[Linux] SSH 접속 - OTP 적용 with Shell Script/Ansible

비밀번호나 키를 이용해 서버에 접속하지만 이것만으로는 보안성이 높지 않다. 그래서 OTP를 설정하려고 한다.
나는 여러 대 서버에 일괄적으로 적용하기 위해 Shell Script나 Ansible을 이용하려고 한다. 내가 사용하는 OS는 Rocky Linux 9.7이다. Rocky 9버전과 Rocky 8버전은 google authenticator 설정 방법에 조금 차이가 있기 때문에 8버전은 다른 자료를 참고하길 바란다.

먼저 단계별로 설명하고 마지막에 Shell Script와 Ansible playbook을 작성하겠다.

---

1️⃣패키지 설치

google authenticator를 사용하기 위해서는 다음 명령어를 사용해 필요한 패키지를 설치하면 된다.

sudo dnf insatll epel-release google-authenticator qrencode-libs -y

2️⃣Google Authenticator 구성

패키지를 설치했다면 다음 명령어를 사용해서 QR코드를 스캔해 앱에 등록하면 된다.

google-authenticator -t -d -f -r 3 -R 30 -W -s .ssh/google

QR코드를 스캔하면 OTP코드를 입력하라는 문구가 나오므로 입력하면 된다. 그리고 위 명령서 실행 시 .ssh 폴더가 없다면 생성한 후 실행하면 된다.

3️⃣SSH 구성

/etc/pam.d/sshd를 수정해야 하므로 백업본을 만들어 두는 것이 좋다.

cp /etc/pam.d/sshd /etc/pam.d/sshd.$HOSTNAME

그리고 /etc/pam.d/sshd에 auth required pam_google_authenticator.so secret=${HOME}/.ssh/google을 추가하면 된다. 나는 OTP 인증을 한 후 비밀번호를 입력할 것이기 때문에 다음과 같은 순서로 작성했다.

비밀번호 입력 후 OTP 인증을 하고 싶다면 auth include postlogin 뒤에 놓으면 될 것이다.

그리고 이번에는 /etc/ssh/sshd_config.d 경로에 10.gauth.conf를 생성해 ChallengeResponseAuthentication yes를 추가하면 된다. 그리고 같은 경로에 50-redhat.conf에서 ChallengeResponseAuthentication no는 주석 처리한다.

마지막으로 sudo systemctl restart sshd를 하면 설정이 끝난다. 그러면 접속 시 다음과 같이 화면이 나와서 OTP를 입력하고 비밀번호를 입력해서 접속하면 된다.

4️⃣Shell Script

#!/bin/bash

set -e

# 패키지 설치
sudo dnf install -y epel-release
sudo dnf makecache
sudo dnf install -y google-authenticator qrencode qrencode-libs

# Google Authenticator 초기화 (TOTP, 재사용 금지, 속도 제한, 대화형 없이)
# -f : yes to all questions
# -t : TOTP 사용
# -d : 디렉토리 백업
# -r 3 : 재시도 3회
# -R 30 : 재시도 간격 30초
# -W : 속도 제한
google-authenticator -t -d -f -r 3 -R 30 -W -s .ssh/google

# PAM 설정: 없으면 추가
if ! grep -q "^auth required pam_google_authenticator.so" /etc/pam.d/sshd
then
    # password-auth 이전에 삽입
    sudo sed -i '/^auth\s\+substack\s\+password-auth/i auth required pam_google_authenticator.so secret=${HOME}/.ssh/google' /etc/pam.d/sshd
fi

sudo tee /etc/ssh/sshd_config.d/10.gauth.conf > /dev/null <<'EOF'
ChallengeResponseAuthentication yes
EOF

# SSH 설정 적용

sudo sed -i -E 's|^(\s*)ChallengeResponseAuthentication(.*)|\1#ChallengeResponseAuthentication\2|' /etc/ssh/sshd_config.d/50-redhat.conf


# SSHD 재시작
sudo systemctl restart sshd

echo "Google Authenticator 및 SSH 설정 완료."

5️⃣Ansible Playbook

- name: Set Multi Factor Authentication
  hosts: inventory로 정의한 호스트 리스트
  become: true
  become_method: sudo

  tasks:
  - name: Install epel-release package
    dnf:
      name: epel-release
      state: present

  - name: Update dnf cache after enabling EPEL
    dnf:
      update_cache: yes

  - name: Install google authentication
    dnf:
      name: google-authenticator
      state: present

  - name: Install qrencode
    dnf:
      name: qrencode
      state: present

  - name: Crete ~/.ssh directory (Optional)
    file:
      path: ~/.ssh
      state: directory
      mode: "0700"

  - name: Create /etc/ssh/sshd_config.d/10.gauth.conf
    copy:
      dest: /etc/ssh/sshd_config.d/10.gauth.conf
      content: |
        ChallengeResponseAuthentication yes
      mode: '0644'

  - name: Configure Google Authenticator
    command:
      cmd: google-authenticator -t -d -f -r 3 -R 30 -W -s .ssh/google
      stdin: -1
    become: true
    become_user: lucy

  - name: Update /etc/pam.d/sshd
    lineinfile:
      path: /etc/pam.d/sshd
      regexp: '^auth\s+required\s+pam_google_authenticator\.so'
      line: "auth required pam_google_authenticator.so secret=${HOME}/.ssh/google"
      insertbefore: '^auth\s+substack\s+password-auth'
      state: present
      backup: true

  - name: Update /etc/ssh/sshd_config.d/50-redhat.conf
    lineinfile:
      path: /etc/ssh/sshd_config.d/50-redhat.conf
      regexp: "^#?ChallengeResponseAuthentication"
      backup: true
      line: "#ChallengeResponseAuthentication no"
      state: present

  - name: restart sshd
    service:
      name: sshd
      state: restarted

---

이렇게 Shell Script와 Ansible playbook을 작성해보았다. 두 스크립트를 모두 작성했지만 이 경우에는 Shell Script로 작성하는 것이 더 나을 것 같다.

그래도 Ansible로 하고 싶다면 google-authenticator 명령어를 ansible로 실행하는 것은 추천하지 않는다. 앱에 등록을 해야 하는데 이 경우에는 qrcode가 나오지 않아서 서버에서 파일을 찾아 secret code를 직접 입력해 앱에 등록해야 한다. 그러므로 google-authenticator 명령어는 따로 수행해서 sshd.service를 재시작하는 것이 좋을 것 같다.