ssh는 암호화를 사용하여 데이터를 보호하고, 서버와 클라이언트 간에 안전한 통신을 제공판다.

최근에는 보안상 r~로 시작되는 모듈을 비활성화 해 두어서 잘 안 될 수도 있다.

 

Rlogin 실습

센토스(서버)에 우분투(클라이언트)로 rlogin을 이용해 접속할 것이다.

 

먼저 센토스에서 rlogin이 설치되어 있는지 확인하고

JavaScript

복사

rpm -qa rlogin

​

설치해준다.

JavaScript

복사

yum -y install rsh-*

​

방화벽을 그래픽으로 열어준다.

JavaScript

복사

firewall-config

​

513번이 rlogin의 포트 번호다. permanent로 설정을 변경하고 ADD해서 열어준다.

 

 

 

방화벽 설정을 저장해준다.

JavaScript

복사

firewall-cmd --reload

​

SElinux를 무력화시켜준다.

JavaScript

복사

setenforce 0

​

우분투에서 접속한다.

 

 

 

정리하자면 센토스에 rlogin(서비스)를 설치했고, 센토스의 방화벽을 열고 SElinux를 무력화시켜 클라이언트가 접속할 수 있게 해준 다음 Ubuntu(클라이언트)로 접속한 실습을 한 것이다.

 

SElinux

SELinux는 Linux 시스템의 보안을 강화하기 위해 개발된 커널 모듈로, 각 프로세스와 파일에 대한 접근을 엄격하게 관리하여 보안 위협을 방지

setenforce 1은 활성화(Enforcing 모드), setenforce 0은 비활성화다(Permissive 모드)

우리는 주로 방화벽을 내리고 연결을 해주는 것이 목적이므로 setenforce 0 명령어를 많이 사용할 것이다.

 

VNC

원격에서 Linux 타겟에 Graphic으로 연결할 때 VNC 도구를 사용하는데 Windows 머신에서의 원격 데스크탑 연결과 유사하게 사용하는데

TigerVNC나 RealVNC, TightVNC 프로그램을 주로 사용한다.

 

실습

해상도, development, 폰트까지 설치해준다.

JavaScript

복사

yum - y install pixman pixman-devel libXfont

​

 

센토스에 tigervnc 서버를 설치해준다.

JavaScript

복사

yum -y install tigervnc-server

​

 

외부에서 들어올 때는 console을 조절해줘야 한다.

방화벽을 설정해준다.

JavaScript

복사

[root@centos2 centos]# firewall-cmd --permanent --zone=public --add-port=5903/tcp success [root@centos2 centos]# firewall-cmd --permanent --zone=public --add-port=5902/tcp success [root@centos2 centos]# firewall-cmd --reload

​

 

iptables -nL --line-numbers로 확인해보자.

iptables와 firewall은 연계되어 있어서 firewall로 열고 iptables로 확인해도 된다.

JavaScript

복사

iptables -nL --line-numbers

​

 

 

5903, 5902 포트가 열려 있다.

 

su -centos/root 해서 vncpasswd를 설정해준다.

 

 

 

.vnc/xstartup 파일을 설정해준다.

JavaScript

복사

nano .vnc/xstartup

​

#!/bin/sh unset SESSION_MANAGER unset DBUS_SESSION_BUS_ADDRESS exec /etc/X11/xinit/xinitrc

위의 배쉬파일을 만져준다.

 

권한을 바꿔줬다.

JavaScript

복사

chmod 755 .vnc/xstartup

​

 

systemd 서비스 파일 복사 명령어

JavaScript

복사

cp -arp /lib/systemd/system/vncserver@.service /etc/systemd/system/vncserver@:1.service cp -arp /lib/systemd/system/vncserver@.service /etc/systemd/system/vncserver@:2.service

​

이 두 명령어는 VNC 서버의 systemd 서비스 파일을 복사하고, 이를 통해 시스템에서 두 개의 별도의 VNC 서버 인스턴스를 관리할 수 있도록 한다.

이렇게 하면 각각의 VNC 서버 인스턴스를 개별적으로 시작, 정지, 재시작할 수 있게 된다.

 

들어올 수 있는 사용자를 설정해준다.

JavaScript

복사

nano /etc/systemd/system/vncserver@:1.service nano /etc/systemd/system/vncserver@:2.service

​

 

 

 

 

기본적으로, SSH를 통한 root 사용자의 원격 접속은 보안 상의 이유로 비활성화되어 있다. 공격자가 root 계정에 대한 무작위 접속 시도(brute-force attack)를 통해 시스템을 침투하는 것을 막기 위한 것이다.

 

데몬(백그라운드에서 서버 서비스가 클라이언트의 연결을 기다리는 메모리 상주 프로그램)을 다시 불러오고 service를 enable 해준다.

JavaScript

복사

systemctl daemon-reload systemctl enable vncserver@:1.service systemctl enable vncserver@:1.service

​

 

재시작 해준다.

JavaScript

복사

systemctl restart vncserver@:1.service systemctl restart vncserver@:2.service

​

 

우분투에 apt -y install tigervnc-viewer 설치 후 몇 번으로 접속할지 설정하는데, root 연결은 주로 차단되기 때문에 2번으로 연결해준다.

JavaScript

복사

vncviewer 192.168.100.141:1 vncviewer 192.168.100.141:2

​

 

 

성공!!

 

ROOT 관리자 접속을 허용하는 법

방화벽을 싹 다 열어주고 적용한다.

JavaScript

복사

firewall-cmd --permanent --zone=public --add-port=5901/tcp firewall-cmd --permanent --zone=public --add-port=5902/tcp firewall-cmd --permanent --zone=public --add-port=5903/tcp firewall-cmd --permanent --zone=public --add-port=5904/tcp firewall-cmd --reload

​

 

참고용 > SSH에서 Root 사용자 접속을 허용하려면(센토스, 우분투 동일)

sshd_config 파일을 수정한다.

JavaScript

복사

nano /etc/ssh/sshd_config

​

 

PermitRootLogin yes 부분의 주석을 지운다.

 

 

 

시스템을 재시작 해준다.

JavaScript

복사

systemctl restart sshd

​

 

Window 7 VNC 클라이언트 접속 방법

Windows 7 VNC 클라이언트에서 들어간다면

 

Googling으로 VNC-Viewer-6.22.826-Windows-64bit.exe를 다운받아서 Win7에 디폴트로 설치한 뒤, (https://www.realvnc.com/en/connect/download/viewer/ 여기서 첫번째 것 다운로드)

 

시작>VNC viewer를 실행하고>상단에 vnc connect 옆 주소창에 192.168.100.100(vnc_서버):1식으로 해주고 엔터한다>작은 창이 뜨면서 연결 패스워드를 물으면 centos 패스워드를 넣으면 들어간다.