대안

대안과의 비교

SSH-Frontière만이 SSH 접근을 제어하는 유일한 방법은 아닙니다. 이 페이지에서는 올바른 솔루션을 선택할 수 있도록 기존 접근 방식을 비교합니다.

비교 표

기준	`authorized_keys` `command=`	SSH-Frontière	Teleport	Boundary
유형	OpenSSH 옵션	로그인 셸	SSH 배스천	SSH 배스천
대상	키당 단일 스크립트	서비스 계정	사용자(사람)	사용자(사람)
세분화	키당 1개 명령	RBAC 3단계, 도메인, 액션, 인자	역할, 라벨, RBAC	IAM 정책
로깅	비구조화	명령별 구조화된 JSON	전체 세션 (리플레이)	감사 추적
배포	네이티브 (OpenSSH)	바이너리 1개 + TOML 파일 1개	클러스터 (인증 서버, 프록시, 노드)	클러스터 (컨트롤러, 워커)
의존성	없음	시스템 의존성 0개	데이터베이스, 인증서	데이터베이스
크기	—	약 1 Mo (정적 바이너리)	약 100 Mo	약 100 Mo
인젝션 방지	스크립트 책임	구조적 (문법 파서)	해당 없음 (대화형 세션)	해당 없음 (대화형 세션)
LLM 호환	아니오	예 (JSON, help, 탐색)	아니오	아니오
라이선스	OpenSSH (BSD)	EUPL-1.2	AGPL-3.0 (OSS) / 상용	BSL 1.1

`authorized_keys`의 `command=`

authorized_keys의 command= 옵션을 사용하면 각 연결 시 스크립트 실행을 강제할 수 있습니다. 가장 단순하고 널리 사용되는 솔루션입니다.

장점

설치 불필요: OpenSSH의 기본 기능
단순: 단일 사용 사례에 적합 (하나의 키 = 하나의 명령)

한계

키당 하나의 스크립트만: 세밀한 제어 불가. N개의 다른 액션을 위해서는 N개의 키 또는 $SSH_ORIGINAL_COMMAND를 파싱하는 bash 스크립트 필요
인자 검증 없음: 스크립트가 원시 문자열을 받아 직접 검증해야 함 — 잘못 구현하면 인젝션 위험
접근 수준 없음: 모든 키가 동일한 권한 (또는 스크립트에서 직접 코딩 필요)
구조화된 로깅 없음: 로그는 스크립트에 의존
취약성: 명령 검증이 있는 bash 스크립트는 보안과 유지보수가 어려움

`command=`를 선택할 때

단순한 요구: SSH 키 하나, 고정 명령 하나, 매개변수 없음
감사나 RBAC 요구사항 없음

Teleport

Teleport은 세션 녹화, SSO, 인증서, 감사 추적을 갖춘 완전한 SSH 배스천입니다.

장점

세션 녹화: 각 SSH 세션의 완전한 리플레이
통합 SSO: GitHub, OIDC, SAML
인증서: SSH 키 관리 불필요
완전한 감사: 누가 연결했는지, 언제, 어디서, 무엇을 했는지

한계

배포가 복잡: 인증 서버, 프록시, 노드 에이전트, 데이터베이스, 인증서
사람을 위해 설계: 대화형 세션, 머신 투 머신 프로토콜 없음
서비스 계정에 과도: CI 러너는 세션 녹화나 SSO가 필요 없음
이중 라이선스: 커뮤니티 버전(AGPL-3.0)은 기능적 제한이 있음

Teleport을 선택할 때

사람의 서버 팜 접근 관리
세션 녹화와 SSO가 필요
클러스터를 배포하고 유지할 수 있는 인프라

HashiCorp Boundary

Boundary는 연결 세부 정보를 추상화하고 외부 ID 소스를 통합하는 접근 프록시입니다.

장점

인프라 추상화: 사용자가 IP가 아닌 논리적 대상에 연결
IAM 통합: Active Directory, OIDC, LDAP
자격 증명 주입: 비밀이 동적으로 주입되며 공유되지 않음

한계

복잡: 컨트롤러, 워커, 데이터베이스, IAM 통합
사람 사용자 지향: 자동화 스크립트를 위해 설계되지 않음
BSL 1.1 라이선스: 커뮤니티 에디션에 상업적 제한
명령 수준 제어 없음: Boundary는 호스트 접근을 제어하지, 특정 명령을 제어하지 않음

Boundary를 선택할 때

중앙 집중식 ID 관리가 있는 대규모 서버 팜
인프라 추상화 필요 (사용자가 IP를 모름)
HashiCorp 전문성이 있는 팀 (Vault, Terraform 등)

`sudo` 단독 사용

sudo는 시스템 명령의 권한 상승을 제어합니다. 서비스 계정의 액션을 제한하기 위해 단독으로 자주 사용됩니다.

장점

네이티브: 모든 Linux 시스템에 존재
세밀한 제어: 사용자, 명령, 인자별 세밀한 규칙

한계

SSH 입력을 제어하지 않음: sudo가 상승을 차단해도 모든 명령이 SSH를 통해 요청될 수 있음
프로토콜 없음: 구조화된 응답 없음, 통합 JSON 로깅 없음
복잡한 구성: 명령이 많아지면 sudoers 규칙 유지가 어려워짐

`sudo`를 단독으로 선택할 때

위험이 낮은 단순한 환경
SSH 입력이 이미 다른 메커니즘(배스천, VPN)으로 제어되는 경우

SSH-Frontière를 선택할 때

SSH-Frontière는 특정 사용 사례를 위해 설계되었습니다: 서비스 계정(사람이 아닌)이 SSH를 통해 수행할 수 있는 작업을 제어하는 것.

SSH-Frontière를 선택하세요:

SSH 연결이 자동화 스크립트 (CI/CD, AI 에이전트, cron)인 경우
세분화가 필요한 경우: 도메인, 액션, 인자, 접근 수준
감사와 관측성을 위한 구조화된 JSON 로깅을 원하는 경우
간단한 배포를 원하는 경우: 바이너리 하나, TOML 파일 하나
LLM 호환성이 필요한 경우: JSON 응답, help/list를 통한 탐색
클러스터를 배포하고 유지하고 싶지 않은 경우 (Teleport, Boundary)

SSH-Frontière를 선택하지 마세요:

사용자가 풍부하고 완전한 대화형 세션이 필요한 사람인 경우
다른 서버로의 SSH 프록시가 필요한 경우
SSO가 필요한 경우