보안

SSH-Frontière는 보안 컴포넌트입니다. 수신 SSH 연결이 수행할 수 있는 작업을 제한하는 것이 존재 이유입니다. 이 페이지는 보안 모델, 구현된 기능, 그리고 보장되지 않는 사항을 문서화합니다.

보안 모델

기본 원칙: deny by default

명시적으로 구성되지 않으면 아무것도 실행되지 않습니다. 명령이 TOML 화이트리스트에 없으면 거부됩니다. 허용 모드도 없고, 셸로의 폴백도 없습니다.

심층 방어의 세 계층

계층	메커니즘	보호
1	`authorized_keys`의 `command=` + `restrict`	접근 수준 강제, 포워딩/PTY 차단
2	SSH-Frontière (로그인 셸)	TOML 화이트리스트에 대해 명령 검증
3	sudoers의 `sudo` 화이트리스트	권한이 필요한 시스템 명령 제한

공격자가 SSH 키를 탈취하더라도(제1계층), TOML 화이트리스트에 허가된 명령만 실행할 수 있습니다(제2계층). 제2계층을 우회하더라도, sudoers에 허가된 명령에 대해서만 권한 상승이 가능합니다(제3계층).

문법 파서, 블랙리스트가 아님

SSH-Frontière는 셸이 아닙니다. 보안은 문자 필터링(|, ;, &의 블랙리스트 없음)이 아닌 문법 파서에 기반합니다.

예상되는 문법은 도메인 액션 [key=value ...]입니다. 이 구조를 따르지 않는 모든 것은 거부됩니다. 따옴표 안의 특수 문자는 구문이 아닌 인자의 내용이므로 유효합니다.

std::process::Command는 중간 셸을 거치지 않고 직접 실행합니다. 명령 인젝션은 구조적으로 불가능합니다.

AI 에이전트에 대한 결정론

이 동작은 결정론적입니다: 주어진 명령은 컨텍스트에 관계없이 항상 동일한 검증 결과를 생성합니다. 이는 본질적으로 비결정적인 AI 에이전트와 작업할 때 필수적인 속성입니다 — 모델이 편향될 수 있거나, 에이전트 생산 체인이 손상되어 추가 정보를 수집하거나 비밀을 유출하기 위해 셸을 노릴 수 있습니다. SSH-Frontière를 사용하면, 손상된 에이전트는 화이트리스트를 우회할 수 없고, 셸에 명령을 주입할 수 없으며, 구성되지 않은 리소스에 접근할 수 없습니다. 이것은 구조적으로 불가능합니다.

구현된 기능

Rust 언어

SSH-Frontière는 Rust로 작성되어 시스템 프로그램에서 가장 흔한 취약점 분류를 제거합니다:

버퍼 오버플로 없음
Use-after-free 없음
널 포인터 역참조 없음
코드에 unsafe 없음 (Cargo.toml의 lint 설정에서 unsafe_code = "deny"로 금지)

399개의 cargo 테스트 + 72개의 E2E SSH 시나리오

프로젝트는 399개의 cargo 테스트와 72개의 추가 E2E SSH 시나리오로 커버됩니다:

유형	수량	설명
단위 테스트	~340	각 모듈을 독립적으로 테스트 (10개의 `*_tests.rs` 파일)
통합 테스트	50	완전한 stdio 시나리오 (바이너리 실행)
적합성 테스트	1 (6개 시나리오)	JSON 인터페이스 계약 검증 (ADR 0003)
proptest 테스트	8	속성 테스트 (제약 기반 퍼징)
cargo 합계	399
E2E SSH 시나리오	72	실제 SSH 서버가 있는 Docker Compose 환경
cargo-fuzz harness	9	비제약 퍼징 (무작위 변이)

E2E SSH 테스트는 완전한 프로토콜, 인증, 세션, 보안, 견고성 및 로깅을 커버합니다. 실제 SSH 서버가 있는 Docker Compose 환경에서 실행됩니다.

의존성 감사

CI에서 cargo deny 실행: 라이선스 및 알려진 취약점 확인 (RustSec 데이터베이스)
cargo audit: 의존성 보안 감사
pedantic 모드의 cargo clippy: 경고 0개 허용
직접 의존성 3개만: serde, serde_json, toml — 모두 Rust 커뮤니티에서 널리 감사된 크레이트

RBAC 접근 제어

세 가지 계층적 신뢰 수준:

수준	용도	예시
`read`	조회 전용	healthcheck, status, list
`ops`	일반 운영	backup, deploy, restart
`admin`	모든 액션	구성, 민감한 데이터

각 액션에는 필요한 수준이 있습니다. 각 SSH 연결에는 유효 수준이 있습니다(authorized_keys의 --level 또는 토큰 인증을 통해).

가시성 태그

수직적 RBAC에 더해, 태그로 수평적 필터링이 가능합니다: forgejo 태그가 있는 토큰은 ops 수준이어도 forgejo 태그가 달린 액션만 볼 수 있습니다.

토큰 인증

두 가지 인증 모드:

단순 모드 (challenge_nonce = false): 챌린지-응답 SHA-256(secret) — 클라이언트가 비밀을 알고 있음을 증명
논스 모드 (challenge_nonce = true): 서버가 보낸 논스를 사용한 챌린지-응답 SHA-256(XOR_encrypt(secret || nonce, secret)). 논스는 인증 성공 후 재생성되어 가로챈 proof의 재사용을 방지

추가 보호

프로세스 그룹 kill을 통한 명령별 타임아웃 (SIGTERM 후 SIGKILL)
N회 인증 실패 후 잠금 (구성 가능, 기본값: 3)
구성 가능한 외부 명령을 통한 선택적 IP 차단
로그에서 민감한 인자의 마스킹 (SHA-256)
캡처된 출력의 크기 제한 (stdout, stderr)
환경 정리: 자식 프로세스에 env_clear(), PATH와 SSH_FRONTIERE_SESSION만 주입

보장되지 않는 사항

완벽한 소프트웨어는 없습니다. 알려진 문서화된 제한 사항은 다음과 같습니다:

8비트 XOR 카운터

암호화 구현은 8192바이트로 제한된 키스트림을 가진 XOR 카운터를 사용합니다. 현재 용도(64자의 SHA-256 proof)에는 충분하지만, 대용량 데이터 암호화를 위해 설계된 것이 아닙니다.

비교 시 길이 유출

상수 시간 비교에서 비교되는 값의 길이가 노출될 수 있습니다. 실제로 SHA-256 proof는 항상 64자이므로, 이 유출은 무시할 수 있습니다.

연결별 속도 제한

인증 시도 카운터는 각 SSH 연결에 로컬입니다. 공격자가 N개의 연결을 열면 N x max_auth_failures회의 시도가 가능합니다. 권장 사항: fail2ban, sshd MaxAuthTries, 또는 iptables 규칙과 함께 사용하세요.

취약점 신고

공개 이슈를 통해 취약점을 신고하지 마세요. 책임 있는 공개를 위해 메인테이너에게 직접 연락하세요. 절차는 기여 가이드에 설명되어 있습니다.

의존성

SSH-Frontière는 최소 의존성에 대한 엄격한 정책을 가지고 있습니다. 각 외부 크레이트는 가중 매트릭스(라이선스, 거버넌스, 커뮤니티, 크기, 전이 의존성)로 평가됩니다.

크레이트	버전	용도	정당화
`serde`	1.x	직렬화/역직렬화	Rust의 사실상 표준, JSON 및 TOML에 필요
`serde_json`	1.x	JSON 응답	프로토콜 출력 형식
`toml`	0.8.x	구성 로드	구성을 위한 Rust 표준 형식

개발 의존성: proptest (속성 테스트 전용, 최종 바이너리에 포함되지 않음).

허용된 소스: crates.io만 가능. 외부 git 저장소 없음. cargo deny로 정책 검증.