openssh - ssh_host_ed25519_key 파일을 로드하지 못하는 문제
우선 그에 앞서 ssh 서비스 측의 전체 키 파일들에 대한 보안상 달라진 점을 하나 짚고 가겠습니다. 이에 대해서는 지난 글을 쓸 때까지만 해도 문제가 없었는데,
CentOS 7 컨테이너 내에서 openssh 서버 호스팅
; https://www.sysnet.pe.kr/2/0/13982
근래에 다시 이미지를 빌드했더니 sshd 서비스가 시작되지 않습니다. ^^; -t 옵션으로 테스트하면 이런 오류 메시지가 나왔는데요,
# /usr/sbin/sshd -t
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0664 for '/etc/ssh/ssh_host_rsa_key' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
key_load_private: bad permissions
Could not load host key: /etc/ssh/ssh_host_rsa_key
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0664 for '/etc/ssh/ssh_host_ecdsa_key' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
key_load_private: bad permissions
Could not load host key: /etc/ssh/ssh_host_ecdsa_key
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions 0664 for '/etc/ssh/ssh_host_ed25519_key' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
key_load_private: bad permissions
Could not load host key: /etc/ssh/ssh_host_ed25519_key
sshd: no hostkeys available -- exiting.
개인키 파일에 대한 권한이 너무 개방적이라는 경고입니다.
# ls /etc/ssh -al
total 608
drwxr-xr-x 1 root root 51 Oct 15 23:16 .
drwxr-xr-x 1 root root 86 Oct 15 23:36 ..
-rw-r--r-- 1 root root 581843 Apr 11 2018 moduli
-rw-rw-r-- 1 root root 230 Oct 15 07:36 ssh_host_ecdsa_key
-rw-rw-r-- 1 root root 181 Oct 15 07:36 ssh_host_ecdsa_key.pub
-rw-rw-r-- 1 root root 416 Oct 15 07:37 ssh_host_ed25519_key
-rw-rw-r-- 1 root root 101 Oct 15 07:37 ssh_host_ed25519_key.pub
-rw-rw-r-- 1 root root 1700 Oct 15 07:38 ssh_host_rsa_key
-rw-rw-r-- 1 root root 401 Oct 15 07:38 ssh_host_rsa_key.pub
-rw------- 1 root root 3907 Apr 11 2018 sshd_config
반드시 root 자신에게만 허용돼 있어야 한다는 건데요,
ssh "permissions are too open" [closed]
; https://stackoverflow.com/questions/9270734/ssh-permissions-are-too-open
따라서 답글의 내용에 따라 다음의 명령어를 (선택해) 실행하면 됩니다.
[root에게만 읽기/쓰기 권한 부여]
# chmod 600 /etc/ssh/ssh_host_*_key
[root에게만 읽기 권한 부여]
# chmod 400 /etc/ssh/ssh_host_*_key
결국 dockerfile은 이렇게 바뀌어야 합니다.
$ cat centos7.dockerfile
FROM centos:7
# ...[생략]...
COPY ./centos7.repo /etc/yum.repos.d/CentOS-Base.repo
# ...[생략]...
RUN chmod 600 /etc/ssh/ssh_host_*_key
RUN chmod 600 /etc/ssh/ssh_host_key
그런데, ssh 관련 키 파일들을 한 번 생성한 다음, 보관해 두었다가 다음번 docker build 시에 (키 파일을 재사용하려고) 덮어썼더니, 이상하게 ed25519 key 파일을 읽는데 실패합니다.
# /usr/sbin/sshd -t
Could not load host key: /etc/ssh/ssh_host_ed25519_key
그런데, 재사용하겠다던 그 파일을 모두 삭제하고 새롭게 키를 생성하면,
# /usr/bin/ssh-keygen -A
# /usr/sbin/sshd -t
이번엔 정상적으로 동작합니다. ^^; 가만 비교해 보니까, 파일 크기가 차이가 나는데요, 파일들이 텍스트 유형이었기 때문에,
# cat ssh_host_ed25519_key
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAAAMwAAAAtzc2gtZW
QyNTUxOQAAACCoax5Vp/pzFq53J41Hf5PRJRt41yeE1mPB+ICWXoKaMwAAAJiXTmlZl05p
WQAAAAtzc2gtZWQyNTUxOQAAACCoax5Vp/pzFq53J41Hf5PRJRt41yeE1mPB+ICWXoKaMw
AAAEBN1/mIM4uTCpd+WEt2gDnKiRBEUoRyf02IZpml1cT6O6hrHlWn+nMWrncnjUd/k9El
G3jXJ4TWY8H4gJZegpozAAAAEXJvb3RAYzExNWZkM2UyMmJkAQIDBA==
-----END OPENSSH PRIVATE KEY-----
그대로 복사해 윈도우 환경에서 저장한 다음 업로드 했으므로 "\r\n" 형태로 줄바꿈이 들어갔던 것입니다. 그래서 저 파일을 "\n" 형태로 바꿔서 저장했더니 이후 정상적으로 sshd가 동작했습니다. 그러니까... 유일하게 저 키 파일만 개행을 유닉스 형태로 저장해야 했던 것입니다.
그런데, 다른 테스트에서는 약간 오류 메시지가 다릅니다.
# /usr/sbin/sshd -t
key_load_private: invalid format
Could not load host key: /etc/ssh/ssh_host_ed25519_key
분명히 \n 형태로 저장했는데도 로딩을 못하고 있는데요, 이전과 다른 점이라면 특이하게도 "key_load_private: invalid format"라는 메시지가 추가로 나왔다는 것입니다.
"/usr/bin/ssh-keygen -A" 결과물을 생성 후, 제가 백업해 두었던 기존 키 파일들을 덮어쓰면서 비교해 본 결과, "ssh_host_ed25519_key" 파일의 마지막 개행 문자가 없을 때 이런 현상이 발생했습니다. 즉, 아래와 같이 cat 명령어로 출력했을 때,
root@4c3db2910812:/# cat /etc/ssh/ssh_host_ed25519_key
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAAAMwAAAAtzc2gtZW
QyNTUxOQAAACBdfMu4hGcLMffTbnjFhPrU1XYWgy37nRWFOH6JyR22LAAAAJh6AUyhegFM
oQAAAAtzc2gtZWQyNTUxOQAAACBdfMu4hGcLMffTbnjFhPrU1XYWgy37nRWFOH6JyR22LA
AAAEABBQPrL8ATSWVmr+531MkFdKq9r5L3dqmw9a42L8XLOF18y7iEZwsx99NueMWE+tTV
dhaDLfudFYU4fonJHbYsAAAAEXJvb3RANjc0N2JmYWE1OGI4AQIDBA==
-----END OPENSSH PRIVATE KEY-----root@4c3db2910812:/#
마지막 개행 문자가 없는 저런 경우를 "invalid format" 오류로 간주하는 것입니다. 이게 보통의 관례가 아닌 것이, 다른 키 파일(rsa, dsa, ecdsa)은 마지막 개행 문자가 없어도,
# cat /etc/ssh/ssh_host_dsa_key
-----BEGIN DSA PRIVATE KEY-----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-----END DSA PRIVATE KEY-----root@4c3db2910812:/#
"/usr/sbin/sshd -t" 테스트를 잘 통과합니다. 정리하면, ssh_host_ed25519_key 파일의 경우 1) 개행을 \n 글자로만 해야 하고, 마지막에 반드시 개행 문자를 포함해야만 합니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]