본문 바로가기

OS & network/linux

엔터프라이즈 리눅스 사용자 su 제한 하기 (REHL/OEL)

테크넷 마스터 김재벌입니다.


오늘은 오라클엔터프라이즈 리눅스 서버 7에서 허용된 사용자 이외에 su 명령을 사용하지 못하도록 하는 설정 팁에 대해서 포스팅 해 봅니다.

과거부터 unix 에서는 pam 인증을 통해 사용자에 대한 접근 제한을 걸어왔는데 , 오라클 엔터프라이즈 리눅스 7도 동일하게 적용할 수 있습니다.

이를 적용하기 위해서 wheel 그룹을 이용해서 사용자에 대한 접근을 제한해 왔습니다.

이를 적용하면 일반 사요자들이 su 명령어를 이용하여 root 사용자에 대한 로그인을 시도하는 것을 차단하여 보안을 강화 할 수 있습니다.


일부 패키지와 커널을 제외하곤 동일한 레드햇 엔터프라이즈 리눅스도 동일하게 적용 됩니다.

여기서는 ostoneo 사용자는 su를 통해 root 로그인이 가능하고 , woo 사용자는 su 를 차단을 하고자 할 때를 가정하여 설정합니다.



1. 먼저 제가 사용하는 계정을 wheel 그룹에 포함시킵니다.

[root@localhost ~]# usermod -G wheel ostoneo


2. 보조 그룹으로 wheel 그룹에 ostoneo 사용자가 추가 되었는지 확인해 봅니다.


[root@localhost ~]# id -a ostoneo

uid=1000(ostoneo) gid=1000(ostoneo) groups=1000(ostoneo),10(wheel)



3.woo 사용자를 생성합니다.


[root@localhost ~]# useradd woo
[root@localhost ~]# passwd woo
woo 사용자의 비밀 번호 변경 중
새  암호:
새  암호 재입력:
passwd: 모든 인증 토큰이 성공적으로 업데이트 되었습니다.


4./erc/pasm.d/su 파일의 내용을 확인하고 주석을 제거 합니다.

주석이 적용된 라인중에 붉은색으로 작성된 부분의 주석을 제거 , 저장합니다.



[root@localhost ~]# vi /etc/pam.d/su

#%PAM-1.0

auth sufficient pam_rootok.so

# Uncomment the following line to implicitly trust users in the "wheel" group.

#auth sufficient pam_wheel.so trust use_uid

# Uncomment the following line to require a user to be in the "wheel" group.

auth required pam_wheel.so use_uid

auth substack system-auth

auth include postlogin

account sufficient pam_succeed_if.so uid = 0 use_uid quiet

account include system-auth

password include system-auth

session include system-auth

session include postlogin

session optional pam_xauth.so


5. 이제 woo 사용자로 로그인 후 아래와 같이 su 를 수행해 봅니다.


[woo@localhost ~]$ su - root

su: 권한 부여 거부



6.이제 다시 ostoneo 사용자로 로그인 후 동일하게 su를 수행해 봅니다


[root@localhost ~]# su - ostoneo

마지막 로그인: 토  5월 30 10:02:19 KST 2015 일시 :0

마지막 로그인 실패: 토  5월 30 10:55:12 KST 2015 일시 pts/0 


간단한 파일의 수정과 명령으로도 사용자의 su 명령을 효과적으로 차단할 수 있습니다.