HashiCorp Vault로 OTP 방식 SSH 인증 구현

이 게시물은 HashiCorp Vault의 SSH Secrets Engine을 이용하여 OTP 방식으로 SSH 서버 접근을 안전하게 관리하는 방법을 설명합니다.

Vault 설치 및 설정

• Vault 1.20.0 설치 및 개발 모드 서버 구동
• SSH Secrets Engine 활성화 및 OTP 키 역할(Role) 생성
• Vault 정책 설정과 userpass 인증 방식 활성화

SSH 서버와 클라이언트 설정

• vault-ssh-helper 설치 및 PAM 연동
• SSH 서버의 PAM과 sshd 구성 변경으로 OTP 인증 적용
• 클라이언트에서 Vault 로그인 후 OTP 발급 및 SSH 접속 수행

보안 강화 및 OTP 유효 시간 조정

• OTP 기본 유효 시간은 768시간이나 보안을 위해 TTL을 60초로 조정
• TTL 이후 접속 불가로 일회성 인증 보장