Amazon Linux 2023 접속 문제 - RSA 키

Owned by Netsarang Support
Last updated: Jun 08, 2023
1 min read

PROBLEM DESCRIPTION or QUESTION

aws ec2생성후 pem key 로그인이 불가능합니다
최신 아마존 linux 2023 ami를 원격서버로 key로그인이 불가능합니다

(선택한 사용자 키가 원격 호스트에 등록되어 있지 않습니다.)

 

원격 서버 정보: Amazon Linux 2023 AMI 2023.0.20230322.0 x86_64 HVM kernel-6.1 (ami-03221589fd7c8f183)

RESOLUTION

비교적 최신의 리눅스의 경우 rsa 키 관련 프로토콜의 일부 알고리즘(ssh-rsa)을 기본값에서 배제하는 경향이 있습니다. 보안상의 이유 때문입니다.

Amazon Linux 2023도 이에 해당합니다. 

https://docs.aws.amazon.com/linux/al2023/ug/ssh-host-keys-disabled.html

이 문서는 host key에 대해 안내하고 있지만 private key에 대해서도 같은 이유 때문입니다. 

https://netsarang.atlassian.net/wiki/spaces/KRSUP/pages/988283054

 현재 배포 중인 Xshell 7 빌드 0128보다 아래인 버전은 이 Amazon Linux 2023과 같은 조건에서 rsa-sha2-256, rsa-sha2-512 알고리즘을 지원함에도 불구하고 ssh-rsa 알고리즘을 사용하도록 되어 있어 접속이 안되고 있습니다.

다음 중 어느 하나를 선택하면 이 문제를 해결할 수 있습니다.

  • Xshell 버전 7을 사용하고 있다면 빌드 0128(2023.05.19) 이후 버전으로 업데이트합니다.

  • 해당 EC2를 생성할 때 rsa 키가 아닌 ed25519 키를 선택. ssh-rsa 프로토콜을 배제한 취지를 고려한다면 두번째 저희 문서의 Xshell에서 ed25519 키나 ecdsa 키를 생성한 후 해당 Public key를 서버에 등록하는 방법을 추천드립니다.

등록 방법: https://netsarang.atlassian.net/wiki/spaces/KRSUP/pages/419955301

  • sshd_config에서 PubkeyAcceptedAlgorithms에 ssh-rsa를 지원하지 않도록 설정.

    ... PubkeyAcceptedAlgorithms +ssh-rsa ...

     

  • crypto-policies에서 ssh-rsa를 허용하도록 변경

    # update-crypto-policies --show; update-crypto-policies --set LEGACY; systemctl restart sshd