테크넷 마스터 김재벌입니다.
오늘은 오라클엔터프라이즈 리눅스 서버 7에서 허용된 사용자 이외에 su 명령을 사용하지 못하도록 하는 설정 팁에 대해서 포스팅 해 봅니다.
과거부터 unix 에서는 pam 인증을 통해 사용자에 대한 접근 제한을 걸어왔는데 , 오라클 엔터프라이즈 리눅스 7도 동일하게 적용할 수 있습니다.
이를 적용하기 위해서 wheel 그룹을 이용해서 사용자에 대한 접근을 제한해 왔습니다.
이를 적용하면 일반 사요자들이 su 명령어를 이용하여 root 사용자에 대한 로그인을 시도하는 것을 차단하여 보안을 강화 할 수 있습니다.
일부 패키지와 커널을 제외하곤 동일한 레드햇 엔터프라이즈 리눅스도 동일하게 적용 됩니다.
여기서는 ostoneo 사용자는 su를 통해 root 로그인이 가능하고 , woo 사용자는 su 를 차단을 하고자 할 때를 가정하여 설정합니다.
1. 먼저 제가 사용하는 계정을 wheel 그룹에 포함시킵니다.
[root@localhost ~]# usermod -G wheel ostoneo
[root@localhost ~]# id -a ostoneo
4./erc/pasm.d/su 파일의 내용을 확인하고 주석을 제거 합니다.
주석이 적용된 라인중에 붉은색으로 작성된 부분의 주석을 제거 , 저장합니다.
[root@localhost ~]# vi /etc/pam.d/su
#%PAM-1.0
auth sufficient pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth sufficient pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
auth required pam_wheel.so use_uid
auth substack system-auth
auth include postlogin
account sufficient pam_succeed_if.so uid = 0 use_uid quiet
account include system-auth
password include system-auth
session include system-auth
session include postlogin
session optional pam_xauth.so
5. 이제 woo 사용자로 로그인 후 아래와 같이 su 를 수행해 봅니다.
[woo@localhost ~]$ su - root
su: 권한 부여 거부
6.이제 다시 ostoneo 사용자로 로그인 후 동일하게 su를 수행해 봅니다
[root@localhost ~]# su - ostoneo
마지막 로그인: 토 5월 30 10:02:19 KST 2015 일시 :0
마지막 로그인 실패: 토 5월 30 10:55:12 KST 2015 일시 pts/0
간단한 파일의 수정과 명령으로도 사용자의 su 명령을 효과적으로 차단할 수 있습니다.
'OS & network > linux' 카테고리의 다른 글
| 윈도우 터미널클라이언트(mstsc)를 이용한 RHEL/OEL/CentOS 리눅스 서버 원격 관리 (2) | 2015.05.30 |
|---|---|
| RHEL / OEL 에서 RDP 클라이언트 활용하기 (0) | 2015.05.30 |
| firewalld 개념 및 구성 (OEL 7, RHEL 7 , CentOS 7 , Fedora ) (0) | 2015.03.08 |
| 오라클 엔터프라이즈 리눅스 네트워크 설정 (0) | 2015.01.15 |
| 오란클 엔터프라이즈 리눅스 7 의 NIC 인터페이스 명 변경하기 (0) | 2015.01.14 |
