1Password 8 버전부터 SSH & Git 관리 기능을 사용할 수 있다. 현재 Ed25519와 RSA 두가지 타입을 지원하며, 기존 SSH 키를 불러와서 저장할 수도 있다. 참고로 *.pem 파일을 1Password에 불러와서 저장한 후, 개인키를 다시 다운로드해서 사용할 땐 pem 확장자를 추가해야 한다.

1Password의 SSH & Git 관리 기능을 사용하면 SSH 개인키를 로컬에 저장하지 않고도 SSH 인증을 진행할 수 있다. ~/.ssh/config 파일에 일일이 SSH 키 경로를 명시해야 하는 번거로움도 덜 수 있다.

1Password에서 생성한 SSH 키는 공개키와 핑거 프린트(Finger Print)를 함께 생성하기 때문에 GitHub 같은 서비스에서 공개키 자동완성 기능도 사용할 수 있다. 별거 아닌 것 같지만 은근히 유용하다.

설정 방법

❶ 1Password SSH 에이전트 활성화

• 설정 → 개발자 → SSH 에이전트 사용 : 체크
• 설정 → 개발자 → 연결을 승인할 때 키 이름 표시 : 체크

❷ ~/.password/agent.sock 경로에 대한 심볼릭 링크 추가

mkdir -p ~/.1password && ln -s ~/Library/Group\ Containers/2BUA8C4S2C.com.1password/t/agent.sock ~/.1password/agent.sock

• mkdir -p 옵션 : 재귀적으로 폴더 생성(중간 경로에 대한 폴더가 없다면 자동으로 생성됨)
• ln : 링크 생성 ex) ln 소스파일 타겟경로
• ln -s 옵션 : 심볼릭 링크(symlink) 생성

❸ ~/.ssh/config파일에 1Password SSH 에이전트 경로 추가. Host * 부분에 추가했으므로 모든 호스트에 대해 1Password 에이전트를 사용한다. 1Password에서 관리하는 SSH 키는 IdentityFile 항목에 일일이 경로를 명시하지 않아도 된다.

# ~/.ssh/config
Host *
  IdentityAgent ~/.password/agent.sock

특정 호스트에만 1Password 에이전트를 사용하도록 할 수 있다. github-home 호스트는 1Password 에이전트를 사용하고 ec2-server 호스트는 로컬에 저장된 SSH 키(pem 파일)를 사용하는 예시 ▼

# A host that's using the 1Password agent
Host github-home
  HostName github.com
  User pi
  IdentityAgent ~/.1password/agent.sock
 
# A host that's using a local private key file that's not saved in 1Password
Host ec2-server
  HostName 54.123.45.67
  User ec2-user
  IdentityFile ~/.ssh/ssh-key-not-on-1password.pem

사용

터미널이나 SSH 클라이언트에서 git pull ... 같은 SSH 키를 사용하는 작업을 수행하면 SSH 키 사용 승인 팝업이 뜬다. 요청을 승인하면 1Password가 잠길때까지 동일한 SSH 키는 별도 승인없이 계속 사용할 수 있다(Touch ID / Windows Hello 같은 생체 인식으로 승인 가능).

1Password에 SSH 키를 저장해두면 웹사이트에 공개키를 등록할 때 자동 완성 기능을 사용할 수 있다. 일일이 공개키를 복사 / 붙여넣기 하지 않아도 된다. 공개키 자동 완성 기능은 GitHub, GitLab 등에서 사용할 수 있다.

💡 1Password에서 SSH 키를 생성(저장)하면 공개키와 핑거 프린트(Finger Print)가 함께 생성되며, ~/.ssh/config 파일에 SSH 키 경로를 명시하지 않아도 된다.

🔍 자동 완성 지원 사이트 목록 - 공식 문서

• Bitbucket
• DigitalOcean
• GitHub
• GitLab
• Google Compute Engine
• Linode
• Microsoft Azure
• Ngrok
• Vultr

SSH 클라이언트 호환성

macOS, Linux의 SSH / Git 클라이언트는 ~/.ssh/config 파일의 IdentityAgent 설정을 확인한 후 에이전트 소켓 경로(agent socket path)를 사용해서 SSH 인증을 처리한다. 하지만 모든 SSH 클라이언트가 IdentityAgent 구성을 지원하지 않는다.

💡 SSH Client 호환성 목록 일부 내용 발췌. 더 자세한 목록은 공식 문서 참고

macOS와 Linux에선 SSH_AUTH_SOCK 환경 변수를 통해 에이전트 소켓 경로를 구성할 수 있는데 일반적으로 IdentityAgent 보다 SSH_AUTH_SOCK 을 지원하는 SSH 클라이언트가 더 많다. 사용하는 클라이언트가 IdentityAgent를 지원하지 않는다면 SSH_AUTH_SOCK 설정을 통해 호환성 문제를 해결할 수 있다. ▼

# SSH_AUTH_SOCK 환경 변수를 설정하는 커맨드(현재 터미널에서만 유효) 
export SSH_AUTH_SOCK=~/Library/Group\ Containers/2BUA8C4S2C.com.1password/t/agent.sock

모든 클라이언트에 SSH_AUTH_SOCK 환경 변수를 자동으로 구성하고 싶다면 아래 커맨드를 입력한다.

# SSH_AUTH_SOCK을 전역으로 구성하는 커맨드 
cat << EOF > ~/Library/LaunchAgents/com.1password.SSH_AUTH_SOCK.plist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
  <key>Label</key>
  <string>com.1password.SSH_AUTH_SOCK</string>
  <key>ProgramArguments</key>
  <array>
    <string>/bin/sh</string>
    <string>-c</string>
    <string>/bin/ln -sf $HOME/Library/Group\ Containers/2BUA8C4S2C.com.1password/t/agent.sock \$SSH_AUTH_SOCK</string>
  </array>
  <key>RunAtLoad</key>
  <true/>
</dict>
</plist>
EOF
launchctl load -w ~/Library/LaunchAgents/com.1password.SSH_AUTH_SOCK.plist

launchctl unload ~/Library/LaunchAgents/com.1password.SSH_AUTH_SOCK.plist

rm ~/Library/LaunchAgents/com.1password.SSH_AUTH_SOCK.plist

번외 — HERODOC

EOF는 End Of File의 약자로 파일의 끝을 알릴 때 사용한다. cat << EOF 는 HERODOC 구문 형식으로 여러 줄의 텍스트를 입력할 때(EOF 식별자 이전까지) 사용한다.

cat << EOF > [파일명] 형식으로 입력하면 작성한 멀티라인 텍스트를 명시한 파일에 저장한다. EOF 외에 STOP 같은 다른 식별자를 사용해도 되며, 처음에 사용한 식별자와 끝 식별자가 일치해야 된다.

cat << EOF > helloworld.txt
> Hello
> World
> EOF
 
cat helloworld.txt
# Hello
# World

레포지토리마다 다른 SSH 키 사용하기

1Password에 저장한 SSH 키가 여러개라면 레포지토리마다 각각 다른 SSH key를 사용하도록 설정할 수 있다.

❶ 1Password에 저장해둔 SSH 공개키(개인 및 회사용) 다운로드

# Personal GitHub (띄어쓰기로 구분해서 Host 이름 2개 입력함)
Host github.com personal-github
  HostName github.com
  User git
  IdentityFile ~/.ssh/personal-github.pub
  IdentitiesOnly yes
 
# Work GitHub
Host work-github
  HostName github.com
  User git
  IdentityFile ~/.ssh/work-github.pub
  IdentitiesOnly yes

❹ 레포지토리 remote 주소의 host를 github.com 대신 .ssh/config 파일에 지정한 이름으로 변경

git remote set-url origin host:workplace/repo.git

# github.com(기본값) 호스트 변경 예시
# personal-github 호스트 (개인 레포지토리)
git remote set-url origin personal-github:romantech/practice.git
 
# work-github 호스트 (회사 레포지토리)
git remote set-url origin work-github:google/gmail.git

레퍼런스

• 1Password for SSH & Git | 1Password Developer Documentation
• Choosing which SSH key to use  

글 수정사항은 노션 페이지에 가장 빠르게 반영됩니다. 링크를 참고해 주세요