Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

안전한 데이터 복사를 위해 SSH 알려진 호스트 키 구성

SSH(Secure Shell)는 암호화 알고리즘을 사용하여 안전한 데이터 전송을 보장하는 호스트, 서버 및 세션 키 시스템을 생성합니다. 구성 아카이브 및 이벤트 로그와 같은 데이터의 백그라운드 전송을 위한 FTP의 대안으로 SSH 호스트 키를 구성하여 보안 카피(SCP)를 지원할 수 있습니다. SCP에 대한 SSH 지원을 구성하려면 다음 작업을 완료해야 합니다.

  • Routing Engine 구성 계층에 호스트 이름 및 호스트 키 정보를 포함시켜 SSH 알려진 호스트를 지정합니다.

  • SCP URL을 설정하여 데이터를 수신할 호스트를 지정합니다. 이 속성을 설정하여 SCP 서버에서 SSH 호스트 키 정보를 자동으로 검색합니다.

  • 호스트 키가 정품인지 확인합니다.

  • 보안 연결을 허용합니다. 이 연결을 수락함으로써 로컬 호스트 키 데이터베이스에 호스트 키 정보를 자동으로 저장합니다. 구성 계층에 호스트 키 정보를 저장하면 보안 핸드셰이크를 자동화하고 SCP를 사용하여 백그라운드 데이터 전송을 허용합니다.

안전한 데이터 복사를 위해 SSH 호스트 키를 구성하는 작업은 다음과 같습니다.

SSH 알려진 호스트 구성

SSH 알려진 호스트를 구성하려면, 명령문을 포함하고 host 계층 수준에서 신뢰할 수 있는 서버에 [edit security ssh-known-hosts] 대한 호스트 이름 및 호스트 키 옵션을 지정합니다.

호스트 키는 다음 중 하나입니다.

  • dsa-key key—SSH 버전 2를 위한 Base64 인코딩된 DSA(Digital Signature Algorithm) 키.

  • ecdsa-sha2-nistp256-keykey—Base64 인코딩 ECDSA-SHA2-NIST256 키.

  • ecdsa-sha2-nistp384-keykey—Base64 인코딩 ECDSA-SHA2-NIST384 키.

  • ecdsa-sha2-nistp521-keykey—Base64 인코딩 ECDSA-SHA2-NIST521 키.

  • ed25519-keykey—Base64 인코딩된 ED25519 키.

  • rsa-key key—Base64 인코딩된 SSH 버전 1 및 SSH 버전 2의 암호화 및 디지털 시그니처를 지원하는 공용 키 알고리즘.

  • rsa1-key key—Base64 인코딩된 RSA 퍼블릭 키 알고리즘으로 SSH 버전 1의 암호화 및 디지털 시그니처를 지원합니다.

SCP 파일 전송 지원 구성

백그라운드 SCP 파일 전송을 지원하도록 알려진 호스트를 구성하려면 계층 레벨의 archive-sites [edit system archival configuration] 명령문을 포함합니다.

참고:

IPv6 호스트 주소를 사용하여 Junos OS 명령문에서 URL을 지정할 때는 전체 URL을 견적 표시(" ")로 동봉하고 IPv6 호스트 주소를 브래킷([])으로 동봉해야 합니다. 예를 들어, "scp://username<:password>@[host]<:port>/url-path";

명령문을 archive-sites SCP URL을 가리키도록 설정하여 자동 호스트 키 검색을 트리거합니다. 이때 Junos OS 는 SCP 호스트에 연결하여 SSH 퍼블릭 키를 가져오고, 호스트 키 메시지 다이제스트 또는 지문을 콘솔에 출력으로 표시한 다음, 서버에 대한 연결을 종료합니다.

호스트 키가 정품인지 확인하려면 신뢰할 수 있는 소스를 사용하여 동일한 호스트에서 얻을 수 있는 지문과 이 지문을 비교합니다. 지문이 동일한 경우 프롬프트에 입력 yes 하여 호스트 키를 허용합니다. 호스트 키 정보는 라우팅 엔진 구성에 저장되고 SCP를 사용하여 백그라운드 데이터 전송을 지원합니다.

SSH 호스트 키 정보 업데이트

일반적으로 SSH 호스트 키 정보는 계층 수준에서 명령문을 [edit system] 사용하여 archival configuration archive-sites SCP에 대한 URL 속성을 설정하면 자동으로 검색됩니다. 그러나 호스트 키 데이터베이스를 수동으로 업데이트해야 하는 경우 다음 방법 중 하나를 사용합니다.

수동으로 호스트 키 정보 검색

SSH 공용 호스트 키 정보를 수동으로 검색하려면 계층 수준에서 옵션을 [edit security ssh-known-hosts] 구성 fetch-from-server 합니다. SSH 공용 키를 검색할 호스트를 지정해야 합니다.

파일에서 호스트 키 정보 가져오기

known_hosts 파일에서 SSH 호스트 키 정보를 수동으로 임포트하려면 계층 수준의 옵션을 [edit security ssh-known-hosts] 포함합니다load-key-file. 호스트 키 정보를 가져올 파일 경로를 지정해야 합니다.

릴리스 히스토리 테이블
릴리스
설명
18.3R1
Junos OS Release 18.3R1부터 시작해, ssh-dss 즉시 제거되는 것이 아니라, 및 ssh-dsa 호스트키 알고리즘이 더 이상 사용되지 않아 하위 호환성과 새로운 구성을 준수할 수 있는 기회를 제공합니다.