일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- Vault
- 차분 백업
- 유닉스
- 자동화
- 구성관리
- Role
- key/value
- VIRT
- backend storage
- DATA 백업
- kv
- auth methods
- devops
- secret engines
- 리눅스
- 파일시스템
- 커널 파라미터
- IAC
- SSH OTP
- 앤서블
- 전체 백업
- 백업
- 통합 풀 백업
- Secret Engine
- vault agent
- hashicorp
- REST API
- 시스템
- SHR
- 인프라
- Today
- Total
클라우드 아카이브
[Vault][Secret Engine] SSH - OTP 구성 방식 본문
[Vault][Secret Engine] SSH - OTP 구성 방식
Cloud Engineer 2022. 8. 19. 18:1900. 개요
사용자는 Vault를 활용하여 Backend Storage에 데이터를 저장, 생성 및 암호화하기 위해 Secret Engine을 사용합니다. Vault에서는 SSH 관련 기능으로 OTP 방식과 동적 키 방식 2가지를 제공하고 있습니다. 본 포스팅에서는 SSH OTP 방식에 대해 알아보겠습니다.
01. OTP 방식
사용자가 서버를 접속할 때마다 Vault에게 일회성 비밀번호(One Time Password)를 요청하고 응답받은 패스워드를 입력하여 접속하는 방식입니다. 이 때, 시스템 관리자는 접속 대상 서버에 vault-ssh-helper라는 유틸리티를 설치해야 됩니다.
02. vault-ssh-helper를 활용한 인증 프로세스
사용자와 접속 서버 그리고 Vault와의 인증 방식은 다음과 같습니다.
① 사용자는 Vault에게 SSH OTP 패스워드를 요청합니다.
② Vault는 사용자에게 OTP 패스워드를 발급해줍니다.
③ 사용자는 Vault로부터 발급받은 OTP 패스워드를 통해 원격 서버에 접속합니다.
④ 원격 서버는 본 서버에 설치된 vault-ssh-helper를 통해 Vault 서버로부터 OTP 패스워드 유효성 검사를 수행합니다.
03. OTP 인증 구성 실습
실제 Vault 서버와 접속할 원격 서버에서 어떤 구성을 수행해야 되는지에 대한 실습을 진행하겠습니다.
03-1. Secret Engine 마운트 (Vault 서버)
먼저 Vault 서버에서 Secret Engine - SSH 방식을 마운팅합니다. Path는 고유 이름(ssh-path)로 지정해줍니다.
$ vault secrets enable -path=ssh-otp ssh
03-2. Role 생성 (Vault 서버)
생성한 Secret Engine에 적용할 Role을 생성해줍니다. 본 Role을 토대로 접속 가능한 사용자 IP 및 계정 등이 구성됩니다.
$ vault write ssh/roles/test_ssh_otp_role \
key_type=otp \
default_user=testuser \
allowed_users=testuser \
cidr_list=0.0.0.0/0
- key_type : 어떤 방식으로 사용자 인증을 수행할지를 지정 (otp, dynamic, ca)
- default_user : 인증을 성공한 사용자가 기본적으로 접속할 유저를 지정
- allowed_users : 인증을 성공한 사용자가 접속할 수 있는 리눅스 유저를 지정 (본 포스팅에서는 testuser만 접속 가능하도록 지정)
- cidr_list : 해당 role 적용이 가능한 IP 대역
위 옵션에 대해 자세히 학습하고 싶으신 분들은 링크를 클릭하여 확인하시면 됩니다. Vault에서는 공식 문서로 원론적인 내용을 다루는 부분과 API 명세를 다루는 부분을 나누어 제공하고 있습니다.
03-3. vault-ssh-helper 설치 (접속 대상 서버)
접속 대상 서버에서 vault-ssh-helper를 설치해줍니다. wget 명령어를 통해 URL을 통한 설치를 진행하겠습니다.
# 1. vault-ssh-helper 설치
$ wget https://releases.hashicorp.com/vault-ssh-helper/0.2.1/vault-ssh-helper_0.2.1_linux_amd64.zip
$ unzip vault-ssh-helper_0.2.1_linux_amd64.zip
# 2. 파일 이동
$ mv vault-ssh-helper /usr/local/bin/vault-ssh-helper
※ /usr/local/bin : 수동으로 설치한 컴파일 시스템 패키지를 넣는 공간
03-4. vault-ssh-helper 구성 (접속 대상 서버)
vault-ssh-helper에서 바라보는 vault 서버와 사용자 인증에 적용할 SSH 마운트 포인트 및 Role 등을 구성합니다.
# 1. vault-ssh-helper에서 사용할 디렉토리 생성
$ mkdir /etc/vault-ssh-helper.d
# 2. 구성 파일 생성
$ vi /etc/vault-ssh-helper.d/config.hcl
vault_addr = "http://{{vault 서버 주소}}:8200"
ssh_mount_point = "ssh-otp"
tls_skip_verify=true
allowed_cidr_list="0.0.0.0/0"
allowed_roles="test_ssh_otp_role"
- vault_addr : vault 서버 주소를 지정 (IP 또는 도메인네임)
- ssh_mount_point : 사용자가 인증 수행 시 vault-ssh-helper에서 연동할 SSH Secret Engine 마운팅포인트
- tls_skip_verify : 사용자가 인증 수행 시 TLS를 통한 신뢰성 검증을 skip할지에 대한 여부 지정
- allow_cidr_list : 허용할 CIDR
- allowed_roles : 사용자가 인증 수행 시 vault-ssh-helper에서 연동할 Role (SSH Secret Engine에 구성된 Role)
03-5. vault-ssh-helper 구성 검증 수행
03-4에서 작성한 config 파일을 통해 vault-ssh-helper와 vault 서버 간 정상적으로 작동되는지 확인합니다.
$ vault-ssh-helper -verify-only -config=/etc/vault-ssh-helper.d/config.hcl -dev
2022/08/19 02:00:55 ==> WARNING: Dev mode is enabled!
2022/08/19 02:00:55 [INFO] using SSH mount point: ssh-otp
2022/08/19 02:00:55 [INFO] using namespace:
2022/08/19 02:00:55 [INFO] vault-ssh-helper verification successful!
03-6. PAM 인증 구성
vault-ssh-helper가 PAM에서 인증 역할의 일부를 수행하기 때문에 /etc/pam.d/sshd 파일 내용이 다음과 될 수 있도록 해줍니다.
[주의] SELinux를 비활성화해주거나 별도의 예외처리를 해주셔야 로그 파일이 정상적으로 append됩니다.
$ vi /etc/pam.d/sshd
#%PAM-1.0
auth requisite pam_exec.so quiet expose_authtok log=/var/log/vaultssh.log /usr/local/bin/vault-ssh-helper -config=/etc/vault-ssh-helper.d/config.hcl -dev
auth optional pam_unix.so not_set_pass use_first_pass nodelay
auth required pam_sepermit.so
# auth substack password-auth
auth include postlogin
# Used with polkit to reauthorize users in remote sessions
-auth optional pam_reauthorize.so prepare
account required pam_nologin.so
account include password-auth
# password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include password-auth
session include postlogin
# Used with polkit to reauthorize users in remote sessions
-session optional pam_reauthorize.so prepare
03-7. SSH 데몬 구성 변경
vault-ssh-helper 정상 작동을 할 수 있도록 /etc/ssh/sshd_config 파일에서 구성을 변경해줍니다.
$ vi /etc/ssh/sshd_config
ChallengeResponseAuthentication yes
UsePAM yes
PasswordAuthentication no
03-8. SSH 접속 테스트
vault 서버에서 credential 생성 후 해당 IP로 접속해본 결과 정상 접속이 됨을 확인할 수 있습니다!
$ vault write ssh-otp/creds/test_ssh_otp_role ip={{접속 대상 서버 IP 주소}}
Key Value
--- -----
lease_id ssh-otp/creds/test_ssh_otp_role/rEuhGXE2xwrhfdbHFiVwxAwHH
lease_duration 768h
lease_renewable false
ip {{접속 대상 서버 IP 주소}}
key 4910ff5d-4616-f857-b741-b14e57ac6997
key_type otp
port 22
username testuser
$ ssh testuser@{{접속 대상 서버 IP 주소}}
Password: {{key 입력}}
Last login: Fri Aug 19 02:32:40 2022 from x.x.x.x
$ exit
04. 마무리
SSH Secret Engine에는 2가지 인증 방식(OTP 인증, Signed RSA 인증)이 존재합니다. 본 포스팅에서는 OTP 인증 방식을 다뤘으며 실제로 Vault에서는 해당 방식을 권장하고 있습니다.
[출처]
- https://faun.pub/generating-ssh-one-time-passwords-with-vault-7aa7fab0032
- https://www.vaultproject.io/docs
- https://www.vaultproject.io/api-docs
'Cloud Native Solution > [Hashicorp] Vault' 카테고리의 다른 글
[vault] Namespace 개념과 특징 및 실습 (0) | 2022.09.11 |
---|---|
[Hashicorp][HA] Vault Raft 클러스터 구성 (0) | 2022.08.27 |
[Vault] Vault 개념/구성/작동원리 (0) | 2022.08.23 |