Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

ssh (System Services)

구문

계층 수준

설명

원격 시스템의 SSH 요청을 허용하여 로컬 디바이스에 액세스할 수 있습니다.

옵션

allow-tcp-forwarding

사용자가 SSH를 사용하여 디스어그리게이션된 Junos OS 플랫폼에 대한 CLI 세션을 통해 SSH 터널을 생성할 수 있도록 합니다.

릴리스 22.2R1 Junos OS 보안 강화를 위해 기본적으로 TCP 포워딩 기능을 비활성화했습니다. TCP 포워딩 기능을 활성화하려면 [edit system services ssh] 계층 수준에서 문을 구성할 allow-tcp-forwarding 수 있습니다. 또한 [edit system services ssh] 계층 수준에서 및 no-tcp-forwarding 명령문을 더 이상 사용되지 tcp-forwarding 않습니다.
authentication-order [method1 method2...]

사용자를 인증하려고 시도할 때 소프트웨어가 다른 사용자 인증 방법을 시도하는 순서를 구성합니다. 각 로그인 시도에 대해 소프트웨어는 암호가 일치할 때까지 첫 번째 시도부터 시작하여 인증 방법을 순서대로 시도합니다.

  • 기본: 명령문을 포함하지 authentication-order 않으면 구성된 암호를 기반으로 사용자가 확인됩니다.

  • 구문: 시도해야 하는 순서대로 나열된 다음 인증 방법 중 하나 이상을 지정합니다.

    • ldaps-LDAP 인증 서비스를 사용합니다.

    • password- 계층 수준에서 명령문으로 사용자에 authentication 대해 구성된 비밀번호를 [edit system login user] 사용합니다.

    • radius—RADIUS 인증 서비스를 사용합니다.

    • tacplus—TACACS+ 인증 서비스를 사용합니다.
authorized-keys-command

사용자의 공개 키를 조회하는 데 사용할 명령 문자열을 지정합니다.
authorized-keys-command-user

계정에서 승인 키 명령이 실행되는 사용자를 지정합니다.
authorized-principals-file filename

SSH 인증서 기반 인증의 AuthorizedPrincipals 경우 , 에서 /var/etc파일을 구성합니다. 이 파일에는 이름 목록이 포함되어 있으며, 그 중 하나는 인증을 위해 수락하려면 인증서에 나타나야 합니다.
authorized-principals-command program-path

SSH 인증서 기반 인증 파일에서 AuthorizedPrincipals 발견되는 허용된 인증서 주체 목록을 생성하는 데 사용할 프로그램을 지정합니다.
ciphers [ cipher-1 cipher-2 cipher-3 ...]

SSH 서버가 암호화 및 복호화 기능을 수행하는 데 사용할 수 있는 암호 집합을 지정합니다.

주:

암호는 집합을 나타냅니다. SSH 암호 구성을 위해 다음 예시와 같이 명령을 사용합니다 set .

  • 값: 다음 암호 중 하나 이상을 지정합니다.

    • 3des-cbc-암호 블록 체임(CBC) 모드에서 DES(Triple Data Encryption Standard)

    • aes128-cbc—CBC 모드에서 128비트 AES(Advanced Encryption Standard)

    • aes128-ctr—카운터 모드에서 128비트 AES.

    • aes128-gcm@openssh.com—Galois/카운터 모드에서 128비트 AES.

    • aes192-cbc-CBC 모드에서 192비트 AES.

    • aes192-ctr—카운터 모드에서 192비트 AES.

    • aes256-cbc—CBC 모드에서 256비트 AES.

    • aes256-ctr—카운터 모드에서 256비트 AES.

    • aes256-gcm@openssh.com—Galois/카운터 모드에서 256비트 AES.

    • chacha20-poly1305@openssh.com—ChaCha20은 암호와 Poly1305 MAC를 스트리밍합니다.
client-alive-count-max number

클라이언트에서 메시지를 다시 수신하지 않고 전송할 수 있는 클라이언트 얼라이브 메시지 수를 구성합니다. 클라이언트 얼라이브 메시지가 전송되는 동안 이 임계값에 도달하면 sshd는 클라이언트의 연결을 끊고 세션을 종료합니다. 클라이언트 얼라이브 메시지는 암호화된 채널을 통해 전송됩니다. 클라이언트 얼라이브 간격 명령문과 함께 사용하여 응답하지 않는 SSH 클라이언트의 연결을 끊습니다.

  • 기본: 메시지 3개

  • 범위: 0~255개 메시지
client-alive-interval seconds

시간 제한 간격을 초 단위로 구성한 다음, 클라이언트로부터 데이터를 수신하지 않은 경우 sshd는 암호화된 채널을 통해 메시지를 보내 클라이언트의 응답을 요청합니다. 이 옵션은 SSH 프로토콜 버전 2에만 적용됩니다. 클라이언트-얼라이브-카운트-최대 명령문과 함께 사용하여 응답하지 않는 SSH 클라이언트의 연결을 끊습니다.

  • 기본: 0초

  • 범위: 1~65535초
fingerprint-hash (md5 | sha2-256)

키 지문을 표시할 때 SSH 서버에서 사용하는 해시 알고리즘을 지정합니다.

주:

FIPS 이미지는 MD5 지문 사용을 허용하지 않습니다. FIPS 모드 sha2-256 의 시스템에서 유일한 사용 가능한 옵션입니다.

  • 값: 다음 중 하나를 지정합니다.

    • md5 - MD5 알고리즘을 사용하도록 SSH 서버를 활성화합니다.

    • sha2-256 - SSH 서버에서 sha2-256 알고리즘을 사용하도록 설정합니다.

  • 기본: sha2-256
host-certificate-file filename

HostCertificate SSH 인증서 기반 인증을 위해 에서 /etc/ssh/sshd_config 파일을 구성합니다. 이 파일에는 서명된 호스트 인증서가 들어 있습니다.
log-key-changes log-key-changes

Junos OS 활성화하여 승인된 SSH 키를 기록합니다. log-key-changes 문이 구성되고 커밋되면 Junos OS 각 사용자에 대해 승인된 SSH 키 집합에 대한 변경 사항을 기록합니다(추가 또는 제거된 키 포함). Junos OS 마지막으로 명령문이 구성된 이후의 log-key-changes 차이를 기록합니다. log-key-changes 문이 구성되지 않은 경우, Junos OS 승인된 모든 SSH 키를 기록합니다.

  • 기본: Junos OS 모든 승인된 SSH 키를 기록합니다.
macs [algorithm1 algorithm2...]

SSH 서버가 메시지를 인증하는 데 사용할 수 있는 메시지 인증 코드(MAC) 알고리즘 집합을 지정합니다.

주:

구성 문은 macs 집합을 나타냅니다. 따라서 다음과 같이 구성해야 합니다.

  • 값: 메시지를 인증하기 위해 다음 MAC 알고리즘 중 하나 이상을 지정합니다.

    • hmac-md5—메시지 다이제스트 5(MD5)를 사용하는 해시 기반 MAC

    • hmac-md5-96—MD5를 사용하는 96비트 해시 기반 MAC

    • hmac-md5-96-etm@openssh.com—MD5를 사용하는 해시 기반 Encrypt-then-MAC 96비트

    • hmac-md5-etm@openssh.com—MMD5를 사용하는 해시 기반 Encrypt-then-MAC

    • hmac-sha1—보안 해시 알고리즘-1을 사용하는 해시 기반 MAC(SHA-1)

    • hmac-sha1-96—SHA-1을 사용하는 96비트 해시 기반 MAC

    • hmac-sha1-96-etm@openssh.com—SHA-1을 사용하는 해시 기반 Encrypt-then-MAC 96비트

    • hmac-sha1-etm@openssh.com—SHA-1을 사용하는 해시 기반 Encrypt-then-MAC

    • hmac-sha2-256—보안 해시 알고리즘-2를 사용하는 해시 기반 MAC 256비트(SHA-2)

    • hmac-sha2-256-etm@openssh.com—SHA-2를 사용하는 해시 기반 Encrypt-then-Mac

    • hmac-sha2-512—SHA-2를 사용하는 512비트 해시 기반 MAC

    • hmac-sha2-512-etm@openssh.com—SHA-2를 사용하는 해시 기반 Encrypt-then-Mac

    • umac-128-etm@openssh.com-RFC4418에 지정된 UMAC-128 알고리즘을 사용한 Encrypt-then-MAC

    • umac-128@openssh.com—RFC4418에 지정된 UMAC-128 알고리즘

    • umac-64-etm@openssh.com-RFC4418에 지정된 UMAC-64 알고리즘을 사용한 Encrypt-then-MAC

    • umac-64@openssh.com—RFC4418에 지정된 UMAC-64 알고리즘

max-pre-authentication-packets number

사용자 인증 전에 SSH 서버가 수락할 사전 인증 SSH 패킷의 최대 수를 정의합니다.

  • 범위: 20~2147483647 패킷

  • 기본: 128개의 패킷
max-sessions-per-connection number

단일 SSH 연결당 허용되는 최대 ssh 세션 수를 지정합니다.

  • 범위: 1~65535개 세션

  • 기본: 세션 10개
no-challenge-response

- SSH 도전 응답 기반 인증 방법을 비활성화합니다.

주:

계층 아래에 [edit system services ssh] 이 문을 구성하면 로그인 서비스와 오버 SSH 서비스 모두 SSHNETCONF 영향을 미칩니다.
no-password-authentication

- SSH 암호 기반 인증 방법을 비활성화합니다.

주:

계층 아래에 [edit system services ssh] 이 문을 구성하면 로그인 서비스와 오버 SSH 서비스 모두 SSHNETCONF 영향을 미칩니다.
no-passwords

SSH에 대한 암호 기반 및 도전 응답 기반 인증을 모두 비활성화합니다.

주:

계층 아래에 [edit system services ssh] 이 문을 구성하면 로그인 서비스와 오버 SSH 서비스 모두 SSHNETCONF 영향을 미칩니다.
no-public-keys

공용 키 인증 시스템을 광범위하게 비활성화합니다. [편집 시스템 로그인 사용자 user-name 인증] 계층 수준에서 공개 키 없음 문을 지정하는 경우, 특정 사용자에 대한 공개 키 인증을 비활성화합니다.
port port-number

들어오는 SSH 연결을 허용할 포트 번호를 지정합니다.

  • 기본: 22

  • 범위: 1~65535
protocol-version [v2]

보안 쉘(SSH) 프로토콜 버전을 지정합니다.

릴리스 19.3R1 및 릴리스 18.3R3 Junos OS Junos OS 시작하여 모든 SRX 시리즈 디바이스에서 [edit system services ssh protocol-version] 계층 수준에서 비보안 SSH 프로토콜 버전 1(v1) 옵션을 제거했습니다. SSH 프로토콜 버전 2(v2)를 기본 옵션으로 사용하여 시스템과 애플리케이션을 원격으로 관리할 수 있습니다. v1 옵션이 더 이상 사용되지 않아 Junos OS OpenSSH 7.4 및 이후 버전과 호환됩니다.

19.3R1 및 18.3R3 이전의 Junos OS 릴리스는 시스템과 애플리케이션을 원격으로 관리하는 옵션을 계속 지원 v1 합니다.

  • 기본: v2—SSH 프로토콜 버전 2는 Junos OS 릴리스 11.4에서 소개된 기본값입니다.
rate-limit number

액세스 서비스에서 프로토콜(IPv6 또는 IPv4)당 분당 최대 연결 시도 횟수를 구성합니다. 예를 들어 속도 제한을 10으로 하면 분당 10번의 IPv6 SSH 세션 연결 시도와 분당 10번의 IPv4 세션 연결 시도가 허용됩니다.

  • 범위: 1~250개의 연결

  • 기본: 150개의 연결
rekey

세션 키가 재협상되기 전에 제한을 지정합니다.

data-limit bytes

세션 키를 재협상하기 전에 데이터 제한을 지정합니다.
time-limit minutes

세션 키를 재협상하기 전에 시간 제한을 지정합니다.

  • 범위: 1~1440분
root-login (allow | deny | deny-password)

SSH를 통해 사용자 액세스를 제어합니다.

  • allow - 사용자가 SSH를 통해 루트로 디바이스에 로그인하도록 허용합니다.

  • deny - 사용자가 SSH를 통해 루트로 디바이스에 로그인하는 것을 비활성화합니다.

  • deny-password — 인증 방법(예: RSA 인증)이 암호가 필요하지 않을 때 사용자가 SSH를 통해 루트로 디바이스에 로그인하도록 허용합니다.

  • 기본: deny-password 은(는) 대부분의 시스템의 기본값입니다.

    MX 시리즈 라우터에 대한 Junos 릴리스 17.4R1부터 루트 로그인의 기본값은 입니다 deny. 이전 Junos OS 릴리스에서 MX240, MX480, MX960, MX2010 및 MX2020의 기본 설정은 였습니다 allow.
sftp-server

들어오는 SSH 파일 전송 프로토콜(SFTP) 연결을 전역으로 활성화합니다. 문을 구성 sftp-server 하면 인증된 디바이스가 SFTP를 통해 디바이스에 연결할 수 있습니다. sftp-server 문이 구성에 없는 경우, SFTP는 전 세계적으로 비활성화되며 SFTP를 통해 디바이스에 연결할 수 없습니다.
trusted-user-ca-key-file filename

TrustedUserCAKey SSH 인증서 기반 인증을 위해 에서 /etc/ssh/sshd_config 파일을 구성합니다. 이 파일에는 SSH 인증서의 공개 키가 포함됩니다.

나머지 문은 별도로 설명됩니다. CLI 탐색기에서 문을 검색하거나 자세한 내용은 구문 섹션에서 연결된 문을 클릭합니다.

필수 권한 수준

system - 구성에서 이 명령문을 볼 수 있습니다.

system-control - 구성에 이 명령문을 추가합니다.

출시 정보

Junos OS 릴리스 7.4 전에 소개된 명령문입니다.

ciphers, hostkey-algorithm, key-exchangemacs 명령문은 Junos OS 릴리스 11.2에서 소개되었습니다.

max-sessions-per-connection Junos OS no-tcp-forwarding 릴리스 11.4에서 소개된 명령문입니다.

Junos OS 릴리스 12.1에서 소개된 SHA-2 옵션.

Junos OS 릴리스 12.1X47-D10에 key-exchange 추가된 명령문의 curve25519-sha256 옵션에 대한 지원.

client-alive-interval client-alive-count-max 명령문은 Junos OS 릴리스 12.2에서 소개되었습니다.

max-pre-authentication-packets Junos OS 릴리스 12.3X48-D10에서 소개된 명령문입니다.

no-passwords Junos OS 릴리스 13.3에서 소개된 명령문입니다.

no-public-keys Junos OS 릴리스 15.1에서 소개된 명령문입니다.

tcp-forwarding NFX250 네트워크 서비스 플랫폼 Junos OS 릴리스 15.1X53-D50에서 소개된 명령문입니다.

fingerprint-hash Junos OS 릴리스 16.1에서 소개된 명령문입니다.

log-key-changes Junos OS 릴리스 17.4R1에서 소개된 명령문입니다.

sftp-server Junos OS 릴리스 19.1R1에서 소개된 명령문입니다.

no-challenge-response Junos OS no-password-authentication 릴리스 19.4R1에서 소개된 명령문입니다.

Junos OS 릴리스 20.2R1에서 소개된 옵션 ldaps .

allow-tcp-forwarding 옵션은 Junos OS 릴리스 22.2R1에 추가되었습니다.

관련 항목