SSH / VNC
2026년 4월 7일
2026 클라우드 Mac 팀 SSH TCP 포워딩: AllowTcpForwarding, PermitOpen과 감사 체크리스트
MacLogin Security Team
2026년 4월 7일
약 9분
SSH 포트 포워딩은 통제 없으면 외부 우회 경로가 됩니다. Apple Silicon 클라우드 Mac으로 빌드나 OpenClaw를 쓰는 팀은 LocalForward를 자주 씁니다. 문서화된 정책 없이는 침해된 노트북이 임대 호스트를 경유해 내부로 이동할 수 있습니다.
함께 보기: 바스천 vs 직접 SSH, OpenClaw 게이트웨이 터널, SSH 키 순환. 기본은 sshd에서 전달을 제한하고 승인 사례를 문서화하며 변경은 티켓으로 처리하세요.
정책이 필요한 경우
- 플랫폼 팀이 외주와 직원이 한 MacLogin 노드를 공유할 때.
- 보안·컴플라이언스가 데이터 유출 경로를 설명해야 할 때.
- 자동화 리드가 LocalForward로 OpenClaw나 CI 터널을 쓸 때.
판단 매트릭스
| 패턴 | 주요 위험 | 권장 정책 |
|---|---|---|
| 문서화되지 않은 터널 | 은밀 피벗 | AllowTcpForwarding no 티켓 전까지 no |
| OpenClaw / 개발 게이트웨이 | 과도한 localhost 노출 | AllowTcpForwarding local + 127.0.0.1 — 127.0.0.1에만 바인딩 |
| DB·내부 API 디버그 | 측면 이동 | PermitOpen PermitOpen 허용 목록 + 기한 |
경고: 공유 임대 호스트에서
GatewayPorts yes는 거의 정당화되지 않습니다.중요 sshd 옵션
- AllowTcpForwarding — 빌드가 지원하면
local우선. - PermitOpen — 원격 포워딩 목적지 제한.
- Match — 자동화 계정과 브레이크글라스 계정 분리.
팁: 수정 후
sudo sshd -t 실행. 자세히는 SSH keepalive·끊김 가이드.5단계 도입
- 목록화: ~/.ssh/config의 LocalForward·RemoteForward 검색.
- 기준선:
sshd -T출력을 버전 관리 Runbook에 저장. - 파일럿: 스테이징 노드에서 엄격한 Match 적용.
- 공지: 승인 포트 맵을 첫 SSH 신뢰 온보딩과 함께 게시.
- 검증: 거부되는 포워딩 시도 후 로그 확인.
감사와 대응
월간 log show 샘플을 티켓과 연계. 키 순환 전 증거 보존—SSH 키 가이드.
FAQ
모바일 독자용 요약(구조화 FAQ와 동일 취지).
AllowTcpForwarding을 항상 끄나요? 항상은 아닙니다. 터널 없는 빌드 전용은 가능. OpenClaw 팀은 제한적 포워딩.
PermitOpen이 방화벽 대체물인가요? 아니요. 목적지 제한만 하며 분할·모니터링은 별도.
예외 승인은 누가? 보안 또는 플랫폼이 기한 있는 티켓으로 승인하고 CMDB에 연결.
