8장. ssh 시스템 역할을 사용하여 보안 통신 구성

SSH 서버 시스템 역할에 대한 변수

sshd_enable

False 로 설정하면 역할이 완전히 비활성화됩니다. 기본값은 True 입니다.

sshd_skip_defaults

True 로 설정하면 시스템 역할이 기본값이 적용되지 않습니다. 대신 sshd dict 또는 sshd _Key 변수를 사용하여 전체 구성 기본값 세트를 지정합니다. 기본값은 False 입니다.

sshd_manage_service

False 로 설정하면 서비스가 관리되지 않으므로 부팅 시 활성화되지 않으며 시작 또는 다시 로드되지 않습니다. Ansible service 모듈이 현재 AIX에 대해 활성화되지 않으므로 컨테이너 또는 AIX 내부에서 실행되는 경우를 제외하고 기본값은 True 입니다.

sshd_allow_reload

False 로 설정하면 구성이 변경된 후sshd 가 다시 로드되지 않습니다. 이는 문제 해결에 도움이 될 수 있습니다. 변경된 구성을 적용하려면 sshd 를 수동으로 다시 로드합니다. 기본값은 AIX를 제외하고 sshd_manage_service 와 동일한 값입니다. 여기서 sshd_manage_service 기본값은 False 이지만 sshd_allow_reload 의 기본값은 True 입니다.

sshd_install_service

True 로 설정하면 역할은 sshd 서비스에 대한 서비스 파일을 설치합니다. 이렇게 하면 운영 체제에 제공된 파일이 재정의됩니다. 두 번째 인스턴스를 구성하고 sshd_service 변수도 변경하지 않는 한 True 로 설정하지 마십시오. 기본값은 False 입니다.

역할은 다음 변수에서 가리키는 파일을 템플릿으로 사용합니다.

sshd_service_template_service (default: templates/sshd.service.j2)
sshd_service_template_at_service (default: templates/sshd@.service.j2)
sshd_service_template_socket (default: templates/sshd.socket.j2)

Copy to Clipboard Toggle word wrap

sshd_service

이 변수는 두 번째 sshd 서비스 인스턴스를 구성하는 데 유용한 sshd 서비스 이름을 변경합니다.

sshd

구성이 포함된 dict입니다. 예를 들어 다음과 같습니다.

sshd:
  Compression: yes
  ListenAddress:
    - 0.0.0.0

Copy to Clipboard Toggle word wrap

sshd_OptionName

dict 대신 sshd_ 접두사와 옵션 이름으로 구성된 간단한 변수를 사용하여 옵션을 정의할 수 있습니다. simple 변수는 sshd dict의 값을 재정의합니다. 예를 들어 다음과 같습니다.

sshd_Compression: no

Copy to Clipboard Toggle word wrap

sshd_match and sshd_match_1 to sshd_match_9

dicts 목록 또는 일치 섹션의 경우 dict에 불과합니다. 이러한 변수는 sshd dict에 정의된 대로 일치하는 블록을 재정의하지 않습니다. 결과 구성 파일에 모든 소스가 반영됩니다.

sshd_packages

이 변수를 사용하여 설치된 패키지의 기본 목록을 재정의할 수 있습니다.

sshd_config_owner, sshd_config_group, and sshd_config_mode

이 역할에서 이러한 변수를 사용하여 생성하는 openssh 구성 파일의 소유권 및 권한을 설정할 수 있습니다.

sshd_config_file

이 역할이 openssh 서버 구성이 생성된 경로입니다.

sshd_binary

openssh 의 sshd 실행 파일의 경로입니다.

sshd_service

sshd 서비스의 이름입니다. 기본적으로 이 변수에는 대상 플랫폼에서 사용하는 sshd 서비스의 이름이 포함됩니다. 또한 역할에서 sshd _install_service 변수를 사용하는 경우 사용자 지정 sshd 서비스의 이름을 설정할 수도 있습니다.

sshd_verify_hostkeys

기본값은 auto 입니다. auto 로 설정하면 생성된 구성 파일에 있는 모든 호스트 키가 나열되고 존재하지 않는 경로가 생성됩니다. 또한 권한 및 파일 소유자는 기본값으로 설정됩니다. 이 기능은 배포 단계에서 역할을 사용하여 첫 번째 시도에서 서비스를 시작할 수 있는지 확인하는 데 유용합니다. 이 확인을 비활성화하려면 이 변수를 빈 목록 [] 으로 설정합니다.

sshd_hostkey_owner, sshd_hostkey_group, sshd_hostkey_mode

이러한 변수를 사용하여 sshd_verify_hostkeys 에서 호스트 키에 대한 소유권 및 권한을 설정합니다.

sshd_sysconfig

RHEL 기반 시스템에서 이 변수는 sshd 서비스에 대한 추가 세부 정보를 구성합니다. true 로 설정하면 이 역할은 다음 구성에 따라 /etc/sysconfig/sshd 구성 파일도 관리합니다. 기본값은 false입니다.

sshd_sysconfig_override_crypto_policy

RHEL 8에서 true 로 설정하면 이 변수가 시스템 전체의 암호화 정책을 재정의합니다. 기본값은 false입니다.

sshd_sysconfig_use_strong_rng

RHEL 기반 시스템에서 이 변수는 sshd 에서 인수로 지정된 바이트 수를 사용하여 openssl 임의 번호 생성기를 다시 작성할 수 있습니다. 기본값은 0 으로, 이 기능을 비활성화합니다. 시스템에 하드웨어 임의 번호 생성기가 없는 경우 이 값을 설정하지 마십시오.