[Linux] 우분투(Ubuntu) Google Authenticator OTP(구글 OTP 인증) 설치 및 설정

 

우분투 리눅스 -한빛아카데미-IT COOKBOOK 시스템 amp; 네트워크 (3판)

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

 

 

 

 

🚀 Google Authenticator OTP(구글 OTP 인증) 설치 및 설정

    🔽 개요

        📦 소개

주니의 내부 서버는 모두 우분투 22.04 LTS로 준비가 되어 있고, VPN을 통해 접속할 수 있게 구성 되어 있어요.

당연히 사용자들은 해당 서버들에 접속하기 위해 SSH를 이용해서 로그인(Login)을 하게 되는데, 이 때, 보다 안전한 접근을 위해 SSH 로그인 시 OTP 인증을 추가로 받을 수 있도록 구성해 보려고 해요.

 

일반적으로 SSH 로그인 시 사용자에게 계정 ID와 비밀번호(Password)를 묻고, 이를 통해 인증하는 방법을 사용하게 돼요. 이 방법을 password authentication 방법이라 한답니다.

이는 가장 기본적인 방법이고, 사용도 쉬워요. 하지만, 보안적 입장으로 봤을 땐, 안전한 방법이라고 할 순 없어요.

만약 내부 사용자들 중 누군가가 간단한 패스워드 (예: abc123)을 사용한다면 무작위 대입 공격(Brute force Attack) 혹은 사전 대입 공격에 굉장히 취약해 질 수 있기 때문이에요.

또한, 비밀번호를 직접 입력해야만 인증을 할 수 있기 때문에 Shoulder Surfing(어깨넘어 훔쳐보기 - 공격자가 피해자가 비밀번호를 입력할 때, 몰래 비밀번호를 보는 방법) 등의 사용자 부주의로 인한 비밀번호 노출이 가능하기 때문이에요.

물론 내부 서버는 VPN을 이용하지 않으면 붙을 수 없고, VPN은 관리자만이 붙을 수 있도록 설정해줘야 하기 때문에 이런 공격을 당해 비밀번호가 노출된다고 해도 서버에 접속할 순 없겠지만, 보다 안전한 보안을 위해 구글 OTP를 구축하기로 결정하였어요.

SSH key authentication은 위 방법보단 안전한 방법일 수 있어요. Client(클라이언트)의 허락된 ssh pubilc key(ssh 공개키)를 Server(서버)에 미리 넣어두어 비밀번호 입력 없이 서버에 접근할 수 있는 방법이에요. 이에 대한 방법은 Ansible을 통해 Linux(리눅스) 계정 생성 때, 정리를 해 두었는데, 이 곳에 관심을 주세요.

사용자의 비밀번호 입력이 없기 때문에 Key Logger(키로거)나, 위에서 이야기 했던 어깨넘어 훔쳐보기 공격 등에서 보다 안전할 수 있고, 사용자는 비밀번호를 기억할 필요도 없기 때문에 따로 적어둘 필요도 없는 방식이에요. 그래서 외부에 노출될 가능성이 현저히 줄어들게 되요.

하지만, 많은 서버들로 구성된 대규모 환경에서 사용자들의 공개키(authorized_keys) 관리는 예상보다 어려워요.
그리고 사용자의 Private Key(비밀키)가 유출된다면 오히려 더욱 위험한 상황에 처해질 위험이 있어요.

이를 대처할 방법은 많이 있을 수 있겠지만, 주니는 Google Authenticator를 이용하여 OTP(one-time password)를 이용하여 2차 인증에 대한 보안을 강화해보려 해요.

2차 인증(Two-Factor Authentication: 2FA) 방식이기 때문에 보안적 입장에서 더 안전할 수 있어요.

하지만, 우리 사용자 입장에선 불편해질 수 있어요.

왜냐하면 여러 시스템에 OTP를 설치해 뒀기 때문에 비밀번호를 입력하고, OTP 값을 확인하기 위해 핸드폰 등을 통해 OTP 값을 확인하고, 입력해야 하는 수고를 하고 있기 때문이에요.

이는 보안과 편의는 반비례하는 관계이기 때문에 주니는 편의보단 보안을 선택하기로 하였습니다.

 

 

        📦 OTP란?

One Time Password 즉, 일회성 비밀번호를 말해요. 아마 온라인 뱅킹 서비스 등에서 이미 여러분들은 사용하고 있을지도 몰라요. 일반적으로 인증에 사용되는 값들은 고정되어 있기 때문에 유출 가능성이 높다는 단점을 가지고 있어요.

하지만, OTP는 그 값이 동적으로 계속 변경되기 때문에 유출시에도 일정 시간이나, 일정 Event(이벤트)가 발생하면 다른 값으로 변경되기 때문에 안전한 방법이라고 볼 수 있어요.

여러 OTP Service(서비스) 중에서 주니는 구글 authenticator를 선택했어요. 일단 Open Source Project(오픈소스 프로젝트 - Apache License 2)이고, 현재 가장 많이 사용중인 OPT이기 때문이에요. 대부분의 Mobile(모바일) OS(ios, android, window)등 모두 지원 가능하고, 서버 Package(패키지) 역시 대부분의 OS(Debian, redaht)을 지원하기 때문이에요.

다른 대체 Solution(솔루션)은 무료로는 FreeOTP, 상용 제품으로는 authy가 많이 사용되는 걸로 알고 있어요.

 

 

 

 

    🔽 Google Authenticator OTP

        📦 설치 및 설정

최초 설치를 위해 패키지를 최신화 하는 작업을 해 줄게요.

apt-get update && apt-get upgrade -y

 

그런 뒤 구글 authenticator PAM 패키지를 설치하도록 할게요.

Pluggable Authentication Module 약자인 PAM은 리눅스 Platform(플랫폼)에서 추가 인증 계청을 제공하는 매커니즘이에요.

apt-get install libpam-google-authenticator -y

 

google-authenticator

 

goggle-authenticator 설정을 진행해 볼게요. 위의 명령어를 이용해서 google-authenticator 설정을 위한 여러 질문이 시작 돼요.

참고로 google-authenticator는 OS 사용자마다 다른 설정을 해 줄 수 있어요. 설정에 대한 정보는 각 사용자 Home Directory($HOME)/.google-authenticator 파일로 저장이 되고, 위와 같이 명령어를 통해 생성해 줄 수 있어요.

주니는 TOTP 방식을 이용할 것이기 때문에 y를 입력해 줄거에요.

또한, root 계정으로 하면 root 계정이 잠길 수 있으니 다른 계정으로 설정하는 걸 추천해요.

💡 참고 사항
Goggle Authenticator의 2가지 인증 방법

이 인증 방법에 대한 내용은 인증에 대한 Algorithm(알고리즘)인데, 시간 기반으로 할 것인지 Event(google-authenticator는 counter 사용) 기반으로 할 것인지에 대한 차이.

1. TOTP(Time-Based)
Server-Client(핸드폰 OTP App 등) 간 서로 어떠한 정보도 주고 받지 않는 방식으로 동일한 인자값(input)으로 동일한 알고리즘을 이용하여, 결과값인 Token(토큰)이 서로 같은지 혹은 다른지만 판단하여 인증을 처리하는 방식.

TOTP 방식의 경우 Secret Key(비밀키)와 시간을 인자값으로 사용하는데, 동일한 비밀키와 시간이라면 같은 토큰이 나오기 때문에 인증이 통과하는 방식.

TOTP는 NTP(Network Time Protocol) 등의 시간 동기화가 매우 중요하며, 시간이 다를 경우 토큰이 서버와 클라이언트가 다르기 때문에 인증을 할 수 없게 된다. (시간차 대비 설정 가능)

2. HTOP(HMAC-based; Hash-based Message Authentication Code)
비밀키와 함께 counter(카운터)를 이용하여 인증하는 방식으로 카운터는 1부터 시작하며, 인증이 성공하거나, 클라이언트의 증가 요청(Reload Button)이 있을 경우 1씩 증가하게 되는 방식이며, 30초마다 토큰이 변경되는 TOTP 방식과 다르게 HOTP는 이벤트(요청)이 없을 경우 토큰값이 변경되지 않기 때문에 TOTP가 보다 보안상 안전.

 

728x90

위와 같이 여러개의 값들이 생성되고 표시 되었어요.

또한, QR Code가 화면에 엄청 크게 나와요! 클라이언트 App에서 이 QR Code을 Scan(스캔)하게 되면 자동으로 설정이 진행될 거에요.

위에서 나온 비밀키 값은 시간과 함께 알고리즘 인자값으로 사용될 중요한 값이기 때문에 노출되지 않도록 해주야야해요.

또한 verification code는 토큰 값이에요. 주니처럼 TOTP 설정이라면 30초마다 OTP 값이 변경될 거에요.

마지막으로 emergency scratch code 5개가 보이는데, 이것은 단말기 등을 잃어버렸을 응급한 상황에 사용되는 값들로 시간등과 관계없이 위 code 값을 입력하게 되면 인증을 성공하게 돼요.

또한, 한번 인증이 진행된 code는 더 이상 사용할 수 없이 때문에 넉넉하게 준비해 주는걸 볼 수 있어요.

emergency scratch code는 따로 Memo(메모) 해 두는게 좋을 거 같아요.

이제 단말기에서 OTP App을 실행하고, QR Code Scan 등을 통해 QR Code를 스캔하거나, secret key를 통해 접속해 줄 수 있어요.

QR Code를 스캔하면 30초마다 변경되는 6자리 OTP 값이 나오게 되는데, 여기까지 되었다면 다음 단계를 넘어갈 수 있어요.

이 상황에서 y를 입력하여 Home Directory(홈 디렉터리)에 있는 구글 인증 파일을 최신화 해줘야 해요.

위와 같이 나오면 중간자 공격(Main-inthe-middle Attack) 공격으로 인해 발생할 수 있는 공격 방어를 위해 로그인을 30초마다 한번만 가능하도록 로그인을 제한하기 위해 y을 입력하여 줍니다.

그런 뒤 이 곳에서 n을 입력하여 서버와 클라이언트 간 시간 편차를 해결하는 시간 기간의 확장을 허용하지 않으므로, 보다 안전한 보안을 구축해 주도록 할거에요.

TOTP의 경우 서버와 클라이언트의 시간이 틀어지게되면 인증이 실패하게 되는 방식이에요. 이를 대비하여 현재 시간 앞, 뒤로 여유시간을 둬서 유효기간을 늘릴수 있어요.

OTP 인증에서 window size라는 값으로 설정할수 있는데, default window size는 3이에요. 이 여유 폭을 늘려 4분 차이까지 유효 인증을 처리할지, 즉 17로 변경하겠느냐는 설정을 하는 부분이에요. TOTP에서 window size 1은 30초에요. 현재시간을 기준으로 앞, 뒤로 “8(앞) + 1(현재) + 8(뒤)”의 여유 인증시간, 4분이 되는 방식이에요. 반면 HOTP는 window size 1는 count 1이 된답니다. 서버는 마지막으로 인증이 성공한 counter를 저장하고 그 이후 window size만큼 counter를 증가하면서 token값이 일치 유무를 확인하는 방식이에요. 이 window size가 크다면? 당연히 보안상 안전할 수 없어요.

이 곳에선 y를 입력하여 로그인 시도 회수를 3회로 제한해 주도록 할게요.

이렇게 2단계 인증 기능 구현을 완료해 주었어요.

cat ~/.google_authenticator

 

위 명령어를 통해 설정 내용을 확인할 수 있는데, 해당 파일의 권한은 400이에요.

위에서 생성된 Secret key(비밀키)와 설정들이 모두 저장됨을 확인할 수 있을거에요.

첫번째 라인이 Secret key(비밀키)이고 뒤이어 “로 시작되는OTP의 설정이 위치하고 있어요.
각 설정의 의미는 위에서 언급해 모두 알 수 있을거에요.
마지막 5라인은 emergency scratch code에요. 해당 코드는 사용될 때마다 설정 파일에서 해당 코드가 삭제 되게 돼요.

 

 

 

        📦 PAM 설정

이번에는 사용하고자 하는 Service(서비스)에 google_authenticator PAM Module(모듈)을 추가해 주도록 해 볼게요.
주니는 SSH에 적용할 것이기 때문에 /etc/pam.d/sshd Line(라인)에 추가해 줄 거에요. SSH가 아닌 su, sudo, passwd 등과 같은 명령에도 OTP를 적용해 줄 수 있어요.

vim /etc/pam.d/sshd

 

auth       required     pam_google_authenticator.so secret=${HOME}/google_authenticator
auth       required     pam_sepermit.so

반응형

 

주니는 다시 root로 전환해서 위와 같이 58번째 줄을 추가해 주었어요.

pam_google_authenticator가 위에서 생성한 ~/.google_authenticator 내용을 읽은 뒤 인증을 진행하는 방식이에요.
만약 해당 파일이 없다면 인증은 실패하게 될거에요.

pam_google_authenticator의 man page(사용 설명서)를 읽어보면 SSH에 적용 시 ssh_config 파일에 ChallengeResponseAuthentication yes를 추가하라고 나와 있어요.

이 설정이 없다면 기본값은 yes이지만, 배포판의 기본 설정은 다를 수 있기 때문에 추가하는게 좋아요.

vim /etc/ssh/sshd_config

 

 

ChallengeResponseAuthentication yes

위와 같이 설정했다면 SSH Daemon을 내렸다가 다시 올려주어야 해요.

systemctl restart ssh

 

우분투 리눅스 -한빛아카데미-IT COOKBOOK 시스템 amp; 네트워크 (3판)

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."