임베디드 시스템에서 ssh 설정 및 사용하기

임베디드 시스템에 원격 연결을 위해서 시리얼 통신 다음으로 많이 사용되는 telnet은 사용이 편리하고 설정이 간단 하지만 데이터 전송이 암호화되지 않기 때문에 보안 문제를 가지고 있다. 제품 출시 후 이더넷 포트를 통한 리버스 엔지니어링을 막아야 하거나 연결 상태에서 통신 데이터가 외부에 노출되지 않도록 하기 위해서는 telnet 대신 ssh 연결을 사용하여야 한다. (알려진 바로는 미국 NSA에서는 ssh도 뚫을 수 있다고 하는데 어떤 방법을 사용하는지는 공개가 되지 않았다.  )

ssh는 telnet에 비해서 설정이 조금 복잡해서 제대로 설정을 하기 위해서는 약간의 지식이 필요하다. ssh는 인증을 위해서 한쌍의 public/private keys로 이루어진 SSH key-pairs를 사용하는데, 아래 글이 public/private key pair를 이해하는데 도움이 될 것이다.

공개키 암호와 안드로이드 서명


패스워드 인증 방식

일단 연결하고자 하는 target 임베디드 장치가 server(혹은 Host)가 되며 target 장치에 연결하고자 하는 시스템(주로 사용자 pc)이 client가 된다. 먼저 server는 client가 접속을 시도할 때 자신의 public keys를 client에게 전달된다. 이때 client에서는 Host의 RSA key fingerprint라고 부르는 값이 출력되며 접속 진행 여부를 사용자에게 묻는다. 이 key값이 server에서 생성한 key의 fingerprint와 일치한다면 yes를 선택하면 된다.  yes 선택 시 client는 Host의 public key를 가져다 보관한다.  (일반적으로 ~/.ssh/known_hosts 에 보관됨) fingerprint값은  ssh-keygen를 사용해서 확인할 수 있다.  서버의 공개키 전달 및 이에 따른 fingerprint 확인은 최초 접속 시에만 수행된다. 이 fingerprint값을 통하여 client는 자신이 접속하는 서버를 확인하게 된다.

임베디드 시스템에서는 client와 server가 보통 바로 연결되어 있고,  두장치 모두 동일 사용자가 관리하므로 fingerprint확인이 바로 가능하며, 대부분의 경우 그렇게 중요하지도 않다.

client는 공유키 생성(접속시마다 변경됨)하여 이를 server의 public key를 사용하여 암호화한 후 이를 server에 전달하고, 이후 통신은 이 공유키를 사용하여 암호화 된다.

공유키를 전달한 후 첫번째 통신은 사용자가 입력한 패스워드가 될 것이다. 패스워드는 공유키로 암호화 하여 서버에 전달되므로 중간에 누군가가 패킷을 가로채어도 패스워드가 노출되지 않는다.  - 패스워드 이후의 모든 통신도 이 공유키를 통하여 암호화 된다.

여기서 굳이 기 공유된 server의 공개키를 사용하지 않고, 별도의 공유키를 사용하는 이유는 공유키를 사용하여 암호화 하는것이 공개키를 사용하여 암호화하는 것보다 연산처리의 부담이 적기 때문이라고 한다.

한줄 정리:  패스워드 인증 방식에서는 server가 공개키 생성, client가 공유키 생성

공개키 인증방식

공개키 인증방식을 사용하면 매번 접속시 비밀번호를 입력하지 않고 접속이 가능하다.  이를 위해서 server가 아닌 client에서 SSH key-pairs를 생성해야 한다. 생성한 key중 공개키를 server로 전달하여 저장하여 놓으면(최초 1회) 이후 client 접속 시 server는 이를 사용하여 공유키를 생성하여 client에 공유키를 전달하고, 향후 통신을 이 공유키를 통하여 암호화 한다.  client의 공개키를 통하여 암호화된 공유키(client 접속시마다 server에서 난수를 사용하여 생성함)는 해당 공개키의 pair인 비밀키로만 복호화 가능하기 때문에 매번 접속시마다 비밀번호를 사용하지 않고도 client를 인증할 수 있다.

아래 명령으로 client에서 생성한 공개키를 server에 등록할 수 있다. (key 생성 방법은 이후 설명함) 이 과정에서는 server의 sshd_config 파일의 "PasswordAuthentication" 가 일단 "yes"로 설정되어 있어야 한다. (변경 시 설정이 반영되려면 sshd가 재시작되어야 한다.)

$ cat ~/.ssh/id_rsa.pub | ssh user@192.168.11.14 "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys”

보통 임베디드 시스템 개발을 위해서 접속 시에는 root로 접속하므로 위에서 user 대신 root를, 123.45.56.78 대신 target 시스템의 ip를 넣으면 된다.  ssh-copy-id를 사용하는 방법도 있지만, ssh-copy-id를 지원하지 않는 시스템도 많으므로 여기서는 소개하지 않는다.

참고 사이트 : How To Set Up SSH Keys

이후 "PasswordAuthentication" 를 "no"로 변경하고 sshd를 재실행시키면 client에서 비밀번호 대신 SSH key-pairs을 사용해서 로그인하게 된다.

아래는 SSH key-pairs을 사용해서 root로 로그인하기 위한 명령이다.

$  ssh -v -i ~/.ssh/id_rsa root@192.168.11.14

key 파일의 위치는 위에서와 같이 ssh 실행 시 -i 옵션으로 지정하거나 아래와 같이 ~/.ssh/config 파일에 지정하면 된다.

$ cat ~/.ssh/config
IdentityFile ~/.ssh/id_rsa

서버에 등록하는 파일은 public key(id_rsa.pub)이며 접속 시 사용하는 파일은 private key(id_rsa)임에 주의한다.

~/.ssh/config 파일은 ssh client의 개인 설정 파일로 전체 시스템에 적용되는 /etc/ssh/ssh_config 파일보다 우선하여 적용된다.  따라서 설정 변경이 필요하다면 /etc/ssh/ssh_config을 직접 수정하지 말고 ~/.ssh/config을 수정하도록 한다.

Server에서 Private/Public key pair 생성하기 (QNX 시스템에서 예)

ssh-keygen을 사용한다. 아래는 server(target)에서 key 생성 예이다. (Tested on QNX OS)

# ssh-keygen -t dsa -b 1024 -f /etc/ssh/ssh_host_dsa_key -N ''
# ssh-keygen -t rsa -b 1024 -f /etc/ssh/ssh_host_rsa_key -N ''

위와 같이 실행 시 SSH key-pairs는 /etc/ssh/ 아래에 생성된다.

생성된 Private/Public key의 fingerprint 확인하기
아래와 같이 생성된 SSH key-paris의 fingerprint를 확인할 수 있다.

# ssh-keygen -l   <== 소문자 el
Enter file in which the key is (/root/.ssh/id_rsa): /etc/ssh/ssh_host_rsa_key
1024 1e:f7:b2:e2:ec:9d:b9:e4:bd:51:ea:d9:26:65:c0:0b  root@localhost (RSA)


Client 에서 Private/Public key pair 생성하기

ssh-keygen을 사용한다. 아래는 client( 개발자 pc : Linux or Mac)에서 key를 생성하는 방법이다.

$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/Users/dooeui/.ssh/id_rsa): [Enter]
Enter passphrase (empty for no passphrase): [Enter]
Enter same passphrase again: [Enter]
Your identification has been saved in test.
Your public key has been saved in test.pub.
The key fingerprint is:
...


key pair는 default로 ~/.ssh/ 아래에 생성된다. (id_rsa, id_rsa.pub) 이름에서 유추 가능하듯이 id_rsa 는 private key이며, id_rsa.pub가 publick key이다.


Server 설정( QNX OS )

client로 부터 접속 요청이 들어 올 경우 inetd이 sshd를 실행한다. Server쪽 sshd 설정은 /etc/ssh/sshd_config 파일에 저장된다. 최초 로그인 시에는 client의 비밀번호 접속을 허용해야 한다. 계속해서 비밀번호를 사용해서 접속해도 되지만, 보안을 위해서는 비밀번호 로그인을 disable하고 SSH key-pairs를 사용한 로그인을 사용하는 것이 좋다. 비밀번호 로그인 on/off는 아래와 같이 PasswordAuthentication을 yes나 no로 설정하여 제어할 수 있다.

/etc/ssh/sshd_config
------------------------------------------------------
...
PasswordAuthentication yes
...
------------------------------------------------------


서버에는 최소한 아래 파일들이 필요하다.

• libcrypto.so.2
• libz.so.2
• sshd
• ssh-keygen
• sftp-server

ssh접속을 위해서 서버에서는아래 파일이 실행되어고 있어야 한다. 

• inetd
• random -p

inetd가 ssh접속 요청을 받아 sshd를 실행시키도록 하기 위해서 inetd.conf에 아래 내용이 추가되어야 한다.

/etc/inetd.conf
------------------------------------------------------
...
ssh stream tcp nowait root /usr/sbin/sshd in.sshd -i
------------------------------------------------------

포트 번호 및 프로토콜 설정

/etc/services
------------------------------------------------------
...
ssh 22/tcp
------------------------------------------------------

sshd 설정

/etc/ssh/sshd_config
------------------------------------------------------
Protocol 2
LoginGraceTime 600
PermitRootLogin yes
PasswordAuthentication yes
PermitEmptyPasswords yes
Subsystem    sftp    /usr/libexec/sftp-server
------------------------------------------------------
 

• / 아래에 쓰기 가능한 파일 시스템이 mount되어있는지 확인
• 아래 폴더 생성 (없으면)

# mkdir /etc    (to create writeable /etc directory for /etc/passwd and /etc/ssh/)
# mkdir /etc/ssh (for the keys to be generated)
# mkdir /root

• /etc/passwd에 내용 추가

echo root::0:0::/root:/bin/sh > /etc/passwd (now root user "exists" from rights management
perspective and can create keys)

• passwd 설정

# passwd   (give a password)

•  /etc/passwd에 내용 추가

echo sshd:x:15:6:sshd:/var/chroot/sshd:/bin/false >> /etc/passwd (creates entry for "privilege separation user sshd", appends to passwd file)

• 디렉토리 설정 및 소유권 설정

# mkdir /var
# mkdir /var/chroot
# mkdir /var/chroot/sshd
# chmod 700 /var/chroot/sshd



Client 설정 ( Linux or MAC OS X )

일반적으로 /etc/ssh/ssh_config 파일에 시스템 전체적으로 적용되는 설정파일이 있으며, 이 파일의 내용중 변경하고 싶은 항목이 있을 경우 ~/.ssh/config 파일에 변경된 내용을 적으면 된다. (동일 항목에 대해서는 ~/.ssh/config의 값이 우선하여 적용된다. )

참고 사이트

Understanding the SSH Encryption and Connection Process

오디오 드라이버 개발에 필요한 오디오 포맷 기본

다양한 오디오 포맷이 존재하지만 오디오 드라이버를 작성할 경우에는 wav와 pcm 포맷만 이해하면 별다른 문제가 없다. 다른 오디오 포맷은 오디오 코덱 담당자 혹은 멀티미디어 담당자들에게 맡기자.

먼저 wav포맷은 압축하지 않은 오디오를 저장하는 포맷으로 대부분의 OS에서 제공하는 기본  Player로 손쉽게 재생이 가능하기 때문에 많이 사용된다. 오디오 데이터는 sampling rate, bit size, endian, channels 등에 따라 데이터가 저장되는 순서가 바뀌므로 wav파일은 헤더에 이러한 정보를 저장하게 된다.  각각에 대한 상세 정보는 아래 사이트에서 확인 가능하다. (http://www.topherlee.com/software/pcm-tut-wavformat.html)

wav파일은 RIFF라는 오디오 포맷 스펙을 구현것으로 wav포맷은 RIFF포맷과 동일한 포맷이라고 생각하면 된다. RIFF와 유사한 포맷으로 RIFX 포맷이 있는데, RIFX 포맷과 RIFF포맷은 서로 data의 byte order 즉, endian이 다르다. RIFF 포맷은 little endian으로 저장되고, RIFX포맷은 big endian으로 저장된다.

pcm audio file은 header가 없이 raw audio data만 저장한 파일이다.   따라서 pcm포맷으로 저장된 오디오는 별도로 오디오에 대한 정보를 가지고 있지 않으면 제대로 play할 수 없다. 오디오 드라이버에서 오디오 데이터를 캡춰하였다면, 당연히 header가 없는 pcm 포맷이며 이때 오디오 드라이버가 어떤 상태(sampling rate, bit size, endian, channels)로 동작중이었는지에 따라 pcm 포맷을 해석해야 한다.  만일 데이터가 little endian이라면 RIFF포맷이므로 wav header만 붙여주면 wav player에서 play가 가능해 진다. 데이터가 big endian이라면 RIFX 포맷이므로, wav header를 붙여 주고 play하면 이상한 노이즈가 play 될 것이다. 따라서 데이터가 big endian이라면 header 추가 뿐만 아니라 오디오 데이터에 대한 endian 변환까지 해주어야 한다.

sox라는 프로그램을 사용하면 간편하게 이러한 변환을 간단하게 수행할 수 있다. (http://sox.sourceforge.net)

아래는 header가 없는 RIFX 포맷의 48kHz/16bit/2 channel pcm데이터를 wav 파일로 변환하는 명령이다.

sox -traw -esigned -r48k -b16 -c2 --endian big foo.pcm foo.wav

-t : type - file type (raw | wav | ... ) 

-e : encoding (signed | unsigned)

-r : rate - sampling rate of audio (8k | 44.1k | 48k | ... )

-b: bits - encoded sample size in bits ( 8 | 16 | ... )

-c: channel (1 | 2 |... )

--endian : Encoded byte-order (little | big)

로그 출력하며 저장하기

임베디드 시스템 설계 시 유지/보수 및 디버깅을 위한 로깅은 일반적으로 serial interface를 사용하여 구현된다.  이는 시스템의 특정 serial interface를 표준 입출력 및 에러로 지정하는 것으로 printf를 사용한 로그 메세지가 serial 로 출력되며 따라서 serial interface가 연결된 상태에서만 로깅이 가능하므로 개발이나 유지 보수에 불편한 점이 많다.

만일 기기 내부에 임시로 로그를 저장하거나, 로그의 양을 조절하기 위한 우선순위 지정등의 추가 기능이 필요할 경우 이를 위한 자체 로깅 API를 작성하거나 혹은 시스템에서 제공하는 syslog()등의 사용을 고려할 수 있다.  하지만 재빌드가 불가능한 3rd party library등에서 printf를 사용하고 있다면 여기에 새 로깅 API를 적용할 수는 없다.

위와 같이 별도의 로깅 시스템이 고려되지 못한 상황에서 표준 출력과 표준 에러에만 의존하는 프로그램을 로깅하기 위해서 아래와 같은 방법을 사용할 수 있다.

# program 2>&1 | tee /tmp/log.txt

• program : 프로그램명
• 2>&1 : 표준 에러를 표준 출력과동일한 곳으로 설정
• | :표준 출력을다음 프로그램의 표준 입력으로전달 
• tee : 표준입력을 표준출력으로 보내면서 동시에 인자로 지정 된 경로에 전달

네트워크상의 기기간 시간 동기화 (NTP & PTP)

여러 임베디드 시스템이 네트워크로 연결되어 있을때 기기간 시간 동기화가 필요한 경우가 많다. 시간 동기화에서 가장 먼저 고려되는 방법은 ntp를 사용하는 것인데 아마 여러분의 PC에서 동작하고 있는 OS도 ntp를 사용하여 현재 시간을 인터넷상의 타임 서버와 동기화 하고 있을 것이다.

개발 하고자 하는 장치가 인터넷 프로토콜을 지원한다면 ntp를 사용하여 시간을 맞출 수 있으며 인터넷 연결 여부와 상관 없이 동일 네트워크안에서 기기간 시간 동기도 가능하다.  여러분이 기기간 시간 동기에 ntp를 사용하고자 한다면 아래 두가지를 고려해야 한다. 

1. 동기화 시간 : 일반적으로 10분 이상이 지나야 동기화가 완료된다. 처음 ntp를 사용하는 사람들이 시간 동기가 되지 않는다고 어려워하는 대부분의 이유가 이 시간이 필요한 것을 모르기 때문에다. burst/iburst옵션을 사용하여 이 시간을 단축할 수 있다. (십분 이상에서 수분이내로)

2. 동기화 정확도 : ntp는 보통 ms단위의 정확성을 가지는 것으로 알려져 있다. 더 높은 정확성이 필요하다면 다른 방법을 고려해야 한다.  ( 아래 설명하는 ptp를 사용할 경우 HW 지원여부에  따라 us에서 ns까지 정확도를 높일 수 있다.) 

기기간 시간 동기를 위해서 Time Master와 Time Slave 장치를 정한다. RTC가 있는 장치 중 가장  정확한 시간을 가지는 장치를 Time Master로 정하면 된다. ntp의 Time Master의 설정 방법은 아래와 같다. 

ntp.conf   (/etc or /etc/ntp)

server 127.127.1.1 prefer burst iburst
fudge 127.127.1.1 stratum 10

- ntp.conf파일의 server 주소를 127.127.x.x 로 설정할 경우 자신을 Time Master로 인식한다. 

- burst/iburst 옵션을 사용하면 time sync 시간을 많이 단축할 수 있다. 

Time Master서 위와 같은 옵션으로 ntpd (daemon)을 실행시키고 Time Slave에서 "ntpdate server_ip"를 실행시키면 수분내에 time sync. 가 이루어진다.  Time Slave에서 지속적으로 Time Master와 시간을 동기화해야 한다면 ntpd (daemon)을 실행시킨다. Time Slave와 Master에 사용된 오실레이터나 크리스털의 클럭이 서로 미세하게 다를 수 밖에 없으므로(부품 공차) 시간이 지나면 clock drift등으로 인해서 기기간 시간오차가 점정 커지게 된다. 장시간 사용되는 네트워크라면 (Time Slaver 에서)ntpd를 실행하여 지속적으로 오차를 보정해주는 것이 좋다.(당연히 Time Master에는 ntpd가 항상 실행되어 있어야 한다) 

소규모 네트워크에서 동기화가 필요한 경우 수분~십분 이상 시간이 걸리는 ntp는 불편하기 짝이 없다. 네트워크상 장치들이 거의 동시에 부팅이 되고 동작을 시작해야 하는 경우 사용자를 몇분씩 기다리게 할 수는 없기 때문이다. 이런 경우 ptp를 사용하면 된다. ptp는 실행 즉시 동기화가 이루어지고 HW적으로 지원하는 경우 us단위 이상의 정확성을 가진다. (HW적으로 ptp를 지원하는 경우 ethernet 장치가 패킷에  time stamp를 넣어주는 기능을 가지고 있다. HW적으로 이를 지원하지 않을 경우 SW적으로 해당 값을 넣어주게 되는데, 실제로 값을 넣어주는 시간과 패킷이 전송되는 시간이 차이가 나기 때문에 HW적으로 지원하는 경우보다 시간에 오차가 발생하게 된다.)

사용 방법은 아래와 같다.

1. Time Master에 ptpd를 master 모드로실행
# ptpd -W

2. Time Slave 에 ptpd를client모드로실행
# ptpd –g &

사실 ntp대신 ptp를 사용하는 보다 일반적인 목적은 동기화 시간이 아닌, 정확도 이다. ntp는 ms단위까지 동기화가 가능한 반면 ptp는 HW지원 여부 및 HW에서 지원하는 정확도에 따라 us에서 ns까지도 정확도를 높일 수 있다.

참고로  sync되는과정을확인하시고싶으면아래와같이 client를실행시키시면다.
# ptpd -g –c –D &

ptpd의 몇가지 옵션 설명:

-W : run as a master without NTP
-c : console mode
-g: slave mode only
-b en0: 어떤network interface를 사용할지 지정
-h: end to end mode,  HW적으로고정밀 clock을지원하지않는 switch사용시에는end to end모드로만동작.
-D : display status in .csv format
-d: display status

ptpd는 아래에서 구할 수 있다.
http://ptpd.sourceforge.net

ptpd 관련 참고 사이트
http://grepjuice.com/tag/ubuntu/

임베디드 개발 환경에서 필요한 RS232 관련 지식

임베디드 개발 환경에서 아직까지도 가장 많이 사용되는 터미널 인터페이스는 RS-232이다. RS-232와 이와 관련된 내용을 모두 이해하는 것은 아주 어려운 일이므로 개발에 꼭 필요한 내용 위주로 정리한다.

임베디드 환경에서는 대부분의 경우 RX, TX, GND 3개의 연결을 사용한다. RS-232 연결에 사용되는 여러 종류의 커넥터가 있는데, 현재 가장 많이 사용되는 커넥터는 9 pin connector이다. 25 pin connector는 1990년대 이후 사용되는 것을 본 기억이 없다.  9 pin connector는  DE-9 혹은 DB-9 커넥터라고 불리는데 DE-9이 올바른 명칭이나 DB-9으로 더 많이 불린다.

9 pin connector에서 RX,TX, GND는 각각 2번, 3번, 5번 pin이므로 나머지 5핀은 대부분의 경우 사용되지 않는다. HW Flow Control이라는 기능이 필요할 경우 다른 핀을 사용 하지만 많이  사용되지는 않는다.

9 pin connector는 숫놈과 암놈이 있는데 보통 개발 호스트 컴퓨터에는 숫놈(Male) 커넥터가 타겟 보드에는 암놈(Female) 커넥터가 사용된다.  숫놈 커넥터는 (일반적으로) DTE 장치에 사용되고, 암놈 커넥터는 (일반적으로) DCE 장치에 사용한다.  즉 개발 호스트 컴퓨터를 DTE 장치로 생각하면 된다.  DTE/DCE는 전화기와 모뎀을 사용하여 아날로그 라인으로 통신하던 시절부터 사용해온 명칭으로 컴퓨터를 DTE (Data Terminal Equipment)장치, 모뎀등 통신 장치를 DCE(Data Communication Equiptment) 장치라고 불렀다.  이제와서는 별 의미 없는 명칭이지만, DTE인지 DCE인지에 따라 PIN의 데어터 방향이 결정이 되고 되고, 커넥터의 암수도 바뀌므로 개발 타겟 보드를 DTE로 설정할지 DCE로 설정할지 미리 고민해야 한다.

임베디드 개발 환경에서는 보통 타겟 보드를 호스트 PC와 연결하므로 호스트 PC가 DTE, 타겟보드를  DCE 장치로 설정하는 경우가 많다.  이 경우 DTE 장치에 사용되는 숫놈 커넥터의 3번 핀이 DCE장치의 3번 구멍에 연결되며 DTC to DCE 방향으로 데이터가 전달된다. 2번 핀은 반대 방향인 DCE to DTE로 데이터가 전달된다. (DTE-DCE 연결 시 2은 2번끼리 3번은 3번끼리 연결한다.)

DTE 장치끼리 통신이 필요할 경우 2번과 3번을 서로 꼬아서 연결해 주어야 하며 이렇게 서로 크로스하여 배선한 케이블을 널 모뎀 케이블이라고 부른다.  만일 타겟 보드가 DTE 장치로 설정되어 있다면, DTE인 호스트 PC와 연결하기 위해서 NULL모뎀 케이블이 필요하다. (타겟 장치에 숫놈 커넥터가 달렸다면 DTE장치가 달렸다고 생각하면 된다. 예전에는 이런 경우가 드물었지만, 요즘은 라즈베리 파이 같이 타겟보드에 리눅스등의 PC용 OS가 사용되는 경우가 많아 타겟의 serial포트가 DTE 로 설정된 경우가 많아졌다)

최근에는 PC에 serial port(COM포트)가 거의 장착되어 있지 않으므로 개발 보드에 연결하기 위하여 대부분의 경우 Usb2Serial 장치를 사용한다. Usb2Serial 장치는 일반적으로 커넥터가 숫놈이며 당연히 Host PC가 DTE 장치가 되지만, 암놈 커넥터를 가진 Usb2Serial장치를 사용하면 Host PC가 DCE 모드로 동작하게 된다. 따라서 개발 보드가 DTE 장치라면 널모뎀 케이블을 사용하여 Host PC와 연결(DTE to DTE) 하거나 Host PC에 DCE로 동작하는 (암놈 커넥터를 가진) Usb2Serial장치를 사용하면 된다.

간혹 대책없이 DTE 장치에 암놈 커넥터를 달거나 DCE 장치에 숫놈 커넥터를 다는 경우가 있으니 골탕먹지 않도록 주의하자.