SSH를 사용하여 EC2 인스턴스에 연결하려고 할 때 “서버에서 키 거부” 오류가 발생하는 이유는 무엇인가요?

간략한 설명

SSH 서버(sshd)가 개인 SSH 키를 거부하는 데에는 여러 가지 이유가 있습니다. 이 오류가 발생하는 일반적인 이유는 다음과 같습니다.

• EC2 인스턴스에 연결할 때 AMI에 잘못된 사용자 이름을 사용하고 있습니다. 일반적인 사용자 이름은 ec2-user, ubuntu, centos, root, admin입니다.
• 인스턴스에 액세스하려는 사용자가 서버에서 삭제되었거나 계정이 잠겼습니다.
• 인스턴스에 권한 문제가 있거나 디렉터리가 없습니다.
• EC2 인스턴스에 연결할 때 잘못된 프라이빗 키 파일을 사용하고 있습니다. 자세한 내용은 Amazon Elastic Compute Cloud(Amazon EC2) Linux 인스턴스에 연결할 때, "imported-openssh-key" 또는 "Putty Fatal Error" 오류가 발생하는 이유에서 개인 키가 올바른지 확인 섹션을 참고하세요.
• /etc/ssh/sshd_config의 SSH 서버 설정이 변경되었습니다. 자세한 내용은 인스턴스의 sshd_config 파일을 변경한 후, SSH를 사용하여 EC2 인스턴스에 액세스하려면 어떻게 해야 하나요?를 참고하세요.
• 운영 체제가 (/etc/fstab) 홈 디렉터리를 마운트할 수 없습니다. 자세한 내용은 EC2 Linux 인스턴스가 부팅되지 않고 비상 모드로 전환되는 이유는 무엇인가요?에서 종속성 실패 오류 섹션을 참고하세요.

해결 방법

EC2 인스턴스에 연결할 때 AMI에 잘못된 사용자 이름을 사용하고 있습니다

유효한 사용자 이름 목록은 오류: 서버가 키를 거부했거나 지원되는 인증 방법을 사용할 수 없음을 참고하세요.

인스턴스에 액세스하려는 사용자가 서버에서 삭제되었거나 계정이 잠겼습니다

인스턴스에 액세스하려는 사용자가 서버에서 삭제된 경우, 해당 사용자를 새 사용자로 다시 추가하세요. 자세한 내용은 Amazon EC2 Linux 인스턴스에 SSH 액세스 권한이 있는 새 사용자 계정을 추가하려면 어떻게 해야 하나요?를 참고하세요.

인스턴스에 권한 문제가 있거나 디렉터리가 없습니다

인스턴스의 권한 및 디렉터리를 확인하는 방법에는 네 가지가 있습니다.

방법 1: EC2 직렬 콘솔 사용

Linux용 EC2 직렬 콘솔을 켠 경우, 직렬 콘솔을 사용하여 지원되는 Nitro 기반 인스턴스 유형 문제를 해결할 수 있습니다. 직렬 콘솔은 부팅 문제, 네트워크 구성 및 SSH 구성 문제를 해결하는 데 도움이 됩니다. 직렬 콘솔은 작동하는 네트워크 연결 없이 사용자의 인스턴스에 연결합니다. Amazon EC2 콘솔이나 AWS Command Line Interface(AWS CLI)를 사용하여 직렬 콘솔에 액세스할 수 있습니다.

직렬 콘솔을 사용하기 전에 계정 수준에서 직렬 콘솔에 액세스 권한을 부여해야 합니다. 그런 다음, IAM 사용자에게 액세스 권한을 부여하는 AWS Identity and Access Management(IAM) 정책을 생성해야 합니다. 또한 직렬 콘솔을 사용하는 모든 인스턴스에는 암호 기반 사용자가 한 명 이상 포함되어야 합니다. 인스턴스에 연결할 수 없고 직렬 콘솔 액세스를 구성하지 않은 경우 방법 2, 3 , 4의 지침을 따르세요. Linux용 EC2 직렬 콘솔 구성에 대한 자세한 내용은 EC2 직렬 콘솔 액세스 구성을 참고하세요.

방법 2: AWS Systems Manager 세션 관리자를 사용하여 인스턴스에 로그인하고 권한을 확인합니다.

**참고:**이 방법을 사용하려면 SSM 에이전트를 설치해야 합니다. 세션 관리자 및 전체 필수 구성 요소 목록에 대한 자세한 내용은 세션 관리자 설정을 참고하세요.

1.    AWS Systems Manager 콘솔을 엽니다.

2.    세션을 시작합니다.

3. stat 명령을 사용하여 홈 디렉터리에 있는 파일의 권한이 올바른지 확인합니다. 다음은 올바른 권한 목록입니다.

• 예를 들어, Linux 홈 디렉터리인 /home은 **(0755/drwxr-xr-x)**이어야 합니다.
• 예를 들어, 사용자의 홈 디렉터리인 **/home/ec2-user/**는 **(0700/drwx------)**이어야 합니다.
• 예를 들어, .ssh 디렉터리 권한(/home/ec2-user/.ssh)은 **(0700/drwx------)**이어야 합니다.
• 예를 들어 authorized_keys 파일 권한(/home/ec2-user/.ssh/authorized_keys)은 **(0600/-rw-------)**이어야 합니다.

다음은 stat 명령과 결과 출력의 예입니다. 이 예에서 ec2-user는 사용자 이름입니다. 특정 AMI에 따라 사용자 이름을 변경하세요.

$ stat /home/ec2-user/
  File: '/home/ec2-user/'
  Size: 4096      	Blocks: 8          IO Block: 4096   directory
Device: 10301h/66305d	Inode: 18322       Links: 3
Access: (0700/drwx------)  Uid: (  500/ec2-user)   Gid: (  500/ec2-user)

4. 권한이 이전 값과 일치하지 않는 경우, 다음 명령을 실행합니다.

$ sudo chown root:root /home
$ sudo chmod 755 /home
$ sudo chown ec2-user:ec2-user /home/ec2-user -R
$ sudo chmod 700 /home/ec2-user /home/ec2-user/.ssh
$ sudo chmod 600 /home/ec2-user/.ssh/authorized_keys

5. 세션을 종료합니다.

6. SSH로 인스턴스에 연결합니다.

방법 3: AWSSupport-TroubleshootSSH 문서를 실행하여 오류를 일으키는 문제를 자동으로 수정합니다.

AWSSupport-TroubleshootSSH 자동화 문서는 Amazon EC2Rescue 도구를 인스턴스에 설치한 다음 SSH를 통해 Linux 시스템에 연결할 때 원격 연결 오류를 유발하는 몇 가지 문제를 확인하고 수정합니다. 자세한 내용은, SSH를 사용하여 EC2 인스턴스에 연결하려고 할 때 오류가 발생합니다를 참고하세요. AWSSupport-TroubleshootSSH 자동화 워크플로를 사용하여 SSH 연결 문제를 해결하려면 어떻게 해야 하나요?

방법 4: 사용자 데이터를 사용하여 인스턴스에 대한 권한 수정

중요:

• 이 복구 절차를 수행하려면 인스턴스를 중지하고 다시 시작해야 합니다. 이때 인스턴스 스토어 볼륨의 데이터가 손실됩니다. 자세한 내용은 인스턴스의 루트 디바이스 유형 결정을 참고하세요.
• 인스턴스가 Amazon EC2 Auto Scaling 그룹에 속한 경우, 중지되면 인스턴스가 종료될 수 있습니다. 이는 Amazon EMR, AWS CloudFormation, AWS Elastic Beanstalk 등과 같이 AWS Auto Scaling을 사용하는 서비스에서 시작한 인스턴스에서도 발생할 수 있습니다. 이 시나리오에서 인스턴스 종료 여부는 Auto Scaling 그룹의 인스턴스 축소 보호 설정에 따라 달라집니다. 인스턴스가 Auto Scaling 그룹에 속한 경우, 문제 해결 단계를 시작하기 전에 Auto Scaling 그룹에서 인스턴스를 일시적으로 제거해야 합니다.
• 인스턴스를 중지하고 다시 시작하면 인스턴스의 공용 IP 주소가 변경됩니다. 외부 트래픽을 인스턴스로 라우팅할 때는 공용 IP 주소 대신 탄력적 IP 주소를 사용하는 것이 좋습니다.
• 인스턴스의 루트 디바이스가 인스턴스 스토어 볼륨인 경우, 사용자 데이터를 사용하여 SSH 키를 변경할 수 없습니다. 자세한 내용은 인스턴스의 루트 디바이스 유형 결정을 참고하세요.
• 인스턴스의 사용자 데이터 업데이트는 cloud-init 디렉티브를 지원하는 배포에 모두 적용됩니다. 이러한 지침을 성공적으로 수행하려면 Cloud-init를 설치하고 구성해야 합니다. 클라우드 초기화 SSH 모듈에 대한 자세한 내용은 클라우드 초기화 설명서의 SSH - SSH 및 SSH 키 구성을 참고하세요.

1.    Amazon EC2 콘솔을 연 다음 인스턴스를 선택합니다.

2.인스턴스 상태를 선택한 다음, 인스턴스 중지를 선택합니다.

참고:****중지를 사용할 수 없는 경우, 인스턴스가 이미 중지되었거나 루트 디바이스가 인스턴스 스토어 볼륨일 수 있습니다.

3. 작업을 선택하고 인스턴스 설정을 선택한 다음 사용자 데이터 편집을 선택합니다.

4. 다음 스크립트를 사용자 데이터 필드에 복사한 다음 저장을 선택합니다. 전체 스크립트를 복사하고 여분의 공백을 남기지 마세요.

참고: 다음 스크립트에서 사용자 이름은 ec2-user입니다. ec2-user를 AMI의 사용자 이름으로 변경하세요.

Content-Type: multipart/mixed; boundary="//"
MIME-Version: 1.0

--//
Content-Type: text/cloud-config; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="cloud-config.txt"

#cloud-config
cloud_final_modules:
- [scripts-user, always]

--//
Content-Type: text/x-shellscript; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="userdata.txt"

#!/bin/bash
chown root:root /home
chmod 755 /home
chown ec2-user:ec2-user /home/ec2-user -R
chmod 700 /home/ec2-user /home/ec2-user/.ssh
chmod 600 /home/ec2-user/.ssh/authorized_keys
--//

5. 인스턴스를 시작한 다음 SSH로 인스턴스에 연결합니다.

**참고:**기본적으로 사용자 데이터 스크립트는 인스턴스당 한 번 실행됩니다. 이 절차는 인스턴스를 재부팅, 중지, 시작할 때마다 공개 키를 추가하도록 기본 동작을 변경합니다. 기본 동작을 복원하려면, 사용자 지정 사용자 데이터를 삭제하세요. 인스턴스를 처음 부팅한 후 사용자 데이터가 실행되도록 허용할 경우 보안에 미치는 영향을 고려하는 것이 가장 좋습니다. ModifyInstanceAttribute API 방법을 사용하여 인스턴스의 사용자 데이터를 수정할 수 있습니다. 이 메서드에 대한 액세스를 제한하려면, IAM 정책을 사용하세요.

관련 정보

PuTTY를 사용하여 윈도우에서 Linux 인스턴스에 연결

Amazon EC2 키 쌍과 Windows 인스턴스

SSH를 사용하여 Amazon EC2 Linux 인스턴스에 연결할 수 없는 이유는 무엇인가요?