CentOS 7 컨테이너 내에서 openssh 서버 호스팅

지난 글에서 CentOS 7의 yum repository를 변경한 후 openssh 패키지를 설치했는데요,

CentOS 7에서 yum 사용 시 "Could not resolve host: mirrorlist.centos.org; Unknown error"
; https://www.sysnet.pe.kr/2/0/13981

$ cat centos7.repo
[base]
name=CentOS-$releasever - Base
# ...[생략: https://www.sysnet.pe.kr/2/0/13981#repo]... 

$ cat centos7.dockerfile
FROM centos:7

COPY ./centos7.repo /etc/yum.repos.d/CentOS-Base.repo

RUN yum install openssh-server -y

그런데 서비스 관련 명령을 내렸더니 이런 오류가 발생합니다.

# systemctl start sshd
Failed to get D-Bus connection: Operation not permitted

찾아보면, 뭔가 꽤나 복잡한 설정으로 --privileged 옵션까지 넣어가며 systemd를 활성화해야 하는 것 같습니다.

failed to get D-Bus connection: Operation not permitted
; https://serverfault.com/questions/824975/failed-to-get-d-bus-connection-operation-not-permitted

저렇게 하느니, 그냥 고전적으로 sshd 데몬을 실행하는 방법으로 변경하는 것도 나쁘지 않겠는데요, 따라서, 다음과 같이 Dockerfile을 보완하면 됩니다.

$ cat centos7.dockerfile
FROM centos:7

COPY ./centos7.repo /etc/yum.repos.d/CentOS-Base.repo

# 테스트를 위해 net-tools 포함
RUN yum install openssh-server net-tools -y
RUN ssh-keygen -A

EXPOSE 22

# 아래의 주석을 해제하면 sshd가 컨테이너 시작 시 자동으로 실행
# CMD ["/usr/sbin/sshd", "-D"]

컨테이너를 만들고 sshd를 직접 실행한 후,

$ docker build -f ./centos7.dockerfile . -t centos7_dotnet_img

$ docker run --rm --name centos7_dotnet_test -it -p 15022:22 centos7_dotnet_img /bin/bash
# /usr/sbin/sshd
# netstate -ano
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       Timer
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      off (0.00/0/0)
tcp6       0      0 :::22                   :::*                    LISTEN      off (0.00/0/0)
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node   Path
#

ssh 클라이언트로 docker 호스트 측의 포워딩된 포트로 접속하면 끝!

$ ssh root@192.168.100.50 -p 15022

---

그런데, 저렇게 하면 "ssh-keygen -A" 명령어로 인해 서버 키가 매번 새롭게 생성되므로 ssh 클라이언트는 그때마다 fingerprint를 등록해야 합니다. 처음 한번은 StrictHostKeyChecking 옵션을 통해 피할 수 있지만,

$ ssh -o StrictHostKeyChecking=accept-new root@192.168.100.50 -p 15022

이후 다시 서버 키가 바뀌면, 이런 식의 오류와 함께 접속이 거부됩니다.

$ ssh -o StrictHostKeyChecking=accept-new root@192.168.100.50 -p 15022
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ED25519 key sent by the remote host is
SHA256:G5b...[생략]...JCg.
Please contact your system administrator.
Add correct host key in C:\\Users\\testusr/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in C:\\Users\\testusr/.ssh/known_hosts:67
Host key for [192.168.100.50]:15022 has changed and you have requested strict checking.
Host key verification failed.

아마 저걸 피하는 옵션도 있을지 모르지만... 어쨌든, 그냥 컨테이너 측의 키를 고정시키는 것도 좋은 방법입니다. 방법은, 이미 "ssh-keygen -A" 명령으로 생성한 키 관련 파일들이 /etc/ssh에 있으므로, 이걸 호스트로 복사해,

$ docker cp centos7_dotnet_test:/etc/ssh .

$ ls -l ./ssh
total 616
-rw-r--r-- 1 testusr testusr 581843 Apr 11  2018 moduli
-rw------- 1 testusr testusr   3907 Apr 11  2018 sshd_config
-rw------- 1 testusr testusr    668 May 30 13:49 ssh_host_dsa_key
-rw-r--r-- 1 testusr testusr    610 May 30 13:49 ssh_host_dsa_key.pub
-rw------- 1 testusr testusr    227 May 30 13:49 ssh_host_ecdsa_key
-rw-r--r-- 1 testusr testusr    182 May 30 13:49 ssh_host_ecdsa_key.pub
-rw------- 1 testusr testusr    411 May 30 13:49 ssh_host_ed25519_key
-rw-r--r-- 1 testusr testusr    102 May 30 13:49 ssh_host_ed25519_key.pub
-rw------- 1 testusr testusr    985 May 30 13:49 ssh_host_key
-rw-r--r-- 1 testusr testusr    650 May 30 13:49 ssh_host_key.pub
-rw------- 1 testusr testusr   1679 May 30 13:49 ssh_host_rsa_key
-rw-r--r-- 1 testusr testusr    402 May 30 13:49 ssh_host_rsa_key.pub

$ rm ./ssh/moduli
$ rm ./ssh/sshd_config

키 이외의 파일은 제거하고, 다음부터 저 파일들을 재사용하도록 Dockerfile을 수정하면 됩니다.

$ cat centos7.dockerfile
FROM centos:7

COPY ./centos7.repo /etc/yum.repos.d/CentOS-Base.repo
COPY ./ssh /etc/ssh

RUN yum install openssh-server -y
# RUN ssh-keygen -A

EXPOSE 22

# CMD ["/usr/sbin/sshd", "-D"]

---

그런데, 아직 문제가 하나 더 있습니다. 클라이언트 측에서 ssh 접속을 시도하면 사용자 로그인을 해야 하는데요, 기본적으로 Docker 컨테이너는 root 계정만 존재합니다. 별도 사용자를 추가하는 것은 번거로우니 root 계정을 활용해야 하는데요, 따라서 암호를 고정할 필요가 있습니다.

이를 위해 root 계정의 암호를 명시적으로 설정하는 단계를 추가해, 최종적으로 다음과 같은 Dockerfile로 정리됩니다.

$ cat centos7.dockerfile
FROM centos:7

COPY ./centos7.repo /etc/yum.repos.d/CentOS-Base.repo
COPY ./ssh /etc/ssh

RUN yum install openssh-server -y

RUN echo 'my_temp_pass' | passwd --stdin root
# ubuntu 계열에서는 이렇게 변경
# RUN echo 'root:my_temp_pass' | chpasswd

EXPOSE 22

CMD ["/usr/sbin/sshd", "-D"]

---

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 8/2/2025]
[최종 수정일: 8/2/2025]


이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com