[Linux/SSH] SSH와 포트 분리하여 SFTP 서버 구성하기 (+ChrootDirectory)

💡 SFTP란?

SSH File Transfer Protocol. SSH 프로토콜을 기반으로 데이터를 암호화하여 안전하게 파일을 전송한다.

 

🌎 환경

AWS EC2 : Amazon Linux 2/2023

 

🔫 SFTP 구성하기

0. openssh 설치

Amazon Linux에는 기본적으로 openssh 패키지가 설치되어 있다.

1. sftp client가 사용할 유저/그룹 생성

groupadd sftp-only
# /sbin/nologin는 shell 사용 불가
useradd -s /sbin/nologin -g sftp-only -c 'SFTP Test' sftp-user
echo 'P@ssw0rd~!' | passwd --stdin sftp-user

sftp-only라는 그룹 생성 후, 해당 그룹으로 지정하여 sftp-user라는 유저를 생성한다. sftp-user와 같은 유저가 추가될 때마다 같은 이름의 그룹이 추가되지 않도록 위와 같이 설정하였다. /sbin/nologin 을 이용하여 sftp-user는 shell을 사용하지 못하도록 설정한다.

 

2. sshd_config 파일 수정하기

2-1.  internal-sftp

# vi /etc/ssh/sshd_config
Subsystem       sftp    internal-sftp

Linux 기본 설정은 sftp-server를 이용하여 Subsystem sftp /usr/libexec/openssh/sftp-server 으로 설정되어 있다. internal-sftp는 2008년 OpenSSH 4.8부터 적용된 기능으로 sftp-server보다 최신 기능이며, sshd_config 설정을 통해 비교적 간단하게 Chroot 환경을 구성할 수 있어 sftp-server 대신 internal-sftp를 이용하였다.

2-2. sftp-only 그룹에 sftp 권한 구성하기

# vi /etc/ssh/sshd_config
Subsystem       sftp    internal-sftp
Match Group sftp-only
        ChrootDirectory {파일 경로}
        ForceCommand internal-sftp

sfpt-only 그룹에 대해 chroot jail에 두고, internal-sftp를 가능하게 한다. ForceCommand를 통해 ~/.ssh/rc에 있는 명령은 무시하고 internal-sftp를 강제로 실행할 수 있게 한다.

        ChrootDirectory {파일 경로}

💡 ChrootDirectory란?
Chroot는 change root의 줄임말로 특정 유저에 대해 보여지는 root directory를 변경하는 것이다. Chroot가 적용되면 모든 프로세스는 지정된 경로(변경된 루트 디렉터리)와 해당 서브 디렉토리에만 접근할 수 있다. 지정된 경로(변경된 루트 디렉터리) 외부에서 읽거나 쓸 수 없으므로 chroot jail이라고 한다. 참고로, chroot는 커널 수준 가상화에도 이용된다.

단, ChrootDirectory를 적용하기 위해서는 경로에 있는 모든 컴포넌트가 root 소유의 디렉토리여야 하며, 다른 유저나 다른 그룹이 쓰기가 불가능(not writable)해야만 한다. 예를 들어 ChrootDirectory /data/sftp/abc 인 경우 /data, /sftp, /abc 디렉토리 모두 root 소유권이어야 하며, 다른 유저나 그룹에게 해당 디렉토리에 대해서는 쓰기 권한이 없어야 한다.

⚠️ sftp-user 또한 해당 경로에 대해서 쓰기 권한이 없기 때문에 해당 경로로 파일 업로드가 불가능하다. sftp client가 파일 업로드를 위해서는 해당 디렉터리 내 하위 디렉터리를 생성해야만 한다. ⚠️ 

[출처] https://man.openbsd.org/sshd_config#ChrootDirectory

2-2. sftp와 ssh 포트 분리하기

# vi /etc/ssh/sshd_config
Port 2022

Subsystem       sftp    internal-sftp
Match Group sftp-only
        ChrootDirectory {파일 경로}
        ForceCommand internal-sftp
Match LocalPort 2022
        ForceCommand internal-sftp

SFTP에 사용하고 싶은 포트를 Port {포트번호}로 작성하고 Match 구문 + ForceCommand를 사용하여 해당 포트에 internal-sftp를 강제한다. 다만 이 경우, SSH는 22번 포트만 가능하지만 SFTP는 22, 2222번 포트에서 모두 가능하다.

2-2까지 /etc/ssh/sshd_config 를 수정하고 나서 sshd를 재시작하면 2022 포트도 리스닝되는 것을 확인할 수 있다.

 

 

🔗 참고 링크

1. Zetawiki: sftp-server와 internal-sftp 차이
2. OpenBSD 공식 웹사이트: sshd_config manual
3. 기술 블로그: What is chroot jail and How to Use it?