[RedHat] SFTP 전용 계정 생성 및 디렉터리 격리 설정 가이드

FTP 서버는 파일을 보관하는 네트워크 스토리지 용도로 유용하게 사용할 수 있습니다. 리눅스에는 다양한 FTP 서버가 존재하지만, 그중 별도의 설치 없이 바로 사용할 수 있는 sftp가 있습니다. sftp는 필수 프로그램인 SSH 데몬의 서브 기능으로 제공되기 때문에 추가 설치가 필요 없습니다.

이 글에서는 sftp 전용 계정을 생성하고, 해당 사용자가 접근할 수 있는 디렉터리를 제한하는 방법을 설명합니다. 이를 통해 일반 로그인은 차단하고, 안전한 파일 전송만 허용하는 환경을 구축할 수 있습니다.

 

SFTP의 주요 특징

  • 별도 설치 불필요: SFTP는 SSH 데몬의 부가기능으로 제공되므로, 별도 패키지 설치 없이 바로 사용할 수 있습니다.

  • 보안성: SSH 프로토콜 기반으로 암호화된 전송을 지원하며, 일반 FTP보다 훨씬 안전합니다.


구현 목표

  • SFTP 전용 사용자 생성: 일반 로그인은 불가능하고 SFTP만 사용 가능한 계정 생성
  • 접근 디렉터리 제한: 사용자가 지정된 디렉터리 외에는 접근하지 못하도록 제한

 

환경

Red Hat Enterprise Linux 7

Red Hat Enterprise Linux 8

Red Hat Enterprise Linux 9

 

순서

  1. sftp 전용 사용자 “testuser” 생성
  2. sftp 사용자가 접속할 data 디렉터리 생성
  3. 사용자가 /data 디렉터리 외에 접근하지 못하도록 sftp 설정
  4. ssh 서비스 시작
  5. 접속 테스트

 

1. sftp 전용 사용자 생성

sftp에 사용할 전용 사용자를 생성합니다. 이 사용자는 SSH 로그인이 불가능하며, sftp 전용 기능만 사용할 수 있도록 구성합니다. 또한, chroot 환경을 통해 /data 디렉터리 이외의 경로에 접근하지 못하도록 설정합니다

# useradd -s /sbin/nologin -d /testuser testuser

-s /sbin/nologin 옵션은 사용자 로그인 차단, -d /testuser는 chroot 환경 내 홈 디렉터리 설정입니다. 실제 시스템 상 위치는 /data/testuser가 됩니다.

sftp 접속에 사용될 패스워드를 설정합니다.

# passwd testuser

 

2. sftp 사용자가 접속할 디렉터리 생성

chroot는 사용자의 루트 디렉터리를 특정 경로로 고정시켜 시스템 격리를 구현하는 기능입니다. sftp에서 이를 활용하면 사용자가 지정된 디렉터리 밖으로 나갈 수 없습니다. 이번 예제에서는 /data 디렉터리를 chroot 대상으로 설정합니다.

chroot 사용 시 디렉터리 소유자와 권한 조건

  • 소유자는 root 여야 한다
  • root 이외의 사용자가 chroot 경로('/')에 쓰기 권한이 있어선 안된다. (root 이외 사용자에게 쓰기 권한이 있는 경우, sftp 접속이 불가능하며, /var/log/secure 로그에 "fatal: bad ownership or modes for chroot directory '경로'"라고 기록됩니다.)
  1. 디렉터리 생성
    # mkdir /data

    /data 디렉터리를 생성했습니다. chroot로 사용되는 디렉터리이며 sftp에 접속한 사용자는 이 “/data” 디렉터리 밖으로 빠져나가지 못하게 됩니다.

  2. 사용자 chroot 디렉터리(/data)의 권한은 0755여야 합니다.
    # chmod 755 /data

## 확인
# ls -ld /data
drwxr-xr-x. 2 root root 6 Jul  4 10:26 /data
  3. chroot 기본 디렉터리의 소유자는 root여야 하며 다른 소유자일 경우 로그인이 안됩니다.
    # chown root:root /data
  4. 호스트 시스템의 시간대 사용을 위해 파일을 복사합니다.
    # mkdir /data/etc; cp /usr/share/zoneinfo/Asia/Seoul /data/etc/localtime
  5. chroot 디렉터리 아래 사용자의 홈 디렉터리를 생성합니다. 나중에 사용자가 sftp로 접속했을때 사용될 작업 디렉터리가 chroot 내에서는 /testuser 가 되며, 실제로는 /data/testuser 입니다.
    # mkdir /data/testuser

# chown testuser:testuser /data/testuser

    sftp 접속 시 위와 같이 홈 디렉터리가 존재하면 “/data/testuser”에서 기본 접속을 시작하고, 존재하지 않을 경우 “/data”에서 기본 접속을 시작합니다. “/data”는 root 소유이기 때문에 디렉터리를 이동해야 하는 번거로움이 발생할 수 있습니다.

 

3. sftp 설정

SFTP는 sshd_config 파일을 통해 설정합니다. 이 설정에서는 기본 sftp-server를 비활성화하고 internal-sftp를 사용하며, 특정 사용자에게만 chroot를 적용합니다.

# vi /etc/ssh/sshd_config
...
# override default of no subsystems
#Subsystem      sftp    /usr/libexec/openssh/sftp-server   ## 주석처리
Subsystem       sftp    internal-sftp

# Example of overriding settings on a per-user basis
Match User testuser
        ChrootDirectory /data
        X11Forwarding no
        AllowTcpForwarding no
        ForceCommand internal-sftp
 Match User 절을 통해 testuser의 접근을 /data 디렉터리로 제한하며, X11 포워딩과 포트 포워딩도 차단합니다.

4. ssh 서비스 재시작

설정 변경 사항을 반영하기 위해 SSH 서비스를 재시작합니다. 이후 SSH 서비스가 정상적으로 동작하는지 상태를 확인합니다.
# systemctl restart sshd
# systemctl is-active sshd
active

sshd 서비스가 active 상태라면 설정이 정상적으로 적용된 것입니다.

 

5. 클라이언트 접속 테스트

다른 서버에서 sftp 명령어를 사용해 접속을 시도합니다. 성공적으로 접속되면 기본 경로는 /testuser가 됩니다.

# sftp testuser@192.168.155.88
testuser@192.168.155.88's password:
Connected to 192.168.155.88.
sftp> pwd
Remote working directory: /testuser
sftp>

파일 전송 테스트

클라이언트 측에서 임의의 파일을 SFTP를 통해 전송해 봅니다. 정상적으로 전송된다면 설정이 올바르게 작동하고 있는 것입니다.

sftp> lls | grep test.sh    # 로컬 파일 확인
test.sh

sftp> put test.sh
Uploading test.sh to /testuser/test.sh
test.sh

sftp> ls
test.sh

 lls는 클라이언트 로컬에서 파일 목록을 조회하는 명령입니다. 전송된 test.sh 파일이 /testuser 디렉터리에 존재하는지 확인합니다.


다수 사용자 설정을 위한 SFTP 구성 <참고>

여러 사용자가 SFTP를 사용해야 할 경우, 개별 사용자 대신 그룹으로 매칭하는 것이 효율적입니다. 아래는 위 가이드의 5번까지 완료한 후 추가로 설정하는 방법입니다. 이 방식을 사용하면 /data/ 디렉터리 내에 각 사용자 이름의 디렉터리가 생성되며, 이 디렉터리가 각 사용자의 SFTP 루트 디렉터리가 됩니다. 다음은 sftponly라는 전용 그룹을 생성하여 여러 사용자가 동일한 방식으로 SFTP를 이용하도록 구성하는 방법입니다.

  • sftp 전용 그룹 생성
    # groupadd sftponly
  • 추가 사용자 생성
    # useradd -s /bin/false -d /testuser2  -g sftponly testuser2
# useradd -s /bin/false -d /testuser3  -g sftponly testuser3
  • 새로 추가된 사용자의 패스워드 설정
    # passwd testuser2
# passwd testuser3
  • 기존 사용자의 기본 그룹 변경
    # usermod -g sftponly testuser
  • chroot 내의 사용자 홈 디렉터리 생성 및 권한 설정
    # mkdir /data/testuser
# mkdir /data/testuser2
# mkdir /data/testuser3

# chown testuser:sftponly /data/testuser
# chown testuser2:sftponly /data/testuser2
# chown testuser3:sftponly /data/testuser3
  • 이제 SSH 설정 파일에서 사용자 단위 설정을 그룹 단위로 전환합니다. 이를 통해 sftponly 그룹에 속한 모든 사용자가 동일한 설정으로 SFTP를 사용할 수 있습니다.
    Subsystem       sftp    internal-sftp

# Example of overriding settings on a per-user basis
Match Group sftponly
        ChrootDirectory /data
        X11Forwarding no
        AllowTcpForwarding no
        ForceCommand internal-sftp
  • ssh 서비스 재시작
    # systemctl restart sshd

 

사용자 간 디렉터리 접근 제한

각 사용자가 자신의 디렉터리만 접근하도록 설정하려면 디렉터리 권한을 700으로 제한합니다. 이를 통해 사용자 간 파일 접근을 차단할 수 있습니다.

[root@rhel8 ~]# chmod 700 /data/testuser
[root@rhel8 ~]# chmod 700 /data/testuser2
[root@rhel8 ~]# chmod 700 /data/testuser3

# ls -al /data
total 4
drwxr-xr-x.  6 root      root       67 Jul  8 15:34 .
dr-xr-xr-x. 26 root      root     4096 Jul  8 15:35 ..
drwxr-xr-x.  2 root      root       23 Jul  8 14:33 etc
drwx------.  2 testuser  sftponly   21 Jul  8 15:07 testuser
drwx------.  2 testuser2 sftponly    6 Jul  8 15:34 testuser2
drwx------.  2 testuser3 sftponly   21 Jul  8 15:37 testuser3

권한 설정을 통해 각 사용자는 자신의 홈 디렉터리 외에는 접근할 수 없습니다.

 

마치며

이렇게 해서 sftp 전용 계정 생성과 chroot 환경 설정을 통한 접근 제한 방법에 대해 알아보았습니다. 단일 사용자뿐만 아니라 다수의 사용자를 위한 설정 방법도 함께 살펴보았습니다. 이 방법을 사용하면 일반적인 SSH 로그인은 막으면서 SFTP를 통한 파일 전송만 허용할 수 있어, 보안을 강화하면서도 필요한 기능은 유지할 수 있습니다. 특히 chroot를 이용해 사용자를 특정 디렉터리에 격리 시킴으로써, 시스템의 다른 부분에 대한 접근을 효과적으로 차단할 수 있습니다.

 

참조

https://www.tecmint.com/restrict-ssh-user-to-directory-using-chrooted-jail/

댓글

댓글 쓰기

이 블로그의 인기 게시물

[Linux] RHEL Local YUM Repository 구성

이미지
RHEL(Redhat Enterprise Linux)에 Local YUM Repository 구성하는 방법에 대하여 설명합니다. 레드햇 리눅스 같은 경우 기업환경의 인터넷이 되지 않는 환경에서 사용되는 경우가 많은데 Local YUM Repository를 구성하여 패키지를 쉽게 설치할 수 있습니다.   테스트 환경 • Red Hat Enterprise Linux (RHEL)   Local YUM Repository 구성 목적 Local YUM Repository를 구성하는 방법에 여러 가지가 있지만 가장 간단한 방법인 설치 CD를 이용해 구성하는 방법에 대해 소개합니다. 주로 이 방법은 OS 엔지니어가 RHEL을 설치 후 사용하며, local repo를 서버에 구성한 뒤 철수합니다. 그러면 애플리케이션 측에서 추가 패키지를 요청하여도 서버 관리자분들이 yum 명령어를 사용하여 쉽게 서버에 설치할 수 있습니다.   Local YUM Repository 설정 레드햇 설치 CD에는 기본 RHEL 서브스크립션에서 제공하는 RPM 패키지들이 모두 포함되어 있습니다. 따라서 RHEL을 설치한 버전과 동일한 ISO 파일 이 준비되어 있어야 하며, 이를 통해 로컬 저장소를 구성할 수 있습니다.   VMware Workstation을 기준으로 설명하자면, RHEL ISO 파일을 가상 머신에 마운트 하면 됩니다. ISO 파일이 마운트되면 시스템은 자동으로 /dev/sr0 장치를 생성하게 되며, 이는 udev 에 의해 처리됩니다.   CD가 삽입되면 시스템에서는 /dev/sr0 장치를 자동으로 생성합니다. 이 장치는 **광학 디스크 장치(CD/DVD)**로 인식되며, 이를 확인하는 가장 쉬운 방법은 lsblk 명령어를 사용하는 것입니다. # lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS sda 8:0 0 2G 0 disk └─mpatha ...
자세한 내용 보기

[Linux Command] sudo command 설명

이미지
  이번 글에서는 Linux 명령어 중 sudo 명령어에 대해 알아보겠습니다. 일반 사용자에게 "root" 권한을 부여하려면 보통 root 계정의 비밀번호를 제공해야 합니다. 이후 사용자는 su 명령어를 통해 root 계정으로 로그인할 수 있습니다. root 계정은 시스템 내 모든 명령을 실행할 수 있는 강력한 권한을 가지고 있기 때문에, 신중한 관리가 필요합니다. 리눅스에 익숙하지 않은 사용자가 root 권한을 사용할 경우, 시스템 운영에 필요한 핵심 파일이 삭제되거나 권한 설정이 변경되는 등의 사고가 발생할 수 있습니다. sudo 기능을 사용하면 root 전체 권한이 아닌 특정 명령어만 일반 사용자에게 허용할 수 있어 이러한 위험을 줄일 수 있습니다. 또한, 사용 권한은 부여하되 root 비밀번호를 공개하지 않아도 된다는 점도 sudo 의 중요한 장점 중 하나입니다.   환경 : Red Hat Enterprise Linux (RHEL)   sudo command 개념 명령어 사용법을 보기 전에, sudo 명령어로 어떤 작업이 가능한지 먼저 알아보겠습니다. 일반 사용자가 /etc/shadow 파일을 열려고 하면 권한 부족으로 인해 파일을 열 수 없습니다. 아래는 실제 출력 예시입니다. 일반유저로 shadow파일 오픈 실패 [user1@localhost ~]$ cat /etc/shadow cat: /etc/shadow: Permission denied 또한 mount 명령어도 일반 사용자 권한으로는 실행할 수 없습니다. 일반 유저로 mount 명령 실패 [user1@localhost sbin]$ mount /dev/sr0 /media mount: only root can do that 이제 일반 사용자에게 mount 명령어만 sudo 를 통해 root 권한으로 실행할 수 있도록 설정해보겠습니다. [user1@localhost ~]$ sudo mount /dev/...
자세한 내용 보기

[Ansible Modules] Fetch module 설명 및 활용

이미지
  Ansible modules 중 하나인 Fetch module에 대해 알아보겠습니다. Fetch는 관리 대상 노드에서 제어 노드로 파일을 복사해 오는 데 사용되는 모듈입니다 Fetch module 이란 Fetch는 영어로 "가져오다"라는 의미입니다. Ansible의 copy 모듈과 반대로 동작하는 기능으로, copy 가 제어 노드에서 관리 노드로 파일을 전송하는 데 사용된다면, fetch 는 그 반대 방향으로, 관리 대상 노드의 파일을 제어 노드로 복사해 오는 데 사용됩니다. 여기서 제어 노드(control node)는 Ansible을 실행하는 노드를, 관리 노드(managed node)는 Ansible로 관리되는 대상 시스템을 의미합니다. Ansible modules(fetch_module) Fetch module 옵션   fetch 모듈에서 주로 사용되는 주요 옵션은 다음과 같습니다: src : 관리 대상 노드에서 복사해 올 파일의 경로입니다. dest : 제어 노드에 파일을 저장할 경로입니다. flat (기본값: false ) false : {{ inventory_hostname }}/path/to/file 형태의 디렉토리 구조로 파일이 저장됩니다. 호스트별로 디렉토리가 생성되므로 여러 노드에서 같은 파일 경로를 가져올 때 유용합니다. true : 파일 경로 구조 없이 파일만 단순 복사됩니다. 이름이 같은 파일은 덮어써지기 때문에, 관리 노드가 하나이거나 파일명이 충돌하지 않는 경우에 적합합니다. 또한 디렉토리를 지정할 경우 dest 경로 끝에 슬래시( / )를 반드시 붙여야 합니다. Fetch module 사용 방법 예제에서는 다음과 같은 인벤토리 파일을 사용합니다. [test] rocky86.lab.example.com rocky84.lab.example.com   예제 1. 기본값( flat: false )으로 파일 가져오기 fetch  모듈을 이용해 관리 노드의...
자세한 내용 보기